Active Directory

1 – Installation du rôle Active Directory sous Windows Server 2012 R2

Nous utiliserons ici une machine Windows Server 2012 R2 et une machine Windows 7 Professionnel.

Nous allons commencer par renommer notre machine en srv-ad-dns, puis nous l’adresserons avec une IP fixe en 172.16.6.3/24 et nous adresserons aussi la machine cliente en 172.16.6.100/24.

Ensuite, nous allons installer le rôle Active Directory en allant dans le Gestionnaire de serveur :

 

Nous allons ensuite promouvoir notre serveur en contrôleur de domaine et créer une nouvelle forêt :

 

Nous installerons par la même occasion un serveur DNS et définirons le mot de passe du mode de restauration des services d’annuaire :

Nous suivrons les étapes jusqu’à la fin de l’installation et il sera alors nécessaire de redémarrer notre serveur pour la promotion de ce dernier en tant que contrôleur de domaine.

 

Nous vérifierons ensuite que les fonctions Active Directory sont bien installées et que notre domaine est bien présent dans « utilisateur et ordinateurs Active Directory » :

 

Vérifions maintenant que le client Windows 7 communique bien avec le serveur Active Directory en effectuant un ping vers ce dernier :

 

2 – Création des Unités Organisationnelles, des utilisateurs et des groupes

Une Unité Organisationnelle (UO) est un conteneur pouvant contenir d’autres UO, des utilisateurs, des ordinateurs ou des groupes sur laquelle on peut appliquer des stratégies de groupe (GPO).

Un groupe est un regroupement logique d’objets sur lequel on peut appliquer des permissions NTFS (accès aux ressources partagées et accès aux données).

Nous allons créer nos UO selon la liste suivante :

Et nos groupes de cette manière :

 

Voici la marche à suivre pour créer une UO :

 

Pour créer un utilisateur (un compte), il est essentiel de définir un SID (Security Identifier, ici adm@bobooktic.local), un mot de passe et un nom :

   

 

Création d’un groupe et affectation des membres :

  

 

 

3 – Intégration du client au domaine et connexion à l’annuaire des utilisateurs

Nous allons maintenant intégrer notre machine cliente Windows 7 au domaine dans les propriétés système (clic droit sur poste de travail>propriétés>Modifier les paramètres>Modifier>Domaine) :

 

Il faudra veiller à utiliser un compte administrateur au moment de la connexion puis un message de bienvenue apparaitra, il sera alors nécessaire de redémarrer la machine.
Nous testerons la connexion à l’annuaire en nous connectant avec un des utilisateurs que nous avons créés précédemment. Nous pourrons vérifier que nous sommes bien intégrés au domaine en nous rendant à nouveau dans les propriété système :

 

4 – Dossiers et partages

Structure des partages :

 

Nous allons créer une nouvelle partition (DATA) afin d’en faire un espace réservé aux données utilisateurs dans lequel nous définirons un répertoire commun par groupe d’utilisateurs, puis nous partagerons ces répertoires :

 

Il va ensuite falloir modifier les autorisations sur les répertoires afin que les groupes puissent lire l’ensemble des répertoires mais ne puissent écrire que dans le leur :

 

Nous testerons en nous connectant avec un utilisateur du groupe SAV et en écrivant dans le répertoire SAV, cela devra fonctionner. Cependant, lorsque nous essaierons d’écrire dans un autre répertoire, cela ne devra pas fonctionner. Si ce n’est pas le cas, il faudra revoir les autorisations.

Il faudra distinguer les autorisations d’un partage et celles d’un répertoire. La première définit les autorisations d’accès à la ressource partagée alors que la seconde définit les autorisations directement sur le répertoire pour ses sous-répertoires et ses fichiers.

 

5 – Compte utilisateur : centralisation des données

Nous allons créer un dossier Utilisateurs et un dossier Profils et les partager afin que les utilisateurs puissent écrire dans leurs dossiers personnels. Le but de cette manœuvre est de stocker leurs données sur le serveur au lieu de les stocker localement et de cette manière, ils pourront se connecter sur n’importe quel poste et avoir accès à leurs données.

Nous leur donnerons alors un répertoire personnel centralisé et un profil itinérant en nous aidant de la variable %username% en nous rendant dans les propriétés des utilisateurs dans Active Directory :

 

Ensuite, pour vérifier, il va falloir nous connecter sur la machine cliente avec un utilisateur. Sur le serveur, nous nous rendrons dans le répertoire Utilisateurs pour constater que des répertoires portant le nom des utilisateurs sont apparus grâce à la variable %username% :

 

Nous pourrons aussi vérifier sur la machine cliente que le répertoire personnel de l’utilisateur a bien été monté :

 

Nous vérifierons également le répertoire Profils sur le serveur pour constater qu’un dossier est apparu :

 

6 – Stratégies de groupe (GPO)

Nous allons ici mettre en place une GPO afin d’interdire l’accès au panneau de configuration pour les utilisateurs de service. Pour cela, il va falloir se rendre dans le Gestionnaire de serveur :

 

Nous allons créer une nouvelle GPO :

 

Nous la modifierons ensuite en trouvant le chemin jusqu’à ladite GPO et en l’activant :

 

Il va ensuite falloir choisir à qui s’applique cette GPO (ici, au groupe SAV) et la lier à l’UO concernée :

 

Nous nous rendrons ensuite sur la machine cliente afin de réaliser un gpupdate /force pour forcer la GPO et pour vérifier la disparition du panneau de configuration :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *