Travaux pratiques - Adressage IP

Travaux pratiques sur l'adressage IP en sous-réseaux

avec routeur
Eric ROGER 2024 [Link]

Page 1/43
 Présentation du projet.

Ce projet s’inscrit dans le but d’intégrer une nouvelle

infrastructure réseau à base de windows 2016 serveur.

Page 2/43
Chapitre 1 : Présentation du projet
A. Problématique
La société activation est une nouvelle société spécialisée dans la recherche et la conception
de nanotechnologie liées à la recherche sur le cancer. Pour cela cette société a acquis un site
dans lequel elle a développée son activité. Ce centre demande une infrastructure réseau
informatique et téléphonique basée sur un environnement sécurisé et « facile »
d’administration. Votre choix en tant qu’administrateur s’est porté sur le système
d’exploitation Windows 2016 entreprise edition pour l’infrastructure serveur. La société a
acheté auprès d’un FAI une @IP fixe pour aller sur Internet.

B. Présentation du projet
Installation d’une machine virtuelle avec les caractéristiques (HDD : 60Go, Ram : 4Go, 1
processeur, 1 carte ethernet bridge)

B.1. Intitulé
La société [Link] est divisée en 8 services avec 4 sous départements chacun.

 Direction (Pierre PDG , Marc APDG et Paul SPDG)

 Production (Jean PROD et Marcel PRODUIT)
 Secrétariat (Will SERIAT et Sam SECRET, Monique LETTRE)
 Comptabilité (Josette VABIEN, Thomas SURE)

Lors de la création des comptes utilisateur nous utiliserons

 le prénom de la personne comme login = prénom

 Le mot de passe = azerty

Cette société est propriétaire du domaine [Link].

B.2. Le parc informatique est constitué

 d'un serveur WINDOWS 2016 SERVER
 de clients équipés de WINDOWS 7 ou Win 10
Le DNS FAI sont les DNS de la section

B.3. Présentation des droits sur les répertoires

Les employés qui travaillent au département Direction, doivent avoir accès

 à un lecteur réseau « direction ». Ce lecteur réseau pointe vers un dossier du serveur.
Seul Pierre PDG à le droit de modifier le contenu de ce répertoire. Marc APDG et
Paul SPDG, ont le droit de lire le contenu de ce lecteur réseau. Les autres employés
n’ont aucun droit.

Page 3/43
  à un lecteur réseau « compta». Pierre PDG, Marc APDG et Paul SPDG ont seulement
le droit de lire le contenu de ce répertoire qui se trouve sur le serveur. Par contre
Monique LETTRE peut y écrire en plus.

Les employés (Jean PROD, Marcel PRODUIT) qui travaillent au département

production, doivent avoir accès à un lecteur réseau « production ». Ce lecteur réseau pointe
vers un dossier du serveur. Ces employés ne peuvent modifier que les documents qu’ils ont
créés eux même (créateur propriétaire).

Les employés du service comptabilité doivent avoir un accès en lecture et écriture

sur le partage comptabilité et ils doivent avoir accès à un lecteur réseau « compta». Ce
lecteur réseau pointe vers un dossier du serveur. Seuls les membres de ce département
peuvent lire et modifier le contenu de ce dossier.

Les employés (Will SERIAT et Sam SECRET et Monique LETTRE) qui

travaillent au département Secrétariat, doivent avoir accès à un lecteur réseau
« Secretariat». Ce lecteur réseau pointe vers un dossier du serveur. Seuls les membres de ce
département peuvent lire et modifier le contenu de ce dossier.

Tous les employés peuvent lire et modifier le contenu du lecteur réseau

« Ressources ». Ce lecteur pointe vers un dossier du serveur.
L’administrateur a accès à un lecteur réseau qui pointe le lecteur de CDROM du serveur en
lecture.

Tous les employés créent des documents qu’ils doivent pouvoir consulter à partir
de n’importe quelles stations.

B.4. Administration centralisée

 Tous les employés utilisent la suite MSOffice.
 Seul les employés du département Production doivent pouvoir utiliser Ms Visio où
qu’ils se trouvent.
 Tous les employés utilisent Internet.
 Les serveurs Web Intranet et Internet seront disponibles

Page 4/43
C. Schéma du projet final
Le projet augmentera au fur et à mesure de l’avancé du projet

Page 5/43
Chapitre 2 : Partie Théorique
A. Présentation famille windows 2016 serveur
A.1. . Famille Microsoft Windows

Lister les systèmes d’exploitation professionnels de chez Microsoft.

Spécifier s’il s’agit de systèmes d’exploitation client ou serveur.
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………
Combien existe-t-il de système d’exploitation dans la famille
Windows 2016 ? Compléter le tableau suivant :

………. ………. ………. ……….

Mémoire maximale supportée

Nombre maximal de processeurs

Partage de connexion Internet

(oui /non)

Pare-feu de connexion Internet

(oui /non)

Clusters de serveurs
(oui /non)

En fonction de la version retenue et de la puissance du matériel utilisée, les serveurs de la

gamme Windows Server 2016 peuvent assurer de nombreux rôles au sein d’un réseau
d’entreprise.

Page 6/43
Expliquer pour chaque rôle son utilité.
rôle explication
Serveur DNS

Serveur DHCP

Routeur

Serveur accès
distant
et VPN

Serveur
impression

Serveur de fichiers

Station de travail

Serveur Web

Serveur Wins

Contrôleur de
domaine

Serveur
d’application

Page 7/43
La sécurité tient une place importante dans tout réseau informatique. Parmi les nombreux
atouts de windows 2016, c’est la reprise du système de fichier NTFS de l’OS NT4.

Expliquer l’utilité du système de fichier NTFS

Rappeler les systèmes d’exploitation qui prennent en charge ce type
de système de fichiers (préciser s’ils peuvent lire ou lire et écrire).
Rappeler quel type de système de fichiers peut gérer Windows 2016.

