Rapport Windows Serveur 2008 "Active Directory Management"

Année Universitaire : 2014 / 2015

Rapport Mini projet « Active directory »

Administration des systems

Microsoft windows

Réalisé par :

AYOUB ROUZI

ISSAM CHAREF

Encadré par :

Mr. Abdelkarim KHARTOCH

U.S.M.B.A

« Mini Projet En Réseau »

Etudiant En 2ème Année Informatique,

Administration de systémes et Réseaux

Matiére : Administration des services

Ecole Supérieure De Technologie de Fès Génie informatique «ASR »

1

Introduction ……………………………………………………………………………………………………...2

Chapitre 1 : Concepts de base…………………………………………………………………………..3

Chapitre 2 : Installation de l’outil…………………………………………………………………........7

Chapitre 3 : Réalisation …………………………………………………………………...……………..11

I. Création des groupes et utilisateur…………………………………………………………….….13

II. Partage et autorisations ………………………………………………………………..................13

III. Profile itinérant …………………………………………………………………………………..15

IV. Profile obligatoire…………………………………………………………………………………16

V. Stratégie de groupe pour le déploiement logiciel…………………………………………………24

VI. Configuration GPO………………………………………………………………………………..25

Conclusion………………………………………………………………………………………………………..28

Bibliographie………...…………………………………………………………………………………………..28

2

Introduction

L'administrateur systèmes et réseaux est amené, selon le type d'entreprise pour laquelle il travaille (SSII, PME, ou grande entreprise), à gérer tout ou partie d'un réseau. En effet, plus le

réseau est important et plus les tâches sont réparties. Dans ce cas, l'administrateur devient le 'stratège' de l'évolution du réseau tandis que les gestionnaires sont chargés du quotidien.

La fonction d'administrateur systèmes et réseaux peut concerner un débutant qui évoluera ensuite vers la conception de réseau (l'architecte). Le métier évolue en effet très rapidement car

l'heure est à l'intégration des systèmes dans un nombre croissant d'entreprises.

Le rôle de l'administrateur est de faire évoluer le réseau en fonction des nouveaux produits et des nouvelles applications, mais aussi de l'optimiser. Il doit être capable de concevoir, mettre en

œuvre et maintenir des solutions techniques déterminantes pour le bon fonctionnement de son réseau.

Aidé d'outils d'administration, il gère également tout le trafic de données qui circulent via le réseau. Responsable de la sécurité du réseau, il travaille en étroite collaboration avec les utilisateurs, qu'il peut également être amené à former, ainsi qu'avec l'administrateur de bases de

données, le webmestre et les développeurs, si le réseau est très étendu.

Placé au cœur du système, ce métier est donc lié à tous les autres.

Ceci dit qu’au cours de notre mini projet nous aurons l’occasion d’aborder plusieurs aspects de

l’administration systèmes Microsoft Windows en se servant de notre outil Windows server 2008.


3

Concepts de base

I. Active Directory

Active Directory :

• est un référentiel central d’informations réseau ;

• est organisé en domaines, arborescences et forêts ;

• présente plusieurs partitions :

– Domaine

– Configuration

– Schéma

II. Un domaine

Un domaine est un groupement logique d’objets tels que des comptes d’utilisateur et d’ordinateur.

III. l’unité d’organisation

Une unité d’organisation est un conteneur dans un domaine.

4

IV. Une forêt

Une forêt est un ensemble de domaines qui s’approuvent mutuellement.

V. un compte d’utilisateur

Un compte d’utilisateur est un objet permettant l’authentification et l’accès aux ressources.

Un compte d’utilisateur peut être stocké :

Dans AD DS (compte AD DS)

- Les comptes AD DS permettent d’ouvrir des sessions sur des domaines et d’accéder à

des ressources réseau partagées.

Sur l’ordinateur local (compte local)

- Les comptes locaux permettent d’ouvrir une session sur un seul ordinateur et

d’accéder à des ressources locales.

La création d’un compte d’utilisateur génère également un ID de sécurité (SID).

VI. un compte d’ordinateur

Un compte d’ordinateur est un objet dans AD DS qui identifie un ordinateur dans un domaine.

Les comptes d’ordinateurs : sont nécessaires pour les authentifications et les audits +

Permettent d’administrer un ordinateur en utilisant des stratégies de groupe + sont

nécessaires pour tous les ordinateurs exécutant Windows NT ou plus récent.


5

VII. les groupes

Les groupes sont des ensembles logiques d’objets similaires :

Utilisateur

Ordinateurs

Autres groupes

Il existe deux types de groupes :

Groupes de sécurité Peuvent être utilisés pour attribuer des droits et des autorisations.

Peuvent également prendre en charge les courriers électroniques avec Exchange Server.

Groupes de distribution Ne peuvent pas être utilisés pour attribuer des autorisations.

