M1101-ResEnt 2017/2018

Windows Server 2016

Active Directory

Plan
Windows Server 2016 Active Directory ............................................................................................... 1
TP 1 ................................................................................................................................................... 3
1 Configuration de base des machines............................................................................................ 3
1.1 Schéma initial du réseau pour un binôme de TP ........................................................................... 3
1.2 Configuration de base des machines virtuelles ............................................................................. 4
1.2.1 Configuration de Virtualbox ...................................................................................................... 4
1.2.2 Configuration de base du serveur ............................................................................................. 4
1.2.3 Configuration de base du client................................................................................................. 4
1.2.4 Tests de connectivité ................................................................................................................. 4
2 Installation et configuration d’Active Directory............................................................................ 5
2.1 Installation d’Active Directory ....................................................................................................... 5
2.2 Insertion du client W10-1 dans le domaine Active Directory ....................................................... 7
2.3 Comptes utilisateurs ...................................................................................................................... 8
2.4 Création d’une deuxième machine cliente W10-2 ........................................................................ 8
3 Partages Windows ...................................................................................................................... 9
TP 2 ................................................................................................................................................. 11
1 Réinitialisation des machines virtuelles ..................................................................................... 11
1.1 Configuration de base des machines clientes. ............................................................................ 11
1.2 Configuration de base du serveur ............................................................................................... 11
2 Profil des comptes..................................................................................................................... 11
2.1 Dossier de base ............................................................................................................................ 11
2.1.1 Création du dossier de base .................................................................................................... 11
2.1.2 Tests du dossier de base .......................................................................................................... 12
2.1.3 Dossiers de base pour inge1 et inge2 ...................................................................................... 12
2.2 Profils itinérants........................................................................................................................... 13
2.2.1 Création d’un profil itinérant ................................................................................................... 13
2.2.2 Profils itinérants pour inge1 et inge2 ...................................................................................... 13
3 Stratégies de groupe ................................................................................................................. 13
3.1 Application des stratégies............................................................................................................ 13
3.2 Modification d’une stratégie existante : « Default Domain Policy »,.......................................... 14
3.3 Visualisation des résultats des stratégies de groupe appliquées sur le client ............................ 14
3.4 Création de stratégies.................................................................................................................. 15
3.4.1 Mappage de lecteur ................................................................................................................. 15
3.4.2 Profils itinérants....................................................................................................................... 16
3.4.3 Travail complémentaire ........................................................................................................... 16
TP 3 ................................................................................................................................................. 17
1 Réinitialisation des machines virtuelles ..................................................................................... 17
1.1 Configuration de base des machines clientes. ............................................................................ 17
1.2 Configuration de base du serveur ............................................................................................... 17
1.2.1 Préparation des dossiers partagés .......................................................................................... 17

M1101 – Réseaux d’entreprises – IUT1 R&T 1

 1.2.2 Création des Unités d’Organisation (OU) et des utilisateurs .................................................. 17
1.2.3 Création des stratégies de groupe initiales ............................................................................. 17
1.2.4 Création des dossiers de base et des profils itinérants ........................................................... 17
1.3 Tests ............................................................................................................................................. 18
2 Stratégies de groupe ................................................................................................................. 18
2.1 Ordre d’application des stratégies .............................................................................................. 18
2.2 Utilisation de filtre pour rechercher un paramètre..................................................................... 18
2.3 Utilisation de la modélisation de stratégie de groupe ................................................................ 19
2.4 Paramétrage d’application Windows .......................................................................................... 19
2.5 Déploiement d’imprimante ......................................................................................................... 20
2.5.1 Installation de l’imprimante sur le serveur ............................................................................. 20
2.5.2 Utilisation de l’outil « Gestion de l’impression » .................................................................... 20
2.5.3 Paramétrage de la stratégie « deploiement-HP-2200DN »..................................................... 20
2.6 Affichage du dernier utilisateur ................................................................................................... 20
2.7 Redirection de dossiers ............................................................................................................... 21
2.8 Installation de logiciel sur les postes clients................................................................................ 22
3 Entrainement pour le partiel de TP ............................................................................................ 22

M1101 – Réseaux d’entreprises – IUT1 R&T 2

 TP 1

Depuis la version Windows 2000 Server, Microsoft a implémenté un annuaire permettant de centraliser les données
d’un ensemble de machines. Ces données centralisées peuvent être les utilisateurs, les ordinateurs, les partages
réseau, les imprimantes, etc. Cet annuaire se nomme Active Directory, ou plus simplement AD. Cela remplace la
base de données de sécurité (SAM) des versions antérieures (Windows NT).
Il est très important dans un réseau Microsoft de connaître les principes de fonctionnement d’AD pour pouvoir
organiser ses réseaux.
Depuis Windows 2000 Server, la gestion des domaines, donc des parcs informatiques de type Microsoft, ne peut
plus se faire sans une bonne connaissance d’AD. De nombreuses applications (installation de logiciels, de systèmes
d’exploitation, de mises à jour) se font grâce à AD.
Enfin, derrière AD se cachent les GPO (stratégies de groupe), permettant le paramétrage complet des stations et
des serveurs du domaine.

1 Configuration de base des machines

1.1 Schéma initial du réseau pour un binôme de TP

Serveur DNS INTERNET

172.16.0.200 172.16.0.254

172.16.AG.B 172.16.AG.(100+B)
Machine Machine
pcAG-B.rt.iut
Windows
10 Hôte pcAG-(100+B).rt.iut
Windows
10 Hôte
(Gauche) (Droite)
VIRTUALBOX VIRTUALBOX
Routeur NAT Accès au réseau de type Routeur NAT Accès au réseau de type
10.0.2.1 « Réseau NAT » 10.0.2.1 « Réseau NAT »

10.0.2.100 10.0.2.101 10.0.2.100 10.0.2.101

Machines Machines
virtuelles virtuelles

serv2016.dom.local W10-1.dom.local serv2016.dom.local W10-1.dom.local

Les machines hôtes ont été correctement configurées dans le premier TP. Il n’y a pas de modification à y apporter.
Le TP va s’effectuer avec des clones de MV Windows Server 2016 et Windows 10. Chaque étudiant aura dans un
premier temps deux machines virtuelles à configurer : un serveur et un client.

M1101 – Réseaux d’entreprises – IUT1 R&T 3

1.2 Configuration de base des machines virtuelles
1.2.1 Configuration de Virtualbox
Configuration Réseau de Virtualbox : dans Fichier > Paramètres > Réseau, vérifier la configuration du réseau
NAT de nom NatNetwork, décocher le cas échéant « Supporte le DHCP » ; on souhaite en effet fixer de façon
manuelle l’adresse IP des machines virtuelles.

1.2.2 Configuration de base du serveur

Faire un clone lié de la machine virtuelle Windows Server 2016 avec réinitialisation de l’adresse MAC. Le
nommer TP_AD_Winserv2016 et le placer dans le groupe TP_AD. (Faire un clic droit sur le clone puis
« grouper »). Configurer le mode d’accès réseau de cette MV en « Réseau NAT » et choisir le réseau
NatNetwork.
Démarrer la machine virtuelle clonée. Le mot de passe du compte Administrateur est Toto123.

Le gestionnaire de serveur se lance automatiquement. Aller dans le menu Serveur local et configurer l’interface
réseau avec l’adresse IP 10.0.2.100, masque de sous réseau : 255.255.255.0 ; Passerelle par défaut : 10.0.2.1,
DNS : 172.16.0.200.

