Bloc2_Administration système

Administration Windows server

TP1_AD

(Groupes, OU Profil itinérant, quota disque)

Contexte général de tous les TP "Administration Windows Server"

La société GSB désire mettre en place une organisation plus structurée et rigoureuse, pour la gestion de ses
services administratifs.
Elle a misé sur un réseau avec une administration centralisée : Active Directory.
L'objectif principal est de fournir des services centralisés d'identification et d'authentification au réseau
existant.
La DSI vous demande aussi de répertorier tous les éléments du réseau tels que :
− les serveurs,
− les postes de travail,
− les comptes des utilisateurs,
− les unités organisationnelles, pour simplifier la structure organisationnelle de l'entreprise,
− les stratégies système, pour apporter davantage de sécurité,
− les différents groupes, afin de simplifier la gestion des droits sur les différentes ressources,
− les dossiers partagés, et leurs droits NTFS,
− les imprimantes, etc.
Le DSI et son équipe désirent donc mettre en place une sécurité plus accrue, une maintenance plus aisée, un
accès plus facile aux données, etc...
Votre travail sera, à partir d'une plate forme de test, (VDI serveur 2019 et VDI cli_10), de faire évoluer, le
domaine [Link] existant, en mettant en place différentes fonctionnalités, comme par exemple :
− l'attribution et l'application de stratégies (GPO),
− la distribution de logiciels (déploiement MSI),
− l'installation de mises à jour critiques par les administrateurs (WSUS),
− la mise en place d'un service de partage de fichiers (DFS)
− la synchronisation entre deux serveurs AD
− une méthode d'authentification à partir d'un serveur Radius
− la sécurisation de l'accès de données de l'entreprise depuis l'extérieur (VPN)
− etc.....
Vous disposez de deux VDI :
− l'un pour administrer le serveur: serveur 2019
− l'autre en tant que client du domaine: cli_10

Page 1 sur 7
Bloc2_Administration système

Gestion des utilisateurs et des ordinateurs (Objets)

Lien :
[Link]
2012/creation-utilisateurs-groupes-unites-organisation/

Unités organisationnelles
 Créez les UO suivantes :
 Informatique
 Comptabilité
 Secrétariat
 Commerciaux
 DelMed
 Visiteurs
Groupes
Active Directory est un annuaire référençant notamment les utilisateurs et les groupes d'une entreprise (ici
GSB). Tous les utilisateurs et groupes existant sous Windows avant l'installation d'AD ont été copiés dans AD.
−Dans l'UO Comptabilité, créez le groupe global "compta" et y insérer les groupes "assistants" et "chefs
comptables".
−Dans l'UO Secrétariat, créez le groupe global "secrétariat" et y inclure les groupes "accueil" et
"assistantes de direction".
−Dans l'UO Informatique, créez le groupe global "info", proposer les groupes "développeurs" et
"techniciens réseau" comme membres de ce nouveau groupe.
−Vérifier l'appartenance de chaque utilisateur de ces trois UO. Donnez un exemple.

Utilisateurs

Chaque utilisateur devra pouvoir se connecter par le login suivant :

- Première lettre du prénom, nom complet, par exemple Marc TECH doit taper : mtech
- Le mot de passe sera Azerty77
Les utilisateurs ne pourront pas changer de mot de passe.

Page 2 sur 7
Bloc2_Administration système

 Créer les utilisateurs suivant :

– Nicolas SECRETet Marco TARIAT dans la UO "Secrétariat" et dans le groupe "Accueil".
- Jean-Baptiste RES et Jonathan EAU dans l'UO "Informatique" et dans le groupe "Technicien réseau"
- Raphael POK et Quentin EMON dans l'UO "Informatique" et dans le groupe "Developpeurs"
- Nizar BILL et Maxime ITE dans l'UO "Comptabilité" et dans le groupe "Chef comptable"
C'est long et fastidieux..... Il n'y a rien d'autre à faire????
Laissez tomber pour l'instant la création des utilisateurs, nous y reviendrons à la fin du TP, pour automatiser la
tâche avec un petit script PowerShell!

