Académique Documents
Professionnel Documents
Culture Documents
COMPTE RENDU DE TP
Travail effectué dans le cadre d’un compte rendu de travaux pratiques par le quadrinôme :
Dans le cadre du module d’Administration des Services Réseaux, nous avons eu à faire des travaux
pratiques afin de mettre en application les connaissances que nous avons apprises en cours tout en
les approfondissant et se penchant sur le coté pratique et ce grâce à des manipulations.
Nous avons donc eu recours à la virtualisation afin de simuler un environnement et créer un petit
réseau de machines virtuelles pour tester et mettre en application nos connaissances.
A travers ce compte rendu, nous vous présentons les différentes étapes que nous avons effectuées
afin de mener à bien le travail demandé dans chacun des TPs donnés.
II. Manipulation :
Notre environnement maintenant bien installé, nous disposons de toutes les ressources nécessaires
pour commencer les différentes simulations.
2- TP 2 : Mise en place d’un environnement d’administration client/serveur
Durant ce TP, nous aurons à installer et configurer les serveurs DNS et DHCP sous Windows Server en
utilisant les ressources que nous avons préalablement installé sur nos deux VMs dans le TP1.
Dans un premier temps, nous avons installé le service DNS au niveau du « serveur1 ». En réalité,
comme celui-ci est déjà installé sous Windows Server, nous n’avons fait qu’installer le rôle DNS que
nous viendrons configurer par la suite.
Figure II.2 : Installation service DNS
Par la suite, nous avons configuré le serveur en commençant par la zone de recherche directe située
juste en dessous du serveur dans le gestionnaire DNS. Nous avons créé une zone principale sous le
nom de rt.local qui sera notre domaine ainsi qu’un nouveau fichier nommé qui portera
automatiquement le même nom que celui de notre domaine c'est-à-dire rt.local.
Nous avons autorisé les mises à jour dynamiques sécurisées et non sécurisées afin que notre serveur
puisse se mettre à jour automatiquement puis, au niveau des propriétés de l’enregistrement SOA
nous avons ajouté et sélectionné rt.local comme étant le serveur principal et personne responsable
(dans la figure suivante, nous voyons bien qu’au niveau de l’enregistrement SOA, notre serveur1 est
« hostmaster »).
Cette étape n’est pas obligatoire mais reste nécessaire pour des raisons de sécurité. Nous avons alors
créé une zone principale que nous allons configurer en zone de recherche inversée IPv4 dans zone de
recherche inverse. Nous choisissons de donner à notre réseau l’adresse 192.168.0.
Lorsque nous avons créé le ficher nommé, celui-ci a automatiquement été nommé en 0.168.192.in-
arpa.dns. Nous remarquons que le fichier nommé prend automatiquement l’inverse de l’adresse du
réseau que nous avons configuré durant les dernières étapes. Le résultat obtenu est dans la figure
suivante et correspond à ce que nous attendions puisqu’il vient confirmer nos connaissances
théoriques avec la mention « in-arpa.dns ».
Pour finir, nous avons également autorisé les mises à jour dynamiques sécurisées et non sécurisées.
Ces mises à jour nous servirons dans la suite de nos travaux.
Ajout de l’enregistrement des machines serveur et client dans une zone de recherche
directe et inverse
Afin d’ajouter manuellement les différents hôtes de notre réseau virtuel, nous avons créé de
nouveaux hôtes A (car nous travaillons en adresses IPv4) dans notre zone de recherche directe
rt.local à commencer par notre serveur « serveur1 » puis la machine cliente « client1 ».
Nous y avons configuré les adresses qui seront respectivement 192.168.0.1 et 192.168.0.2 pour le
serveur et le client sans oublier de cocher la case pour créer un pointeur d’enregistrement PTR dans
les deux cas pour éviter d’avoir à le faire dans la zone de recherche inverse.
Nous avons obtenu le résultat suivant.
Figure II.5 : Enregistrements dans la zone directe
Si notre zone rt.local contient 20 machines (clients et serveurs compris), nous allons procéder de la
même manière pour configurer le serveur DNS en y ajoutant les enregistrements de chacune des
machines et accessoirement, les pointeurs dans la zone de recherche inverse.
