Windows-Server 2016

Windows Server 2016
Jeanne SIMON
Sommaire :
❖ Présentation Windows Server 2016

❖ WORKGROUP vs DOMAIN
❖ Qu’est-ce qu’un domaine ?
❖ Domaine, arborescence et forêt
❖ Rôles et fonctionnalités
❖ Création d’un domaine avec ADDS
❖ DNS
❖ DHCP
❖ Gestion de l’annuaire Active Directory
❖ Gestion des postes clients (jonction au domaine)
❖ GPO, gestion des stratégies de groupes
PRÉSENTATION DE
WINDOWS SERVER 2016
Windows Server 2016
Sorti en octobre 2016, Windows Server 2016 est un système d’exploitation

pour serveurs x64 de Microsoft.
Les différentes versions :

• Standard
• Datacenter
• Essentials
Windows Server 2016
Windows Server Essentials :
• Destinée aux petites structures

• 25 utilisateurs / 50 postes maximum
• Des rôles et des fonctionnalités en moins
par rapport aux éditions Standard et
Datacenter (comme le rôle Hyper-V)
• Supporte au maximum 2 sockets et 64
Go de mémoire vive
Windows Server 2016
Windows Server Standard :
• Cette version sera utile aux

environnements faits de serveurs
physique utilisant peu ou pas de
virtualisation.
• Cette édition supporte jusqu’à 64 sockets et
4 To de mémoire vive.
• La licence permet l’utilisation de 2
instances virtuelles et l’installation du
Nano Server.
Windows Server 2016
Windows Server Datacenter :
• Il s’agit de la version la plus complète,

destinée aux systèmes d’information
fortement virtualisés et aux
environnements Cloud.
• Cette édition permet un nombre de
machines virtuelles illimité.
• Tous les rôles et fonctionnalités de
Windows Server 2016 sont disponibles
dans cette version.
• Elle supporte jusqu’à 64 sockets et 4 To
de mémoire vive.
Windows Server 2016
Tableau comparatif des éditions :

•
Windows Server 2016
Options d’installation :
Les éditions Standard et Datacenter offrent trois options d’installation :
• Serveur Core : installation minimal du serveur, on utilisera la ligne de commande. Il est

toutefois possible d’accéder à certaines interfaces ou de gérer à distance le serveur avec les
Outils d’administration. Avantages : un système plus léger, économie de ressources et donc
réduction de la surface d’attaque.
• Serveur avec Expérience utilisateur : installe l’interface utilisateur standard et
tous les outils de gestion. Il est alors possible d’installer des rôles et fonctionnalités du
serveur via le Gestionnaire de serveur ou par d’autres méthodes (notamment Powershell).
• Nano serveur : un système d’exploitation de serveur administré à distance et optimisé
pour les centres de données et clouds privés. Il est similaire à Windows Server en mode
Server Core (Installation minimale), mais il est beaucoup plus petit, n’a aucune fonction
d’ouverture de session locale et ne prend en charge que les agents, outils et applications
64 bits. Il occupe beaucoup moins d’espace disque, installe beaucoup plus rapidement et
nécessite beaucoup moins de mises à jour et de redémarrages que Windows Server.
Windows Server 2016
Prérequis matériels minimum :
• Processeur : 1,4 GHz 64bits

• Mémoire vive : 512 Mo pour un serveur Core ou Nano, 2 Go pour l’option
Expérience utilisateur
• Espace disque : 32 Go minimum
• Réseau : Carte Ethernet Gigabit ou supérieur
Téléchargement :
https://www.microsoft.com/fr-fr/evalcenter/evaluate-windows-server-2016
•
Windows Server 2016
Installation de Windows Server 2016 :

•
Windows Server 2016

•
Windows Server 2016

•
Windows Server 2016

•
Windows Server 2016

•
Windows Server 2016
• Le Tableau de bord affiche le démarrage

rapide ainsi que les différents rôles et les
groupes de serveurs avec leur état.
•
Windows Server 2016
• L’onglet Serveur local, affiche les informations sur le serveurs. On peut modifier
certains paramètres comme le nom du serveur, sa configuration réseau,…
•
WORKGROUP VS
DOMAIN
WORKGROUP vs DOMAIN
WORKGROUP ou groupe de travail :
• Un groupe de travail permet la communication entre plusieurs machines dans un

LAN (réseau local).
• Par défaut, les ordinateurs font partis du groupe de travail WORKGROUP. Pour
permettre la communication, il faut que les machines soient dans le même réseau et
dans le même groupe de travail.
• Pour créer un groupe de travail, il suffit juste de changer le nom du groupe de
travail dans les paramètres systèmes des ordinateurs qui doivent pouvoir
communiquer
• Utilisé uniquement quand un faible nombre d’ordinateurs sont connectés au
réseau
• Chaque ordinateur est configuré individuellement, les comptes utilisateurs sont
propres à chaque machine (comptes d’utilisateurs locaux)
•
WORKGROUP vs DOMAIN
DOMAIN ou domaine :
• Un domaine est plus difficile à créer qu’un groupe de travail, cependant il permet
une meilleure gestion et une meilleure évolutivité.
• On utilisera un domaine pour connecter un grand nombre d’ordinateurs entres
eux (une plus grande échelle qu’avec un groupe de travail)
• Un domaine permet de centraliser les comptes utilisateurs et configurer
globalement les ordinateurs joints au domaine : un utilisateur peut se connecter
sur n’importe quel ordinateur dans le domaine avec ses identifiants
• On a une administration et une gestion de la sécurité centralisé
•
WORKGROUP vs DOMAIN
Modifier le WORKGROUP :
• Clic-droit sur le menu démarrer

• Système
• Renommer ce PC (avancé)
•
WORKGROUP vs DOMAIN
Joindre le PC au domaine :
• Clic-droit sur le menu démarrer

• Système
• Renommer ce PC (avancé)
Conditions pour joindre un domaine :
• Être dans le même réseau que le serveur contrôleur

de domaine
• Être administrateur sur le poste local
• Avoir un compte sur le domaine (de préférence
administrateur)
• Configuration réseau : avoir en dns un contrôleur de
domaine
QU’EST-CE QU’UN
DOMAINE
QU’EST-CE QU’UN DOMAINE ?
Définition d’un domaine :
• C’est une entité logique qui permet de structurer l’organisation hiérarchique d’une entreprise
• Un domaine permet de fixer les limites administratives (compta, RH, … soit les différents pôles) d’une
entreprise
• Il permet de centraliser la gestion du parc informatique (pc, serveurs, imprimantes, …)
On parle de domaine Active Directory chez Microsoft :
• L’Active Directory est un annuaire LDAP (Lightweight Directory Access Protocol) pour les systèmes
d’exploitation Windows
• Il permet de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein
d’un système d’information
• Depuis Windows Server 2000, Active Directory évolue et prend de l’importance au sein des organisations
dans lesquelles il est mis en place. De ce fait, il est notamment utilisé pour le déploiement de stratégie
de groupe, la distribution des logiciels ou encore l’installation des mises à jour Windows.
•
DOMAINE, ARBORESCENCE
ET FORÊT
DOMAINE, ARBORESCENCE ET FORÊT
Architecture Active Directory :
• Domaine : ensemble d’Unités