Page 8/43
 Installation de l’OS
Windows 2016 serveur

Page 9/43
B. Installation de Windows 2016 SERVER

Avant toute chose, l’administrateur système doit s’assurer que l’ordinateur qu’il va utiliser
pour faire son serveur est compatible avec le système d’exploitation.

Compléter le tableau suivant est conclure quant à la compatibilité de

votre matériel.
Processeur Mémoire Disque dur

Configuration requise pour

Windows 2016 Standard
Configuration de votre
ordinateur

Analyser et prenez des notes depuis cette aide avant de démarrer la

configuration : [Link]

Adapter la configuration de la machine virtuelle Proxmox suivant le

cahier des charges :

 Nom de la machine virtuelle win2016DC1-votrenom

 2 processeurs physique et 2 cœurs
 16Go de mémoire vive en ballon
 Disque dur de 30Go
 1 carte réseau Ethernet virtio sur votre VLAN
 Utilisation de l’image ISO win2016 sur un lecteur de CD
 Utilisation de l’image ISO des drivers virtio sur un autre lecteur CD
 Pas de démarrage au boot de la machine proxmox
 Validation de l’agent-qemu

Le qemu-gest-agent est un daemon d'aide, qui est installé chez l'invité (machine hôte). Il permet
d'échanger des informations entre l'hôte et l'invité, et d'exécuter le commandement de l'invité.

Dans Proxmox VE, le qemu-in-agent est utilisé principalement pour trois choses :

 Pour arrêter correctement l'invité, au lieu de compter sur les commandes ACPI
ou les politiques des fenêtres
 Pour geler le système de fichiers invités lors de la sauvegarde/instantané (dans
les fenêtres, utiliser le service de copie de volume VSS). Si l'agent invité est
activé et en cours d'exécution, il appelle le gel des clients et le gel des invités
pour améliorer la cohérence.

Page 10/43
  Dans la phase où l'invité (VM) est repris après pause (par exemple après
snapshot), il synchronise immédiatement son temps avec l'hyperviseur à l'aide de
qemu-guest-agent (dans la première étape).

C. Installation
C.1. Hôte
Vous devez installer l'agent invité dans chaque VM et ensuite l'activer, vous pouvez le faire dans
l'interface Web Proxmox VE (GUI)

Page 11/43
Installer Windows 2016 SERVER standard.
Vous utiliserez les paramètres d’après le cahier des
charges suivant :

Cahier des charges :

 Supprimer toutes les partitions de votre système.
 Effectuer une partition de 15Go et laisser le reste vide.
 Utiliser le système de fichier NTFS (formatage complet)
 Nom de l’ordinateur : SRV-DC1X-srv2016 (x : représente N° de table)
 Mot de passe administrateur : toutbeau*1234* (on considère ce mot de passe
correct)
 Paramètre de gestion réseau : Paramètre par défaut
 Votre ordinateur sera, dans un premier temps, membre du groupe de travail du nom
de serviceX.
 Nous n’enregistrerons pas le logiciel sur Internet.
 Nous créerons un utilisateur que l’on nommera admin avec les droits
administrateur
 Installer tous les drivers utiles si ceux – ci ne le sont pas. (driver Vmwaretools ou
virtio)

Acquis En cours d’acquisition  A acquérir 

Le protocole de la couche réseau que nous utiliserons est IP. Faites

l’adressage du serveur et des deux clients en statique. Montrer que
les trois ordinateurs peuvent communiquer. (Annexe N°2)
Quels sont les avantages d’un domaine par rapport à un groupe de
travail ? (Annexe N°3)
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
…

Configurer la carte réseau de votre serveur en statique. Rappeler la

raison pour laquelle il faut donner une adresse statique pour les
serveurs et non pas par DHCP.

Page 12/43
Acquis En cours d’acquisition  A acquérir 

Page 13/43
Page 14/43
Installation et Administration
Active Directory (AD)

Page 15/43
Administration du serveur win2000

D. Installation du service Active Directory

D.1. Présentation de Active Directory

a. Infrastructure de Active Directory

Deux notions du modèle de domaine ont été reprises : Active Directory utilise lui aussi des
domaines et des contrôleurs de domaines. Le domaine est toujours une entité structurelle
fondamentale du service d'annuaire. Les contrôleurs de domaines ont également été reprise
et gèrent les informations de l'annuaire à l'intérieur d'un domaine.

b. Domaines
Dans AD, il est possible d'organiser les domaines au sein d'une structure hiérarchique .
Les domaines constituent toujours l'élément central et servent de conteneurs au sein de la
structure globale d'Active Directory.
Les conteneurs sont des objets qui permettent de stocker d'autres objets, ils sont l'ossature
du système. Dans AD, le conteneur le plus important est le domaine.
Un domaine peut contenir des machines , des utilisateurs et d'autres informations. Il s'agit
de la structure logique modélisant l'entreprise. Ils servent à regrouper des systèmes
similaires. Lors de la mise en place d'AD, ils doivent avoir été considérés du point de vue
logique, puisqu'ils doivent regrouper des objets formant un ensemble.

c. Contrôleurs de domaine
Windows 2000 utilise également les contrôleurs de domaine. A l'inverses de l'ancienne
structure de Windows NT 3.x/4, tous les contrôleurs ont la même importance (plus de
distinction PDC/BDC). Il est dorénavant possible d'appliquer des modifications à n'importe
quel contrôleur de domaine, Windows 2000 répercute ensuite automatiquement ces
modifications sur les autres contrôleurs du réseau.

d. Arborescence de domaines
C'est une des nouveautés du système. Il s'agit d'une structure à l'intérieur de laquelle sont
organisés les domaines.
Dans une arborescence, les domaines peuvent être organisés entre eux selon différents
niveaux de hiérarchie.
Contrairement aux versions précédentes de Windows NT, la nouvelle version prend
également en charge les relations d'approbation transitives.
Si le domaine C est un enfant du domaine B et si le domaine B est à son tour un enfant du
domaine A, les utilisateurs du domaine A pourront accéder, en fonction de leurs
autorisations d'accès, aux ressources du domaine C et réciproquement.

