Année Universitaire : 2020/2021 Semestre 2 Enseignant : KAMMOUN Anis Administration système Windows TP4 : Mise en place du contrôleur de domaine Active Directory AD sous Windows Server 2012 R2
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 1 sur 7
Présentation du service d’annuaire : Un service d'annuaire est un référentiel La différence entre un annuaire et un service d'informations sur les ressources d'annuaire, c'est que ce dernier constitue à la fois la connectées à un réseau. source d’information et les services rendant cette Source d'informations utilisée pour stocker information disponible et exploitable pour les des informations sur certains objets utilisateurs. importants (matériel, logiciel et ressources Service d’annuaire Active Directory (AD DS : humaines). Active Directory Domain Services). o Un annuaire téléphonique (informations sur des abonnés) AD DS est un service d'annuaire qui permet o Dans un système de fichiers, le aux administrateurs de créer des divisions répertoire (l'annuaire) contient des organisationnelles appelées domaines. informations sur des fichiers. Active Directory est un service d’annuaire o Dans un système d’informatique : amélioré. Il permet de gérer des utilisateurs de les utilisateurs, les imprimantes, les manière innovante, simple et efficace. Il serveurs de télécopie, les s’avère être un outil indispensable dans les applications, les bases de données, entreprises à plus ou moins grande etc. infrastructure. Il permet de centraliser et Les utilisateurs des réseaux veulent trouver d’administrer facilement les utilisateurs du et utiliser ces objets, et les administrateurs domaine. veulent contrôler leur utilisation. Avec les rôles supplémentaires on peut gérer Structure logique hiérarchique décomposée en : les certificats, gérer les autorisations sur les Objet et Attributs : fichiers des utilisateurs, permettre des o Un domaine AD DS est une structure authentifications en SSO, et avoir un service hiérarchique qui prend la forme d'une d’annuaire applicatif. arborescence, un peu comme un système de Active Directory regroupe donc Active fichiers. Directory Domain Services (ADDS), Active o Se compose d'objets, chacun représentant une Directory Certificate Services (ADCS), ressource logique ou physique du réseau Active Directory Federation Services (ADFS), Active Directory Right (ordinateur, compte utilisateur, etc). Management Services (ADRMS), Active o Chaque objet est constitué d'attributs qui Directory Lightweight Domain stockent des informations sur l'objet. Services(ADLDS).etc o Différents objets ont des attributs différents Structure logique d’Active Directory: selon leur fonction. Active Directory est un service d'annuaire o Le schéma d'annuaire définit les attributs de hiérarchique, basé sur le domaine, qui est chaque objet et les informations requises et évolutif dans les deux sens. facultatives. Un domaine est un conteneur logique de Classe : groupement logique d'objet tels les composants réseau, hébergé par au moins un comptes d'utilisateurs, ordinateurs, domaines, serveur désigné comme contrôleur de ou unités organisationnelles domaine. Unité organisationnelle : objet conteneur qui On peut subdiviser un domaine en unités permet de regrouper des objets d’un domaine d'organisation et le remplir avec des objets. AD DS fournit une architecture très flexible répondant à des critères communs (localisation pouvant accueillir les plus petites et les plus géographique, service de l’entreprise) grandes organisations.
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 2 sur 7
Exemple: Jean est responsable commercial fait partie de l’unité l’organisation du service Lorsque vous créez votre premier domaine sur un commercial. réseau Active Directory, vous créez la racine d'une Domaine : Regroupe les objets arborescence de domaine. (ordinateurs, etc) qui utilise le même Vous pouvez remplir l'arborescence avec des annuaire. domaines supplémentaires, à condition qu'ils fassent Arbre de domaines : ensemble de partie du même espace de noms contigu. domaines réorganisés hiérarchiquement Lorsque vous utilisez des noms de domaine Internet qui partagent un même espace de noms. enregistrés, vous pouvez utiliser des sous-domaines Tous les domaines d’un même arbre pour créer d'autres domaines dans l'arborescence. partagent un catalogue commun. Des relations d'approbation sont implicites
Forêt : Ensemble d’arbre ne partageant pas
un même espace de noms. Des relations d’approbation sont explicites et transitives entre les arbres. Une forêt Active Directory se compose d'une ou de plusieurs arborescences de domaines distinctes, qui ont les mêmes relations d'approbation bidirectionnelle entre elles que de deux domaines de la même arborescence. Lorsque vous créez le premier domaine sur un réseau Active Directory, vous créez une nouvelle forêt et ce premier domaine devient le domaine racine de la forêt
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 3 sur 7
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 4 sur 7
Installation du rôle AD DS
Déploiement d'AD DS De nombreuses variables peuvent affecter les performances d'une installation Active Directory: Le matériel que vous sélectionnez pour vos contrôleurs de domaine Les capacités de votre réseau Les types de liens WAN reliant vos sites distants
La page Progression de l'installation dans l'Assistant Ajouter des
rôles et des fonctionnalités
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 5 sur 7
PARTIE PRATIQUE Partie 1 : Installation du contrôleur de domaine AD 1) Donner une adresse IP fixe à votre serveur Windows2012. 2) Ajouter le rôle Services AD AS 3) Ajouter le rôle DNS 4) Promouvoir ce serveur en contrôleur de domaine 5) Sélectionnez « Ajouter une nouvelle forêt » et renseignez le « Nom de domaine racine » qui est dans ce cas ISIMA.local (vous devez au minimum y mettre un « point ») 6) Ajoutez un mot de passe fort pour DSRM 7) Indiquez le « nom de domaine NetBIOS» (ISIMA dans ce cas) 8) Laisser les autres paramètres par défaut 9) Redémarrer l’ordinateur et se connecter au domaine
Remarque 1 : Vérifier sous DNS que le domaine ISIMA est bien crée. Remarque 2 : Une fois connecté, pour vous assurer que l’installation est effective : Tableau de bord > Outils > Utilisateurs et ordinateurs Active Directory.