d’Organisation qui contiennent des objets
AD de différentes classes (comptes
utilisateur, groupes, ordinateurs, …)
• Arbre ou Arborescence : regroupement
hiérarchique de plusieurs domaines → un
domaine principal (tronc de l’arbre) avec ses
domaines enfants (branches). Les domaines
d’un même arbre partagent un espace de
nom contigu et hiérarchique
• Forêt : un ensemble d’arbres. Ces
arborescences de domaine sont
indépendantes et distinctes bien qu’elles
soient dans la même forêt
•
Avantages d’une forêt :
• Tous les arbres d’une forêt partagent un

schéma d’annuaire commun
• Tous les domaines d’une forêt partagent un
« Catalogue Global* » commun
• Les domaines d’une forêt fonctionnent de
façon indépendante, mais la forêt facilite les
communications entre les domaines, c’est-à-
dire dans toute l’architecture.
• Création de relations entre les différents
domaines de la forêt
• Simplification de l’administration et * Le catalogue global est un
flexibilité annuaire qui regroupe des éléments
provenant de l’ensemble de la forêt,
•
c’est en quelque sorte un annuaire

central
Qu’est-ce qu’un contrôleur de domaine ?
• Un contrôleur de domaine est un serveur.

• Quand on crée le domaine, il faut promouvoir le serveur en tant que contrôleur de
domaine. Il devient contrôleur du domaine créé, ce qui implique qu’il sera au cœur
des requêtes à destination de ce domaine. De ce fait, il devra vérifier les
identifications des objets, traiter les demandes d’authentification, veiller à l’application
des stratégies de groupe ou encore stocker une copie de l’annuaire Active Directory.
• Un contrôleur de domaine est indispensable au bon fonctionnement du domaine,
si l’on éteint le contrôleur de domaine ou qu’il est corrompu, le domaine devient
inutilisable.
• De plus, lorsque vous créez le premier contrôleur de domaine dans votre organisation,
vous créez également le premier domaine, la première forêt, ainsi que le premier site.
•
RÔLES ET
FONCTIONNALITÉS
Rôles et fonctionnalités
Les rôles :
Un rôle de serveur est un ensemble de programmes logiciels qui, une fois installés et correctement
configurés, permettent à un ordinateur de remplir une fonction spécifique pour plusieurs
utilisateurs ou pour d’autres ordinateurs sur un réseau.
En règle générale, les rôles partagent les caractéristiques suivantes :
• Ils décrivent la fonction, l’utilisation ou le but principal d’un ordinateur. Un ordinateur spécifique peut
être consacré à un rôle unique très utilisé dans l’entreprise, ou bien remplir plusieurs rôles si chaque
rôle est uniquement peu utilisé dans l’entreprise.
• Ils fournissent aux utilisateurs d’une organisation un accès à des ressources gérées par d’autres
ordinateurs, tels que des sites Web, des imprimantes ou des fichiers stockés sur différents
ordinateurs.
• Ils incluent généralement leurs propres bases de données, qui peuvent placer des demandes
d’utilisateur ou d’ordinateur en file d’attente ou enregistrer des informations sur des utilisateurs ou
des ordinateurs réseau associés au rôle. Par exemple, Services de domaine Active Directory inclut
une base de données pour le stockage des noms et des relations hiérarchiques de tous les
ordinateurs d’un réseau.
Dès qu’ils sont installés et configurés correctement, les rôles fonctionnent automatiquement. Ceci permet
aux ordinateurs sur lesquels ils sont installés d’effectuer les tâches prescrites avec une supervision ou des
commandes utilisateur limitées
Les fonctionnalités :
Les fonctionnalités sont des programmes logiciels qui, bien que ne faisant pas
directement partie des rôles, peuvent prendre en charge ou augmenter la fonctionnalité
d’un ou de plusieurs rôles, ou encore améliorer la fonctionnalité de la totalité du serveur,
quels que soient les rôles installés.
Par exemple, la fonctionnalité Clustering avec basculement augmente la fonctionnalité des

autres rôles, tels que Services de fichiers et Serveur DHCP, en leur permettant de rejoindre
des clusters de serveurs afin d’augmenter la redondance et d’améliorer les performances.
Une autre fonctionnalité, Client Telnet, vous permet de communiquer à distance avec un
serveur telnet via une connexion réseau, ce qui améliore les options de communication du
serveur dans sa globalité.
•
Les services de rôles :
Les services de rôle sont des programmes logiciels qui fournissent la

fonctionnalité d’un rôle. Lorsque vous installez un rôle, vous pouvez choisir les services
de rôle que ce rôle doit fournir pour d’autres utilisateurs et ordinateurs dans votre
entreprise. Certains rôles, tels que Serveur DNS, possèdent une seule fonction et ne
disposent donc pas de services de rôle disponibles. D’autres rôles, tels que les services
Bureau à distance, possèdent plusieurs services de rôle qui peuvent être installés en
fonction des besoins informatiques à distance de votre entreprise.
Vous pouvez considérer un rôle comme un regroupement de services de rôle étroitement

associés et complémentaires pour lesquels, la plupart du temps, l’installation du rôle
implique celle d’un ou de plusieurs de ses services de rôle.
•
Les trois grandes catégories de rôles serveur sont :

• Active Directory services
• Infrastructure services
• Application services
Active Directory services :
• Active Directory Domain Services (ADDS) : permet la mise en place des services de
domaine Active Directory, autrement dit la mise en œuvre d’un domaine et d’un annuaire Active
Directory.
• Active Directory Certificate Services (ADCS) : permet de gérer et de créer des clés ainsi
que des certificats
• Active Directory Federation Services (ADFS) : permet de simplifier l’accès à des
applications, que l’on se trouve ou non sur le même réseau. Permet l’intégration d’un mécanisme SSO
(Single Sign-On) c’est-à-dire l’authentification unique. On se connecte sur le portail ADFS avec ses
identifiants, et si l’authentification réussit on obtient directement l’accès à l’application cible sans
devoir se réauthentifier
• Active Directory Rights Management Services (ADRMS) : permet de gérer finement
les autorisations sur les fichiers des utilisateurs. Ce sont plutôt des droits comme : « J’autorise les
utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression du fichier »
• Active Directory Lightweight Directory Services (ADLDS) : se rapproche du mode
ADDS classique à la différence qu’il n’implique pas la création d’un domaine. L’intérêt est de pouvoir
créer un annuaire autonome qui permettra de créer une base d’utilisateurs, pouvant être utilisé dans
le cadre d’un processus d’authentification auprès de l’annuaire LDAP
•
Autres rôles principaux :
• Hyper-V
• Serveur DHCP
• Serveur DNS
• Serveur Web IIS (Internet Information Services)
• Services Bureau à distance
• Services d’impression et de numérisation
• Services de déploiement Windows
• Services WSUS ( Windows Server Update Services)
•
Autres rôles principaux :
• Hyper-V
• Serveur DHCP
• Serveur DNS
• Serveur Web IIS (Internet Information Services)
• Services Bureau à distance
• Services d’impression et de numérisation
• Services de déploiement Windows
• Services WSUS ( Windows Server Update Services)
•
Comment installer un rôle ou une fonctionnalité :
• Directement sur le Tableau de bord
• Via l’onglet Gérer puis « Ajouter des rôles et des fonctionnalités :
•
•
•
CRÉATION D’UN
DOMAINE AVEC ADDS
CRÉATION D’UN DOMAINE
Ajout du rôle ADDS :
• Pour créer un domaine on doit d’abord ajouter le rôle ADDS (Domain Services) :
• Puis on ajoute les

•
fonctionnalités
requises :
On clique sur Suivant jusqu’à l’onglet

Confirmation :
On peut cocher le redémarrage

automatique
Pour finir on clique sur installer !

