Win SRV 12

Préparé par : Jansly DIEUJUSTE
Gestionnaire de Système Informatisé

Forets
Le premier domaine porte le nom de foret. On peut avoir plusieurs domaines dans une forêt. Pour deux forets on
peut créer une relation d’approbation. Quand vous créez le premier contrôleur de domaine de votre
organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première forêt de celle-ci.
Le conteneur Active Directory situé au niveau supérieur est appelé une « forêt ». Une forêt se compose d'un ou
de plusieurs domaines ayant en commun un schéma et un catalogue global. Une organisation peut disposer de
plusieurs forêts.
Une forêt est une limite de sécurité et d'administration pour tous les objets qu'elle contient. Un domaine est une
limite d'administration destinée à faciliter la gestion d'objets tels qu'utilisateurs, groupes et ordinateurs. De plus,
chaque domaine applique ses propres stratégies de sécurité et relations d'approbation avec les autres domaines.
Une forêt est composée d'un ou plusieurs domaines appartenant à une même entreprise. Pour chaque forêt
Active Directory, il existe une base de données distribuée, elle-même composée de plusieurs bases de données
partielles enregistrées sur des contrôleurs de domaines multiples. Le fait de distribuer les bases de données
améliore l'efficacité du réseau en permettant d'organiser les données là où elles sont les plus utilisées.
Chaque contrôleur de domaine de la forêt possède une copie du schéma de la forêt. Généralement il est
déconseillé de créer plusieurs forêts pour une même firme, cela augmenterai le travail de gestion des
administrateurs. Il peut donc y avoir plusieurs arborescences au sein même d'une forêt ne formant pas un
espace de noms contigus. Malgré cela, une forêt possède quand même un domaine racine unique appelé
domaine racine de la forêt, c'est par définition le premier domaine que vous créé qui est racine.
Quand créer une forêt

L'une des premières étapes d'un processus de conception Active Directory consiste à déterminer le nombre de
forêts nécessaires à l'organisation concernée. Dans la plupart des cas, une seule forêt est estimée suffisante, et
plus simple à administrer. Cependant, cela peut ne pas convenir à toutes les organisations.
Lorsqu'il existe une seule forêt, les utilisateurs n'ont pas à se familiariser avec une structure d'annuaires, puisque
le catalogue global leur permet de visualiser un annuaire unique. Lorsqu'un domaine est ajouté à une forêt, il
n'est pas nécessaire de configurer de nouvelles approbations car tous les domaines de celle-ci sont reliés par
des approbations transitives bidirectionnelles. Dans une forêt multi domaine, il suffit d'appliquer une seule fois
les modifications de la configuration pour actualiser tous les domaines.
Domaines
Un contrôleur de domaine fournit le service d'annuaire Active Directory aux utilisateurs et ordinateurs du
réseau, stocke les données de l'annuaire et gère les interactions entre l'utilisateur et le domaine, y compris les
processus d'ouverture de session de l'utilisateur, l'authentification et les recherches d'annuaire. Chaque
domaine doit contenir au moins un contrôleur de domaine
Lorsque vous créez le premier contrôleur de domaine dans votre organisation, vous créez également le premier
domaine, la première forêt, le premier site et vous installez Active Directory. Les contrôleurs de domaine
exécutant Windows Server 2003 stockent les données de l'annuaire et gèrent les interactions entre l'utilisateur
et le domaine, y compris les processus d'ouverture de session, l'authentification et les recherches d'annuaire.
Les contrôleurs de domaine sont créés à l'aide de l'Assistant Installation de Active Directory
La création de domaines permet une meilleur gestion du réseau et des ressources mais également d'autres
points comme :
- La sécurité : Permet d’effectuer des limites de securite propre a chaque domaine. Il faut savoir que lorsque
vous définissez une stratégie de sécurité regroupant un certain nombre de paramètres (droits
d'administration, les listes de contrôle d'accès, les restrictions...) pour un domaine celle-ci reste au
niveau du domaine et n'est pas transmis aux autres.
- La réplication : Il y a au minimum un contrôleur de domaine pour chaque domaine qui contient l'ensemble
des objets du domaine correspondant. Il est possible d'avoir plusieurs contrôleurs de domaine pour un
même domaine afin de mettre en place une tolérance de panne ainsi qu'une répartition de charge. Afin
que tous les DC d'un domaine possèdent une base de données (Active Directory) à jour, une réplication
des informations est effectuée entre chacun de ces serveurs.
- Appliquer des GPO : La grande utilité de mettre en place des domaines, est la gestion centralisée à partir
du serveur des comptes d'utilisateurs et des comptes d'ordinateurs de tous les membres de l'entreprise.
Ainsi au lieu de passer sur les 10000 machines par exemple pour installer le SP2 de Windows XP et bien
vous allez pouvoir le déployer à l'aide d'une stratégie de groupe (GPO : Group Policy Object). De la
même manière vous allez pouvoir définir toutes les stratégies de sécurité, l'environnement de
l'utilisateur (Fond d'écran, menu, etc...).
- Structurer : En effet comme indiqué un peu plus haut, grâce au domaine, vous allez pouvoir structurer
votre réseau en créant plusieurs domaines, regroupant chacun plusieurs sites afin de classer vos objets. Il
faut savoir qu'un domaine peut prendre en charge plusieurs millions d'objets...
- Délégation : En effet dans le cas de l'implémentation de plusieurs domaines, il est possible de déléguer
l'administration d'un domaine à une personne. Vu que la sécurité est limitée au domaine, ceci permet de
répartir les droits au sein même d'un domaine. De plus si vous avez des unités d'organisations dans votre
domaine vous allez pouvoir déléguer la gestion d'une ou plusieurs de ces OU à un administrateur
Arborescence
Une arborescence est un ensemble de plusieurs domaines partageant un espace de noms contigus. Si vous avez
plusieurs domaines dans votre réseau, vous pouvez les relier entre eux afin d'effectuer une arborescence. Le
premier domaine que vous allez créer est appelé domaine racine de la première arborescence, les domaines
suivants appartenant au même espace de noms contigus sont appelés domaines enfants. De même un domaine
situé directement au-dessus d'un autre domaine d'une même arborescence est appelé domaine parent. Les
domaines formant un espace de noms contigus respectent la règle suivant d'appellation de nom :
Nom du domaine le plus petit suivit d'un point (.) puis du nom de son domaine parent et ainsi de
suite. Sécurité physique
S'il a physiquement accès à un contrôleur de domaine, un utilisateur malveillant peut accéder sans autorisation à
des mots de passe cryptés. C'est pourquoi il est recommandé de placer tous les contrôleurs de domaine d'une
organisation dans un local sécurisé fermé à clé auquel l'accès est limité. Pour améliorer la protection des
contrôleurs de domaine, vous pouvez recourir à des mesures de sécurité supplémentaires comme l'utilitaire de
clé système Syskey.
Introduction à Active Directory
Il renferme des informations relatives aux objets d'un réseau et facilite leur recherche et leur utilisation pour les
administrateurs et les utilisateurs. Active Directory utilise un magasin de donnés structuré qui est à la base d'une
organisation hiérarchique et logique des informations d'annuaire.
Ce magasin de données, également appelé annuaire, contient des informations sur les objets Active Directory.
Ces objets incluent généralement des ressources partagées, telles que des serveurs, des volumes, des
imprimantes, ainsi que le compte d'utilisateur et le compte d'ordinateur réseau.
La sécurité est intégrée dans Active Directory à travers l'authentification de l'ouverture de session et le contrôle
d'accès aux objets contenus dans l'annuaire. Avec une connexion réseau unique, les administrateurs réseau
peuvent gérer les données et l'organisation de l'annuaire à travers leur réseau, et les utilisateurs autorisés
peuvent accéder aux ressources n'importe où sur le réseau. Une administration basée sur des stratégies facilite
la gestion même du plus complexe des réseaux.
Active Directory comprend également :
• Un ensemble de règles, appelé schéma, qui définit les classes d'objets et d'attributs contenus dans
l'annuaire, les contraintes et limites qui s'appliquent aux instances de ces objets et le format de leurs
noms.
• Un catalogue global qui contient des informations sur chaque objet de l'annuaire. Ceci permet aux
utilisateurs et aux administrateurs de retrouver des informations de l'annuaire quel que soit le domaine
de l'annuaire qui stocke réellement les données.
• Un mécanisme de requête et d'index qui permet aux utilisateurs et aux applications du réseau de publier
et de retrouver les objets et leurs propriétés.
• Un service de réplication qui distribue les données de l'annuaire sur un réseau. Tous les contrôleurs de
domaine d'un domaine participent à la réplication et stockent une copie complète de toutes les
informations de l'annuaire concernant leur domaine. Toute modification apportée aux données de
l'annuaire est répliquée sur tous les contrôleurs de domaine du domaine.
• Une prise en charge du logiciel client Active Directory
Caractéristiques d'Active directory
Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs,
les machines ou les applications. Active Directory constitue ainsi le noyeau central de toute l'architecture réseau
et a vocation à permettre à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce
service.
La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques
ordinateurs à des réseaux d'entreprises répartis sur de multiples sites
Installation de Windows server 2012
1. Insérer le DVD d’installation de Windows Server 2012
2. Cliquez sur Next dans la fenêtre qui apparait
3. Cliquez sur Install now

4. Sélectionnez le système d’exploitation que vous voulez installer puis cliquez Next (Dans notre cas c’est “
Server with GUI ”)
5. Cochez la case pour accepter les termes de la License puis cliquez Next
6. Sélectionnez le second type d’installation “ Custom : Install windows only (advanced) “ Puis cliquez
Next et patientez pendant que l’installation se poursuit
N.B. Choisissez ce type d’installation si vous :
1- Voulez effacer tout sur votre PC - 2- Vous n’avez pas de système d’exploitation installe sur le PC 7.
Dans la nouvelle fenêtre qui s’affiche, tapez le mot de passe pour l’administrateur puis cliquez Finish 8.
Presses CTRL+ALT+DEL pour vous authentifiez
9. Vous devriez visualiser cette fenêtre
Utiliser le server Manger pour modifier rapidement le nom et l’IP du serveur
1. Cliquez sur le lien « Configure this local server » dans la fenêtre Server Manger
2. Dans la fenêtre qui s’affiche, cliquez le lien de la propriété à modifier puis faites le changement
nécessaire
N.B. Vous pouvez toutefois utiliser les autres méthodes que vous savez pour configurer la carte réseau et
changer le nom de l’ordinateur.
Installer Active Directory Domain Services

1. Cliquez l’icône Server Manager dans la barre des taches (Taskbar)
2. Dans la fenêtre « Server manger », Cliquez « Add roles and features » OU cliquez sur Manage puis dans
le menu déroulant Cliquez « Add Roles and Features »
3. Cliquez Next
4. Laissez l’option par défaut puis cliquez Next
5. Cliquez sur Next (Le nom de votre serveur ainsi que l’IP attribué au serveur apparait dans la fenêtre)
6. Cliquez Next
7. Cochez le service que vous voulez installer « Active Directory Domain Services » Add Features dans la
fenêtre qui s’affiche Puis Next
8. Laissez les options par défaut puis Next. Cliquez à nouveau sur Next
9. Cliquez Install
10. Dans la fenêtre cliquez More
11. Dans la fenêtre « All Servers Task Details » cliquez Promote this server to a domain… 12. Cliquez
l’option Add a new forest puis dans “ Root domain name “, tapez le nom que vous voulez donner à
votre domaine puis cliquez Next
13. Laissez par défaut les options proposes pour le niveau fonctionnel du domaine et de la foret. Entrer le
mot de passe pour le Restore Mode puis cliquez Next
14. Cliquez Next.

15. Cliquez Next sans faire de changement dans le NetBIOS Name
16. Cliquez Next à nouveau sans faire de changement pour la base de données et le SYSVOL.
17. Cliquez Next puis cliquez Install
Comment accéder aux différents services installés

1. Dans la partie gauche de l’interface sélectionnez le service (Ex : AD DS)
2. Clic droit sur le nom du serveur dans la partie droite puis dans le menu contextuel sélectionnez Active
Directory Users and Computers
OU
3. Cliquez sur Tools puis Active Directory Users and Computers ou n’importe quel autre service (DNS …)
N.B. Si vous allez sur le service DNS vous allez voir la zone et le nom du serveur
Comment joindre un poste (Windows 8 ou 8.1) a un domaine

1. Dans Windows 8 ou 8.1, allez dans Control Panel puis sur System and Security
2. Cliquez System. Dans la fenêtre qui s’affiche cliquez sur « Change Settings » puis sur le bouton Change 3.
Sélectionnez l’option « Domain » puis tapez le nom de votre domaine. Cliquez OK 4. Maintenant vous devez
fournir votre authentification (Username and Password de votre domaine) puis OK
5. OK - OK - OK
PRE Stage
On va créer un objet ordinateur pour que le client ou un groupe puisse joindre son ordinateur au domaine
1. Clic droit sur le nom du domaine - Dans le menu Contextuel cliquez New puis Computer 2. Dans la
fenêtre New Object, tapez un nom que vous voulez attribuer à l’ordinateur (Ex : CL-Test) puis cliquez le
bouton Change.
3. Tapez le nom d’un utilisateur déjà créé dans active directory puis cliquez checkname pour vérifier et
cliquez OK
4. Cochez « Assign this computer account as PRE-Windows 2000 computer » puis cliquez OK
L’utilisateur n’a pas besoin de connaitre le Username et le Password de l’administrateur. Il pourra joindre son PC
sur le domaine avec ses propres identifiants (Username et Password)
• Sur le PC Client Assurer vous que le serveur DHCP lui donne un IP ou attribuer vous-même un IP statique •
Modifier le nom de votre PC en lui donnant un nom significatif (CL-Test1)
• Cliquez sur l’option Domain, tapez le nom du domaine puis cliquez OK. Entrez vos propres identifiants et
cliquez OK
•
Cliquez OK - OK - Close - Restart Now
Gestion des unités d’organisation (UO)
Une unité d’organisation est un container dans lequel nous allons pouvoir ranger les objets. Il est intéressant de
créer des UO lorsqu’il y a beaucoup d’objets à ranger, et ce pour des questions d’organisation. En effet, lorsque
l’on a plusieurs milliers de comptes utilisateurs et de groupes dans une même UO on a vite fait de s’y perdre. De
plus, l’autre intérêt immédiat des UO est qu’il est possible de leur appliquer (lier) des stratégies de groupes ou
GPO. Une stratégie de groupe est un ensemble de paramètres définis de façon centralisée par l’administrateur
du domaine. Ces paramètres, qui correspondent généralement à des clés de registre, s’appliquent sur les objets
contenus à l’intérieur de l’UO ; ces objets sont la plupart du temps de type utilisateur ou ordinateur.
Vous constaterez que certaines UO possèdent une icône représentant un dossier avec un petit livre à l’intérieur.
Cela signifie que ces unités d’organisation peuvent être liées à des stratégies de groupes. Il faut savoir que les UO
dites « Built-in » c’est-à-dire créées par défaut par le système ne peuvent être associées à des GPO ; exception
faite de l’UO « Domain Controller »
Un des avantages de créer une UO, est qu’il est possible de déléguer sa gestion à un utilisateur non membre du
groupe « Admins du domaine «. Cela peut permettre, par exemple, à un gestionnaire d’UO de gérer les membres
des groupes (à condition que les groupes et les utilisateurs qu’il gère soient membres de son UO). Il pourrait, en
outre et si l’administrateur lui en a donné la permission, réinitialiser les mots de passe de ses utilisateurs.
L’unité d’organisation est un type d’objet d’annuaire contenu dans les domaines qui s’avère particulièrement
utile. Les unités d’organisation sont des conteneurs Active Directory dans lesquels vous pouvez placer des
utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Une unité d’organisation ne peut pas
contenir d’objets provenant d’autres domaines.
Créer un OU (Organizational Unit)

• Cliquez sur Tools puis cliquez sur Active directory Users and Computers dans le menu •
Dans la fenêtre qui s’affiche cliquez sur le nom du domaine pour le sélectionner
• Clic droit sur le nom de domaine, dans le menu contextuel cliquez sur New puis sur OU •
Donnez un nom significatif et laissez cochez " Protect container from accidental deletion " •
Cliquez Ok
Comment éliminer un OU (Organizational Unit)

1. Dans la fenêtre Serve Manager cliquez le menu Tools - Active Directory Users and Computers 2. Cliquez
le nom de votre Domaine - Cliquez sur le menu View - Advanced Features
3. Clic droit sur le OU que vous voulez éliminer puis cliquez Properties dans le menu contextuel - Cliquez
sur l’onglet Object - Décochez la case « Protect object from accidental deletion » 4. Cliquez Apply -
Cliquez OK
5. Sélectionnez le répertoire que vous voulez éliminer puis presse Delete sur le clavier - Yes 6. Puis
cliquez à nouveau sur View puis Avanced features pour le désactiver
Exercice |____ Logiciels
|____ Procedures
Créer cette arborescence logique en utilisant les
|____ Laboratoire
OUs CanadoTech
|____ Cisco
|____ Informatique
|____ Microsoft
|____ Administration
|____ Production
|____ Commun
|____ Vente
|____ IT
Créer cette arborescence en utilisant des |____ Finances
|____ HR
OUs ONGPLUS |____ Logistiques
|____ Administration |____ Gestions
|____ ConseilADM |____ Vehicules
|____ StaffADM |____ Projets
|____ Departements
Créer un compte utilisateur en utilisant l'interface graphique

