Administration – Installation – Configuration

I - Serveur AD – DNS – Serveur de Fichier – DHCP – GPO –

Sauvegarde

II - WSUS

III – Déploiement WDS

1
 SOMMAIRE

Avant-propos - Infos concernant Vmware - Lexique………………….…………………………………………………………..……..p3-5

I- Administration - Installation & Configuration Windows Serveur 2012 p6

I-I Users & Workgroup - Droit NTFS - ACL NTFS - Test des partages locaux………………………………………….…p6
Test de partages à partir d’un client……………………………………………………………………………………………….....p6

I - II Installation AD - SRV DNS - Structure de l’AD - Client AD………………………………………………………….………..p7

I - III Le mode Core - Outils d’administration….………………………………………………………………………………………...p8

I - IV Serveur de fichiers - Installation et configuration - Filtre ABE - NIC Teaming………………………………………p9

I-V DHCP - Haute Dispo DHCP………………………………………………………………………………………………………………..p14

I - VI GPO - Les profils - Redirection des dossiers - Mappage…………………………………………………………………….p17

I - VII Honolulu (Windows Media Center)………………..………………………………………………………………………………..p22

I - VIII Sauvegarde et corbeille AD…..………………………………………………………………………………………………………….p22

II WSUS p26

II - 1) Installation, configuration & groupe d’ordinateur………………………………………………………………..............p26

II - 2) Déploiement……………………………………………………………………………………………………………………………………p31

II - 3) Création de la GPO WSUS……………….….……………………………………………………………………………………………p32

II - 4) Mise à jour sur le client……………………………………………………………………………………………………………………p36

III Déploiement WDS p37

III - 1) Installation WDS…………………………………………………………………………………………………………………………......p37

III - 2) Configuration……………………………………………………………………………………………………………………………………p39

III - 3) Mise en place d’images de démarrage.................................................................................................p41

III - 4) Mise en place d’images d’installation...................................................................................................p42

III - 5) Démarrage du service de déploiement.................................................................................................p45

III - 6) Résultat visible de l’installation par PXE dans le DHCP............................................................................p46

III - 7) Installation de Windows par XPE................................................................................................................p46

2
Avant-propos :
Ce cours Administration - Installation & Configuration Windows Serveur 2012 est basé sur un support de
l’AFPA. Vous pouvez trouver les cours sur YouTube à l’adresse suivante :

https://www.youtube.com/channel/UCIDuawOhqtq5mOFAvXwTBoA
S’ils ne le sont plus, c’est peut-être dû au droit d’auteurs.

Les explications ici sont basées avec le logiciel de virtualisation VMWARE Workstation, car dans les cours de
l’AFPA ils sont basés avec VirtualBox. Bonne lecture.

Objectif : Dans la société Contorse, le dirigeant demande de mettre en place un Serveur Windows 2012 pour
gérer tous les différents services de l’entreprise afin d’appliquer plusieurs stratégies.

Voici les différents services : CONTORSE

Service Administratif Service Commercial Service Direction Service Info

| | | |

*Secrétaire de Direction : *Directeur commercial : *Directeur : *Directeur SI :

Véronique Manson J-F Prioux Stéphane Gonsor Vincent Bevin

*Secrétaire : *Commerciale : *Directeur associé :

Delphine Briend Anna Gaultier Anthony Deluc

*Comptable : *Commerciale :
Séverine Austier Julie Clément

Adressage des Vms :

SRVAD : 192.168.0.1/24 SRVFIC : 192.168.0.2/24 Client W10 :192.1680.3/24
DNS du SRVAD : 127.0.0.1 Gateway : la changer en 192.168.0.254

Lors d’une connexion sur ses Vms, TOUJOURS se connecter en nomdedomaine\Administrateur

(ex : Contorse\Administrateur)

Car si on se connecter qu’en simple Administrateur au démarrage, on sera avec le compte Administrateur
Local et non PAS Administrateur du Domaine !! Très important de comprendre cette différence.
Sauf si on veut se connecter avec un user de la société, on prendra un simple user disposant de droits
restreints.

3
 VMWARE
Infos concernant Vmware :
- Cmt bien configurer sa Vm :
Fr en Custom, choisir une compatibilité de l’hyperviseur qui finira par gérer la VM (car après toutes nos config
sur la Vm il se peut que plus tard on va prendre cette config pr l’exporter sur un autre hyperviseur demandant
une autre compatibilité, donc il est important de savoir laquelle ce sera pr ne pas avoir de soucis plus tard).
Choisir l’ISO duquel on va installer notre OS et après qd on ns propose la clé faut faire next pr supprimer la
config auto et pr la fr en manuel. Fr oui. Nommer sa VM et vérifier le chemin ds lequel la VM sera créé.
Prendre UEFI (qd c’est un client vieux (vista, xp) prendre BIOS). Prendre un disque en SATA.
Ne jamais prendre SPLIT, prendre Store virtual disk.
SPLIT = ça découpe le disque dur de la VM en plusieurs fichiers, ce qui ralentit fortement le système qd il
voudra écrire les données. Alors que le Store virtual disk lui crée un fichier de taille dynamique (d’abord ça
crée un fichier de quelques K octets, puis lorsque on augmente ce fichier il augmentera le volume de stockage
au fur et à mesure jusqu’à la limite paramétré.
Si on coche en plus Allocate all disk space now, il créera le fichier de la taille complète au lieu d’un fichier de la
taille dynamique. Permet de gagner en performances (prend du temps à la création et ça prend l’espace sur le
disque dur physique). Donc prendre que Store virtual disk.
Une fois que la VM est créé, fr Edit virtual machine settings, sélect le floppy (lecteur disquette contenant
fichier de préconfig de l’OS) puis fr remove dessus pr le virer. Ok.

- Master :
Avt de fr un master il faut fr toutes les MAJ de la machine, ne RIEN installer dessus, installer Vmware TOOLS,
pr ça il faut finir l’installation de notre machine et ensuite on est sur le bureau et Cliquer VM
(ds VMWARE) – Install Vmware Tools Installation – fr W+E – ce pc – droit sur lecteur de dvd Tools et installer –
prendre complète – Ok. Installer Firefox si besoin. Comme ça notre machine sera bien configurée pr faire un
MASTER.

- Le clone et snapshot :
La différence entre clone et snapshot ->
Le snapshot est efficace si la VM est toujours fonctionnelle, car si la Vm est défaillante le snap ne pourra pas
se faire. Alors que le clone (qui est une image à l’identique de la Vm) aura besoin d’un disque dur pr remettre
le disque à l’identique de notre sauvegarde précédente. Donc c’est mieux de fr un clone. Idéal de fr un clone 2
fois par jour, une le matin et une autre le soir (fin de journée) pr ne perdre qu’une après-midi.
Mais faut l’adapter en fonction de la fonction qu’a la Vm.
Il faut sauvegarder sur les Vms ou il y a beaucoup de données users et d’entreprise qui sont très souvent
modifiés et qui nécessite des sauvegardes régulières pr éviter de perdre trop de temps de travail et aussi
apporter une sécurité.

Procédure : Pr nos sauvegardes ne JAMAIS fr qu’une SEULE sauvegarde !!!

(Une en locale et une autre distante). Demander au patron qu’il prenne un SRV OVH pr sauvegarder ds le
Cloud s’ils ont les moyens de payer ça. C’est un bon moyen de garder ses données si un imprévu surviendra.

Avant de fr nos modifs sur nos Vms, faut fr nos Snapshot, avant qu’on ait fait nos modifs et fini nos config et
vérifié que tt fonctionne, faire une autre Snapshot qd tout est bien fonctionnel !! (Une avant config et une
après ! Permet d’être sûr de bien copier la config en état de marche)

Il est conseillé d’utiliser un autre logiciel en plus de Vmware pr fr des clones de ses Vms, prendre CloneZilla,
Ghost ou Acronys true image (fiable), il est déconseillé de prendre celui de Windows.

4
Comprendre la différence entre clone et sauvegarde :
Le clone c’est une IMAGE à l’identique (fichiers, docs, partitions, config R & systèmes), alors que la sauvegarde
ce sera une simple COPIE des fichiers et docs.

- Améliorer les performances des Vms :

Faire une défragmentation du disque dur physique ou on a posé nos VMs. Si on fait beaucoup de modifs sur
nos Vms faire une défragmentation toutes les semaines.

- Gateway :
Pr connaître la passerelle par défaut pr la config d’une VM, aller dans EDIT – Virtual Newtork Editor – choisir le
type qu’on a défini sur notre Vm (bridge, local, Nat ou Vm net n°…) et faire Settings – on aura la Gateway que
Vmware nous aura donné (oui sur Vmware qd on est en NAT il donne lui-même la gateway, donc être vigilant
de ses adressages !!)

- Communication entre différentes VMs :

1 - Configurer manuellement les @ip des Vms (bien les adresser dans le même réseau !)
2 - Mettre en relation les Vms entre elle (setting – network adapter – cocher si on est en (bridge, local, Nat ou
Vm net n°…) faire ça pr toutes les Vms du même réseau.