•
•
Promouvoir le serveur en tant que contrôleur de domaine :
Pour créer le domaine il nous faut un serveur contrôleur de domaine. Nous allons
promouvoir le serveur et créer le domaine :
•
Promouvoir le serveur en tant que
contrôleur de domaine :
Nous avons trois options de déploiement :

• ajouter un autre serveur comme DC
(Domain Controller) à un domaine qui
existe
• Ajouter un nouveau domaine à une forêt

déjà créée (domaine enfant par exemple)
• Créer une nouvelle forêt et donc créer

notre premier domaine
•
On choisit la troisième option et on saisit le nom de notre domaine.

Le nom du domaine doit être composé de deux parties séparées par un « . »
• Niveau fonctionnel de la forêt : version

minimum d’un DC. Ici il faut au minimum,
Windows Server 2016, on peut donc faire
une autre serveur en 2019 mais pas 2012
• Contrôleur de domaine en lecture seule

(RODC) : annuaire AD qui ne contient pas
les mots de passes et sur lequel on ne peut
pas faire de modifications
• On choisit un mot de passe pour la

restauration si les services d’annuaires
tombent en panne
•
• Ici on peut créer une délégation DNS dans

le cas où on crée un sous-domaine, afin
qu’il puisse gérer lui-même ses
enregistrements DNS
• On rencontre une erreur car nous sommes

en train de créer le premier domaine de
notre forêt. On clique juste sur Suivant
•
• Il faut vérifier et/ou modifier le nom

NetBIOS de notre domaine
• NetBIOS est un système de nommage

utilisé principalement par Microsoft. Il sert
à associer un nom d’ordinateur à une
adresse IP dans le réseau local.
• 15 caractères maximum pour un nom

NetBIOS
• En CMD, on peut utiliser la commande

nbtstat pour résoudre les noms NetBIOS
ou afficher les table de correspondance O
• On laisse les chemins d’accès par défaut.
• NTDS : Pour NT Directory Services, l’ancien

nom d’Active Directory. NTDS.dit est le
fichier de la base de donnée de l’annuaire
AD
• SYSVOL : dossier qui contient toutes les

stratégies de groupe et les scripts qui sont
appliqués sur les ordinateurs de l’entreprise
•
Le serveur redémarre une fois

l’installation terminée.
• Le rôle ADDS est bien présent. La création du domaine nécessite

également le rôle DNS qui à été installé automatiquement
INSTALLATION DU
SERVEUR DNS
SERVEUR DNS
DNS : Domain Name System
• Le protocole DNS est un annuaire qui

permet de traduire des noms de
domaine en IP.
Ce protocole nous permet de nous
déplacer plus simplement sur le Web sans
avoir à retenir les adresses IP de plusieurs
sites.
• Un nom de domaine est composé de plusieurs partie séparée par un "." :

En partant de la droite du nom on a le TLD (Top Level Domaine). Il existe des
TLD nationaux comme .fr et des TLD générique comme .com ou .org
Chaque partie du nom de domaine est appelé LABEL.
Le nom de domaine au complet (avec tous les labels) est
le FQDN (Fully Qualified Domain Name)
SERVEUR DNS
Les TLD : Top Level Domain
• Les domaines traditionnels

➢ .edu : organisations concernant l’éducation
➢ .gov et .mil : organisations
gouvernementales et militaires US
➢ .int : organisations internationales
➢ .com : organisations commerciales
➢ .org : organisations non commerciales
➢ .net : organisations sur le réseau
•Les domaines récemment créés

➢.biz, .info, .name, .museum, .aero, .coop, .pro
•Les domaines nationaux
➢.fr, .uk, .us, .it, .de, .es, .pt, .ru, .tw, .au, .nz, .tv etc.
•Les domaines supranationaux
➢.eu pour l’Europe
•Le domaine pour la résolution inverse : .in-addr-arpa
SERVEUR DNS
FQDN : Fully Qualified Domain Name • Par convention, le FQDN
se termine par un point.
Exemple : fr.wikipedia.org.
Le point symbolisant la
racine.
Il disparaît quand on saisit
l'URL dans un navigateur.
Ce point est important car
il signifie qu'il n'y a pas de
domaine au-dessus de org.
SERVEUR DNS
Hiérarchie des noms de domaines
• Chaque label est responsable du ou des domaine(s) en

dessous de lui.
• Dans notre exemple précédent : fr.wikipedia.org. , la racine

est responsable du domaine .org
• Cependant, quand on achète un nom de domaine on a la

possibilité de gérer nos enregistrements DNS. Dans le
cas de Wikipedia, l'organisme qui gère .org délègue la
gestion de ce nom de domaine à Wikipedia.
fr est un sous-domaine de wikipedia.org
• On obtient une arborescence où chaque partie est gérée

par l'organisme qui la possède.
SERVEUR DNS
Racine, TLD, Registry et Registrar :
• ICANN : Internet Corporation for Assigned

Names, délègue la gestion de ces TLD à des
registry.
• Ceux-ci ont un rôle purement technique et

chacun d’eux doit tenir à jour la liste des
domaines définis sur son périmètre
• Chaque registry autorise des centres

régionaux, appelés registrar, à vendre des
noms de domaines, au nom des TLD gérés
par l’ICANN.
SERVEUR DNS
Les différents types de serveurs de noms :
• DNS primaire
– Maintient la base de données sur laquelle il a autorité administrative
• DNS secondaire
– Obtient les données du serveur de noms primaire par téléchargement périodique
et maintient une copie identique de la base de données
– Pour une zone, il y a toujours un primaire et souvent plusieurs secondaires (il est
préférable que ces derniers soient sur des réseaux IP différents)
– Un serveur de noms peut être primaire pour une zone et secondaire pour une
autre
• DNS cache
– Interroge les serveurs hiérarchiquement supérieurs
– Constitue un cache en mémoire des informations obtenues
• DNS redirecteur (« forwarder »)
– S’adresse toujours à un autre DNS pour obtenir l’information
SERVEUR DNS
Les résolveurs :
• Ce sont les processus clients qui contactent les DNS

• Le résolveur :
– Contacte les DNS
– Interprète les réponses et éventuelles anomalies
– Retourne l’information au logiciel demandeur (navigateur, courrielleur, etc.)
– Stocke l’information dans un cache
SERVEUR DNS
Comment fonctionne une résolution de nom ?
1. Le client envoie une requête au

serveur de noms indiqué dans sa
configuration IP (serveur primaire). Si
le serveur DNS possède
l'enregistrement dans son cache il
répond à la requête
2. Si il ne possède pas l'enregistrement

il va contacter un serveur de noms
racine. Le serveur racine lui renvoie une
liste de serveurs de nom faisant autorité
sur le domaine.
3. Le serveur primaire contacte les serveurs faisant autorité pour récupérer

l'enregistrement
SERVEUR DNS
Ajouter le rôle DNS sur Windows Serveur :
• Lorsque nous avons installé le rôle ADDS pour

créer notre domaine, le rôle DNS s’est installé
automatiquement
• On peu ajouter le rôle DNS en même temps

que ADDS :
SERVEUR DNS
Les enregistrements DNS :
• Les enregistrements DNS se trouvent tout d’abord dans les fichiers de zone.
• Une zone représente un domaine organisé. Il est possible qu’un domaine ne soit
composé que d’une seule zone. Les domaines plus importants renferment cependant
plusieurs zones.
• Chaque serveur DNS est responsable d'une zone. Si un Client souhaite
interroger un domaine spécifique, le serveur DNS recherchera les enregistrements
correspondants dans les fichiers de zones, et procèdera successivement à des
recherches dans les serveurs de niveaux inférieurs jusqu’à ce qu’il atteigne la cible.
SERVEUR DNS
Gérer les fichiers de zones dans Windows Server :
• Dans le Gestionnaire de serveur, cliquer sur l’onglet

