Module 15 : ESTETIK.

LAN, exercice complet

2008R2 - Exercice
clinique este k.lan
Exercices complets et pas-à-pas pour vous refaire
une beauté

Mise à jour: février 2014

Pré-requis 
Ces exercices nécessitent un environnement virtuel avec les machines virtuelles suivantes: 

● Serveur 2008R2
● Serveur 2003R2
● Client Windows 7 professionnel
● Client Windows XP

Auteur: Sébas en Ross Aide aux pas-à-pas : Jonathan Potvin

Objectif

Mettre en place une organisation client-serveur

répondant à plusieurs besoins pour une grosse
clinique de chirurgie esthétique: la clinique Estétik.

Les fichiers vidéo (compressés):

FTP://10.27.16.10/Videos

Par Sé bastien Ross, fé vrier 2014 Page 1 de 23

Module 15 : ESTETIK.LAN, exercice complet

Contenu
Pré-requis

1- Effectuer la planifica on et configurer le réseau de base du serveur de ESTETIK.LAN

2- Installer et configurer: Contrôleur de domaine et DNS

3- Configurer le DNS: Alias et zone de recherche inverse

4- Installer et configurer: DHCP et WINS

Planifica on du DHCP

Configurer l’étendue DHCP

Configurer le serveur WINS

5- Créer les OU, les usagers et les groupes Globaux

6- Joindre un client XP et un client Windows 7 au domaine

7- Installer et configurer: Serveur de fichiers

8- Partage départemental complexe (AGDLP) avec publica on (AD et Lecteur mappé)

9- Diffusion avec GPP

10- Quotas

11- Filtres

12- Redirec on de dossiers ( via GPO)

13- Profil i nérant (GPO)

14- Installer et configurer: Serveur IIS

15- Serveur Web

16- Serveur FTP

17- Installer et configurer: Serveur d’impression

Installer et configurer les méthodes de sauvegarde

18- Sauvegarde conven onnelle

19- Versions précédentes de fichiers

20 - Modifier le comportement du client avec les GPO/GPP

Par Sé bastien Ross, fé vrier 2014 Page 2 de 23

Module 15 : ESTETIK.LAN, exercice complet

21 - Configurer le pare-feu du client

22 - Configurer certains droits sur le serveur

23 - Me re en place un second contrôleur de domaine

24 - Configurer et me re en place une racine DFS

**Enrichissement, important**

Par Sé bastien Ross, fé vrier 2014 Page 3 de 23

Module 15 : ESTETIK.LAN, exercice complet

1- Effectuer la planification et configurer le réseau de

base du serveur de ESTETIK.LAN
Compléter le tableau en fonc on de l’informa on ci-dessous. Réservez des IP fixes pour deux fois plus d’hôtes
que ceux qui sont présents dans le tableau.

● Nom de votre serveur: serveur1

● IP: 192.168.168.1/26
● Nombre d’hôtes nécessaire pour tous le réseau (ip fixes et dynamiques): 55 hôtes, pas besoin de plus
d’adresses!
○ Choisir un masque de sous-réseau en fonc on des besoins d’adresses IP

Tableau du ré seau IPv4

Adresse réseau : 192.168.168.0
Masque de sous réseau : 255.255.255.192
Nombre d’hôtes possibles (2x-2) : 2^6-2 = 64-2 = 62
1ière adresse IP disponible : 192.168.168.1
Dernière adresse IP disponible : 192.168.168.62
Plage d’adresses IP dynamiques (clients DHCP) 11 @ 62
Plage de réserva ons IP fixes 1 @ 10

Tableau des réservations IP ixes

IP NOM Fonc on Emplacement
192.168.168.1 serveur1 DC, DNS, DHCP, FICHIER, 216
WEB, FTP, PRINT, ...wins
192.168.168.2 serveur2 Enrichissement: second Local 216
DC+DNS 2003R2
192.168.168.3 serveur3 Enrichissement: second Local 216
serveur de fichiers
2008R2
… 192.168.168.10 Local 216
172.21.216.225 imp1 Imprimante réseau Local 216

