Vous êtes sur la page 1sur 31

TP2

REALISER PAR MOUHAMED KADSSAMI ET ZAKARIA KASMI

1-Créer un compte d’utilisateur en mode


commande :
dsadd user <UserDN> [-samid<SAMName>] -pwd {<Password>|*}

Créer un groupe local en mode commande :


net localgroup <GroupName> /add

Créer groupe globale en mode commande :


dsadd group <GroupDN> -samid<SAMName> -secgrp {yes|no} -scope {g}

2-Créer une nouvelle unité d’organisation


Pour créer une nouvelle unité d’organisation à l’aide de l’interface Windows
1. Pour ouvrir Utilisateurs et ordinateurs Active Directory, cliquez sur Démarrer et sur Panneau
de configuration, double-cliquez sur Outils d’administration, puis sur Utilisateurs et
ordinateurs Active Directory.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le nom de domaine.
3. Pointez sur Nouveau, puis cliquez sur Unité d’organisation.
4. Tapez le nom de l’unité d’organisation.
Pour créer une nouvelle unité d’organisation à l’aide d’une ligne de
commande
1. Pour ouvrir une invite de commandes, cliquez sur Démarrer, puis sur Exécuter, tapez cmd,
puis cliquez sur OK.
2. Tapez la commande suivante et appuyez sur Entrée :
dsadd ou <OrganizationalUnitDN> dc=non de domaine

3- Création
et gestion des stratégies de
groupe(GPO)
Et Comment appliquer une stratégie de
groupe au utilisateur
Les stratégies de groupe sont généralement utilisées pour restreindre les actions et les risques potentiels
comme le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation
de l’utilisation de certains exécutables, etc.
Pour créer des stratégies de groupe, rendez-vous dans la gestion de stratégie de groupe. Ici sont
présentes les unités d’organisations.
Ensuite, clic droit sur l’UO concernée (ici Maison Des Ligues), puis Créer un objet GPO dans ce
domaine, et le lier ici…
Il faut maintenant donner un nom au nouvel objet GPO.
Une fois l’objet GPO créé, clic droit dessus puis Modifer.
Cette page sert à la gestion de la stratégie de groupe sélectionnée. Dans les dossiers déroulants à
gauche se trouvent toutes les options de restrictions possibles de windows server 2012.
Je vous propose un exemple de l’utilisation des GPO : Le déploiement de fond d’écran. Pour cela
suivez l’arborescence suivante :
Configuration utilisateur
Stratégies
Modèle d’administration
Bureau
Bureau
Double cliquez sur « Papier peint du bureau »
Il suffit maintenant d’indiquer le chemin d’accès au papier peint dans Nom du papier peint. Il est
préférable d’utiliser un chemin d’accès réseau. Ensuite Activé puis OK. Apres avoir paramétré toutes
les GPO que vous avez besoin, vous pouvez fermer l’éditeur de gestion des stratégies de groupe.
Ne pas oublier d’appliquer la stratégie de groupe, pour cela, clic droit sur la GPO puis Appliqué.
Ensuite ouvrez une fenêtre CMD et exécutez la commande gpupdate /force pour forcer la mise à jour
des stratégies de groupe.

Délégation de contrôle Active Directory


Dans certaines organisations, il arrive que le besoin de déléguer certaines
opérations à des personnes ne faisant pas partie de l’IT ou de séparer les
rôles de l’IT se présente. En général il s’agit de déléguer une opération
spécifique de l’administration d’un environnement, comme :
-          réinitialiser un mot de passe, par exemple pour les chefs de service
-          ajouter des postes à un domaine, pour l’équipe qui gère le
déploiement des postes.
Il est possible au niveau Active Directory de déléguer certaines
opérations sans être obligé de mettre des droits étendus.
Dans le premier exemple nous allons déléguer le droit de modifier les
mots de passe utilisateurs à « ydurand » depuis la console « Utilisateurs
et Ordinateurs Active Directory » :
 
 

 
Dans ce 2ème exemple nous allons voir comment déléguer le droit de
joindre un poste au domaine.
 

 
 

 
Nous allons voir ce que l’assistant « délégation de contrôle» a modifié.
Pour cela nous allons dans les propriétés d’affichage sélectionné l’option
« Fonctionnalités avancées ».

Une fois les fonctionnalités avancées activées, nous disposons d’un accès
à l’onglet sécurité. Nous retrouvons l’utilisateur « pdupont » auquel
nous avons attribué le droit d’ajouter un poste dans le domaine.
En regardant les détails nous constatons que l’utilisateur dispose de
l’autorisation « créer des objets ordinateur » :
 
 
Dans un environnement de production il est recommandé de créer des
délégations de droit sur des groupes plutôt que sur les utilisateurs. Ceci
permet de simplifier la gestion, lorsque des personnes changent de poste.