Cette approche risque d’être longue et redondante principalement si le nombre de machines
devient important.
Maintenant que nous en avons fini avec l’installation et la configuration du service DNS, il serait
préférable de vérifier si la configuration que nous avons effectuée est correcte et fonctionnelle avant
de tester d’autres fonctionnalités et opérations. Pour ce, nous avons défini l’adresses de notre
serveur comme étant l’adresse du serveur DNS et nous avons ouvert l’invite de commande pour
afficher certains détails.
Nous remarquons que sur les deux machines que ce soit le client ou le serveur, le serveur DNS est à
l’adresse 192.168.0.1 qui est bien l’adresse de notre serveur DNS, le serveur1.
Pour avoir plus de détails sur les enregistrements SOA, nous avons utilisé une autre commande ; set
type=soa. Cette commande permet d’afficher les détails du champ SOA (Start Of Authority).
Figure II.8 : Résultat du set type=soa
Sur les deux résultats, nous remarquons bien que le serveur est notre serveur1 avec toutes les
configurations que nous avons introduites dans les étapes précédentes.
Pour vérifier notre configuration d’une autre méthode, nous pouvons le faire en ouvrant l’invite de
commande de la machine cliente et en effectuant un ping vers le domaine. Si celui-ci affiche le reste
du domaine, notre configuration est bonne.
On peut également lancer la commande ip config/all depuis l’invite de commande du PC, l’adresse du
serveur DNS devrait en principe s’afficher. Ou lancer la commande depuis
l’administrateur :dcdiag/test:dans/v/s:<DCNAME>/DnsBasic/f:dcdiagreport txt
Dans un premier temps, nous avons eu à installer le service DHCP au niveau de notre serveur
serveur1. Comme pour le service DNS, celui-ci est également préinstallé sur Windows Server et il
suffit alors d’installer le rôle DHCP et ses fonctionnalités.
De la même façon, on ajoute le rôle DHCP dans le gestionnaire de serveur en suivant les étapes
complémentaires qui s’affichent à l’écran.
Maintenant que nous avons un serveur DHCP installé, il ne nous reste qu’à le configurer. Pour ce,
nous commençons par créer une nouvelle étendue d’adresses IPv4 que l’on appellera « etenduert »
dont la plage d’adresses est 192.168.0.5 jusqu’à 192.168.0.30 ainsi qu’une plage d’exclusion qui est
de 192.168.0.15 jusqu’à 192.168.0.20 sans oublier le bail que l’on fixe à une journée.
Nous ajoutons pour finir une passerelle par défaut ainsi que le nom de domaine, le nom et l’adresse
du serveur DNS que nous allons utiliser, le serveur1.
Dans ce cas, nous ajoutons l’adresse du serveur DNS pour éviter que le DHCP ne lui réattribue
d’adresse dans son processus automatique d’adresse par la suite.
Vérification de la configuration
Pour vérifier la configuration que nous venons d’effectuer, nous utilisons la machine du client1. Dans
les paramètres réseaux, nous choisissons la case obtenir une adresse IP automatique. De ce fait, le
client1 oublie l’adresse que nous lui avons accordée manuellement et en demandera une autre qui
lui sera attribuée par le service DCHP.
Afin que le serveur DHCP puisse enregistrer et mettre à jour les informations de chaque client, nous
allons dans cette étape configurer celui-ci ses serveurs DNS.
Pour ce, il a fallu se rendre sur les propriétés DHCP du serveur1 et choisir les propriétés du DNS afin
d’activer les mises à jour dynamiques DNS et de toujours mettre à jour dynamiquement les
enregistrements DNS A et PTR. Cette étape permet au DHCP de communiquer avec le DNS et de
toujours être mis à jour des changements dans le réseau, de déconnexion et de toute modification
qui peut arriver. (Cette option est activée dans le DNS et nous avons bien pris le soin de le vérifier et
de le mentionner dans les différentes étapes précédentes).
