Académique Documents
Professionnel Documents
Culture Documents
Vous disposez de :
Windows 2016 server Datacenter en tant que contrôleur de domaine ActiveDirectory
sur le domaine « votrenom.local» ;
Windows 10 intégré au domaine "votrenom.local" :
II INTRODUCTION
Les comptes et les groupes permettent de gérer plus facilement l’administration du réseau. Il semble
assez logique que sur un réseau, n’importe qui ne fasse pas n’importe quoi. L’Administrateur a
généralement des droits et des permissions élevés sur tous les objets du réseau (comptes d’utilisateurs,
machines, dossiers…) alors que les utilisateurs ont des droits moindres. Pour faciliter encore cette
gestion on peut regrouper les utilisateurs en groupes et c’est à tel ou tel groupe qu’on va attribuer des
droits ou des permissions.
Nous avons déjà vu en première année qu’il existait des comptes locaux permettant de travailler en
groupe de travail (workgroup) mais leur rôle se limite à autoriser l’accès à une machine locale et non à
l’ensemble des ressources d’un domaine.
Pour accéder à l’ensemble des ressources d’un domaine il faut créer des comptes et des groupes
accessibles depuis n’importe quel poste (sauf limitations particulières). Ces comptes d’utilisateurs et
ces groupes sont stockés dans la base de données de l’Active Directory, base de données stockée sur le
serveur qui a été installé en Active Directory.
Pour essayer de mettre en évidence ces notions, nous allons créer cinq comptes d’utilisateurs (Art1,
Art2, Aut1, Aut2 et Boss). Ultérieurement, lors des autres TP, les "Artistes" auront le droit de faire des
choses, les "Auteurs" n’auront que des droits minimums et le Boss aura des droits d’administrateur.
Bien qu'il soit plus prudent de créer les répertoires utilisateurs dans une partition autre que celle du
système, créez un répertoire "homes" puis un partage réseau pour ce répertoire accessible à « Tout le
monde » en « Lecture/Écriture » (onglet « Partage »).
Modifiez les permissions NTFS du répertoire « homes » afin de limiter les permissions pour
l’utilisateur « Tout le monde » à ce dossier (pour cela onglet « Sécurité », bouton « Avancé »,
sélection de l’utilisateur « Tout le monde », bouton « Modifier », puis « S’applique à » : « Ce dossier
seulement ». Conservez les autres permissions.
IV CRÉATION DES OU
Les «Unités d’Organisation » permettent d’appliquer des stratégies différentes aux utilisateurs et aux
groupes d’utilisateurs mais aussi de structurer les objets ActiveDirectory dans l’arborescence.
Sous la racine, créez l’OU « Départements » et ajoutez-y les OU « artistes » et « auteurs » et "
direction" à partir de l’outil « Utilisateurs et ordinateurs Active Directory »
Sous la racine, créez l'UO Groupes.
Pour les besoins des TP ultérieurs, nous allons créer trois groupes d’utilisateurs (Groupe des Artistes,
Groupe des Auteurs et Direction) dans l'UO "Groupes".
1. Cliquez sur votre UO "Groupes", faites un clic droit, « Nouveau », « Groupe », en respectant la
casse proposée, saisissez dans la zone « Nom de groupe » : gg_Artistes.
2. Laissez l’option « Globale » dans « Étendue du groupe » et « Sécurité » dans « Type de groupe »
3. Recommencez pour gg_Auteurs et gg_Direction.
Nous allons maintenant affecter les utilisateurs Art1, Art2, Aut1, Aut2 et Boss à leur(s) groupe(s)
respectif(s).
1. Cliquez ensuite sur l'UO "groupes", puis sur le groupe gp_Artistes et cliquez sur « Propriétés »
dans le menu contextuel qui apparaît, cliquez sur l’onglet « Membres » puis sur le bouton
« Ajouter… ». Dans la liste des utilisateurs qui apparaît dans la partie supérieure faites un double
clic (ou un simple clic puis « Ajouter ») sur les utilisateurs suivants : Art1, Art2. Validez en
cliquant sur « OK ».
2. Recommencez la procédure avec le groupe : gg_auteurs où vous ajouterez Aut1 et Aut2 !
3. Recommencez la procédure avec le groupe : gg_direction où vous ajouterez Boss !
4. Ajoutez aussi le compte Boss dans le groupe "Administrateurs" !
Une fois que les comptes d’utilisateurs et les groupes ont été créés, nous pouvons en tester le
« fonctionnement ».
Essayez de vous « loguer » avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du
domaine sur le poste installé en Windows 2016 serveur et disposant dorénavant de l’Active Directory)
- mot de passe Password1.