- Problème de ping entre Vms :

sur les Vms taper W+R : secpol.msc -> stratégie gestionnaire réseaux – R non identifiées – cocher privé + user
peut changer l’emplacement – appliquer (ça peut pinger ds un sens mais pas ds l’autre)

Solution ? -> W+R : control -> afficher grandes icônes – pare feu – paramètres avancées – règles trafic entrant –
chercher : partage fichiers et imprimantes ICMPV4 – chercher : tous ce qui est ICMP en ipv4, si besoin est, faut
activer la règle pr le privé, public ou domaine.

Lexique :
droit = clique droit ; R = réseau ; sélect = sélectionner ; suppr = supprimer ; cnx = connexion ; suivt = suivant ;
W = Windows ; param = paramètres ; co = connecter ; ft = faut ; ds = dans ; pr = pour ; ts = tous ;
VM = Machine Virtuel ;

5
 I) Administration - Installation & Configuration
Windows Serveur 2012
1) Users & Workgroup
Gestion de l’ordi – droit Groupes – new groupe > créer les 4 services
Droit User - new groupe > Nom : P.Dupont
Nom complet : Pierre Dupont
Service : Service Commercial (exemple) (Faire pareil pour les services qu’ont a)

* Ajouter ds les groupes :

Groupe – cliquer service concerné – ajouter -type d’objets – cocher users avancé – sélect prs concerné – ok –
ok -appliquer – ok  Faire de même si on doit ajouter des user ds nos groupes

* Attribuer les groupes :

Donner des droits à qq1 -> Users – P.Dupont – membre de – users – supprimer – des groupes – ok – ok – ok
(toute prs qu’on ajoute, s’ajoute aux Dossier users)

* Voir si l’user est bloqué :

droit sur Windows (W) – se déconnecter – sélect qq1 – ok – fr new mdp – ok – sélect date/heure – modifier –
normalement l’user ne pourra pas, donc c’est bien bloqué

2) Droit NTFS :
Se connecter au SRVAD ac un user de l’Entreprise :
Droit W – désactiver – Gérer – en bas – tout cocher – ok

* Créer des partages :

W+r > net share / ? (Affiche répertoire partagé ac détails) (« $ » = partage caché)

Disque local (C :) – New dossier – Partages – droit service administratif – partage – partage avancé – partager
ce dossier – nommer le service – autorisation – définir droits – tt le monde -suppr – sélect un service pr
attribuer droits qu’on aura choisi – ds la colonne « autoriser » TOUT COCHER – ok

3) ACL NTFS (concerne que les accès locaux sur les répertoires) :
Sécurité – avancé – créateur propriétaire – fermer – ok
Rappel : L’onglet partage sert que à définir quel users ont accès à ce répertoire partagé.
Tandis que l’onglet sécurité permet de savoir qui à le droit d’écrire sur mon systèmes fichiers.

Résumé : Pr qu’un répertoire soit accessible à travers le réseau, faut le partager

4) Test des partages locaux : il y a 2 façons -> Localement (simulant cnx R) ou d’un poste client
W+e – droit ce pc – connecter lecteur R – saisir chemin UNC : @ip SRV et nom de partage -
ex : \\192.168.0.1\serviceadministratif (cocher en bas) - terminé

W+r – gestion de l’ordi – dossiers partagés – sessions – fichiers ouverts

Si on veut se connecter sur srv ac un client saisir : \\@ip.du.srv\c$

5) Test de partages à partir d’un client :

W+e - cnx lecteur R – saisir chemin UNC

6
II) 1) Installation AD : Un SRV AD joue QUE le rôle de AD DS et DNS
Faire le principe d’un clone d’un Master SRVW2012 pour créer un « SRVAD01 » .
Sur VM SRVAD01 : Adresser localement : w+r - ncpa.cpl – Modifier ipv4 ex 192.168.0.1/24

* Modifier le nom : Serveur local – cliquer nom ordi – modifier- nommer SRVAD01

* Activer bureau à distance :

droit W – système – utilisation à distance – cocher 2 derniers – ok – tableau de bord cliquer 2 – suivant – suivt
– suivt – cocher services AD DS – ajouter rôle AD DS – ajouter des fonctionnalités – suivt – suivt – suivt – cocher
redémarrer auto – oui – installer

Menu principal – drapeau – promouvoir ce serveur – [pr créer srv ad, donner un nom de domaine]
cliquer ajouter new forêt – nommer ex : « contorse.local » lui donner son @ip
[forêt : c’est un ou plusieurs domaines partageant les mêmes données d’annuaires] (le DNS ft partie de
l’AD) cocher serveur DNS et Catalogue global – fr mdp – suivt – suivt – suivt – suivt – installer – fermer

(Si on des pbs de connexion : Vérifier si les cases sont cochées ds Panneau de configuration - Parefeu –
Autoriser une appli – vérifier que Bureau à distance est bien coché ds Domaine, Privé ou Public)

2) SRV DNS :
Outils – DNS – icône play - zone recherche direct – contorse.local – droit zone recherche inversé – new zone –
zone principale et cocher en bas – suivt – cocher 2ème – suivt – suivt – prendre l’@ R – suivt – cocher 1er – suivt –
terminer (zone inversée est créée)

Terminal : ipconfig /all -> avoir infos sur la carte ethernet

ipconfig / displaydns -> consulter son cache dns (existe 13 roots ds le monde)
ipconfig /flushdns -> vider le cache dns
nslook +nom domaine -> chercher infos ds SRV DNS

3) Structure de l’AD :
Srv AD – outils – users et ordis AD (un domaine AD est un groupe d’ordis partageant la même base d’annuaire)
– domaine controllers – on voit notre SRVAD01 et vérifier qui soit écrit « GC » (très important !)

* Organiser notre annuaire en créant des OU (Unités d’Organisations) :

cliquer sur le raccourci icône, c’est le 4ème en partant du bout à droite (nommer nos différents services)

* Créer objets users et les affecter ds les bonnes OU :

sélect un service, ex : celui d’administratif – cliq la 6ème icône en haut en partant de droite – nommer l’user et
l’ouverture session – suivt – mettre mdp « afpa1*afpa » + cocher 1er – suivt – terminer [l’user modèle
est créé, on va le personnaliser]

Droit membre_ad – propriétés – compte – horaires d’accès - prendre colonne entre

0-8h du L-D, 18-0h du L-D, 18-0h du S-D, cocher 2ème – ok (faut mettre en bleu du L-V de 8h à 18h) –
organisation - service administratif et Contorse – appliquer – ok
(l’user modèle est paramétré, on va copié ce modèle pr fr les autres users)

* Créer un groupe ac users d’un service :

5ème icône partant de droite – nommer Service Administratif cliquer 2x – étendu groupe : domaine local +
sécurité – ok

* Ajouter membres à un groupe :

double clique sur Service Administratif – membres – ajouter - types d’objets – cocher que users – ok –
rechercher – sélect les membres du groupe – ok – ok – appliquer – ok

* Supprimer une OU :
droit service commercial - suppr – oui – (marche pas c’est normal car il y a une sécurité)
solution ? -> Affichage (haut à gauche) – fonction avancées – droit service administratif – propriétés – objet

7
décocher – appliquer – ok
donc pr supprimer refaire : droit service administratif – suppr – oui – c’est supprimé !

Rappel : Pr structurer son AD on crée des OU car il y aura des stratégies

4) Client AD :
* sur client : Terminal pinger l’@ du SRVAD pr voir s’il ns répond. Pinger le domaine « srvad01.contorse.local »
Pr que ça marche il faut configurer sur SRVAD son @ DNS qui sera la même @ que SRVAD et aussi faut que
toutes les machines qui sera avec l’AD, leur config R soit ac l’@ DNS du SRVAD !
* Pr configurer l’@ en fixe : W+R = ncpa.cpl – propriétés ipv4 – adresser l’@ ipv4 et son @DNS (@ du SRVAD !)

* Pr s’ajouter sur un domaine : W+E = droit ce pc – propriétés – modifier les paramètres – modifier – cocher
domaine et mettre contorse.local (saisir nom : Administrateur et mdp de l’admin) – ok – ok (redémarrer)

* Vérifier que le client est bien ajouté au domaine :

Outils – users et ordis AD – icône play contorse.local – computers (on voit le client qui est ajouté)

* Sortir un poste du domaine :

droit w – systèmes – modifier param - se co en ADMIN – modifier –
(pr sortir un ordi du domaine, ft préciser qu’il fera partie d’un groupe de travail) – cliquer groupe de travail +
taper WORKGROUP – ok – annuler (c’était pr voir la procédure)

Résumé : Sur les autres Vms que le SRVAD, bien renseigner ds la carte R l’@ip du SRV DNS (qui est le SRVAD)

III) 1) Le Mode Core - Si on ne veut pas de mode Core, pas besoin de l’installer

Se co sur SRVAD : créer un snapshot de cette VM -> droit sur la machine – prendre instantané – ok

* Installation : Terminal : « Remove -WindowsFeature Server-Gui-Shell »

(tt se supprime, redémarrer, on a plus d’interface graphique)

* Supprimer les chargement auto de console Gestionnaire Serveur :

Gérer - propriétés gestionnaire - cocher les 2 - ok

* Installer la new interface en Powershell :

Terminal - Taper powershell - « Install-WindowsFeature Server-Gui-Shell » - redémarrer

* Revenir mode Core en supprimant outils d’administration :

Terminal : « Remove-WindowsFeature Server-Gui-Shell-mgmt-infra » - redémarrer

* Sur SRVAD :
Terminal : servmanager (pr lancer le gestionnaire de serveur)
Terminal : sconfig
* Activer bureau à distance : N°7 - activer - N°1
* Activer l’administration à distance : N°4,1 et 3 - activer
Résume : Être en mode Core permet d’avr un système légèrement léger et réduire la surface en cas d’attaque.