Vérification de la configuration
Par la suite, nous allons supprimer les enregistrements Hôte A et PTR afin d’effacer toute trace de
l’adresse de notre machine du client1 dans les zones de recherche directe et inverse. Puis, sur la
machine client1, nous ouvrons l’invite de commande pour reconfigurer les paramètres réseaux non
plus manuellement mais cette fois, par programmation. Nous utilisons ipconfig/release pour libérer
l’ancienne adresse et ipconfig/renew pour demander une autre adresse qui sera cette fois ci
attribuer par le DHCP.
Figure II.13 : Commande ipconfig/renew
A ce niveau, nous remarquons déjà que le client1 s’est vu attribué une nouvelle adresse qui est
192.168.0.5.
Pour vérifier que cette étape a bien été effectuée, nous vérifions les enregistrements au niveau des
zones de recherche directe et inverse.
Dans les zones de recherche directe et inverse, nous remarquons bien que les enregistrements Hote
A et PTR apparaissent de nouveau mais ne sont pas les mêmes que précédemment. En effet, la
nouvelle adresse du client1 est 192.168.0.5 alors que dans notre configuration manuelle, nous
l’avions fixé à 192.168.0.3.
Ainsi, nous pouvons conclure en disant que notre configuration a été correctement effectuée.
La méthode d’attribution automatique d’adresses par le DHCP pourrait être une solution au
problème soulevé au niveau de l’étape 4 de la première partie DNS. En effet, lorsque le nombre de
machines dans un réseau s’agrandit, l’attribution des adresses et l’enregistrement manuel au
niveau des fichiers de zone directe et inversée peut s’avérer long et il pourrait y avoir un problème
de confusion entre les différentes d’adresses qui sera attribuées de manière statique. En revanche,
en intégrant le DHCP et le DNS qui travailleront en étant mis à jour et configurés ensemble,
l’attribution d’adresses ainsi que l’enregistrement sera beaucoup plus rapide. De plus, comme les
enregistrements et les adresses seront dynamiques et comme les services se mettent à jour
mutuellement, il sera possible d’économiser des adresses.
Ces deux protocoles sont alors indispensables au bon fonctionnement dynamique du réseau, qu’il
soit virtuel et tout particulièrement quand il sera physique.
3- Installation et configuration de Active Directory
Durant ce TP, nous avons créé notre premier domaine racine de foret Active Directory. Pour ce, nous
aurons besoin des machines virtuelles que nous avons installées précédemment sous Oracle Virtual
Box, principalement notre serveur serveur1 sur lequel, nous supprimons le service DNS
précédemment installé et nous nous assurons de lui attribuer une adresse statique.
Installation du service AD DS
Pour commencer, nous devons lancer le serveur virtuel et introduire l’adresse IP de notre serveur
dans le champ Serveur DNS préféré. Ensuite, sur le gestionnaire de serveur, nous ajoutons le rôle
Service AD DS (Active Directory Domain Services) et nous suivons les étapes affichées l’écran jusqu’à
terminer le processus.
Windows redémarre après l’opération et après celui-ci, nous remarquons que le nom de la session a
changé.
Pour vérifier les dossiers, nous allons vers le menu démarrer puis sur Exécuter. Grâce à une
commande, nous allons afficher le contenue SYSVOL donc les sous-dossiers domain, staging, staging
areas et sysvol.
Figure III.22 : Sous dossiers SYSVOL
Sur l’invite de commande, nous y introduisons une suite de commandes pour vérifier les
enregistrements des ressources dans le DNS.
Figure III.25 : Enregistrements des ressources dans le DNS
Ensuite, nous consultons le fichier Netlogon pour les inscriptions de ressources SRV.
Toujours en se dirigeant vers l’outil d’administration, nous choisissons cette fois ci « Sites et services
AD ». Nous choisissons notre serveur puis Contrôleur de domaine pour ensuite se rendre dans les
propriétés de NTDS Settings afin de vérifier si la boite Global Catalog est choisie (catalogue global).
Vérification des rôles FSMO
Nous remarquons que notre serveur est maître des noms de domaine, contrôleur de domaine
principal, gestionnaire du pool RID et maître de l’infrastructure. Ce qui veut dire que notre serveur
« serveur1 » est maître d’opérations unique à l’intérieur de la forêt et à l’intérieur du domaine.