Renommer le serveur, modifier son adressage IP (réseau interne seulement ) et

redémarrer

Par Sé bastien Ross, fé vrier 2014 Page 4 de 23

Module 15 : ESTETIK.LAN, exercice complet

2- Installer et configurer: Contrôleur de domaine et

DNS
● Installer le rôle de service de domaine Ac ve Directory
● Configurer le serveur de manière à ce qu’il soit un contrôleur de domaine avec DCPROMO.
○ Nom du domaine: ESTETIK.LAN
○ Niveau fonc onnel de la forêt et du domaine: 2003
● Assurez-vous que DNS soit aussi installé et soit fonc onnel

3- Configurer le DNS: Alias et zone de recherche

inverse
● Assurez-vous de pouvoir rejoindre avec PING votre serveur avec les noms “intranet” et “in”
● Configurer une zone de recherche inversée de manière à ce qu’on puisse résoudre des noms à par r
des adresses IP

Voir PAS à PAS sur le DNS:

h ps://docs.google.com/document/d/1gV_04XiVBubQQJcpFAb3HLRf9PSymDaW7TcJJTj7
WIc/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 5 de 23

Module 15 : ESTETIK.LAN, exercice complet

4- Installer et configurer: DHCP et WINS

Planification du DHCP
Ce réseau est stable, un bail très long est nécessaire.
Étendue des adresses IP

Exclusions (IP fixes)

Masque de sous réseau

Durée du bail (Fil = long, wi-fi = court)

Serveur DNS des clients
Passerelle des clients
Serveur Wins des clients

Configurer l’étendue DHCP

Installer le rôle de DHCP au besoin

Supprimer toutes les étendues IPV4 de votre serveur au besoin.

Ajouter une étendue avec les paramètres suivants :

● Plage de l’adresse 192.168.168.1 @ 192.168.168.62 de votre réseau

● Exclusion de 1 @ 20
● Bail de 10 jours
● Domaine : este k.lan
● DNS : selon votre configura on 192.168.168.1
● Passerelle : 192.168.168.1

Vous assurer que votre client reçoive correctement la configura on de votre serveur DHCP.

Configurer le serveur WINS

Un serveur Wins n’est pas nécessaire en général dans un réseau. Depuis les systèmes 2000, la résolu on de
noms s’effectue avec DNS. Avec un serveur DNS bien configuré et fonc onnel, la prise en charge de WINS est
en général inu le. Toutefois, il existe certaines applica ons nécessitant un tel service. Il est facile et rapide à
installer et ne nécessite pas de configura on. N’oubliez pas d’ajouter l’op on dans l’étendue de votre serveur
DHCP sans quoi le serveur serait inu le.

Voir PAS à PAS sur le WINS:

h ps://docs.google.com/document/d/1gV_04XiVBubQQJcpFAb3HLRf9PSymDaW7TcJJTj
7WIc/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 6 de 23

Module 15 : ESTETIK.LAN, exercice complet

5- Créer les OU, les usagers et les groupes Globaux

Selon les paramètres suivants:

Nom d’usager %username% Fonc on Caractéris que du compte

Il Thanpoz thanpoz Chirurgien Le mot de passe n’expire jamais

Ivon Maupairer maupairer Chirurgien Le mot de passe n’expire jamais

Assis Than than Infirmier Demeure à Ikaluit

Ju Lie lie Infirmier stagiaire Date d’expira on du compte: dans 6 mois

Yen Nadèbo nadebo Secrétaire Pas d’ouverture de session entre 20h00 et

5h00

Ella Lastrap lastrap Secrétaire en chef Le mot de passe n’expire jamais

Groupes Globaux recommandés mais non obligatoires:

GL_chirurgien GL_Infirmier GL_Infirmier_Stagiaire GL_secretaire GL_secretaire_CHEF

thanpoz than than nadebo lastrap

maupairer lie lastrap

Par Sé bastien Ross, fé vrier 2014 Page 7 de 23

Module 15 : ESTETIK.LAN, exercice complet

6- Joindre un client XP et un client Windows 7 au

domaine
● Renommer les clients : POSTE1(win7) , POSTE2 (XP)
● S’assurer que les clients puisse résoudre le nom de domaine ESTETIK.LAN
● Joindre les clients au domaine

7- Installer et configurer: Serveur de fichiers

● Au besoin, installer le rôle de serveur de fichiers, avec le service de rôle “Ges on de ressources du
serveur de fichiers”

8- Partage départemental complexe (AGDLP) avec publication (AD et

Lecteur mappé)
● Créer un partage départemental nommé “DOSSIERS” pour tous les membres du domaine.
● Ce dossier partagé doit être sur la par on DATA de votre serveur
● Ce partage devra comprendre des dossiers avec des accès précis, selon le tableau suivant:

Nom dossier Accès Groupes Domain Locals à créer..