Outils puis DNS
• Gestionnaire DNS :
• Fichier de zone direct pour le domaine

aston-ecole.local :
• Fichier de zone indirect (traduit IP vers

NOM) :
Enregistrements
DNS du fichier
de zone direct
SERVEUR DNS
Les principaux types d’enregistrements :
• SOA → le serveur qui a l’autorité administrative (Start of Authority)
• NS → les serveurs de nom primaire et secondaire (Name Server)
• MX → le serveur de messagerie (Mail Exchanger)
• A → pour la correspondance nom → adresse IPv4
• AAAA → pour la correspondance nom → adresse IPv6
• PTR → pour la correspondance adresse → nom (dans la zone inverse)
• CNAME → pour les alias Canonical-Name-Record (www, ftp, mail, news, etc.)
SERVEUR DNS
Créer un enregistrement DNS dans Windows
Server :
• Clic-droit sur la zone direct
• On choisit le type d’enregistrement
• On suit les directive de l’assistant de création :

SERVEUR DNS
La zone de recherche inversée :
• La zone de recherche inversée est un fichier de zone séparé définissant la résolution

des adresses IP en noms de domaine.
• Un fichier de zone DNS inversé contient les mêmes enregistrements SOA et NS que le
fichier de zone correspondant dans une recherche directe.
• Toutefois, on utilise des enregistrements « PTR » à la place des enregistrements « A ».
• Un enregistrement « PTR » associe au nom de domaine correspondant une adresse IP
dotée du format « z.y.x.w.in-addr.arpa. » (avec z.y.x.w l’IP en partant du dernier octet)
• Par exemple : un serveur web web.aston-ecole.local avec l’IP 192.168.10.15

L’enregistrement du pointeur sera 15.10.168.192.in-addr.arpa
SERVEUR DNS
Configurer la zone inverse dans Windows Server :
• Clic-droit sur Zones de recherches inversée

• Puis sur Nouvelle Zone
SERVEUR DNS

SERVEUR DNS

SERVEUR DNS

SERVEUR DNS

SERVEUR DNS

SERVEUR DNS
Créer un pointeur pour la zone inverse :
• On peut créer une enregistrement PTR directement en

créant l’enregistrement hôte A :
• On peut également le créer directement dans la zone

inverse :
• Clic-droit sur la nouvelle zone inverse : y.x.w.in-addr.arpa
• Nouveau pointeur (PTR)
• On renseigne l’IP de l’hôte et on parcourt les zones pour
associer le pointeur à une enregistrement A
SERVEUR DNS
Commandes utiles pour tester la résolution de noms en CMD :
• ipconfig /displaydns → Affiche le contenu du cache de résolution DNS

• ipconfig /flushdns → Purge le cache de résolution DNS
• ping –a 192.168.10.10 → résout l’adresse en nom (résolution inverse)
• nslookup aston-ecole.local → envoie une requête de résolution de nom au DNS

indiqué dans la configuration réseau
INSTALLATION DU
SERVEUR DHCP
SERVEUR DHCP
IP statique VS IP dynamique :
• Une IP statique ou fixe, est une configuration réseau paramétré manuellement.

On va alors aller dans les propriété de la carte réseau et lui définir son adresse IP, son
masque, sa passerelle et l’adresse des serveurs de noms :
SERVEUR DHCP
IP statique VS IP dynamique :
• Une IP dynamique ou automatique, est une adresse IP que

notre machine récupère automatiquement grâce au serveur
DHCP.
• Imaginez devoir configurer manuellement les adresses IPv4 de

tous les postes de la salle de cours … le serveur DHCP nous
remplace et distribue automatiquement des IP au machines
dans le réseau local
• Grâce à la durée de bail, un ordinateur qui n’est pas utilisé

perd son adresse à la fin du bail. Cela permet d’économiser les
adresses IP et de les donner qu’aux machines qui en ont
besoin
SERVEUR DHCP
DHCP : Dynamic Host Configuration Protocol
• Utilisé à partir de 1993. Le protocole DHCP est un

protocole en mode client/serveur. Les hôtes clients
vont envoyer des requêtes DHCP au serveur pour obtenir
une configuration réseau automatiquement.
• Le client n'ayant aucune adresse IP valable pour le

moment, les premiers échanges avec le serveur DHCP se
feront en diffusion (broadcast).
SERVEUR DHCP
Fonctionnement d’une requête DHCP :
1. Le client, n'ayant pas d'adresse IP envoie

un datagramme DHCPDISCOVER en
diffusion. Ce message est transmis avec la
MAC de l'émetteur et MAC destinataire de
diffusion (ff:ff:ff:ff:ff:ff)
2. Tout serveur DHCP qui reçoit ce message,

répond au client (via son adresse MAC) avec
un datagramme DHCPOFFER pour lui
proposer une adresse IP (IP du serveur,
IP+masque disponible)
SERVEUR DHCP
Fonctionnement d’une requête DHCP :
3. Le client accepte une des offres en

envoyant un datagramme DHCPREQUEST.
Ce datagramme contient l'IP du serveur DNS,
la proposition IP retenue et a pour but de
confirmer au serveur la location de cette
adresse et prévenir les éventuels autres
serveurs de ne pas donner suite à leurs offres.
4. Pour finir le serveur envoi le datagramme

DHCPACK (acknowledge = accusé de
réception), l'IP et le masque du client ainsi
que la durée du bail.
Dans le cas, où le client n'arrive pas à contacter de
serveur DHCP, le client récupère une adresse
APIPA (Automatic Private Internet Protocol
Addressing) sur le réseau 169.254.0.0/16
SERVEUR DHCP
Les différentes requêtes entre le client et le serveur :
• DHCPDISCOVER : permet de localiser les serveurs DHCP disponibles.

