TP 4 : Unités d’organisation, comptes, groupes, profils et

powershell
I ENVIRONNEMENT LOGICIEL ET MATÉRIEL

Vous disposez de :
 Windows 2016 server Datacenter en tant que contrôleur de domaine ActiveDirectory
sur le domaine « votrenom.local» ;
 Windows 10 intégré au domaine "votrenom.local" :

II PRÉPARATION

Supprimer vos unités d’organisation, vos utilisateurs, vos groupes et les répertoires de base de vos
utilisateurs situés dans le répertoire c:\homes.

III CRÉATION DE COMPTES

Pour aller à l’essentiel nous allons utiliser un script Powershell pour créer nos comptes utilisateurs sur
le serveur Windows 2016. Vous le trouverez sur le serveur de fichier, répertoire
ressourcesSIO2\Bloc2Serveurs\AD.
Commencez par afficher les modules disponibles par la cmdlet : GET-MODULE –ListAvailable
Le script utilise deux modules Powershell, ActiveDirectory et NTFSSECURITY. Le second est absent
et doit être téléchargé ici : https://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-
acef-90dbb2b84e85. Il est disponible aussi sur le serveur de fichiers dans
ressourcesSIO2\Bloc2Serveurs\AD.
Une fois téléchargé, mettez le dossier dézippé du module NTFSSecurity dans le répertoire
C:\Windows\System32\WindowsPowerShell\v1.0\Modules. N’oubliez pas de débloquer chacun des
fichiers de ce répertoire pour pouvoir les utiliser sur votre serveur Win2016.
Il faut ensuite le charger via la cmdlet : Import-module NTFSSecurity
Affichez maintenant toutes les cmdlets de ce module par la cmdlet : GET-COMMAND –Module
NTFSSecurity.
Affichez maintenant toutes les cmdlets du module ACTIVE DIRECTORY par la cmdlet : GET-
COMMAND –Module ActiveDirectory.
Exécutez le script Powershell sur votre serveur Windows 2016.

IV COMPREHENSION DE L‘ARCHITECTURE CRÉÉE

Dessinez ci-dessous l’architecture des unités d’organisation créée.

Quelle commande, en Powershell, crée une unité d’organisation ?

1 Marie-pascale Delamare
Dessinez ci-dessous l’Architecture des groupes créée.

Quelle commande Powershell crée un groupe ?

Combien de types de groupe sont utilisés dans ce script ?

Précisez l’utilité de ces différents types de groupe.

Combien d’étendues de groupe sont utilisées dans ce script ?

Précisez l’utilité de ces différentes étendues.

Comment rajoute-t-on un utilisateur dans un groupe dans le script ?

Dessinez ci-dessous l’architecture des répertoires créés

Quelle commande Powershell crée un répertoire ?

Quelle commande change le propriétaire d’un répertoire ?

2 Marie-pascale Delamare
V ESSAIS DE CONNEXION D’UTILISATEURS

Une fois que les comptes d’utilisateurs et les groupes ont été créés, nous pouvons en tester le
« fonctionnement ».
Essayez de vous « loguer » avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du
domaine sur le poste installé en Windows 2008 serveur et disposant dorénavant de l’Active Directory)
- mot de passe Password1.
Sur le Serveur - Y arrivez-vous ?  Oui  Non
Sur la Station (domaine) - Y arrivez-vous ?  Oui  Non
Sur la Station (machine locale) - Y arrivez-vous ?  Oui  Non
Tirez en les conclusions qui s’imposent sur les possibilités de connexion des utilisateurs du domaine
depuis les postes.
- Sur le serveur :
- Sur la station (domaine) :
- Sur la station (machine locale)
Nota : des tests complets exigeraient des tenter une connexion pour chaque compte.
Quelle commande Powershell crée un utilisateur ?

Où sont créés les utilisateurs ?

Ont-ils un répertoire personnel ?

Quels sont les droits NTFS de ce type de répertoire ?

Qu’est-ce que le « créateur propriétaire » ?

Quelle sont les propriétés d’un utilisateur permettant de gérer son répertoire personnel ? Quels sont
leurs noms dans la commande powershell de création d’un utilisateur ?

3 Marie-pascale Delamare
VI OBSERVATION DE L‘ARCHITECTURE CRÉÉE

Dessinez ci-dessous l’architecture des répertoires créés après avoir vérifié d’éventuels changements.