Utilisés pour les listes de distribution électroniques.

Mais il existe aussi un autre critére pour différencier les groupes selon les autorisations :

Groupes globaux : Les groupes globaux peuvent recevoir des autorisations sur tout

domaine de la forêt ou domaine d’approbation.

Groupes universels : Peuvent recevoir des autorisations sur tout domaine de la forêt ou

domaine d’approbation.

Groupes locaux : dont Les autorisations des membres ne peuvent être attribuées qu’au

sein du même domaine que le groupe local de domaine.

VIII. Les droits NTFS

6

Installation de l’outil

On execute la commande suivante pour commencer l’installation :

Démarrer exécuter tapez la commande « dcpromo »

Puis on suit la guide de téléchargement

Maintenant on est sur la page d’accueil d’active directory ‘’Active Directory Services installation Wizard’’, on coche Use Advanced mode installation et on clique sur Next.

Après il suffit de cliquer sur next afin de continuer l’installation.


7

On sélectionne créer un nouveau domaine dans un nouveau foret.

8

Nous choisissons Windows server 2008


9

On accepte les emplacements par défaut et on clique sut next.

L’emplacement

de base de

données + log

files +SYSVOL

10

Puis on clique sur next et on attend la fin de l’installation

Enfin voilà.. On a terminé notre installation.

Notre machine se redémarre.

On choisit le mot

de passe de

l’administrateur

de domaine que

nous avions choisi

lors des étapes de

préparation


11

Réalisation

1. ajout d’ordinateur au domaine

12

On clique avec le bouton droit sur poste de travail dans la machine qu’on veut ajouter au

domaine, puis on se déplace à l’onglet « Nom de l’ordinateur » on clique ensuite sur modifier et on

spécifie le nom de l’ordinateur et son domaine, dans l’onglet « autres » on spécifie le suffixe DNS.

Après d’avoir cliquer sur ok. on tape le nom et le mot de passe d’un compte autorisé à joindre le domaine.

On suit le guide comme d’habitude.

C’est bien, on redémarre notre ordinatuer.

Dans Windows server on se déplace vers utilisateurs active directory après avoir redémarrer la

machine, et voilà notre ordinateur.. c’est bien ajouté !


13

2. l’ajout d’utilisateur

Maintenant on va ajouter un utilisateur, Pour y aller on clique sur « Create new user »

On remplit les champs

14

voici les différentes interfaces que vous pouvez rencontrer dans la face d’ajout de votre utilisateur

puis on accède avec le compte « a.rouzi » dans PC1

Vous pouvez le constater que notre tâche est réalisé avec succès.

On définit notre

mot de passe et

on choisit l’option

password Never

expires


15

3. Groupes et utilisateurs

Dans cette tache on va créer des groupes dans des unités d’organisations et des utilisateurs qui

seront ajouté dans ces groupes.

Comme le montre la capture, les différentes filières appartiennent à une grande unité

d’organisation et s’appelle ‘Etudiants’.

On a créé un utilisateur « issam charef » et on lui a attribué des horaires d’accès prédéfinis

(8-12 /14-18) comme le montre les images suivante.

16

Après cela, on a fait une copie sur cette utilisateur afin de créer d’autre dont la configuration

est la même, ces derniers ont étaient ajoutés à un groupe nommé « ASR »

Maintenant on peut accéder à l’ordinateur avec n’importe quel utilisateur.

4. partage et autorisation

a) configuration

Cette tâche consiste à créer un dossier « ASR » sous disk C, et lui associé des autorisations NTFS

depuis l’onglet « sécurité » et des autorisations de partage depuis l’onglet « partage », L’accès est donné

aux étudiants en lecteur et les profs ASR contrôle totale.

Après avoir créé le dossier « ASR » on fait cliquer avec le bouton droit à l’onglet propriétés-> security

Donc on peut visualiser les autorisations NTFS au groupe « prasr » qui contient les utilisateurs ‘prasr’.


17

Le même principe qui se répète,

Au niveau du groupe (étudiants) les autorisations sont différents cette fois.

On ce qui concerne les autorisations de partage on a attribué un CT pour le groupe des profs et Read

pour le groupe des étudiants.

18

> Et le voilà, le dossier partagé

b) Test

Maintenant on est connecté comme étant un utilisateur de groupe « prasr ».

Il faut se déplacer vers le chemin :

favoris réseaux --> tous les réseaux --> réseaux Microsoft Windows --> ESTF --> nom du serveur


19

Comme titre d’exemple le prof va partager aux étudiants un fichier de cours

Maintenant on se connecte comme étant un utilisateur de groupe des étudiants « asr ».

o Donc comme vous le voyez, le fichier partagé par l’enseignant dans le dossier ASR

o On peut aussi visualiser son contenu (Read droits d’autorisations)

20

o A titre d’exemple pour vérifier les autorisations si un étudiant veut modifier ce fichier,

On constate qu’il n’a pas l’autorisation pour y faire.

