Entreprise MIT

Rapport projet d’examen

finale
Implémentation et administration du service d'annuaire MIT. Cas
de MIT.IT

Saint-fort Celestino BALALOU KAMBO Master 1 – Systèmes d’information et aide à la décision

24/07/2019
 Sommaires

I. Introduction ................................................................................................................................ 2
II. L’Architecture de l’existant .................................................................................................. 3
III. Installation et configuration du Contrôleur de domaine .............................................. 4
IV. Déploiement GPO ..................................................................................................................... 6
V. Backup de l’annuaire PowerShell ..................................................................................... 15
VI. Conclusion ................................................................................................................................ 18

1
 I. Introduction
Ce travail est basé essentiellement sur les tâches d'administration nécessaires pour maintenir une
infrastructure Windows Server 2012. Nous allons vous montrer en quelques ligne comment
mettre en place et configurer un AD DS, un serveur DNS, la création des objets, de l’intégration
des postes de travail dans un domaine tout en passant par le déploiement des Group Policy Object
(GPO) sans oublier l’architecture de l’existant.
Pour rappel :
L'AD DS (Active Directory Domain services) : L'active Directory permet de gérer les comptes
utilisateurs ainsi que les ressources. Ce rôle sert aussi à organiser de façon hiérarchique les
éléments d’un réseau tels que les utilisateurs, les ordinateurs et autres périphériques. Le serveur
qui va exécuter l’ADDS se nomme : contrôleur de domaine.
Le DNS (Domain Name System) : Un serveur DNS est en quelque sorte un annuaire pour
ordinateur. Lorsque vous voulez accéder à un ordinateur dans le réseau, votre ordinateur va
interroger le serveur DNS pour récupérer l’adresse de l’ordinateur que vous voulez joindre. Une
fois, que votre ordinateur aura récupéré l’adresse du destinataire, il pourra le joindre directement
avec son adresse IP.
Les GPO (Group Policy Object) : Les GPO sont des règles que l'on peut appliquer à des
utilisateurs, groupes ou OU (Unité d'Organisation) présent dans un annuaire Active Directory.
Cela suppose donc qu'il y ait un domaine de configuré sur notre serveur.

2
 II. L’Architecture de l’existant
1. L’Arborescence représentatif des objets du contrôleur de domaine

MIT.IT

MITUSEURS

Ordinateurs

Utilisateurs

DG

Compta

Online

DSI

MITADMIN

Ordinateurs

Utilisateurs

2. Architecture réseau
On travaillera avec le réseau privée 192.168.1.x /24 segmenté en 3 sous réseaux distinct :
- Réseau MITUSERS : 192.168.1.0 /24 ;
- Réseau MITSERVERS : 192.168.1.128 /27 ;
- Réseau MITADMIN : 192.168.1.160 /29.

3
 ADDS/DNS
MIT.IT

192.1.168.160 /27

192.1.168.160 /29

192.1.168.0 /24

III. Installation et configuration du Contrôleur de domaine

1. Installation de l'ADDS et le DNS
Les pré requis :
- Cd Windows serveur 2012 ;
- Cd Windows 7 pro.
Une fois Windows serveur 2012 installé sur le serveur « srv-MIT ».
Depuis le panneau de configuration Windows Server 2012 cliquer sur "Gérer" puis "Ajoutez des
rôles et fontionnalités".
Cliquer sur suivant jusqu’à tomber sur "Pool de serveur".
Sélectionnez le serveur « srv-MIT » puis sélectionnez « Services AD DS ».
Validez jusqu’à l'installation puis cliquer sur « Installer ».
Une fois le service installé, assignez un mot de passe au compte administrateur.
Cliquer alors sur « Promouvoir ce service en contrôleur de domaine » Sélectionner « Ajouter
une nouvelle forêt » et entrez votre nom de domaine parent (ici « MIT.IT ») cliquer sur suivant.
4
Ensuite entrez un mot de passe DSRM et validez jusqu’à lancer l’installation puis fermer
Attendez que l'installation se termine, le serveur va se redémarrer.
Reconnectez-vous avec vos identifiants (ici MIT\Administrateur) et votre mot de passe.

L’Active Directory est maintenant configuré et prêt à l'emploi ainsi que votre DNS qui s'est créé
par la même occasion.