Changer le nom en serv2016, puis dans le menu Autres, donner le suffixe DNS dom.local afin que le nom
complet de l’ordinateur soit serv2016.dom.local et redémarrer le serveur.
1.2.3 Configuration de base du client
Faire un clone lié de la machine virtuelle modèle Windows 10 avec réinitialisation de l’adresse MAC. Nommer
la nouvelle machine virtuelle TP_AD_W10-1 et la placer dans le groupe TP_AD. (Faire glisser le clone dans le
groupe créé). Configurer le mode d’accès réseau de cette MV en « Réseau NAT » et choisir le réseau
NatNetwork.
Démarrer la machine virtuelle clonée. Le mot de passe du compte local RT est toto.
Configurer l’interface réseau avec l’adresse IP 10.0.2.101, masque de sous réseau : 255.255.255.0 ; Passerelle
par défaut : 10.0.2.1, DNS : 172.16.0.200.
Aller dans le menu (Panneau de configuration > Système et sécurité > Système) ou accessible par  + Pause.
Changer le nom en W10-1 puis dans le menu Autres, donner le suffixe DNS dom.local afin que le nom
complet de l’ordinateur soit W10-1.dom.local et redémarrer le client.
1.2.4 Tests de connectivité
Si la résolution des noms est opérationnelle, une commande « ping www.google.fr » doit fonctionner sur les
deux machines.

M1101 – Réseaux d’entreprises – IUT1 R&T 4

 Pour continuer le TP, les pings doivent fonctionner entre les deux machines W10-1 et serv2016. Ajouter
pour cela une règle dans le pare-feu de chaque machine en tapant dans une console en administrateur la
commande suivante:
netsh advfirewall firewall add rule name=ping proto=icmpv4:8,any dir=in action=allow

Validation 1 : Configuration de base des machines virtuelles

2 Installation et configuration d’Active Directory

2.1 Installation d’Active Directory

Important : Pour que l’installation d’Active Directory et du DNS se passe correctement, bien vérifier que vous
avez désactivé IPv6 sur l’interface réseau.
Prendre un instantané (snapshot) du serveur et le nommer « Avant installation AD ».
Lancer le gestionnaire de serveur s’il ne s’est pas lancé automatiquement et cliquer sur le tableau de bord afin
d’ajouter des rôles et des fonctionnalités :

Choisir une Installation basée sur un rôle ou une fonctionnalité et sélectionner votre serveur.
Sélectionner les Services AD DS dans le gestionnaire de serveur puis laisser les choix par défaut proposés par
la suite et enfin cliquer sur installer.

À la fin de l’installation, une notification apparait sur le tableau de bord (point d’exclamation) car il faut réaliser
une configuration de post-déploiement permettant de configurer le domaine DNS : cliquer sur le point
d’exclamation puis sur « Promouvoir ce serveur en contrôleur de domaine ». Ceci va installer le rôle de serveur
DNS sur la machine.

M1101 – Réseaux d’entreprises – IUT1 R&T 5

Le domaine sera dom.local. C’est un
contrôleur pour un nouveau domaine dans
une nouvelle forêt.

Choisir le niveau fonctionnel Windows Server 2016 et comme mot de passe Toto123.

Un message d’avertissement
apparait ensuite :
Ne pas en tenir compte et cliquer sur
suivant.

Laisser ensuite les choix par défaut

(notamment le nom de domaine
Netbios : DOM).

Une page récapitulative permet d’examiner les options choisies puis une phase de vérification de la
configuration est lancée. Si tout est satisfaisant, on peut lancer l’installation.

À la fin de l’installation, le serveur redémarre. Si un changement de mot de passe vous est imposé, le changer
en Toto1234.
Lorsque le poste a redémarré, des outils d’administration sont disponibles dans le menu Outils du gestionnaire
de serveur. Lancer l’outil « Utilisateurs et ordinateurs AD ».
Développer l’arborescence « Utilisateurs et ordinateurs AD ». Les utilisateurs du domaine sont par défaut dans
le conteneur Users. On retrouve le contrôleur de domaine dans Domains Controllers et les groupes locaux dans
le conteneur Builtin.
Vérifier que les utilisateurs du domaine sont automatiquement membres du groupe des utilisateurs locaux :
c’est important car les autorisations NTFS attribuées par défaut aux utilisateurs locaux sur le serveur
s’appliquent donc aussi aux utilisateurs du domaine. De la même façon, le groupe Admins du domaine

M1101 – Réseaux d’entreprises – IUT1 R&T 6

 appartiendra automatiquement au groupe d’Administrateurs locaux de toutes les machines du domaine ce qui
lui permettra d’avoir le contrôle total sur celles-ci.

Prendre un instantané (snapshot) « Après installation AD ».

Validation 2 : Installation d’Active Directory

2.2 Insertion du client W10-1 dans le domaine Active Directory

L’insertion dans le domaine s’effectue à partir du poste client : il faut donc, sur le client W10-1 :
• Modifier le serveur DNS préféré dans la configuration TCP/IP de la connexion au réseau local.
Le serveur DNS devra être dorénavant le serveur serv2016.dom.local (10.0.2.100). En effet,
lorsqu’on va insérer le client dans le domaine, celui-ci va interroger son serveur DNS pour obtenir le
nom du serveur Ldap Active Directory. Dans votre configuration, seul Serv2016.dom.local dispose
de ces informations.

• Inscrire le poste client dans le

domaine dom.local
(« Ordinateur », « Propriétés »
« nom de l’ordinateur », « Modifier
les paramètres » ). Il faut entrer le
login et le mot de passe de
l’Administrateur du domaine puis
redémarrer pour prendre en compte
les modifications.

Vérifier ensuite l’appartenance de l’ordinateur au conteneur Computers dans l’annuaire AD (penser à Actualiser
dans le menu Action).
Au redémarrage de W10-1, noter le changement de l’ouverture de session : on peut maintenant se connecter
de deux façons différentes : soit sur W10-1 avec un compte local (authentification locale avec l’utilisateur RT ;
login : W10-1\RT ou .\RT), soit sur dom avec un autre compte (authentification dans le domaine AD) ; noter
que dom est le nom NETBIOS du domaine dom.local.
Avant de pouvoir se connecter sur le domaine, il faut donc créer au préalable des comptes utilisateurs dans AD.
Validation 3 : Insertion de W10-1 dans le domaine dom.local

M1101 – Réseaux d’entreprises – IUT1 R&T 7

2.3 Comptes utilisateurs
Dans AD, la gestion des objets se fait en général en ajoutant de nouveaux conteneurs particuliers, sur lesquels
on pourra placer des stratégies de groupe. Ce sont les Unités d’organisation (Organizational Units ou OU).
Créer une OU COMPTES dans dom.local pour regrouper les comptes utilisateurs et les groupes de sécurité. (Clic
droit sur dom.local puis Nouveau\Unité d’organisation.

