Vous êtes sur la page 1sur 6

M2 SSI Sec Sys Ava

TP1

Planification et configuration d'une stratégie d'authentification et


d'autorisation

Objectifs À la fin de ces travaux pratiques, vous serez à même de planifier et de configurer
une stratégie d'autorisation et d'authentification des ressources, ce qui inclut les
opérations suivantes :
 Planification et implémentation d'une stratégie d'autorisation des ressources.
 Planification et implémentation d'une stratégie d'autorisation pour plusieurs
forêts.
 Implémentation d'une stratégie de mot de passe respectant les exigences
d'une société.

Connaissances Pour réaliser ces travaux pratiques, vous devez disposer des ordinateurs virtuels
préalables suivants :
 2304_DC1
 2304_Client1
 2304_DC2

Important Arrêtez tous les ordinateurs virtuels avant de commencer ces travaux
pratiques. N'enregistrez jamais les modifications sur les ordinateurs virtuels.

Scénario Dans ces travaux pratiques, vous allez implémenter une stratégie d'authentification
et d'autorisation pour Domain1 et Domain2. Vous implémenterez une stratégie
d'autorisation des ressources pour Domain1 en utilisant des groupes. Vous
implémenterez une approbation entre forêts pour permettre aux utilisateurs de
Domain1 d'accéder aux ressources de Domain2. Pour terminer, vous analyserez les
besoins d'authentification de Domain1 et implémenterez une stratégie
d'authentification.

1
M2 SSI Sec Sys Ava

Exercice 1
Planification et implémentation d'une stratégie d'autorisation des
ressources
Dans cet exercice vous planifiez une stratégie d'appartenance aux groupes
pour votre forêt.

Tâche 1
! Créer des groupes globaux et affecter des utilisateurs au groupe global
approprié
1. Sur la machine 2304_DC1 ouvrir une session en tant qu’administrateur
2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis, tout
en maintenant la touche MAJ enfoncée, cliquez sur Utilisateurs et
ordinateurs Active Directory.
5. Dans Utilisateurs et ordinateurs Active Directory, développez
domain1.com, puis créer une unité d’organisation Ventes.
6. Créer deux groupes globaux dans l’unité d’organisation Ventes.
8. Ajouter deux comptes utilisateurs dans chaque groupe.
9. Dans l’unité d’organisation Ventes créer deux groupes de domaine local

Tâche 2
! Accorder les autorisations appropriées à ces groupes
7. Sur l'ordinateur virtuel 2304_Client1, ouvrez une session à l'aide du nom
d'utilisateur administrateur@domain1.com et du mot de passe
P@ssw0rd.
8. Cliquez sur Démarrer, puis sur Explorateur Windows.
9. Créer une ressource SalesData (répertoire) sur la partition C:/ de cette machine
10. Partager cette ressource et accorder l’accès totale à l’un des groupes de domaine
local crées précédemment.

Tâche 3 ! Ajouter des groupes globaux aux groupes locaux


1. Sur l'ordinateur virtuel 2304_ DC1 , dans Utilisateurs et ordinateurs
Active Directory, développez domain1.com, puis cliquez sur Ventes.
2. Ajouter le 1er groupe global au 1er groupe de domaine local et le 2eme
groupe global au 2eme groupe de domaine local.
3. Tester l’accès à la ressource SalesData .

2
M2 SSI Sec Sys Ava

Exercice 2
Planification et implémentation d'une stratégie d'authentification entre
des forêts
Dans cet exercice, vous allez planifier et configurer une relation d'approbation
entre des forêts pour permettre aux utilisateurs d'accéder aux ressources d'une
autre forêt. Vous attribuerez ensuite des autorisations pour permettre aux
utilisateurs d'accéder aux ressources de l'autre forêt. Pour terminer, vous
testerez la configuration.
Tâche 1
! Examiner le scénario et déterminer le type et la direction de la relation
d'approbation qui seront utilisés pour résoudre le problème
1. Déterminez si l'approbation de forêt utilisée sera unidirectionnelle ou
bidirectionnelle. Notez vos choix ici.
________________________ ___________________
2. Déterminez les domaines qui seront approuvés et la direction des relations
d'approbation. Notez vos choix ici.
____________ _______________ ___________
3. Déterminez quel modèle d'authentification sera utilisé sur les relations
d'approbation de forêt. Notez vos choix ici.
_____________________________ ____________________