• Cliquez sur Tools puis cliquez sur Active directory Users and Computers
• Cliquez sur la flèche a cote du nom du domain
• Sélectionner un OU ou Users
• Clic droit dans la partie droite, cliquez sur New
puis sur User
• Tapez votre First name votre Last name ainsi
qu'un User logon
• Cliquez Next
• Tapez votre mot de passe, cliquez sur Next puis sur Next
• Cliquez sur Finish
Exercice
A partir de la structure logique que vous avez ci-dessus, créez ces différents utilisateurs en utilisant
l’interface graphique de Windows serveur 2012:
Informatique: Compere Donald (cdonald) – Joseph Edouard (jedouard)
Administration : Dieujuste Jansly (djansly) – Noel Ricardo (nricardo)
Commun :
Depannage : Aly Loubert (laly) – Paul Bruno (pbruno)
Logiciels : Francillon Dimitri (fdimitri)
Procedure : Hudson Geffrard
Production : Lindor Olsen (lolsen)
Vente : Francois Nathalie (fnathalie)
Créer un réplica Domain Contrôler (Contrôleur de domaine additionnel)
1. Cliquez sur Manage - Add Roles and Features

OU
Cliquez tout simplement sur Add roles and features dans l’interface du Server
Manager
2. Cliquez Next. Laissez par défaut l’option : « Role-based or feature-based installation » puis cliquez Next
3. Laissez l’option par défaut : « select a server from the server pool » puis cliquez Next 4. Cochez « Active
Directory Domain services » Puis cliquez Next. Dans la fenêtre cliquez Add features puis Next
5. Cliquez Next puis Install (patientez pendant la progression de l’installation)
6. Apres l’installation, toujours dans cette même fenêtre, cliquez le lien « Promote this server to a domain
controller » ou fermez la fenêtre puis cliquez sur More
7. Cliquez l’option « Add a domain controller to an existing domain »

8. Dans la partie domaine, Tapez le nom de votre domaine (Ex : CanadoTech.edu) Puis dans la partie
suivante Fournissez l’authentification de votre contrôleur de domaine en cliquant sur change. Cliquez
Next
9. Donnez un mot de passe pour le Restore Mode puis cliquez Next - Cliquez Next à nouveau 10. Laissez
l’option par défaut puis cliquez Next
11. Cliquez Next pour la base de données NTDS. - Next - Install

Comment ajouter un serveur additionnel afin de les contrôler à distance
1- Dans la fenêtre Server Manager, cliquez sur « All servers » dans la partie gauche de votre écran
2- Cliquez sur Manage puis sur Add Servers
3- Cliquez sur Find Now. Vous devriez voir les différents serveurs s’afficher si vous en avez
plusieurs
4-
Sélectionnez le serveur que vous voulez ajouter puis cliquez sur la flèche dirigée vers la droite 5-
Cliquez sur OK
Comment créer un serveur membre (Member Server)
• Installer Windows Server 2012. Apres installation, cliquez sur server Manager •
Cliquez Local Server dans la partie gauche de la fenêtre. Dans la partie droite cliquez sur le nom du
serveur
• Cliquez Change - Tapez le nom de votre Domaine puis cliquez OK
Comment créer un dossier partage sur Windows server 2012
• Clic droit sur une partie vide du bureau, cliquez New puis Folder
• Donnez un nom significatif à ce répertoire puis ajoutez deux fichiers de votre choix à l'intérieur •
Clic droit sur ce répertoire, dans le menu contextuel cliquez sur Properties
• Cliquez sur l'onglet Sharing puis sur les boutons " Advanced sharing "
• Cochez la case " Share this folder ", cliquez sur Apply puis sur Ok
Appliquer de la sécurité
• Cliquez sur l'onglet Security puis cliquez sur Edit
• Cliquez sur Add :
-Tapez Everyone : Pour donner accès à tous les utilisateurs
- Taper le nom d’un ou de plusieurs utilisateur(s) OU/Et un ou plusieurs groupe(s) pour donner accès à
des utilisateurs ou des groupes bien spécifique sur ce dossier puis cliquez sur Checkname pour vérifier
et cliquez OK
• Cochez la case "Full Control " cliquez sur Apply puis sur OK
• Cliquez Close
Comment enlever dans un sous-répertoire les permissions héritées par défaut du répertoire parent
1. Double cliquez le répertoire principal pour visualiser les sous-répertoires

2. Clic droit sur un sous-répertoire puis cliquez Properties dans le menu contextuel
3. Cliquez l’onglet Security - Cliquez le bouton Advanced - Dans la fenêtre qui s’affiche Cliquez le
bouton Disable inheritance
4. Cliquez « Remove all inherited permissions from this object »
5. Cliquez sur Add pour ajouter les utilisateurs ou les groupes qui devraient accéder à ce répertoire puis
cliquez Select a principal
6. Ajoutez à chaque fois les différents utilisateurs et groupes devant y accéder puis cliquez OK
7. Cliquez Apply - OK
Exercice sur la création de répertoire partage et la gestion des permissions:
• Créer un OU (Organizational Unit) du nom de DeptInformatique dans votre domaine puis créez les
différents utilisateurs.
• Créer un dossier principal Partage puis créez les sous-dossiers comme illustrer ci-dessous •
Administration (Pour les Directeurs) – Logiciels (Ensemble des logiciels installés) – Procedure (pour les
différentes procédures d’installation) – Commun (Ajoutez tous les utilisateurs)
• Déterminer la sécurité en ajoutant des permissions a des utilisateurs sur certains répertoires • Si vous
rencontres des problèmes, donner une explication puis essayer de résoudre tout en commentant votre
résolution.
|____Commun
Partages (Everyone : Full-control) |____ |____ Depannage
Informatique |____ Logiciels
|____ Administration |____ Procedure

|__RessourceH
(svmelissa) Commun : Tous les utilisateurs
|____ Production
Depannage : Aly Loubert – Paul Bruno
|____ Vente
Créez ces différents utilisateurs puis attribuer les Logiciels : Ajoutez directement l’utilisateur Francillon
permissions : Dimitri (fdimitri) dans ce répertoire partagé - Que
remarquez-vous ?
Informatique : Hudson Geffrard (hgeffrard) – - Que devriez-vous faire pour que cet utilisateur
Dieujuste Jansly (dieujustej) - Noel Ricardo (nricardo) puisse d’abord accéder au répertoire informatique
Aly Loubert (laly) - Paul Bruno (pbruno) - Saint-Victor
Melissa (svmelissa) Procedure : Hudson Geffrard
Administration : Dieujuste Jansly – Noel Ricardo – Production : Lindor Olsen (lolsen)

Saint-Victor Melissa Vente : Francois Nathalie (fnathalie)
RessourceH : Saint-Victor Melissa
Comment créer un lecteur de réseau (Map network Drive)
• Cliquez Tools puis Active Directory Users and Computers

• Cliquez + sur le nom du domain
• Sélectionner un OU ou Users
• Clic droit sur un utilisateur puis dans le menu contextuel qui s'affiche cliquez Properties • Cliquez sur
l'onglet Profile. Cliquez sur l'option Connect, puis cliquez la flèche vers le bas pour choisir une lettre qui
représentera votre lecteur
• Dans " TO " Tapez le UNC Path (UNC : Universal Naming Convention)
\\nom_Serveur\Nom_Dossier_Partage\Nom_Utilisateur)
\\Nom_Serveur\Nom_Dossier_Partage\%username%)
• Cliquez Apply puis OK
• Allez sur l'ordinateur client, identifiez-vous à partir de votre username and password •
Cliquez sur Start puis sur My Computer (Vous devriez voir le dossier partage)
N.B. Si vous voulez créer le lecteur de réseau (Map Network Drive) directement sur le client, vous devez
: - Tapez computer dans la barre de recherche (Search) - Cliquez Map network drive
- Dans Drive, cliquez la flèche vers le bas pour

choisir une lettre qui va représenter votre lecteur
- Dans Folder, Tapez le UNC du répertoire partagé
- Cliquez Finish
- Vous devriez voir votre lecteur réseau s’afficher
dans My Computer
Attribuer à un utilisateur une machine unique sur laquelle il pourra s'authentifier

• Cliquez Tools sur Active Directory Users and Computers - Cliquez + sur le nom du domain •
Sélectionner un OU ou Users
• Clic droit sur un utilisateur puis dans le menu contextuel qui s'affiche cliquez Properties •
Cliquez sur l'onglet " Account " puis cliques sur le bouton " Log on To "
• Cliquez sur l'option " The following Computers "
• Dans "Computer Name", tapez le nom de l'ordinateur puis cliquez sur Add
• Cliquez sur Ok puis cliquez sur Apply et sur Ok
• Allez sur un autre PC puis essayez de vous authentifier sur le serveur à partir de votre compte
Le rôle du Catalogue global
Le catalogue global permet de localiser des objets à partir de n'importe quel domaine sans avoir à connaître le
nom de domaine. Un catalogue global est un contrôleur de domaine contenant une copie de tous les objets
Active Directory d'une forêt. Il stocke une copie complète de tous les objets de l'annuaire de son domaine hôte,
ainsi qu'une copie partielle de tous les objets des autres domaines de la forêt, comme le représente la figure
suivante.
Les copies partielles des objets de domaine qui

sont présentes dans le catalogue global
regroupent les attributs auxquels font appel les
utilisateurs le plus fréquemment lors des
opérations de recherche. Un catalogue global est
créé automatiquement sur le premier contrôleur
de domaine de la forêt. Vous pouvez ajouter la
fonctionnalité de catalogue global à d'autres
contrôleurs de domaine, ou changer
l'emplacement par défaut du catalogue en
l'affectant à un autre contrôleur de domaine.
Un catalogue global est créé automatiquement sur le premier contrôleur de domaine de la forêt. Vous pouvez
ajouter la fonctionnalité de catalogue global à d'autres contrôleurs de domaine, ou changer l'emplacement par
défaut du catalogue en l'affectant à un autre contrôleur de domaine
Un catalogue global remplit les fonctions suivantes dans l'annuaire :
• Recherche d'objets
Un catalogue global permet à l'utilisateur de rechercher des informations d'annuaire dans tous les
domaines d'une forêt, quel que soit l'emplacement de stockage des données. Ces recherches au sein
d'une forêt sont exécutées à une vitesse maximale et occasionnent un trafic réseau minimal.
• Authentification du nom principal d'utilisateur

Un catalogue global résout les noms principaux d'utilisateur (UPN, User Principal Names) lorsque le
contrôleur de domaine devant assurer l'authentification ne connaît pas le compte. Par exemple, si un
compte d'utilisateur est situé dans exemple1.microsoft.com et que l'utilisateur décide d'ouvrir une
session sous le nom principal utilisateur1@exemple1.microsoft.com à partir d'un ordinateur situé dans
exemple2.microsoft.com, le contrôleur de domaine de exemple2.microsoft.com ne pourra pas trouver
le compte d'utilisateur, et contactera un catalogue global pour qu'il exécute le processus d'ouverture de
session.
• Informations relatives à l'appartenance à des groupes universels dans un environnement

multidomaine
Contrairement aux appartenances aux groupes globaux, qui sont stockées dans chaque domaine, les
appartenances aux groupes universels sont uniquement stockées dans un catalogue global.
Comment vérifier que votre serveur est un Catalogue global (Global Catalog) - Clic droit sur votre
contrôleur de domaine, puis dans le menu contextuel cliquez Properties - Dans « DC TYPE » Vous devriez voir «
Global Catalog » pour enlever le catalogue global, cliquez le bouton NTDS Settings. Vous pouvez cocher ou
décocher à volonté la case Catalogue Global
Exercice à réaliser :
L'entreprise MasticPlus S.A. dans le but de mieux gérer son réseau et ses données, décide d'ajout un serveur
additionnel servant de réplica en cas ou le contrôleur de domaine serait en panne. Ce serveur réplica prendra
pour l’instant la relève pour l'authentification de ces clients
Entant qu'administrateur de reseau, vous devez dans un premier temps rendre operationnel les serveurs et
administrer le reseau en créant la structure logique (Les differents OUs), les utilisateurs, les repertoires partages
ainsi que les lecteurs de reseau.
MasticPlus.com 1- Création de la structure logique en

utilisant des OUs
Pre-Stage
---- Mastic
|____ Administration |____
Nom Serveur : Srv-DC1 Nom Serveur : Srv-Rep-DC Fabrication
IP Address : 192.168.10.10 IP Address : 192.168.10.11
|____ Goudron
Preferred DNS Server : 192.168.10.10
|____ Mastic
Preferred DNS Server : 192.168.10.10
|____ Vente
|____ Finances
|____ Comptabilite
Replication
|____ Livraison
WIN 8 WIN 8
Address : 192.168.10.51
Preferred DNS :
192.168.10.10
Nom Client: CL-8-Tech IP
Address : 192.168.10.50
Preferred DNS : 192.168.10.10
Nom client: CL-8-Finance IP
Créez ces utilisateurs dans leurs OUs respectifs

OU Administration
Aly Loubert (aloubert ) | Paul Bruno (Pbruno )
OU Fabrication
Goudron : Ricardo Noel (Rnoel) | Colin Rockdall (Crockdall)
Mastic : Geffrard Hudson (Hgeffrard)
OU Vente
Finances : Francois Nathalie (fnathalie) | Paul Bruno (pbruno)
comptabilite : Willacar Louis Charles (lcwillacar)
OU Livraison
Beaubrun Maximilien (bmaximilien) | Josue Pierre (pjosue)
Joindre sur Domaine la machine CL_8-Finance en faisant un Pre-Stage avec l’utilisateur aloubert
2- Réalisez la structure ci-dessus pour la création des répertoires partagés puis attribuer les permissions aux différents utilisateurs
- Utilisateur Administration : Full Control Utilisateur Fabrication : Read – Write – Modify - Utilisateur
Vente : Read – Write Utilisateur Livraison : Read
- Créer dans le répertoire Mastic un sous-répertoire nommé Commun dans lequel vous ajouterez tous les utilisateurs avec
comme type de permission : Read
Comment créer des comptes utilisateurs en utilisant la commande DSADD sur DOS
Dsadd est un outil de ligne de commande qui est intégré à Windows Server 2008. Il est disponible si vous avez
installé le rôle de serveur Services de domaine Active Directory (ADDS). Pour utiliser DSADD, vous devez exécuter
la commande à partir d’une invite de commandes avec élévation de privilèges
Commandes : DSADD Computer -----> Ajoute un seul ordinateur à l’annuaire

DSADD Group -----> Ajoute un groupe unique à l’annuaire
DSADD OU -----> Ajoute une unité d’organisation à l’annuaire
DSADD User -----> Ajoute un utilisateur unique dans le répertoire
Votre organisation est en train de grandir et vous avez besoin d'ajouter de nouveau Ou et de nouveaux
utilisateurs. On va ajouter un département " Sales " dans la structure organisationnelle. Vous décidez
maintenant de créer un nouveau OU pour mieux gérer les ressources de ce nouveau département.
Syntaxe : dsadd ou ou=Nom_du_Ou,dc=Nom_du_domaine -desc Bref description dsadd

ou ou=Sales,dc=DomCanado -desc "Departement vente"
N.B. Si vous avez donné une extension à votre domaine, vous devez taper DC=extension Ex : dsadd
OU OU=Nom_du_OU,dc=Nom_du_domaine,dc=extension -Desc ‘’ Commentaire ‘’
--------------------------------------------------------------------------------------------------------------------------------
- Création d'un nouveau utilisateur dans le nouveau OU (Sales)
• Charger DOS
• Tapez dsadd user cn=Nom_Utilisateur,ou=Nom_du_Ou,dc=Nom_de_votre_Domaine -pwd
Votre_Mot_de_Passe -samid Nom_du_Compte -upn Votre_Nom@Nom_Domaine • Pressez
Enter
• Ouvrez Active Dircetory Users and Computers pour vérifier si l'utilisateur est créé SAMID: Security
Account Manager ID - UPN: User Principal Name - CN: Common Name
EX: dsadd user "cn=Jansly Dieujuste,ou=Sales,dc=DomCanado" -pwd client-01 -samid Djansly

-upn Djansly@domCanado - mustchpwd yes - pwdneverexpires yes -disabled no
Créez un compte dans Users sous le nom de Slolan
Ex : dsadd user "cn=Lolan Song,cn=users,dc=DomCanado" -pwd client-1 -samid Slolan -upn

lolan@DomCanado
cn : Common name / cn : Container/ dc : Domaine Controller
Ex : DSADD user ‘’cn=maxime LOUIS,cn=Users,dc=Formation,dc=edu ‘’ -samid mlouis -upn

mlouis@formation.edu -fn Maxime -ln Louis -pwd * -mustchpwd yes
N.B. L’étoile * pour le paramètre -pwd est utilisé pour afficher un prompt de demande de mot de passe. Il est
possible de taper le mot de passe directement dans la commande.
Créer un compte utilisateur à partir d'un fichier .bat
- Chargez un éditeur de texte (Notepad ou Wordpad)

