TP 3 : NTFS et Active Directory

I ENVIRONNEMENT LOGICIEL ET MATÉRIEL

Vous disposez de :
 Windows 2016 server Datacenter en tant que contrôleur de domaine ActiveDirectory
sur le domaine « votrenom.local» ;
 Windows 10 virtuel intégré au domaine "votrenom.local" :

II CRÉATION DE GROUPES LOCAUX

Pour ce tp, vous utilisez les groupes globaux crées au cours du tp précédent.
L’objectif est de créer des espaces de partage de fichiers pour les différents départements de
l’entreprise.
Le principe veut que l’on crée des groupes locaux qui auront accès aux ressources partagées. Groupe
locaux qui contiendront les groupes globaux et donc par leur intermédiaires les utilisateurs.

Pour créer un groupe local il faut procéder de la manière suivante (à compléter par vos soins) :

Créez vos six groupes locaux Rep_artistesRO, Rep_artistesRW, Rep_auteursRO, Rep_auteursRW,

Rep_directionRO et Rep_directionRW. Les membres de ces groupes seront respectivement les
groupes gg_artistes, gg_auteurs et gg_direction pour les droits en RW.

III CRÉATION DES DOSSIERS PARTAGÉS DES DÉPARTEMENTS

Créez les répertoires « Departements », puis les sous-répertoires « Artistes », « Auteurs » et

« Direction ». Créez pour chacun d’entre eux un partage accessible à « Tout le monde » en
lecture/écriture

1 Marie-pascale Delamare d'après Genaël Valet

Dans l’onglet Sécurité du dossier Departement, activez l’héritage. Puis pour chaque dossier, toujours
dans l’onglet sécurité, transformez ces autorisations héritées en autorisations explicites en désactivant
l’héritage (« Avancé »).
Regardez bien les autorisations associées à chaque groupe hérité. Conservez les mêmes autorisations
pour les trois groupes Administrateurs, Créateur propriétaire, Système et donnez les mêmes
autorisations que celles qu'a le groupe "Utilisateurs" à chacun des groupes autorisés à accéder à un
partage. Par exemple, donnez au groupe « Rep_artistesRW » les mêmes droits qu’avait le groupe «
Utilisateurs » sur le répertoire de partage « Artistes ». En effet, seuls les artistes doivent avoir accès au
partage "Artistes" et seul le propriétaire d'un fichier ou d'un dossier créé dans ce partage doit pouvoir
détruire ce fichier ou ce dossier.
Pour réaliser cette opération vous devrez afficher les autorisations avancées du groupe dans
« Avancé ».

Testez ensuite pour chaque utilisateur membre des groupes l’accès à ces répertoires en effectuant un
mappage réseau manuel depuis le poste client de votre domaine. Attention, un artiste ne doit pas avoir
accès au répertoire « Auteurs » et vice-versa.
Pour effectuer un mappage réseau (X:), il est possible d’utiliser la commande suivante depuis l’invite
de commande (Sur le poste client):
Net use X: \\NOMDUSERVEUR\NOMDUPARTAGE
Sous Windows 10
Art1 accède-t-il à son répertoire de partage ?  Oui  Non
Art1 peut-il créer un répertoire ?  Oui  Non
Art1 peut-il créer un fichier ?  Oui  Non
Art1 accède-t-il au répertoire de partage des Auteurs?  Oui  Non
Art1 accède-t-il au répertoire de partage de la Direction ?  Oui  Non
Art2 peut-il détruire un répertoire créé par Art1 ?  Oui  Non
Art2 peut-il détruire un fichier créé par de Art1 ?  Oui  Non

2 Marie-pascale Delamare d'après Genaël Valet

IV PROBLÉMATIQUE À RÉSOUDRE

L’architecture des répertoires mise en place, la direction exprime de nouveaux besoins :

L’utilisateur « pbocuse » (Paul BOCUSE), nouveau directeur des «Artistes» et des «Auteurs» doit
avoir accès aux documents des 2 départements en lecture/écriture

Proposer une solution à ce problème en gardant bien à l’esprit qu’il vaut mieux
raisonner au niveau groupe qu’au niveau utilisateur. Il est possible de créer de
nouveaux groupes pour satisfaire ces besoins mais aussi d’ajouter un utilisateur à un
groupe pour qu’il bénéficie des permissions accordées au groupe.
Expliquez ci-dessous votre démarche.

Mettez en œuvre votre solution et testez tous les cas de figure depuis le poste client.
pBocuse accède-t-il aux deux répertoires partagés (Auteurs et Artistes) ?
 Oui  Non
pBocuse peut-il créer des dossiers dans les deux répertoires (Auteurs et Artistes) ?
 Oui  Non
pBocuse peut-il créer des fichiers dans les deux répertoires (Auteurs et Artistes) ?
 Oui  Non
pBocuse peut-il supprimer des fichiers qui ne lui appartiennent pas ?
 Oui  Non
pBocuse peut-il supprimer des répertoires qui ne lui appartiennent pas ?
 Oui  Non

V SCRIPTING : AUTOMATISATION DE LA CONNEXION DES LECTEURS RÉSEAU

Plutôt que de laisser les utilisateurs connecter manuellement les lecteurs réseau correspondants à leurs
partages nous allons faire des scripts de connexion.
Sur le poste Windows 10, créez un script "Artistes.bat" dans lequel vous insérez la commande Net use
nécessaire et que vous testez en local.
Faites la même chose pour le groupe "Auteurs".
Faites la même chose pour l'utilisateur pBocuse qui lui doit avoir deux lecteurs réseau.
Recopiez ensuite ces scripts dans le répertoire partagé en lecture seule, sous le nom Netlogon
(C:\Windows\SYSVOL\sysvol\delamare.local\scripts) du serveur Win 2016.
Affichez ensuite les propriétés des utilisateurs des groupes "Artistes" et "Auteurs" et inscrivez le nom
du script à déclencher à l'ouverture de session (onglet Profil).
Testez ensuite avec un artiste, un auteur et avec l'utilisateur pBocuse.
Réalisez ci-dessous votre plan de tests.

3 Marie-pascale Delamare d'après Genaël Valet