Remarque : Pour l’afficher les fichiers masqués dans l’Explorateur Windows, dans Panneau de
configuration, puis sur Options des dossiers. Dans l’onglet Affichage de la boîte de dialogue
Options des dossiers, sous Paramètres avancés, activez la case à cocher Afficher les fichiers et
dossiers cachés. Désactivez la case à cocher Cacher les extensions des fichiers dont le type est
connu, puis cliquez sur 0K.

VII LES PROFILS UTILISATEUR

Dans Windows 10, l’environnement informatique d’un utilisateur est essentiellement déterminé par
son profil d’utilisateur. Pour des raisons de sécurité, Windows 10 nécessite un profil d’utilisateur
pour chaque compte d’utilisateur pouvant accéder au système.
Le profil d’utilisateur contient tous les paramètres que l’utilisateur peut définir pour l’environnement
de travail d’un ordinateur qui exécute Windows 10 à savoir les paramètres de l’affichage, les
paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et
aux imprimantes. Vous pouvez configurer des profils d’utilisateur pour qu’un profil suive un
utilisateur sur chaque ordinateur sur lequel il ouvre une session.
Le profil d’utilisateur est créé à la première ouverture de session de l’utilisateur sur un ordinateur.
Tous les paramètres propres à l’utilisateur sont automatiquement enregistrés dans le sous-dossier de
cet utilisateur dans le dossier Utilisateurs. Lorsque l’utilisateur ferme la session, son profil
d’utilisateur est mis à jour sur l’ordinateur sur lequel il avait ouvert la session. Le profil d’utilisateur
conserve donc les paramètres de bureau de l’environnement de travail de chaque utilisateur sur
l’ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d’utilisateur
obligatoires.
Les types de profils d’utilisateur sont présentés ci-dessous.
 Profil d’utilisateur local. Ce profil est créé la première fois qu’un utilisateur ouvre une session sur
un ordinateur, et est stocké sur l’ordinateur local dans le répertoire "Utilisateurs". Toutes les
modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les
changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur.
 Profil d’utilisateur itinérant. Ce profil est créé par l’administrateur système et stocké sur un
serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur
le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur
est mis à jour sur le serveur lorsqu’il ferme la session.
 Profil d’utilisateur obligatoire. Ce profil est créé par l’administrateur pour indiquer les paramètres
particuliers d’un utilisateur ou d’utilisateurs, et peut être de type local ou itinérant. Un profil
d’utilisateur obligatoire ne permet pas à un utilisateur d’enregistrer des modifications apportées aux
paramètres de son bureau. L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur
lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.

4 Marie-pascale Delamare
VII.1 CRÉATION DE PROFILS D’UTILISATEUR ITINÉRANTS

Vous pouvez stocker des profils d’utilisateur sur un serveur pour qu’ils soient disponibles à chaque
fois qu’un utilisateur ouvre une session sur un ordinateur du réseau. Les profils d’utilisateur itinérants
et obligatoires sont stockés de façon centralisée sur un serveur, afin de permettre aux utilisateurs de
disposer du même environnement de travail quel que soit l’ordinateur sur lequel ils ouvrent une
session.
Pour créer un profil d’utilisateur itinérant, suivez la procédure ci-dessous :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. Dans le volet de détails, cliquez
avec le bouton droit sur le compte d’utilisateur approprié, puis cliquez sur Propriétés. Dans
l’onglet Profil, sous Profil utilisateur, tapez le chemin du dossier partagé dans la zone Chemin
du profil. Le chemin d’accès doit s’afficher de la façon suivante
"\\serveur\dossier_partagé\votreUtilisateur" (Vous pouvez utiliser la variable %username% au
lieu d’indiquer le nom de l’utilisateur. Windows 2008 remplace alors automatiquement
%username% par le nom du compte d’utilisateur du profil d’utilisateur itinérant).
2. Connectez-vous sur la machine 10 avec ce compte utilisateur. Rajoutez une icône sur le bureau.
Puis déconnectez-vous.
3. Sur le serveur, en tant qu'administrateur appropriez-vous ce dosssier "Profils$\VotreUtilisateur"
mais laissez bien tous les droits à votreUtilisateur. Observez son contenu en faisant apparaître les
fichiers cachés.
Remarque : Le fichier Ntuser.dat contient la section du registre qui s’applique au compte
d’utilisateur, et contient les paramètres du profil d’utilisateur. Ce fichier se trouve dans le dossier de
profil de l’utilisateur.

Quelle commande Powershell indique à l’utilisateur où sauvegarder son profil ?

Pourquoi le profil de l’utilisateur n’apparaissait pas avant la première connexion sous le compte de
l’utilisateur ?