- Tapez le code ci-dessus dans le fichier
- Sauvegardez ce fichier avec l'extension .bat (Ex : User.bat)
- Allez en Dos, tapez le nom du fichier (User.bat) puis valider en pressent la touche Enter
Ajouter un groupe (DSADD GROUP …)
Pour créer un compte de groupe nommé Ventes dans le conteneur utilisateurs par défaut de
northwindtraders.com, tapez :
dsadd group cn = ventes, cn = users, dc = lescomptoirs, dc = com -secgrp yes -scope g
Pour créer un groupe universel nommé comptabilité dans une unité d'organisation (UO) nommée Departments
dans un domaine appelé northwindtraders.com, tapez :
dsadd group cn = comptabilité, UO = départements, dc = lescomptoirs, dc = com –scope u -secgrp yes

(yes : Groupe sécurisé - Aucun : Groupe de distribution) / (Scope --> U :(Universal) G : (Global) L :(local))
Comment éliminer un Objet dans active Directory (compte d’utilisateur un UO ou un groupe en DOS)
Dsrm dn_Utilisateur (Nom unique de l’objet utilisateur à supprimer)
Eliminer un OU : DSRM OU=nom_du_OI,DC=Nom_Domaine,DC=Extension
Eliminer un compte : DSRM
‘’CN=Nom_Compte,OU=Nom_du_OU,DC=Nom_Domaine,DC=Extension Eliminer un groupe : DSRM
Exercice sur l’utilisation de DSADD et de DSRM

Réinitialisation d’un mot de passe
- Suppression d’un compte utilisateur
Gestion de groupes
- Création d’un nouveau compte d’utilisateur -

Ajout d’un membre à un groupe
- Conversion d’un groupe en un autre type de
groupe - Suppression d’un groupe
Faire un utilisateur membre d’un groupe
Gestion d’utilisateurs
- Création d’un nouveau compte utilisateur

- Activation / désactivation d’un compte utilisateur -
- Création d’une nouvelle unité
organisationnelle
- Suppression d’une unité organisationnelle
Gestion des unités organisationnelle
Dsadd user <UserDN> {-samid <SAMNane>} {-upn <UPN>} {-fn <Firstname>} {-ln <LastName>} {-pwd
<password>| *} {-desc <Description>} {-memberof <Group> …} {-Tel <PhoneNumber>} {-e-mail <Email>} {-title
<Title>} {-dept <Departement>} {-hmdrv <DriveLetter> :} {-profile <ProfilePath>} {-loscr <ScriptPath>} {-
mustchpwd <yes | none>} {-canchpwd <yes | None>} {-pwdneverexpires <yes | none>}
Ex : dsadd user "cn=Lolan Song,ou=Cfph,dc=DomCanado" -pwd client-1 -samid Slolan -upn

lolan@DomCanado –memberof cn=Ventes,ou=Cfph,dc=DomCanado
DSGet
Permet de récupérer des informations sur un objet (Un utilisateur par exemple) :
Dans notre exemple on veut récupérer le Nom, le Prénom et l’adresse e-mail d’un utilisateur :
DSMOD
Permet de faire des modifications sur un objet :
Dans notre exemple nous allons modifier le mot de passe d’un utilisateur
Créer plusieurs comptes utilisateurs à partir de la commande LDIFDE

- Chargez un Editeur de texte, puis tapez ces commandes
dn: cn=Arnel,cn=Users,dc=Nom_Domaine (Distinguished Name )

OU dn: cn=Arnel,ou=Nom_du_OU,dc=Nom_Domaine,dc=Ext
objectclass: user (Détermine le type d'objet à créer, comme un user, group ou OU)
SamAccountName: Arnel (Le nom qui sera afficher lors du ' Logon ')
UseraccountControl: 514 (514=Disable / 512=Enable)
UserPrincipalName: Arnel@Nom_Domaine
- Répétez les étapes ci-dessus autant de fois pour créer les autres utilisateurs
- Sauvegardez ce fichier dans C:\ avec comme extension .ldf
- Passez en Dos et tapez :
ldifde -i -f C:\Nom_Fichier.ldf Puis validez en pressant ENTER (I: Import F: Path du fichier)
Créez plusieurs utilisateurs en utilisant la méthode CSVDE (Comma-Separated Values [csv])

- Chargez Excel puis tapez ces informations
dn objectclass givenname samaccountname
Cn=Kelly,ou=IT,dc=DomCanado user Kelly Kelly
Cn=Tamara,cn=Users,dc=DomCanado user Tamara Tama
... ... ... ...
- Cliquez sur File / Save

- Dans « Save as type », sélectionnez CSV (MSDOS)
- Dans « Filename » Tapez le nom du fichier en lui donnant l’extension .CSV puis cliquez sur Save -
Cliquez Yes puis cliquez No
. Chargez DOS puis tapez la commande suivante
csvde -i -f C:\Account.csv (i=import, f=file) Validez la commande en pressant la touche
Enter
Utilisation de Windows 2008 server pour désactiver le compte d'un utilisateur
• Clic droit sur le compte utilisateur
• Dans le menu contextuel qui s'affiche, cliquez Disabled Account dans le menu contextuel •
Essayer de vous authentifier sur la machine XP avec ce compte.
N.B. Pour réactiver ce compte, faites un clic droit puis Enable Account
OU
• Clic Droit sur le compte utilisateur cliquez Properties dans le menu contextuel puis onglet Account •
Dans " Account options " cochez la ou les cases appropriée(s)
• Cliquez sur Apply puis sur OK
Comment permettre à un utilisateur de modifier son mot de passe
• Clic droit sur le compte utilisateur
• Dans le menu contextuel qui s'affiche, cliquez Reset Password dans le menu contextuel •
Laissez Cocher la case " User must change password at next Logon "
• Tapez un mot de passe (New password et Confirm password) puis cliquez OK
Donnez une heure bien déterminée pour que l'utilisateur puisse s'authentifier
• Clic droit sur le compte utilisateur, dans le menu contextuel cliquez Properties •
Cliquez sur l'onglet Account puis sur le bouton « Logon Hours ... »
• Sélectionnez la plage d'heure ou l'utilisateur ne pourra pas monter puis cliquez « Logon Denied » •
Cliquez sur Ok
• Cliquez Apply puis
Ok
Comment déplacer un utilisateur
• Clic droit sur la compte utilisateur, dans le menu contextuel cliquez Move
• Dans la fenêtre qui apparait sélectionnez un OU puis cliquez sur OK
• Allez dans le OU pour vérifier
Contrôleur de domaine en lecture seule (RODC)
Un contrôleur de domaine en lecture seule (RODC) accueille en lecture seule les services de domaine Active
Directory (AD DS) de base de données. Avec un RODC, les entreprises peuvent facilement déployer un contrôleur
de domaine dans des endroits où la sécurité physique ne peut être garantie.
Ou utiliser un Contrôleur de Domaine en Lecture Seule (RODC)

La règle générale est de déployer les RODC à des emplacements considérés comme sensibles. Une filiale sans
service informatique, l'extranet de la société ou autre périmètre applicatif nécessitant une authentification
LDAP. De manière générale, un RODC est à placer là ou un DC standard ne peut être installé.
Bénéfice d’un RODC : Protège Active Directoy contre tout changement non autorise effectue à partir de autre
contrôleur de domaine.
Aucun changement ne peut être effectue dans la base de données Active Directory sur un serveur RODC
Délégation de tache : Possède un groupe d’administrateur local permettant d’administrer une succursale sans
avoir des privilèges sur le domaine.
Comment créer un contrôleur de domaine en lecture seule (Read Only Domain Controller)
1. Cliquez sur Manage - Add Roles and Features
OU
Cliquez tout simplement sur Add roles and features dans l’interface du Server
Manager
2. Cliquez Next. Laissez par défaut l’option : « Role-based or feature-based installation » puis cliquez Next
3. Laissez l’option par défaut : « Select a server from the server pool » puis cliquez Next 4. Cochez « Active
Directory Domain services » Puis cliquez Next. Dans la fenêtre qui apparait cliquez Add features puis
cliquez Next
5. Cliquez Next puis Install (patientez pendant la progression de l’installation) - Close
6. Cliquez sur ADDS dans la partie gauche de l’écran puis cliquez More
7. Cliquez Promote this server to a domain
8.
Cliquez l’option “Add a domain controller to an existing domain” puis dans “Domain” tapez le nom de
votre domaine (Ex : canadoplus.edu)
9. Cliquez « Change » pour vous authentifiez (Username et Password) puis cliquez Next pour continuer
10. Cochez la case Read only domain controller (RODC) puis entrez et confirmez le mot de passe pour le
Restore Mode et cliquez Next
11. Dans « Delegated administrator account » cliquez le bouton Select pour ajouter un utilisateur pour
déléguer les taches puis cliquez Next
12. Dans « Replicate from » vous pouvez laisser l’option par défaut « Any domain controller » ou vous
pouvez en choisir un puis cliquez Next
13. Cliquez Next - Cliquez Next - Cliquez Install
Remarquez qu’à partir du serveur RODC, vous pouvez créer des comptes et autre. Cela veut tout simplement
dire que vous êtes actuellement connecté sur le DC qui est en normalement en écriture.
• Vous devez changer de contrôleur de domaine en cliquant sur le menu Action - Change Domain
Controller
• Sélectionner dans la liste votre serveur RODC puis cliquez OK puis à nouveau sur Ok dans la boite de
message vous informant que vous ne serai pas en mesure d’effectuer des opérations d’écritures
• Vous pouvez voir à présent que le nom du serveur a changé
Maintenant vous ne pouvez ni créer d’utilisateur ni faire des délégations de pouvoir.
• Allez sur le contrôleur de domaine - Active Directory Users and Computers - Cliquez le OU (Organizational
Unit) Domain Controller
• Clic droit sur le serveur RODC puis cliquez Properties

• Cliquez sur l’onglet « Password Replication Policy » - Advanced (Vous voyez que l’utilisateur que vous
avez délégué les droits n’est pas dans la liste. Pour cela :
• Cliquez le bouton Prepopulate passwords puis entrer le nom de l’utilisateur ainsi que le nom du
computer et cliquez OK - Yes
OU
• Dans l’onglet « Password Replication Policy » cliquez le bouton ADD pour modifier le groupe de sécurité
par défaut en ajoutant d’autre utilisateur dans la liste
EXERCICE
Le Directeur de SupinfoTech décide d'informatiser son entreprise en mettant sur pied trois (3) serveurs. Un
Contrôleur de domaine pour l'authentification des employés, un serveur réplica pour la tolérance de panne et un
Read-Only Domain Controller dans un bâtiment non sécurisé.
Après l'installation et configuration de ces différents serveurs (IP, Nom, Installation de Win2012, ADDS), vous
aurez encore comme tache entant qu'administrateur de :
• Joindre au domaine les différents ordinateurs qui s'y trouvent

• Créer en DOS la structure suivante : __ SupInfoTech
|____ Employes
|____ Staff
|____ Etudiants
• Créez trois (3) utilisateurs dans le OU Employés (Mgarry - Djunior - Fdimitri) en utilisant un script • Créez
deux (2) utilisateurs de votre choix dans le OU Staff en utilisant la méthode .CSV • Créez Trois (3)
utilisateurs dans l’OU Etudiants partir de la méthode .ldf (cmirlande, zaridou, vjfrnacis, hsamuel)
• L'utilisateur hsamuel peut s'authentifier uniquement de 10h AM à 3h PM
• Déléguer des tâches administratives sur le serveur Srv-RODC a l’un des utilisateurs se trouvant dans l’OU
Staff
SupinfoTech.edu
B
Srv-DC1
Srv-Rep-DC
Pavillon A Pavillon
Srv-RODC
Batiment Non securisé
• Créez dans le contrôleur de domaine un répertoire partagé GuideEtude et Tutoriels • Tous les utilisateurs
de l’OU Etudiants auront accès au dossier partagé Tutoriel avec comme permissions Read(Lire) et les
utilisateurs de l’OU Employes pourront accéder au dossier GuideEtude avec comme permission Read –
Write (Lecture / Ecriture)
• Mapper ces deux répertoires sur le profil des utilisateurs de l’OU Staff
Installer Active Directory Services sur un Windows Server 2012
Core Créer votre premier domaine dans la foret
1- Install Windows server 2012 Core
2- Tapez sconfig pour accéder à l’interface graphique du serveur Core afin de paramétrer le serveur.
OU Faites les modifications à partir de Powershell

- Modifier le nom du serveur : Rename-Computer -NewName DC01 (Nom du significatif que vous voulez
donner au serveur)
- Redémarrer le serveur en utilisant la commande : Restart-Computer -Force
- Pour vérifier, tapez : $env:COMPUTERNAME
- Récupérer les informations de votre carte réseau : Get-NetAdapter
- Vous pouvez utiliser la commande New-NetIPAddress Pour définir une adresse IP statique :
Ex : New-NetIPAddress -InterfaceIndex 12 -IPAddress 192.168.2.2 -PrefixLength 24
- Vous pouvez utiliser la commande Set-DNSClientServerAddress pour définir l’adresse DNS

Ex : Set-DNSClientServerAddress -InterfaceIndex 12 -ServerAddresses 192.168.2.2
3- Utilisez PoweShell pour installer le serveur Core :

---> Afficher la liste des Features en Powershell : Get-WindowsFeature
EX: Pour installer le service DHCP : Install-WindowsFeature DHCP -includeManagementTools -whatif
Installation du role Active Directory Domain Services:

---> Install-WindowsFeature -Name AD-Domain-Services -includeManagementTools
Créez la foret Active Directory (Promote the server to a Domain controller)

---> Install-addsforest -domainname Canado.org -creatednsdelegation:$false -databasepath
“C:\NTDS” -forestmode Win2012 -domainnetbiosname Canado -installdns:$true -logpath “C:\NTDS” -
sysvolpath “C:\NTDS\sysvol”
- Pour pouvoir gérer le serveur à distance, utilisez la commande : Enable-PSRemoting
Entrer le SafeModeAdministratorPassword puis confirmez. Puis tapez YES pour continuer
Installer un serveur additionnel (Replica Domain)

- Même démarche : Modifier le nom du serveur : Rename-Computer -NewName DC02
-
Vérifier le nom du serveur en tapant la commande : $env :COMPUTERNAME
Modifier l’adresse IP et le DNS en utilisant la commande : New-NetIPAddress

(IP :192.168.2.3)
et
Set-DNSClientServerAddress (DNS : 192.168.2.2)
- Ajouter le serveur au domaine (Join the server to domain) en utilisant la

commande : Add-Computer
- Installer le role Active directory Domain Services en tapant la commande :

Install-WindowsFeature
- Configurer active Directory : Install-ADDSDomainController

Install-ADDSDomainController -DomainName Corp.ViaMonstra.com -DatabasePath
"%SYSTEMROOT%\NTDS" `
-LogPath "%SYSTEMROOT%\NTDS" -SysvolPath "%SYSTEMROOT%\SYSVOL" -InstallDns `
-ReplicationSourceDC DC01.corp.viamonstra.com -SafeModeAdministratorPassword
$Password `
-NoRebootOnCompletion
Utiliser la commande Get-ADGroupMember pour questionner tous les contrôleurs de domaine
---> Install-ADDSDomainController -Domainname Canadotech.edu -InstallDNS:$True -Credential(Get

credential)
Installer le role DNS

---> Install-ADDSDomainController -Domainname
---> Install-WindowsFeature -name DNS -Computername Server1 -IncludeManagementTools
Installer DHCP sur un serveur Core avec PowerShell

---> Install-WindowsFeature DHCP -IncludeManagementTools
Configurer l’étendue de base DHCP (Scope)

---> Add-DhcpServer4Scope -Name ‘’Internal’’ -StartRange 192.168.0.10 -EndRange
192.168.0.25 -SubnetMask 255.255.255.0 -Description ‘’Reseau Interne’’
Autorisaton des sereurs DHCP dans Active Directory
---> Add-DhcpServerInDC -DNSName demo.servercore.net

dcpromo.exe /unattend /NewDomain:forest /ReplicaOrNewDomain:Domain /NewDomainDNSName:domain.tld
/DomainLevel:4 /ForestLevel:4 /SafeModeAdminPassword:"P@ssw0rd"
To install directly in Server Core mode with an unattend file
1. Create a .xml file titled Unattend.xml by using a text editor or Windows System Image Manager.
2. Copy the Unattend.xml file to a local drive or shared network resource.
3. Boot your computer to Windows Preinstallation Environment (Windows PE). 4. Insert the
media disk with the Server Core installation of Windows Server 2012 into your disk drive. If the
auto-run Setup window appears, click Cancel.
5. Change to the drive that contains the installation media.
6. Run setup /unattend:<path>\unattend.xml, where path is the path to the Unattend.xml file.
7. Allow Setup to complete.
Créer un serveur réplica CORE

