Académique Documents
Professionnel Documents
Culture Documents
I. OBJECTIF
L'objectif principal d'Active Directory est de fournir des services centralisés d’identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également
l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à
jour critiques par les administrateurs.
Active Directory répertorie les éléments d'un réseau administré tels que les comptes des
utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc.
II. Installation et configuration de base
L'installation d’Active Directory se fait comme suit :
En ajoutant le rôle Service de Domaine Active Directory
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 1
Domaine dans une nouvelle forêt
Le domaine sera rsi3.local
MP = isetSF2022
Nom NetBIOS : rsi3
Les autres options seront laissées par défaut. Enfin cliquer sur "Installer".
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 2
III. Gestion des utilisateurs et des ordinateurs :
Unités organisationnelles
a) Qu'est-ce qu'une unité organisationnelle (U.O.) ?
Une unité organisationnelle (OU) ou unité d'organisation est un conteneur dans un domaine
Active Directory qui peut contenir des utilisateurs, des groupes et des ordinateurs.
b) Quelle est la différence entre une U.O. et un groupe (dans quels cas utilise-t-on
l’un et l'autre) ?
Une U.O est une entité hiérarchique qui permet d'organiser les objets dans un domaine,
alors qu'un groupe est un ensemble de machines ou d'utilisateurs avec des droits spécifiques
Sélectionnez le domaine rsi3.local puis faite un clic droit et choisissez "nouveau" puis "Unité
d'organisation".
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 3
Ajouter alors les deux UO "Etudiants" et "Centre".
Groupe
Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une
entreprise. Tous les utilisateurs et groupes existant sous Windows avant l'installation d'AD ont
été copiés dans AD.
Dans l'U.O. Etudiants, créez le groupe « rsi31 » et le groupe « rsi32 ».
Dans l'U.O. Centre, créez le groupe « responsables » et le groupe « techniciens ».
Utilisateurs :
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 4
Faire double clic sur l'utilisateur créé pour compléter sa configuration, dans l'onglet "Membre
de" ajouter le au groupe rsi31.
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 5
Tous les étudiants seront ajoutés à l’U.O Etudiants et dans le groupe rsi31 ou rsi32.
Ahmad Ben Abdallah et Issam Mtibaa seront ajoutés à l’U.O centre et dans le groupe
« techniciens ».
Saadia Karray sera ajoutée à l’U.O Centre et dans le groupe « responsables ».
- groupe local : Un groupe qui dispose d’une étendue « domaine local » peut être utilisé
uniquement dans le domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste
local au domaine où il est créé.
- groupe global : Un groupe global pourra contenir d’autres objets du domaine, et être utilisé
pour contrôler l’accès aux ressources sur le domaine local et tous les domaines approuvés.
Type :
- sécurité : Les groupes de sécurité sont les plus utilisés et ceux que vous manipulerez le
plus souvent. Ils permettent d’utiliser les groupes pour gérer les autorisations d’accès aux
ressources.
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 6
- distribution : L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais
plutôt des listes de distribution. Par exemple, créer une liste de distribution d’adresses e-
mail en ajoutant des contacts.
Avec votre client Windows, mettez l'adresse du contrôleur de domaine comme adresse du
serveur DNS principal puis intégrez votre domaine (clic droit > propriétés sur le poste de travail,
onglet nom de l'ordinateur).
Redémarrer la machine et indiquez un nom d'utilisateur du groupe rsi31 ou rsi32 pour vous
connecter.
Profils utilisateur :
Faites-en sorte que les utilisateurs du groupe rsi31 et rsi32 ne puissent se connecter que de 8h
à 18h.
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 7
Imposez à l'utilisateur de se connecter uniquement sur l'ordinateur client que vous venez
d'intégrer.
Créer un dossier "Partage" sous C: et partager le pour l'utilisateur "Elyes Gassara". Noter le
chemin de partage.