Page 16/43
 A présent il est donc possible de créer des structures plus [Link] gestion des
relations d'approbation par le système est désormais transparente.
Une arborescence de domaine doit disposer d'un espace de noms homogène (ou contigu).
A cet effet, on utilise des noms DNS.
Si une arborescence s'appelle [Link], elle peut comporter des entités qui s'appelleront par
exemple [Link] ou [Link] .
En revanche, il est impossible d'intégrer dans cette arborescence un domaine situé dans
[Link].
Pour pouvoir administrer conjointement des domaines portant des noms différents, il existe
une autres structure : la forêt.
Une arborescence de domaine est un ensemble de domaines qui s'approuvent mutuellement
et appartiennent à un seul espace de noms contigue.

e. Unités Organisationnelles
A l'intérieur des domaines, il existe maintenant des possibilités de structuration.
Les unités organisationnelles servent à hiérarchiser les domaines qui sont très vastes.
Les structures hiérarchiques à plusieurs niveaux d'une entreprise peuvent être représentés
par une imbrication d'unités organisationnelles.
Les OU (Organisational Units) sont le meilleur moyen de créer des structures hiérarchiques
dans Active Directory. Outre le structuration d'informations, qui offre une clarté accrue
dans les annuaires complexes notamment, les OU présentent un avantage important : elles
tiennent lieu de frontière pour la délégations d'autorisations administratives.
Les autorisations peuvent à présent être déléguées de façon ciblée jusqu'au niveau de
chaque unité organisationnelle.
La délégation peut être ciblée à un degré tel qu'il est par exemple possible de ne déléguer à
une personne donnée que le droit de réinitialiser les mots de passe au sein d'une OU.
Une Unité organisationnelle est un objet conteneur qui permet de hiérarchiser Active
Directory

f. Objets feuille
Les domaines et les unités organisationnelles constituent 2 types de conteneurs dans Active
Directory. Ces conteneurs permettent dès lors de construire la structure hiérarchique du
répertoire. Chaque conteneur peut ensuite contenir des objets enfants. L'objet feuille n'est
en lui même pas un contenant.
Les principaux objets feuilles sont :
L'objet utilisateur : il définit un utilisateur précis dans un domaine
L'objet File d'impression : Cet objet sert à localiser une imprimante
L'objet Ordinateur : Cet objet identifie des systèmes qui appartiennent à un domaine.

g. Forêts
Une forêt est une arborescence de domaines ayant des espaces de noms contigus séparés.
Une forêt est donc le regroupement de plusieurs arborescences parallèles de domaines ou
de plusieurs domaines isolés.
A l'intérieur d'une forêt, des relations d'approbation transitives sont appliquées entre les
domaines.

Page 17/43
 Les forêts présentent cependant 1 inconvénient : dans Active Directory tous les domaines
d'une forêt doivent avoir le même schéma, Windows 2000 ne permet pas de fusionner
plusieurs forêts ou schémas.
Une forêt est constituée d'une ou plusieurs arborescences de domaines ne formant pas
d'espace de noms contigu mais partageant un schéma, une configuration et un catalogue
global commun.

D.2. Installation de Active Directory

Configurer Windows 2016 server en tant que contrôleur de domaine. Le domaine est
[Link] (service voir annexe N°2)
 Il faut préalable réaliser une configuration réseau correcte et connecter la machine sur le
réseau sinon il y aura une erreur à l’installation

Lorsque l’on installe un contrôleur de domaine, quels services sont

installés et à quoi servent t-ils ?

Installer Active Directory (AD) à l’aide des paramètres suivant :

 Domaine dans une nouvelle forêt
 Nom DNS : [Link]
 Nom NETBIOS : service
 Installer le service DNS tout de suite avec autorisation compatible seulement
Win2000 et 2016
 Mot de passe de restauration : toutbeau*1234*

Quel est l’utilité des noms NETBIOS.

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Que constatez vous sur le service DHCP que vous venez de

configurer ?
Page 18/43
 ………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
Joindre vos machines clientes au domaine. (document ressource)
Vérifier que l’on voit nos postes dans Active Directory (menu
computer, ordinateur).

E. Création des groupes et des utilisateurs

Définissez le terme GROUPE et préciser l’avantage de créer des
groupes pour l’administrateur réseau
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
Compléter le tableau suivant en faisant apparaître l'appartenance
des utilisateurs à des groupes:

Utilisateur Gdirec Gprod Gsec Gcompta

Dans l’AD créer les groupes d’utilisateurs pour les 4 services.

Changer la stratégie de mot de passe de Windows2016 avant la
création des comptes utilisateurs. (document ressources mot de
passe)
Dans l’active Directory gestion des utilisateurs, créer les utilisateurs
voulus. (ceux-ci doivent changer leur mot de passe à la première
connexion et le mot de passe de départ est toutbeau)
Dans l’Active Directory, Affecter les utilisateurs à leur groupe.

Page 19/43
 Acquis En cours d’acquisition  A acquérir 

F. Autorisation NTFS

Création d’une partition étendue avec deux lecteurs logiques (H:/ et G:/ respectivement de
3Go et 2Go).leurs noms respectifs sont :
H:\ = donnee-utilisateur
G:\ = partage-fat

G. dossiers et partage

a) Sur le serveur, créer les dossiers (Utiliser la console Gestion de l’ordinateur)

 H:\partage
 H :\partage\direction
 H:\partage\secretariat
 H:\partage\production
 H:\partage\cdrom
 H:\partage\Ressources
 H:\partage\compta

Acquis En cours d’acquisition  A acquérir 

A partir de ST1 ou ST2, loguez vous en tant qu’administrateur sur le
domaine [Link]. Peut-on accéder aux dossiers que vous
venez de créer ? Justifier
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Page 20/43
Quel dossier faut-il partager pour avoir accès à tous les dossiers ?