DL_nomserveur_nomDossier_permissions

Opéra ons Chirurgiens: Modifier DL_serveur1_dossier-opera on_modif

Infirmiers: Lecture et exécu on DL_serveur1_dossier-opera on_lecture-ex
Secrétaire: Interdit (DENY) DL_serveur1_dossier-opera on_DENY

Rendez-vous Secrétaires en chef: Modifier DL_serveur1_dossier-rdv_modif

Secrétaires: Lecture et exécu on DL_serveur1_dossier-rdv_lecture-ex

Protocoles Chirurgiens: Modifier DL_serveur1_dossier-proto_modif

Infirmier: Modifier
Infirmier stagiaire: lecture et DL_serveur1_dossier-proto_lecture-ex
exécu on

● Publier ce partage dans Ac ve directory (vous devez installer le service de rôle de ges on de ressource
du serveur de fichiers pour le faire!)

Voir le PAS à PAS des partages départementaux complexes

h ps://docs.google.com/document/d/1LPeS39yXy9CH9D1ipiz5mwFnUxbsbrmzaUCgM-1p
QrU/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 8 de 23

Module 15 : ESTETIK.LAN, exercice complet

Par Sé bastien Ross, fé vrier 2014 Page 9 de 23

Module 15 : ESTETIK.LAN, exercice complet

9- Diffusion avec GPP

● Créer une GPP de manière à connecter le lecteur réseau S : au partage \\serveur1\DOSSIERS.
● Ce e configura on ne doit s’effectuer que si le client est un ordinateur Windows 7, peu importe la
version.
● Tous les u lisateurs de la Clinique doivent obtenir la configura on.

Voir le PAS à PAS des GPO et GPP en général:

h ps://docs.google.com/document/d/1GZQ-CB08BuZyAJ0yDYAbp1_6SvswFuwYW9bY3XH
8fDw/edit

10- Quotas
Configurer un quota (nommé 50MB) sur le dossier de “Protocoles” qui limite la quan té de données à 50Mo,
sans no fica on.

Configurer un quota (nommé WATCHSEC) sur le dossier « Rendez-vous » qui surveille seulement et créé un
rapport dès que la quan té de données a eint la moi é de 20 Mo.

Voir le PAS à PAS des quotas et des filtres:

h ps://docs.google.com/document/d/1zELoNEPjh30qyvIaKXWk0kzJntoYUbzK9Sq4FEU35Z
Y/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 10 de 23

Module 15 : ESTETIK.LAN, exercice complet

11- Filtres
Empêcher sur tous les dossiers partagés la possibilité de créer un fichier de type .mp4, .AVI et .MOV puis
envoyer un courriel à administrateur@este k.lan en cas d’essais de la part des clients.

Voir le PAS à PAS des quotas et des filtres:

h ps://docs.google.com/document/d/1zELoNEPjh30qyvIaKXWk0kzJntoYUbzK9Sq4FEU35Z
Y/edit?usp=sharing

12- Redirection de dossiers ( via GPO)

Les dossiers DOCUMENTS et BUREAU des chirurgiens doivent être sur le serveur, pour en assurer leur
sauvegarde. Les chirurgiens ont des portables et les u lisent souvent un peu partout Ainsi, ils doivent avoir
accès en tout temps à leurs dossiers Mes documents et Bureau.

● Une GPO Chirurgien sous Medical pourrait être per nente ici
● Configurer une redirec on de dossier DOCUMENT et BUREAU pour les chirurgiens
● Vous assurer de configurer les droits exclusifs aux u lisateurs lors de la créa on du partage
● Vous assurer de rendre ces fichiers TOUJOURS en mode hors connexion

● TESTER les accès en mode connecté et en mode hors connexion!!!!