• DHCPOFFER : réponse du serveur DHCP à un paquet DHCP DISCOVER.
• DHCPREQUEST : diverses requêtes du client.
• DHCPACK : réponse du serveur contenant les paramètres réseau.
• DHCPNAK : réponse du serveur signalant au client que le bail est échu.
• DHCPDECLINE : annonce du client que l’adresse fournie est déjà utilisée.
• DHCPRELEASE : libération de l’adresse IP de la part du client.
• DHCPINFORM : demande de paramètres locaux de la part du client (ayant déjà son IP).
SERVEUR DHCP
Lexique :
• Bail : Un bail est le temps pendant lequel un ordinateur client peut utiliser une adresse IP
affectée. Un bail devient inactif lorsqu’il arrive à expiration ou lorsqu’il est supprimé du
serveur. La durée d’un bail détermine sa date d’expiration et la fréquence avec laquelle le
client doit le renouveler auprès du serveur.
• Étendue : est la plage consécutive d'adresses IP d’un réseau. Les étendues désignent
généralement un sous-réseau physique unique de votre réseau.
• Plage d’exclusion : est une séquence limitée d’adresses IP dans une étendue, exclue
des offres de service DHCP. Les plages d’exclusion permettent de s’assurer que toutes les
adresses de ces plages ne sont pas offertes par le serveur aux clients DHCP de votre
réseau.
SERVEUR DHCP
Lexique :
• Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué des
plages d’exclusion, les adresses restantes forment le pool d’adresses disponible dans
l’étendue. Les adresses de pool peuvent faire l’objet d’une affectation dynamique par le
serveur aux clients DHCP de votre réseau.
• Réservation : Utilisez une réservation pour créer une affectation de bail d’adresse
permanente par le serveur DHCP. Les réservations permettent de s’assurer qu’un
périphérique matériel précis du sous-réseau peut toujours utiliser la même adresse IP.
→ On retrouve toutes ces informations dans le Gestionnaire DHCP sur Windows Server !
SERVEUR DHCP
Ajouter le rôle DHCP :
• Pour automatiser la configuration réseau de chaque

poste dans l’entreprise, il faut ajouter le rôle
Serveur DHCP et créer la première étendue.
• Pour ajouter le rôle :

• Dans le Gestionnaire de serveur on clique
sur l’onglet Gérer
• Puis sur Ajouter des rôles et
fonctionnalités
SERVEUR DHCP
• Il faut ensuite terminer la configuration DHCP :

SERVEUR DHCP
• Il faut ensuite terminer la configuration

DHCP :
• Attention aux informations d’identification !

Il faut avoir NOMDOMAINE\Administrateur
• Si on a autre chose que le nom de notre

domaine \Administrateur, il faudra spécifier les
bonnes informations
SERVEUR DHCP
• Il faut ensuite terminer la configuration DHCP :

SERVEUR DHCP
Création d’une étendue DHCP :
• Ouvrir le gestionnaire DHCP (Outils → DHCP) :

SERVEUR DHCP
• Clic-droit sur IPv4 → Nouvelle étendue
On choisit le nom de la
nouvelle étendue
SERVEUR DHCP
• On choisit ensuite la plage d’adresses IP

• On délimite la plage par une adresse de début et une
adresse de fin
• On spécifie également le masque du réseau
Réseau 192.168.10.0/24
.0 .10 .50 .250 .255
Adresse Serveur Plage d’adresse Broadcast

réseau AD
De 192.168.10.50
À 192.168.10.250
SERVEUR DHCP
• On peut également préciser des adresses IP ou une

plage d’adresses à exclure des adresses misent à
disposition pour les clients
• On définit ensuite la durée du bail, c’est-à-

dire, le durée pendant laquelle un
ordinateur utilise une adresse IP
• Arrivé au terme du bail, le client envoie un
DHCPREQUEST pour demander le
renouvellement du bail. Si le
renouvellement est accepté par le serveur,
ce dernier envoi un DHCPACK pour
confirmer le renouvellement du bail au
client
SERVEUR DHCP
• On sélectionne bien le premier choix : pour configurer

les options DHCP (IP de la passerelle, IP du DNS …)
• En premier, on indique l’adresse IP de la passerelle par

défaut (IP du routeur)
• N’oubliez pas de cliquer sur Ajouter après avoir saisi
l’adresse pour qu’elle soit prise en compte
SERVEUR DHCP
• Ensuite, on vérifie et/ou modifie les adresses du serveur

de noms préférés et auxiliaire (ici IP du serveur puis IP
du DNS de Google : 8.8.8.8 ou 8.8.4.4)
• Enfin, on nous propose de renseigner l’adresse IP du

serveur WINS.
• Le serveur WINS fonctionne avec les noms NetBIOS.
C’est un type de serveur qui tend à être obsolète.
Microsoft recommande de ne plus l’utiliser et de lui
préférer une serveur DNS
SERVEUR DHCP
• On choisit d’activer l’étendue immédiatement

SERVEUR DHCP
Comprendre le gestionnaire DHCP et les étendues :
Une fois l’étendue créée, on retrouve

plusieurs dossiers dans notre étendue :
• Pool d’adresses : plage d’adresse en

prenant en compte les exclusions
• Baux d’adresses : les IP louées aux
clients avec la date de début et de fin de
bail
• Réservations : réserver une adresse IP à
une machine en particulier via son adresse
MAC
• Options d’étendue : modifier, ajouter ou
supprimer des options comme l’adresse de
la passerelle
• Stratégies : permet de poser des
conditions à l’obtention d’une adresse IP,
comme par exemple le filtrage par MAC
SERVEUR DHCP
Comprendre le gestionnaire DHCP et les étendues :
Voici quelques icones d’avertissement qu’on peut croiser pour le serveur DHCP :
Plus d’informations sur la documentation de Microsoft
SERVEUR DHCP
DHCP côté client :
• Le client doit obtenir une IP dynamiquement
• Pour vérifier l’adresse que l’on obtient :

SERVEUR DHCP
Commandes qui permettent de gérer la configuration réseau :
• Ipconfig → affiche les informations principale de la configuration réseau

• Ipconfig /all → affiche toutes les informations détaillés de la configuration réseau
• Ipconfig /release → libère l’adresse IP
• Ipconfig /renew → renouvelle l’adresse IP
GESTION DE L’ANNUAIRE
ACTIVE DIRECTORY
Annuaire Active Directory
L’Active Directory :
• Un annuaire LDAP (Lightweight Directory Access Protocol) pour les systèmes d’exploitation
Windows, créé par Microsoft
• Il se nommait d’abord NTDS pour NT Directory Services → Windows NT (New Technology)
Intérêts d’un annuaire AD :
Administration
Unifier
centralisée et
l’authentification
simplifiée
Identifier les Référencer les

objets sur le utilisateurs et
réseau ordinateurs
Intérêts d’un annuaire AD :
• Administration centralisée et simplifiée : la gestion des objets, notamment des comptes utilisateurs
et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire Active Directory. De plus, on peut
s’appuyer sur cet annuaire pour de nombreuses tâches annexes comme le déploiement de stratégies de
groupe sur ces objets .
• Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même authentifiée, pourra
accéder aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans l’annuaire (à
condition d’avoir les autorisations nécessaires). Ainsi, une authentification permettra d’accéder à tout un
système d’information par la suite, surtout que de nombreuses applications sont capables de s’appuyer
sur l’Active Directory pour l’authentification. Un seul compte peut permettre un accès à tout le système
d’information, ce qui est fortement intéressant pour les collaborateurs.
• Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique, ce qui permet
d’identifier facilement un objet sur le réseau et de le retrouver ensuite dans l’annuaire.
• Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme base de données
qui référence les utilisateurs, les groupes et les ordinateurs d’une entreprise. On s’appuie sur cette base
de données pour réaliser de nombreuses opérations : authentification, identification, stratégie de groupe,
déploiement de logiciels, etc.
Structure de l’Active Directory :
• Les classes et les attributs :
Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par exemple les
utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les groupes. En
fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant des mêmes
attributs.
Par exemple : un objet ordinateur sera un objet de la classe « Ordinateur » avec des valeurs
(attributs) spécifique à ce type d’objet
Certains objets peuvent en contenir d’autres, comme les groupes qui peuvent contenir
plusieurs objets de types utilisateurs pour les regrouper et simplifier l’administration.
Les Unités d’Organisations permettent aussi d’organiser l’annuaire sur plusieurs niveau en
contenant des objets AD
• Le schéma :
Le schéma contient la définition de toutes les classes et de tous les attributs