4- TP 4 : Active Directory –Gestion des comptes et des groupes-
Dans le TP précédent, nous avons configuré et promu notre serveur1 en tant que contrôleur de
domaine. Dans ce TP, nous allons créer et gérer des comptes utilisateurs, des groupes locaux, des
ordinateurs Active Directory ainsi que des groupes Active Directory.
Pour mener à bien notre TP, nous avons également besoin de notre machine cliente, le client1.
REPONSE : Comme le compte utilisateur n’est pas encore créer dans le domaine, on ne peut
pas accéder au domaine par ce compte
Maintenant que le compte utilisateur est créé au niveau local, nous devons le créer dans le domaine
et pour ce, nous lançons notre VM serveur1. On se connecte au serveur avec le nom
d’administrateur du domaine RT\Administrateur et on lance le gestionnaire de serveur dessus. Dans
l’onglet Outils, on choisit Utilisateurs et ordinateurs Active Directory. C’est dans ce menu que nous
pouvons dérouler et voir notre domaine rt.local ainsi que la liste des utilisateurs et des groupes déjà
existant (par défaut). On s’aperçoit qu’on y trouve le compte Administrateur que l’on utilise déjà.
Figure IV.29 : Liste des utilisateurs
On crée un nouvel utilisateur en cliquant sur Users ensuite Nouveau et on y introduit le nom et le
prénom ainsi que le nom d’ouverture de session. On choisi un mot de passe et on précise que le mot
de passe n’expire pas en cochant la case.
Toujours sur le serveur1, on procède de la même façon mais cette fois-ci en se dirigeant sur
Ordinateur. On refait les mêmes étapes en spécifiant le nom de l’ordinateur
REPONSE : Depuis cette machine, tous les comptes utilisateurs qu’on a créé dans le domaine
peuvent s’identifier.
Dans cette partie, nous nous remettons sur le serveur et nous nous connectons avec le compte de
l’administrateur du domaine, RT\Administrateur. Nous nous plaçons dans Utilisateurs et ordinateurs
Active Directory et nous déroulons la liste des utilisateurs. Sur l’utilisateur que nous avons créé
précédemment, nous cliquons sur Désactiver le compte.
Figure IV.34 : Désactivation du compte utilisateur
Pour vérifier si cette modification a bien été apportée et que le compte de amel hemmam a bien été
désactivé, nous nous rendons sur la machine cliente client1 et nous essayons de nous connecter avec
son compte pour voir si la connexion est possible ou non.
On remarque bien que la connexion est impossible. Notre compte a bien été supprimé.
Pour la suite du TP, nous allons le réactiver.
Deuxième partie : Création et gestion des groupes
Dans cette étape, nous allons créer des groupes dans notre domaine rt.local et pour ce, nous devons
nous replacer sur notre serveur1 en se connectant avec le compte administrateur RT\Administrateur.
On crée un nouveau groupe dans Utilisateurs dans la section Utilisateurs et ordinateurs Active
Directory. On y ajoute le nom de groupe que nous avons choisi c'est-à-dire G_SEC_Accounting en
choisissant une portée globale et un type de groupe « sécurité ».
En suivant les mêmes étapes, nous créons d’autres groupes comme G_SEC_Research, G_SEC_Sales.
Cette même procédure est répétée pour ajouter les groupes G_SEC_Accounting, G_SEC_Research et
G_SEC_Sales au groupe DL_SEC_Folder_Read.
Figure IV.37 : Ajout de G_SEC_Accounting, G_SEC_Research et G_SEC_Sales au groupe
DL_SEC_Folder_Read
On répéte encore une fois la procédure pour ajouter le groupes G_SEC_Accounting au groupe
DL_SEC_Folder_FullControl.
Maintenant que nous avons ajouté des membres dans les groupes et que nous avons imbriqué les
différents groupes relevant du même service afin de mieux gérer et administrer le domaine, nous
lançons la machine cliente client1 et nous nous connectons avec le compte administrateur afin
d’ajouter des administrateurs dans les groupes.