5 Marie-pascale Delamare
 Annexe : Le script powershell à utiliser après modification

# On importe le module active directory et le module de gestion NTFS

Import-Module ActiveDirectory
Import-Module NTFSSECURITY

#Gestion emplacement des repertoires personnels

#Attention à changer l’adresse IP
$ipServeurDeFichiers = "172.31.0.100"
$emplacement= "\\" + $ipServeurDeFichiers + "\homes\"

#Gestion emplacement des repertoires de profils

$partage= "\\" + $ipServeurDeFichiers + "\profils$\"

# Creation des unites d'organisation

# Attention à changer le domaine

New-ADOrganizationalUnit -Name Departements -Path "DC=delamare,DC=local"

New-ADOrganizationalUnit -Name Groupes -Path "DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Artistes -Path
"OU=Departements,DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Auteurs -Path
"OU=Departements,DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Direction -Path
"OU=Departements,DC=delamare,DC=local"

# Creation des groupes

# Attention à changer le domaine

$chemin = "OU=Groupes,DC=delamare,DC=local"

# Creation des groupes globaux

New-ADGroup -Name gg_Artistes -Path "$chemin" -GroupCategory Security -
GroupScope Global `
-SamAccountName gg_Artistes
New-ADGroup -Name gg_Auteurs -Path "$chemin" -GroupCategory Security -
GroupScope Global `
-SamAccountName gg_Auteurs
New-ADGroup -Name gg_Direction -Path "$chemin" -GroupCategory Security -
GroupScope Global `
-SamAccountName gg_Direction

# Creation des groupes locaux

New-ADGroup -Name Rep_ArtistesRO -Path "$chemin" -GroupCategory Security -
GroupScope DomainLocal `
-SamAccountName Rep_ArtistesRO
New-ADGroup -Name Rep_ArtistesRW -Path "$chemin" -GroupCategory Security -
GroupScope DomainLocal `
-SamAccountName Rep_ArtistesRW
New-ADGroup -Name Rep_AuteursRO -Path "$chemin" -GroupCategory Security -
GroupScope DomainLocal `
-SamAccountName Rep_AuteursRO
New-ADGroup -Name Rep_AuteursRW -Path "$chemin" -GroupCategory Security -
GroupScope DomainLocal `
-SamAccountName Rep_AuteursRW
New-ADGroup -Name Repl_DirectionRO -Path "$chemin" -GroupCategory Security
-GroupScope DomainLocal `
-SamAccountName Rep_DirectionRO

6 Marie-pascale Delamare
New-ADGroup -Name Repl_DirectionRW -Path "$chemin" -GroupCategory Security
-GroupScope DomainLocal `
-SamAccountName Rep_DirectionRW

# Ajout des groupes globaux dans les groupes de domaine locaux

Add-ADGroupMember -Identity Rep_ArtistesRW -Members gg_Artistes
Add-ADGroupMember -Identity Rep_AuteursRW -Members gg_Auteurs
Add-ADGroupMember -Identity Rep_DirectionRw -Members gg_Direction

#Chiffrement du mot de passe

$securepwd = ConvertTo-SecureString "Password1" -AsPlainText -Force

Import-Csv C:\Users\Administrateur\Desktop\annuaire.csv -Delimiter ";" |

ForEach {

# Attention à changer le domaine

$chemin = "OU="+ $_.OU + ",OU=Departements,DC=delamare,DC=local"

#Ajout utilisateur
$sam = $_.SamAccountName
$displayName = $_.Name + " " + $_.GivenName
$dossier = $emplacement + $sam
$profil = $partage + $sam

New-ADUser -Path "$chemin" `

-SamAccountName $sam `
-Name $_.Name `
-SurName $_.Name `
-GivenName $_.GivenName `
-DisplayName "$displayName" `
-AccountPassword $securepwd `
-HomeDirectory $dossier `
-HomeDrive 'U:' `
-ProfilePath $profil `
-Enabled $true

# On affecte ensuite les utilisateurs dans leur groupe respectif

# Attention à changer le domaine

$chemin = "CN=" + $_.Groupe + ",OU=Groupes,DC=delamare,DC=local"

Add-ADGroupMember -Identity $chemin -Members $sam

# On cree le repertoire de chaque utilisateur et on change le

propriétaire
# Attention à changer le domaine
Set-Location $emplacement
New-item -Name $sam -ItemType directory | Set-NTFSOwner -Account
"delamare.local\$sam"
Add-NTFSAccess -Path $dossier -Account "$sam@delamare.local" -
AccessRights Full

7 Marie-pascale Delamare