1- Dans votre serveur Core, lancez l’application Notepad. Puis tapez ces lignes de code.
[DCInstall]
createOrjoin= join
replicaDomainDNSName = domain.tld (Nom de votre domaine)
ReplicaOrNewDomain = Replica
UserDomain = DOMAIN
Username = administrator
Password = "P@ssw0rd1"
InstallDNS = Yes
ConfirmGc = Yes
CreateDNSDelegation = No
SafeModeAdminPassword = "P@ssw0rd"
2- Sauvegardez le fichier avec l’extension .txt

Installer votre réplica Core en tapant cette commande : dcpromo.exe /unattend:C:\dcpromo.txt
Configurer un serveur Core comme un serveur DHCP (Commande dism.exe)

Dism.exe online /enable-feature /featurename:DHCPServer
Installer le serveur de role DHCP sur un serveur CORE avec Install-WindowsFeature sur PowerShell
Install-WindowsFeature DHCP -IncludeManagementTools
Configurer un scope DHCP

Add-DhcpServer4Scope -Name ‘’Internal’’ -StartRange 192.168.0.10 -EndRange 192.168.0.250 -Subnetmask
255.255.255.0 -Description ‘’Internal Network’’
Comment réaliser un Remote Desktop

1. Méthode 1 – Au niveau du serveur (Autoriser la connexion)
Control Panel - System and Security - System - Remote settings
OU
Méthode 2 - Dans la barre de recherche tapez computer puis dans computer faites un clic
droit 2. Cliquez Properties au bas de l’écran - Remote settings
3. Pour le Remote desktop cliquez l’option « Allow remote connections to this computer ». Si nécessaire
cochez la case puis cliquez le bouton « select Users » pour ajouter un utilisateur
4. Cliquez Apply puis OK

Au niveau de l’ordinateur client : Allez dans la barre de recherche tapez « Remote desktop connection »
Tapez l’adresse IP ou le nom du serveur que vous voulez prendre le contrôle à distance puis cliquez Connect
Authentifiez-vous puis cliquez OK - Cliquez YES
Comment créer un domaine enfant (Child Domain)
1. Après avoir configure votre serveur, cliquez sur

ou
Manage - Add Roles and Features puis cliquez Next
2. Laissez l’option « Role-based or feature-based installation » par défaut puis Cliquez Next 3. Laissez
l’option « Select a server from the server pool » par défaut puis cliquez Next 4. Cochez « Active Directory
Domain services » puis dans la fenêtre qui s’affiche automatiquement, cliquez Add Features puis cliquez
Next - Cliquez Next à nouveau
5. Cliquez Install. Patientez pendant la progression de l’installation
6. Cliquez More
7. Cliquez Promote this server to domain …
8. Cliquez l’option “Add a new domain to an existing forest “. Puis entrer les informations concernant le
domaine et le domaine enfant puis cliquez sur le bouton Select…
Entrez le nom utilisateur et le mot de passe du domaine parent. Puis dans la fenêtre qui s’affiche
sélectionnez le nom du domaine et cliquez OK
9. Cliquez Next
10. Tapez votre Restore Mode password puis Cliquez Next

11. Cliquez Next. Dans NetBios domain name, cliquez Next
12. Cliquez Next (Pour la base NTDS) - Cliquez Next - Cliquez Next 13. Cliquez Install
Trois types de comptes utilisateurs peuvent être crées et configurer dans Windows Server 2012
• Local Account : Ces comptes sont utilisés pour accéder seulement à l’ordinateur en local et stockés dans la
base de données SAM (Security Account Manager) de l’ordinateur ou ils résident. Les comptes locaux
ne se répliquent jamais avec d’autres ordinateurs ; ces comptes n’ont également accès au domaine
• Domain Account : ces comptes sont utilisés pour accéder Active Directory ou des ressources réseaux tels
des dossiers partagés ou imprimantes. Les informations de ces comptes d’utilisateurs sont stockées dans
Active Directory et répliquées dans tous les DC du même domaine.
• Built-in user account : ces comptes sont créés automatiquement quand Windows server est installé. Built
in user account est créé sur des "Members Server" ou "Standalone Server"
PRESENTATION DES COMPTES ET DES GROUPES

Un groupe est un ensemble de comptes d’utilisateurs et d’ordinateurs, de contacts et d’autres groupes qui
peuvent être gérés comme une seule unité. Les utilisateurs et les ordinateurs qui appartiennent à un groupe
particulier représentent les membres du groupe.
Les groupes dans les services de domaine Active Directory (AD DS) sont des objets d’annuaire qui résident dans
un domaine et dans des objets conteneur d’unité d’organisation. AD DS fournit un jeu de groupes par défaut à
l’installation. Il fournit aussi une option pour créer des groupes.
Vous pouvez utiliser des groupes dans AD DS pour :
• Simplifier l’administration en affectant des autorisations sur une ressource partagée à un groupe plutôt
qu’à des utilisateurs individuels. L’affectation des autorisations à un groupe accorde le même accès à la
ressource à tous les membres de ce groupe.
• Déléguer l’administration en affectant des droits d’utilisateur à un groupe à l’aide de la stratégie de groupe.
Vous pouvez ensuite ajouter au groupe les membres auxquels vous souhaitez attribuer les mêmes droits
que le groupe.
• Créer des listes de distribution électronique.
Les groupes se caractérisent par leur étendue et leur type. L’étendue d’un groupe détermine le degré
d’application du groupe au sein d’un domaine ou d’une forêt. Le type de groupe détermine si vous pouvez
utiliser un groupe pour attribuer des autorisations depuis une ressource partagée (pour les groupes de sécurité)
ou pour réserver l’utilisation d’un groupe à des listes de distribution électronique (pour les groupes de
distribution).
Il existe aussi des groupes dont vous ne pouvez pas modifier ou consulter les appartenances. Ces groupes
s’appellent des identités spéciales. Ils représentent différents utilisateurs à des moments différents, selon les
circonstances. Par exemple, le groupe Tout le monde est une identité spéciale qui représente tous les utilisateurs
actuels du réseau, y compris les invités et les utilisateurs d’autres domaines.
Les sections suivantes fournissent des informations supplémentaires sur les comptes de groupes dans AD DS.
PRESENTATION DES GROUPES PAR DEFAUT
Les groupes par défaut, tels que le groupe Admins du domaine, sont des groupes de sécurité créés
automatiquement lorsque vous créez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis
pour contrôler l’accès aux ressources partagées et déléguer les rôles administratifs spécifiques dans l’ensemble
du domaine.
Un jeu de droits d’utilisateur qui autorise les membres d’un groupe à effectuer des actions spécifiques dans un
domaine, par exemple se connecter à un système local ou sauvegarder des dossiers et des fichiers, est affecté
automatiquement à de nombreux groupes par défaut. Par exemple, un membre du groupe Opérateurs de
sauvegarde a le droit d’effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du
domaine.
Si vous ajoutez un utilisateur à un groupe, l’utilisateur se voit attribuer les droits suivants
: • Tous les droits d’utilisateurs affectés au groupe
• Toutes les autorisations affectées au groupe sur toutes les ressources partagées
Les groupes par défaut sont situés dans le conteneur Intégré et le conteneur Utilisateurs. Les groupes par défaut
dans le conteneur Intégré ont une étendue de groupe de Local intégré. Leur étendue de groupe et type de
groupe ne peuvent pas être modifiés. Le conteneur Utilisateurs contient des groupes définis avec une étendue
globale et des groupes définis avec une étendue de domaine local. Vous pouvez déplacer les groupes figurant
dans ces conteneurs vers d’autres groupes ou unités d’organisation au sein du domaine, mais vous ne pouvez
pas les déplacer vers d’autres domaines
Default groups
Default groups, such as the Domain Admins group, are security groups that are created automatically when you
create an Active Directory domain. You can use these predefined groups to help control access to shared
resources and delegate specific domain-wide administrative roles. For information about default groups stored
on local computers, see Default local groups.
Many default groups are automatically assigned a set of user rights that authorize members of the group to
perform specific actions in a domain, such as logging on to a local system or backing up files and folders. For
example, a member of the Backup Operators group has the right to perform backup operations for all domain
controllers in the domain.
When you add a user to a group, the user receives all the user rights assigned to the group and all the
permissions assigned to the group on any shared resources. For more information about user rights and
permissions, see Group types.
You can manage groups by using the Active Directory Users and Computers snap-in in Microsoft Management
Console (MMC). Default groups are located in the Builtin container and the Users container.
The Builtin container default groups contain groups that are defined with domain local scope. You can move
groups in and out of this container, but you cannot move the default groups in this container to another location
or to another domain.
The Users container default groups contain groups that are defined with global scope and groups that are
defined with domain local scope. You can add the groups in this container to other groups and you can move the
default groups in this container to other organizational units (OUs) or containers, but you cannot move the
group to another domain.
Groups in the Builtin container
The following table provides descriptions of the default groups located in the Builtin container and lists the
assigned user rights for each group.
Group Description Default user rights
Members of this group can create, modify, and

delete accounts for users, groups, and
computers located in the Users or Computers
containers and organizational units in the
domain, except the Domain Controllers
organizational unit. Members of this group do Allow log on locally; Shut down
Account
not have permission to modify the the system.
Operators
Administrators or the Domain Admins groups,
nor do they have permission to modify the
accounts for members of those groups.
Members of this group can log on locally to
domain controllers in the domain and shut
them down. Because this group has significant
power in the domain, add users with caution. Access this computer from the
network; Adjust memory quotas for a
Members of this group have full control of all process; Back up files and directories;
domain controllers in the domain. By default, Bypass traverse checking; Change the
the Domain Admins and Enterprise Admins system time; Create a pagefile;
groups are members of the Administrators Debug programs; Enable computer
group. The Administrator account is also a and user accounts to be trusted for
default member. Because this group has full delegation; Force a shutdown from a
control in the domain, add users with caution. remote system; Increase scheduling
priority; Load and unload device
drivers; Allow log on locally; Manage
auditing and security log; Modify
firmware
environment values; Profile single
process; Profile system performance;
Remove computer from docking
station; Restore files and directories;
Administrators Shut down the system; Take
ownership of files or other objects.
Members of this group can back up and

restore all files on domain controllers in the
Back up files and directories; Allow
domain, regardless of their own individual
log on locally; Restore files and
permissions on those files. Backup Operators
directories; Shut down the system.
can also log on to domain controllers and shut
them down. This group has no default
members. Because this group has significant
power on domain controllers, add users with
caution.
No default user rights.
Backup By default, the Domain Guests group is a
Operators member of this group. The Guest account
(which is disabled by default) is also a default No default user rights.
member of this group.
Members of this group can create one-way,

incoming forest trusts to the forest root
Guests domain.
Incoming
Forest Trust
Builders
(only appears For example, members of this group residing in No default user rights.
in the forest Forest A can create a one-way, incoming forest
root trust from Forest B. This one-way, incoming
domain) forest trust allows users in Forest A to access
resources located in Forest B. Members of this
group are granted the permission Create No default user rights.
Inbound Forest Trust on the forest root
domain. This group has no default members.
For more information about creating forest
trusts, see Create a forest trust.
Members of this group can make changes to
TCP/IP settings and renew and release TCP/IP
addresses on domain controllers in the
domain. This group has no default members.
Members of this group can monitor
performance counters on domain controllers
in the domain, locally and from remote clients
Network without being a member of the Administrators
Configuration or Performance Log Users groups.
Operators
Members of this group can manage
Access this computer from the
performance counters, logs and alerts on
network; Bypass traverse checking.
domain controllers in the domain, locally and
Performance
from remote clients without being a member
Monitor Users
of the Administrators group.
Members of this group have read access on

all users and groups in the domain. This
Performance group is provided for backward compatibility
Log Users for computers running Windows NT 4.0 and
earlier. By default, the special identity Allow log on locally; Shut down
Everyone is a member of this group. For the system.
more information about special identities,
see Special identities. Add users to this group
only if they are running Windows NT 4.0 or
Pre-Windows earlier.
2000
Compatible Members of this group can manage, create,
share, and delete printers connected to No default user rights.
Access
domain controllers in the domain. They can
also manage Active Directory printer objects
in the domain. Members of this group can log
on locally to domain controllers in the domain No default user rights.
and shut them down. This group has no
default members. Because members of this
group can load and unload device drivers on
all domain controllers in the domain, add
users with caution.
Print Operators
Members of this group can remotely log on to
domain controllers in the domain. This group
has no default members.
This group supports directory replication

Remote functions and is used by the File Replication
Desktop service on domain controllers in the domain.
Users This group has no default members. Do not
add users to this group.
Replicator
Server On domain controllers, members of this group Back up files and directories; Change
can log on interactively, create and delete the system time; Force shutdown
shared resources, start and stop some from a remote system; Allow log on
services, back up and restore files, format the locally; Restore files and directories;
hard disk, and shut down the computer. This Shut down the system.
group has no default members. Because this
group has significant power on domain
controllers, add users with caution.
Operators
Members of this group can perform most
common tasks, such as running applications,
using local and network printers, and locking
the server. By default, the Domain Users
group, Authenticated Users, and Interactive
are members of this group. Therefore, any
user account created in the domain becomes
a member of this group.
Users
Groups in the Users container

The following table provides a description of the default groups located in the Users container and lists the
assigned user rights for each group.
Group Description Default user rights
Members of this group are permitted to publish

Cert Publishers No default user rights.
certificates for users and computers. This group has
no default members.
DnsAdmins
(installed with Members of this group have administrative access No default user rights.
DNS) to the DNS Server service. This group has no
default members.
DnsUpdatePro
xy (installed Members of this group are DNS clients that can No default user rights.
with perform dynamic updates on behalf of other
DNS) clients, such as DHCP servers. This group has no
default members. Access this computer from the
network; Adjust memory
quotas for a process; Back up
files and directories; Bypass
traverse checking; Change the
system time; Create a pagefile;
Debug programs; Enable
computer and user accounts to
be trusted for delegation;
Domain Admins Force a shutdown from a
Members of this group have full control of the remote system; Increase
domain. By default, this group is a member of the scheduling priority; Load and
Administrators group on all domain controllers, all unload device drivers; Allow log
domain workstations, and all domain member on locally; Manage auditing and
servers at the time they are joined to the domain. security log; Modify firmware
By default, the Administrator account is a member environment values; Profile
of this group. Because the group has full control in single process; Profile system
the domain, add users with caution. performance; Remove
computer
Domain from docking station; Restore

Computers files and directories; Shut
down the system; Take
ownership of files or other
Domain This group contains all workstations and servers objects.
joined to the domain. By default, any computer
Controllers account created becomes a member of this group
automatically.
Domain Guests
This group contains all domain controllers in
the domain. No default user rights.
This group contains all domain guests. No default user rights.