Créer dans l’OU COMPTES un compte utilisateur user1 (nom complet = user1 ; nom d’ouverture de session
user1@dom.local ; dom\user1 en notation NETBIOS ; mot de passe Azer123 que l’utilisateur n’est pas
obligé de changer à la prochaine ouverture de session et qui n’expire jamais.
Explorer les propriétés du compte utilisateur :
o On a les informations classiques d’un annuaire (adresse, bureau, téléphone, email, informations sur le
poste occupé dans l’entreprise, …) ;
o les groupes de sécurité auquel le compte appartient (qui déterminent les permissions sur les fichiers
et les droits) ;
o des informations sur les sessions ;
o la configuration du profil.
Tester ce compte depuis le client W10-1.
Créer dans l’OU COMPTES les groupes de sécurité globaux et les comptes utilisateurs suivants :
o Groupes de sécurité globaux A et B
o Comptes utilisateur user1a, user2a membres de « Utilisateur du domaine » et de A.
o Comptes utilisateur user1b, user2b membres de « Utilisateur du domaine » et de B.
Noter qu’il est possible de copier un compte pour en créer un autre ayant les mêmes caractéristiques (groupe
d’appartenance, expiration du mot de passe, …).
Validation 4 : Création des comptes utilisateur

2.4 Création d’une deuxième machine cliente W10-2

Dans Virtualbox, faire un clone lié de la machine virtuelle modèle Windows 10 avec réinitialisation de l’adresse
MAC. Nommer la nouvelle machine virtuelle TP_AD_W10-2 et la placer dans le groupe TP_AD. (Faire glisser le
clone dans le groupe créé). Configurer le mode d’accès réseau de cette MV en « Réseau NAT » et choisir le
réseau NatNetwork.
On souhaite insérer la machine virtuelle dans le domaine. Configurer correctement celle-ci pour que cela soit
possible. Les paramètres imposés sont : nom complet W10-2.dom.local et adresse IP 10.0.2.102. Les autres
paramètres se déduisent de ce que vous avez configuré pour W10-1.
Ajouter dans le pare-feu la règle autorisant les pings entrants.
Insérer W10-2 dans le domaine et se connecter en user1b.
Validation 5 : Insertion de W10-2 dans dom.local

M1101 – Réseaux d’entreprises – IUT1 R&T 8

3 Partages Windows
Sur le serveur, créer un dossier C:\Dossier. Le partager (partage avancé) sous le nom Dossier et donner
l’autorisation « contrôle total » à « Tout le monde » sur le partage ; on réglera l’accès aux sous-dossiers avec
les permissions NTFS.
Créer deux sous-dossiers Dossier_A et Dossier_B dans C:\Dossier. Vous pouvez vérifier que ces deux dossiers
sont bien partagés (chemins UNC dans l’explorateur de fichiers \\SERV2016\Dossier\Dossier_A et
\\SERV2016\Dossier\Dossier_B ).
Régler les permissions NTFS de Dossier_A et Dossier_B afin d’obtenir la configuration suivante :
o Les administrateurs du domaine ont tous les droits sur Dossier_A et Dossier_B.
o Les membres du groupe A accèdent partout en lecture (Dossier_A et Dossier_B.) et peuvent en plus
créer des fichiers et dossiers dans Dossier_A ainsi que supprimer les fichiers et dossiers dans Dossier_A
(même ceux créés par d’autres) ; ils ne peuvent pas supprimer Dossier_A.
o Les membres du groupe B accèdent partout en lecture et peuvent en plus créer des fichiers et dossiers
dans Dossier_B. Ils ne peuvent supprimer dans Dossier_B que les fichiers et dossiers dont ils sont les
propriétaires ; ils ne peuvent pas supprimer Dossier_B.
o Les autres utilisateurs du domaine ne peuvent rien faire dans Dossier_A et Dossier_B.

Attention : les autorisations NTFS

par défaut des répertoires
Dossier_A et Dossier_B sont
héritées de C:\ et ne sont pas
modifiables sans désactiver cet
héritage. Dans l’onglet Sécurité,
puis bouton « Avancé » Il faut
cliquer sur Désactiver l’héritage et
ensuite répondre Convertir les
autorisations héritées…dans la
boîte de dialogue qui apparaît
alors.

Tests à effectuer :
• Tester l’accès en écriture dans les répertoires Dossier_A et Dossier_B sous les différents comptes
user1a, user1b et user1 depuis les deux machines clientes. Créer plusieurs fichiers textes pour chacun
de ces utilisateurs dans le répertoire adéquat. Vérifier que les permissions sont conformes au cahier
des charges.
• Tester l’accès en lecture aux répertoires Dossier_A et Dossier_B sous les différents comptes user1a,
user1b et user1 depuis les deux machines clientes. Vérifier que les permissions sont conformes au
cahier des charges.
• Tester dans Dossier_A et Dossier_B la suppression des documents créés précédemment par un
membre d’un autre groupe, par un membre du groupe et par le propriétaire du document. Vérifier que
les permissions sont conformes au cahier des charges.
Vérifier si les utilisateurs des groupes A et B peuvent créer des fichiers ou des dossiers dans C:\Dossier. Si c’est
le cas, supprimer les fichiers et dossiers créés puis corriger les permissions sur C:\Dossier pour interdire de
nouvelles créations.

Validation 6 : Partage Windows

M1101 – Réseaux d’entreprises – IUT1 R&T 9

Travail complémentaire :
Modifier les permissions NTFS afin que user2b n’ait que le droit de lecture sur Dossier_B. Tester et faire vérifier.
Eteindre les machines virtuelles clientes TP_AD_W10-1 et TP_AD_W10-2. Eteindre ensuite le serveur 2016 puis
prendre un snapshot « Fin TP1 ».

M1101 – Réseaux d’entreprises – IUT1 R&T 10

 TP 2

1 Réinitialisation des machines virtuelles

Pour le serveur, restaurer le snapshot « Après installation AD ».
Cloner deux nouvelles machines virtuelles clientes Windows 10 : TP_AD_W10-3 et TP_AD_W10-4 (clones liés
avec réinitialisation de l’adresse MAC). Placer les deux machines dans le groupe TP_AD et les configurer en
réseau NAT.

1.1 Configuration de base des machines clientes.

Configurer les machines clientes : les paramètres imposés sont : nom complet W10-3.dom.local et W10-
4.dom.local, adresses IP 10.0.2.103 et 10.0.2.104.
Ajouter la règle autorisant les pings entrants dans le pare-feu des deux machines. Effectuer les tests de
connectivité.
Insérer les deux machines dans le domaine.

1.2 Configuration de base du serveur

Dans Active Directory, créer une OU Techniciens, une OU Ingenieurs et une OU Ordinateurs au niveau du
domaine (dom.local). Placer W10-3 et W10-4 dans l’OU ordinateurs.
Créer dans l’OU Techniciens : le groupe tech et les utilisateurs tech1 et tech2 membres de tech.
Créer dans l’OU Ingenieurs : le groupe inge et les utilisateurs inge1 et inge2 membres de inge.
Le mot de passe est fixé : Azer123 ; l’utilisateur n’est pas obligé de le changer à la prochaine ouverture de
session mais peut le changer plus tard ; le mot de passe n’expire jamais.
Validation 1 : Configurations de base

2 Profil des comptes

La boîte de dialogue propriété d’un utilisateur possède un onglet important : profil. Il permet de configurer
notamment un profil utilisateur itinérant et un dossier de base.