Par Sé bastien Ross, fé vrier 2014 Page 11 de 23

Module 15 : ESTETIK.LAN, exercice complet

Les redirec ons de dossier nécessitent un partage pour des dossiers personnels.

Voir le PAS à PAS des dossiers personnels, sec on REDIRECTION DE DOSSIER

h ps://docs.google.com/document/d/1yrb-F2cc0jwhWN08G2C94rgn06lN0Deeyrrt11iaEkA/
edit#

Par Sé bastien Ross, fé vrier 2014 Page 12 de 23

Module 15 : ESTETIK.LAN, exercice complet

13- Profil itinérant (GPO)

Les secrétaires changent souvent de poste de travail dans la clinique. Ils(elles) doivent pouvoir avoir accès à
l’ensemble de leurs profils, peu importe le poste u lisé. Le profil i nérant répond à ce besoin.

U liser les ordinateurs clients Windows XP et Windows 7 pour simuler des ordinateurs de secrétaire. Ce e
configura on nécessite une stratégie de contexte ordinateur.

Pour l’ordinateur Windows XP: la configura on doit se faire dans le profil de l’u lisateur si le serveur est un

2008:

Pour l’ordinateur Windows 7: la configura on peut se faire en èrement dans une GPO de contexte ordinateur,
tel que spécifié ci-bas.

U lisez le partage u lisé pour la redirec on de dossiers

Voir le PAS à PAS des dossiers personnels, sec on PROFIL ITINÉRANT

h ps://docs.google.com/document/d/1yrb-F2cc0jwhWN08G2C94rgn06lN0Deeyrrt11iaEkA
/edit#

Par Sé bastien Ross, fé vrier 2014 Page 13 de 23

Module 15 : ESTETIK.LAN, exercice complet

14- Installer et configurer: Serveur IIS

● Au besoin, installer le rôle de serveur IIS

15- Serveur Web

● Créer une page Web ultra simple contenant les lignes suivants:

<H1>INTRANET</H1>

<p>Ceci est la page Web de l’intranet</p>

● Ce e page Web doit être accessible avec l’adresse HTTP://intranet depuis les postes clients

Voir le PAS à PAS serveur IIS:

h ps://docs.google.com/document/d/1gnTvywIQ7PuOITuA7zJlUONEA3DZkdKu0CH45Jtmt
LY/edit#heading=h.uov7xfr47gx2

16- Serveur FTP

● Créer un serveur anonyme FTP dont la racine est D:\DATA\FTP

● Créer un second serveur FTP, dont la racine est aussi D:\DATA\FTP2 accessible avec le port 2121 dont
les accès sont les suivants:
○ Les Chirurgiens doivent pouvoir y lire et y écrire
○ Les infirmiers doivent pouvoir y lire seulement

Voir le PAS à PAS suivant:

h ps://docs.google.com/document/d/1gnTvywIQ7PuOITuA7zJlUONEA3DZkdKu
0CH45JtmtLY/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 14 de 23

Module 15 : ESTETIK.LAN, exercice complet

17- Installer et configurer: Serveur d’impression

● Au besoin, installer le rôle de serveur d’impression
● Installer l’imprimante du local sur le serveur
● Partager l’imprimante
● Installer manuellement l’imprimante sur le poste2 (Windows XP)
● Installer automa quement avec une GPP ou une GPO l’imprimante partagée pour les secrétaires.
Tester avec une secrétaire branchée sur l’ordinateur poste1 (Windows 7)

Voir le PAS-à-PAS sur la ges on du serveur d’impression…

h ps://docs.google.com/document/d/1qRP2r9JIqsHY3AIh0WyVgqRAzQgcXAHq3WCBjbI
qmRs/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 15 de 23

Module 15 : ESTETIK.LAN, exercice complet

Installer et configurer les méthodes de sauvegarde

18- Sauvegarde conventionnelle
● Vous devez faire les sauvegardes sur votre volume BACKUP
● Vous devez planifier et exécuter une sauvegarde quo dienne de vos fichiers partagés seulement.
○ Vous pouvez tenter une sauvegarde complète (long) sur un autre disque dur virtuel. A en on,
ce e op on nécessite un peu de configura on de votre machine virtuelle.
● Vous devez aussi sauvegarder manuellement certains services tels que le DHCP et les GPO...