Domain Users
This group contains all domain users. By default, any
user account created in the domain becomes a
member of this group automatically. This group can
be used to represent all users in the domain. For
example, if you want all domain users to have
access to a printer, you can assign permissions for
the printer to this group (or add the Domain Users
group to a local group, on the print server, that has
permissions for the printer).
Access this computer from the
network; Adjust memory
quotas for a process; Back up
files and directories; Bypass
traverse checking; Change the
Enterprise
system time; Create a pagefile;
Admins (only
Debug programs; Enable
appears in the
computer and user accounts to
forest root
be trusted for delegation;
domain)
Force shutdown from a remote
system; Increase scheduling
priority; Load and unload
Members of this group have full control of all device drivers; Allow log on
domains in the forest. By default, this group is a locally; Manage auditing and
member of the Administrators group on all domain security log; Modify firmware
controllers in the forest. By default, the environment values; Profile
Administrator account is a member of this group. single process; Profile system
Because this group has full control of the forest, performance; Remove
add users with caution. computer from docking
station; Restore files and
directories; Shut down the
system; Take ownership of
Group Policy files or other objects.
Creator Owners
IIS_WPG
(installed with
IIS)
Members of this group can modify Group Policy in

the domain. By default, the Administrator account
is a member of this group. Because this group has
significant power in the domain, add users with
caution.
The IIS_WPG group is the Internet Information

Services (IIS) 6.0 worker process group. Within the
functioning of IIS 6.0 are worker processes that
serve specific namespaces. For example,
www.microsoft.com is a namespace served by one
worker process, which can
RAS and IAS run under an identity added to the IIS_WPG No default user rights.
Servers group, such as MicrosoftAccount. This group has
Schema no default members.
Admins (only No default user rights.
Servers in this group are permitted access to
appears in
the remote access properties of users.
the forest
root Members of this group can modify the Active
domain) Directory schema. By default, the Administrator
account is a member of this group. Because this
group has significant power in the forest, add users
with caution.
Quand vous configurez un groupe dans Windows Server, prenez soin de définir deux caractéristiques : group
type et group scope.
Group type défini comment un groupe est utilisé dans Active Directory. Il existe deux types de groupes dans
Windows Server 2008
Présentation des types de groupes
Il existe deux types de groupes dans AD DS : les groupes de distribution et les groupes de sécurité. Vous pouvez
utiliser des groupes de distribution pour créer des listes de distribution électronique et des groupes de sécurité
pour affecter des autorisations à des ressources partagées.
Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie (Microsoft
Exchange Server 2007 par exemple) pour envoyer du courrier électronique à des ensembles d’utilisateurs. Les
groupes de distribution ne sont pas sécurisés, ce qui signifie qu’ils ne peuvent pas être répertoriés dans les listes
de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List). Pour contrôler l’accès à des
ressources partagées à l’aide d’un groupe, créez un groupe de sécurité.
S’ils sont utilisés avec précaution, les groupes de sécurité fournissent une méthode efficace pour autoriser
l’accès aux ressources de votre réseau. Grâce aux groupes de sécurité, vous pouvez:
• Assigner des droits d’utilisateurs à des groupes de sécurité dans AD DS.
Les droits d’utilisateurs sont affectés à un groupe de sécurité pour déterminer les actions des membres
de ce groupe au sein de l’étendue d’un domaine (ou d’une forêt). Les droits d’utilisateurs sont affectés
automatiquement à certains groupes de sécurité au moment de l’installation d’AD DS pour permettre
aux administrateurs de définir le rôle administratif d’une personne dans un domaine. Par exemple, un
utilisateur ajouté au groupe Opérateurs de sauvegarde dans Active Directory a le droit d’effectuer des
sauvegardes et des restaurations de fichiers et d’annuaires sur chaque contrôleur de domaine du
domaine.
• Affecter des autorisations aux groupes de sécurité sur des ressources.
Les autorisations sont différentes des droits d’utilisateurs. Les autorisations déterminent quels
utilisateurs peuvent accéder à une ressource partagée ainsi que le niveau d’accès, par exemple Contrôle
total. Vous pouvez faire appel aux groupes de sécurité pour gérer l’accès et les autorisations à une
ressource partagée. Certaines autorisations définies sur les objets de domaine sont automatiquement
affectées pour autoriser des niveaux d’accès divers aux groupes de sécurité par défaut, tels que les
groupes Opérateurs de compte ou Admins du domaine.
Comme les groupes de distribution, les groupes de sécurité peuvent aussi servir d’entités de messagerie. L’envoi
d’un message électronique au groupe envoie le message à tous les membres du groupe.
Group scope contrôle quel objet le groupe peut contenir, limite l’objet au domaine auquel il appartient or permet
l’objet d’accéder à d’autres domaines, et contrôle la localisation dans le domaine ou foret ou le groupe peut être
utilisé.
On distingue 3 types de Group Scope dans Windows server 2012:
Les membres des groupes de domaines locaux incluent d’autres groupes et comptes issus de domaines
Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 et Windows Server 2008 R2. Les
membres de ces groupes ne peuvent recevoir des autorisations qu’au sein d’un domaine.
Les groupes avec une étendue de domaine local vous permettent de définir et de gérer l’accès aux ressources
dans un seul domaine. Ces groupes peuvent contenir les membres suivants :
• Groupes à étendue globale

• Groupes à étendue universelle
• Comptes
• Autres groupes à étendue de domaine local
• Une combinaison des éléments ci-dessus
Par exemple, pour permettre à cinq utilisateurs d’accéder à une imprimante particulière, vous pouvez ajouter les
cinq comptes d’utilisateurs à la liste des autorisations de l’imprimante. Cependant, si vous souhaitez
ultérieurement octroyer l’accès aux cinq utilisateurs à une nouvelle imprimante, vous devez spécifier à nouveau
les cinq comptes dans la liste des autorisations de la nouvelle imprimante.
Avec un minimum de planification, vous pouvez simplifier cette tâche d’administration de routine en créant un
groupe avec une étendue de domaine local et en lui affectant l’autorisation d’accéder à l’imprimante. Placez les
cinq comptes d’utilisateurs dans un groupe avec une étendue globale et ajoutez ce groupe au groupe avec une
étendue de domaine local. Pour octroyer l’accès à une nouvelle imprimante aux cinq utilisateurs, affectez au
groupe une autorisation d’étendue de domaine local pour accéder à la nouvelle imprimante. Tous les membres
du groupe à étendue globale reçoivent automatiquement l’accès à la nouvelle imprimante.
Présentation des groupes globaux
Les membres des groupes globaux peuvent inclure d’autres groupes et comptes provenant uniquement du
domaine où le groupe est défini. Les membres de ces groupes peuvent recevoir des autorisations dans n’importe
quel domaine de la forêt.
Utilisez les groupes à étendue globale pour gérer des objets d’annuaire qui nécessitent une maintenance
quotidienne, tels que les comptes d’utilisateurs et d’ordinateurs. Étant donné que les groupes à étendue globale
ne sont pas répliqués à l’extérieur de leur propre domaine, vous pouvez modifier fréquemment les comptes dans
un groupe à étendue globale sans causer de trafic de réplication vers le catalogue global.
Même si les affectations de droit et d’autorisation sont valides uniquement dans leur domaine d’affectation, en
appliquant uniformément des groupes avec une étendue globale sur les domaines appropriés, vous pouvez
consolider les références aux comptes avec des objectifs similaires. Vous pouvez ainsi simplifier et rationaliser la
gestion des groupes sur les domaines. Prenons le cas d’un réseau contenant deux domaines, Europe et
UnitedStates, si le domaine UnitedStates contient un groupe à étendue globale appelé GLAccounting, le
domaine Europe doit aussi contenir ce groupe (sauf si la fonction accounting n’existe pas dans le domaine
Europe).
Important
Il est fortement recommandé d’utiliser les groupes globaux ou les groupes universels plutôt que les groupes de
domaines locaux lorsque vous spécifiez des autorisations sur des objets d’annuaire qui sont répliqués vers le
catalogue global.
Présentation des groupes universels
Les membres des groupes universels peuvent inclure d’autres groupes et comptes provenant des domaines de la
forêt ou de l’arborescence de domaine. Les membres de ces groupes peuvent recevoir des autorisations dans
n’importe quel domaine de la forêt ou de l’arborescence de domaine.
Utilisez les groupes à étendue universelle pour consolider les groupes qui s’étendent sur plusieurs domaines.
Pour ce faire, ajoutez les comptes aux groupes à étendue globale et insérez ces groupes dans des groupes à
étendue universelle. Lorsque vous utilisez cette stratégie, les changements d’appartenance dans les groupes à
étendue globale n’affectent pas les groupes à étendue universelle.
Par exemple, dans un réseau composé de deux domaines, Europe et UnitedStates, et un groupe à étendue
globale intitulé GLAccounting dans chaque domaine, créez un groupe à étendue universelle intitulé UAccounting
qui possède les deux groupes GLAccounting comme membres, UnitedStates\GLAccounting et
Europe\GLAccounting. Vous pouvez ensuite utiliser le groupe UAccounting n’importe où dans l’entreprise. Tout
changement affectant l’appartenance des groupes individuels GLAccounting n’entraîne pas la réplication du
groupe UAccounting.
Ne modifiez pas fréquemment l’appartenance d’un groupe à étendue universelle. Tout changement apporté à
l’appartenance de ce type de groupe entraîne la réplication de l’appartenance entière du groupe vers chaque
catalogue global de la forêt.
La gestion des droits

Il est possible d’attribuer des permissions pour contrôler les actions des utilisateurs. Une fois qu’un dossier est
partagé, les utilisateurs qui en ont la permission ont accès à tous les fichiers et dossiers contenus dans le dossier
partagé.
Les dossiers partagés servent à autoriser/interdire les utilisateurs à accéder aux ressources du réseau. Dans un
souci de facilité, la gestion des accès attribués se fera en attribuant les droits non pas directement aux comptes
d’utilisateurs mais aux groupes que l’on aura pris soins de constituer.
Il existe deux endroits pour définir la sécurité à accorder à ces groupes :
Les permissions de dossier partagé :
Ces permissions sont les droits qui sont accordés à l’utilisateur quand celui-ci passe à travers le réseau. Elles sont
définissables en passant par un clic droit et choisir « Partage et sécurité », on choisit « Partager ce dossier », on
renseigne son nom et on clique sur le bouton autorisations afin de définir les différents droits applicables.
Les permissions NTFS :
Ces permissions sont stockées sur le disque du serveur et sont accessibles via un clic droit et l’onglet sécurité. Les
permissions effectives pour un utilisateur seront le cumul des permissions affectées à ces deux endroits. De plus,
cet utilisateur bénéficiera aussi du cumul des permissions attribuées aux groupes auxquels il appartient. Il est à
noter que le droit « Refuser », s’il est coché, prime sur « Autoriser » et fait partie des droits cumulés.
La façon la plus simple d’effectuer l’accès aux ressources est la suivante :
Cette approche se réfère souvent à ce terme AGUDLP
A : Vous créez des comptes utilisateurs (Account). Et ces comptes sont ajoutés au
G : Global group, puis ces Groupes globales (global group) vont être membre du
U : Universal group, puis membre de
D L : Domain Local group et finalement assigné

P : Permission au domaine local group
Permissions
Permissions / Administrators Account Backup Print Server
Habileté Operators Operators Operators Operators
Create, delete, and manage user X X

and group accounts
Read all user Information X X X
Reset password for user account X X
Share directories X X
Create, delete, and manage printers X X X
Backup files and directories X X X
Restore files and directories X X X
Log on localy to the server X X X X X
Shut down the system X X X X X
Exercice 1
Exercice sur la création de répertoire partage et la gestion des permissions sur les groupes:
• Créer un OU (Organizational Unit) du nom de DeptInformatique dans votre domaine puis créez les
différents utilisateurs et groupes pour ce département.
• Créer un dossier principal Partage puis créez les sous-dossiers comme illustrer ci-dessous •
Administration (Pour les Directeurs) – Logiciels (Ensemble des logiciels installés) – Procedure (pour les
différentes procédures d’installation) – Commun (Ajoutez tous les utilisateurs) et autre • Déterminer la
sécurité en attribuant des permissions à des utilisateurs et (ou) groupe sur certains répertoires
• Si vous rencontres des problèmes, donner une explication puis essayer de résoudre tout en commentant
votre résolution.
- GR_IT_Formation
Créez les groupes suivants :
- GR_RessourcesHum
- GR_Informatique
- GR_IT_Directeur
Partages (Everyone : Full-control) |____ Informatique
- GR_IT_Techniciens
|____ Administration ------> Groupe: GR_IT_Techniciens
Créez les utilisateurs suivants : Faites les groupes GR_IT_Directeur et
Hudson Geffrard (hgeffrard) - Aly Loubert (laly) - Paul GR_IT_Techniciens membre du groupe
Bruno (pbruno) ----> Groupe : GR_IT_Directeur GR_Informatique
Dieujuste Jansly (dieujustej) – Noel Ricardo (nricardo) Commun : Tous les groupes
|____ Ressources
- Zamor Georgie (zgeorgie) – Francois

Dimitri (fdimitri) ------>
|____Commun
|____ Depannage
|____ Communication
Groupe : GR_IT_Formation
|____ Logiciels
- Guillaume Clifford (Gclifford) – Willacar Louis
|____ Procedure
Charles (Wlcharles) -------> GR_RessourcesHum
|____ Production
• Toujours mettre Administrator (Full Control)

Dans le dossier Administration, ajoutez le groupe Administrator et GR_IT_Directeur
(Modify) • Dans le dossier Depannage, ajoutez le groupe GR_IT_Techniciens (Read, Write) • Dans
le dossier Procedure, ajoutez le groupe GR_IT_Formation (Modify) • Dans le dossier Commun,
ajoutez tous les groupes
• Dans le dossier Ressources, Production et communication, ajoutez le groupe GR_RessourceHum

Déléguer des tâches administratives
1. Dans la fenêtre server Manager cliquez Tools puis Active Directory Users and Computers
2. Clic droit sur l’objet OU que vous voulez déléguer le contrôle, et cliquez Delegate Control
3. Cliquez Next puis cliquez Add
4. Dans la boite de dialogue qui s’ouvre, tapez le nom de l’utilisateur ou du groupe que vous voulez donner
les droits d’administration, ensuite cliquez sur Ok puis sur Next
5. Dans la prochaine boite de dialogue vous verrez :
a. Delegate the following common task : cette option vous permet de choisir à partir d’une liste
prédéfinie
b. Create a custom task to delegate : cette option vous permet d’être plus spécifique à propos de la
délégation que vous voulez faire
6. Cochez la case appropriée pour la délégation de contrôle (Ex : Reset user passwords and force pass . . .)
7. Cliquez Next puis cliquez Finish
Permettre à l’utilisateur de s’authentifier sur le serveur

- Cliquez sur Builtin, dans la partie droite de la fenêtre double cliquez " Account Operators " puis sur l'onglet
Members
- Cliquez Add, tapez le nom de l'utilisateur que vous avez choisi (Checknames pour vérifier) puis cliquez Ok -
Cliquez Apply puis Ok
N.B. A ce stade vous pouvez vous authentifiez normalement sur le serveur
Comment accéder au serveur depuis votre poste de travail (A distance)
1. Dans la fenêtre Server manager cliquez Tools puis cliquez Group Policy Management 2. Forest
- Domain - Clic droit « Default Domain Policy » Puis cliquez Edit

3. Cliquez + Computer Configuration - + Policies - + Windows Settings 4. + Security Settings - + Local
Policies
5. Sélectionnez User Rights Assignment
6. Double cliquez « Allow log on through Remote Desktop services »
7. Dans la fenêtre qui apparait cochez la case “Define these policy settings” puis cliquez le bouton Add
User or Group
8. Cliquez Browse pour ajouter l’utilisateur ou le groupe. Cliquez Check names pour vérifier puis cliquez OK
9. Cliquez OK - Cliquez Apply puis OK
N.B. N’oubliez pas d’autoriser sur le serveur le Remote Desktop
Il faut ajouter l’utilisateur dans le Remote Desktop users sinon vous aurez une erreur de session…. • Dans la
barre de recherche de Windows 8, tapez Control Panel - Cliquez System and Security • Cliquez System puis
sur cliquez Remote Settings à gauche de l’écran - CLiquez l’option “ Allow remote connections to this
computer”
• Si necessaire, cochez la case “Allow connections only from computers running Remote Desktop with
Network Level Authentication (Recommanded) “
• Cliquez Select Users Puis ajouter l’utilisateur que vous avez donné la delegation
• Cliquez Apply Ok
Serveur d’impression
Une imprimante est l'un des dispositifs les plus importants pour un réseau de bureau et étant un administrateur
système, vous devriez être capable de le déployer.
1. Dans la fenêtre Server Manager cliquez le menu Manage puis cliquez Add Role and Features 2. Cliquez
Next. Laissez l’option propose par défaut « Role-based or feature-based » installation - Next - Choisir la
destination pour votre serveur d’impression puis Cliquez Next
3. Cochez la case « Print and Document Services » puis cliquez Next puis dans la fenêtre qui s’affiche
Cliquez Add Features - Cliquez Next - Cliquez Next 4. Cliquez Next
5. Laissez l’option proposé par défaut « Print Server » puis cliquez Next
6. Cochez si nécessaire la case puis cliquez sur Install - Cliquez Close
Configuration d’une imprimante

1. Dans la fenêtre Server Manager Cliquez Tools - Cliquez Print Management 2. Print Servers -
Nom du Serveur - Printers
3. Clic droit dans la partie droite de la fenêtre puis cliquez Add Printer dans le menu contextuel 4. Laisser
l’option puis cliquez Next 5.
Choisissez TCP/IP en cliquant sur la flèche vers le bas puis tapez l’IP que vous voulez donner à l’imprimante
puis cliquez Next
6. Cliquez Next - laisser l’option « Install a new driver » puis cliquez Next 7. Sélectionnez votre imprimante
dans la liste ou cliquez sur le bouton Have Disk si vous avez le DVD ou CD accompagnant l’imprimante -
Cliquez Next
8. Tapez un nom significatif puis cliquez Next - Cliquez Next
9. Cliquez Finish
N.B. si vous ne voulez pas déployer une imprimante réseau, choisissez l’option suivant :
Déployer l’imprimante en utilisant des GPOs
• Clic droit sur l’imprimante dans le menu contextuel cliquez List in Directory
• Clic droit à nouveau sur l’imprimante dans le menu contextuel cliquez Deploy with Group Policy •
Cliquez Browse puis sélectionnez Default Domain Policy puis cliquez OK
• Cochez les deux cases puis cliquez Ajouter
• Cliquez Apply - Cliquez OK - Cliquez OK
OU
• Clic droit sur une partie vide puis cliquez « Add Printer » dans le menu contextuel •
Choisir le port ou votre imprimante sera connecté
• Cliquez l’option « Use an existing printer driver on the computer » si vous avez déjà des pilotes
d’imprimante sinon, cliquez « Install a new driver ». puis cliquez Next
• Donner un nom significatif a votre imprimante puis partagez le avec les autres utilisateurs sur le
reseau puis cliquez Next
• Cliquez Next puis cliquez Finish