2) Les outils d’administration :

* Sur client se connecter en Admin contorse\Administrateur:
Télécharger RSAT (logiciel d’administration w srv sur un poste client) sur un USB et l’installer sur le client.
Lorsque l’on a installé RSAT, il faut faire TOUTES les Mises à Jours du système W10 (SUPER IMPORTANT !!)

[Faire en sorte que le client puisse aller sur internet, si besoin modifier la config R du client pr fr du NAT ou
changer l’adressage pr mettre celui de votre routeur (box) le temps qu’il puisse faire toutes les MàJ]

8
Recherche W - taper Windows update - sélect paramètres W update - rechercher des mises à jours -
(Être prêt à attendre un bon bout de temps pr les MàJ)

* Epingler au démarrage en petit icône : Outils d’administration, La gestion des stratégies de groupe, le centre
d’administration AD, le DNS et users et ordi - Nommer le groupe Gestion AD

* Bureau à distance : W recherche - taper connexion bureau à distance - sasir @ip du SRVAD

* Accéder au partage administratif du SRVAD :

W+E - droit ce pc - co lecteur R - mettre l’@ du SRVAD : \\192.168.0.1\c$ - terminé
(ns sommes co sur SRVAD à travers l’explorateur de fichiers)

IV) 1) Préparation du SRV de fichier

Créer un clone de Vm Master W2012 pr fr un SRV de Fichier. Nommer SRVFIC -
Configurer sa carte R. Donc @ipv4 : 192.168.0.2/24 + mettre l’@ DNS qui sera l’@ du SRVAD (192.168.0.1)

* Ajouter 3 disques durs virtuels à notre Vm SRVFIC :

Settings Vm - Add - Hard disk - Prendre SATA, next - 25Go - next - ok (faire ça 2x) Donc on a 3 disques virtuels

* Ajouter le SRVFIC au domaine : W+E = droit ce pc – propriétés – modifier les paramètres – modifier – cocher
domaine et mettre contorse.local (saisir nom : Administrateur et mdp de l’admin) – ok – ok (redémarrer)

* Configurer les disques :

droit W - gestion des disques - cocher GPT - ok
Pr info : on a 4 types de config -> De base ; Dynamique ; Amovible & virtuel.
W Server prend en charge les disques en miroir et les volumes en parité.
* Raid 0 = Volume agrégé par bande -> technique pr agréger l’ensemble des disques sélectionné en une SEULE
unité logique.
* Raid 1 = c’est le disque miroir. Les données du disque 1 sont inscrites aussi sur le disque 2. On a une
tolérance de panne, Mais l’espace est diminué de moitié.
* Raid 5 = Agrégation par bande ac parité, nécessitant un minimum de 3 disques. Tolère les
pannes et bénéficie de performance. Très utile pr des SRV de Fichier comme des NAS & SAN.

On va activer le RAID 5, sur disque 1 fr clique droit - new volume RAID-5 - suivt - sélect disque 2 - ajouter - suivt
- suivt -
[info : NTFS = stock infos sur fichiers MFT (Table de Fichiers Maitres). MFT = conserve tous les fichiers sur
volume. ReFS (Resilient File System) = c’est un nettoyeur qui répare les altérations de données.]
Donc sélect ReFS - nommer DATA - cocher effectuer formatage rapide - suivt - terminer - oui - quitter
(On a vu cmt mettre un raid 5, car on va le supprimer après pr mettre en place un pool de stockage)

* Ajouter un 4ème disque dur virtuel ds le SRVFIC :

Settings Vm - Add - Hard disk - Prendre SATA, next - 25Go - next - ok

* Configurer un pool de stackage virtuel (storage pool) :

C’est regrouper 3 disques durs virtuels en 1 seul, ça permet un plus grand espace de stockage et + de bande
passante.

* Supprimer raid 5 ds SRVFIC : Gestionnaire SRVFIC - cliquer icône de gauche en haut, le 4ème - volumes - suppr
raid 5

* Supprimer raid 5 ds gestion de disque :

W - gestion disques - sur le 1er disque fr clique droit - suppr le volume - oui - quitter

Gestionnaire SRV - volumes - pools de stockage - droit en dessous de primordial et fr new pool - suivt -
nommer Pool1 - suivt - cocher les 3 premiers et prendre en auto - suivt - ferme
(Le pool de stockage est créé ac 3 disques)

9
* Créer un disque virtuel :
Pool de stockage - disques virtuels - cliquer sur créer - suivt - sélect Pool1 - suivt - nommer disque virtuel 1 -
prendre parity - suivit - prendre mode FIN - suivt - 40 Go - suivt - créer - décocher créer volume - fermer
(on a un disque virtuel contenant 3 disques durs physiques appartenant eux même à ce pool)

Outils - gestion ordi - gestion disques (le SRV voit un disque dur virtuel comme un disque dur physique)

* Créer un volume sur notre disque virtuel :

Gestionnaire SRV - pool de stockage - droit disque virtuel 1 - new volume - suivt - suivt - environ 40 - suivt -
suivt - ReFS, data - suivt - créer - fermer (volume est créé et doit apparaître ds l’explorateur)

* Ajouter un disque supplémentaire au pool :

Disques physiques - droit ds la partie vierge - ajouter - cocher - auto - ok (ns avons les 4 disques dans le pool)

* Étendre volume du disque virtuel :

droit disque virtuel 1 - étendre - 60 Go - ok
Renommer pool1 en POOL DATA SRVFIC et disque virtuel1 en DATA USERS. Ce disque va centraliser les
données des users de la société. Ce volume DATA se renommera NAS. On ajoutera un volume secondaire
qu’on nommera TRASH, ce sera un lecteur temporaire où les données des users ne seront pas sauvegardées.

Nous avons donc : Pool DATA SRVFIC

1 2 3 1  POOL (97Go) : Pool de 3 disques + 1 disque

Data Users ac volumes différents (NAS & Trash)

Data Users  Disque virtuel avec 2 volumes

NAS 40Go Trash 20Go  60Go Stocké sur les

données des users

Résumé : Pr avoir de la redondance le Raid 5 est très utile pr des SRV de stockage.

2) Installation et configuration :
Pr accéder au SRVFIC on a 2 façons :
Avec le client par le chemin UNC en faisant connecter lecteur R ou en accédant directement dans l’explorateur
de fichier en cherchant ds le disque. (On utilisera la 1ère option pr notre cas)

Consigne : La société Contorse veut ouvrir un new Département qui sera Marketing et qu’on mette en place un
serveur de fichiers dédié. Il devra être accessible par les services Marketing et Commerciaux.
Configurer les partages ac le schéma AGDLP.

* Ds le SRVFIC :
Gérer - ajouter rôles et fonctionnalités - suivt - suivt - cocher service de fichiers et stockage, service de fichiers
iSCI, serveur de fichier - suivt - installer

10
[Tester nos machines virtuelles pr voir si nos config sont bonnes et s’assurer qu’elles ping entre elles.
Pinger le SRVAD, SRVFIC et le client.]

Si on a des soucis de ping, faire autoriser le ping sur les 2 SRV (SRVAD & SRVFIC) :
Powershell - Sconfig - taper 4 (pr configurer l’accès à distance) - taper 3 (pr la réponse du ping) + faire OUI

* Sur client : Ce sera ac le client qu’on pourra accéder au SRVFIC grâce à la cnx lecteur R
W+E - droit ce pc - co lecteur R - \\192.168.0.2\e$ - terminer
Créer un dossier « Partages », ds Partages créer dossier « départements », ds départements créer 2 dossiers,
« Service Commercial » et « Service Marketing » (reste à appliquer les droits à tout ça)

L’AGDLP est une convention Microsoft qui permet de gérer les droits des utilisateurs sur des ressources
partagées comme des dossiers, fichiers, imprimantes etc..

