Département Génie Electrique & Informatique Filière Réseaux & Télécoms

Administration & Sécurité des réseaux

Pr. M. EL GHAZI

Atelier II

Gestion des objets Active Directory et administration (configuration) de l’accès

utilisateur aux ressources réseau.
❑ TP II.3 : Gestion des comptes utilisateur et de groupes locaux de machine (sans AD)
❑ TP II.4 : Exploration, création et gestion des comptes d’utilisateurs et de groupes
Active Directory

➢ Le compte rendu est individuel : Chaque étudiant rédige son propre compte-rendu.

➢ Documentez chaque étape de configuration des TP de l’atelier par des captures d’écran qui
montrent clairement les configurations effectuées.

➢ La note obtenue sur le compte rendu est proportionnelle à la qualité et au soin apportés au
compte rendu (qualité de rédaction, documentation, clarté des réponses aux questions posées
et des commentaires des résultats obtenus).

➢ Adresse e-mail de remise des comptes-rendus : mohammed.elghazi@usmba.ac.ma

Très important à noter :

La note finale Nf de TP « Administration et sécurité des réseaux » sera calculée comme suit :

❑ Note N1 = moyenne des notes Ni des différents comptes rendus des TPs : N1 =(∑𝒏𝒊=𝟏 𝑵𝒊)/𝒏
❑ Note N2 = moyenne des notes Mi de présence à tous les TPs : N2 =(∑𝒏𝒊=𝟏 𝑴𝒊)/𝒏
❑ Note N3 = moyenne des notes Li de sérieux dans le travail en salle de TP : N3 =(∑𝒏𝒊=𝟏 𝑳𝒊)/𝒏
❑ Note N4 = Note de l’examen final en TP

𝐍𝟏+𝐍𝟐+𝐍𝟑+𝐍𝟒
Nf = 𝟒
Notez bien aussi que Toute absence non justifiée à une séance i de TP vous coûtera :
➢ Un zéro de présence à la séance i
➢ Un zéro de sérieux dans le travail en salle de TP pour la séance i
➢ Un zéro sur le compte rendu de la séance i.
‫وقد أعذر من أنذر‬

1
L'atelier I avait pour objectif de préparer et monter l'environnement virtuel de domaine(s) Active
Directory (AD) en vue d'y pratiquer l'administration centralisée des objets AD (dont les ressources
réseaux auxquelles accèdent les utilisateurs dans les différents domaines AD).

L'atelier II a pour objectif principal de présenter les outils AD et la méthodologie Microsoft

(Windows Server) permettant de gérer de façon centrale et aisée l'accès des utilisateurs des
domaines AD aux ressources réseau de ces domaines.

Cet atelier II comprend plusieurs TP :

❑ TP II.1 : Gestion des comptes utilisateur et de groupes locaux de machine (sans AD)
❑ TP II.2 : Exploration, création et gestion des comptes d’utilisateurs et de groupes Active
Directory
❑ TP II.3 : Gestion de l’imbrication des groupes Active Directory en vue de l’accès optimal
aux ressources réseau.
❑ TP II.4 : Accès optimal aux ressources réseau de la forêt AD
❑ TP II.5 : Conception, déploiement et gestion des Unité d’Organisation.

Ce document couvre les TP II.3 et TP II.4.

2
 Partage, administration et sécurisation des ressources dans les
domaines AD

Objectifs
❑ Comprendre la portée (ou étendue) de chaque type de compte de groupe AD, son contenu et son imbrication
éventuelle dans d’autres types de groupes.
❑ Savoir optimiser l'accès des utilisateurs des domaines AD aux ressources partagées dans ces domaines via
les différents types de comptes de groupe.
❑ Vérifier le fonctionnement des relations d'approbation entre les domaines d'une forêt AD.

Partie 1 :
1. Comprendre la portée de chaque type de groupe AD et son contenu.
2. Configurer l'accès optimal des utilisateurs aux ressources partagées des domaines en
utilisant les groupes AD

1) Comprendre la portée de chaque type de groupe AD et son contenu.

