TP4 Administration-Systemewindows - ISIMA [PDF]

Zitiervorschau

Institut Supérieur d’Informatique de Mahdia Classes : LCE-IRS 2 C et LCE-IRS 2 D Année Universitaire : 2020/2021 Semestre 2 Enseignant : KAMMOUN Anis Administration système Windows TP4 : Mise en place du contrôleur de domaine Active Directory AD sous Windows Server 2012 R2

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 1 sur 7

Présentation du service d’annuaire : 





Un service d'annuaire est un référentiel d'informations sur les ressources connectées à un réseau. Source d'informations utilisée pour stocker des informations sur certains objets importants (matériel, logiciel et ressources humaines). o Un annuaire téléphonique (informations sur des abonnés) o Dans un système de fichiers, le répertoire (l'annuaire) contient des informations sur des fichiers. o Dans un système d’informatique : les utilisateurs, les imprimantes, les serveurs de télécopie, les applications, les bases de données, etc. Les utilisateurs des réseaux veulent trouver et utiliser ces objets, et les administrateurs veulent contrôler leur utilisation.

La différence entre un annuaire et un service d'annuaire, c'est que ce dernier constitue à la fois la source d’information et les services rendant cette information disponible et exploitable pour les utilisateurs. 

Service d’annuaire Active Directory (AD DS : Active Directory Domain Services). 



AD DS est un service d'annuaire qui permet aux administrateurs de créer des divisions organisationnelles appelées domaines. Active Directory est un service d’annuaire amélioré. Il permet de gérer des utilisateurs de manière innovante, simple et efficace. Il s’avère être un outil indispensable dans les entreprises à plus ou moins grande infrastructure. Il permet de centraliser et d’administrer facilement les utilisateurs du domaine.

Avec les rôles supplémentaires on peut gérer Structure logique hiérarchique décomposée en : les certificats, gérer les autorisations sur les  Objet et Attributs : fichiers des utilisateurs, permettre des o Un domaine AD DS est une structure authentifications en SSO, et avoir un service hiérarchique qui prend la forme d'une d’annuaire applicatif. arborescence, un peu comme un système de  Active Directory regroupe donc Active fichiers. Directory Domain Services (ADDS), Active o Se compose d'objets, chacun représentant une Directory Certificate Services (ADCS), ressource logique ou physique du réseau Active Directory Federation Services (ordinateur, compte utilisateur, etc). (ADFS), Active Directory Right o Chaque objet est constitué d'attributs qui Management Services (ADRMS), Active stockent des informations sur l'objet. Directory Lightweight Domain o Différents objets ont des attributs différents Services(ADLDS).etc selon leur fonction. Structure logique d’Active Directory:  Active Directory est un service d'annuaire o Le schéma d'annuaire définit les attributs de hiérarchique, basé sur le domaine, qui est chaque objet et les informations requises et évolutif dans les deux sens. facultatives.  Un domaine est un conteneur logique de  Classe : groupement logique d'objet tels les composants réseau, hébergé par au moins un comptes d'utilisateurs, ordinateurs, domaines, serveur désigné comme contrôleur de ou unités organisationnelles domaine.  Unité organisationnelle : objet conteneur qui  On peut subdiviser un domaine en unités permet de regrouper des objets d’un domaine d'organisation et le remplir avec des objets. répondant à des critères communs (localisation  AD DS fournit une architecture très flexible géographique, service de l’entreprise) pouvant accueillir les plus petites et les plus grandes organisations. 

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 2 sur 7

Exemple: Jean est responsable commercial  fait partie de l’unité l’organisation du service commercial.  Domaine : Regroupe les objets (ordinateurs, etc) qui utilise le même annuaire.  Arbre de domaines : ensemble de domaines réorganisés hiérarchiquement qui partagent un même espace de noms. Tous les domaines d’un même arbre partagent un catalogue commun. Des relations d'approbation sont implicites

Lorsque vous créez votre premier domaine sur un réseau Active Directory, vous créez la racine d'une arborescence de domaine. Vous pouvez remplir l'arborescence avec des domaines supplémentaires, à condition qu'ils fassent partie du même espace de noms contigu. Lorsque vous utilisez des noms de domaine Internet enregistrés, vous pouvez utiliser des sous-domaines pour créer d'autres domaines dans l'arborescence.

Forêt : Ensemble d’arbre ne partageant pas un même espace de noms. Des relations d’approbation sont explicites et transitives entre les arbres.  Une forêt Active Directory se compose d'une ou de plusieurs arborescences de domaines distinctes, qui ont les mêmes relations d'approbation bidirectionnelle entre elles que de deux domaines de la même arborescence.  Lorsque vous créez le premier domaine sur un réseau Active Directory, vous créez une nouvelle forêt et ce premier domaine devient le domaine racine de la forêt 

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 3 sur 7





Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 4 sur 7

Installation du rôle AD DS

Déploiement d'AD DS De nombreuses variables peuvent affecter les performances d'une installation Active Directory:  Le matériel que vous sélectionnez pour vos contrôleurs de domaine  Les capacités de votre réseau  Les types de liens WAN reliant vos sites distants La page Progression de l'installation dans l'Assistant Ajouter des rôles et des fonctionnalités

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 5 sur 7

PARTIE PRATIQUE

Partie 1 : Installation du contrôleur de domaine AD 1) 2) 3) 4) 5) 6) 7) 8) 9)