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
Permission des utilisateurs sur les répertoires d’après le cahier des
charges.
Compléter le tableau suivant en faisant apparaître les autorisations
sur les dossiers. R pour lecture W écriture CT contrôle total

Dossiers
Utilis Direct Producti Secrét Cdr Ressources
ateurs ion on ariat om

Acquis En cours d’acquisition  A acquérir 

 Faites en sorte que les permissions sur les dossiers correspondent au cahier des charges
voulus.
Donner les droits sur les répertoires par rapport au travail
Demander au professeur de vous faire voir pour la configuration des
droits créateurs propriétaires
Vérifier votre configuration sur chaque répertoire d’après le cahier
des charges voulu.
Acquis En cours d’acquisition  A acquérir 

Installation et configuration
du service DHCP

Page 21/43
 Mise en place du service DHCP

Vérifier que le service est installé sinon installé le.

 Prenez configuration personnalisée si le service n’est pas installé.

Avec l’adresse IP que vous avez, combien de postes pouvez-vous

adresser ? Justifier
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
Fixer le bail pour une durée de 3 heures. Nous utiliserons les
adresses DNS suivante :
 Notre propre serveur en serveur principal
 DNS FAI en secondaire.
Vérifier que vos postes obtiennent leur adresse IP ainsi que la
configuration réseau voulue.
Acquis En cours d’acquisition  A acquérir 

Recopier sur le document réponse suivant la configuration qu’à

obtenue vos postes clients:
ST1

ST2

Acquis En cours d’acquisition  A acquérir 

Page 22/43
 On souhaite sortir sur Internet, votre configuration est elle
suffisante ? Justifier
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Chapitre 3 : Profil itinérant

A. Notion de profils itinérants

Le problème est que lorsqu’un utilisateur n'utilise pas toujours le même ordinateur, il perd
 ses données stockées dans "Mes documents".
 son environnement de travail.

Pour résoudre ce problème il faut mettre en place les profils itinérants.

B. Configuration des profils itinérants

Créer le répertoire h:\partage\profils
Acquis En cours d’acquisition  A acquérir 
Pour les membres du secrétariat. Dans les propriétés des
utilisateurs. Onglet "profil". Champ: "Chemin du profil". Saisir le
chemin réseau suivant:
\\SRVx-srv2016\partage\profils\%username%

Analyser cette ligne en précisant chaque terme

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Page 23/43
 ………………………………………………………………………………………………..
………………………………………………………………………………………………..
Acquis En cours d’acquisition  A acquérir 

Vérifier que le profil des membres du secrétariat est itinérant. En

changeant de machine et en vous connectant en tant qu’un
utilisateur de la société.

Dans quels dossiers sont stockés les profils des utilisateurs?

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Donner les autorisations du dossier où est stocké le profil de Sam

SECRET. Préciser les autorisations données

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Acquis En cours d’acquisition  A acquérir 

Les autres utilisateurs ont ils accès sur les dossiers de sam secret vérifier et justifier la
raison.

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

C. Répertoire de base

Le répertoire de base d’un utilisateur est le dossier d’accueil de ses fichiers (ses
documents). Ce répertoire de base peut être un chemin local ou un chemin réseau.
Néanmoins l’intérêt d’un chemin de base est que l’utilisateur peut changer de machines et il
retrouvera ses documents d’une façon transparente en s’appuyant sur son nom d’ouverture
de session.

Page 24/43
Créer un dossier partagé que l’on nomme Home sur la partition D:\ et
donner les droits dessus pour les utilisateurs authentifiés.
Configurer le compte des utilisateurs pour que le répertoire de base
pointe ce répertoire.

Page 25/43
Stratégie de groupe

Page 26/43
Chapitre 4 : Stratégie de groupe (GPO)

Utiliser l’Annexe N°9

A. Création des UNITES D’ORGANISATION (OU)

Que signifie l’abréviation OU dans windows 2000 et quel est leur
utilité
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Créer les "OU" suivantes:

 Direction
 Production
 Secrétariat
 Comptabilité

Placer les employés et les groupes d'employés dans leur unité

organisationnelle respectives.
Quel est l'avantage d'utiliser les OU? Expliquer l’utilité des OU
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Page 27/43
 ………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

B. Configuration des stratégies de groupes (GPO)

Effectuer la configuration des stratégies de groupe en fonction du

tableau suivant.

GPO Paramètres à configurer

Supprimer l'icône Favoris réseau du bureau.

[Link] Le fond d’écran sera personnalisé par la page de l’entreprise

avec l’image suivante :
[Link]

La direction navigue sans restriction sur le proxy n’a pas

besoin d’activation de proxy

La page de démarrage de Internet Explorer par défaut est

Direction [Link]

Rediriger le dossier Mes documents sur le partage utilisateur

Supprimer la commande Exécuter du menu Démarrer

Empêche l'utilisateur d'utiliser Ajout/Suppression de

programmes.

Production La page de démarrage de Internet Explorer par défaut est

[Link]

Désactiver l’ajout de suppression et d’ajout d’imprimante

Secrétariat Supprime la commande Exécuter du menu Démarrer

Empêcher les utilisateurs d'utiliser Poste de travail pour

accéder au contenu de tous les lecteurs.

Masquer la commande Propriétés du menu contextuel du

Page 28/43
 Le fichier de script peutPoste
êtredeun
travail.
batch (*.bat).