• Clic droit sur le nom de l’imprimante puis cliquez « Manage sharing » dans le menu contextuel.
Cochez les cases puis cliquez Apply - Ok
Ajouter l'imprimante pour le client
• Dans la barre de recherche de Windows 8, Tapez le UNC Path du serveur (\\Nom_Serveur\) puis cliquez
sur OK
• Clic droit sur l'imprimante à installer puis cliquez sur Connect (Pour que l’utilisateur puisse l’utiliser ou le
visualiser dans la liste des imprimantes installées)
Attribuer une imprimante a un groupe spécifique

• Cliquez Start puis Control Panel
• Clic droit sur l'imprimante, dans le menu contextuel cliquez sur Properties puis cliquez l'onglet Security •
Cliquez sur Add
• Tapez le nom de l'utilisateur ou le nom du groupe puis cliquez OK
• Dans la liste " Group ou user names ", sélectionnez l'utilisateur puis cochez les cases " Manage printers
et manage documents " puis cliquez OK
Setting Printer priorities
• Cliquez Start / Tapez Printers
• Clic droit sur l'imprimante, dans le menu contextuel cliquez Properties puis cliquez l'onglet Advanced •
Dans " Priority " tapez la valeur représentant la plus grande priorité (La plus grande priorité est 1) •
Cliquez sur l'onglet Security, cliquez sur Add puis tapez l'utilisateur ou le groupe que vous voulez
accorder la plus grande priorité d'accès à
l'imprimante
• Cliquez Ok. Attribuer les permissions en
cochant les cases
• Sélectionnez Everyone cliquez sur remove
puis Ok
Configurer un Printer's schedule (Horaire d'impression)
• Cliquez Start puis tapez Printers

• Clic droit sur l'imprimante, dans le menu contextuel cliquez Properties
puis cliquez l'onglet Advanced
• Cliquez l'option " Avialable from " et To choisissez une tranche heure
afin que l'imprimante puisse être disponible pour tous les utilisateurs.
cliquez sur Ok
Connecter l’imprimante
• Sur le poste client, taper l’UNC du serveur puis faites un clic droit sur l’imprimante •
Dans le menu contextuel, cliquez Connect
• Choisissez un programme de vote choix puis lancer une impression
N.B. Comment visualiser les informations d’impression sur le serveur.
• Cliquez Tools - Print Mangement -
• Print Servers - Nom du serveur - Printers

• Cliquez sur le nom de l’imprimante que vous avez installé.
N.B. Si vous ne voyez pas l’interface de l’imprimante, clic droit sur une partie vide puis cliquez « Show
Extended View »
Exercice Confection
HardwarePlus.local
• Configurer convenablement les différents serveurs en leurs attribuant des IPs et des noms significatifs •
Configurer le server SRV-DC1 comme contrôleur de domaine, le SRV-REP-DC comme replica domaine et
joindre au domaine les différents postes clients
• Réaliser la structure logique pour le Contrôleur de domaine et le domaine enfant puis créez les
différents utilisateurs et groupes faisant partie de cette structure.
• Créez les différents répertoires partages pour le contrôleur de domaine ainsi que le domaine enfant en
gardant la même structure des OUs puis appliquez les différents permissions
- Utilisateurs : wcharles, hgeffrard, nricardo, fdimitri
- Groupes : GR_Fabrication(GG), GR_Supervision (GG), GR_Conception(DLG), GR_Vente(GG)
HardwarePlus
|___Articles
- ADDS - DNS |____ Conception |____
Fabrication |____ Supervision
|____ Finition
- ADDS
|___ Production
|___ Ventes
Srv-DC1 Srv-Rep-DC
- Installer, partager et configurer correctement puis assigner les permissions aux différents groupes.
Confection
Srv-CH-DC1
- ADDS
|___ Marketing
- DNS |___ Commercialisation
|___Modele
|____ Styliste |____ Designer
Srv-Rep-Core |____ Realisation
Comment créer un serveur DHCP en Windows server 2012
Installer le service DHCP
1. Dans la fenêtre Server Manager, cliquez Add roles ans features puis cliquez Next
2. Cliquez L’option « Role-based or feature-based installation » puis cliquez Next
3. Laissez les options proposés par défaut puis cliquez Next
4. Cochez la case DHCP Server puis cliquez Next. Dans la nouvelle fenêtre cliquez sur Add Features puis
Next
5. Cliquez Next - Next - Install - Cliquez Close OU
6. Vous pouvez toujours cliquez directement le lien Complete DHCP configuration pour continuer la
configuration du service DHCP
Configurer le service DHCP
1. Dans la fenêtre Server Manager, Cliquez DHCP dans la partie gauche puis cliquez More
dans la partie droite. 2. Cliquez
Complete DHCP configuration
3. Dans la fenêtre qui s’affiche, cliquez Next

4. Cliquez l’option « Use alternate credentials » puis cliquez le bouton Specify, Tapez votre autorisation
puis cliquez sur le bouton OK
5. Cliquez le bouton Commit.
6. Cliquez sur Close dans cette fenêtre

7. Dans la fenêtre Server Manager, cliquez Tools puis dans le menu cliquez sur DHCP 8. Cliquez le nom du
serveur, puis faites un clic droit sur IPV4 puis dans le menu contextuel cliquez New Scope puis cliquez
Next
9. Dans Name, tapez le nom que vous voulez donner à votre scope DHCP puis une Description (Facultatif)
puis cliquez Next
10. Tapez la plage d’IP que vous voulez utiliser pour votre serveur DHCP ‘’Start IP address ET End IP address
‘’ Puis cliquez Next
11. Attribuer ici une plage d’IP qui sera exclu de la page d’IP du serveur DHCP (Add Exclusions and Delay).
Cliquez Add puis cliquez Next
12. Laissez les valeurs par défaut pour la durée du Scope puis cliquez Next 13.
A ce stade vous pouvez choisir de configurer le routeur, le DNS ainsi que le WINS ou de les configurer
après. Pour l’instant cliquez l’option No, I will configure these options later puis cliquez Next 14. Cliquez
Finish
N.B. Il se peut que le scope DHCP ne soit pas actif, pour activer le scope DHCP vous devriez :
• Faire un clic droit sur le scope que vous venez de créer puis cliquez sur Activate dans le menu contextuel
• Pour vérifier que le « Scope » est bien présent, cliquez simplement sur « Address Pool » dans la partie
droite de la fenêtre et visualiser le résultat dans la partie gauche.
Comment vérifier que le client a bien reçu une adresse IP du serveur DHCP
1- Test au niveau du client, Chargez DOS puis passer ces commandes :
• Ipconfig /release (Libérer l’IP) puis Ipconfig /renew (Renouveler une adresse IP) • Pour
vérifier de l’IP a été donne effectivement par le serveur DHCP, Tapez Ipconfig /all
Afficher toutes les informations du DNS
IPConfig /displayDNS
2- Test au niveau du serveur DHCP :

- DHCP - Nom du serveur - IPV4 - Scope - Address Leases - Vous devriez voir les informations sur
l’adresse IP du PC client.
Comment créer une liste d’accès (Access List) ou une liste noire (Black List)
1. Dans la fenêtre Server Manager Lancer le service DHCP en cliquant sur Tools puis DHCP 2. Pour créer
une liste d’accès ou une liste noire, faites un clic droit sur «
Allow OU Deny » puis dans le menu contextuel cliquez
New Filter…
3. DHCP - Nom du serveur - IPV4 - Filters
4. Faites un clic droit sur Allow OU Deny puis dans le menu contextuel cliquez New Filter…
5. Entrez l’adresse MAC du pc client qui va

recevoir ou Non les services du DHCP
6. Cliquez Add puis cliquez Close pour fermer la
fenêtre
N.B. Vous avez aussi la possibilité dans « Address

Leases » de faire un clic droit sur le PC
Dans le menu contextuel cliquez Add to filter puis

Allow OU Deny
Comment créer une réservation
S’assurer qu’un matériel bien spécifique utilisera toujours le même IP adresse. Quand vous créez une
réservation, vous devez connaitre le MAC ADDRESS (Physical Address) de chacun des matériels dont vous voulez
faire la réservation.
Méthode I
• DHCP - Nom du serveur - IPV4 - Scope - Address Leases • Dans la partie droite, sélectionnez la machine
que vous voulez réserver. Faites un clic droit, puis dans le menu contextuel cliquez Add to Reservation
N.B. Pour vérifier, dans la partie gauche de la fenêtre cliquez sur Reservations. Vous devriez voir la machine.
Méthode II
• DHCP - Nom du serveur - IPV4 - Scope - Reservations
• Clic droit sur Reservations dans la partie gauche de l’écran puis cliquez New Reservation dans le menu
contextuel
Allez sur le PC Client que vous voulez réserver puis copier son adresse MAC (DOS - Faites Ipconfig /all)
• Dans la fenêtre New Reservation qui s’affiche, remplissez les informations puis cliquez Add - Close
N.B. Cliquez sur Reservations à gauche de la fenêtre pour vérifier si la réservation est bien
créée.
Cliquez sur Address leases pour vérifier les informations sur l’ordinateur que vous avez réservé et vérifier si la
réservation est active
3- En réalisant la réservation, vous remarquerez que la réservation est inactive. C’est normal puisque
l’ordinateur dont vous venez de réserver a gardé la même adresse IP que le serveur DHCP lui avait
attribué. Pour corriger cet état de fait, allez sur le PC client, relâchez l’IP en faisant IPCOnfig/Release puis
attribuer une nouvelle adresse IP en tapant IPConfig/Renew
N.B. Pour éliminer la réservation : Clic droit puis Delete dans le menu contextuel.
Faire le backup du service

DHCP
Ou est localise le fichier backup ? :
• Pour réaliser le backup, clic droit sur le nom sur le nom du serveur puis cliquez Backup dans le menu
contextuel
• Cliquez OK afin de laisser l’emplacement par défaut propose par Microsoft

• Pour Vérifier, allez dans C:\Windows\System32\DHCP\Backup
Comment restaurer le service DHCP
• Clic droit sur le nom du serveur puis cliquez Restore dans le menu contextuel
• Sélectionnez le répertoire contenant le fichier backup puis cliquez OK
• Cliquez Yes
N.B. Sauvegardez le Backup sur un autre support autre que le disque dur si vous voulez restaurer un autre
serveur DHCP.
DHCP Failover (N.B. Obligatoirement, il faut ajouter un autre serveur pour configurer le Failover)
1. Load Sharing et Hot Stanby (Il vous faut deux (2) serveurs : Le premier configurer convenablement
(Authorize, Scope …) Puis installer sur un second serveur le service DHCP Puis autoriser le serveur
en cliquant sur More…
2.
3. Cliquez Next - Laisser l’option « Use alternate credentials » cliquez ensuite sur le bouton Specify… puis
entrer le username et le Password du contrôleur de domaine
4. Cliquez OK - Cliquez commit - OK - Close
5.
6. Allez sur le premier serveur DHCP : Tools - DHCP
7. Clic droit sur DHCP - Cliquez Add Server dans le menu contextuel. Vous devriez voir les deux serveurs
DHCP comme dans l’image ci-dessous
OU
Clic droit sur IPV4 - Configure Failover… - Next
8. Cliquez l’option « This authorized DHCP server » puis sélectionner le nom du serveur que vous voulez
ajouter et cliquez OK
9. Clic droit sur le scope du serveur Principal (Srv-dc1) puis cliquez Configure Failover dans le menu
contextuel
10. Cliquez Next - Dans la nouvelle fenêtre qui s’affiche cliquez le bouton Add Server pour ajouter le
serveur associe (Srv-mem-dc) puis cliquez OK
11. Cliquez Next. Dans cette fenetre choisissez « Load Balance » Permet d’appliquer la regle des 80 / 20
avec un pourcentage d’IP disponible sur les desux (2) serveurs, donc la base de donnees est repliquee.
Tandis que « Hot standby » est configurer pour attribuer des IP dans le cas ou le premier serveur serait
dans l’impossibilite d’en fournir (Fail) ou serait indisponible.
12. Dans « Shared Secret » tapez un mot secret puis cliquez Next - Visualiser les informations puis Cliquez
Finish
Comment vérifier le Failover
1. Clic droit sur le DHCP scope du serveur (Le serveur sur qui on avait configure DHCP pour la première fois)
2. Dans le menu contextuel cliquez Properties - Cliquez l’onglet Failover
Démonstration illustrant le « Hot standby »

DHCP
server
Primary
Succursale
DHCP server Primary DHCP
server (Branch Office)
Primary
Succursale
(Branch Office)
Fail
DHCP server Stand

Succursale BY
(Branch
Office)
Modifier le Failover. Passer de Load Balance en Hot Standby
1. Clic droit sur IPV4 - Properties - Cliquez l’onglet Failover - Edit 2. Dans la fenêtre qui s’affiche,
cliquez l’option « Hot Stanby Mode » puis cliquez OK
Comment éliminer le Failover
1. Clic droit sur IPV4 puis cliquez Properties dans le menu contextuel
2. Cliquez l’onglet Failover - Cliquez Delete - Cliquez OK - OK Puis Close
Agent de relais DHCP (DHCP Relay Agent)
Comprendre le concept DHCP Relay Agent
Comme les clients contactent les serveurs DHCP à l'aide d'une diffusion, dans un inter-réseau, vous devrez
théoriquement installer un serveur DHCP par sous-réseau. Si votre routeur prend en charge la RFC 1542, il peut
faire office d'agent de relais DHCP, et ainsi relayer les diffusions de demande d'adresse IP des clients DHCP dans
chaque sous-réseau.
Si votre routeur ne prend pas en charge la RFC 1542, une machine serveur peut être configurée comme agent de
relais DHCP, il suffira de lui spécifier l'adresse du serveur DHCP. Les demandes des clients DHCP seront relayées
vers le serveur DHCP par l'agent de relais DHCP qui transmettra les offres aux clients.
Figure 27-3. Agent de relais DHCP dans un réseau routé
VMNET 1
Lan 1 : Carte 1
IP : 192.168.1.2
Subnet : 255.255.255.0
Gateway : 192.168.1.3
Configurer les 2 cartes réseaux sur le relais DHCP
VMNET 2 - LAN2 VMNET 1 - LAN2
Carte 1 : Connection1 IP : 192.168.2.2 Carte 2 : Connection2 IP : 192.168.1.3
Subnet : 255.255.0.0 Subnet : 255.255.255.0
Lorsque le DHCP Client veut communiquer avec le serveur DHCP, Il envoi au router un message Broadcast. Le
router ne va pas laisser passer le message, parce qu'il ne laisse passer que des messages Unicast. Donc la
requête du client pour obtenir un IP du serveur DHCP est impossible. Quelle est la solution à adopter?
Router
La solution pour pallier ce problème c'est le DHCP Relay Agent
Le composant Agent de relais DHCP relaie les messages DHCP entre des clients DHCP et des serveurs DHCP sur
différents réseaux IP. Comme DHCP est un protocole basé sur la diffusion, par défaut ses paquets ne passent pas
par des routeurs. Un agent de relais DHCP reçoit toutes les diffusions DHCP sur le sous-réseau et les transfère à
l’adresse IP spécifiée sur un autre sous-réseau. L’Agent de relais DHCP est conforme à la RFC 1542, « Clarifications
and Extensions for the Bootstrap Protocol ». Pour chaque segment réseau IP qui contient des clients DHCP, un
serveur DHCP ou un ordinateur assumant la fonction d’Agent de relais DHCP est obligatoire.
Remarques
Vous ne pouvez pas utiliser le composant Agent de relais DHCP sur un ordinateur exécutant le service DHCP, le
composant de protocole de routage NAT (traduction d’adresses réseau) avec l’adressage automatique activé ou
le Partage de connexion Internet. Vous devez au moins être membre du groupe Administrateurs (ou un groupe
équivalent) pour effectuer cette procédure.
DHCP
Clients
Router
DHCP Clients
DHCP
DHCP Server Relay Agent
DHCP Server
DHCP Clients DHCP

Relay Agent
DHCP Clients Router
Installer Le rôle Remote Acess

1. Manage - Add Roles and Features - Next - Next 2. Cochez la case “ Remote Acess ” - Add Features -
Next - Next 3. Cliquez Next - Cliquez Next - Cliquez Next
4. Cochez la case “ Routing ” puis cliquez Next
5. Cochez la case si nécessaire puis cliquez le bouton Install
Configurer et activer le Routing and Remote Access
1. Cliquez Tools - Routing and Remote Access

2. Clic droit sur le nom du serveur puis cliquez Configure and Enable Routing and Remote Access 3.
Cliquez Next - Cliquez l’option Custom configuration puis cliquez Next 4. Cochez la case “ Lan Routing “
puis cliquez Next - Cliquez Finish - Start Service
Installer et configurer le DHCP Relay agent
1. Routing and Remote Access - + IPV4

2. Clic droit sur General puis cliquez New Routing Protocol dans le menu contextuel
3. Sélectionnez DHCP Relay Agent puis cliquez OK
4. Clic droit sur DHCP Relay Agent puis cliquez New Interface dans le menu contextuel
5. Sélectionnez l’interface voulu puis cliquez Ok - Puis
cliquez OK
6. Clic droit DHCP Relay Agent puis cliquez Properties
7. Dans « Server Address », Tapez l’IP du serveur DHCP que l’agent devra contacter puis cliquez Add
8. Cliquez Apply puis cliquez OK