Les conclusions auxquelles vous êtes arrivés avec les TP 1 et 2 de l'atelier II doivent aboutir aux résultats
synthétisés dans le tableau suivant :

Etendue de groupe Membres Membres d'un Membres d'un Possibilité de se voir

d'un même domaine dans domaine attribuer des
domaine la même forêt externe autorisations d'accès
approuvé aux ressources
Local (Ordinateur UserD, Ordi, UserD, Ordi, UserD, Ordi, Sur l'ordinateur local
local, joint au GG, GLD, GU GG, GU GG uniquement
domaine mais non et userL
contrôleur de
domaine,)
Domaine local UserD, Ordi, UserD, Ordi, UserD, Ordi, N'importe où dans le
GG, GLD, GU GG, GU GG domaine
Universel UserD, Ordi, UserD, Ordi, N/A N'importe où dans la
GG, GU GG, GU forêt
Global UserD, Ordi, N/A N/A N'importe où dans le
GG domaine ou domaine
approuvé.

Revérifiez ces résultats par des manips sur vos machines virtuelles (SM et CD).

3
 2) Créer et partager des ressources dans les domaines AD et configurer l'accès
optimal des utilisateurs à ces ressources

Réseau virtuel de mise en œuvre et de test.

➢ Domaine AD : rt2.est
➢ Utilisateurs du domaine rt2.est :
Contrôleur de domaine du domaine rt2.est
• Administrateur du domaine rt2.est
• Utilisateur (User 1) du domaine rt2.est
➢ Ordinateurs du domaine rt2.est
• CD du domaine rt2.est
• SM du domaine rt2.est (SA joint au domaine
rt2.est)
• Poste client WXP1 joint au domaine rt2.est.
WXP1 WXP2
On suppose que les deux contrôleurs de domaine du TP
fonctionnent en mode natif (niveau fonctionnel
Windows Server 2003). Utilisateur1 Utilisateur2

Création et partage de ressources disque

Questions de compréhension

1) Que signifie la notion de partage ?

2) A quoi servent les permissions de partage relatives aux ressources disque ?

3) Quelles sont les permissions de partage relatives aux ressources disque ?

4) Quand les permissions de partage sont-elles opérationnelles et quand elles ne sont pas opérationnelles ?

5) Est-il obligatoire de partager une ressource disque avant de la sécuriser avec des permissions de partage ?

4
A. Création et partage de ressources disque dans un Serveur Autonome (SA)

a) Créez sur le bureau du SA la structure de dossiers REP1/SREP1.1/SREP1.2

b) Copier deux fichiers texte (fich1.txt et fich2.txt) dans chacun des trois dossiers de l'arborescence
c) Partagez le dossier REP1
Manip :
Clic droit sur le dossier REP1  Propriétés …

d) Quelles sont les différentes permissions de partage offertes par le système ?

e) Qui a le droit par défaut d'accéder à ce dossier et avec quel permission ? Cette permission se limite-elle
uniquement à REP1 ou au contraire s'étend-elle aux SREP1.1 et SREP1.2 et leurs contenus ?

f) Quels types de comptes peuvent se voir affecter des permissions de partage sur l'arborescence REP1 ?

g) Mettez en œuvre le schéma ci-dessous d’accès optimal des différents utilisateurs aux ressources Ri.

5
 Création et partage de ressources disque dans le domaine rt2.est

Nous allons examiner dans ce qui suit le partage de ressources disque dans le domaine rt2.est. Deux
cas de figure se présentent à nous :
❑ La ressource disque se trouve localement dans un serveur membre non contrôleur de domaine
❑ La ressource disque se trouve localement dans un contrôleur de domaine.

B. Création et partage de ressources disque dans le serveur membre (SM) du domaine rt2.est

a) Joignez le serveur autonome au domaine rt2.est.

b) Vérifiez de nouveau qui a le droit par défaut d'accéder au dossier partagé REP1 et avec quel permission ? Cette
permission se limite-elle uniquement à REP1 ou au contraire s'étend-elle aux SREP1.1 et SREP1.2 et leurs
contenus ?

c) Quels types de comptes peuvent se voir affecter des permissions de partage sur l'arborescence REP1 ?

d) Mettez en œuvre l'accès optimal des différents utilisateurs aux ressources Ri selon la méthode optimal d'accès
aux ressources réseau conseillée par Microsoft et rappelée dans le schéma ci-dessous.