Empêche les utilisateurs d'ajouter ou de modifier l'image

d'arrière-plan du Bureau.

Empêche l'utilisateur d'arrêter ou de redémarrer Windows.

Programmer la mise en place du proxy automatiquement

[Link] :3128

La page de démarrage de Internet Explorer par défaut est

[Link]

Rediriger le dossier Mes documents sur le partage utilisateur

 Pour comptabilité on prendra les même OU que secrétariat.

Cette configuration d’administration n’est pas exhaustive ; vous aurez l’occasion de

réaliser d’autres exemples dans votre entreprise future.

Acquis En cours d’acquisition  A acquérir 

C. Script d'ouverture de session

Nous souhaitons que les utilisateurs puissent avoir accès le plus facilement sans le moins
possible de manipulation à réaliser pour retrouver les dossiers partagés auquel ils ont droit.
Pour cela nous allons créer des lecteurs réseau mappés à l’aide de scripts (ligne de
commande en Windows).

Ce sont des scripts qui sont lancés lorsqu'un utilisateur ouvre une session. Ils permettent de
modifier l'environnement de travail de l'utilisateur en démarrant des applications ou en
établissant des connexions réseaux.
Nous utiliserons les GPO pour que le script soit lancé à l'ouverture de session.

De plus vous pouvez utiliser le logiciel Powerbatch dans ressources si vous le souhaitez
pour créer vos scripts.

Page 29/43
Le script devra synchroniser l'horloge des Ordinateurs client avec le
contrôleur de domaine (Commande net time).
Le script devra permettre la création des lecteurs réseaux
(Commande net use).
Dossier Lecteurs
réseau
Direction L:
Producti P:
on
Compta I:
Secretar S:
iat
Resourc R:
es

Compléter le tableau suivant

Synchronisatio
Lecteurs n de l'horloge
GPO Nom du script
réseaux
(Oui / Non)

[Link] [Link]

Direction [Link]

Production [Link]

Secrétariat [Link]

Créer les scripts d'ouverture de session et déclarer les dans la GPO

de chaque OU.
Acquis En cours d’acquisition  A acquérir 

Page 30/43
Redondance de contrôleur de domaine

Page 31/43
Contrôleurs de domaine à tolérance de pannes

Pour cette partie vous vous mettrez en binôme avec vos six machines afin de réaliser un
plus grand réseau. Vous gardez un des serveurs déjà configurer précédemment puis vous
arrêtez le second SRv2 pour qu’il devienne lui aussi contrôleur de domaine de
[Link]

Ce serveur sera effectué sous Vmware

b) Installer Windows 2016 SERVER standard.

Vous utiliserez les paramètres d’après le cahier des
charges suivant :

Cahier des charges :

 Supprimer toutes les partitions de votre système.
 Effectuer une partition de 15Go et laisser le reste vide.
 Utiliser le système de fichier NTFS (formatage complet)
 Nom : siège
 Nom de l’ordinateur : SRV-DC2x-srv2016 (x : représente N° de table)
 Mot de passe administrateur : toutbeau*1234* (on considère ce mot de passe
correct)
 Paramètre de gestion réseau : Paramètre par défaut
 Votre ordinateur sera, dans un premier temps, membre du groupe de travail du nom
de votre service.
 Nous n’enregistrerons pas le logiciel sur Internet.
 Nous créerons un utilisateur que l’on nommera admin

Page 32/43
  Installer tous les drivers utiles si ceux – ci ne le sont pas. (driver Vmwaretools ou
virtio)

Acquis En cours d’acquisition  A acquérir 

D. Ajout d'un nouveau contrôleur de domaine pour le

domaine [Link]
Acquis En cours d’acquisition  A acquérir 
Que signifie le terme tolérance de panne
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Configurer "Srv2" pour qu'il puisse être, lui aussi, contrôleur de

domaine pour le domaine [Link]"

Observer l'Active Directory présent sur Srv2. Que se passe-t-il sur

Srv1 lorsqu'on ajoute un utilisateur sur Srv2 ?

Observer les enregistrements du serveur DNS présent sur Srv2. Que

se passe-t-il sur Srv1 lorsqu'on ajoute un hôte sur Srv2 ?
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
Acquis En cours d’acquisition  A acquérir 

Sur les stations de travail, configurer la carte réseaux pour que la connexion au domaine se
fasse sur Srv2.

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Page 33/43
Proposer une configuration de la station de travail permettant de se connecter au domaine
[Link] même si Srv1 tombe en panne.
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
Acquis En cours d’acquisition  A acquérir 

Si Srv1 tombe en panne, les utilisateurs pourront t'il accéder à leurs données? Faite le test
en débranchant la prise réseau de srv1

………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Srv1 tombe en panne, ajouter deux nouveaux utilisateurs en stagiaire bill stag1 et john
stag2 ? que se passe-t-il sur srv1 lorsqu’on le reconnecte.
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..
………………………………………………………………………………………………..

Page 34/43
ANNEXES

Page 35/43
Page 36/43
Annexe N°3

A. Présentation
Ce chapitre est destiné aux lecteurs qui découvrent cette nouvelle notion de domaine apparue avec Windows 2000.
Le système d'annuaire de Windows 2016 n'a pas subi de modification majeure et ne sera pas détaillé dans cet
ouvrage. II s'agit donc d'une introduction aux services d'annuaire Active Directory nécessaires à une première mise
en œuvre de Windows Server 2016 dans ce type d'architecture.