Voir vidéo: h p://www.youtube.com/watch?v=RSPcM-PsRHM&feature=youtu.be

19- Versions précédentes de fichiers

Sur le lecteur des partages, 1024 Mo d’espace disque doit être réservé pour les versions précédentes de
fichiers. Les clichés instantanés doivent être effectués les jours de la semaine, à 11h00 et à 19h00. Ces clichés
perme ront d’éviter à avoir recours aux sauvegarde pour récupérer ou restaurer très rapidement des fichiers
effacés ou corrompus sur le serveur.

Faites l’essai des clichés instantanés en effectuant ces opéra ons àa par r d’un client sur le partage
\\serveur1\DOSSIERS :

● À l’aide d’un chirurgien, dans un répertoire ou il peut écrire...

● Créer un fichier texte avec un peu de contenu, enregistrer et fermer
● Créer un cliché instantané manuellement
● Ajouter un peu de texte dans le fichier, enregistrer et fermer
● Créer un cliché instantané manuellement
● Supprimer le fichier créé précédemment
● À l’aide des “Versions précédentes de fichiers, visualiser les différentes versions du fichier et en
récupérer les deux versions sur le bureau de votre u lisateur

Voir vidéo: h p://www.youtube.com/watch?v=ed6DuOw_JMg

Par Sé bastien Ross, fé vrier 2014 Page 16 de 23

Module 15 : ESTETIK.LAN, exercice complet

20 - Modifier le comportement du client avec les

GPO/GPP
20a - Modifier le comportement des systèmes lorsque les infirmiers les u lisent:

● Présence d’un dossier SCRIPTS à la racine du C:

● Synchronisa ons de scripts .bat situés dans le serveur dans les dossiers C:\scripts des clients
● Le dossier c:\SCRIPTS fait par e du PATH du système
● Les op ons d’alimenta on sont configurés pour ne jamais tomber en veille (tous les types de veille)
● Aucun onglet de configura on doit être visible dans les op ons d’Internet Explorer

20b - Modifier le comportement des ordinateurs de tout le domaine

● Le logiciel PAINT doit être interdit d’exécu on

Le 20b s’effectue dans le contexte ordinateur, stratégie…

POur de l’aide générale:
h ps://docs.google.com/document/d/1GZQ-CB08BuZyAJ0yDYAbp1_6SvswFuwYW9bY3XH
8fDw/edit

Pour des indices:

Une règle de hachage permet de créer une “empreinte digitale” du fichier à interdire…

Par Sé bastien Ross, fé vrier 2014 Page 17 de 23

Module 15 : ESTETIK.LAN, exercice complet

21 - Configurer le pare-feu du client

L’administrateur veut pouvoir accéder à la ges on distante des ordinateurs clients du domaine à par r du
serveur (via une MMC personnalisée). L’administrateur doit pouvoir gérer à distance les éléments suivants à
l’aide de sa MMC personnalisée:

● Journaux et événements
● Tâches planifiées
● Services

Vous devez ajouter des nouvelles règles prédéfinies de pare-feu à l’aide d’une GPO...

Par Sé bastien Ross, fé vrier 2014 Page 18 de 23

Module 15 : ESTETIK.LAN, exercice complet

Voir la vidéo: h p://www.youtube.com/watch?v=8koUWQSyaLU

Créer et lier une GPO nommée GPO_ordi_Acces_distant

Ajouter les règles prédéfinies nécessaires:

Sur le serveur, dans une MMC personnalisée, ajouter le composant logiciel enfichable
Observateur d’événement. Sélec onner Se connecter à un autre ordinateur, choisir le client et

Par Sé bastien Ross, fé vrier 2014 Page 19 de 23

Module 15 : ESTETIK.LAN, exercice complet

voilà!

