A.

U : 2022-2023 Non – Prénom : TP N° 2

Sujet de travaux pratique : Administration système

Utilisateurs et ordinateurs Active

Directory
Nom : Raissi
Prénom : Ahmed
Group : RSI21

I. OBJECTIF
L'objectif principal d'Active Directory est de fournir des services centralisés d’identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également
l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à
jour critiques par les administrateurs.
Active Directory répertorie les éléments d'un réseau administré tels que les comptes des
utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc.
II. Installation et configuration de base
L'installation d’Active Directory se fait comme suit :
 En ajoutant le rôle Service de Domaine Active Directory

 A la fin de l'installation, choisir : "Promouvoir ce serveur en contrôleur de domaine".

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 1
 Domaine dans une nouvelle forêt
 Le domaine sera rsi3.local

 MP = isetSF2022
 Nom NetBIOS : rsi3
 Les autres options seront laissées par défaut. Enfin cliquer sur "Installer".

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 2
III. Gestion des utilisateurs et des ordinateurs :
 Unités organisationnelles
a) Qu'est-ce qu'une unité organisationnelle (U.O.) ?

Une unité organisationnelle (OU) ou unité d'organisation est un conteneur dans un domaine
Active Directory qui peut contenir des utilisateurs, des groupes et des ordinateurs.

b) Quelle est la différence entre une U.O. et un groupe (dans quels cas utilise-t-on
l’un et l'autre) ?

Une U.O est une entité hiérarchique qui permet d'organiser les objets dans un domaine,
alors qu'un groupe est un ensemble de machines ou d'utilisateurs avec des droits spécifiques

Créez les deux U.O suivantes :

 Etudiants
 Centre

Pour les créer suivez la démarche suivante :

Sélectionnez le domaine rsi3.local puis faite un clic droit et choisissez "nouveau" puis "Unité
d'organisation".

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 3
Ajouter alors les deux UO "Etudiants" et "Centre".
 Groupe
Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une
entreprise. Tous les utilisateurs et groupes existant sous Windows avant l'installation d'AD ont
été copiés dans AD.
 Dans l'U.O. Etudiants, créez le groupe « rsi31 » et le groupe « rsi32 ».
 Dans l'U.O. Centre, créez le groupe « responsables » et le groupe « techniciens ».

 Utilisateurs :

Chaque utilisateur devra pouvoir se connecter par le login suivant :

 Première lettre du prénom, nom complet, par exemple « Elyes Gassara » devra taper
« egassara ».
 Le mot de passe sera « isetSF2022 » par exemple.
 Les utilisateurs ne pourront pas changer de mot de passe.
Pour ajouter l'utilisateur "Elyes Gassara" par exemple dans le groupe rsi31, sélectionner le
groupe "Etudiants" et choisir "Nouveau" puis "Utilisateur".

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 4
Faire double clic sur l'utilisateur créé pour compléter sa configuration, dans l'onglet "Membre
de" ajouter le au groupe rsi31.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 5
Tous les étudiants seront ajoutés à l’U.O Etudiants et dans le groupe rsi31 ou rsi32.
 Ahmad Ben Abdallah et Issam Mtibaa seront ajoutés à l’U.O centre et dans le groupe
« techniciens ».
 Saadia Karray sera ajoutée à l’U.O Centre et dans le groupe « responsables ».

Concepts sur les groupes

Etendue : L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active

Directory, les étendues peuvent aller d’une portée uniquement sur le domaine local, mais
aussi s’étendre sur la forêt entière.

- groupe local : Un groupe qui dispose d’une étendue « domaine local » peut être utilisé
uniquement dans le domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste
local au domaine où il est créé.

- groupe global : Un groupe global pourra contenir d’autres objets du domaine, et être utilisé
pour contrôler l’accès aux ressources sur le domaine local et tous les domaines approuvés.

- groupe universel : Un groupe disposant de l’étendue « universelle » à une portée maximale

puisqu’il est accessible dans l’ensemble de la forêt, ce qui implique qu’il soit disponible sur
tous les domaines de la forêt.

Type :

- sécurité : Les groupes de sécurité sont les plus utilisés et ceux que vous manipulerez le
plus souvent. Ils permettent d’utiliser les groupes pour gérer les autorisations d’accès aux
ressources.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 6
 - distribution : L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais
plutôt des listes de distribution. Par exemple, créer une liste de distribution d’adresses e-
mail en ajoutant des contacts.

 Intégration d'un client dans un domaine :

Avec votre client Windows, mettez l'adresse du contrôleur de domaine comme adresse du
serveur DNS principal puis intégrez votre domaine (clic droit > propriétés sur le poste de travail,
onglet nom de l'ordinateur).

Redémarrer la machine et indiquez un nom d'utilisateur du groupe rsi31 ou rsi32 pour vous
connecter.

 Profils utilisateur :

Faites-en sorte que les utilisateurs du groupe rsi31 et rsi32 ne puissent se connecter que de 8h
à 18h.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 7
Imposez à l'utilisateur de se connecter uniquement sur l'ordinateur client que vous venez
d'intégrer.