2.1 Dossier de base

2.1.1 Création du dossier de base
On va définir pour les utilisateurs, un dossier de base sur le serveur où l’utilisateur pourra ranger son travail.
Créer sur le serveur un dossier C:\home et un sous-dossier C:\home\Techniciens pour accueillir les
répertoires de base de tech1 et tech2.
Effectuer un partage avancé du sous-dossier C:\home\Techniciens (partage du même nom, de chemin
UNC \\serv2016\Techniciens) ; on utilisera pour cela le bouton Partage avancé. Placer l’autorisation Contrôle
total (CT) pour Tout le monde (TLM) sur le partage. Le réglage des permissions effectives s’effectuera ainsi au
niveau du système de fichier NTFS, puisqu’on laisse tout passer au niveau du système de partage en réseau.

M1101 – Réseaux d’entreprises – IUT1 R&T 11

 Sélectionner simultanément tech1 et tech2 et
éditer leurs propriétés. L’onglet Profil vous
permet de spécifier le dossier de base. On veut
que le dossier de base soit stocké dans
C:\home\Techniciens\nom_utilisateur
sur le serveur et qu’il soit accessible par la lettre
de lecteur Z: lorsque l’utilisateur se logue sur
une station.
Quelle option choisir pour le dossier de base
dans la boîte de dialogue ? « Chemin d’accès
local » ou « Connecter Z: à : » ?
Vu que ces paramètres seront interprétés par la station où l’utilisateur se logue, comment écrire le chemin
d’accès ? Avec un chemin absolu du type C:\dossier\sous-dossier ou un chemin UNC du type
\\serveur\partage\dossier ?
Ecrire le chemin correspondant au cahier des charges ; on utilisera la variable %username% pour créer le
dossier au nom de l’utilisateur (la variable %username% sera automatiquement remplacée par le nom de
l’utilisateur).
Si vous avez bien répondu, les dossiers de base ont été créés automatiquement sur le serveur. Vérifier quelles
autorisations NTFS ont été ajoutées automatiquement pour l’utilisateur sur son dossier de base.
2.1.2 Tests du dossier de base
Sur les machines clientes, ouvrir une session avec les utilisateurs tech1 et tech2. Vérifier qu’un lecteur réseau
correspondant au dossier de base de l’utilisateur apparait dans l’explorateur de fichiers. Tester l’écriture dans
le dossier de base de l’utilisateur logué en créant un fichier texte à son nom.
Logué en tech1, tester l’écriture dans le dossier Techniciens et dans le dossier de base de tech2 en créant un
fichier texte du nom de tech1.txt. Est-ce que les autorisations par défaut vous semblent correctes ?
Supprimer dans un premier temps les fichiers tech1.txt créés. Il faut ensuite corriger les permissions sur le
serveur afin que les utilisateurs ne puissent écrire que dans leur dossier de base.
Regarder les autorisations NTFS avancées sur C:\home\techniciens :
o Utilisateurs : « lecture et exécution » sur « ce dossier, les sous-dossiers et les fichiers »
o Utilisateurs : « Spéciale » : « création de fichiers/écriture de données », « création de dossier/ajout de
données » sur « ce dossier et les sous dossiers »
C’est l’autorisation « Spéciale » qui permet d’écrire partout à partir du répertoire C:\home\techniciens.
Attention : les autorisations NTFS par défaut du répertoire C:\home\techniciens sont héritées de C:\ et ne
sont pas modifiables sans désactiver cet héritage. Dans l’onglet Sécurité, puis bouton « Avancé » Il faut cliquer
sur Désactiver l’héritage et ensuite répondre Convertir les autorisations héritées…dans la boîte de dialogue
qui apparaît alors. Ceci a déjà été vu dans la partie précédente « Partages Windows ».
On peut alors supprimer l’autorisation « Spéciale » des « Utilisateurs ». Tester à nouveau l’écriture dans les
différents dossiers et vérifier que l’utilisateur ne peut le faire que dans son dossier de base.
Cependant, un utilisateur peut encore parcourir le dossier de base d’autre utilisateur, voire lire un document
qui ne lui appartient pas.
Ce problème peut se résoudre en supprimant toutes les permissions NTFS aux Utilisateurs du domaine au
niveau de C:\home\techniciens. Ainsi, l’utilisateur tech1 ne peut pas accéder à
\\serv2016\Techniciens mais accède tout de même à \\serv2016\Techniciens\tech1 où il a
les permissions NTFS Contrôle Total.
Supprimer donc cette autorisation et vérifier le bon fonctionnement.
2.1.3 Dossiers de base pour inge1 et inge2
Créer et partager un dossier C:\home\Ingenieurs pour accueillir les répertoires de base de inge1 et inge2.
Configurer les permissions NTFS adéquates puis créer dans AD les dossiers de base de inge1 et inge2.

M1101 – Réseaux d’entreprises – IUT1 R&T 12

 Vérifier le bon fonctionnement en vous connectant en inge1 et inge2 sur les machines clientes.
Validation 2 : Dossier de base

2.2 Profils itinérants

2.2.1 Création d’un profil itinérant
Un profil itinérant est un profil qui est téléchargé à partir du serveur à la connexion et sauvegardé à la déconnexion.
Cela permet d’avoir des postes banalisés où chaque utilisateur retrouve son environnement.
Pour stocker le profil itinérant, on peut utiliser un dossier partagé spécifiquement réservé à cet usage sur le serveur.
Une deuxième solution est d’utiliser un sous-dossier « profil » dans le dossier de base de chaque utilisateur
puisque celui-ci a déjà été créé précédemment avec les autorisations adéquates.
Mettre en place la 2ème solution. Sélectionner pour cela simultanément tech1 et tech2 et éditer leurs propriétés.
L’onglet Profil vous permet alors de spécifier le chemin du profil (ne pas oublier d’ajouter le sous-dossier
« profil » dans le chemin).
Vérifier le bon fonctionnement : lorsque tech1 se logue sur W10-3 la 1ère fois après la configuration du profil
itinérant, un dossier vide profil.V6 apparait dans son répertoire de base (avec un client Windows XP, le dossier
se nommerait profil, avec un client Seven profil.v2). L’administrateur peut-il accéder au contenu de ce
dossier sur le serveur ?
Sur le client W10-3, aller dans « Propriétés système » ( + Pause)
puis, menu « Paramètres Système Avancés », bouton
« Paramètres » des « profils des utilisateurs ». On peut voir le type
et l’état des profils (Local ou Itinérant) ; on peut aussi modifier ce
type voire même supprimer un profil.
Changer quelques éléments du profil (fond d’écran, couleurs, poser
un fichier sur le bureau, …) et se déconnecter.
Se connecter avec tech1 sur le client W10-4. Vérifier que tech1
retrouve son environnement.
Visualiser le contenu du dossier profil.v6. On peut observer les différents dossiers qui constituent le profil ;
notamment les dossiers Documents, Images, Téléchargements.
Quel problème peut poser l’appartenance de ces dossiers au profil lorsque l’utilisateur se connecte / déconnecte ?
2.2.2 Profils itinérants pour inge1 et inge2
Se déconnecter des machines clientes puis créer les profils itinérants de inge1 et inge2 sur le même principe que
ceux de tech1 et tech2. Vérifier le bon fonctionnement.
Validation 3 : Profils itinérants

3 Stratégies de groupe

3.1 Application des stratégies

Lorsqu’une machine démarre ou qu’un utilisateur se connecte, plusieurs stratégies sont mises en place. Les droits
s’ajoutent (fusionnent) ou se remplacent, en fonction des réglages effectués. Des stratégies peuvent être attachées
à chaque niveau de l’arborescence AD. L’ordre d’application des stratégies est le suivant :
Stratégie Locale, Stratégie de Site, Stratégie(s) du domaine, puis Stratégie(s) des OU successives.
Plusieurs stratégies peuvent être placées sur une OU ; dans ce cas, les stratégies qui sont numérotées, s’appliquent
dans l’ordre croissant.
La partie « Configuration de l’Ordinateur » est mise en place au démarrage d’un ordinateur, ou lors de l’actualisation
en tâche de fond.