2. Création des objets

5
Nous allons plus travailler avec les conteneurs représentés dans la partie II.1 en prélude de la mise
en œuvre des Objets de groupes.
- Création UO et sous UO suivant l’arborescence existante.
Dans « outils » sous le gestionnaire de serveur cliquer sur « Utilisateurs et ordinateurs
Active Directory », clic droit sur la racine foret MIT.IT puis « nouveau » enfin « unité
d’organisation ».
Pour les sous UO placez-vous sur les UO parent et répétez les mêmes étapes de création.
- Création des utilisateurs se fait exactement comme pour les conteneurs.
Dans « outils » sous le gestionnaire de serveur cliquer sur « Utilisateurs et ordinateurs
Active Directory », clic droit sur l’UO adéquate puis « nouveau » enfin « utilisateur ».

IV. Déploiement GPO

En quelques ligne les exemples de GPO:

Mapper des lecteurs réseaux.

Empêcher d'effectuer certaines modifications (tel que changer le fond d'écran du bureau)

Imposer une stratégie de mot de passe (longueur, casse, ...).

Masquer des icônes sur le bureau

Déployer un logiciel
Pour notre projet nous allons nous attardez sur les deux premiers exemples.
Commençons par empêcher les utilisateurs à effectuer des modifications sur le fond
d’écran du bureau.
Dans cette partie qu’au démarrage nous allons déployer le fond d’écran ci-dessous sur
tous les postes de travail et empêcher qu’un utilisateur le modifie.

6
Les étapes de réalisation.
a. Préparer l’hébergement du fichier
Vous devez commencer par créer un partage pour héberger le fichier du fond
d’écran, il doit être accessible par le réseau par les postes clients. Etant donné qu’il
s’agit d’une stratégie « ordinateur », vous devez attribuer les droits de lecture au
groupe « Ordinateurs du domaine » pour qu’il puisse venir chercher le fichier

b. Créer les paramètres pour copier le fichier

Sur le contrôleur de domaine MIT.IT, créez une nouvelle GPO que l’on appellera
« peint » dans notre cas. Une fois créer fait un clic droit sur le GPO « peint » puis
cliquer sur « modifier », la fenêtre « Editeur de gestion des stratégies de groupe »
s’ouvre. Créer un nouveau fichier, sous « Configuration ordinateur », «
Préférences », « Paramètres Windows » et « Fichiers ».
Sélectionnez l’action « Créer » puisque ce fichier n’existe pas, et pour le fichier
source indiquez le chemin vers le fichier image qui est sur votre partage. Pour le
fichier de destination, indiquez où vous souhaitez copier le fichier sur l’ordinateur,
en local.
Pour ma part, j’indique « C:\Windows\Web\Wallpaper\mit.jpg » pour le copier
dans le répertoire où Windows stocke par défaut l’ensemble des fonds d’écran.

7
 Dans l’onglet « Commun », vous devez cocher « Appliquer une fois et ne pas
réappliquer » pour ne pas que le fond d’écran soit copié à chaque fois.

c. Appliquer le fond d’écran

Un paramètre nommé « Papier peint du Bureau » doit être activé, il se situe dans :
Configuration utilisateur, Modèles d’administration, Bureau, Bureau.
Vous devez l’activer, et indiquer le nom du papier peint, ou plutôt le chemin vers
lequel on pourra le trouver, en l’occurrence ici un chemin local. Enfin, vous
8
 pouvez également choisir le style du papier peint, pour décider s’il est en
mosaïque, centré dans l’écran, étiré…

d. Test
Il ne reste plus qu’à lier et appliquer la GPO sur l’OU concernée et, vous pouvez
tester sur un de vos postes de travail avec un utilisateur concerné, vous devriez
voir apparaître le fond d’écran
Allez sur le poste client (ici on utilisera pour notre cas le poste du technicien « ws-
dsi-kevin ») et l’intégré au domaine.

9
10
On peut vérifier que le poste de travail est bien intégré au domaine.