Pour ce, dans le menu Démarrer, on choisi Gérer dans Ordinateur et nous affichons la liste de tous les
groupes locaux de notre ordinateur. On ajoute alors des Administrateurs en faisant apparaître la liste
des utilisateurs enregistrés et en sélectionnant le compte utilisateur local que nous avons déjà créé.
Cette même opération est suivi afin d’ajouter les groupes G_SEC_Accounting, G_SEC_Research et
G_SEC_Sales au groupe Administrateurs.
Figure IV.38 : Ajout des groupes G_SEC_Accounting, G_SEC_Research et G_SEC_Sales au groupe
Administrateurs
REPONSE : Ajouter des groupes globaux de domaine dans un groupe local permet
d’appliquer la stratégie AGDLP.
Depuis la machine virtuelle serveur1, nous nous connectons avec le compte administrateur du
domaine RT\Administrateur et on crée un dossier que l’on nomme « RESSOURCES PARTAGées » dans
le disque C. Dans ce dossier, on y place les 2 fichiers Fichier1.txt et 7z1900-x64.exe puis, toujours
dans le dossier RESSOURCES PARTAGées , on y crée un dossier « ressources spéciales » et on y place
encore une fois les deux fichiers précédents.
Dans les propriétés du dossier RESSOURCES PARTAGées , nous choisissons l’onglet Partage afin
d’accéder aux Partage avancé et enfin, aux autorisations. C’est ici que nous allons partager le dossier
et accorder le contrôle total à tout le monde.
Notre dossier « RESSOURCES PARTAGées » est alors partagé avec tout le monde et le chemin de
partage est \\serveur1\RESSOURCES PARTAGées
Figure V.40 : Partage du dossier RESSOURCES PARTAGées
Afin de vérifier si le dossier existe dans le répertoire du serveur1, nous accédons à Exécuter dans le
menu Démarrer.
REPONSE : Dans le domaine, on retrouve d’autres dossiers partagés existants qui sont
netlogon et sysvel.
REPONSE : Pour afficher les différents dossiers partagés dans le domaine, on utilise la
commande NET SHARE.
Nous pouvons bien accéder à ce dossier et exploiter ces différents fichiers. Nous pouvons créer,
supprimer et modifier des fichiers dans ce répertoire et dans le répertoire enfant « ressources
spéciales » également.
Figure V.44 : Dossier ressources spéciales
Nous essayons d’accéder avec un autre compte utilisateur et celui-ci possède les mêmes droits que
Hemmam Amel, l’autre utilisateur. Tout le monde a bien accès aux données du dossier RESSOURCES
PARTAGées.
Jusque là, nous avons effectué la configuration de manière à rendre le dossier « ressources
spéciales » accessible à tout le monde, c'est-à-dire à tous les utilisateurs du domaine. Dans cette
partie, nous nous proposons d’affiner les droits d’accès en utilisant les permissions NTFS sur ce
dossier.
Pour ce, nous nous connectons au serveur1 avec le compte administrateur RT\Administrateur et
nous nous rendons sur les propriétés du dossier RESSOURCES PARTAGées. On choisi l’onglet sécurité
puis sur Avancé. On constate que dans la liste Entrées d’autorisation, les utilisateurs et les groupes
qui ont les permissions sur ce dossier les ont hérités depuis le dossier parent C:\ et donc, pour
supprimer ces permissions, on doit désactiver l’héritage en bas de la fenêtre affichée à l’écran. Une
autre fenêtre s’affiche et on clique alors sur « Convertir les autorisations héritées en autorisation
explicites sur cet objet » et à partir de là, nous avons la main pour supprimer ligne par ligne. Dans un
premier temps, on supprime toutes les entrées pour ensuite ajouter des utilisateurs. On sélectionne
un principal et on choisi le groupe DL_SEC_Folder_Read et on garde « Lire » uniquement comme
autorisations de base.
La même procédure est suivie pour ajouter le groupe DL_SEC_Folder_Edit avec « Modification »
uniquement comme autorisation et le groupe DL_SEC_Folder_FullControl avec comme autorisation
« Contrôle total ».
Ainsi, le groupe DL_SEC_Folder_Read pourra lire uniquement, DL_SEC_Folder_Edit aura le droit de
modifier et DL_SEC_Folder_FullControl bénéficie du contrôle total.