1. Précisions sur les domaines NetBIOS

En premier lieu, il convient de rappeler que la notion de domaine apparue avec Windows NT utilisait les
mécanismes de résolution de nom NetBIOS, au même titre que les groupes de travail Microsoft. Dans ce type de
réseau, les machines comme le nom du domaine, sont identifiés par un nom de 15 caractères au maximum, sans
espace. Le 16 e caractère du nom NetBIOS est utilisé pour identifier le type de service qui est offert par la machine.
Ainsi, le mécanisme de résolution NetBIOS permet d'identifier un contrôleur de domaine par le biais d'une diffusion
générale (broadcast), d'un service WINS, ou encore du fichier LM HOSTS.
Ce type de domaine contient uniquement des objets de type utilisateur, groupe ou ordinateur et ne comprend qu'un
seul niveau. Le domaine est maintenu par la présence d'un contrôleur de domaine principal (Primary Domain
Controler) et d'éventuels contrôleurs de domaine de secours ou secondaires (Backup Domain Controler(s)). La
base de données pour ces domaines est de type SAM (Security Account Manager) et elle est "limitée" à 40 000
objets. Le mécanisme d'authentification utilise le protocole NTLM.

ENI (Domaine NetBIOS)

La notion de relation d'approbation est une possibilité de communication inter domaine unidirectionnelle et qui
s'appuie sur un compte déclaré au niveau du domaine d'origine (approuvé) et sur le domaine de destination
(approuvant). Les utilisateurs d'un domaine A peuvent accéder ainsi aux ressources situées dans un domaine B.
Pour que les utilisateurs du domaine B puissent accéder aux ressources du domaine A, une autre relation
d'approbation (dans l'autre sens) doit être déclarée. On pourrait évoquer la bidirectionnalité, qui en fait, met en
œuvre deux relations d'approbation.

Attention, la mise en œuvre d'une relation d'approbation, par un utilisateur de domaine qui accède à une
ressource d'un autre domaine, influence son jeton d'accès.

2. Définitions et concepts de base sur Active Directory

Active Directory n'est plus dépendant du protocole NetBIOS et utilise le standard TCP/IP (DNS, LDAP, SNTP,
Kerberos, etc.). Sa structure est définie au sein d'un schéma composé d'objets et d'attributs évolutifs. La base
d'annuaire Active Directory peut contenir plusieurs millions d'objets.
Les domaines sont couverts par des contrôleurs de domaine Multimaître. Ainsi, chaque contrôleur assure un ou
plusieurs rôles uniques dans l'architecture, ou encore une simple fonction de réplication pour la tolérance de panne
(ie Contrôleurs Supplémentaires). Parmi les rôles uniques de maîtres d'opération on distinguera :
Le maître émulateur CPD
Chargé des réplications avec les contrôleurs de domaine NT4 secondaires. Assure également les fonctions de
synchronisation horaire, de mot de passe et des stratégies de groupes du [Link] maître RID (Relative
Identifier)

Page 37/43
 Intervient dans la création de nouvelles instances d'objets et lors de leur déplacement au sein du domaine.
Le maître d'infrastructure
Chargé de la cohérence et de l'intégrité du domaine.
Le maître d'attribution des noms de domaine
Intervient dans la création ou la suppression d'un domaine dans une forêt.
Le maître de schéma
Chargé des mises à jour du schéma de description propre à l'ensemble de la forêt.

a. La forêt

La forêt représente un ensemble de domaines liés entre eux par des relations d'approbations bidirectionnel-les et
transitives. Elle est caractérisée par la présence d'un domaine dit Racine équivalent au premier domaine installé
dans la forêt. Il s'agit d'un point de référence pour tous les autres domaines de la forêt.
La figure ci-après montre un exemple d'architecture Active directory :

Les arborescences
Les arborescences de domaine dépendent de leur nom. Lorsqu'un domaine ne partage pas le même espace de
nom qu'un domaine parent, il est considéré comme une nouvelle arborescence ; sinon, il s'agit d'un domaine enfant.
Dans l'exemple de la figure précédente, le premier domaine installé, [Link], est le domaine racine de la forêt. Les
domaines [Link] et [Link] partagent un même espace de nom [Link] et sont donc qualifiés de
domaines enfants du domaine [Link] (parent et racine). Ces trois domaines constituent une arborescence. En
revanche, le domaine [Link] ne partage pas le même espace de nom ([Link]), il s'agit donc d'une
nouvelle arborescence dans la même forêt. Quelle que soit leur position, les quatre domaines peuvent communiquer
naturellement grâce aux relations d'approbations implicites d'une forêt.

b. Les domaines
Le domaine est une entité de sécurité proche du concept de domaine NT4, mais il supporte une structure
hiérarchisée et peut contenir toutes sortes d'objets.
Dans un domaine composé de contrôleurs utilisant des systèmes d'exploitation différents, le domaine doit se
comporter selon un mode fonctionnel garant de la compatibilité des échanges et des fonctionnalités.
La vérification ou le changement du mode fonctionnel de domaine est traité plus loin dans ce chapitre.

Attention, les modes fonctionnels sont définis au niveau de chaque domaine ou au niveau de la forêt. Seuls les
domaines d'un même mode peuvent bénéficier des fonctionnalités de ce mode (ie Groupes universels, Imbrication
de groupe global, etc.).

De plus, ces modes n'excluent aucunement le support des clients, quel que soit le système d'exploitation de
ces derniers (Windows NT4, Windows 9x, Windows 2000). Il s'agit d'une contrainte propre aux contrôleurs de
domaine uniquement.

Page 38/43
 Les noms de domaine utilisés dans Active Directory s'appuient sur une architecture DNS (Domain Name
Service) dont le concept et la mise en oeuvre ne sont pas traités dans cet ouvrage. Toutefois, nous précise rons
quelques détails fondamentaux :
— Pour les clients Windows 2000 ou supérieurs, la résolution des noms de domaine est assurée par les services
DNS. Il est donc impératif de renseigner un serveur DNS (connaissant le domaine Active Directory) dans la
configuration du protocole TCP/IP du poste.