Créer un dossier "Partage" sous C: et partager le pour l'utilisateur "Elyes Gassara". Noter le
chemin de partage.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 8
Autorisations sur un dossier partagé :
Lecture : La lecture seule permet aux utilisateurs d'afficher le contenu du dossier sans ne le
modifier ni ajouter d'autres fichiers ou dossiers

Modification : Permet aux utilisateurs de lire et d'écrire des fichiers et des sous-dossiers ; permet
également la suppression du dossier

Contrôle Total : Permet aux utilisateurs de lire, écrire, modifier et supprimer des fichiers et des
sous-dossiers. En outre, les utilisateurs peuvent modifier les paramètres d'autorisations pour
tous les fichiers et sous-répertoires

Faites en sorte que l'utilisateur Elyes Gassara ait un lecteur réseau personnel nommé P: qui
pointe vers le dossier "Partage".

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 9
Vérifier le bon fonctionnement en faisant double clic sur "Poste de travail" sur le poste client.

 Profil itinérant :

a) Définissez le terme « profil itinérant » :

Avec un profil itinérant, les données d'un utilisateur le suivent de machine en machine.
Les profils itinérants s'appuient sur le stockage des données utilisateurs sur un serveur
réseau plutôt que sur un poste de travail

b) Quels sont les avantages et inconvénients des profils itinérants ?

Il permet en fait de ne pas perturber l'utilisateur et conserve son environnement (favoris

IE, fond d'écran, icone sur le bureau, etc...). Et cela réalise un backup.
Inconvénients : souvent source de problèmes de synchronisation de profil (donc profil
temporaire donné à l'utilisateur loggé).

La première étape consiste à créer un répertoire sous le lecteur C: que nous allons partager et
qui servira à stocker les données des profils. Par exemple, créez un répertoire nommé « Profils »
que vous partagez sous le même nom.
Dans la configuration du partage, cliquez sur « Autorisations ».

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 10
Supprimez « Tout le monde » et préférez à la place « Utilisateurs », un groupe qui englobe
vos utilisateurs de l’Active Directory. Au niveau des droits, la lecture et l’écriture vont suffire,
comme ceci :

Notez le chemin de partage et mettez-le dans les propriétés de profil de l'utilisateur "Elyes
Gassara" comme suit :

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 11
Pour tester, modifier par exemple l'arrière-plan du Bureau et ajouter un document sur le Bureau
de l'utilisateur "Elyes Gassara". Connecter vous depuis un autre ordinateur sur ce compte.
Qu'est-ce que vous constatez ?

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 12
Les objets du domaine AD :
Builtin : Ce sont des groupes créés par défauts pour assigner les utilisateurs et assurer la sécurité
des utilisateurs dans le domaine
Computers : c’est un conteneur qui contient tous les ordinateurs membre de domaine
Domain Controllers: Conteneur de serveurs
Users : Contient des utilisateurs et des groupes créés par défauts et par l’utilisateur aussi

IV. Stratégies de groupes

Trouvez une définition des stratégies de groupes Windows ou (GPO : Group Policy Object) :
Un Group Policy Object (GPO) est un ensemble de paramètres disponibles pour définir la
configuration des utilisateurs ou des ordinateurs.

Les trois phases de la création d'une GPO sont les suivantes :

 Création de la GPO
 Liaison de la GPO
 Application de la GPO

 Création des GPO :

La console gpedit.msc (à lancer depuis Démarrer > Exécuter) permet d'éditer individuellement
les stratégies de groupes locales. Cette console existe pour tous les Windows y compris les
versions clientes.
La console gpmc.msc (à lancer depuis Démarrer > Exécuter) permet une gestion centralisée des
GPO dans Active Directory. On peut aussi la trouver dans le menu Outils d'administration→
Gestion des stratégies de groupe.
 Liaison des stratégies de groupe :
Après avoir créé une stratégie de groupe, elle doit être liée à un site ActiveDirectory, à un
domaine ou à une UO.
Attention, les objets enfants d'Active Directory héritent des objets
Parents ! Un utilisateur peut donc se voir appliquer plusieurs GPO.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 13
Créer une GPO que vous nommez "strategie". On va par exemple appliquer un arrière-plan
commun à tous les utilisateurs.

Enregistrez l'arrière-plan qui vous convient dans le dossier "profils" et mettez le chemin de
partage dans le bon emplacement comme suit :

Vous pouvez désactiver l'accès à l'invite de commande comme suit :

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 14
  Forcer l'application des stratégies de groupe :

Le client de stratégie de groupe du poste récupère la configuration (par défaut au bout de 60 à

120 minutes) qui est applicable à l’ordinateur et/ou à l’utilisateur connecté.
Pour forcer l'application des GPO, vous pouvez utiliser la commande : gpupdate /force
Pour vérifier le résultat de l'application des GPO, vous pouvez utiliser la commande :
gpresult/h rapport.htm

 Activé / Appliqué :

Une stratégie de groupe est par défaut toujours activée dès sa création. Cela signifie qu'elle
fonctionne.
Le fait de l'appliquer permet de forcer cette stratégie à s'appliquer même si une stratégie enfant
vient s'y opposer.

 Vérification et sauvegarde :

Forcez la mise à jour des GPO (commande gpupdate).

Vérifiez que les stratégies s'appliquent bien aux utilisateurs des différentes unités
d'organisation.
Si les GPO ont bien fonctionné, dans la partie Objets de stratégies de groupes, sauvegardez
toutes les GPO sur votre Bureau.

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 15
Créer une GPO qui permet d’appliquer un arrière-plan commun à tous les utilisateurs lors de la
connexion.

Créer une GPO qui permet d’empêcher l’accès aux commandes « arrêt ou redémarrage de
l’ordinateur »

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 16
Créer une GPO qui permet d’empêcher l’accès au shell « cmd »

Créer une GPO qui permet de bloquer tous les périphériques de stockage USB

Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 17