Vérifiez si le client a bien reçu une adresse IP
Test 1 : Mettez votre machine virtuelle sur VMNET1 pour tester le premier réseau
Sur le PC client, chargez DOS puis tapez les commandes suivantes :
IPConfig /flushdns - IPConfig /release - IPConfig/ renew Test2 : Modifier la machine virtuelle
sur VMNET2 et faites le même test pour l’autre réseau.
Sur l’agent de relais DHCP Faites un « Refresh » pour vérifier les requêtes émises
Réseau 2 Réseau 1
DNS (Domain Name System)
Les IP et les noms de domaine
Internet est un grand réseau composé de très nombreux ordinateurs. Pour qu'ils puissent communiquer entre
eux, ils doivent pouvoir s'identifier. Sans nom, il serait impossible de différencier chacun des ordinateurs !
Pour résoudre ce problème, on a décidé d'attribuer un numéro d'identification

unique à chaque ordinateur : c'est l'adresse IP.
Les adresses IP
Adresses IPv4
Les adresses IP, que vous avez très probablement rencontrées, ont la forme suivante : 124.217.229.14
Ce sont des séries de 4 nombres compris entre 0 et 255. Grâce à ces IP, chaque ordinateur peut avoir un numéro
unique qui le rend identifiable :
Ces adresses IP constituées de 4 nombres sont les plus répandues à l'heure

actuelle, on les appelle IPv4. Cependant, leur nombre se révèle assez limité : il y a
en effet beaucoup de possibilités d'IP, soit (plus de 4 milliards). Ce nombre a l'air
grand, mais on finira prochainement par l'atteindre avec la multiplication des
ordinateurs et des serveurs reliés à Internet. C'est pourquoi ces IP ont vocation à
être remplacées par un nouveau système : IPv6.
IPv6
La nouvelle forme d'IP, que l'on va rencontrer de plus en plus, a la forme suivante :
1703:01b8:43c4:85a3:0000:0000:a213:bba7
C'est une combinaison de plusieurs nombres hexadécimaux (d'où la présence des lettres a, b, c...), ce qui amène
le nombre d'IP possibles à \ [2^ {128}\], ce qui représente un très grand nombre ! Pour vous donner une idée,
cela représente 667 millions de milliards d'adresses IP disponibles par mm² de la surface de la Terre !
Les noms d'hôte
Les IP jouent un rôle fondamental dans l'identification des ordinateurs sur Internet, qui sont ainsi capables de se
retrouver et de communiquer entre eux. Toutefois, pour un humain retenir une IP n'est pas facile (c'est déjà
délicat pour 124.217.229.14, alors imaginez pour les nouvelles IP comme
1703:01b8:43c4:85a3:0000:0000:a213:bba7 !).
Pour résoudre ce problème, on a décidé qu'il serait possible d'associer un nom d'hôte à chaque machine, qui
serait équivalent à écrire l'adresse IP. Ce nom d'hôte peut-être n'importe quel texte (comme monordinateur)
mais il a
le plus souvent la forme accueil.entreprise.net. Chaque ordinateur est identifiable soit par l'IP soit par le nom
lui donne un humain en une adresse IP qu'il peut utiliser
?
La traduction nom d'hôte => IP est appelé résolution

d'hôte. L'opération inverse est aussi possible : IP => nom
d'hôte. On parle de résolution inverse.
d'hôte : Mais cette résolution ne fonctionne pas par magie. Pour

traduire un nom d'hôte comme lisa.siteduzero.com en
Les ordinateurs utilisent les adresses IP pour se repérer une IP comme 210.111.18.84, l'ordinateur a besoin d'une
(ils sont plus à l'aise avec des nombres). Le nom d'hôte "table" qui contient toutes les équivalences.
est seulement un alias qui revient à écrire l'IP.
Mais comment un ordinateur traduit-il un nom d'hôte que
Comment ça marche les noms de domaine ?
Quand vous voulez téléphoner à quelqu'un, vous devez connaître son numéro de téléphone. Comme il est
difficile de les retenir par cœur, on a inventé l'annuaire (qui permet de retrouver un numéro à partir d'un
nom).
nom numéro de téléphone
C'est la même chose sur Internet: pour qu'un ordinateur puisse contacter un autre ordinateur, il doit connaître
son adresse IP (exemple: 205.37.192.5). Pas facile à mémoriser non plus.
Alors on a inventé une sorte d'annuaire : les DNS.
nom d'ordinateur adresse IP
Par exemple, sur votre ordinateur, tapez ping www.sebsauvage.net (en ligne de commande, dans une fenêtre
MS-Dos): vous verrez l'adresse IP de ce site.
Qu'est-ce donc qu'un serveur DNS ?
Un serveur DNS est le programme qui permet de traduire le nom d'un serveur, ou équipement IP, relié au réseau
en adresse IP. Par exemple, lorsque dans votre navigateur vous tapez l'adresse du site web http://slackware
fr.org, votre navigateur va tout d'abord faire une requête DNS pour traduire le nom slackware-fr.org en une
adresse IP, puis se connecter à cette adresse IP pour afficher le site web.
En réalité, les machines entre elles ne savent dialoguer qu'avec des adresses IPs. Les noms sont faits pour nous,
les humains. Il faut donc des programmes pour résoudre les noms en adresses IP : c'est le rôle des serveurs DNS.
Une requête DNS consiste à demander à un serveur DNS la correspondance entre un nom et une adresse IP.
Ça veut dire quoi, DNS ?
D.N.S. signifie plusieurs choses:
• Domain Name System : l'ensemble des organismes qui gèrent les noms de domaine. • Domain Name
Service : le protocole qui permet d'échanger des informations à propos des domaines. • Domain Name
Server : un ordinateur sur lequel fonctionne un logiciel serveur qui comprend le protocole DNS et qui
peut répondre à des questions concernant un domaine.
Les périphériques réseaux tels les ordinateurs et imprimantes, pour communiquer à travers Internet ou à
l’intérieur de l’organisation, ils doivent pouvoir se localiser l’un l’autre. Dans un réseau Windows 2008 server, le
premier moyen de localisation des périphériques réseaux et des services réseaux passe par l’utilisation du
Domain Name System ou DNS. Par exemple, pour que le PC-A puisse communiquer avec le PC-B à travers
TCP/IP, PC-A doit avoir l’adresse IP du PC-B. Le processus de mapper une adresse IP à un nom d’ordinateur
s’appelle NAME RESOLUTION.
Ex : Si vous tapez Nslookup FQDN (Nom_Serveur.Nom_Domaine.ext) de votre serveur vous verrez l’IP associe à
ce nom
Comment se fait la résolution de nom. Associer les IP et les noms d’hôtes?

Au début, on a commencé à créer cette fameuse table sur chaque ordinateur dans un fichier appelé hosts (hôtes
en anglais). Ce fichier existe toujours mais est très peu utilisé en pratique.
Si vous êtes sous Linux ou Mac OS X, vous pouvez le trouver sur votre disque dans /etc/hosts. Si vous êtes sous
Windows, vous pouvez le trouver dans C:\Windows\system32\drivers\etc\hosts (vous pouvez l'ouvrir avec
Bloc-Notes).
Ce fichier a la forme suivante :
127.0.0.1 localhost
127.0.1.1 mateo21-desktop
# The following lines are desirable for IPv6 capable hosts

::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
On y trouve une équivalence IP / nom d'hôte par ligne. Ainsi, on y lit qu'écrire 127.0.0.1 ou écrire localhost est
équivalent. On y trouve par ailleurs des adresses IPv6 raccourcies (fe00::0 est une IPv6).
Ce système a quand même un défaut : pour que chaque ordinateur connaisse toutes les équivalences entre les
IP et les noms d'hôtes, il faut recopier ce fichier sur tous les ordinateurs !
C'est vrai. Et quand on ajoute un ordinateur sur le réseau, il faut rajouter une ligne dans chaque fichier hosts de
chaque ordinateur pour qu'il connaisse le nouveau nom d'hôte !
Cette technique était viable à l'époque où les réseaux étaient encore très petits, mais aujourd'hui avec environ 4
milliards d'ordinateurs sur Internet (et il s'en rajoute chaque jour) c'est impossible à maintenir !
Pour résoudre ce problème, on a inventé un système intelligent et un peu complexe : les DNS.
• De manière statique (Autrefois)

o Hosts File : Pour résoudre les noms d’hôtes (Processus pour résoudre Nom en adresse IP) ▪ La
localisation de ce fichier se trouve dans ce chemin : C:\windows\system32\drivers\etc\ o
LMHost File : pour résoudre les noms NetBios
• De manière dynamique
o DNS Server : pour résoudre les noms d’hôtes
DNS NAME SPACE
Est une liste hiérarchisée et structurée de nom de DNS, commençant à une racine sans nom utilisé pour toutes
les opérations DNS. Chaque nom de domaine DNS est unique dans le namespace. Au plus haut point de
l’Internet DNS Namespace se trouve le root domain. Le root domaine est représenté par un « . » (EX :
www.exemple.com.) Le programme DNS ajoute automatiquement le point “.” pour vous.
Configuration des indications de racine
Les "serveurs DNS racines" sont au nombre de 13 à travers le monde. Ils appartiennent tous à un même
domaine nommé root-servers.net. Il contiennent l’adresse des serveurs DNS de chaque domaine de
premier niveau (com, net, org, fr …)
Lorsque le serveur DNS n'est pas configuré pour utiliser des redirecteurs, il se sert des indications de racine
pour résoudre les noms d'hôtes ou les adresses IP appartenant à des zones qu'il n'héberge pas. Les
indications de racine sont un ensemble de serveurs hébergeant la zone contenant les enregistrements du
domaine racine ou domaine ".".
Par défaut, le serveur DNS de Windows 2008 Server est configuré pour utiliser ces treize serveurs DNS. Cela
signifie que si le serveur DNS reçoit une requête DNS dont il ignore la réponse, il va contacter un de ces
serveurs racine pour l'obtenir.
Si l'on ne souhaite pas que les clients puissent résoudre les noms de domaines utilisés sur Internet, il suffit
de ne mettre aucun serveur DNS dans la liste des serveurs racine ou bien de créer une zone racine.
Illustration : Si vous avez une seule requête pour une résolution d’une adresse IP (DNS RESOLVE)
Les serveurs qui connaissent réellement l'adresse IP associée à sales.example.com sont appelés serveurs
DNS ayant autorité. Sur mon schéma ci-dessus, il s'agit du serveur en haut.
Illustration : Même résolution de nom provenant de trois (3) réseaux différents. Dans ce cas ce dispositif n’est
pas vraiment efficace
Déployer de préférence cette configuration.
Le cache DNS
Vous ne trouvez pas que cela fait beaucoup de requêtes pour trouver une adresse IP ? Comme vous le voyez, ce
système distribué permet de gérer un très grand nombre de domaines mais il a quand même un défaut : s'il
fallait faire toutes ces opérations à chaque fois qu'un utilisateur demande à résoudre un nom de domaine, cela
serait très long et ferait beaucoup de trafic !
Les fournisseurs d'accès à internet (FAI) des internautes fournissent des serveurs DNS. Lorsque votre ordinateur
doit résoudre un nom de domaine comme www.canadotechnique.org, c'est donc le serveur DNS du FAI qui est
contacté.
Le serveur DNS du FAI n'est pas un vrai serveur DNS qui connaît les correspondances "nom d'hôte / IP". C'est un
intermédiaire. Il garde temporairement en mémoire les dernières résolutions de noms de domaine pour ne pas
contacter systématiquement tous les serveurs (Root, first, second). Ainsi, si deux utilisateurs du même FAI
demandent à aller sur www.canadotechnique.org, le serveur DNS ne fera pas toutes ces opérations deux fois. Il
donnera immédiatement la réponse qu'il a conservée en cache.
La mise en cache sur un serveur DNS peut durer de quelques secondes à plusieurs jours. C'est pour cela que,
lorsqu'on change l'adresse IP associée à un nom de domaine, tous les internautes ne voient pas le changement
immédiatement. Il faut qu'ils attendent que les serveurs DNS de leur FAI aient mis à jour leur cache pour prendre
en compte la nouvelle adresse IP associée au domaine
--------------------------------------------------------------------------------------------------------------------------------------------------
Votre fournisseur possède beaucoup de client, donc il se peut bien que le serveur du fournisseur ait déjà résolu
ce nom que vous demandez. Si pour une raison ou pour une autre le serveur de votre fournisseur tomberait en
panne votre serveur par défaut contactera le Root Hint Server
---------------------------------------------------------------------------------------------------------------------------------------------------
DNS ZONE
Zone Intégrée
Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans des fichiers, les
zones DNS intégrées à Active Directory stockent les enregistrements de ressources directement dans le service
d'annuaire Active Directory.
Seules les zones primaires et les zones de stub peuvent être intégrées à Active Directory. De plus, seuls les
contrôleurs de domaine jouant aussi le rôle de serveur DNS peuvent héberger des zones intégrées à Active
Directory.
Les zones DNS intégrées à Active Directory sont intéressantes puisqu'elles permettent de renforcer la sécurité
du processus de résolution de noms de diverses manières :
• Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs de domaine. Cela
permet d'assurer la tolérance de panne. Si un contrôleur de domaine connaît une défaillance, alors la
résolution de noms sera toujours assurée.
• L'intégration à Active Directory sécurise les transactions entres les serveurs DNS. Les zones DNS intégrées
au service d'annuaire utilisent le mécanisme de réplication Active Directory qui s'avère plus sécurisé
que les échanges AXFR et IXFR réalisés entre des serveurs DNS utilisant des zones standard.
• Les zones intégrées à Active Directory permettent de sécuriser les mises à jour automatiques des
ordinateurs clients (seuls les ordinateurs clients équipés de Windows peuvent faire des mises à jour
automatiques). Si les mises à jours automatiques sont activées, seuls les ordinateurs clients membres du
domaine peuvent mettre à jour automatiquement leurs enregistrements A et PTR.
DNS Zones
Une zone de noms ou zone DNS est un ensemble d'enregistrements de ressources appartenant à la même portion de
l'espace de noms DNS. Par exemple une zone DNS peut contenir l'ensemble des enregistrements de ressource de type
A (c'est-à-dire des mappages noms d'hôte / adresses IP) du domaine orabec.ca. Il existe trois types de zones DNS :
a) les zones principales peuvent ajouter, modifier et supprimer des enregistrements de ressource.
b) les zones secondaires sont des copies en lecture seule d'une zone principale donnée. Un serveur DNS qui
héberge une zone secondaire ne peut pas ajouter ni modifier d'enregistrements de ressource. Les zones
secondaires ont donc pour seul intérêt de garantir une tolérance aux pannes.
c) les zones de stub sont des copies partielles d'une autre zone. Elles contiennent uniquement les
enregistrements de ressource de types SOA, NS et A.
Zone primaire : Un serveur DNS peut lire et écrire des données sur une zone primaire. Cela est possible parce
que le serveur DNS stocke la copie maître des données de la zone, soit dans un fichier texte ou dans la base de
données Active Directory si le DNS est installé sur un contrôleur de domaine. Si un fichier local est utilisé, le
fichier est nommé avec le même nom que la zone en utilisant une extension .dns comme zone_name.dns. Le
fichier de zone est enregistré dans le répertoire% windir% \ system32 \ dns par défaut.
Quand un fichier est utilisé, le serveur DNS primaire est le seul qui possède une copie accessible en écriture de la
base de données.
Zone secondaire (Secondary zone) : Un serveur DNS peut lire, mais ne pourra pas écrire de données sur une
zone secondaire. Une zone secondaire est une copie d'une zone principale qu'un autre serveur DNS. Les
informations sur la zone secondaire est obtenue et mise à jour via les transferts de zone à partir d'un autre
serveur. Un fichier texte en lecture seule est utilisé pour stocker les informations sur place; les zones secondaires
ne peuvent pas être stockées dans la base de données Active Directory. Un serveur DNS fait autorité pour les
dossiers qu'elle détient sur une zone secondaire.
Pour alléger la charge du serveur DNS hébergeant une zone principale, vous pouvez créer une copie de cette
zone en lecture seule sur un second serveur DNS. Pour créer une zone secondaire il faut que le réseau contienne
déjà un serveur DNS hébergeant une zone principale.
Zone de stub (Stub zone) : Une zone de stub est une copie limitée d'une zone qui comprend les documents
suivants: Start of Authority (SOA) des enregistrements de ressources, serveur de noms (NS) des dossiers, et le
nom de l'hôte (A) des dossiers. Ces enregistrements sont utilisés pour identifier les serveurs DNS de référence de
la zone. Le serveur DNS tenant la zone de stub ne fait pas autorité pour cette zone. Lorsque ce serveur DNS
reçoit une requête de résolution de nom, il doit demander à l'un des serveurs DNS de la zone de stub. (Redirige
les requetés à un serveur qui peut le répondre.)
Ex : Si vous avez deux compagnies différentes. Un client de la deuxième compagnie veut accéder au serveur de la
première compagnie. Le client de la deuxième compagnie doit résoudre le nom DNS de la première compagnie.
Le problème survient quand le client veut résoudre le nom DNS. Donc, par défaut le client contactera un serveur
DNS sur Internet et ne saura comment faire cette résolution si l’espace de nom « namespace » est privé. Dans ce
cas vous pouvez créer une deuxième zone ou une zone de stub
Un serveur DNS fait autorité pour les dossiers qu'elle détient sur une zone primaire. Il a une copie complète de
tous les enregistrements de cette zone. Cela signifie que si le serveur DNS reçoit une requête de résolution de
nom qui inclut le nom de domaine de la zone primaire, le serveur DNS va répondre par un oui ou un non. Le DNS
d'autorité ne transmettra pas que la résolution de noms requête à un autre serveur DNS.
Lorsque vous installez les services de domaine Active Directory (AD DS) et les rôles de serveur DNS sur Windows
Server 2012 afin de promouvoir un contrôleur à part entière domaine Active Directory, par défaut, le serveur
DNS utilise la zone Stub qui en fait qu'une mise en cache serveur.
Créer zone inversée DNS primaire dans Windows Server 2012
Zone de recherche inversée est principalement créé et configuré si le réseau est très grand, et / ou à des fins de
test. Lorsque la zone de recherche inversée est créée, vous pouvez également créer les enregistrements PTR
correspondant à des enregistrements d'hôtes qui sont présents dans la zone de recherche directe, ce qui
permettrait de tester la communication avec les ordinateurs hôtes cibles.
Les enregistrements de ressources
Dans un environnement Microsoft, les mappages nom d'hôte/adresse IP et adresse IP/nom d'hôte sont
appelés enregistrements de ressources.
On distingue plusieurs types d'enregistrements de ressources :
A : Les enregistrements de ressources A (pour Adresse d'hôte) sont des mappages entre un nom d'hôte et
une adresse IPv4 (adresse IP d'une longueur de 32 bits). Ils représentent généralement la majorité des
enregistrements de ressources des zones de recherches directes. Un enregistrement A représente un
ordinateur ou un périphérique de réseau.
AAAA : Les enregistrements de ressources de ce type sont des mappages entre un nom d'hôte et une
adresse IPv6 (adresse IP de 128 bits).
CNAME : Les enregistrements de ressources de type CNAME (Canonical NAME ou nom canonique) sont des
mappages entre un nom d'hôte et un autre nom d'hôte. Ils permettent de créer des alias pour un nom
d'hôte donné (c'est-à-dire d'associer plusieurs noms d'hôte à une même machine). Par exemple, si vous
utilisez le même ordinateur à la fois en tant que serveur Web et serveur FTP, vous pouvez souhaiter
résoudre à la fois le nom d'hôte WWW et le nom d'hôte FTP en la même adresse IP. En utilisant un nom
canonique, vous pouvez résoudre les deux noms en la même adresse IP
PTR : Les enregistrements de ressources de type PTR (PoinTeR ou pointeur) sont des mappages entre une
adresse IP et un nom d'hôte. Il représente la majorité des enregistrements des zones de recherches
inversées.
SOA : Les enregistrements de ressources de type SOA (Start Of Authority) contiennent le nom d'hôte et
l'adresse IP du serveur DNS qui héberge actuellement la zone DNS principale. Il y a un seul enregistrement
SOA par zone DNS. C'est le premier enregistrement crée dans une zone DNS.
NS : Les enregistrements de ressources de type NS (Name Server ou serveur de nom) identifient les serveurs
DNS de la zone DNS. Ils sont utilisés dans le cadre de la délégation DNS. Un enregistrement NS associe un
nom de domaine à un nom de serveur DNS
SRV : Les enregistrements de type SRV (service) permettent de mapper un nom d'hôte à un type de service
donné. Ainsi les enregistrements SRV peuvent permettre de retrouver la liste des serveurs HTTP ou bien
encore des contrôleurs de domaines. Il est possible de donner une priorité différente à chaque
enregistrement SRV.
WINS : Les enregistrements de ressources de type WINS indiquent au serveur DNS l'adresse IP d'un serveur
WINS à contacter en cas d'échec lors de la résolution de nom d'hôte.
Routage statique
Connexion de deux réseaux différents via un pc doté de Windows 2008 et qui se comporte comme un router à
partir du service Network Access Policy.
Windows 2008 Server peut donner à un serveur, la capacité de jouer, de manière performante, le rôle de routeur.
On distingue différentes catégories de routeurs :
a) Les routeurs matériels, dont la seule tâche consiste au routage des paquets d'informations dans le monde
TCP/IP.
b) Les routeurs logiciels, dont le rôle est d'acheminer les données vers une destination voulue. Cependant, à
la différence du routeur matériel, le routeur logiciel est implémenté au sein d'un serveur qui peut
détenir d'autres fonctionnalités.
Un routeur agit au niveau de la couche réseau (couche 3). Lorsqu'il reçoit une trame, il la décapsule jusqu'au niveau 3.
Le routeur est capable d'extraire de la trame, l'adresse IP de destination. Le paquet peut alors être acheminé
jusqu'à une interface capable d'atteindre cette destination.
Afin de réaliser cette opération, le routeur doit au préalable consulter sa table de routage. Cette dernière
constitue un espace où sont stockées les différentes routes, c'est-à-dire les différents réseaux qu'il est capable de
joindre. Son rôle est de déterminer le chemin le plus court pour acheminer les paquets, de la source à la destination.
Dans la table de routage, chaque réseau de destination est associé à une interface qui achemine les paquets.
Types de routage
Il existe différents types de routage administrables sous Windows 2008 Server :
• routage statique
• routage dynamique
• routage à la demande
• routage de multidiffusion
Routage statique (Manuellement)
Le routage statique est configuré manuellement par l'administrateur sous Windows 2008 Server. Il permet
d'entrer manuellement une route dans la table de routage.
Le routage statique est recommandé pour 10 routeurs ou moins.
Il existe deux manières de configurer un routage statique :