Si aucun serveur DNS n'est renseigné ou inadapté, (comme par exemple le DNS d'un fournisseur d'accès
Internet), le poste Windows 2000 ou XP peut localiser les services de domaine par les mécanis mes de
résolution NetBIOS mais pâtira d'une lenteur et d'un comportement anormal.
— Les services DNS nécessaires à Active directory doivent supporter les enregistrements SRV afin de localiser les
ressources (dans les domaines NetBIOS, c'est le 16 e caractère qui était utilisé). Bien que cela soit facultatif, il
est fortement conseillé d'autoriser les mises à jour dynamiques au niveau de la zone DNS du domaine. Ainsi,
lors du démarrage du service NETLOGON, les contrôleurs de domaine peuvent vérifier et créer, le cas échéant,
les enregistrements SRV idoines.

Le principe des enregistrements SRV est décrit dans le document RFC 2782. Pour consulter ces enregistrements
sur un serveur DNS Windows 2016, utilisez la console DNS, sélectionnez la zone correspondant au domaine
puis développez l'arborescence de ces enregistrements : _MSDCS, _SITES, _TCP, UDP.
— Durant la phase d'installation d'Active directory, le processus tente de localiser un serveur DNS afin d'héberger
la zone correspondant au domaine (vérifiez la configuration DNS dans les propriétés TCP/IP du contrôleur de
domaine que vous installez). Si aucun serveur DNS valide n'est détecté, le processus d'installation d'Active
Directory vous propose d'installer les services DNS sur le contrôleur de domaine, afin qu'il héberge sa propre
zone.
Afin d'assurer la compatibilité avec les clients (membres d'un domaine) antérieurs à Windows 2000, Active
Directory supporte également un nom NetBIOS de domaine.

Dans l'exemple précéde nt, nous obtenons par défaut, les valeurs suivantes :
Domaine DNS Domaine NetBIOS

[Link] ENI
[Link] CONSULTING
[Link] SERVICE
[Link] EDITIONS

d. Les Unités Organisationnelles

Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine dans le but de l'organiser
pour :
— organiser les différents objets ;
— déléguer le contrôle d'une partie du domaine ;
— appliquer des stratégies communes (Stratégies de groupe).
Ne confondez pas les conteneurs de type système avec les Unités Organisationnelles proches par leur
représentation. Les caractéristiques et le comportement des conteneurs système sont particuliers, ils ne peuvent
pas être manipulés avec les interfaces standards.
_
_Unité Organisationnelle

_Icône d'un conteneur système

Page 39/43
Contrairement aux conteneurs système, les Unités Organisationnelles sont à disposition des administrateurs et
peuvent être imbriquées entre elles. Cela signifie qu'il est possible de créer des Unités Organisationnelles à tous les
niveaux d'un domaine (sauf dans un conteneur système).
Les stratégies de groupe et la délégation de contrôle ne sont pas disponibles au niveau des conteneurs système.

[Link] (Domaine Active Directory)

Utilisez la console d'administration Utilisateurs et ordinateurs d'Active Directory pour créer vos unités
d'organisation, puis créez ou déplacez les objets au sein de cette structure.
Utilisez également cette console pour définir et lier les stratégies de groupe au niveau du domaine ou des unités
organisationnelles (onglet Stratégie de groupe dans les propriétés du domaine ou d'une unité organisationnelle).

Important, la notion de déplacement d'objet évoquée ci-après ne concerne que des mouvements au sein d'un
même domaine. Lors d'un mouvement d'objet vers un autre domaine que celui d'origine, il s'agit d'une opération
non standard, appelée restructuration et utilisant des outils d'administration spécifiques (ie MOVETREE,
ADMT...).

Conseils et objectifs
– Étudiez votre organisation d'entreprise afin de définir les configurations et les besoins communs (utilisateurs,
postes, serveurs, applications).
– Évitez une structure hiérarchique comprenant plus de trois niveaux.
– Créez des stratégies de groupe simples et cohérentes dans un premier temps (même type de paramètres,
uniquement utilisateur ou ordinateur).
– Liez les stratégies de groupe uniquement aux niveaux souhaités et testez les effets avant de généraliser.
– Déléguez le contrôle au niveau d'une Unité Organisationnelle.

Dans tous les cas, documentez vos actions, afin qu'une autre personne puisse comprendre facilement le
fonctionnement de l'architecture.

e. Les sites
Les concepts évoqués précédemment décrivent la structure logique d'Active Directory. Hébergé par un ensemble
de contrôleurs de domaine, chacun d'entre eux échange et réplique les modifications dans leur base de données
respective (%windir%\NTDS\[Link]).

Page 40/43
Afin de contrôler ce trafic, en particulier lorsque le réseau met en oeuvre des liaisons lentes, Active Directory
utilise une structure physique. Cette fonctionnalité permet de maîtriser les échanges entre les contrôleurs de
domaine, selon leur implantation physique, et introduit la notion de site. On peut donc distinguer la réplication
intrasite (toujours présente) pour qualifier les échanges entre les contrôleurs de domaine d'un même site. La
réplication intersite (si plusieurs sites) est contrôlée par les liens de sites. Les liaisons de sites servent à définir
le coût du lien (valeur arbitraire), une fréquence de réplication et éventuellement des créneaux horaires ; ceci pour
chacune des connexions possibles avec un site.
Les sites s'appuient sur le plan d'adressage TCP/IP et sont composés d'un ou plusieurs sous-réseaux IP. Un site
contient toujours un contrôleur de domaine au minimum, quel que soit le nombre de sous-réseaux qui composent
le site.
[site] = [sous–réseau 1] + [sous–réseau 2] + [sous–réseau n]
L'appartenance d'une machine à un site est déterminée par son adresse IP. En revanche, les contrôleurs de
domaine doivent être positionnés (déplacés manuellement) en fonction des modifications d'adressage TCP/IP.
Une architecture Active Directory contient toujours au moins un site (Premier _ site_ par_ défaut) indépendamment
du nombre de domaines. Ainsi on peut combiner librement :
– plusieurs domaines sur un ou plusieurs site(s) ;
– un seul domaine sur un ou plusieurs site(s).
La figure ci-après montre un exemple d'architecture composée de trois sites utilisant deux liaisons étendues (la
notion de domaine n'est pas représentée dans ce schéma).