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 8
Autorisations sur un dossier partagé :
Lecture : La lecture seule permet aux utilisateurs d'afficher le contenu du dossier sans ne le
modifier ni ajouter d'autres fichiers ou dossiers
Modification : Permet aux utilisateurs de lire et d'écrire des fichiers et des sous-dossiers ; permet
également la suppression du dossier
Contrôle Total : Permet aux utilisateurs de lire, écrire, modifier et supprimer des fichiers et des
sous-dossiers. En outre, les utilisateurs peuvent modifier les paramètres d'autorisations pour
tous les fichiers et sous-répertoires
Faites en sorte que l'utilisateur Elyes Gassara ait un lecteur réseau personnel nommé P: qui
pointe vers le dossier "Partage".
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 9
Vérifier le bon fonctionnement en faisant double clic sur "Poste de travail" sur le poste client.
Profil itinérant :
Avec un profil itinérant, les données d'un utilisateur le suivent de machine en machine.
Les profils itinérants s'appuient sur le stockage des données utilisateurs sur un serveur
réseau plutôt que sur un poste de travail
La première étape consiste à créer un répertoire sous le lecteur C: que nous allons partager et
qui servira à stocker les données des profils. Par exemple, créez un répertoire nommé « Profils »
que vous partagez sous le même nom.
Dans la configuration du partage, cliquez sur « Autorisations ».
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 10
Supprimez « Tout le monde » et préférez à la place « Utilisateurs », un groupe qui englobe
vos utilisateurs de l’Active Directory. Au niveau des droits, la lecture et l’écriture vont suffire,
comme ceci :
Notez le chemin de partage et mettez-le dans les propriétés de profil de l'utilisateur "Elyes
Gassara" comme suit :
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 11
Pour tester, modifier par exemple l'arrière-plan du Bureau et ajouter un document sur le Bureau
de l'utilisateur "Elyes Gassara". Connecter vous depuis un autre ordinateur sur ce compte.
Qu'est-ce que vous constatez ?
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 12
Les objets du domaine AD :
Builtin : Ce sont des groupes créés par défauts pour assigner les utilisateurs et assurer la sécurité
des utilisateurs dans le domaine
Computers : c’est un conteneur qui contient tous les ordinateurs membre de domaine
Domain Controllers: Conteneur de serveurs
Users : Contient des utilisateurs et des groupes créés par défauts et par l’utilisateur aussi
La console gpedit.msc (à lancer depuis Démarrer > Exécuter) permet d'éditer individuellement
les stratégies de groupes locales. Cette console existe pour tous les Windows y compris les
versions clientes.
La console gpmc.msc (à lancer depuis Démarrer > Exécuter) permet une gestion centralisée des
GPO dans Active Directory. On peut aussi la trouver dans le menu Outils d'administration→
Gestion des stratégies de groupe.
Liaison des stratégies de groupe :
Après avoir créé une stratégie de groupe, elle doit être liée à un site ActiveDirectory, à un
domaine ou à une UO.
Attention, les objets enfants d'Active Directory héritent des objets
Parents ! Un utilisateur peut donc se voir appliquer plusieurs GPO.
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 13
Créer une GPO que vous nommez "strategie". On va par exemple appliquer un arrière-plan
commun à tous les utilisateurs.
Enregistrez l'arrière-plan qui vous convient dans le dossier "profils" et mettez le chemin de
partage dans le bon emplacement comme suit :
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 14
Forcer l'application des stratégies de groupe :
Activé / Appliqué :
Une stratégie de groupe est par défaut toujours activée dès sa création. Cela signifie qu'elle
fonctionne.
Le fait de l'appliquer permet de forcer cette stratégie à s'appliquer même si une stratégie enfant
vient s'y opposer.
Vérification et sauvegarde :
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 15
Créer une GPO qui permet d’appliquer un arrière-plan commun à tous les utilisateurs lors de la
connexion.
Créer une GPO qui permet d’empêcher l’accès aux commandes « arrêt ou redémarrage de
l’ordinateur »
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 16
Créer une GPO qui permet d’empêcher l’accès au shell « cmd »
Créer une GPO qui permet de bloquer tous les périphériques de stockage USB
Atelier administration des services réseaux sous Windows server [Prof : Lotfi TLILI] Page 17