Une le poste de travail redémarré connectez-vous avec la session « MIT\kevin »

avec le bon mot de passe et la magie s’opère…

11
 Le déploiement est désormais fonctionnel, vos postes de travail pourront avoir un
fond d’écran unifié.
Mapper des lecteurs réseaux
Nous allons créer un lecteur réseau (ici « Commun » commun à tous les utilisateurs du
domaine) déployé depuis un GPO, cette politique est très importante pour les partage de
fichier dans les conteneur (UO). Ce model peut être utiliser pour créer d’autre lecteur
interne aux différents départements et services.
Les étapes de réalisation.
a. Création du lecteur
Le lecteur en question est en réalité un dossier que l'on va partager puis que l'on
connectera sur les postes sous forme de lecteur réseau. L'avantage de la GPO est qu'il
n'y aura pas besoin de passer sur tous les postes pour le connecter, elle va
s'appliquer chez tous les utilisateurs/groupes/OU que l'on aura paramétrés.
L’emplacement du dossier sur le serveur srv-MIT dans notre cas est « C:\Commun »

12
b. Création de la GPO
Toujours sur le serveur, lancez le « Gestionnaire de serveur ». Allez ensuite dans
Outils puis Gestion des stratégies de groupe.
Une nouvelle fenêtre se lance. Dans la partie de gauche, Dépliez les onglets, jusqu'à
avoir l'affichage suivant.
Faîtes ensuite Clic droit sur votre domaine (ici MIT.IT) et choisissez « Créer un
objet GPO dans ce domaine, et le lier ici... ». Donnez un nom à votre GPO puis
faîtes « OK ». Une nouvelle GPO doit alors apparaître en dessous de « Default
Domain Policy » avec le nom que vous lui avez donné.
Une fois celle-ci créée, faîtes Clic droit dessus puis « Modifier ». Allez
dans « Configuration utilisateur », « Préférences », « Paramètres Windows » et
« Mappages de lecteurs ».
La partie de droite de la fenêtre affiche alors en gros « Mappages de lecteurs ». Faîtes
Clic droit dans cette partie puis choisissez « Nouveau » et enfin « Lecteur Mappé ».
Une nouvelle fenêtre s'ouvre et c'est ici que tout se joue...
Dans action choisissez « Mettre à jour ». Pour l'emplacement, il faut indiquer le
chemin réseau que nous avons obtenu un peu plus haut (« \\srv-MIT\Commun »).
Cocher la case « Reconnecter » et donner le nom que vous souhaitez pour le
libéllé (« Commun » dans notre cas).
Vous avez ensuite la possibilité de choisir lettre qu'aura le lecteur (les options
parlent d'elle mêmes).
Enfin cochez « Afficher ce lecteur » et « Afficher tous les lecteurs ».

13
Appliquez les paramètres puis faîtes « OK ». Vous verrez alors qu'une nouvelle ligne
s'est ajoutée, dans la partie « Mappages de lecteurs ».

14
 Lier et appliquer le GPO aux UOs MITUSERS et MITADMIN.
c. Test
Redémarrer le poste client « ws-dsi-kevin »

Au cas où le lecteur n’est pas monté, ouvrir l’invite de commande et taper

« gpupdate /force » pour forcer le déploiement.
V. Backup de l’annuaire e PowerShell
Dans cette partie nous utiliserons l’outil csvde pour le backup de l’annuaire.
Pour rappel :
Csvde est un outil en ligne de commande qui exporte ou importe des objets Active Directory
dans ou à partir d'un fichier de valeurs séparées par une virgule (.csv).
Vous ne pouvez pas utiliser csvde pour importer des mots de passe, car les mots de passe d'un
fichier .csv ne sont pas protégés. Par conséquent, les comptes d'utilisateurs créent avec csvde ont
un mot de passe vide et sont désactivés.
Les options :

-f : permet de spécifier le fichier de destination

-d : spécifie l’unité d’organisation dans lequel je vais chercher.

-r : le type d’Object que je souhaite importer
NB: csvde ne modifier pas les informations dans l’annuaire.
Les étapes pour la mise en œuvre

15
a. Créer le dossier pour le backup
Création dossier dans « C:\Backup »

b. Lancer le script de sauvegarde sous PowerShell

Démarrer PowerShell et placez-vous à l’emplacement crée ci-dessus.
Puis lancer la commande « csvde –f backup24072019.csv »

16
c. Vérifier si la sauvegarde s’est effectuée

17
 VI. Conclusion
En définitif, nous avons fait le contour de l’administration nécessaires pour maintenir une
infrastructure Windows Server 2012, telles que la mise en œuvre des GPOs, la gestion des
utilisateurs et des groupes avec AD DS tout établissant un plan de secours via la sauvegarde
journalière de l’annuaire avec l’outil csvde sous PowerShell.

18