Dans cet exemple, le site de Nantes est composé de deux sous-réseaux ([Link] / 24 et [Link] / 24), alors que
les sites de Bordeaux et de Paris sont composés respectivement d'un seul sous-réseau. Cet exemple sous-entend
que les liaisons Nantes-Paris et Nantes-Bordeaux sont trop lentes pour être considérées dans un même site et que
les deux réseaux de Nantes utilisent une liaison rapide.
Pour mettre en œuvre une telle architecture, utilisez la console Sites et services d'Active Directory, créez les
trois sites de Nantes, Paris et Bordeaux en leur associant le lien Default-IPSiteLink, créez les quatre sous-
réseaux [Link], [Link], [Link], [Link] avec le masque [Link] et affectez-les à leur site
respectifs, définissez éventuellement de nouvelles liaisons avec des caractéristiques différentes puis affectez-les
aux sites de votre choix. N'oubliez pas de "déplacer logiquement", toujours à partir de cette console, les
contrôleurs de domaine en fonction de leur adresse IP, dans leurs sites respectifs.
Utilisez également cette console pour définir et lier les stratégies de groupe au niveau d'un site (onglet Stratégie
de groupe dans les propriétés du site).

3. Comportement selon le type de domaine

Plusieurs cas de figure peuvent se présenter :
– Un serveur Windows Server 2016 peut être membre d'un domaine NT4 (de type NetBIOS) et utilisera donc les
mécanismes de résolution de nom NetBIOS pour trouver les contrôleurs de domaine.
– Un serveur Windows Server 2016 peut être membre d'un domaine Active Directory et utilisera les mécanismes
de résolution de nom DNS (enregistrements SRV) pour trouver les contrôleurs de domaine.

Page 41/43
— Un serveur Windows Server 2016 peut être contrôleur de domaine lui-même. Il supporte alors les clients NetBIOS
et les clients DNS. Cela signifie qu'il existe deux noms pour un même domaine. Les postes antérieurs à Windows
2000 joignent le domaine au nom NetBIOS (nom court comme par exemple "ENI") alors que les postes Windows
2000 ou supérieur, doivent utiliser le nom DNS du domaine (nom long, comme par exemple "[Link]").

B. Installation
L'installation d'Active Directory s'effectue à partir d'un serveur Windows 2016 membre ou autonome. Une fois la base
d'annuaire installée, votre serveur deviendra un contrôleur de domaine.
Active Directory sera un fichier de base de données appelé [Link] situé sous l'emplacement par défaut
%systemroot%\ntds. II est possible de modifier ce chemin lors de l'installation d'Active Directory.
L'installation d'Active Directory nécessite une partition NTFS pour stocker le répertoire système partagé (SYSVOL)
car le suivi des modifications dupliquées de la base d'annuaire s'effectue par des numéros de version séquentiels
pris en charge par le système NTFS.
Pour installer Active Directory, vous devez exécuter la commande [Link]. La base de comptes (base SAM)
de votre serveur sera copiée dans la base d'annuaire avant d'être détruite de votre serveur. Vous ne perdrez donc
pas les informations de comptes lors de la migration de vos contrôleurs de domaine NT vers Windows 2016. Si vous
exécutez la commande dcpromo sur un contrôleur de domaine Windows 2016, vous rétrogradez alors votre
contrôleur au titre de serveur membre ou autonome. Vous obtiendrez une base SAM vierge.
Pour installer Active Directory, vous devez posséder un ordinateur fonctionnant sur l'une des trois versions de
Windows Server 2016 (Edition standard, entreprise ou datacenter, la version Web Server ne supportant pas cette
fonction), une partition formatée en NTFS, le protocole TCP/IP ainsi qu'un service DNS installé et configuré.
Si le service DNS n'est pas installé lors de l'exécution de dcpromo, le processus d'installation d'Active Directory vous
propose de l'installer et de le configurer.

Le service DNS doit supporter les enregistrements de type ressources (SRV) ainsi que les enregistre ments
dynamiques. De plus, si vous avez déjà un service DNS existant (que vous souhaitez utiliser pour les besoins
d'Active Directory), vérifiez au niveau des propriétés TCP/IP de l'ordinateur que l'onglet DNS référence le
serveur(s) approprié(s).
Avant de vous lancer dans l'installation d'Active Directory, vous devez connaître exactement le rôle de ce serveur
dans la structure logique Active Directory. En effet, lors de l'installation de la base d'annuaire Windows 2016, on vous
demandera si votre serveur doit intégrer un domaine existant ou créer un nouveau domaine. Dans ce dernier cas, il
faudra alors savoir si ce nouveau domaine fera partie d'une arborescence existante ou si vous souhaitez créer une
nouvelle arborescence. Si tel est le cas, vous devrez définir si cette nouvelle arborescence appartiendra à une forêt
existante ou procéder à la création d'une nouvelle forêt.
Nous pouvons synthétiser ceci par l'organigramme suivant :

Installation d'Active Directory

TRAVAUX PRATIQUE WIN2016server – Eric ROGER – 42 / 43

Annexe N°5

Pour joindre une machine au domaine

 Cliquez droit sur le poste de travail

 Cliquez sur propriétés puis Nom de l’ordinateur.

 Puis entrer le nom du domaine que vous voulez joindre.

TRAVAUX PRATIQUE WIN2016server – Eric ROGER – 43 / 43