Sur le Serveur - Y arrivez vous ? Oui Non
Sur la Station (domaine) - Y arrivez vous ? Oui Non
Sur la Station (machine locale) - Y arrivez vous ? Oui Non
Faites la même chose avec le compte Aut1 (Monsieur Auteur – mot de passe Auteur)
Sur le Serveur - Y arrivez vous ? Oui Non
Sur la Station (domaine) - Y arrivez vous ? Oui Non
Sur la Station (machine locale) - Y arrivez vous ? Oui Non
Faites la même chose avec le compte Boss (Monsieur Boss – mot de passe boss)
Sur le Serveur - Y arrivez vous ? Oui Non
Sur la Station (domaine) - Y arrivez vous ? Oui Non
Sur la Station (machine locale) - Y arrivez vous ? Oui Non
Tirez en les conclusions qui s’imposent sur les possibilités de connexion des utilisateurs du domaine
lorsque les postes qui sont installés en domaine.
- Sur le serveur :
- Sur la station (domaine) :
- Sur la station (machine locale) :
Pour des raisons diverses (sécurité, confidentialité…) il est possible de limiter l’accès d’un utilisateur
à tel ou tel poste de l’entreprise. Chaque utilisateur peut ainsi se voir limiter l’accès à certaines stations
seulement.
Aut1 est vraiment très maladroit et nous avons décidé de limiter son accès à une seule station car on
ignore quels dégâts il pourrait faire s’il se connectait sur une autre !
Cliquez sur la bonne UO, la liste des utilisateurs s’affiche, faites un clic droit sur l’utilisateur Aut1 et
cliquez sur « Propriétés » dans le menu contextuel qui apparaît, cliquez sur l’onglet « Compte » puis
sur le bouton « Se connecter à… » et activez le choix Les ordinateurs suivants en cliquant sur le
radio-bouton correspondant (ici choisir une station qui n'existe pas).
Vérifiez que dorénavant Monsieur Auteur ne pourra plus se connecter QUE sur la station autorisée !
Dans Windows 10, l’environnement informatique d’un utilisateur est essentiellement déterminé par
son profil d’utilisateur. Pour des raisons de sécurité, Windows 10 nécessite un profil d’utilisateur
pour chaque compte d’utilisateur pouvant accéder au système.
Le profil d’utilisateur est créé à la première ouverture de session de l’utilisateur sur un ordinateur.
Tous les paramètres propres à l’utilisateur sont automatiquement enregistrés dans le sous-dossier de
cet utilisateur dans le dossier Utilisateurs. Lorsque l’utilisateur ferme la session, son profil
d’utilisateur est mis à jour sur l’ordinateur sur lequel il avait ouvert la session. Le profil d’utilisateur
conserve donc les paramètres de bureau de l’environnement de travail de chaque utilisateur sur
l’ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d’utilisateur
obligatoires.
Les types de profils d’utilisateur sont présentés ci-dessous.
Profil d’utilisateur local. Ce profil est créé la première fois qu’un utilisateur ouvre une session sur
un ordinateur, et est stocké sur l’ordinateur local dans le répertoire "Utilisateurs". Toutes les
modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les
changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur.
Profil d’utilisateur itinérant. Ce profil est créé par l’administrateur système et stocké sur un
serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur
le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur
est mis à jour sur le serveur lorsqu’il ferme la session.
Profil d’utilisateur obligatoire. Ce profil est créé par l’administrateur pour indiquer les paramètres
particuliers d’un utilisateur ou d’utilisateurs, et peut être de type local ou itinérant. Un profil
d’utilisateur obligatoire ne permet pas à un utilisateur d’enregistrer des modifications apportées aux
paramètres de son bureau. L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur
lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.
Vous pouvez stocker des profils d’utilisateur sur un serveur pour qu’ils soient disponibles à chaque
fois qu’un utilisateur ouvre une session sur un ordinateur du réseau. Les profils sont stockés de façon
centralisée afin de permettre aux utilisateurs de disposer du même environnement de travail quel que
soit l’ordinateur sur lequel ils ouvrent une session.
Pour créer un profil d’utilisateur itinérant, suivez la procédure ci-dessous :
1. Créez un dossier partagé caché ($ à la fin du nom) sur le serveur, et donnez à "Tout le monde"
l’autorisation "Modifier" sur ce dossier. Dans l’onglet « Sécurité » les « utilisateurs authentifiés »
doivent avoir le contrôle total.
2. Indiquez le chemin d’accès du dossier partagé. Ouvrez la console Utilisateurs et ordinateurs
Active Directory. Dans le volet de détails, cliquez avec le bouton droit sur le compte d’utilisateur
approprié, puis cliquez sur Propriétés. Dans l’onglet Profil, sous Profil utilisateur, tapez le
chemin du dossier partagé dans la zone Chemin du profil. Le chemin d’accès doit s’afficher de la
façon suivante "\\serveur\dossier_partagé\votreUtilisateur" (Vous pouvez utiliser la variable
%username% au lieu d’indiquer le nom de l’utilisateur.)
3. Connectez-vous sur la machine 10 avec ce compte utilisateur. Rajoutez une icône sur le bureau.
Puis déconnectez-vous.