M1101 – Réseaux d’entreprises – IUT1 R&T 13

La partie « Configuration de l’utilisateur » est mise en place au login de l’utilisateur, ou lors de l’actualisation en
tâche de fond.
Pour voir les stratégies, cliquer sur l’outil « Gestion des stratégies de groupe » du gestionnaire de serveur.
Sous le nom de domaine, on voit apparaître une stratégie mise en place par défaut par le système pour tous les
objets du domaine (« Default Domain Policy »).
Sélectionner la stratégie puis
cliquer sur l’onglet Paramètres
de cette stratégie « Default
Domain Policy » pour visualiser
la configuration réalisée par
cette stratégie. Un message de
sécurité d’Internet Explorer
apparaît alors ; ajouter le site
web à la zone de confiance pour
accéder à la visualisation des
paramètres de la stratégie.
On repère facilement la partie « Configuration Ordinateur » et la partie « Configuration Utilisateur ». La stratégie
de groupe « Default Domain Policy » (On parle aussi de GPO) n’agit que sur la partie « Configuration ordinateur »
on peut voir qu’aucun paramètre n’est en effet défini pour la partie « Configuration utilisateur ». Retrouver ce qui
est imposé au niveau Stratégie de comptes/Stratégies de mot de passe. Nous allons modifier ces paramètres dans
la suite.

3.2 Modification d’une stratégie existante : « Default Domain Policy »,

Faire un clic droit sur la stratégie « Default Domain Policy », puis choisir « modifier » ; ceci permet d’éditer la
stratégie ; on retrouve les deux parties : configuration ordinateur et configuration utilisateur.
Dans la partie Configuration ordinateurs > Stratégies > Paramètres Windows > Paramètres de sécurité, modifier les
paramètres pour empêcher les utilisateurs de changer leur mot de passe si la longueur choisie est de moins de 4
caractères, mais sans contrôler la complexité du mot de passe. Donner aussi une durée de vie minimale de 0 jours
pour pouvoir changer de mot de passe immédiatement.
Se connecter ensuite sur le client W10-3 avec le compte inge2 puis ouvrir une console powershell et lancer la
commande gpupdate. Retrouver le rôle de cette commande (gpupdate /?).
Tester le bon fonctionnement sur le client W10-3 avec le compte inge2, qui choisira le mot de passe toto (Appuyer
sur Ctrl Droit+Suppr) puis « Modifier un mot de passe ».

3.3 Visualisation des résultats des stratégies de groupe appliquées sur le client
Sur le client, la commande gpresult permet de visualiser les stratégies appliquées. Différentes options sont
possibles. Se connecter sur le client W10-3 avec le compte inge2.
Ouvrir une console powershell et lancer la commande :
gpresult /r
Dans ce cas, seules les GPOs qui s’appliquent avec des paramètres de l’utilisateur inge2 sur W10-3 sont indiquées.
Pourquoi la GPO « Default Domain Policy » n’apparait pas dans les « Objets Stratégie de groupe appliqués » ?
Pour visualiser les GPOs qui s’appliquent avec des paramètres de l’ordinateur, ouvrir une console powershell en
administrateur et lancer la commande :
gpresult /r /scope:COMPUTER /user:dom\inge2
On retrouve bien la GPO « Default Domain Policy ».
Pour voir plus précisément les paramètres de l’ordinateur de la GPO « Default Domain Policy » qui s’applique,
lancer la commande ci-dessous dans une console powershell en administrateur :
gpresult /h c:\rapport1.html /scope:COMPUTER /user:dom\inge2

M1101 – Réseaux d’entreprises – IUT1 R&T 14

Ouvrir le fichier c:\rapport1.html avec un navigateur. Retrouver la GPO « Default Domain Policy » et les paramètres
de l’ordinateur associés.
Pour voir plus précisément les paramètres de l’utilisateur des GPOs qui s’appliquent, lancer la commande ci-
dessous dans une console powershell :
gpresult /h c:\users\inge2\rapport2.html
Ouvrir le fichier c:\users\inge2\rapport2.html avec un navigateur. Que constate-t-on dans ce cas ?
Pour voir les paramètres de l’utilisateur des GPOs qui s’appliquent, on aurait pu aussi lancer la commande ci-
dessous dans une console powershell en administrateur :
gpresult /h c:\rapport2.html /scope:USER /user:dom\inge2

Lorsqu’on mettra en place des GPOs « Utilisateur », on pourra utiliser à bon escient les deux dernières commandes
sur le client pour visualiser les paramètres de l’utilisateur appliqués.
Validation 4 : Visualisation des stratégies de groupe sur le client

Microsoft recommande de modifier uniquement les paramètres de sécurité pour la stratégie de groupe « Default
Domain Policy ». Pour toute modification n'ayant aucun lien avec la sécurité, il est préférable de créer des stratégies
exclusives. Ceci permet d’avoir une meilleure lisibilité du paramétrage et un champ d’application plus ciblé (par
exemple sur une OU et pas sur tout le domaine). Nous allons donc créer de nouvelles stratégies.

3.4 Création de stratégies

3.4.1 Mappage de lecteur
Nous allons créer une nouvelle stratégie de groupe qui devra s’appliquer à l’OU Ingenieurs. On souhaite que tous
les ingenieurs voient un partage nommé Public sous le lecteur réseau « P: » dans l’explorateur de fichiers ; ce
partage correspondra au dossier C:\Public sur le serveur.
Créer le dossier C:\Public sur le serveur et y créer un fichier test.txt. Partager le dossier en lecture seule pour
tout le monde.
Suivre la démarche suivante pour créer la stratégie :
- Dans le domaine dom.local, « Objets de stratégie de groupe », créer une nouvelle stratégie que vous
nommerez « Mappage ».
- Modifier la stratégie « Mappage » : menu Configuration utilisateur > Préférences > Paramètres
Windows > Mappage de lecteur. Choisir l’emplacement, libeller en tant que Public et utiliser « P: ».
- Dans l’OU Ingenieurs, lier l’objet de stratégie de groupe existant « Mappage » afin que la stratégie ne
s’applique qu’à cette OU. Cliquer sur l’onglet Paramètres de la stratégie « Mappage » pour visualiser
la configuration réalisée par votre stratégie.