• Au travers de la table de routage en utilisant la commande route add
En utilisant la console du service Routage et accès distant
La table de routage (Contient le meilleur chemin qui conduit vers une meilleure destination)
Pour afficher la table de routage, il suffit de lancer l'invite de commande (Démarrer->Exécuter->cmd) et ensuite
de taper route print. Il s'affiche alors une fenêtre semblable à celle-ci
Types de routage
Il existe différents types de routage administrables sous Windows 2008 Server :
• routage statique
• routage dynamique
• routage à la demande
• routage de multidiffusion
Routage statique (Manuellement)
Le routage statique est configuré manuellement par l'administrateur sous Windows 2008 Server. Il permet
d'entrer manuellement une route dans la table de routage.
Le routage statique est recommandé pour 10 routeurs ou moins.
Utilisez deux (2) serveurs afin de connecter deux

(2) réseaux différents. Ces serveurs seront
configurés comme des routeurs.
Les cartes réseaux faisant le routage doivent être

Inuqua
Canado
sur le même réseau. Dans notre
exemple se sont les cartes Interne: Interne:
externes 192.168.0.5 Externe: 172.16.0.5 10.10.10.5 Externe: 172.16.0.6
Comment créer une règle (Rule) en Windows 2012 server
Utiliser l’outils d’administration: Windows Firewall with Advanced Security
• Dans le menu cliquez Tools puis cliquez Windows Firewall with

Advanced Security • Clic droit sur Inbound Rule puis cliquez
New Rule dans le menu contextuel
• Cliquez sur l'option Custom puis cliquez Next

• Cliquez sur l'option All Programs puis cliquez Next
• Dans " Protocol Type ", cliquez la flèche vers le bas
sélectionnez ICMPV4 puis Next • Cliquez l'option Any IP Address puis cliquez Next
• Laissez par défaut l'option " Allow the connexion " puis cliquez Next
• Laissez les cases proposées par défaut et cliquez Next. Donnez un nom significatif puis cliquez Finish
Installer le service (rôle)
• Cliquez le menu Manage puis Add Roles and Features

• Cliquez Next - Laissez l’option proposé par défaut puis cliquez Next - Next • Dans la fenêtre qui
s’affiche cochez la case Remote Access puis cliquez Next - Next • Cliquez Install
Configurer le routage statique (Routing and Remote Access)
• Dans le menu cliquez Tools puis Routing and Remote Access

N.B. Si le Routing and Remote Access n'est pas configure, vous devez faire un clic droit sur le nom du
serveur puis cliquez Configure and Enable Routing and Remote Access / Next / Custom configuration •
Cliquez sur la case Lan Routing - Next - Finish - Start service • Clic Droit sur Static Routes puis cliquez New
Static Route dans le menu contextuel
• Tapez ces informations puis validez en cliquant sur le bouton OK
Configuration du routage pour le domaine Canado
Dans la configuration du routage sur

le domaine Canado, 10.0.0.0
représente l’adresse réseau du
domaine INUQUA (la destination)
Le Gateway ne change pas c’est l’IP de

la carte externe devant servir de route
Faites les mêmes démarches pour l'autre serveur celui qui héberge le domaine INUQUA
Dans la configuration du routage sur

le domaine INUQUA, 192.168.5.0
représente l’adresse réseau du
domaine CANADO (la destination)
Le Gateway ne change pas c’est l’IP de

la carte externe devant servir de route
HYPER-V (Hyperviseur)
Chaque machine
virtuelle aura son propre disque dur virtuel, sa propre mémoire virtuelle et son propre processeur
virtuel. Ces ressources vont être prises à partir du serveur physique
1 Virtuelle
2
Machine
Machine Virtuelle
virtuelle Machine 3
Un fois l’hyperviseur créé on

peut commencer à créer les machines virtuelles
HYPER-V (Hyperviseur)
Couche permettant d’extraire les ressources du serveur physique
pour créer des
Ressources (machines) virtuelles. (Disque-Dur –
Processeur – Mémoire). Une partie des ressources va être allouée à chaque machine
virtuelle
Serveur Physique
OS : Windows Serveur 2012
Rôle : Hyper-V
Mémoire - Processeur - Disque-Dur
Windows server 2012 standard ou Datacenter
Note : Il se peut que vous rencontriez des problèmes pendant l’installation de l’IPER-V sur une machine
virtuelle.
Pour résoudre ce problème : toujours dans l’interface de votre Vmware
• Cliquez sur VM - Power - Shutdown guest - Shutdown • Cliquez VM - Settings - Onglet Options
• Dans “ Version ” cliquez la flèche vers le bas et sélectionnez Hyper-V (unsupported)
Cliquez OK - Power on this machine virtuell
Comment installer le service (rôle) Hyper-V
• Cliquez sur Manage - Add Roles and Features - Next • Laissez l’option “Role-based or
feature-based installation” puis cliquez Next
• Laissez l’option “Select a server from the server pool” sélectionnez un serveur dans la liste si vous en
avez plusieurs puis cliquez Next
• Cochez la case Hyper-V Dans la fenêtre qui s’affiche cliquez Add Features Puis cliquez Next • Cliquez
Next - Cliquez Next - Cliquez Next
• Vous pouvez créer une switch virtuelle simplement en cochant la case Ethernet0. Cliquez Next en
laissant la case décochez. (Nous allons créer notre switch virtuelle plutard)
• Dans la fenêtre « Virtual machine migration » ne cochez pas la case puis cliquez Next • Cliquez Next
• Si necessaire cochez la case “restart the destination server automatically if required” puis cliquez Install
Comment créer une machine virtuelle (Action – New – Virtual Machine)
• Cliquez Tools (Outils) - Hyper-V manager (Gestionnaire Hyper-V)

• Clic droit sur le nom du serveur virtuelle puis dans le menu contextuel cliquez New puis sur Virtual
Machine
• Dans la fenêtre qui apparait cliquez Next

• Donnez un nom significatif à votre serveur virtuel puis cliquez Next
• L’option « Generation 1 » C’est pour les anciennes versions des machines virtuelles. Cochez la
génération qui convient le mieux à votre système puis cliquez Next. (Generation 1)
• Spécifiez la quantité de mémoire puis cochez la case « Use Dynamic memory for this virtual machine »
et cliquez Next (Cette case permet de rendre dynamique la valeur allouée a cette machine, elle peut
augmenter ou diminuer automatiquement selon la demande de la machine pour ne pas avoir des
problèmes de mémoire insuffisante) [si on n’a plusieurs machines virtuelles]
• Cliquez à nouveau Next

• Laissez par défaut la valeur du disque dur ou modifier selon vos besoin puis cliquez Next (Ex : Name :
VM-DC - Size : 10 GO) Pour chaque machine, donnez un nom diffèrent aux disques
•
Cliquez l’option « Install an operating system later » Si vous ne voulez installer le système d’exploitation
pour le présent moment
OU
Cliquez l’option « Install an operating system from a boot CD/DVD-Rom ». Vous pouvez utiliser un DVD
ou un fichier .ISO

Win SRV 12

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Win SRV 12

Transféré par

Droits d'auteur :

Formats disponibles

Préparé par : Jansly DIEUJUSTE

Gestionnaire de Système Informatisé

Quand créer une forêt

suite. Sécurité physique

Active Directory comprend également :

3. Cliquez sur Install now

Installer Active Directory Domain Services

14. Cliquez Next.

Comment accéder aux différents services installés

Comment joindre un poste (Windows 8 ou 8.1) a un domaine

Créer un OU (Organizational Unit)

Comment éliminer un OU (Organizational Unit)

Créer un compte utilisateur en utilisant l'interface graphique

1. Cliquez sur Manage - Add Roles and Features

7. Cliquez l’option « Add a domain controller to an existing domain »

11. Cliquez Next pour la base de données NTDS. - Next - Install

Comment créer un serveur membre (Member Server)

• Cliquez Change - Tapez le nom de votre Domaine puis cliquez OK

Comment créer un dossier partage sur Windows server 2012

1. Double cliquez le répertoire principal pour visualiser les sous-répertoires

Partages (Everyone : Full-control) |____ |____ Depannage

Informatique |____ Logiciels

|____ Administration |____ Procedure

Administration : Dieujuste Jansly – Noel Ricardo – Production : Lindor Olsen (lolsen)

Comment créer un lecteur de réseau (Map network Drive)

• Cliquez Tools puis Active Directory Users and Computers

- Dans Drive, cliquez la flèche vers le bas pour

Attribuer à un utilisateur une machine unique sur laquelle il pourra s'authentifier

Les copies partielles des objets de domaine qui

Un catalogue global remplit les fonctions suivantes dans l'annuaire :

• Authentification du nom principal d'utilisateur

• Informations relatives à l'appartenance à des groupes universels dans un environnement

MasticPlus.com 1- Création de la structure logique en

Nom client: CL-8-Finance IP

Créez ces utilisateurs dans leurs OUs respectifs

Commandes : DSADD Computer -----> Ajoute un seul ordinateur à l’annuaire

Syntaxe : dsadd ou ou=Nom_du_Ou,dc=Nom_du_domaine -desc Bref description dsadd

Account Manager ID - UPN: User Principal Name - CN: Common Name

EX: dsadd user "cn=Jansly Dieujuste,ou=Sales,dc=DomCanado" -pwd client-01 -samid Djansly

Ex : dsadd user "cn=Lolan Song,cn=users,dc=DomCanado" -pwd client-1 -samid Slolan -upn

cn : Common name / cn : Container/ dc : Domaine Controller

Ex : DSADD user ‘’cn=maxime LOUIS,cn=Users,dc=Formation,dc=edu ‘’ -samid mlouis -upn

Créer un compte utilisateur à partir d'un fichier .bat

- Chargez un éditeur de texte (Notepad ou Wordpad)

dsadd group cn = ventes, cn = users, dc = lescomptoirs, dc = com -secgrp yes -scope g

dsadd group cn = comptabilité, UO = départements, dc = lescomptoirs, dc = com –scope u -secgrp yes

Exercice sur l’utilisation de DSADD et de DSRM

- Création d’un nouveau compte d’utilisateur -

- Création d’un nouveau compte utilisateur

Gestion des unités organisationnelle

Ex : dsadd user "cn=Lolan Song,ou=Cfph,dc=DomCanado" -pwd client-1 -samid Slolan -upn

Créer plusieurs comptes utilisateurs à partir de la commande LDIFDE

dn: cn=Arnel,cn=Users,dc=Nom_Domaine (Distinguished Name )

Créez plusieurs utilisateurs en utilisant la méthode CSVDE (Comma-Separated Values [csv])

dn objectclass givenname samaccountname

Cn=Kelly,ou=IT,dc=DomCanado user Kelly Kelly

Cn=Tamara,cn=Users,dc=DomCanado user Tamara Tama

... ... ... ...

- Cliquez sur File / Save

• Tapez un mot de passe (New password et Confirm password) puis cliquez OK

Comment déplacer un utilisateur

Ou utiliser un Contrôleur de Domaine en Lecture Seule (RODC)

7. Cliquez Promote this server to a domain

13. Cliquez Next - Cliquez Next - Cliquez Install

Partages (Everyone : Full-control) | | Depannage

| Administration | Procedure