Tâche 2 ! Créer les relations d'approbation


1. Ouvrez une session sur l'ordinateur virtuel 2304_DC1 en tant
qu'Administrateur. Utilisez le nom d'utilisateur
administrateur@domain1.com et le mot de passe P@ssw0rd.
2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur
Domaines et approbations Active Directory.
3. Dans Domaines et approbations Active Directory, cliquez sur
domain1.com, puis sur Propriétés dans le menu Action.
4. Dans la boîte de dialogue Propriétés de domain1.com, cliquez sur l'onglet
Approbations.
5. Cliquez sur Nouvelle approbation.
6. Créez une nouvelle relation d'approbation avec les paramètres suivants :
• Nom d'approbation : Domain2.com
• Type d'approbation : Approbation de forêt
• Direction de l'approbation : Unidirectionnelle entrante
• Sens de l'approbation : Ce domaine uniquement
• Mot de passe : P@ssw0rd
• Confirmer l'approbation : Non
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de
domain1.com.
Fermez tous les programmes et fermez la session sur l'ordinateur virtuel 2304_DC1.

3
M2 SSI Sec Sys Ava

8. Ouvrez une session sur l'ordinateur virtuel 2304_DC2 en tant


qu'Administrateur. Utilisez le nom d'utilisateur
administrateur@domain2.com et le mot de passe P@ssw0rd.
9. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Domaines et approbations Active Directory.
10. Dans Domaines et approbations Active Directory, cliquez sur
domain2.com, puis sur Propriétés dans le menu Action.
11. Cliquez sur l'onglet Approbations.
12. Cliquez sur Nouvelle approbation.
13. Créez une nouvelle relation d'approbation avec les paramètres suivants :
• Nom d'approbation : Domain1.com
• Type d'approbation : Approbation de forêt
• Direction de l'approbation : Unidirectionnelle sortante
• Sens de l'approbation : Ce domaine uniquement
• Authentification : Authentification sélective
• Mot de passe : P@ssw0rd
• Confirmer l'approbation : Oui
14. Cliquez sur OK pour fermer la boîte de dialogue Propriétés
de domain2.com.
15. Fermez tous les programmes.

Tâche 3
! Accorder aux utilisateurs du 1er groupe de Domain1 l'accès au dossier
Research stocké sur DC2 dans la forêt Domain2
1. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel 2304_DC2
en tant qu'Administrateur. Utilisez le nom d'utilisateur
administrateur@domain2.com et le mot de passe P@ssw0rd.
2. Cliquez sur Démarrer, puis sur Explorateur Windows.
3. Dans l'Explorateur Windows, développez Poste de travail, développez
Disque Local (C:), sélectionnez le dossier C:\Research et dans le menu
Fichier, pointez sur Research, puis cliquez sur Propriétés.
4. Dans la boîte de dialogue Propriétés de Research, cliquez sur l'onglet
Sécurité, puis sur Ajouter.
5. Cliquez sur Emplacements, sur domain1.com, puis sur OK.
6. Dans la boîte de dialogue Sélectionner Utilisateurs, Ordinateurs ou
Groupes, tapez le nom du groupe que vous avez créé pour les utilisateurs
du 1er groupe de Domain1
8. Fermez tous les programmes, puis la session sur 2304_DC2.