Paramètres
de la GPO

Lien de
la gpo
à l’OU
COMP
TES

Gpo « Mappage »

M1101 – Réseaux d’entreprises – IUT1 R&T 15

Remarque : la stratégie « Mappage » configure des paramètres de l’utilisateur (partie « configuration
utilisateur ») ; il faut donc qu’elle s’applique à une OU contenant des utilisateurs. C’est ici le cas avec l’OU
Ingenieurs.
Sur W10-4, se connecter en inge1, effectuer une mise à jour de la stratégie de groupe (gpudate) puis tester le bon
fonctionnement.
Vérifier sur W10-4 que la stratégie « Mappage » est bien appliquée avec la commande adéquate.
Visualiser sur W10-4 les paramètres utilisateur de la stratégie « Mappage » avec la commande adéquate.
Se connecter en tech2 sur W10-3. Vérifier que la stratégie « Mappage » ne s’applique pas.
On souhaite à présent que tous les techniciens voient aussi le partage nommé Public sous le lecteur réseau
« P: » dans l’explorateur de fichiers. Faire la modification nécessaire (la plus simple possible) et tester.
Validation 5 : Stratégie mappage de lecteur

3.4.2 Profils itinérants

On a vu précédemment que le profil itinérant d’un utilisateur réside sur le serveur.
Par défaut, lorsqu’un utilisateur avec un profil itinérant ferme sa session, le système enregistre également une
copie de ce profil itinérant sur l’ordinateur qu’il utilise, dans le cas où le serveur qui stocke le profil itinérant est
indisponible lors de l’ouverture de session suivante. Ceci peut devenir un inconvénient dans le cas où un grand
nombre d’utilisateurs utilisent un même ordinateur ; autant de copies locales que d’utilisateurs seront en effet
créées sur cet ordinateur.
Sur W10-3, visualiser le contenu de C:\Users. On retrouve effectivement un dossier local par utilisateur.
Créer une stratégie « Profil » et activer dans cette stratégie le paramètre « Supprimer les copies mises en cache des
profils itinérants » situé dans Configuration ordinateur > Modèles d’administration > Système > Profils Utilisateurs.
La stratégie « Profil » configure des paramètres de l’ordinateur (« Configuration ordinateur »). Quels sont les deux
endroits de l’arborescence AD où on peut lier la stratégie ? Choisir le plus judicieux pour effectuer ce lien.
Effectuer une mise à jour de la stratégie de groupe (gpudate) sur W10-3 puis tester le bon fonctionnement. Se
connecter puis se déconnecter avec les différents utilisateurs et observer les modifications dans C:\Users.
Ouvrir la stratégie « Profil ». Dans Configuration ordinateur > Modèles d’administration > Système > Profils
Utilisateurs, quel est l’intérêt du paramètre « Ajouter le groupe de sécurité Administrateurs… » ? Peut-on activer
ce paramètre pour les profils déjà créés des utilisateurs ?
Validation 6 : Stratégie profils itinérants
3.4.3 Travail complémentaire
On souhaite partager deux dossiers C:\doc_inge et C:\doc_tech sur le serveur (les deux dossiers sont à créer).
Les ingénieurs doivent pouvoir accéder aux deux dossiers en lecture/écriture. Ils ne peuvent supprimer que les
fichiers ou dossiers qu’ils ont créés. Les techniciens ne peuvent accéder qu’au dossier doc_tech en lecture. Les
autres utilisateurs du domaine ne peuvent pas accéder à ces dossiers.
Un mappage des partages doit être effectué par stratégie pour les ingénieurs et les techniciens.
Validation 7 : Travail complémentaire

Eteindre les machines virtuelles clientes TP_AD_W10-3 et TP_AD_W10-4. Eteindre ensuite le serveur 2016 puis
prendre un snapshot « Fin TP2 ».

M1101 – Réseaux d’entreprises – IUT1 R&T 16

 TP 3

1 Réinitialisation des machines virtuelles

Pour le serveur, restaurer le snapshot « Après installation AD ».
Cloner deux nouvelles machines virtuelles clientes Windows 10 : TP_AD_W10-5 et TP_AD_W10-6 (clones liés avec
réinitialisation de l’adresse MAC). Placer les deux machines dans le groupe TP_AD et les configurer en réseau NAT.

1.1 Configuration de base des machines clientes.

Configurer les machines clientes : les paramètres imposés sont : nom complet W10-5.dom.local et
W10-6.dom.local, adresses IP 10.0.2.105 et 10.0.2.106.
Ajouter la règle autorisant les pings entrants dans le pare-feu des deux machines. Effectuer les tests de connectivité.
Insérer les deux machines dans le domaine.

1.2 Configuration de base du serveur

1.2.1 Préparation des dossiers partagés
Créer sur le serveur un dossier C:\Comptes pour accueillir les répertoires de base et le profil des utilisateurs.
Partager ce dossier et configurer les autorisations de partage et permissions NTFS adéquates ; c’est-à-dire les plus
restrictives possibles comme vu au TP2.
Créer sur le serveur un dossier C:\Public. Partager ce dossier et configurer les autorisations de partage et
permissions NTFS pour que tous les utilisateurs du domaine aient un accès en lecture seule.
1.2.2 Création des Unités d’Organisation (OU) et des utilisateurs
Dans Active Directory, créer une OU Ordinateurs et une OU Comptes au niveau du domaine (dom.local). Créer, à
l’intérieur de l’OU Comptes, une OU Direction et une OU Atelier.
Placer W10-5 et W10-6 dans l’OU ordinateurs.
Créer dans l’OU Direction : le groupe dir et les utilisateurs dir1 et dir2 membres de dir.
Créer dans l’OU Atelier : le groupe ate et les utilisateurs ate1 et ate2 membres de ate.
Le mot de passe est fixé : Azer123 ; l’utilisateur n’est pas obligé de le changer à la prochaine ouverture de session
mais peut le changer plus tard ; le mot de passe n’expire jamais.
1.2.3 Création des stratégies de groupe initiales
Modifier la stratégie « Default domain Policy» pour que les utilisateurs du domaine puissent utiliser un mot de
passe de 4 caractères sans contrôler sa complexité. Donner aussi une durée de vie minimale de 0 jours pour pouvoir
changer de mot de passe immédiatement.
Créer une stratégie « Profils » permettant de supprimer les copies mises en cache des profils itinérants et de donner
au groupe « Administrateurs » l’accès aux dossiers Profil des utilisateurs. Lier cette stratégie à l’OU adéquate.
Créer une stratégie « Mappage_Public » permettant aux utilisateurs faisant partie de l’OU Comptes de voir un
partage nommé Public sous le lecteur réseau « P: » dans l’explorateur de fichiers.
1.2.4 Création des dossiers de base et des profils itinérants
Créer le dossier de base de tous les utilisateurs de l’OU Compte dans le dossier partagé Comptes.
Créer le profil itinérant de tous les utilisateurs : on créera un dossier profil dans le dossier de base de chaque
utilisateur pour accueillir ce profil itinérant.

M1101 – Réseaux d’entreprises – IUT1 R&T 17

Remarque : pour ces créations de dossier de base et profil itinérant, on peut effectuer une sélection multiple
d’utilisateurs et utiliser la variable %username% à la place du nom de l’utilisateur.