Donner une adresse IP fixe à votre serveur Windows2012. Ajouter le rôle Services AD AS Ajouter le rôle DNS Promouvoir ce serveur en contrôleur de domaine Sélectionnez « Ajouter une nouvelle forêt » et renseignez le « Nom de domaine racine » qui est dans ce cas ISIMA.local (vous devez au minimum y mettre un « point ») Ajoutez un mot de passe fort pour DSRM Indiquez le « nom de domaine NetBIOS» (ISIMA dans ce cas) Laisser les autres paramètres par défaut Redémarrer l’ordinateur et se connecter au domaine

Remarque 1 : Vérifier sous DNS que le domaine ISIMA est bien crée. Remarque 2 : Une fois connecté, pour vous assurer que l’installation est effective : Tableau de bord > Outils > Utilisateurs et ordinateurs Active Directory. 10) Rattachez votre poste client Seven virtuel à votre domaine en utilisant le compte de l’administrateur du contrôleur de domaine AD. (paramétrez l’adresse IP du serveur DNS de la machine Seven comme étant l’adresse du serveur DNS situé sur serveur AD 2012) 11) Vérifier que la connexion de la machine cliente sur le domaine a généré la création d'un compte ordinateur dans l’unité d’organisation (Organization Unit OU) Computers/Ordinateurs Remarque 3 : désactiver le firewall côté client et serveur s’il y a des problèmes de connectivité réseau.

Partie 2 : Gestion de objets des services de domaines AD Question : Qu'est-ce qu'une unité organisationnelle (U.O.) ? Question : Quelle est la différence entre une U.O. et un groupe (dans quels cas utilise-t-on l'un et l'autre)? 1) Créez les deux U.O suivantes : – Administration : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs – Etudiant : dans laquelle, il y a les deux UO : utilisateurs et ordinateurs 2) Groupe : Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une entreprise.  Dans l'U.O. Administration, créez le groupe directeur et le groupe employé.  Dans l'U.O. Etudiant, créez le groupe GrpA et le groupe GrpB. 3) Utilisateurs : Chaque utilisateur devra pouvoir se connecter par le login suivant : Première lettre du prénom, nom complet, par exemple Sami Mansour devra taper : smansour Le mot de passe sera Azerty2020 – Sami Mansour sera ajouté à l'U.O Administration et dans le groupe directeur. – Jamila Dridi sera ajouté à l'U.O Administration et dans le groupe employé. – Hatem Mefteh sera ajouté à l'U.O Etudiant et dans le groupe GrpA. Remarque : vous pouvez définir un utilisateur modèle et à l’aide de l’option copié, créer les autres utilisateurs.

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 6 sur 7

4) Profils utilisateur : a) Spécifiez une plage des horaires d'accès (par exemple du 12h au 14h) pour l’utilisateur Sami Mansour et vérifiez la validité de cette configuration. b) Modifiez cette plage et vérifier de nouveau la faisabilité de la connexion. c) Donnez une date de validité du compte et vérifiez que ce critère est pris en compte. d) Reconfigurez le compte de l'utilisateur Sami Mansour et demandez le changement de mot de passe à la prochaine ouverture de session. e) Posez une limite de session inactive à 2 minutes et vérifiez que cette configuration est prise en compte. Éventuellement, déconnectez et reconnectez l'utilisateur. f) Imposez à l'utilisateur de se connecter uniquement sur l'ordinateur client que vous venez d'intégrer. g) Faites en sorte que l'utilisateur Sami Mansour ait un lecteur réseau personnel nommé P: qui pointe vers le partage \\Nom_Serveur\home\ %username% (créer et partager tout d’abord le répertoire home sous C : dans le serveur) Question : Définissez le terme « profil itinérant » : Quels sont les avantages et inconvénients des profils itinérants ? Partie 3 : Stratégies de groups GPO Question : Trouvez une définition des stratégies de groupes Windows ou (GPO : Group Policy Object). 1) Création des GPO : – menu Outils d'administration > Gestion des stratégies de groupe. “créé un objet GPO “(dans la bonne UO) → le modifier en allant sur “modifier” ( ou Pour ouvrir le Gestionnaire de stratégies de groupes plus rapidement: allez dans PowerShell et tapez: gpmc.msc) 2) Exemples de GPO Mettre en place les stratégies de groupe suivantes : a) Tout le domaine : – Interdire aux utilisateurs de partager des fichiers de leur profil (Configuration utilisateur → Modeles d’administration → Dossier Partager) – Permettre l'utilisation de mots de passe simples : minimum 5 caractères (Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de comptes → Stratégie de mot de passe → Longueur minimale du mot de passe) b) Service Administration: – Désactiver l'assistant de connexion à Internet d'Internet Explorer (Configuration utilisateur → Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver l’Assistant Connexion Internet. – Interdire la modification des paramètres de proxy d'Internet Explorer (Configuration utilisateur → Stratégie → Modèles d’administration → Composants Windows → Internet Explorer → Désactiver la modification des paramètres de proxy) c) Service Etudiant : – Masquer le lecteur D : Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs → Mappage de lecteur (lecteur : D) – Interdire l'accès à l'invite de commandes (Configuration utilisateur → Statégie → Modèles d'administration → Composants windows → Systeme → désactivé l'accès a la ligne de commande 3) Forcer l'application des stratégies de groupe : Pour forcer l'application des GPO, vous pouvez tapez sur le powershell la commande :  gpupdate /force Pour vérifier le résultat de l'application des GPO, vous pouvez utiliser la commande :  gpresult /h rapport.htm 4) Tests de l’application des GPO Connecter depuis le poste client avec des comptes différents et vérifiez que les stratégies s'appliquent bien aux utilisateurs des différentes unités d'organisation.

Administration système Windows /2ème Semestre 2020-2021 /ISIMA / page 7 sur 7