48 0 165KB
TP3 Windows 2003 server Active Directory Gestion des stratégies de sécurité
1 2 3 4 5 6
Installation de Windows 2003 server en machine virtuelle..............................................................2 Installation de Active Directory.......................................................................................................2 Après l'installation ...........................................................................................................................3 Intégrer une station dans le domaine de ce serveur..........................................................................3 Délégation d'administration et stratégies de groupe.........................................................................4 Notes sur l'application des stratégies de groupe .............................................................................4
TP N° 3 Windows 2003 server
1/4
Groupe esaip
1 Installation de Windows 2003 server en machine virtuelle 1. Démarrer VmWare Démarrage des services VmWare Gérer le poste de travail :: services
2. Créer ou vérifier l'existence d'une partition sur le disque dur de Windows, disposant de suffisamment d'espace 3Go+3Go) , pour y enregistrer les disques virtuels (Poste de travail :: gérer :: Espace de stockage : nommer R: cette nouvelle partition formatée en FAT32 ou NTFS) 3. Créer un nouvelle machine virtuelle pour windows 2003 server ●
Comment sera gérée la carte virtuelle réseau ?
●
Quel sera la taille du disque virtuel ?
●
Où sera situé le disque virtuel ?
4. Démarrer la machine virtuelle et Installer windows 2003 server à partir du CD1 −
comme un serveur autonome (workgroup)
−
vérifier que la machine a correctement obtenu une adresse IP en DHCP et que cette machine virtuelle accède à Internet
−
Noter l'adresse IP de ce serveur
−
Noter l'adresse MAC de ce serveur2
5. Revenir sur la machine hôte et noter les adresses IP et MAC de toutes les interfaces réseau définies sur la machine Hôte
2 Installation de Active Directory 1. Installer Active Directory sur le serveur (soit à partir de l'interface graphique soit en tapant dcprom −
nouveau domaine, nouvelle arborescence, nouvelle forêt
−
Choisir un nom de domaine spécifique
2. Installer un serveur DNS Ne pas installer de serveur DHCP 1 Pour gagner le temps de l'installation il sera possible de récupérer une copie du disque virtuel par ftp://forum (copier l'image .ZIP dans l'unité R: décompresser ce fichier et ouvrir le fichier correspondant à cette machine virtuelle. Attention il sera sans doute nécessaire de redéfinir le chemin d'accès au disque virtuel (R: au lieu de V:) 2 Attention, si plusieurs cartes virtuelles avaient la même adresse MAC, il serait nécessaire de la changer manuellement (voir propriétés de la carte Ethernet)
TP N° 3 Windows 2003 server
2/4
Groupe esaip
3 Après l'installation 1. configurer les paramètres IP du serveur pour que le serveur DNS interrrogé soit "lui-même" vérification : nslookup donne l'adresse IP¨correspondant au nom du serveur (résolution directe) mais ne donne pas le nom du serveur correspondant à son adresse (résolution inverse)
2. Modifier les paramètres du serveur DNS : créer un zone de redirection inverse : nouvelle zone principale (non intégrée à AD) créer ensuite un nouveau pointeur dans cette zone : IP du serveur, associée au nom du serveur Actualiser la zone Vérifier avec nslookup que cette fois-ci la redirection inverse donne une correspondance pour l'adrese IP du serveur
3. configurer les paramètres IP du serveur pour que le serveur WINS interrogé soit "lui-même" taper nbtstat -A adresse-du-serveur on doit obtenir la liste des services netbios hébergés par ce serveur
4 Intégrer une station dans le domaine de ce serveur En s'inspirant du TP Windows N°2 , on intégrera dans le domaine de ce serveur une serveur Windows 2003 autonome, qui deviendra dons un serveur membre de ce nouveau domaine. On devra donc au préalable changer les paramètres TCP/IP de ce serveur autonome de telle sorte que son serveur DNS soit le serveur DNS installé sur notre nouveau contrôleur de domaine vérifier par nslookup comme ci-dessus et (facultatif) : son serveur WINS soit soit le serveur WINS installé sur notre nouveau contrôleur de domaine vérifier par nbtstat -A
adresse-IP-du-contrôleur-de-domaine
Intégrer le serveur dans le domaine choisi via "Propriétés du poste de travail :: Identification Réseau " On utilisera un nom d'utilisateur du domaine préalablement défini (il n'est pas nécessaire que cet utilisateur soit administrateur : un utilisateur peut par défaut intégrer jusqu'à 10 stations dans un domaine).
TP N° 3 Windows 2003 server
3/4
Groupe esaip
5 Délégation d'administration et stratégies de groupe −
donner une délégation d'administration à cet utilisateur sur une unité organisationnelle où il pourra créer de nouveau utilisateurs
−
créer une unité organisationnelle dans laquelle on mettra l'ordinateur qui vient d'être intégré au domaine et créer une stratégie de sécurité appliquée à cette UO3 de telle sorte que sur les ordinateurs de cette UO, on ne puisse pas modifier l'heure du système (ou d'autres restrictions applicables au poste de travail, ou à l'utilisateur)
−
Sur le poste de travail, pour créer des utilisateurs dans l'annuaire Active Directory il sera nécessaire de disposer des outils d'administration d'active Directory sur la station : ceux-ci seront installés à partir de adminpak.msi disponible sur le CD
6 Notes sur l'application des stratégies de groupe Ordre d'application des stratégies de groupe : 1. site (1 seul site : celui dont on fait partie) 2. domaine (1 seul domaine, celui dont on fait partie, pas d'héritage entre les domaines parentsenfants d'une forêt) 3. unités d'organisation (tient compte de l'inclusion des UO)
On peut bloquer l'héritage au niveau UO ou domaine. Si plusieurs stratégies sont appliquées à la même UO, l'ordre est important: les stratégies sont appliquées de bas en haut : c'est donc la stratégies la plus haute qui est appliquée, car appliquée en dernier, si des paramètres sont définis différemment dans ces différentes stratégies
Les changements de stratégies de groupe sont répercutées ➢
toutes les 5 minutes sur les contrôleurs de domaines
➢
toutes les 90 minutes sur les stations
➢
ou immédiatement si on utilise gpupdate /force
3 Pour définir ou appliquer une stratégie de groupe, voir Propriétés de l'UO
TP N° 3 Windows 2003 server
4/4
Groupe esaip