 Création du lecteur résaux Z :


Le lecteur en question est en réalité un dossier que l'on va partager puis que l'on
connectera sur les postes sous forme de lecteur réseau. L'avantage de la GPO est qu'il
n'y aura pas besoin de passer sur tous les postes  pour le connecter, elle va
s'appliquer chez tous les utilisateurs/groupes/OU que l'on aura paramétrés. Ceux-ci
auront alors automatiquement le lecteur de connecté.
Les manipulations que je vais expliquer sont à faire sur le serveur.
On commence donc d'abord par créer un dossier, que j'appelle ici "Dossier_Mappé".
Il va falloir ensuite le partager. Pour cela, faîtes Clic Droit sur le dossier en question puis
allez dans "Propriétés". Allez sur l'onglet "Partage" puis cliquez sur "Partager".
Une nouvelle fenêtre s'ouvrira et vous pourrez choisir avec qui vous voulez partager ce
dossier. Les utilisateurs que vous sélectionnerez ici, et selon les droits associés à leur
droite, pourrons accéder à ce dossier en tapant le " Chemin réseau" (visible dans l'image
ci-dessous) dans leur explorateur Windows. Une fois ceux-ci choisi, cliquez sur "Partager"
puis "Terminé".
Vous reviendrez alors sur l'onglet "Partage" et le chemin réseau du dossier sera alors
visible. Je vous conseille de le copier car nous en aurons besoin plus tard.

Création de la GPO
Toujours sur le serveur, lancez le  Gestionnaire de serveur. Allez ensuite dans Outils
> Gestion des stratégies de groupe.
Une nouvelle fenêtre se lance. Dans la partie de gauche, Dépliez les onglets, jusqu'à
avoir l'affichage suivant.

Faîtes ensuite Clic droit sur votre domaine (ici maison.local) et choisissez " Créer un
objet GPO dans ce domaine, et le lier ici... ". Donnez un nom à votre GPO puis faîtes
"OK". Une nouvelle GPO doit alors apparaître en dessous de "Default Domain Policy"
avec le nom que vous lui avez donné.

Remarque: Si vous avez beaucoup de GPO, vous pouvez aussi les ranger dans des
dossiers (OU) : Clic droit, "Nouvelle unité d'organisation", puis vous créer votre GPO
dedans.
Une fois celle-ci créée, faîtes Clic droit dessus puis "Modifier". Allez dans  Configuration
utilisateur > Préférences > Paramètres Windows > Mappages de lecteurs.
La partie de droite de la fenêtre affiche alors en gros "Mappages de lecteurs". Faîtes Clic
droit dans cette partie puis choisissez "Nouveau" et enfin "Lecteur Mappé".
Une nouvelle fenêtre s'ouvre et c'est ici que tout se joue...
Parmis, les actions, il y en a 4. Je vous conseille de choisir " Mettre à jour".
Pour l'emplacement, il faut indiquer le chemin réseau  que nous avons obtenu dans la
partie 1.2.
Cocher la case "Reconnecter" et donner le nom que vous souhaitez pour le libéllé.
Vous avez ensuite la possibilité de choisir lettre qu'aura le lecteur  (les options parlent
d'elle mêmes).
Enfin cochez "Afficher ce lecteur" et "Afficher tous les lecteurs" .
Appliquez les paramètres puis faîtes "OK". Vous verrez alors qu'une nouvelle ligne s'est
ajoutée, dans la partie "Mappages de lecteurs".

Vous pouvez fermer cette fenêtre et revenir à celle listant vos GPO.
Dans la partie de droite, en bas, vous pouvez choisir sur qui cette GPO va s'appliquer
(utilisateurs, groupes, OU). Vous n'avez qu'à cliquer sur ajouter puis entrer les noms
souhaités et faire "OK".
Faîtes ensuite Clic droit sur votre GPO et cocher "Appliqué" . Cette étape permet
d'activer la GPO qui ne s'exécutera pas dans le cas contraire.
La GPO étant activée et correctement paramétrée , nous allons à présent passer sur les
postes utilisateurs.

Application de la GPO
Pour que la GPO s'applique sur le poste,  il vous suffit de le redémarrer . Après
redémarrage, ouvrez votre explorateur Windows, allez dans Ordinateur  et votre lecteur
sera présent.
Toutefois, si le lecteur n'apparaît pas, ouvrez une fenêtre de commande (Combinaison de
touches Windows + R, puis tapez cmd) et écrivez  gpupdate /force puis appuyez sur
ENTREE.