Par Sé bastien Ross, fé vrier 2014 Page 20 de 23

Module 15 : ESTETIK.LAN, exercice complet

22 - Configurer certains droits sur le serveur

**Enrichissement, important, sauf le souligné**

Déléga on de pouvoirs (de contrôle en fait)

La déléga on de contrôle permet de donner des permissions de ges on des objets u lisateurs et ordinateurs dans AD à des
comptes enapr culier, sans que ceux-ci ne soient membres du groupe Admins du domaine.

● S’assurer que l’u lisateur MAUPAIRER puisse gérer COMPLÈTEMENT les usagers qui sont secrétaires
(Ajout , modifica on, suppression de comptes...)

Stratégie “Default Domain controller policy” (des contrôleurs de domaine)

Ce e stratégie permet de modifier les paramètres de sécurité des contrôleurs de domaine, notamment qui peut ouvrir une
session sur ceux-ci.

Tenter d’ouvrir une session sur le serveur avec Maupairer avant d’effecuter ce qui suit...

● S’assurer que MAUPAIRER puisse ouvrir une session directement sur le serveur

Stratégie “Default Domain policy”

Ce e stratégie permet de modifier les paramètres de sécurité du domaine en général, notamment la complexité des mots
de passe complexes...

● S’assurer que les mots de passe des comptes du domaine puissent être d’une longueur de 6 caractères,
sans nécessairement avoir de chiffres, de majuscules ou de caractères spéciaux

Accès distant

● S’assurer que MAUPAIRER puisse pouvoir accéder au serveur de manière distante de ces deux
manières:
○ Avec une MMC personnalisée contenant le logiciel enfichable “U lisateurs et ordinateurs
Ac ve Directory”
○ Avec une session “Bureau à distance”, protocole RDP
■ À l’aide de l’u litaire situé dans “Accessoirces”
■ À l’aide d’une MMC personnalisé

Configurer l’Accès distant à par r du client Windows 7 - Protocole RDP

Voir le PAS-à-PAS sur l’u lisa on de RSAT et la configura on de la console de Bureau à

distance:
h ps://docs.google.com/document/d/1CrtPGg2F-3KkOnD2tzIZeGxomzkMfN5Prao-nm1a3v
E/edit?usp=sharing

Par Sé bastien Ross, fé vrier 2014 Page 21 de 23

Module 15 : ESTETIK.LAN, exercice complet

23 - Mettre en place un second contrôleur de domaine

**Enrichissement,
important**
La présence d’un second
contrôleur de domaine est
capitale pour assurer la
redondance de l’accès à Ac ve
Directory. Idéalement, il faut
prendre un serveur 2003R2.
VOUS POUVEZ PRENDRE UN
SERVEUR 2008R2 ou 2012...

● Son DNS doit être celui de l’autre serveur.

● Son IP doit être en lien avec la planifica on IP
● Joindre le domaine en tant que serveur membre.
○ Contrôleur de domaine d’un domaine et d’une forêt esistante.
● Installer le rôle de Serveur DNS

Il est possible d’y configurer aussi un serveur DHCP, toutefois, il est important que les plages d’adresses IP
dynamiques ne s’entrecoupent pas

h p://www.youtube.com/watch?v=IineTvWs8fM

Par Sé bastien Ross, fé vrier 2014 Page 22 de 23

Module 15 : ESTETIK.LAN, exercice complet

24 - Configurer et mettre en place une racine DFS

**Enrichissement, important**
Une racine DFS permet de me re en place plusieurs serveurs de fichiers
synchronisés les uns aux autres. Elle ne remplace pas la sauvegarde ni les
versions précédentes de fichiers. Elle permet aux usagers d’accéder aux
ressources fichiers toujours avec la même adresse, peu importe ou se trouvent
les ressources.

● Configurer le rôle sur le serveur2

● Me re en place la DFS sur le serveur1 pour chacun des partages
présents
● S’assurer que le contenu des serveurs de fichiers soit synchronisés
● Valider le fonc onnement avec des clients, le client peut voir sur quel
serveur il travaille.
● Tenter de me re hors ligne un serveur, de supprimer son contenu puis
de le reme re en ligne pour voir la synchronisa on opérer

h p://youtu.be/IineTvWs8fM?t=4h31m38s

Par Sé bastien Ross, fé vrier 2014 Page 23 de 23