* Sur client :

W - icônes users et ordis AD - (Pr respecter AGDLP on va réorganiser notre Annuaire) -

Créer Dossier Groupes Globaux - Ds ce dossier créer les OU pr les services Administratif, Commercial,
Direction & Marketing -
(Faire décocher l’option protégé des suppressions accidentelles pr pouvoir déplacer une OU)

Chaque OU représente un Service contenant 2 OU -> Ordis et Users

Ds chaque OU de Service, créer un dossier Groupe Globaux contenant les users du service
Créer un OU dossier Groupe Domaine Local (contiendra ts les groupes de domaine local + les 5 DL)

Cahiers des charges : Dans le dossier départements on a 2 OU et dedans des dossiers contenant les DL

Départements
[ro = read only ; rw = read write]

On a différents dossiers ds les services

Service Service
Marketing Commercial

-> Créer l’user Eric Rafsi

PUB : dl_srvfic-pub_rw Inventaire : dl_srvfic_inventaire_rw

dl_srvfic_pub_ro dl_srvfic_inventaire_ro

Depot_PUB : dl_srvfic_depot_pub_rw

W+E - Ce Pc - co lecteur R - \\192.168.0.2\e$ - (pr aller sur le SRVFIC) - Chercher le dossier « départements » -
droit dessus - sécurité - supprimer « tout le monde » et supprimer « tout le monde » sur tous les autres
répertoires enfants de départements !
Avancé - désactiver l’héritage - cliquer convertir autorisations … - sélect tt le monde - suppr - cocher l’option
remplacer - ok - oui

W+E - chercher dossier Service Marketing - droit PUB - propriétés - sécurité - sélect Créateur Propriétaire -
avancé - désactiver l’héritage - convertir - sélect user du domaine - suppr - appliquer - ok - modifier - ajouter -
ds la case blanche écrire « dl » - vérifier les noms - sélect : « dl_srvfic_pub_ro » + « dl_srvfic_pub_rw » - ok - ok

Le groupe « dl_srvfic_pub_rw » peut écrire ds répertoire, donner ce droit :

Modification - cocher autoriser - appliquer - ok
[Configurer les autres répertoires ac le cahier des charges]
11
* Sur SRVFIC : (A savoir que ds les cours de l’AFPA ils sont en Mode Core)
Icône gauche, cliquer Services de fichiers - Partages - cliquer pr créer un partage - cliquer SMB - rapide - suivt -
cocher taper un chemin - parcourir - icône play data - partages - départements - sélect un dossier - suivt -
\\SRVFIC\déprtements - suivt - cocher que le 2ème - suivt - personnaliser les auto -
(L’onglet autorisation correspond à l’onglet sécurité) (les GG se mettent ds l’onglet Partage)
Supprimer le groupe user et ajouter les DL

Partage - ajouter les 2 groupes GG : « GG commerciaux » et « GG Marketing » - ok créer - fermer

* sur client :
W - icônes users & ordi AD - (ajouter les groupes de Domaine Local au groupe globale « GG Commerciaux »

Rappel : les commerciaux doivent avoir accès à :

Rw -> sur répertoire inventaire
Rw -> sur répertoire depot_pub
Ro -> su répertoire PUB

Groupes Globaux - services commercial - droit GG Commerciaux - propriétés - membre de - ajouter - taper dl -
vérifier noms - sélect « dl_srvfic_depot_pub_rw » + « dl_srvfic_inventaire_rw » + « dl_srvfic_pub_ro » - ok - ok
- ok
Faire pareil pr GG Marketing :
Droit GG Marketing - propriétés - membre de - ajouter - taper dl - vérifier noms - sélect
« dl_srvfic_inventaire_ro » + « dl_srvfic_pub_rw »

* Si on veut déplacer un user d’un service à un autre :

W - icône centre d’admin AD - recherche globale - taper eric - entrer - droit sur eric rafsi - déplacer - groupes
globaux - services commercial - users - ok - (l’user sera ds l’OU commercial)

* Ajouter Éric au groupes GG Commercial :

Sélect Éric rafsi - ajouter au groupe - ds case blanche écrire GG - vérifier noms - cliquer GG Commerciaux - ok
(Éric rafsi aura accès au service commercial)

3) Filtre ABE : Permet de masquer automatiquement les répertoires ne devant pas être accessible
par les users. S’applique que sur un répertoire partagé.
* Sur SRVFIC :
Terminal - sconfig - appuyer touche 4 - 3 - oui - 4 pr revenir au menu - vérifier que 7 est bien activé - 15 pr
fermer et revenir en ligne de commande
Ouvrir les prots sur Firewall : Enable NetFirewallRule -DispalyGroup « Bureau à distance »
Pinger les 3 VMs si tout fonctionne
* Sur client :
Recherche W - connexion bureau à distance - @duSRVFIC - Terminal - servemanager - cliquer services de
fichiers - Partages - droit départements - propriétés - paramètres - cocher 1er et 2ème - ok
Résumé : Le filtre ABE fonctionne QUE pr les prs ne devant PAS accéder à un répertoire.

4) NIC Teaming : C’est l’association de plusieurs cartes réseaux. Supporté que par des cartes R
Ethernet. Augmente la bande passante, fait de l’agrégation de lien et de la Haute Dispo.

Agrégation de lien = Augmenter logiciellement la bande passante disponible sur un serveur

Failover (Haute Dispo) = Sur 3 cartes R on en met une en attente, car si une carte R aura un problème elle
prendra le relais et donc on aura de la bande passante.

12
Il y a 2 modes d’équipe : Indépendant du switch et dépendant du switch

On a aussi 4 autres modes :

- Équilibrage de charge -> Détermine cmt le trafic est réparti entre les
cartes R d’une équipe. Tous paquets venant d’un
même flux TCP seront envoyés à la même carte R
qui a émis le flux.
- Hachage d’adresse -> Permet de gérer efficacement répartition charge.
Trafic entrant arrive toujours sur la même carte R.
- Hyper-V -> Les Vms envoient et reçoivent leurs trafics ac la
même carte R. Chaque carte R virtuel des Vms est
attachée à une carte R physique ds une équipe.
- Dynamique -> Capable de rediriger les flux TCP entre les cartes R
les moins sollicité. La répartition de charge se
base en regardant les flowlets ds les flux.
Flowlets = sont des pauses naturelles ds les flux TCP.
En mesurant le nbr de flowlets on saura si une carte R
Est sollicité. Beaucoup flowlets = beaucoup de trafic.

* Ajouter 3 cartes R sur SRVFIC :

Vmware : Settings du SRVFIC - Add - Network adapter - finish - Faire ça encore 2x

* Sur SRFVIC : Créer une équipe

Gestionnaire Serveur - cliquer à gauche serveur local - cliquer à droite d’association de carte R - sélect SRV - Tâches
- new équipe - nommer : SRVFIC AGREGATION TEAM + cocher les 2 -
Cliquer propriétés supplémentaires : Mode d’équipe -> Indépendant switch
Mode équilibrage -> Dynamique
Carte R en attente -> Aucun ok - quitter

Il faut attribuer une @ip à la new carte d’agrégation.

Attribuer l’ancienne @ : 192.168.0.2/24 et l’@DNS : 192.168.0.1 + configurer la config de Vm SRVFIC et choisir le
type qu’on a défini sur notre Vm (bridge, local, Nat ou Vm net n°…)

* Ajouter la 3ème carte R ds notre équipe :

Tous les serveurs - sélect SRVFIC - droit config l’association cartes R - équipes - droit SRVFIC AGREGATION TEAM -
propriétés - cocher 3ème -
Propriétés supplémentaires - carte R en attente : Ethernet 3 - appliquer - ok

V) 1) Mise en place d’un serveur DHCP :

13
Besoin : Contorse doit mettre un serveur DHCP pr attribuer des @ à des machines.
La config du SRV DHCP sera la suivante :
- Étendue Contorse -> 192.168.0.1 à 192.168.0.254
- Étendue d’exclusion -> 192.168.0.1 à 192.168.0.20
- Baux DHCP pr l’intervenant -> 192.168.0.50
- DNS -> 192.168.0.1
- Gateway -> 192.168.0.254
- Bail -> 6 jours

Principe du DHCP :

1 DHCP DISCOVER Découverte des SRV DHCP sur

le réseau par le client

2 DHCP OFFER Proposition d’@ ip par le SRV

2 au client

3 DHCP REQUEST Client accepte la config et

avertit le SRV DHCP

4 DHCP ACK SRV DHCP retient valide la

config et l’envoi au client

La topologie de la société évolue et intègre un routeur ADSL pr aller sur internet.

* Sur Client :
Cnx bureau à distance - @ SRVFIC : 192.168.0.2
Gestionnaire SRV - cliquer N°3 ajouter d’autres serveurs à gérer - cliquer rechercher mtn - sélect SRVAD01 -
cliquer icone play - ok

* Ajouter le rôle SRV DHCP :

Cliquer AD DS - tâches le 1er - suivt - suivt - sélect SRVAD01 - suivt - sélect DHCP - suivt - ds ajouter des
fonctionnalités faire suivt - créer - ok [On a créé le rôle de SRV DHCP sur le SRVAD]
De retour au tableau de bord - cliquer N°4 créer groupe de SRV - ds nom du groupe écrire : Active Directory -
sélect SRVAD01 - cliquer icône play pr ajouter - ok [on a créé groupe AD contenant SRVAD du domaine]

Cliquer à gauche sur DHCP - sélect autres (en dessous de tâches) - terminer config DHCP - suivt - suivt -
terminer - cliquer SRVAD01 - suivt - valider - fin [La config est terminée]

* Ajouter icône DHCP au démarrage :

W - outils d’admin W - droit sur DHCP - épingler démarrage - redimensionner petit - cliquer sur icône DHCP
Droit sur DHCP - ajouter SRV - sélect « le SRV DHCP autorisé » - sélect SRVAD01 - ok

Droit sur ipv4 - ajouter une étendue - nom : Contorse - suivt - 192.168.0.1 à 192.168.0.254 - longueur 24 - suivt
- ajout d’exclusion : de 192.168.0.1 à 20 - ajouter - exclure gateway : 192.168.0.254 - ajouter - suivt - durée bail
- 6 jrs - suivt - cocher oui - suivt - mettre @ gateway : 192.168.0.254 - ajouter - suivt -
domaine parent = contorse.local - suppr l’@ gateway - suivt - suivt - cocher oui - terminer

14
A gauche - ipv4 - étendue - droit réservation - new réservation - nom : Intervenant
@MAC : [Terminal/ «ipconfig /all »/copier l’@
MAC du client et coller ds la réservation]
(Et activer le mode DHCP ds propriétés ipv4)
Types : les 2
Ajouter - terminer [Créer un bail DHCP permet de récupérer les options d’étendue étant créés sur
l’étendue]

Ncpa.pcl - droit sur carte R de contorse.local - propriétés - ipv4 - cocher obtenir auto pr @ et DNS - ok - ok

Terminal - ipconfig /all -> voir si notre config est bien enregistré

Résumé : Pr que le SRV DHCP délivre des @ ip à ses clients, il faut créer une étendue.