Figure V.45 : Autorisations des groupes
REPONSE : On constate que cet utilisateur possède le contrôle total sur le dossier partagé
RESSOURCES PARTAGées et le dossier enfant ressources spéciales. On peut expliquer ceci par
le fait que cet utilisateur appartient au groupe G_SEC_Accounting qui est lui membre des 3
groupes DL_SEC_Folder_Read, DL_SEC_Folder_Edit et DL_SEC_Folder_FullControl.
Nous procédons de la même manière pour enlever le droit de supprimer pour le groupe
DL_SEC_Folder_Edit, sur le dossier enfant «ressources spéciales ».
Le dossier que nous avons créé n’est jusque là pas encore un objet Active Directory et pour le rendre
visible dans l’annuaire, nous devons le publier manuellement dans Active Directory car il n’existe pas
de système d’intégration de publication automatique sous Windows Server.
Pour commencer, nous nous connectons au serveur1 avec le compte administrateur RT\
Administrateur et nous lançons le gestionnaire Utilisateurs et Ordinateurs Active Directory. Nous
créons une Unité Organisationnelle que l’on nomme Partages et qui contiendra tous les dossiers
partagés. Dans Partages, on crée un nouveau Dossier partagé que l’on nomme pareillement
RESSOURCES PARTAGées et en spécifiant son emplacement dans le domaine \\Serveur1\Ressources
partagées.
. Figure V.47 : Publication du dossier partagé dans l’annuaire
Réponse : publier le dossier partagé dans l’annuaire permet de le lier à des Unités
Organisationnelles (OU)
6- TP 6 : Active Directory –Délégation de contrôle administratif-
Dans le TP précédent, nous avons appris à gérer les différents dossiers partagés, à supprimer
l’héritage ainsi qu’accorder les différentes permissions NTFS.
Dans ce TP, nous allons déléguer le contrôle administratif des unités d’organisation et pour ce, nous
aurons besoin de notre environnement de virtualisation ainsi que notre serveur1 configurée et
promu comme Contrôleur de domaine ainsi que notre machine cliente client1. Pour mener à bien ce
TP, nous aurons également besoin d’une connexion internet stable afin de télécharger les outils
RSAT.
Ensuite, on déplace les groupes G_SEC_Research, G_SEC_Accounting et G_SEC_Sales que nous avons
créé dans le TP4 avec leurs comptes utilisateurs vers les unités organisationnelles correspondantes
que nous venons de créer.
Figure VI.49 : Déplacement
Les mêmes étapes sont suivies afin de déléguer cette tâche pour les deux OU Accounting et Sales.
Installation des outils RSAT
Afin de vérifier la délégation de la tâche de réinitialisation des mots de passes, nous allons installer
sur la machine client la console Utilisateur et ordinateurs Active Directory via les outils RSAT. Ces
outils permettent de gérer des rôles et des fonctionnalités qui sont installés sur des ordinateurs
Windows Server ) partir d’un ordinateur distant.
On commence alors par télécharger les outils d’administration de serveur distant RSAT pour
Windows 7 en faisant attention à télécharger la version 32 bit. Nous nous connectons alors à la
machine client1 avec le compte Administrateur depuis lequel on lance l’installation des outils RSAT
que nous avons téléchargés et une fois que ceux-ci sont installés, on redémarre la machine client1.
On active par la suite des fonctionnalités Windows depuis la fenêtre spécifiée dans le Panneau de
configuration en faisant attention à cocher toutes les fonctionnalités dans Outils d’administration de
serveur distant.
Maintenant que les outils RSAT sont installés sur la machine client1, l’utilisateur Amel Hemmam peut
réinitialiser les mots de passe des utilisateurs des OUs correspondantes à partir de la machine client1
sans devoir se connecter au contrôleur de domaine. C’est ce que nous allons vérifier dans cette
étape.
On commence par se connecter à la machine cliente client1 avec le compte de Amel Hemmam
auquel nous avons accordé la délégation de la tâche de réinitialisation de mot de passe. On choisi un
utilisateur de l’OU Research ‘souhila merah ‘ dont nous souhaitons réinitialiser le mot de passe et on
en choisi un autre.