4
M2 SSI Sec Sys Ava

Tâche 4 ! Ouvrir une session en tant que utilisateur du 1er groupe de Domain1 et
ouvrir le dossier Research
1. Ouvrez une session sur l'ordinateur virtuel 2304_Client1 en tant que utilisateur
du 1er groupe de Domain1.
2. Cliquez sur Démarrer, sur Exécuter, tapez
\\dc2.domain2.com\research, puis appuyez sur ENTRÉE.
3. Vous serez invité à entrer votre nom d'utilisateur et votre mot de passe.
4. Vous ne serez pas autorisé à accéder au dossier Research.
5. Fermez tous les programmes et fermez la session sur l'ordinateur virtuel
2304_Client1.

! Configurer la forêt domain2.com pour permettre aux utilisateurs de se


connecter au dossier Research sans y être invité
Tâche 5 1. Ouvrez une session sur l'ordinateur virtuel 2304_DC2 en tant
qu'Administrateur. Utilisez le nom d'utilisateur
administrateur@domain2.com et le mot de passe P@ssw0rd.
2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur
Utilisateurs et ordinateurs Active Directory.
3. Dans Utilisateurs et ordinateurs Active Directory, cliquez dans le menu
Affichage sur Fonctionnalités avancées.
4. Développez domain2.com, puis cliquez sur Domain Controllers.
5. Cliquez sur DC2, sur le menu Action, puis sur Propriétés.
6. Dans la boîte de dialogue Propriétés de DC2, cliquez sur l'onglet Sécurité, puis
sur Ajouter.
7. Dans la boîte de dialogue Sélectionner Utilisateurs, Ordinateurs ou Groupes,
cliquez sur Emplacements, sur domain1.com, puis sur OK.
8. Dans la boîte de dialogue Sélectionner Utilisateurs, Ordinateurs ou
Groupes, tapez le nom du 1er groupe que vous avez créé dans le Domain1, puis
cliquez sur OK.
9. Dans la boîte de dialogue Propriétés de DC2, activez la case à cocher dans la
colonne Autoriser, en regard de l'autorisation Autorisation d'authentifier.
10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de DC2.
11. Fermez tous les programmes, puis la session sur 2304_DC2.
12. Ouvrez une session sur l'ordinateur virtuel 2304_Client1 en tant que utilisateur
du 1er groupe de Domain1.
13. Cliquez sur Démarrer, sur Exécuter, tapez
\\dc2.domain2.com\research, puis appuyez sur ENTRÉE.
14. Fermez tous les programmes et fermez la session sur l'ordinateur virtuel
2304_Client1.

5
M2 SSI Sec Sys Ava

Exercice 3
Planification et implémentation d'une stratégie d'authentification
Dans cet exercice, vous allez passer en revue et implémenter une stratégie de
sécurité de mot de passe.

Tâche 1
! Configurer la forêt domain1.com pour appliquer la stratégie
d'authentification
1. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_ DC1 avec le compte administrateur.
2. Dans Gestion des stratégies de groupe, développez Forêt :
domain1.com, développez Domaines, développez domain1.com,
puis cliquez sur Default Domain Policy. Cliquez sur OK.
3. Dans le menu Action, cliquez sur Modifier.
4. Dans la fenêtre Stratégie de groupe, développez successivement
Configuration ordinateur, Paramètres Windows, Paramètres de
sécurité, puis Stratégies de compte.

5. Configurez la Stratégie de mot de passe et la Stratégie de verrouillage du


compte
6. Fermez tous les programmes.

Tâche 2 ! Tester la mise en application de la stratégie d'authentification


1. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_Client1 avec un compte d’un utilisateur.
2. Cliquez sur Démarrer, cliquez sur Exécuter, tapez cmd, puis appuyez sur
ENTRÉE.
3. Dans la fenêtre C:\windows\system32\cmd.exe, tapez gpupdate
/force, puis appuyez sur ENTRÉE.
4. Dans la fenêtre C:\windows\system32\cmd.exe, tapez gpresult /v, puis
appuyez sur ENTRÉE.
5. Examinez le résultat de la commande gpresult /v pour garantir que les
paramètres de stratégie que vous avez définis sont appliqués.

Vous aimerez peut-être aussi