2) Haute Dispo DHCP (Fail Over) : Permet au service de continuer même en cas de pb d’un des SRV

Le rôle DHCP propose 2 modes de basculement :

- Optimiser l’équilibrage de charge SRV DHCP
- Mettre un SRV de secours

Pr faire de la Haute Dispo on mettra en place un cluster.

Cluster = contient 2 ou plusieurs SRV faisant les mêmes tâches

CLUSTER
SRV SRV

1 2

Sur les 2 SRV sont installés le même

rôle. Il ft cette condition pr mettre un Permet de répliquer sur l’autre
Cluster SRV

Pr fr de la Haute Dispo il ft 2 SRV ou est installé le rôle SRV DHCP et créer l’étendu sur le 1er SRV DHCP.

 Mode équilibrage de charge :

Failover
Relationship

Partenaire Partenaire

Étendu : Réplique étendu :

SRV DHCP de … à … de … à … SRV DHCP
Les 2 SRV sont
1 2
Attribut 50 % Attribut 50 % synchronisé
d’@ip d’@ip

La base de données du 2nd SRV DHCP sera mise à jour automatiquement. Si un SRV DHCP n’est plus dispo, le 2nd
prendra le relais car sa base de données sera à jour.

15
Lors d’une panne d’un SRV son état sera interrompue de même qu’un chronomètre est mis par défaut, c’est le
Switch Over Interval.
Si la cnx n’est pas rétablie au bout d’un moment l’état passe en partenaire inaccessible, de même qu’un autre
chronomètre se met en place, c’est le Maximum Client Lead Time.

 Mode Serveur de secours :

Partenaire Partenaire

Active Veille Seul DHCP Actif répondra aux

SRV DHCP SRV DHCP requêtes DHCP aux clients.
Après avr attribué une @ip aux
1 2 clients, il réplique sa Base de
Attribut Attribut Donnée au 2nd SRV DHCP
95% d’@ip 5% d’@ip

Résumé : Failover DHCP fonctionne QUE pr les étendues ipv4. Il peut avoir que 2 membres par relation.
Le SRV DHCP peut avoir plusieurs relations avec différents SRV DHCP.

 On va prendre notre exemple qui est avec 3 SRV DHCP :

Failover Failover
Relationship Relationship

Étendu : Étendu :
SRV DHCP de … à … de … à …
SRV DHCP SRV DHCP
1 Partenaire Partenaire
2 3
New Étendue New Étendue
Partenaire Partenaire

Ce mode est très intéressant quand on possède plusieurs DHCP sur son R. Cela garantit la continuité de service
en cas de panne d’un des SRV DHCP.

Le SRV 2ndaire est partenaire de la relation avec le 1er SRV DHCP et aussi partenaire de la relation avec le 3ème
SRV DHCP.

* Installer la fonction d’équilibrage de charge ac Powershell :

Se co sur SRV FIC : Terminal -> taper powershell -

« Add -WindowsFeature -name DHCP -IncludeManagementTools -Restart »

Ds gestionnaire srv – si on voit le sigle cliquer terminer la config DHCP – suivt – terminer –
(on autorise le SRV DHCP à communiquer ac l’AD)

(Si le sigle n’apparaît pas écrire ds powershell : « Add-DHCPServerInDSCVRAD0 192.168.0.1 »)

Ds tableau de bord – DHCP – on doit voir le SRVAD & SRVFIC

* Créer la relation entre les 2 SRV :

Sur client – se con sur SRVAD01 –
W – icône DHCP – ipv4 – droit étendue – config basculement – saisir « srvfic.contorse.local » - suivt -

16
changer nom : srvad01 / SRVFIC Failover, 0h 10mn, équilibrage de charges , 50% 50%, cocher à gauche de 5mn
et en dessous, mdp : password – suivt – terminer – fermer

* Ajouter 2nd SRV DHCP à la console MMC :

W – icône DHCP – droit DHCP – ajouter SRV – nommer : srvfic.contorse.local – ok

* Activer name squatting (squattage de nom) :

SrvAD01 – ipv4 – propriétés – sélect en bas – activer protection des noms – ok - appliquer – ok
SrvAD01 – Propriétés – filtrer – cocher activer liste verte + activer liste d’exclusion – appliquer – ok

VI) 1) Introduction GPO :

Facilite et optimise la gestion centralisée des paramètres de configuration. Pour les users, ordis ou les 2.

Users -> Paramètres de comptes users. S’applique qu’au compte

user quel que soit l’ordi sur lequel il travail. Paramètres de stratégies
de groupes s’enregistre ds
Ordis -> Paramètres de comptes ordis. S’applique à un ordi spécifique l’objet stratégie de groupe
quel que soit l’user qui s’y connecte.

Les GPO peuvent se lier à des sites. Sites = Structure physique de notre R. -> C’est un groupe de sous-R TCP/IP
ac chaque sous-R représentant
segment de R physique

Les GPO peuvent s’appliquer à des domaines. Domaines = regroupement logique d’objets pr une gestion
centralisée et à des OU.

Ds quel ordre sont appliqué les GPO ? 1) Site (N°1 par défaut) 2) Domaine 3) OU Par défaut
la stratégie située au conteneur Domaine continuera à s’appliquer pr les objets enfants !!!
Se trouve ds : Default Domain Policy. C’est-à-dire pr ts les ordis et users du domaine.

Rappel : on a 2 types de paramètres de stratégie -> - Pour ordis (au démarrage système)
- Pour users (ouverture de session)

On peut bloquer l’héritage d’une GPO : Les paramètres stratégie GPO situé sur conteneur supérieur seront
ignorées par l’OU enfant !

* Pr outrepasser le blocage d’héritage d’une GPO :

aller sur la GPO qu’on veut forcer – droit dessus – sélect appliquer (pr valider)

2) Mise en place de GPO :

Ds la société contorse, les users se plaignent : - Pas avr accès au lecteur R
- Perdre leurs docs de travail & ne sont pas sauvegardé
- Ses pbs agace le patron

Solution : ?  Mettre des stratégies

Pr que les users accèdent à ce répertoire partagé, ft créer manuellement un lecteur R pointant sur ce partage.
Ac cette méthode faudra fr cette manipulation sur tous les postes de la société !

17
Les GPO simplifient les tâches de l’Admin. GPO = Ensemble règles pr gérer les users et les ordis.

- Plusieurs domaines
Les GPO s’appliquent à
- Domaines individuels

- Des OU

- Systèmes individuels -> c’est la GPO Local

* Sur client : Mettre en place stratégies de groupe

W – cliquer icône Gestion stratégie groupe – cliquer Domaines – contorse.local – Default Domaine – cocher ok
– paramètres – afficher tout (on voit les GPO par défaut)

Droit contorse.local – lancer objet GPO – nommer Environnement users – ok (la GPO est crée mais elle est
vide) Info : Plus il y aura de GPO, plus le temps d’ouverture de session sera long !!

Droit Environnement – modifier – en est sur « Éditeur gestion stratégie groupe » - config user – préférences –
paramètres W – mappage lecteurs – sur fond blanc fr clique droit – new – lecteur mappé – sélect -
Action : créer, emplacement : \\192.168.0.2\départements , cocher reconnecter, nommer : Commun,
prendre (z), aucune modif, afficher tous les lecteurs – ok
(Notre lecteur R est créé, reste à l’appliquer aux users du domine)

Ns avons défini une GPP users pr notre stratégie Environnements users. Ça veut dire que ts les users présents
ds ces différentes OU vont Hériter de cette stratégie.
Il est préférable de lier la stratégie à l’OU Groupes Globaux, car c’est ac cette OU qu’on trouve l’organisation
de la société.

Ds gestion stratégie groupe – contorse.local – droit environnements users – suppr – oui

Objets stratégie groupe – prendre environnements users pr le glisser ds dossier Groupes Globaux – ok

Les stratégies pr le site, domaines et les OU sont placées ds dossier :

« %systemRoot%sysvd\Domain\Policies »

Chaque stratégie de groupe est créé et possède son propre Id -> Bien noter son Id quelque part !