REPONSE : L’utilisateur a bien le droit de réinitialiser les mots de passe de tous les autres
utilisateurs car il est délégué de cette OU.
Figure VI.52 : Réinitialisation du mot de passe
REPONSE : Si on veut changer le mot de passe d’un autre utilisateur de l’OU Sales par
exemple de ‘zahia merah’, nous nous pouvons pas le faire car nous sommes connectés avec
le compte de Amel Hemmam qui possède une délégation pour l’OU Research uniquement.
REPONSE : En essayant de créer un compte utilisateur dans l’OU Research, nous constatons
que nous ne pouvons pas le faire car l’utilisateur Amel Hemmam ne possède la délégation
que pour la tâche de réinitialisation de mot de passe seulement.
On se connecte avec le compte de souhila merah et nous constatons que le mot de passe a bien été
changé. Nous suivons les mêmes étapes pour changer les mots de passe des utilisateurs des OUs
Sales et Accounting, Sofia Dabouz et Bouchra Derkaoua.
Création d’une console personnalisée simplifiée pour le changement des mots de passe
Un administrateur du domaine délègue souvent les tâches administratives basiques à des utilisateurs
afin de soulager celui-ci de certaines demandes. L’étape précédente étant beaucoup trop technique,
on se propose alors de créer une console personnalisée simplifiée pour les utilisateurs qui n’auront
pas besoin de connaissances approfondies du domaine pour effectuer ces tâches.
Pour commencer, on se connecte au serveur1 avec le compte administrateur RT\Administrateur et
dans le menu Démarrer, on sélectionne Exécuter dans laquelle on saisi mmc.exe. On remarque
qu’une console MMC vierge s’ouvre. Dans l’onglet Fichier, on ajoute un composant logiciel enfichable
et dans la liste qui s’affiche, on choisi Utilisateurs et groupes Active Directory.
Dans l’arborescence, on choisi l’OU Research dont nous avons délégué le droit de réinitialiser les
mots de passe et on choisi une nouvelle fenêtre. On peut alors changer l’affichage de la fenêtre qui
s’affiche en suivant les étapes qui s’affichent à l’écran en faisant attention à laisser coché Exécuter
l’assistant Nouvelle tâche. Cet assistant apparaît et nous guide dans le choix d’une commande que
l’utilisateur aura à utiliser.
On se positionne sur la commande de menu et on sélectionne l’utilisateur auquel nous avons délégué
la réinitialisation des mots de passe (l’utilisateur Amel Hemmam). C’est la que la console
personnalisée apparaît et pour restreindre les actions que pourra exécuter l’utilisateur avec cet outil,
nous désactivons certaines options.
Ensuite, nous protégeons cette console des modifications ultérieures et dans les Options de l’onglet
Fichier, on choisi de nommer la console Réinitialisation des mots de passe et on choisi le Mode
utilisateur, accès limité, fenêtre unique comme mode de console. On autorise simplement
l’utilisateur à personnaliser les vues.
On copie colle la console dans la machine cliente afin que celle-ci soit mise à disposition et
maintenant, l’utilisateur n’a plus qu’à ouvrir la console pour avoir la possibilité de réinitialiser le mot
de passe des utilisateurs de l’OU Research uniquement de manière très simple.
Dans la fenêtre qui s’ouvre, on active cette GPO et on applique ces modifications.
Cette GPO est créée, configurée mais il faut la lier à un conteneur. Dans cette étape, nous allons la
lier à l’OU Ordinateurs qui contient la machine client1.
Dans la boite qui s’ouvre, on sélectionne la GPO que nous avons créé. Il nous suffit de vérifier que
cette GPO est appliquée à n’importe quel utilisateur de l’ordinateur.
On se reconnecte à la machine cliente avec le compte appartenant au groupe G_SEC_Research et on
force l’application de la GPO en tapant dans l’invite de commande gpupdate/force et on vérifie si on
a bien accès au panneau de configuration.
