Active Directory est un service d’annuaire créé par Microsoft en 1996 et destiné à être installé sur les Windows Server 2000, 2003, 2008, 2012 et 2016. En stockant dans une base de données les renseignements relatifs aux ressources réseau d’un domaine, Active Directory a pour objectif premier de centraliser l’identification et l’authentification d’un réseau de postes Windows. Ses fonctions additionnelles permettent aux administrateurs de gérer efficacement une stratégie de groupe, ainsi que l’installation des logiciels et des mises à jour sur les stations du réseau. Le protocole associé au service d’annuaire est le LDAP: pour Lightweight Directory Access Protocol, il détermine la méthode d’accès aux données sur un serveur au niveau du client.
Pour l’installation de l’AD, nous aurons besoins de:
Installation et configuration de l’AD.
Avant de commencer, il est nécessaire de renommer notre machine et de lui donner une IP fixe.
Installer l’AD sans fonctionnalités supplémentaires
Choisir le rôle « AD DS » et cliquez sur suivant
Le DNS n’étant pas encore installé, on va l’installer en même temps que le rôle Active Directory. Pour cela nous allons ajouter une nouvelle forêt et renseigner le nom de domaine, ensuite Cliquez sur suivant.
Configurer un mot de passe en cas de restauration des services, la case Serveur DNS devant être cochée, ensuite cliquez sur suivant tout en laissant par défaut les chemins de stockage de l’AD, ensuite installer.
Par la suite, une page s’affiche, récapitulant toute la configuration faite.
Après l’installation, il faut le configurer en faisant un clic sur l’onglet « promouvoir ce serveur en contrôleur … »
Nous remarquerons après l’installation qu’une zone a été créée et qu’il faut juste configurer la zone inverse.
Création de l’OU
Une unité d’organisation: est un conteneur d’objets d’un domaine. Elle permet une hiérarchisation d’objets au sein d’un domaine.
Dans une OU nous pouvons créer :
Pour créer une OU, ouvrir l’outil d’administration > click sur Utilisateurs et ordinateurs Active Directory >clic droit sur le nom de domaine(epbooktic.local) > nouveau > Unité d’Organisation et ensuite remplir les cases avec les informations données.
Création des groupes dans l’annuaire.
Un groupe: est un ensemble de machines ou Users avec une politique particulière et des droits spécifiques. Clic droit sur l’OU dans laquelle il faut créer un groupe >nouveau >groupe et ensuite renseignez les informations qui vous sont données.
Intégration de la machine cliente Windows 7 dans le domaine
Pour intégrer une machine dans le domaine, aller sur démarrer > clic droit ordinateur >propriétés > Modifier les paramètres > Modifier et cocher la case « membre d’un : Domaine, ensuite un mot de passe administrateur vous sera demandé (utilisez le compte administrateur du serveur pour intégrer la machine), après le redémarrage de la machine, elle sera intégrée au domaine.
Test de connectivité à l’annuaire AD avec les utilisateurs
Je me suis connectée avec l’utilisateur Philippe GRAND qui est admin réseau du G_Info.
Arborescence du domaine
Création des utilisateurs
Pour créer les utilisateurs, nous allons sélectionner une OU > click droit nouveau >utilisateur ensuite renseigner les champs : prénom, nom, nom d’ouverture de session (initiale prénom.nom) ensuite cliquez sur suivant.
Dans la nouvelle fenêtre entrer le mot de passe de l’utilisateur et configurer ses droits. Faire de même pour les autres utilisateurs.
Mettre chaque utilisateur dans un groupe
Clic droit sur l’utilisateur > Ajouter à un groupe…, dans la fenêtre qui s’ouvre clic sur avancé >rechercher pour avoir la liste de tous les groupes.
Stratégie de compte du domaine « epbooktic.local »
Pour ouvrir la console de gestion des stratégies de mot de passe, aller dans démarrer > outil d’administration > gestion des stratégies de groupe.