* Accéder au répertoire ou est stockée cette stratégie :

Recherche W – taper powershell ISE – sélect fichier – Nouvel onglet powershell à distance – nom : srvad01 ,
nom user : contorse\administrateur – connecter – fr mdp – ok (ds powershell on est co sur SRVAD01)

Powershell : taper Cd \Windows\SYSVOL\domain\Policies

taper dir – saisir « cd .\ » et sélect le répertoire contenant les paramètres de la stratégie

Sélectionner répertoire user : saisir cd user – dir – sélect répertoire Préférences - saisir cd .\Preferences –
sélect Drives – saisir dir – (les formats xml permet une structure ordonnée) -
Pr visualiser la structure du fichier xml fr la commande -> Get-content Drive.xml
(Ne pas modifier à partir de ce fichier ! ) quitter

Ds Gestion stratégie de groupe – groupes globaux – droit sur objets de stratégies de groupe – sauvegarder tout
– parcourir – doc, sauvegarde GPO – créer new dossier – description : nommer Sauvegarde de toutes les GPO
du domaine – sauvegarder – ok

* Pr Restaurer les sauvegardes :

Ds Gestion stratégie de groupe – groupes globaux – droit sur objets de stratégies de groupe – gérer les
sauvegardes – sélectionner la ou les GPO à restaurer et cliquer sur restaurer (Ne pas le faire)

18
Résumé :
Lorsque l’on créé une GPO, il est très important de bien la nommer. Une GPO contient plusieurs paramètres de
stratégies pr des raisons de performances. On a vu cmt sauvegarder une GPO et cmt la restaurer. C’est
important si on doit réinstaller son AD, car permet de gagner du temps.

3) Profils locaux & profils itinérants :

Pr éviter la confusion de multiplication des profils  Créer un profil que d’autres users peuvent accéder.
C’est le profil itinérant.

Profil itinérant : Qd un user ouvre une session, le profil est téléchargé, créant une copie locale sur
l’ordi de l’user.
Qd l’user ferme une session, ses modifs apportées au profil sont MAJ sur une copie
locale et le SRV.
Le profil de l’user n’est plus stocké en local sur disque de l’ordi mais il est enregistré
sur un SRV Windows, cad qu’il peut s’enregistrer sur SRVAD ou SRVFIC sous W.
L’avantage : permet à un user de récupérer son profil et tous les docs même sur un
nouveau PC, à condition que l’ordi soit intégré au Domaine.
Inconvénient : Si le profil est lourd sera lent à copier et transférer.

Profil local : Présente des inconvénients : Ne permet pas de centraliser les documents
L’avantage : l’ouverture de session est rapide car le profil est chargé depuis le disque
dur du poste. Les profils locaux sont stockés ds : Ce pc – Disque (C :) – Users

Profil obligatoire : Les users apportent QUE des modifs transitoires à leurs environnement. Ces modifs
ne sont pas sauvegardées et qd il se connecte à une new carte R, il se retrouve ac
leur profil initial.
L’inconvénient : La dispo du profil pr que l’user ouvre une session. C’est un type
intéressant pr un PC libre-service.

* Se co sur SRVFIC : Pr avr profils itinérants, ft créer répertoire partagée accessible à travers le R pr les
users du domaine.

Gestionnaire SRV – tous les SRV – services fichiers – partages – tâches (à gauche) – new partage – sélect
« partage SMB-rapide » - suivt – sélect ReFs – suivt – nom partage : Profils$ - cocher les 2premiers – suivt –
terminer – [le partage est créé]

* Modifier les droits des users du domaine :

Partages – sélect « Profils$ » - droit propriétés – autorisation – personnaliser les autorisation – partage – sélect
tt le monde – suppr – ajouter – sélect Principal – vérifier noms – double clique user domaine – ok – cocher
modifier – ok – autorisation – désactiver l’héritage – le 1er – ds liste sélect tt le monde – suppr – ok – ok – fini
[répertoire partagé Profil$ est prêt]

* So sur client :
W – icône Centre Admin AD – vue d’ensemble – rechercher Anna Gaultier – droit dessus – propriétés – profil –
chemin : \\192.168.0.2\Profils$\%username% - ok

* Se co ac session Anna Gaultier : Voir si c’est un profil itinérant

Ce pc – propriétés – paramètres avancées – s’identifier en Admin – ds Profils users – paramètres – on voit
statut d’Anna Itinérant !
(Pr l’instant SRVFIC a crée le répertoire à son nom ds répertoire Profils$ grâce à la variable %username%)
ok – ok se déconnecter et se reconnecter ac profil Anna.

L’inconvénient des profils itinérants est qu’à l’ouverture de session se sera très long.

19
4) Redirection de dossiers :
* Sur SRVFIC : En compte Admin du domaine

Créer répertoire partagé contenant docs users : W+E – DATA (…) – shares – créer dossier redirection – fermer

* Sur client : Créer des GPO pr la redirection de dossiers

Gestion stratégies groupes – contorse.local – groupes globaux – droit environnement users – modifier – config
user – stratégies – paramètres W – redirection de.. – bureau – droit propriétés – choisir méthode de base,
créer dossier pr chaque user, \\192.168.0.2\redirection\ - appliquer – ok – ok – quitter.
(On a paramétré la redirection dossier du dossier Bureau vers le répertoire partagé redirection, comme ça tous
les docs qui seront crées sur Bureau seront aussi copiés sur SRV)

Gestion stratégie groupe – contorse.local – Groupes globaux – service direction – cliquer Héritage de stratégie
de groupe (on voit que cette OU hérite de 2 stratégies)

Droit sur dossier service direction – bloquer l’héritage (permet de bloquer la stratégie parent)
Par contre on aura un pb car la stratégie groupe Default Domain Policiy sera bloquée.

Droit default domain policy - appliquer – sélect service direction

(La GPO sera appliqué malgré le blocage de la stratégie)

* Se co ac Julie Clement :
Vérifier que le statu marche -> Terminal – gpresult /R – être ds c:\Users\julie.clement\Document>
Taper gpresult /H test.html (va créer un fichier ds Documents)
Aller ds W+E – Documents - cliquer fichier html (Affiche détails de la GPO) – quitter.

Terminal – gpupdate /force (Pr forcer la GPO)

Les principales raisons pr qu’une GPO ne s’applique pas :

 DNS sur poste Client ne correspond pas au SRVAD

 Sur SRV DNS il y a 2 @ip pr le même nom de machine
 Pc Client n’est pas sur le R
 Mauvais paramétrage GPO
 Pb de droits sur le répertoire partagé

* Sur Bureau Client : Créer un nouveau Dossier

W recherche: \\192.168.0.2\redirection\julie.clement (si on voit dossier Bureau, la redirection est ok) L’intérêt
de rediriger les dossiers est de démarrer ac un profil local, tout en centralisant ses docs à un endroit précis.

* Se co ac compte contorse\Administrateur :
Gestion stratégie groupes – sites -droit résultats – assistants… - suivt – sélect en bas le poste client – ok –
cocher Ne pas afficher .. – suivt – sélect julie.clement – suivt – suivt- terminer.
Donc c’est fini, une fenêtre affiche le résultat de GPO et on peut trouver 3 paramètres :
Résumé, Détails & Evénement de stratégie

Résumé : La redirection de dossiers est un avantage pr l’ADMIN et l’user. Mais manque de souplesse pr
accéder à ses docs à partir de n’importe quel device. On peut évaluer l’application des GPO d’un poste du
domaine ac la Gestion de stratégie de groupe.

20
5) Mappage :
Ds l’entreprise un user (M.GONSOR) nous appel pr installer sur son poste client un Plug-In, sauf que pr installer
des choses sur le client, l’user doit disposer des droits ADMIN pr le faire.

La solution : Créer une GPP qui va attacher Groupe Globale de la Direction au Groupe d’Admin local.

De cette façon les user pourront installer des logiciels sur leurs postes sans passer par l’ADMIN.

* Se Co sur Client :
Centre d’Admin AD – contorse.local – computers – sélect l’ordi – déplacer – GG – service direction – ordis – ok

* Lister ts les objets user du domaine :

A gauche cliquer recherche globale – cliquer bouton à droite de ^ - ajouter critères –
cocher : le type d’objet est user /… - ok .

* Créer groupe admin locaux à la racine Groupe Globaux (GG) :

contorse.local – GG – droit new – groupe – nommer :Admins_locaux – A gauche cliquer Membres – ajouter –
taper gg – vérifier noms – sélect GG Direction – ok – ok
L’avantage de créer un Groupe Admin local, si plus tard on doit élever les droits d’un user du domaine, suffira
de l’ajouter à ce groupe.

* Créer GPP :
Gestion stratégie groupe – désactiver l’héritage pr l’OU service direction – GG Service Direction – droit dessus –
bloquer l’héritage – GG – droit sur 1er – nommer : environnements ordis – droit dessus – modifier – config ordi
– paramètre du Panneau – users & groupe – sur fond blanc droit – new – groupe local – action : Mettre à jour,
nom groupe : Parcourir – Administrateur (intégré), ajouter : admins_locaux, ok, ok.

* Pr vérifier se co ac stéphane Gonsor: W+E – ce pc – modifier – users & groupes – Administrateurs (on voit
que le groupe »Amins_locaux » a bien été ajouté)

* Se co en Admin domaine :
Gestion stratégie groupe – droit environnements ordis – modifier – config ordi – Préférences – paramètre
panneau – users & groupe – droit administrateur – droit propriétés – commun – sélect dernier – ok

Si un user veut personnaliser l’environnement W pr améliorer Office 2016, il faut un fichier ADMX qu’on peut
ajouter. Donc télécharger le fichier ADMX sur site Microsoft, copier sur le client et l’installer.
Il ft créer un Magasin Central pr importer ds gestion de stratégie de groupe.