REPONSE : Oui on a bien accès à l’invite de commande. La GPO appliqué à une unité
d'organisation s'applique directement à tous les utilisateurs et ordinateurs de l'unité
d'organisation, donc elle annule la GPO locale
Application de stratégie de groupe-Configuration utilisateur
Dans cette partie, nous allons appliquer une stratégie de groupe aux utilisateurs de l’OU « Research »
qui leur attribue un fond d’écran commun.
On se connecte au contrôleur de domaine avec le compte utilisateur du domaine RT\Administrateur
et on crée un partage pour héberger le fichier du fond d’écran qui nous a été fourni
ResearchWallpaper.png en plaçant l’image dans le répertoire partagé NETLOGON.
On active le papier paint du Bureau et on choisi le chemin d’accès du fichier que l’on indique dans
l’URL du fichier.
On lie la GPO à l’OU Research
Le fond d’écran ResearchWallpaper s’applique bien à l’utilisateur de l’ou Research mais on constate
qu’il reste tout noir.
REPONSE : Les GPO qui sont appliqués aux utilisateurs de l’OU Accounting sont GPO fond
d’écran domaine et default domain policy.
On se connecte à présent sur la machine client avec un utilisateur qui appartient à l’OU Research.
REPONSE : le fond d’écran qui est appliqué au bureau de l’utilisateur appartenant à l’OU
Research est le DomainWallpaper.png, la GPO appliquée sur le domaine est prioritaire à
celle appliquée aux OU.
REPONSE : Les GPOs qui sont t appliquées aux utilisateurs de l’OU «Research» sont fond
d’écran domaine, GPO fond d’écran Research, default domain policy.
Les GPOs qui sont appliquées aux utilisateurs de l’OU Accounting est Default Domain Policy car nous
avons bloqué l’ancienne GPO.
On bloque ensuite l’héritage de l’OU Research dans le Gestionnaire des stratégies de groupe et pour
vérifier, on se connecte à la machine cliente client1 avec un compte utilisateur de l’OU Research.
REPONSE : le fond d’écran appliqué au bureau est le Researchwallpaper.png. L’héritage du
domaine est bloqué, donc la stratégie appliquée est celle de l’OU.
Ensuite, dans le Gestionnaire des stratégies de groupe du serveur, on applique l’image fond d’écran
domaine au domaine. Cette procédure va changer l’ordre de l’application de la GPO.
Cette manipulation a pour effet de changer les fonds d’écran des utilisateurs des deux OUs Research
et Accounting en forçant l’application du fond d’écran domain.wallpaper.png malgré le blocage de
l’héritage.
Déploiement du logiciel par GPO
Dans cette étape, nous allons installer un logiciel au format MSI dans la machine cliente en utilisant
une GPO. Nous allons déployer le logiciel 7-zip en mode attribué. Pour ce, nous allons nous connecter
au contrôleur de domaine avec le compte administrateur du domaine RT\Administrateur et nous
déposons le fichier d’installation 7z1900.msi dans le répertoire partagé NETLOGON.
Nous allons, dans cette étape, configurer un script d’ouverture de session en utilisant les GPO.
On crée un fichier texte dans le répertoire partagé NETLOGON et on tape la commande logoff qui
permet de déconnecter l’utilisateur, on enregistre le fichier avec l’extension .bat
On clique droit sur la GPO crée en suite sur Modifier et on développe le chemin Configuration
utilisateur > Stratégies > Paramètres Windows > Scripts> ouverture de session
On clique sur ajouter, et on ajoute le nom complet du fichier, on lie ensuite la GPO à l’OU Research.
On clique droit sur la GPO en suite sur Modifier et on développe le chemin suivant: Configuration
utilisateur > Préférences > Paramètres Windows > Mappages de lecteur > Nouveau > Lecteur mappé.
Dans la fenêtre qui s’ouvre, on saisi les informations suivantes :
On Lie cette GPO à l’OU « Accounting» et on se connecte à la machine client avec un compte
utilisateur appartenant à l’OU « Accounting»
REPONSE : Dans le poste de Travail, le lecteur Ressources partagées existe. (nous n’avons pas
pu faire des captures)
REPONSE : Non, nous ne pouvons pas supprimer ce lecteur car nous n’avons pas
l’autorisation.