Vous êtes sur la page 1sur 7

Institut Supérieur d’Informatique de Mahdia

Classes : LCE-IRS 2 C et LCE-IRS 2 D


Année Universitaire : 2020/2021 Semestre 2
Enseignant : KAMMOUN Anis
Administration système Windows
TP4 : Mise en place du contrôleur de domaine Active Directory AD sous Windows
Server 2012 R2

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 1 sur 7


Présentation du service d’annuaire :
 Un service d'annuaire est un référentiel  La différence entre un annuaire et un service
d'informations sur les ressources d'annuaire, c'est que ce dernier constitue à la fois la
connectées à un réseau. source d’information et les services rendant cette
 Source d'informations utilisée pour stocker information disponible et exploitable pour les
des informations sur certains objets utilisateurs.
importants (matériel, logiciel et ressources Service d’annuaire Active Directory (AD DS :
humaines). Active Directory Domain Services).
o Un annuaire téléphonique
(informations sur des abonnés)  AD DS est un service d'annuaire qui permet
o Dans un système de fichiers, le aux administrateurs de créer des divisions
répertoire (l'annuaire) contient des organisationnelles appelées domaines.
informations sur des fichiers.  Active Directory est un service d’annuaire
o Dans un système d’informatique : amélioré. Il permet de gérer des utilisateurs de
les utilisateurs, les imprimantes, les manière innovante, simple et efficace. Il
serveurs de télécopie, les s’avère être un outil indispensable dans les
applications, les bases de données, entreprises à plus ou moins grande
etc. infrastructure. Il permet de centraliser et
 Les utilisateurs des réseaux veulent trouver d’administrer facilement les utilisateurs du
et utiliser ces objets, et les administrateurs domaine.
veulent contrôler leur utilisation.
 Avec les rôles supplémentaires on peut gérer Structure logique hiérarchique décomposée en :
les certificats, gérer les autorisations sur les  Objet et Attributs :
fichiers des utilisateurs, permettre des o Un domaine AD DS est une structure
authentifications en SSO, et avoir un service hiérarchique qui prend la forme d'une
d’annuaire applicatif. arborescence, un peu comme un système de
 Active Directory regroupe donc Active
fichiers.
Directory Domain Services (ADDS), Active
o Se compose d'objets, chacun représentant une
Directory Certificate Services (ADCS),
ressource logique ou physique du réseau
Active Directory Federation Services
(ADFS), Active Directory Right (ordinateur, compte utilisateur, etc).
Management Services (ADRMS), Active o Chaque objet est constitué d'attributs qui
Directory Lightweight Domain stockent des informations sur l'objet.
Services(ADLDS).etc o Différents objets ont des attributs différents
Structure logique d’Active Directory: selon leur fonction.
 Active Directory est un service d'annuaire o Le schéma d'annuaire définit les attributs de
hiérarchique, basé sur le domaine, qui est chaque objet et les informations requises et
évolutif dans les deux sens. facultatives.
 Un domaine est un conteneur logique de  Classe : groupement logique d'objet tels les
composants réseau, hébergé par au moins un comptes d'utilisateurs, ordinateurs, domaines,
serveur désigné comme contrôleur de ou unités organisationnelles
domaine.
 Unité organisationnelle : objet conteneur qui
 On peut subdiviser un domaine en unités
permet de regrouper des objets d’un domaine
d'organisation et le remplir avec des objets.
 AD DS fournit une architecture très flexible répondant à des critères communs (localisation
pouvant accueillir les plus petites et les plus géographique, service de l’entreprise)
grandes organisations.

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 2 sur 7


Exemple: Jean est responsable commercial  fait
partie de l’unité l’organisation du service Lorsque vous créez votre premier domaine sur un
commercial. réseau Active Directory, vous créez la racine d'une
 Domaine : Regroupe les objets arborescence de domaine.
(ordinateurs, etc) qui utilise le même Vous pouvez remplir l'arborescence avec des
annuaire. domaines supplémentaires, à condition qu'ils fassent
 Arbre de domaines : ensemble de partie du même espace de noms contigu.
domaines réorganisés hiérarchiquement Lorsque vous utilisez des noms de domaine Internet
qui partagent un même espace de noms. enregistrés, vous pouvez utiliser des sous-domaines
Tous les domaines d’un même arbre pour créer d'autres domaines dans l'arborescence.
partagent un catalogue commun. Des
relations d'approbation sont implicites

 Forêt : Ensemble d’arbre ne partageant pas


un même espace de noms. Des relations
d’approbation sont explicites et transitives
entre les arbres.
 Une forêt Active Directory se compose
d'une ou de plusieurs arborescences de
domaines distinctes, qui ont les mêmes
relations d'approbation bidirectionnelle
entre elles que de deux domaines de la
même arborescence.
 Lorsque vous créez le premier domaine sur
un réseau Active Directory, vous créez une
nouvelle forêt et ce premier domaine
devient le domaine racine de la forêt

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 3 sur 7


Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 4 sur 7


Installation du rôle AD DS

Déploiement d'AD DS
De nombreuses variables peuvent affecter les
performances d'une installation Active Directory:
 Le matériel que vous sélectionnez pour
vos contrôleurs de domaine
 Les capacités de votre réseau
 Les types de liens WAN reliant vos sites
distants

La page Progression de l'installation dans l'Assistant Ajouter des


rôles et des fonctionnalités

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 5 sur 7


PARTIE PRATIQUE
Partie 1 : Installation du contrôleur de domaine AD
1) Donner une adresse IP fixe à votre serveur Windows2012.
2) Ajouter le rôle Services AD AS
3) Ajouter le rôle DNS
4) Promouvoir ce serveur en contrôleur de domaine
5) Sélectionnez « Ajouter une nouvelle forêt » et renseignez le « Nom de domaine racine » qui est
dans ce cas ISIMA.local (vous devez au minimum y mettre un « point »)
6) Ajoutez un mot de passe fort pour DSRM
7) Indiquez le « nom de domaine NetBIOS» (ISIMA dans ce cas)
8) Laisser les autres paramètres par défaut
9) Redémarrer l’ordinateur et se connecter au domaine

Remarque 1 : Vérifier sous DNS que le domaine ISIMA est bien crée.
Remarque 2 : Une fois connecté, pour vous assurer que l’installation est effective : Tableau de bord > Outils
> Utilisateurs et ordinateurs Active Directory.