W+E – (C) – Program files (x86) – Microsoft Group Policy – W10 – PolicyDefinitions – copier répertoires « fr-
FR » et « us-US » + tous les autres fichiers ADMX

* Monter lecteur R : \\192.168.0.1\c$

* Cliquer sur ce lecteur et coller à : W – SYSVOL – sysvol – contorse.local – Policies –
créer Dossier « Policy Definitions » et coller

Gestion stratégie groupe – contorse.local – GG – droit dessus – créer GPO –

nommer : Environnement postes W10 – droit dessus – modifier – config ordi – stratégie – modèles d’admin –
ok .

La création d’un magasin central est utile car on centralise les fichiers ADMX ds un même endroit.

Résumé : Il est simple d’ajouter un groupe de domaine à un groupe locale grâce aux GPP. L’intérêt est de
donner des droits particuliers à des users du domaine sur les stations de travail.

21
VII) HONOLULU : Sert à gérer ses SRV Windows ac Windows Admin Center

On peut gérer un SRV W de plusieurs façons : - Bureau à distance

- MMC (avec RSAT)
- Powershell
- Honolulu

Avec Honolulu on a plus de problèmes de ports pour que notre SRV soit en local ou en WAN. On peut passer
ses SRV en mode Core.

Honolulu peut monitorer ses SRV et Administrer se SRV.

Honolulu ne peut pas administrer certains rôles comme l’AD, DNS, DHCP, IIS …

Installation : Pr un SRV W 2012, installer la dernière version

http://docs.microsoft.com/en-us/powershell/wmf/5.1/install-configure

Pour un SRV 2016, pas besoin de le faire.

Sur SRV : Terminal

1. Cmd : Enable-PSRemoting
2. Ouvrir les ports pare feu : Set -NetFirewallRule -Name WINRM-http-IN-TCP-PUBLIC -RemoteAddress Any

Sur Poste :

1. Télécharger SRV : https://www.microsoft.com/en-us/evaluate-windows-server-Windows Admin Center

2. Cliquer sur tuile WAC, ou ouvrir EDGE et se co à http://localhost:6516/
3. Cliquer Add et sélect Add server connection
4. Saisir @ip du SRV
5. Sélect SRV et cliquer Gérer en tant que
6. Saisir crédenciales du SRV
7. Se connecter

VIII) Sauvegarde & corbeille AD :

Pour protéger les données de l’entreprise il faut faire un plan de sauvegarde et de récupération.
La sauvegarde de fichiers prémunit la perte accidentelle des données users.

L’admin doit vérifier que les sauvegardes soient correctement effectuées, les conservées en lieu sûr et vérifier
que leur restauration est opérationnelle.

Le plan de sauvegarde peut être différent d’une entreprise à une autre.

La fréquence de sauvegarde dépend de la modification des données. Le temps de restauration est un facteur
crucial ds le plan de sauvegarde. Pr les systèmes essentiels de l’entreprise, faut pouvoir remettre en ligne sans
délai. Notre plan de sauvegarde doit en tenir compte.

On peut avoir besoin de plusieurs périphériques de sauvegarde :

 Disque dur
 Lecteur de bande
 Lecteur optique
 Lecteur disque amovible
22
Généralement on prend les disques durs comme support de sauvegarde.

Il est préférable de fr programmer ses sauvegardes à des périodes ou l’utilisation des machines et systèmes est
au plus bas pr bénéficier des meilleures performances, par exemple la nuit.

Il peut s’avérer TRÈS UTILE de sauvegarder HORS entreprise ds le CLOUD, pr se protéger des catastrophes
naturelles comme incendie, inondation, vol…

* Sur SRVAD ac le client : Installer rôle de sauvegarde

[Faut installer sur Vm SRVAD un 2nd disque dur en NTFS]

Gestionnaire SRV – tous les SRV – droit dessus – ajouter SRV -sélect SRVAD01 – encore sélect – icône ^ - ok

Gérer – ajouter fonctionnalités – suivt – suivt – suivt – cocher service de fichiers et stockage – suivt –
fonctionnalités -> cocher sauvegarde Windows Server – suivt – terminer – fermer

(RSAT ne fournit pas une MMC pr gérer les sauvegardes à distance) Faut se co sur SRV en bureau à distance ou
se co directement sur SRV ou utiliser Powershell.

* Se co sur SRVAD :
Gestionnaire SRV – outils – sauvegarde Windows Server – A gauche cliquer sauvegarde locale – haut à gauche
cliquer Action – sauvegarde unique

Les différents types principaux de sauvegarde :

 Sauvegardes complètes
 Sauvegardes par copies
 Sauvegardes différentielles
 Sauvegardes incrémentielles
 Sauvegardes quotidiennes

La 1ère sauvegarde d’un SRV est toujours COMPLÈTE.

Ds assistant sauvegarde unique – suivt – suivt – suivt – sélect srvad01 – suivt – ok – suivt – fermer

A droite Actions – configurer paramètres – sélect le 3ème, fr sauvegarde complète – ok.

* Pr voir cmt supprimer un user et le restaurer :

Gestionnaire SRV – outils – centre d’admin AD – gauche contorse.local – suppr stéphane GONSOR

* Récupérer l’user ac l’outil de restauration :

Gestionnaire SRV – server local – tâches – arrêter le srv – sélect démarrer, mettre com :Reinstall user – ok

Au démarrage de la VM, appuyer successivement sur la touche F8 pr fr apparaître le Menu de Démarrage.

Sélect mode Restauration des services d’annuaires.

* Se co Admin du domaine :
Outils – sauvegarde windows server – sauvegarde locale – a droite en dessous de Aide – sélect un autre
emplacement – suivt – suivt – sélect srvad01 – suivt – suivt – cocher Etat system – suivt – comme on a 1 seul
SRVAD cocher 1er – suivt – ok – sélect redémarrer Auto – terminer – ok.
(L’inconvénient de cette méthode, ft arrêter le service pr restaurer 1 seul objet)
contorse.local – à droite activer corbeille (si on ft ça on ne pourra plus désactiver la corbeille !) – oui – ok –
actualisé.
On aura un Dossier représentant la corbeille ds la racine, et cela ns permettra de trouver les objets supprimés.

Veeam Backup -> Logiciel pr sauvegarder une infrastructure hyper-v ou Vsphère

23
 II) Mise en place d’un service de mise à jour WSUS

Sommaire
1) Prérequis ....................................................................................................................................p2
5

2) WSUS ..........................................................................................................................................p2
6

2.1) Installation de
WSUS ...............................................................................................................p26
2.2) Configuration de
WSUS ...........................................................................................................p27
2.3) Groupe
d’ordinateur ...............................................................................................................p30

3) Approuver et déployer des mises à jour

WSUS .........................................................................................................................................p3
1

4) Création de la GPO
WSUS...........................................................................................................p34

5) Mise à jour sur le

client ..............................................................................................................p36

24
25
 1) Prérequis

Pour mettre en place un serveur WSUS, nous avons besoin d’un contrôleur de domaine sous
Windows 2012, et d’une station W7 cliente qui appartient au domaine.

Le nom de mon domaine sera jordan.wsus.local

La station W7 doit être sur le domaine jordan.wsus.local :

Sur le serveur Windows 2012, faire une partition pour stocker les mises à jour de WSUS :

26
 2) WSUS

2.1) Installation de WSUS

Sur le serveur Windows 2012, dans le gestionnaire de serveur, aller dans gérer / ajouter des rôles
et des fonctionnalités.

Dans rôles de serveur, cocher Services WSUS pour installer le service WSUS

Ensuite il faut cocher WID Database et WSUS Services :

Il faut par la suite indiquer l’emplacement pour stocker les mises à jour : (D : est ma partition dédiée
pour WSUS)

Puis faire suivant jusqu'à la fin de l’installation.

27
2.2) Configuration de WSUS

Apres l’installation, dans les notifications du gestionnaire de serveur, cliquer sur lancer les tâches
de post-installation

Une fois le chargement terminé, aller dans rôles / services WSUS

L’assistant de configuration s’ouvre, nous allons créer notre premier serveur de mises à jour, il faut
donc cocher synchroniser à partir de Microsoft Update :

Nous utilisons un proxy dans l’établissement, nous devons le renseigner :

Ensuite nous devons démarrer la connexion :

Après le chargement, faire suivant :

28
Il faut ensuite choisir la langue des mises à jour à télécharger :

Puis choisir pour quel produit télécharger les mises à jour :

Ensuite choisir les classifications des mises à jour : (pour faire des tests, je ne sélectionne que
certaine MAJ)

Nous devons ensuite choisir la planification de la synchronisation :

Puis terminer la configuration en démarrant la synchronisation initiale :

29
Dans le menu du gestionnaire de service WSUS, nous pouvons voir le nombre de tâche à effectuer
(synchronisation) :

Dans l’onglet synchronisation, nous pouvons voir l’évolution de la synchronisation initiale :

Une fois la synchronisation terminée, nous aurons cela :

30
2.3) Groupe d’ordinateur

Dans le menu du gestionnaire de service WSUS, sous l’onglet options / ordinateurs

Nous allons définir le déploiement de mises à jour via GPO :

Puis ensuite, nous allons ajouter un groupe d’ordinateur à utiliser sur la console WSUS :

Entrer le nom de notre groupe d’ordinateurs :

Notre groupe Mes_ordis est disponible :

31
 3) Approuver et déployer des mises à jour WSUS

Nous allons créer une GPO et la configurer pour que tous nos clients reçoivent cette GPO ainsi que
les mises à jour distribuées depuis notre serveur WSUS.