A la fin, la console vous demandera de fermer la session, entrez O (la lettre et non le
chiffre) et appuyez sur ENTREE. Lorsque vous vous reconnecterez, le lecteur sera
présent dans l'onglet Ordinateur.
Si ce n'est toujours pas le cas, vérifiez votre configuration et que la GPO soit bien
appliquée.
5
 

ACCUEIL
CURSUS
COURS
ADMISSIONS
CAMPUS
DOCUMENTATION
ANCIENS
ENTREPRISES
LIBRAIRIES
PUBLICATIONS

6-Création d'un profil utilisateur :


Pour cette configuration nous considérons qu'un réseau comportant un serveur Active Directory et au m
Pour commencer il faut créer un dossier partagé sur notre serveur, c'est à cet endroit où les profils
critique il est conseillé de le placer sur un système de stockage redondé (RAID, NAS, SAN)
 clic-droit, nouveau dossier "Profils_Utilisateurs"  (voir ci-dessous)

 modifier les options de partage (voir ci-dessous)


 attribuer le contrôle tôtal à l'administrateur et les droits de lecture/ecriture aux utilisateurs du dom

 ajouter le chemin du profil à un utilisateur  (voir ci-dessous)


 "srv-ad" correspond au nom du serveur,
 "Profils_Utilisateurs" correspond au nom du dossier partagé
 "%username%" correspond à l'utilisateur connecté

 appliquer les modifications


Test
A ce moment notre dossier partagé est vide.

Sur la machine n°1:


 ouvrir la session d'Alain
 créer un fichier test1.txt sur le bureau
 fermer la session
Sur le serveur Active Directory:
 Observer le contenu du dossier "Profils_Utilisateurs"  (un dossier contenant le profil d'alain a été c

Sur la machine n°2:


 ouvrir la session d'Alain
 observer les fichiers présent sur le bureau

Notre fichier test1.txt est bien présent malgré le changement d'ordinateur.

6-Création d'un profil utilisateur obligatoire :


Pour créer un profil utilisateur obligatoire
1. Copier le profil utilisateur par défaut que vous avez créé dans Configuration des comptes d'utilisateur Standard
2. Renommez le dossier Mandatory.v2. (La partie de la racine du nom de fichier peut être comme vous le souhait
par « .v2 » pour l'identifier comme un dossier de profil utilisateur de Windows 7.)
3. Utilisez la procédure suivante pour renommer le fichier Ntuser.dat en Ntuser.man :
a. Ouvrez C:\Users\Mandatory.v2 dans l'Explorateur Windows. 
b. Dans l'Explorateur Windows, cliquez sur Organiseret puis cliquez sur options de recherche et de dos

c. Sous l'onglet affichage , activez la case à cocher Afficher les fichiers et dossiers cachés , désactivez l
système d'exploitation protégés , cliquez sur Oui pour confirmer que vous souhaitez afficher les fich
sur OK pour enregistrer vos modifications. 

d. Renommez le fichier Ntuser.dat en Ntuser.man. La figure 3 illustre ce que cela doit se présenter comm
affichant les fichiers cachés. 

Figure 3  Préparation d'un profil utilisateur obligatoire

7-Pour attribuer des scripts d’ouverture de session :

Pour attribuer des scripts d’ouverture de session


1. Ouvrez l’Éditeur d’objets de stratégie de groupe.
2. Dans l’arborescence de la console, cliquez sur Scripts (ouverture/fermeture de session). Le chemin d’accès e
Windows\Scripts (ouverture/fermeture de session).
3. Dans le volet de résultats, double-cliquez sur Ouverture de session.
4. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajout d’un script, procédez comme suit :
6. Dans la zone Nom du script, tapez le chemin d’accès au script, ou cliquez sur Parcourir pour rechercher le fich
Netlogon du contrôleur de domaine.
o Dans la zone Paramètres de scripts, tapez les paramètres à utiliser, comme vous le feriez sur la ligne d
inclut des paramètres appelés //logo (afficher la bannière) et //I (mode interactif), tapez //logo //I.

7. Dans la boîte de dialogue Propriétés de Ouverture de session, spécifiez les options souhaitées 


o Scripts d’ouverture de session pour <objet de stratégie de groupe> : Liste tous les scripts qui sont
de groupe sélectionné. Si vous attribuez plusieurs scripts, ils sont traités dans l’ordre que vous spécifiez
liste, sélectionnez-le, puis cliquez sur Monter. Pour déplacer un script vers le bas de la liste, sélectionn

o Ajouter : Ouvre la boîte de dialogue Ajout d’un Script, où vous pouvez spécifier d’autres scripts à util

Vous aimerez peut-être aussi