10) Rattachez votre poste client Seven virtuel à votre domaine en utilisant le compte de l’administrateur du contrôleur de domaine AD. (paramétrez l’adresse IP du serveur DNS de la machine Seven comme étant l’adresse du serveur DNS situé sur serveur AD 2012) 11) Vérifier que la connexion de la machine cliente sur le domaine a généré la création d'un compte ordinateur dans l’unité d’organisation (Organization Unit OU) Computers/Ordinateurs
Remarque 3 : désactiver le firewall côté client et serveur s’il y a des problèmes de connectivité réseau.
Partie 2 : Gestion de objets des services de domaines AD
Question : Qu'est-ce qu'une unité organisationnelle (U.O.) ? Question : Quelle est la différence entre une U.O. et un groupe (dans quels cas utilise-t-on l'un et l'autre)? 1) Créez les deux U.O suivantes : – Administration : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs – Etudiant : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs 2) Groupe : Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une entreprise. Dans l'U.O. Administration, créez le groupe directeur et le groupe employé. Dans l'U.O. Etudiant, créez le groupe GrpA et le groupe GrpB. 3) Utilisateurs : Chaque utilisateur devra pouvoir se connecter par le login suivant : Première lettre du prénom, nom complet, par exemple Sami Mansour devra taper : smansour Le mot de passe sera Azerty2020 – Sami Mansour sera ajouté à l'U.O Administration et dans le groupe directeur. – Jamila Dridi sera ajouté à l'U.O Administration et dans le groupe employé. – Hatem Mefteh sera ajouté à l'U.O Etudiant et dans le groupe GrpA. Remarque : vous pouvez définir un utilisateur modèle et à l’aide de l’option copié, créer les autres utilisateurs.
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 6 sur 7
4) Profils utilisateur : a) Spécifiez une plage des horaires d'accès (par exemple du 12h au 14h) pour l’utilisateur Sami Mansour et vérifiez la validité de cette configuration. b) Modifiez cette plage et vérifier de nouveau la faisabilité de la connexion. c) Donnez une date de validité du compte et vérifiez que ce critère est pris en compte. d) Reconfigurez le compte de l'utilisateur Sami Mansour et demandez le changement de mot de passe à la prochaine ouverture de session. e) Posez une limite de session inactive à 2 minutes et vérifiez que cette configuration est prise en compte. Éventuellement, déconnectez et reconnectez l'utilisateur. f) Imposez à l'utilisateur de se connecter uniquement sur l'ordinateur client que vous venez d'intégrer. g) Faites en sorte que l'utilisateur Sami Mansour ait un lecteur réseau personnel nommé P: qui pointe vers le partage \\Nom_Serveur\home\ %username% (créer et partager tout d’abord le répertoire home sous C : dans le serveur) Question : Définissez le terme « profil itinérant » : Quels sont les avantages et inconvénients des profils itinérants ? Partie 3 : Stratégies de groups GPO Question : Trouvez une définition des stratégies de groupes Windows ou (GPO : Group Policy Object). 1) Création des GPO : – menu Outils d'administration > Gestion des stratégies de groupe. “créé un objet GPO “(dans la bonne UO) → le modifier en allant sur “modifier” ( ou Pour ouvrir le Gestionnaire de stratégies de groupes plus rapidement: allez dans PowerShell et tapez: gpmc.msc) 2) Exemples de GPO Mettre en place les stratégies de groupe suivantes : a) Tout le domaine : – Interdire aux utilisateurs de partager des fichiers de leur profil (Configuration utilisateur → Modeles d’administration → Dossier Partager) – Permettre l'utilisation de mots de passe simples : minimum 5 caractères (Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de comptes → Stratégie de mot de passe → Longueur minimale du mot de passe) b) Service Administration: – Désactiver l'assistant de connexion à Internet d'Internet Explorer (Configuration utilisateur → Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver l’Assistant Connexion Internet. – Interdire la modification des paramètres de proxy d'Internet Explorer (Configuration utilisateur → Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver la modification des paramètres de proxy) c) Service Etudiant : – Masquer le lecteur D : Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs → Mappage de lecteur (lecteur : D) – Interdire l'accès à l'invite de commandes (Configuration utilisateur → Statégie → Modèles d'administration → Composants windows → Systeme → désactivé l'accès a la ligne de commande 3) Forcer l'application des stratégies de groupe : Pour forcer l'application des GPO, vous pouvez tapez sur le powershell la commande : gpupdate /force Pour vérifier le résultat de l'application des GPO, vous pouvez utiliser la commande : gpresult /h rapport.htm 4) Tests de l’application des GPO Connecter depuis le poste client avec des comptes différents et vérifiez que les stratégies s'appliquent bien aux utilisateurs des différentes unités d'organisation.
Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 7 sur 7