6
C. Création et partage de ressources disque dans le contrôleur de domaine du domaine rt2.est

a) Créez sur le bureau du contrôleur de domaine la structure de dossiers REP2/SREP2.1/SREP2.2

b) Copier deux fichiers texte (fich3.txt et fich4.txt) dans chacun des trois dossiers de l'arborescence
c) Partagez le dossier REP2

d) Quelles sont les différentes permissions de partage offertes par le système ?

e) Qui a le droit par défaut d'accéder à ce dossier et avec quel permission ? Cette permission se limite-elle
uniquement à REP2 ou au contraire s'étend-elle aux SREP2.1 et SREP2.2 et leurs contenus ?

f) Quels types de comptes peuvent se voir affecter des permissions de partage sur l'arborescence REP2 ?

**********
g) Mettez en œuvre l'accès optimal des différents utilisateurs aux ressources Ri selon la méthode optimal d'accès
aux ressources réseau conseillée par Microsoft et rappelée dans le schéma ci-dessous.

Votre solution :

7
Partie 2 : Accès aux ressources des domaines d'une forêt AD via des relations
d'approbation entre les domaines AD de cette forêt

Questions de compréhension

1) Un utilisateur U disposant d'un compte d'utilisateur dans rt2.est n'a pas encore ouvert de session dans son
domaine rt2.est. l'administrateur du domaine promo2023.rt2.est lui a configuré une autorisation d'accès sur
une ressource partagée dans promo2023.rt2.est. Cet utilisateur peut-il accéder directement à la ressource
partagée dans promo2023.rt2.est ?

2) L'utilisateur U a maintenant ouvert une session dans son domaine rt2.est. Pourra -t-il accéder maintenant à la
ressource partagée dans promo2023.rt2.est ? Pourquoi ?

Réseaux virtuel de mise en œuvre des RA.

domaine rt2.est domaine promo2023.rt2.est

Contrôleur de domaine Contrôleur de domaine

du domaine rt2.est du domaine promo2023.rt2.est

WXP1 WXP2

Utilisateur1 Utilisateur2

Ressources dans Ressources dans

rt2.est promo2023.rt2.est

Vérification du fonctionnement des RA entre domaines AD d'une même forêt.

1) Configurez un accès individuel à un utilisateur U2.1 du domaine rt2.est sur une ressource disque partagée
dans promo2023.rt2.est.
2) Testez l'accès effectif de l'utilisateur U2.1 à la ressource partagée dans promo2023.rt2.est

8
3) Créez un second compte utilisateur U2.2 dans rt2.est
4) Proposez une méthode optimale permettant l'accès à la ressource partagée dans promo2023.rt2.est pour
U2.1 et U2.2.
5) Refaire le même travail effectué dans les quatre étapes précédentes pour deux utilisateurs U1.1 et U1.2 du
domaine promo2023.rt2.est souhaitant accéder à une ressource partagée dans rt2.est.
6) Conclusion ?
7) Vous pouvez prolonger ce travail pratique sur les Relations d'Approbation (RA) en créant un troisième domaine
TechSup.rt2.est et vérifiez la définition Microsoft des relations d'approbation rappelée ci-dessous :

Définition et caractéristiques d'une RA

❑ Dans une forêt AD contenant plusieurs domaines (appartenant aux mêmes arborescences ou non), des
relations d'approbation bidirectionnelles et transitives sont automatiquement créées entre tous ces
domaines de cette forêt.

❖ RA bidirectionnelle signifie que si le domaine "A" approuve le domaine "B" alors le domaine "B"
approuve aussi le domaine "A".

❖ RA transitive signifie que si le domaine "A" approuve le domaine "B" et que le domaine "B"
approuve à son tour le domaine "C" alors le domaine "A" approuve automatiquement le
domaine "C".

❑ Lorsqu'un domaine "A" approuve (fait confiance à) un autre domaine "B", cela signifie que les
utilisateurs authentifiés du domaine "B" (domaine approuvé) peuvent accéder aux ressources du
domaine "A" (domaine approuvant : celui qui approuve), sur lesquelles ils ont des droits d'accès, sans
s'authentifier une seconde fois auprès des contrôleurs de domaine du domaine "A" (domaine
approuvant).

A suivre …