disponibles et autorisés au sein de l’annuaire. Il est à noter que le schéma est évolutif, le
modèle de base n’est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux
prérequis de certaines applications.
Par exemple, l’application de messagerie Microsoft Exchange effectue des modifications au
schéma lors de son installation.
Pour accéder a la console schéma qui n’est pas disponible nativement, suivre ce tuto !
• Les partitions d’annuaire :
La base de données Active Directory est divisée de façon logique en trois partitions de
répertoire (appelé « Naming Context ») :
• La partition de schéma : cette partition contient l'ensemble des définitions des
classes et attributs d’objets, qu’il est possible de créer au sein de l'annuaire Active
Directory. Cette partition est unique au sein d’une forêt.
• La partition de configuration : cette partition contient la topologie de la forêt
(informations sur les domaines, les liens entre les contrôleurs de domaines, les
sites, etc.). Cette partition est unique au sein d’une forêt.
• La partition de domaine : cette partition contient les informations de tous les
objets d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique
au sein d’un domaine, il y aura donc autant de partitions de domaine qu’il y a de
domaines.
Objets de l’annuaire Active Directory :
Voici les principales classes d’objets dans l’AD :
Nom Description
Utilisateur Comptes utilisateurs qui permettent de s’ authentifier sur
le domaine, et accéder aux ressources, aux ordinateurs
Ordinateur Les ordinateurs clients intégrés au domaine, mais aussi les
serveurs et les contrôleurs de domaine
Groupe Regrouper des objets au sein d’un groupe, notamment
pour simplifier l’administration (attribution de droits à un
service « informatique » qui correspond à un groupe
nommé « informatique », par exemple)
Imprimante Ressource de type « imprimante »
Contact Enregistrer des contacts, sans autorisation

d’authentification
L’Unité d’Organisation :
• Est un conteneur dans un domaine Microsoft Active

Directory qui peut contenir des objets de l’AD comme,
par exemple, des utilisateurs, des groupes et des
ordinateurs.
• Sert à représenter fidèlement une entreprise en

séparant les différents objets en fonction d’un service
particulier ou d’un département
Objets
UO
contenus
• On peut comparer une unité d’organisation (UO ou OU dans l’UO
pour Organizational Unit) à un dossier dans lequel on
range des feuilles d’objets (comme un compte
utilisateur ou un ordinateur
Les identifiants uniques : DistinguishedName et GUID
Chaque objet dispose d’identifiants uniques qui sont ces deux attributs :
• Le DistinguishedName : aussi appelé DN, il représente le chemin

LDAP qui permet de localiser l’objet dans l’annuaire
Exemple : l’objet Pierre dans l’UO informatique du domaine aston-

ecole.local
→ CN=Pierre,OU=informatique,DC=aston-ecole,DC=local
CN CommonName – Nom commun – Nom de l’objet final ciblé
OU OrganizationalUnit – Unité d’organisation
DC Composant de domaine – Utilisé pour indiquer le domaine

cible, avec un élément « dc » par partie du domaine
Les identifiants uniques : DistinguishedName et GUID
Chaque objet dispose d’identifiants uniques qui sont ces deux attributs :
• Le GUID :
• Le GUID (Globally Unique IDentifier) est un identificateur global unique qui
permet d’identifier un objet d’un annuaire Active Directory. Il correspond à
l’attribut « ObjectGUID » dans le schéma Active Directory.
• Il est attribué à l’objet dès sa création et ne change jamais, même si
l’objet est déplacé ou modifié. Le GUID suit un objet de la création
jusqu’à la suppression.
• Codé sur 128 bits, le GUID d’un objet est unique au sein d’une forêt et
il est généré par un algorithme qui garantit son unicité. Des informations
aléatoires, d’autres non, comme l’heure de création de l’objet .
Les attributs indispensables des objets Active Directory :
Nom de l’attribut dans le Nom de l’attribut dans la Description

schéma console Active Directory
« Nom d’ouverture de session de Valeur que devra utiliser l’objet
l’utilisateur » pour s’authentifier sur le domaine
SamAccountName
UserPrincipalName « Nom d’ouverture de session de Nom complet de l’utilisateur avec
l’utilisateur » concaténé au nom le domaine inclus. Également
du domaine sous la forme « @it- appelé UPN
connect.local »
description Description Description de l’objet
mail Adresse de messagerie Adresse de messagerie attribuée à

l’objet
adminCount Égal à « 1 » s’il s’agit d’un compte
- de type « Administrateur », égal à
« 0 » s’il ne l’est pas
Les attributs indispensables des objets utilisateurs Active Directory :

Nom complet qui sera affiché pour
DisplayName Nom complet
cet utilisateur
GivenName Prénom Prénom de l’utilisateur
Nombre d’ouverture de session

LogonCount -
réalisée par cet utilisateur
Date à laquelle le compte ne sera
AccountExpires Date d’expiration du compte
plus utilisable (peut être vide)
Les attributs indispensables des objets utilisateurs Active Directory :

Identifiant de sécurité unique qui
ObjectSID -
permet d’identifier un objet
Dernière fois que le mot de passe
pwdLastSet -
fût modifié
État du compte – Une dizaine de
userAccountControl -
codes différents sont possibles
Ouvrir la console de l’annuaire AD :
• Dans l’onglet Outils du Gestionnaire de serveur puis Utilisateurs et ordinateurs AD:
Icone de
l’annuaire
sur la
barre des
tâches
Ouvrir la console de l’annuaire AD :
• Sur le panneau de gauche, on a l’arborescence de l’annuaire

• Sur le panneau de droite, on a le contenu du domaine et d’une UO
Créer une Unité d’Organisation :
• Clic-droit là où on souhaite créer l’UO (ici à

la racine → nom du domaine)
• On entre le nom de notre

Unité d’Organisation
• Si on coche « Protéger le
conteneur contre une
suppression accidentelle »,
on ne pourra pas
supprimer l’UO.
Il faudra décocher cette
option dans les propriété
de l’UO pour ensuite
pouvoir la supprimer
Création d’un utilisateur :
• Clic-droit là où on souhaite créer l’UO (ici à la racine → nom du domaine)

• On saisit les informations de notre utilisateurs

• On lui choisit un nom d’ouverture de session
• C’est avec ce nom que notre utilisateur va
se connecter à son compte
• Bonne pratique : p.durand ou pierre.d
comme nom d’ouverture de session
• On choisit un mot de passe (au minimum 7

caractères, avec au moins majuscule, minuscule
et chiffre ou caractère spécial)
• Avec cette option l’utilisateur doit choisir un

nouveau mot de passe lors de sa première
connexion
• Avec cette option l’utilisateur ne pourra jamais
changer son mot de passe lui-même
• Avec cette option la durée de vie du mot de
passe est illimitée
• Avec cette option le compte d’utilisateur est
désactivé, on ne pourra pas s’y connecter