Cela Affiche donc :

o Si on est un utilisateur d’un groupe autre que « asr » on peut pas accéder au dossier partager ASR.

Impossible de modifier le contenu du fichier, car

l’utilisateur possède juste le doit de lecture pas plus.


21

Allons vers notre partage :

5. Profile itinérant

Nous avons créer un partage réseau pour sauvegarder les données des profils itinérant.

Il est de préférence de cacher le partage du réseau en ajoutant le symbole "$" à la fin du nom de

partage comme dans l'exemple ci-dessous "profils$".

Dans les "Propriétés" de votre partage, cliquez sur "Autorisations".

Le profil itinérant n'est en fait qu'un simple partage réseau qui sauvegarde le répertoire utilisateur et qui le

charge à chaque ouverture de session.

Mettez sur "Contrôle total" au groupe "Tout le monde".

Dans Active Directory, faite un clic droit sur l'utilisateur que nous nous voulons transformer en profil

itinérant puis allez sur "Propriétés".

Cliquez sur l'onglet "Profil" puis dans "Chemin du profil" saisissez en remplaçant par vos données:

\\nom_ou_ip_du_serveur\nom_du_partage_réseau\%Username%

22

Pour vérifier le type de profil on se dirige vers l’onglet : propriété->avancé –>paramètre


23

6. Profile obligatoire

Au début le dossier profil était vide, mais après la connexion de l’utilisateur « j.hba », le résultat est les

suivants.

Le dossier zreq est vide

Après avoir personnalisé l’environnement de travail et fermer la session,

le dossier « j.hba » est remplie par ces informations.

24

Ce profil suit les mêmes principes que profil précédents, la différence est dans la modification de

l’extension d’un fichier «ntuser.dat » à « ntuser.man ».

Remarque : ce fichier est caché, on doit l’afficher à partir d’options des dossiers.

7. Stratégie de groupe pour le déploiement logiciel.

Il s'agit d'une fonctionnalité très utile de Microsoft Active Directory. Elle permet à l’administrateur

d’un réseau de pouvoir déployer l’ensemble des machines, grâce à une stratégie de groupe, les

applications nécessaires aux utilisateurs ou de pouvoir procéder à des mises à jour automatisées et

uniformes sur une portion ou l'ensemble d'un parc machines.

La première étape, quel que soit le type de logiciels que vous souhaitez voir installer, est de placer

dans un répertoire partagé sur le serveur de fichiers, le logiciel que vous souhaitez distribuer

Une fois le point de distribution partagé, vous pouvez copier le ou les logiciels qui vous souhaitez

distribuer à l’intérieur (dans notre exemple nous installerons Google chrome), l'application doit être

au format Windows Installer (.msi)

Afin de pouvoir publier le logiciel vers tous les utilisateurs, nous devons lier la GPO créée

précédemment au logiciel.


25

Démarrons maintenant le service qu’on va travailler avec

Démarrer -> Administrative Tools -> « Group Policy Managment »

On selectionne l’unité d’organisation dejà crées pour créer Un GPO dans ce domaine

26

On le donne un nom

Après cela on clique « Edit » sur cette GPO crées

On se déplace maintenant vers partie qu’on veut configurer


27

On configure par exemple Les conditions du saisis du mot de pass

On choisit ce parametre du longeur minimal pour limiter l’utilisateur d’entrer un mot de pass court.

On définit le nombre que l’on veut.

Et le voilà ! c’est bien configuré.

28

Pour brosser notre tableau on peut dire que durant notre mini projet on a pu découvrir plusieurs

aspects d’administration systèmes Microsoft Windows et nous avons eu une vue d’ensemble claire

sur l’intégralité d’active directory qui offre des services centralisés d'identification et d’authentification

à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application

de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs.

Grace à ce mini projet on a pu exploiter notre connaissance acquise dans notre formation et mettre

en œuvre les différents éléments du module Microsoft.

Bibliographie :

- Le support du cours (AS_Microsoft_01, 02, 03, 04)

- www.udemy.com Formation Active directory sur Udemy

- www.youtube.com : Windows server 2008 r2 (Partager des dossiers & fichiers selon les permissions )

- http://www.microsoftvirtualacademy.com/training-courses/understanding-active-directory

- http://mi.cnrs-orleans.fr/Security/Win2k/ActiveDirectory/ActiveDirectory1.htm

Conclusion

http://fr.wikipedia.org/wiki/Windows

http://www.udemy.com/

http://www.youtube.com/

http://www.microsoftvirtualacademy.com/training-courses/understanding-active-directory

http://mi.cnrs-orleans.fr/Security/Win2k/ActiveDirectory/ActiveDirectory1.htm

Software

Rapport Windows Serveur 2008 "Active Directory Management"