Dans le gestionnaire WSUS, sous l’onglet Toutes les mises à jour choisir toutes les exceptions pour
approbations et état.

Sélectionner plusieurs mises à jour pour les l’approuver :

Et sélectionner approuver pour l’installation :

32
 4) Création de la GPO WSUS

Nous allons créer une UO Ordis pour y placer notre station W7 :

Dans la gestion de stratégie de groupe (gpmc.msc)

Puis créer une GPO WSUS Win7, et faire clic droit puis modifier :

Puis dans le chemin configuration ordinateurs / stratégies / modèles d’administration /

composant Windows / Windows update et double clique sur configuration du service Mises à jour
automatiques :

33
Il faut activer les mises à jour automatiques, et sélectionner l’option 3 :

Ensuite double clique sur spécifier l’emplacement :

Il faut activer l’emplacement, et entrer l’adresse web de notre serveur :

34
Puis double clique sur Autoriser le ciblage côté client :

Activer le ciblage côté client, et entrer le nom du groupe créer dans WSUS :

Enfin double clique sur Autoriser les non-administrateurs à recevoir les notifications de mise à jour,
et désactiver cette règle :

35
Nous allons appliquer la GPO, il faut faire clic droit sur la GPO et sélectionner appliqué

Nous allons lier la GPO à l’UO Ordis :

Puis sélectionner la GPO WSUS Win7 :

36
5) Mise à jour sur le client

Sur le client dans l’invité de commande CMD faire la commande GPUPDATE /FORCE pour forcer la GPO
à s’appliquer.

Ensuite il faut aller dans Windows Update et faire une recherche de mise à jour. Nous devons voir que
les mises à jour sont gérées par l’administrateur du système.

Les mises à jour devraient être enfin disponibles :

Les deux mises à jour disponible sont bien celle que nous avons approuvé sur le serveur WSUS

37
 III) WINDOWS SERVER 2012 R2 INSTALLATION WDS
Windows Déploiement Services
Windows Server possède un service d’installation de Windows par réseau, appelé WDS
(Windows Deployment Services). Ce service, par un environnement PXE, permet de booter via le
réseau sur une image de Windows (boot.wim), puis de faire l’installation d’un Windows.

1) Installation de WDS (Windows Deployment Services) :

=> Gestionnaire de serveur -> Gérer -> Cliquez sur Ajouter des rôles et des fonctionnalités.
=> Avant de commencer : Cliquez sur Suivant.
=> Type d’installation : Cliquez sur Suivant. => Sélection de serveur : Cliquez sur Suivant.
=> Rôles des serveurs : Cochez Services de déploiement Windows, une fenêtre popup apparait
cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.

=> Fonctionnalités : Cliquez sur Suivant.

=> WDS résumé du service : Cliquez sur Suivant. => Services de rôle : Cliquez sur Suivant.

38
=> Confirmation : Cochez Redémarrer automatiquement le serveur de destination, si
nécessaire, puis cliquez sur Installer.

=> Résultats : Une fois l’installation terminée, cliquez sur Fermer.

2) Configuration de WDS (Windows Deployment Services) :

=> Gestionnaire de serveur -> Outils -> Sélectionnez Services de déploiement Windows.
=> Cliquez sur Serveurs -> Faire un clic droit sur le nom du serveur -> Sélectionnez dans le menu
Configurer le serveur.

39
=> Avant de commencer : Cliquez sur Suivant.
=> Option d’installation : Ici nous ne sommes pas dans un domaine, donc choisir Serveur
Autonome, puis cliquez sur Suivant.

=> Choix de l’emplacement du dossier d’installation à distance, vous allez choisir la lettre D:
normalement c’est votre deuxième partition ou deuxième DD appelé Data.

=> Serveur DHP Proxy : Ne rien changer, cliquez sur Suivant.

=> Paramètres initiaux du serveur PXE : Cochez Répondre à tous les ordinateurs clients
(connus ou inconnus), puis cliquez sur Suivant.

40
=> Progression de la tâche : Cliquez sur Terminer.

Résultat attendue :

3) Mise en place dans WDS des Images de démarrage

Il est conseillé de mettre l’image de boot (boot.wim), du Windows le plus récent en 32 et 64 bits.
Pour le moment le dernier Windows est Windows 10 1607.

=> Mettre le DVD de Windows 10 64 bits dans le lecteur.

=> Gestionnaire de serveur -> Outils -> Sélectionnez Services de déploiement Windows. =>
Cliquez sur Serveurs -> Cliquez sur le nom du serveur (WS2012R2).
=> Faire un clic droit sur Images de démarrage, puis sélectionnez Ajouter une image de
démarrage….

=> Cliquez sur Parcourir, pour explorer votre DVD de Windows 10 64 Bits, une fois le fichier
boot.wim sélectionné, cliquez sur Suivant.

41
=> Métadonnées d’image : A vous de personnaliser ou de laisser le nom de l’image, ensuite
cliquez sur Suivant.

=> Résumé : Cliquez sur Suivant.

=> Cliquez sur terminer à la fin de l’opération.

Voici le résultat après l’installation du boot en 64 bits.

Cette opération est à refaire pour le boot en 32 bits.

4) Mise en place dans WDS des Images d’installation :

Nous allons mettre en place pour le déploiement, l’image d’installation (install.wim). Pour cela il
faut se munir des DVDs de Windows qui serviront pour le déploiement (Windows 7, 8.1, 10 par
exemple en 32 et 64 bits)

Ici nous allons commencer par Windows 7 64 bits.

42
=> Mettre le DVD de Windows 7 64 bits OEM dans le lecteur DVD.
=> Gestionnaire de serveur -> Outils -> Sélectionnez Services de déploiement Windows.
=> Cliquez sur Serveurs -> Cliquez sur le nom du serveur (WS2012R2).
=> Faire un clic droit sur Images d’installation, nous vous conseillons de faire des groupes pour
différencier chaque Windows (ex : Windows 7, ex : Windows8.1, ex : Windows 10), pour cela
sélectionnez Ajouter un groupe d’images….

=> Personnalisez le groupe, puis cliquez sur Ok.

=> Faire un clic droit sur le nom du groupe, puis sélectionnez Ajouter une image d’installation.

=> Cliquez sur Parcourir, pour explorer et sélectionner le fichier install.wim, puis cliquez sur
Suivant.

43
=> Images disponibles : Ne rien changer, cliquez sur Suivant.

=> Résumé : Cliquez sur Suivant.

=> Un fois l’opération fini, cliquez sur Terminer.

Voici le résultat attendu, pour l’image d’installation de Windows 7 64 bits.

44
Cette opération est à faire pour toutes les images d’installation (Windows 7, 8.1, 10,
etc..) et des versions 32 et 64 bits.

Vous pouvez en faisant un clic droit sur chaque image la renommée.

Dans le WDS vous pouvez aussi intégrer les pilotes (ex : réseaux, USB, etc…) qui pourront
servir lors de l’installation de Windows.

5) Démarrage du service de déploiement WDS :

Il faut activer le service WDS pour faire le déploiement par PXE.

=> Cliquez sur Serveurs -> Faire un clic droit sur le nom du serveur (WS2012R2).
-> sélectionnez Toutes les tâches -> Sélectionnez Démarrer.

=> Cliquez sur Ok.

Voici le résultat attendu, une flèche verte se met à côté du nom du serveur.
6) Résultat visible de l’installation par PXE dans le DHCP :

=> Gestionnaire de serveur -> Outils -> Cliquez sur DHCP -> nom du serveur -> IPv4 ->
Options d’étendue.

7) Installation de Windows par PXE :

Obligation : Pour faire une installation d’un Windows via le réseau (PXE), il faut que la
machine client supporte le boot réseau dans son bios.

Activer le boot réseau : il faut allez dans le bios est activer l’option de boot réseau ( Boot
Lan, Boot PXE, etc…). Généralement pour entrer dans les bios on appuie sur SUPPR ou F2,
etc… selon la machine.

Comment booter sur le réseau : Vous avez la possibilité de configurer en premier boot le
réseau dans le bios, ou d’appuyer sur une touche, pour lancer le boot menu (ex : Asus = F8,
MSI = F11, GIGABYTE = F12, portable ACER = F12 après activation dans le bios, etc…
selon la marque).
=> Appuyez sur F12, pour lancer l’installation.

46
=> A l’arrivée du choix de la langue, cliquez sur Suivant.
=> Connexion à nom du serveur (WS2012R2) : Ici on n’est pas dans une configuration d’un
serveur dans un domaine (utilisateur@domaine), donc Nom d’utilisateur : nom du serveur\
utilisateur, puis le Mot de pass de l’utilisateur, vous finalisez cela en cliquant sur Ok

=> Vérifier le choix de la langue, puis cliquez sur Suivant.

=> Faire le choix du Windows à installer, puis cliquez sur Suivant.

47
Vous pouvez aussi ajouter un nouvel utilisateur pour ce service, par exemple :
install, pour cela il vous faudra aller dans Gestion de l’ordinateur -> Utilisateur et groupes
locaux -> Utilisateurs : créé un nouvel utilisateur avec un mot de passe qui n’expire pas.

Fin de l’installation et déploiement de WDS.

48