Les groupes :
• L’étendue du groupe :
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory,
les étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi
s’étendre sur la forêt entière
• Domaine local : groupe qui peut être utilisé uniquement dans le domaine dans
lequel il a été créé.
• Global : ce groupe pourra être utilisé dans le domaine local, mais aussi dans tous
les domaines approuvés par le domaine de base
• Universelle : ce groupe sera disponible sur l’ensemble de la forêt
Attention ! Les étendues sont dépendantes du niveau fonctionnel de la forêt et du domaine

ainsi que des relations d’approbations entre les différents domaines et arbres
Les groupes :
• Le type du groupe :
• Sécurité : Les groupes de sécurité sont les plus utilisés. Il permettent de gérer les
autorisations d’accès aux ressources. Un groupe de sécurité « transmet » ses
autorisations d’accès aux ressources à ses membres
Les groupes de sécurités auront donc besoin d’un identifiant de sécurité SID
• Distribution : utile pour créer des listes de distribution. Par exemple, pour créer
une liste de distribution d’adresses e-mail en ajoutant des contacts. Ces groupes
sont principalement utilisés par des applications de messageries comme Microsoft
Exchange.
Les groupes de distribution n’auront pas besoin d’un identifiant de sécurité SID
Il est possible de convertir un groupe de sécurité en groupe de distribution et inversement !

Les groupes par défaut :
• Les groupes intégrés (Builtin) :

Ce sont des groupes qui permettent d’assigner des autorisations d’administration, de façon
générale ou sur des fonctionnalités précises afin de gérer la sécurité finement. Ces groupes
sont directement intégrés et stockés dans l’annuaire Active Directory au sein du container
« Builtin » accessible de la console « Utilisateurs et ordinateurs Active Directory ». Leur
étendue est toujours de type local.
• Les groupes spéciaux :

Seul le système à la main sur ces groupes, qui sont pratique et qui permettent d’englober les
utilisateurs à différentes échelles. On trouve par exemple les groupes « Tout le monde » et
« Utilisateurs authentifiés ».
Ces groupes peuvent être utilisés pour définir du contrôle d’accès (exemple : donner accès
aux utilisateurs authentifiés l’accès à un partage).
Par ailleurs, il n’est pas possible de gérer les membres de ces groupes, le système gère ces
groupes en exclusivité.
• Les groupes spéciaux (suite) :
Étant donné que vous ne pouvez pas modifier l’appartenance à ces groupes, les groupes ne
sont pas répertoriés dans Utilisateurs et ordinateurs Active Directory
La liste de ces groupes spéciaux inclut :

Utilisateurs authentifiés Interactives
Logo anonyme Réseau
Batch Proxy
Creator, propriétaire Restreint
Groupe créateur Lui-même
Dialup Service
Enterprise Contrôleurs de domaine Système
Tout le monde Utilisateur Terminal Server
• Les groupes prédéfinis :
On les trouve dans l’unité d’organisation « Users » au sein

de la console « Utilisateurs et ordinateurs Active
Directory ». Ces groupes prédéfinis sont là en complément
des groupes intégrés, sauf que pour eux il y a différents
niveaux d’étendues qui sont prédéfinies et qu’on ne peut
pas modifier.
Créer un groupe :
• Clic-droit sur l’UO où on souhaite créer et ranger

le nouveau groupe :
• On choisit le nom du groupe, son étendue et son

type :
Ajouter un utilisateur à un groupe :
• Clic-droit sur l’utilisateur et Ajouter à un

groupe
• Clic-droit sur le groupe → Propriétés

Puis dans l’onglet Membres on ajoute notre
utilisateur :
AJOUTER UN POSTE
CLIENT AU DOMAINE
Ajouter un poste client dans le domaine
Pour ajouter un PC au domaine :
• Clic-droit sur le menu démarrer → Système :
• Puis Renommer ce PC (avancé)

Pour ajouter un PC au domaine :
• On clique sur modifier

• On coche l’option Domaine
• On saisit le nom complet du domaine
• Saisir les identifiants d’un compte

utilisateur qui a les droit administrateurs
dans le domaine :
• Une fois dans le

domaine, on
redémarre le PC
Conditions pour rejoindre le domaine :
Pour ajouter un poste client dans le domaine il faut respecter les prérequis suivants :
• Être dans le même réseau que le serveur contrôleur de domaine

• Un bonne configuration DNS : pouvoir résoudre le nom du domaine !
• Avoir les identifiants d’un compte administrateur dans le domaine
Impossible de joindre le domaine :
Lors de l’ajout d’un poste client dans le domaine on peut rencontrer ces erreurs :
• Nom d’utilisateur ou mot de passe incorrect : les identifiants saisit sont

erroné
→ pour résoudre cette erreur il suffit de saisir les bons identifiants !
• Impossible de contacter un contrôleur de domaine AD :
Cette erreur indique que le poste client n’arrive pas à contacter notre serveur
contrôleur de domaine.
Pour trouver d’où vient le problème il faut procéder par étape avec le modèle OSI et
TCP/IP !
1. Couche physique et liaison :

On vérifie que notre câble Ethernet soit
bien branché à la prise murale et sur le
PC
2. Couche Réseau :
On va vérifier notre configuration IP et
vérifier la communication avec le serveur
Quelles commandes peut-on utiliser avec

le CMD ?
2. Couche Réseau :
ipconfig et ping !
Notre PC est bien sur le réseau local et communique bien avec le serveur
La dernière étape consiste à vérifier si le

PC arrive à résoudre le nom du domaine.
3. Couche Application :
On va vérifier la communication avec le
DNS et la résolution de nom
Quelle commande peut être utile pour

vérifier la résolution de nom en CMD ?
nslookup [nomdomaine] → cette commande envoi une requête DNS au serveur

indiqué dans sa configuration IP
Les premières lignes nous indiquent à

quel serveur le PC envoi sa requête.
On remarque que ce n’est pas la
bonne adresse.
L’ordinateur ne peut donc pas traduire

aston-ecole.local en adresse IP !
Il suffit de modifier l’IP du DNS dans la configuration réseau du poste client

(directement sur les propriétés de la carte si l’IP est statique ou dans le
gestionnaire DHCP du serveur si l’IP est dynamique)
On peut ensuite joindre le PC au domaine :

Se connecter avec un utilisateur de l’AD :
Une fois le poste client dans le domaine on peut se connecter avec n’importe quel utilisateur
de l’annuaire Active Directory
Se connecter avec un utilisateur de l’AD :
Une fois le poste client dans le domaine on peut se connecter avec n’importe quel utilisateur
de l’annuaire Active Directory
Se connecter avec un utilisateur local :
Même si l’ordinateur est dans le domaine, on peut toujours se connecter avec les utilisateurs
locaux.
Pour cela il faut cliquer sur Autre utilisateur et saisir son nom d’utilisateur précédé par le
nom de l’ordinateur.
Exemple : PC-01\Aston
Réinitialiser le mot de passe d’un utilisateur de l’AD :
Si un utilisateur oublie son mot de passe, il est possible de le réinitialiser depuis l’annuaire
Active Directory :
• Clic-droit sur le nom d’utilisateur

• Puis Réinitialiser le mot de passe
• On peut donner un mdp provisoire

que l’utilisateur devra changer lors
de sa prochaine connexion
• On peut déverrouiller le compte de
l’utilisateur si il est verrouiller
après un certains nombres de
tentatives erronées de saisi du
mot de passe
Sortir l’ordinateur du domaine :
Pour enlever le poste client du domaine, il suffit de le repasser en groupe de travail