1.3 Tests
Tester les comptes sur les deux clients. Pour cela :
• Vérifier l’accès au dossier de base, le bon fonctionnement du profil itinérant. Vérifier que l’administrateur
a accès au dossier profil des utilisateurs sur le serveur.
• Vérifier que le mappage est opérationnel.
• Fixer le mot de passe toto Pour tous les utilisateurs.
• Utiliser la commande gpresult et ses options pour visualiser les stratégies appliquées et leurs paramètres.
Validation 1 : Configuration de base

2 Stratégies de groupe

2.1 Ordre d’application des stratégies

On souhaite que tous les utilisateurs faisant partie de l’OU Comptes disposent d’un papier peint de bureau
identique et imposé societe.jpg sauf les utilisateurs de l’OU Direction qui devront disposer de direction.jpg.
Sur le serveur 2016, télécharger les fichiers societe.jpg et direction.jpg présents sur le serveur ftp
ftp://ftp.rtgrenoble.fr/TpRes/Windows2016/ et les placer dans C:\Public.
Créer une stratégie de groupe « Fond_Comptes » imposant le papier peint du bureau societe.jpg. Ce fichier sera
présent dans le partage Public sur le serveur et pas sur le poste de l’utilisateur. (voir Bureau dans les modèles
d’administration de la configuration utilisateur). Lier cette stratégie à l’OU Comptes.
Vérifier que la stratégie s’applique correctement avec l’utilisateur dir1 connecté sur W10-5 et l’utilisateur ate1
connecté sur W10-6.
Créer une stratégie de groupe « Fond_Direction » imposant le papier peint du bureau direction.jpg. Ce fichier sera
présent dans le partage Public sur le serveur et pas sur le poste de l’utilisateur. Lier cette stratégie à l’OU
Direction.
Vérifier que la stratégie s’applique correctement avec l’utilisateur dir1 connecté sur W10-5 et l’utilisateur ate1
connecté sur W10-6 et que cela répond au cahier des charges demandé. Expliquer pourquoi dir1 a le papier peint
direction.jpg et non pas societe.jpg.
Faire un clic droit sur la stratégie « Fond_Comptes » située dans l’OU Comptes puis choisir « Appliqué » (Noter en
bas de la fenêtre la traduction « Enforced »).
Vérifier les papiers peints de dir1 et ate1. Expliquer. En déduire le risque d’utiliser le mode « Appliqué » pour une
stratégie. Désactiver ce mode.
Validation 2 : Ordre d’application des stratégies

2.2 Utilisation de filtre pour rechercher un paramètre

Il existe beaucoup de paramètres réglables par stratégie de groupe et il est parfois difficile de retrouver un
paramètre particulier, notamment au sein des modèles d’administration des stratégies. L’utilisation d’un filtre peut
alors aider l’administrateur réseau.
Créer une stratégie de groupe « Bureau à distance » permettant à l’administrateur réseau d’accéder à distance aux
machines clientes. Nous allons agir sur deux paramètres à retrouver dans les modèles d’administration des
stratégies ordinateur :
1. Paramètre autorisant les utilisateurs à se connecter à distance à l’aide des services Bureau à distance
2. Paramètre autorisant, sur le domaine, les exceptions du Bureau à distance en entrée dans le Pare-Feu
Windows. On n’autorisera les connexions que depuis le serveur 2016.

M1101 – Réseaux d’entreprises – IUT1 R&T 18

 Dans la stratégie « Bureau à
distance », sélectionner
« modèles d’administration »
des stratégies configuration
ordinateur. Dans la barre
d’outils de l’éditeur de
stratégies de groupes
sélectionner le menu
affichage et options des
filtres. Créer alors un filtre
avec les mots clés « bureau à
distance », puis activer le
filtre : ceci permet de
restreindre la recherche.

Retrouver et configurer correctement les deux paramètres, lier la stratégie « Bureau à distance » à l’OU adéquate.
Tester le bon fonctionnement : utiliser la connexion bureau à distance depuis le serveur 2016 pour se connecter à
W10-5 ; tester ensuite une connexion depuis W10-6.

Validation 3 : Bureau à distance

2.3 Utilisation de la modélisation de stratégie de groupe

Sur le poste serveur, dans l’outil Gestion de stratégie de groupe, on peut simuler une stratégie de groupe
permettant de tester le scénario de déploiement et de configuration choisis. Pour cela, faire un clic droit sur
« Modélisation de stratégie de groupe » et choisir « Assistant Modélisation de stratégie de groupe ». Choisir votre
contrôleur de domaine puis par exemple l’OU Direction comme informations sur l’utilisateur et l’OU Ordinateurs
comme Informations sur l’ordinateur. Dans l’onglet Détails, on retrouve alors toutes les stratégies et le détail des
paramètres qui s’appliquent.
Il s’agit donc d’un outil de vérification intéressant puisqu’on a rapidement la synthèse de toutes les stratégies qui
doivent s’appliquer pour un utilisateur sur une machine. Attention, cela ne préjuge pas de ce qui s’applique
réellement sur les machines clientes : en effet il n’y a pas d’interrogation de la machine cliente mais seulement
modélisation (les stratégies peuvent ne pas s’appliquer s’il n’y a pas eu d’actualisation sur le client par exemple).

2.4 Paramétrage d’application Windows

On peut paramétrer par GPO des applications pour les utilisateurs. Nous allons le faire par exemple pour le
navigateur Microsoft Edge. Il faut pour cela installer sur le serveur une mise à jour des paramètres GPO pour la
dernière version de Windows 10 (version 1703 appelée aussi Windows 10 Creator)
Sur le serveur 2016, télécharger le fichier Windows_10_Creators_Update_ADMX.msi présent à l’emplacement
ftp://ftp.rtgrenoble.fr/TpRes/Windows2016/.
Double cliquer sur ce fichier Windows_10_Creators_Update_ADMX.msi pour l’installer sur le serveur. Les
différents paramètres mis à jour se trouvent dans le dossier :
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Creators Update\PolicyDefinitions

Créer dans C:\Windows\SYSVOL\sysvol\dom.local\Policies un dossier nommé PolicyDefinitions.

Copier enfin tout le contenu de
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Creators Update\PolicyDefinitions

dans le dossier C:\Windows\SYSVOL\sysvol\dom.local\Policies\PolicyDefinitions créé précédemment.

Créer une stratégie « Configuration_Edge » permettant de paramétrer Microsoft Edge pour les utilisateurs faisant
partie de l’OU Comptes.

M1101 – Réseaux d’entreprises – IUT1 R&T 19

Les paramètres se trouvent dans les Modèles d’administration de la Configuration utilisateur. Un filtre pourra vous
aider à repérer le répertoire dans lequel se trouvent ces différents paramètres.
Le cahier des charges est le suivant :
• Configurer la page de démarrage : http://www.rtgrenoble.fr.
• Empêcher l’ouverture de la page web de première exécution.
• Ne pas autoriser le contenu web lors de l’ouverture d’un nouvel onglet.
• Configurer une liste de favoris par défaut pour les utilisateurs :
ENT-UGA https://leo.univ-grenoble-alpes.fr/
GOOGLE https://www.google.fr
WIKIPEDIA https://fr.wikipedia.org
Tester le bon fonctionnement de votre stratégie.
Validation 4 : Paramétrage de Microsoft Edge