10) Rattachez votre poste client Seven virtuel à votre domaine en utilisant le compte de l’administrateur
du contrôleur de domaine AD. (paramétrez l’adresse IP du serveur DNS de la machine Seven comme
étant l’adresse du serveur DNS situé sur serveur AD 2012)
11) Vérifier que la connexion de la machine cliente sur le domaine a généré la création d'un compte
ordinateur dans l’unité d’organisation (Organization Unit OU) Computers/Ordinateurs

Remarque 3 : désactiver le firewall côté client et serveur s’il y a des problèmes de connectivité réseau.

Partie 2 : Gestion de objets des services de domaines AD


Question : Qu'est-ce qu'une unité organisationnelle (U.O.) ?
Question : Quelle est la différence entre une U.O. et un groupe (dans quels cas utilise-t-on l'un et l'autre)?
1) Créez les deux U.O suivantes :
– Administration : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs
– Etudiant : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs
2) Groupe :
Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une entreprise.
 Dans l'U.O. Administration, créez le groupe directeur et le groupe employé.
 Dans l'U.O. Etudiant, créez le groupe GrpA et le groupe GrpB.
3) Utilisateurs :
Chaque utilisateur devra pouvoir se connecter par le login suivant : Première lettre du prénom, nom complet,
par exemple Sami Mansour devra taper : smansour
Le mot de passe sera Azerty2020
– Sami Mansour sera ajouté à l'U.O Administration et dans le groupe directeur.
– Jamila Dridi sera ajouté à l'U.O Administration et dans le groupe employé.
– Hatem Mefteh sera ajouté à l'U.O Etudiant et dans le groupe GrpA.
Remarque : vous pouvez définir un utilisateur modèle et à l’aide de l’option copié, créer les autres
utilisateurs.

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 6 sur 7


4) Profils utilisateur :
a) Spécifiez une plage des horaires d'accès (par exemple du 12h au 14h) pour l’utilisateur Sami Mansour
et vérifiez la validité de cette configuration.
b) Modifiez cette plage et vérifier de nouveau la faisabilité de la connexion.
c) Donnez une date de validité du compte et vérifiez que ce critère est pris en compte.
d) Reconfigurez le compte de l'utilisateur Sami Mansour et demandez le changement de mot de passe à
la prochaine ouverture de session.
e) Posez une limite de session inactive à 2 minutes et vérifiez que cette configuration est prise en compte.
Éventuellement, déconnectez et reconnectez l'utilisateur.
f) Imposez à l'utilisateur de se connecter uniquement sur l'ordinateur client que vous venez d'intégrer.
g) Faites en sorte que l'utilisateur Sami Mansour ait un lecteur réseau personnel nommé P: qui pointe
vers le partage \\Nom_Serveur\home\ %username% (créer et partager tout d’abord le répertoire home
sous C : dans le serveur)
Question : Définissez le terme « profil itinérant » : Quels sont les avantages et inconvénients des profils
itinérants ?
Partie 3 : Stratégies de groups GPO
Question : Trouvez une définition des stratégies de groupes Windows ou (GPO : Group Policy Object).
1) Création des GPO :
– menu Outils d'administration > Gestion des stratégies de groupe. “créé un objet GPO “(dans la bonne UO)
→ le modifier en allant sur “modifier” ( ou Pour ouvrir le Gestionnaire de stratégies de groupes plus
rapidement: allez dans PowerShell et tapez: gpmc.msc)
2) Exemples de GPO
Mettre en place les stratégies de groupe suivantes :
a) Tout le domaine :
– Interdire aux utilisateurs de partager des fichiers de leur profil (Configuration utilisateur →
Modeles d’administration → Dossier Partager)
– Permettre l'utilisation de mots de passe simples : minimum 5 caractères (Configuration ordinateur
→ Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de comptes → Stratégie
de mot de passe → Longueur minimale du mot de passe)
b) Service Administration:
– Désactiver l'assistant de connexion à Internet d'Internet Explorer (Configuration utilisateur →
Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver
l’Assistant Connexion Internet.
– Interdire la modification des paramètres de proxy d'Internet Explorer (Configuration utilisateur
→ Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver
la modification des paramètres de proxy)
c) Service Etudiant :
– Masquer le lecteur D : Configuration utilisateur → Préférences → Paramètres Windows →
Mappages de lecteurs → Mappage de lecteur (lecteur : D)
– Interdire l'accès à l'invite de commandes (Configuration utilisateur → Statégie → Modèles
d'administration → Composants windows → Systeme → désactivé l'accès a la ligne de commande
3) Forcer l'application des stratégies de groupe :
Pour forcer l'application des GPO, vous pouvez tapez sur le powershell la commande :
 gpupdate /force
Pour vérifier le résultat de l'application des GPO, vous pouvez utiliser la commande :
 gpresult /h rapport.htm
4) Tests de l’application des GPO
Connecter depuis le poste client avec des comptes différents et vérifiez que les stratégies s'appliquent bien aux
utilisateurs des différentes unités d'organisation.

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 7 sur 7

Vous aimerez peut-être aussi