Attention! Il faudra se connecter avec un utilisateur ayant les droits administrateurs du
domaine ou local
• Système → Renommer ce PC (acancé)
Sortir l’ordinateur du domaine :
Pour finir il faudra supprimer l’objet AD de l’ordinateur enlever du domaine dans l’annuaire
Active Directory :
Le PC à été désactivé
GESTION DES STRATÉGIES
DE GROUPE
GPO
Les stratégies de groupes _ GPO
Qu’est-ce qu’une GPO ?
• Une stratégie de groupe ou GPO (Group Policy Object) est un ensemble d’outils
intégrés à Windows Server qui permet au service informatique de centraliser la gestion
de l’environnement utilisateur et la configuration des machines grâce à l’application de
politiques
• Chaque GPO dispose de ses propres paramètres, définis par l’administrateur système, et
qui seront appliqués à des postes de travail, des serveurs ou des utilisateurs
• Par exemple : une GPO qui applique le même fond d’écran sur tous les postes clients du
domaine, sans que l’utilisateur puisse modifier l’image du fond d’écran
• Les avantages :
• configuration homogène entre les différentes machines du parc informatique, mais
aussi au niveau de l'environnement utilisateur
• Gain de temps en réalisant une modification qui s’applique sur un ensemble de postes
• Flexibles car on peut changer facilement la configuration d’une GPO
GPO local VS GPO Active Directory :
• GPO local :
Il est possible de configurer des stratégies de groupes sur une machine (Windows 10 ou
Server) hors domaine (workgroup) mais ces stratégies ne s’appliquent que sur cette machine.
GPO local VS GPO Active Directory :
• GPO Active Directory :
Les GPO Active Directory permettent, contrairement

aux GPO locales, d’appliquer des paramètres sur un
ensemble de postes et/ou un ensemble de comptes
utilisateurs
Pour ouvrir la console :

• Onglet Outils du Gestionnaire de serveur
• Puis Gestion des stratégies de groupe
Présentation de la console Gestion des stratégies de groupe
La forêt
Les domaines
Le domaine aston-
ecole.local
Les UO du domaine
aston-ecole.local
Arborescence Informations
de la forêt sur ce qu’on a
sélectionné
Dossier où sont rangées toutes les

GPO
Dossier où on range les filtres

WMI
Exemple : filtre qui applique une
GPO que sur les postes Windows
10
Dossier où sont rangées les modèles de

GPO
On peut lier des GPO sur les

différents sites du domaine
(utiles quand l’entreprise à
plusieurs agences)
Permet de tester des GPO avant

leur mise en production
Permet de visualiser les GPO qui

s’applique sur les postes du domaine à
distance
L’onglet Étendue affiche des

informations sur le GPO comme :
- Les emplacements où cette
GPO est lié
- Le filtrage de sécurité = à
quels groupes, utilisateurs ou
ordinateurs les paramètres
s’appliquent
L’onglet Détails affiche les

informations de base de la GPO
comme, le propriétaire, quand
elle a été créée, quand elle a été
modifiée pour la dernière fois,
son identifiant, ….
L’onglet Paramètres,
affiche toutes les
stratégies et les
paramètres qui
composent la GPO
Enfin, l’onglet Délégation, affiche

les autorisations pour la GPO
Ordre d’application des stratégies de groupe : LSDOU
• LSDOU pour Local, Site, Domain, Organizational Unit

Ordre d’application des stratégies de groupe : LSDOU
• Prioriser une GPO
Pour faire appliquer une GPO en priorité on va pouvoir utiliser l’option Appliqué.
Cette option est en réalité mal traduite → Enforced en anglais.
Une fois appliqué, la GPO aura un cadenas sur elle. Elle sera appliqué en priorité par
rapport aux autres GPO qui ne sont pas Enforced !
Créer une GPO :
• Créer une GPO sans la lier :

Clic-droit sur le dossier Objets de stratégie de groupe
Puis Créer une GPO
Créer une GPO :
• Créer une GPO en la liant à une UO ou à la racine du domaine :

Clic-droit où on souhaite lier la GPO
Puis Créer une GPO et la lier ici
Configurer une GPO :
• L’éditeur de GPO
Il faut faire clic-droit sur la GPO
Puis Modifier
Configurer une GPO :
• Exemple : Bloquer l’accès au CMD pour l’UO Compta

Windows-Server 2016

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows-Server 2016

Transféré par

Droits d'auteur :

Formats disponibles

Windows Server 2016

❖ Présentation Windows Server 2016

Sorti en octobre 2016, Windows Server 2016 est un système d’exploitation

Les différentes versions :

Windows Server Essentials :

• Destinée aux petites structures

Windows Server Standard :

• Cette version sera utile aux

Windows Server Datacenter :

• Il s’agit de la version la plus complète,

Tableau comparatif des éditions :

Les éditions Standard et Datacenter offrent trois options d’installation :

• Serveur Core : installation minimal du serveur, on utilisera la ligne de commande. Il est

Prérequis matériels minimum :

• Processeur : 1,4 GHz 64bits

Installation de Windows Server 2016 :

Installation de Windows Server 2016 :

Installation de Windows Server 2016 :

Installation de Windows Server 2016 :

Installation de Windows Server 2016 :

Installation de Windows Server 2016 :

• Le Tableau de bord affiche le démarrage

Installation de Windows Server 2016 :

WORKGROUP ou groupe de travail :

• Un groupe de travail permet la communication entre plusieurs machines dans un

• Clic-droit sur le menu démarrer

• Clic-droit sur le menu démarrer

Conditions pour joindre un domaine :

• Être dans le même réseau que le serveur contrôleur

Définition d’un domaine :

On parle de domaine Active Directory chez Microsoft :

Architecture Active Directory :

• Domaine : ensemble d’Unités

Avantages d’une forêt :

• Tous les arbres d’une forêt partagent un

c’est en quelque sorte un annuaire

Qu’est-ce qu’un contrôleur de domaine ?

• Un contrôleur de domaine est un serveur.

Par exemple, la fonctionnalité Clustering avec basculement augmente la fonctionnalité des

Les services de rôle sont des programmes logiciels qui fournissent la

Vous pouvez considérer un rôle comme un regroupement de services de rôle étroitement

Les trois grandes catégories de rôles serveur sont :

• Directement sur le Tableau de bord

• Via l’onglet Gérer puis « Ajouter des rôles et des fonctionnalités :

• Puis on ajoute les

On clique sur Suivant jusqu’à l’onglet

On peut cocher le redémarrage

Pour finir on clique sur installer !

Nous avons trois options de déploiement :

• Ajouter un nouveau domaine à une forêt

• Créer une nouvelle forêt et donc créer

On choisit la troisième option et on saisit le nom de notre domaine.

• Niveau fonctionnel de la forêt : version

• Contrôleur de domaine en lecture seule

• On choisit un mot de passe pour la

• Ici on peut créer une délégation DNS dans

• On rencontre une erreur car nous sommes

• Il faut vérifier et/ou modifier le nom

• NetBIOS est un système de nommage

• 15 caractères maximum pour un nom

• En CMD, on peut utiliser la commande

• On laisse les chemins d’accès par défaut.

• NTDS : Pour NT Directory Services, l’ancien

• SYSVOL : dossier qui contient toutes les