Une nouvelle fenêtre s’ouvre, dérouler le menu jusqu’à stratégie de mot de passe
Configuration ordinateur > stratégies > paramètres Windows >paramètres de sécurités >stratégies de comptes >stratégie de mot de passe.
Activer et entrer les valeurs nécessaires.
GPO pour bloquer le panneau de configuration
Cette GPO se fait au niveau des unités d’organisation. Créer la GPO sur une unité d’organisation ensuite lier un objet de stratégie de groupe existant … au niveau des autres OU.
Aller dans comptabilité > créer un objet GPO dans ce domaine… pour créer un nouvel objet GPO
Par la suite entrer le nom de la GPO et clic sur ok.
une fois la GPO créée, clic droit sur la GPO > Modifier.
Dérouler le menu configuration utilisateur >stratégies >Modèles d’administration > panneau de configuration > Empêcher l’accès au panneau de configuration… et activer la GPO.
Pour appliquer la même GPO aux autres unités d’organisation , clic droit sur l’OU > lier un oblet de stratégie de groupe existant… Sélectionner la GPO à appliquer.
Interdiction aux paramètres réseaux
Création GPO fond d’ecran
Créer tout d’abord un dossier nommé « partage_im » à la racine du serveur, dossier dans lequel on ajoutera un fichier image qui représente le logo que l’on imposera à tous les utilisateurs.
Une fois le dossier crée, le partager et lui donner des droits.
Clic droit sur le dossier partage_im > propriétés > partage > partage avancé.
Mettre le signe » $ « devant le dossier partage afin de le cacher (cela permet aux utilisateurs de ne pas voir le dossier à la racine).
Clic droit sur autorisation pour configuré les droits au dossier. Ensuite noter le chemin pour la configuration de la GPO.
Après avoir créé le dossier, aller dans la console de gestion de stratégie de groupe> Default Domain Policy > Modifier, pour que la GPO s’applique à tous les utilisateurs du domaine
Ensuite dans configuration utilisateur > stratégies > modèles d’administration > bureau > bureau >papier peint du bureau.
Renseigner le chemin d’accès à l’image et cliquer sur activer, ensuite appliquer.
Création d’un répertoire partagé caché appelé « commun » à la racine du serveur et à l’intérieur un répertoire pour chaque service portant le nom du service et affecter les droits NTFS
Créer un répertoire appelé « commun »
Créer dans le repertoire commun, les repertoire suivants :
Affecter les droits comme suit :
Chaque OU possède un espace partagé dans lequel les utilisateurs lisent et déposent des fichiers
Les administrateurs réseaux ont accès, en contrôle total à tous les dossiers.
Tous les utilisateurs de chaque service peuvent accéder à leur dossier en « modification » et leur espace partagé en « écriture »
Les informaticiens accèdent en lecture à tous les dossiers partagés.
Scripts de démarrage ex : « RHstart.bat » permettant la connexion des lecteurs réseaux accédant aux dossiers.
Création des scripts
Script de connexion des utilisateurs d’AccèsVPN’.
Script de connexion des utilisateurs du comité d’entreprise.
Script de connexion des utilisateurs du service clientèle.
Script de connexion des utilisateurs du service informatique.
Script de connexion des utilisateurs du service des ressources humaines.
Script de connexion des utilisateurs du service économique.
Une fois les scripts rédigés, les enregistrer dans C:\windows\sysvol\nom_du_domaine\scripts.
Monter le script sur chaque profil utilisateur.
Création de 2 répertoires (profil et home) cachés à la racine du serveur, accessible par tous en modification.
Sur les propriétés de l’utilisateur, il va falloir configurer l’onglet profil pour que l’utilisateur accède à son profil à l’ouverture de session et qu’il connecte comme lecteur réseau « Z » son home.
Redirection des dossiers de base.
C’est une GPO qui va s’appliquer au niveau de chaque OU. Créer la GPO et la nommer.
Dérouler le menu configuration utilisateur > stratégies > paramètre Windows > redirection de documents > clic droit sur document >propriétés.
Par la suite lier cette GPO aux autres OU.