Intégration d'un client dans un domaine :

Avec votre client Wind 10
 Adhérer le poste au domaine [Link]
 Indiquez un nom d'utilisateur du groupe "Secrétariat", par exemple, pour vous connecter.

Discrimination clients AD
Une option utile en entreprise d’un point de vue sécurité, vous pouvez définir des plages d’horaires où
les utilisateurs sont autorisés à se connecter.
 Cliquez sur un utilisateur => « Propriétés », dans l’onglet compte définissez la
plage d’horaires.
 Dans le même onglet, imposez à l'utilisateur de se connecter uniquement sur
l'ordinateur client que vous venez d'intégrer.
 Faites en sorte que les utilisateurs du groupe "accueil" ne puissent se connecter que
de 8h à 18h.

Profils itinérants , dossier de base & quota disque

Lien : [Link]
Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le même compte d'utilisateur. Lorsqu'il va
utiliser un ordinateur, il pourra avoir un environnement différent de celui présent sur l'autre ordinateur.
Dans ce cas, il pourra être intéressant de configurer pour cet utilisateur un profil itinérant.
En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents,
ses paramètres, et son environnement de travail, quelque soit l'ordinateur sur lequel il ouvre une
session. Les profils itinérants vont stocker leurs informations sur un serveur que vous choisissez.

Page 3 sur 7
Bloc2_Administration système

Pour utiliser un profil itinérant, il faut utiliser un dossier à la racine de notre serveur : profils.
 Vérifiez qu'il est bien partagé et notez les droits de partage et de sécurité

 Configuration au sein de l’annuaire Active Directory.

Il est important de s’assurer également que les “Utilisateurs authentifiés” disposent des autorisations
NTFS “Contrôle total” afin de pouvoir s’approprier des objets au sein de leur dossier de profil.
Pour les modifier, effectuer un clic droit sur le répertoire “profils” et éditez l’onglet “Sécurité“.
 Dans "Utilisateurs et Ordinateurs Active Directory" :
- click droit sur l'utilisateur, puis sélectionnez "propriétés"
- Cliquez sur l'onglet "profil" :
o Chemin du profil:\\@IPServeur\profils\%username%

 Mettez en place un profil itinérant pour les utilisateurs Nicolas SECRET et MarcoTARIAT.
 Vérifiez votre travail! ..... Depuis une machine cliente, connectez-vous avec un compte pour lequel le
profil itinérant vient d'àetre mis en place.
Sur le serveur, dans le répertoire partagé, vous verrez apparaître un dossier de profil pour cet
utilisateur(le dossier portera le nom suivant : nsecret.V2 pour l'utilistaur Nicolas secret)
 Un dossier de base :
A l’ouverture de session du client, nous allons définir dans son poste de travail, un lecteur P: qui pourra
contenir ses documents de travail, l’avantage étant d’y avoir accès de n’importe quel poste
informatique.
− Utilisez Marco TARIAT, dans ses propriétés, onglet « Profil »
− Faites en sorte que l'utilisateur ait un lecteur réseau personnel nommé P : qui pointe vers le
partage \\Serveur\profils\mtariat

− Vérifiez votre travail!

Page 4 sur 7
 Bloc2_Administration système

 Et enfin un quota disque associé :

Pour utiliser les quotas, le "service de fichiers et de stockage" et le "Gestionnaire de ressources du
serveur de fichiers" doivent être installés :
− Les installer à partir de l'assistant d'ajout de rôles
− A partir du "Gestionnaire de ressources du serveur de fichier/Gestion de quotas", créer un quota
de 500 Mo pour les utilisateurs SECRET et TARIAT.
 Sur le poste client du domaine :
Une fois connecté l’utilisateur pourra accéder à ses dossiers depuis n’importe quel poste du domaine.
Que constatez-vous dans le répertoire c:\profils du serveur?