2.5 Déploiement d’imprimante

Il est possible d’utiliser une stratégie de groupe pour déployer automatiquement des connexions à des imprimantes
auprès d’utilisateurs ou d’ordinateurs et pour installer les pilotes d’imprimante appropriés. C’est ce que nous allons
faire avec une imprimante HP 2200DN connectée sur le réseau.
Créer une stratégie de groupe « Deploiement-HP-2200DN » et la lier à l’OU Direction. L’imprimante ne sera
déployée que pour les utilisateurs de cette OU.
2.5.1 Installation de l’imprimante sur le serveur
Sur le serveur 2016, télécharger le fichier contenant le driver upd-ps-x64-6.4.1.22169.exe présent à l’emplacement
ftp://ftp.rtgrenoble.fr/TpRes/Windows2016/.
Double cliquer sur ce fichier upd-ps-x64-6.4.1.22169.exe, puis Unzip pour installer le driver sur le serveur.
Choisir le mode Traditionnel ; ajouter l’imprimante à l’aide de son adresse IP : 172.16.58.240, installer le pilote « HP
Universal Printing PS (v6.4.1) et donner le nom HP 2200DN à l’imprimante. Partager l’imprimante (laisser le nom
par défaut HP 2200DN), ne pas imprimer de page de test. Laisser l’installation se finir puis cliquer sur le bouton
terminer.
2.5.2 Utilisation de l’outil « Gestion de l’impression »
Dans les outils du serveur lancer l’outil « Gestion de l’impression ». Dans le menu « Serveurs d’impression », choisir
le serveur 2016. Faire un clic droit sur l’imprimante HP 2200DN installée ; choisir « Déployer avec la stratégie de
groupe » puis choisir la stratégie « deploiement-HP-2200DN » dans l’OU Direction. Choisir un déploiement par
utilisateur puis cliquer sur le bouton « Ajouter ».
2.5.3 Paramétrage de la stratégie « deploiement-HP-2200DN »
Dans Configuration utilisateur > Stratégies > Modèles d’administration, repérer le répertoire contenant les
paramètres liés aux imprimantes (utiliser un filtre). Configurer la stratégie de la façon suivante :
• Interdire la suppression des imprimantes
• Activer les Restrictions Pointer et imprimer (configurer les deux invites de sécurité avec l’option « Afficher
l’avertissement uniquement »)
Vérifier que l’imprimante est bien déployée pour les membres de l’OU Direction.
Validation 5 : Déploiement d’imprimante

2.6 Affichage du dernier utilisateur

Il est possible de ne pas afficher le nom du dernier utilisateur sur l’écran d’ouverture de session.

M1101 – Réseaux d’entreprises – IUT1 R&T 20

Créer une stratégie « login ». Le paramètre se trouve dans Configuration Ordinateur > Paramètres Windows
>Paramètres de sécurité > Stratégies locales > Options de sécurité.
Lier la stratégie à l’OU adéquate et tester.
Validation 6 : Affichage du dernier utilisateur

2.7 Redirection de dossiers

Un utilisateur de Windows est encouragé à ranger ses fichiers dans le dossier Documents, qui fait partie du profil.
Deux cas se présentent :
o Les profils sont itinérants : cela implique que le dossier Documents est téléchargé depuis le serveur lors
de l’ouverture de session et vers le serveur lors de la fermeture. Ce fort trafic ponctuel peut être
problématique (ex : 100 employés ayant les mêmes horaires qui ouvrent et ferment les sessions en même
temps…). Et si l’on met des quotas sur le serveur, l’utilisateur peut saturer son quota à la fermeture de
session sans en être averti.
o Les profils sont locaux à la station cliente : le dossier Documents est donc sur le disque dur du client. Il
n’y a donc pas de sauvegarde et pas d’accès depuis un autre poste…
Pour pallier aux problèmes engendrés par les deux cas précédents, on va rediriger le dossier documents vers un
dossier présent sur le serveur.
Étape 1 : Création d’un groupe de sécurité de la redirection de dossiers
Ce groupe de sécurité sera utilisé pour régler les autorisations NTFS du dossier vers lequel va être redirigé le
dossier documents de chaque utilisateur.
Dans AD, créer un groupe de sécurité appelé Redirection dans l’OU Comptes. Faire en sorte que les groupes ate
et dir soient membres du groupe Redirection.
Étape 2 : Création d’un partage de fichiers pour les dossiers redirigés
Créer sur le serveur un dossier C:\Documents_Utilisateurs. Le partager sous le nom Documents_Utilisateurs$ ;
l’ajout du symbole $ au nom de partage permet de ne pas rendre visible automatiquement le partage aux
utilisateurs.
Autorisations de partage : choisir « Contrôle Total » pour « Tout le monde ». On réglera l’accès au dossier et aux
sous-dossiers avec les permissions NTFS.
Autorisations NTFS : les configurer conformément au tableau ci-dessous.
Compte d’utilisateur Accès S'applique à
System (Système) Contrôle total Ce dossier, ses sous-
dossiers et ses fichiers
Administrateurs Contrôle total Ce dossier, ses sous-
dossiers et ses fichiers
Créateur propriétaire Contrôle total Sous-dossiers et fichiers
seulement
Groupe Redirection Liste du dossier/lecture de données1 Ce dossier seulement

Création de dossier/ajout de
données1
Autres groupes et comptes Aucun (supprimer)
1 Autorisations avancées

M1101 – Réseaux d’entreprises – IUT1 R&T 21

Étape 3 : Création d’une stratégie de groupe pour la Redirection de dossiers
Créer une stratégie de groupe nommée
Redirection_documents ; la lier à l’OU
COMPTES
Aller ensuite dans « Configuration
utilisateur », « Stratégies », « Paramètres
Windows », « Redirection de dossiers »,
« Documents » : prendre le temps de voir
les différentes options de redirection puis
effectuer les choix présentés ci-contre.
Dans l’onglet Paramètres, décocher
« Accorder à l’utilisateur des droits
exclusifs… » et cocher « Déplacer le
contenu de Documents vers… »
Tester ensuite la stratégie.
Vérifier que le dossier Documents d’un utilisateur connecté est bien redirigé vers le partage.
En cas de mauvais fonctionnement :
• Vérifier les paramètres configurés sur le serveur
• Lancer l’Observateur d’évènements sur le client ; des informations pertinentes pouvant aider au
dépannage se trouvent dans « Journaux Windows », « Application ».
Validation 7 : Redirection

2.8 Installation de logiciel sur les postes clients

On peut aussi utiliser Active Directory et des stratégies de groupe pour installer des logiciels sur les postes
clients.
Sur le serveur, créer un dossier C:\Logiciels partagé sous le nom Logiciels$. Laisser les autorisations
de partage et les permissions NFTS par défaut (lecture pour tout le monde). Copier dans le répertoire
C:\Logiciels le fichier npp.7.2.2.installer.x64.msi présent sur le serveur FTP (répertoire
TpRes/WINDOWS2016).
Mettre en place une stratégie de groupe liée à l’OU Ordinateurs, nommée « install_notepad++ » puis dans cette
stratégie, dans la partie « Configuration ordinateur », repérer où on peut installer des logiciels. Ensuite clic-
droit « NouveauPackage… » et chercher npp.7.2.2.installer.x64.msi. Attention, le chemin vers
ce fichier doit être accessible depuis le poste client, il s’agit donc d’un chemin réseau UNC. Laisser les
paramètres par défaut puis appliquer la stratégie et redémarrer les postes clients. Le logiciel doit s’installer
avant qu’un utilisateur puisse se loguer. Tester le bon fonctionnement.
Validation 8 : Installation de logiciel

3 Entrainement pour le partiel de TP

Utiliser les snapshots créés sur le serveur et recréer des machines clientes pour vous entrainer pour le DS de TP.
Refaire des points du TP, tester les stratégies non traitées lors de ce TP, réviser les permissions NTFS, les partages,
etc.

M1101 – Réseaux d’entreprises – IUT1 R&T 22