Que constatez-vous sur le poste client dans emplacement réseau?

Vérifier la fonctionnalité de votre configuration dans poste de travail sur le client :

- Cliquez droit propriété Poste de travail
- Cliquez sur "paramètres système avancés"
- Profil des utilisateurs->Paramètres

Changer le fond d’écran par exemple, en ajoutant le logo de l'entreprise GSB, créer des "raccourcis" sur
le bureau.....
 Tester : Déconnectez-vous, et connectez-vous d’une autre machine physique
Vous allez pouvoir constater qu’en se connectant le fond d’écran et les modifications apportées au
bureau correspondent.
Dans l’explorateur Windows taper le chemin du profil pour accéder aux documents, que constatez-
vous?

PowerShell : Script de création d'utilisateurs

Lien : [Link] ...... pour vous réconcilier avec PowerShell!

La DSI met à votre disposition :

− le fichier "[Link]"
− et le script, "Script_CreationUsers.ps1" qu'ils ont utilisés pour créer tous les utilisateurs, dans leur UO
respective.
Il vous demande d'ajouter de nouveaux utilisateurs, automatiquement, dans les UO "Commerciaux",
"DelMed" et "Visiteurs". Vous trouverez les fichiers .csv correspondant dans le
\partage2A\SISR\Bloc2\Administration système\.

Page 5 sur 7
Bloc2_Administration système

 Modifier le script donné, pour qu'il ajoute, en une seule fois, tous les utilisateurs des trois UO. Il
devra compléter les champs de chaque salarié :
− Name : nom de l’objet (il s’agit du nom visible dans la console de gestion de l’Active Directory),
− SAMAccountName : nom de login,
− Surname : nom de l’utilisateur,
− GivenName : prénom de l’utilisateur,
Affecter un mot de passe "Azerty77", avec pour option "n'expire jamais" à tous les utilisateurs.

 Vérifier l'ajout des utilisateurs dans leur OU respective et leurs différents paramètres.

Page 6 sur 7
Bloc2_Administration système

Travail à présenter en rapport de TP

- Présenter l'utilisation d'un profil itinérant : sur l'utilisateur de votre choix. Proposer un jeu d'essai pour
la démonstration.

- Déléguer une tâche administrative à Nicolas SECRET de l'UO secrétariat : par exemple gestion des
"login" de tous les membres de l'UO

- La DSI vous demande de créer une console MMC personnalisée sur le poste "client".
Pour quelle raison mettre en place une MMC ?

Il est bien sur hors de question que l'utilisateur se connecte directement sur le contrôleur de domaine
pour effectuer ses tâches d'administration. De plus, pour se connecter au contrôleur de domaine il faut être
administrateur.
Vous saisissez bien la différence ??!!

 Vous allez donc créer une console pour Nicolas SECRET personnalisée suivant sa "délégation" sur le
groupe "secrétariat", qu'il retrouvera (tout comme son profil itinérant) lors de ses connexions sur un poste
client.
[Link]

− Les membres du service informatique ont besoin d’accéder à la base de données "Inventaire", du
"serveur SRV01" du domaine, pour effectuer leur travail :
* créer une machine virtuelle pour SRV01
* On remplacera la base de données "Inventaire" par un simple dossier "Inventaire" avec tous les
droits, en utilisant la gestion des groupes locaux et globaux.
ATTENTION : les groupes - globaux & locaux - doivent être créés sur l'AD
Les droits NTFS sur la ressource partagée, ici en l'occurrence sur le "serveur SRV01".
− Donner ensuite les droits de simple L/E au groupe "accueil", dont le travail consiste exclusivement à
consulter la base de données.
− Tester le résultat de votre travail, avec deux utilisateurs, l'un du groupe "informatique", l'autre du
groupe "accueil".

Page 7 sur 7