SANZO Yannick LECOEUR Nicolas LACHOT Florence

Transcription

1 SANZO Yannick LECOEUR Nicolas LACHOT Florence Ciment Tech 110 Avenue de l Yser Mérignac Tél

2 Version : 3.0 Tableau suivi des modifications pour un document évolutif Liste des modifications du document Version Date Paragraphes modifiés Description des modifications /04/2013 Création du document /07/2013 Intégration de la partie Windows Serveur /09/2013 Intégration de la partie Linux /09/2013 Intégration de la partie Base de données /09/2013 Rapport final 2 / 106

3 Version : Présentation de l entreprise Historique et secteur d activité Situation sur le marché Forces : Couverture géographique et réseau développé Leviers de développement Nos partenaires Situation Cahier des charges Le contexte Contraintes Charte graphique Configuration réseau Schéma logique (réseau : topologie en étoile) Schéma physique Configuration des serveurs Plan d adressage réseau 16 4 Matériels Serveurs Onduleur Climatisation Switch NAS Postes clients Imprimantes 18 5 Logiciels Licence Windows Server Anti-virus OS / Pack Office 19 3 / 106

4 Version : Rôles - Tolérance aux pannes - Sauvegardes ADDS (Active Directory Domain Services) DNS (MER-DC-01 et MER-DC-02) DHCP (MER-DHCP-01) Serveurs de fichiers (MER-SF-01 et MER-SF-02) Sauvegardes GPO Sécurité des mots de passe Les impressions Les connexions réseaux Stratégie locales Gestion de l espace disque Connexions aux lecteurs réseaux 42 8 Amélioration de la gestion du parc (Continuité de services) Accès à distance Tolérance de panne (au niveau matériel) Création de scripts 49 9 Serveur Linux Partage de ressources Windows via samba serveur Service FTP (sécurisé et anonyme) Service HTTP (intranet php-mysql) Sauvegarde du site intranet Joindre une machine Linux au domaine Structure de l application pour la gestion de parc Cahier des charges Création du MCD / MPD Intégration de quelques données via PhpMyAdmin Présentation du site intranet Menu Composants du menu Gestion du parc informatique 64 4 / 106

5 Version : 3.0 Réseau LAN 73 Devis Serveur / Licence 75 Devis Onduleur 76 Procédure d installation de Windows Server 2012 Datacenter 77 Modification des fichiers ADMX 80 Planning 103 Glossaire / 106

6 Version : Présentation de l entreprise Historique et secteur d activité L entreprise a été créée en Ciment Tech est une centrale d achat dans le domaine des matériaux de construction et de l outillage. Nos franchisés sont des moyennes surfaces de bricolage destinées au grand public et aux professionnels. Nous avons fait notre renommée sur nos deux produits phare : le casque de chantier à LED et le marteau USB. Ces deux produits ont métamorphosé l industrie du bâtiment à une échelle internationale Situation sur le marché Nous avons réalisé un CA de en 2012 et nous comptons 90 salariés Nous avons doublé nos effectifs en 7 ans. Nous avons actuellement 50 points de vente répartis sur le territoire national Forces : Couverture géographique et réseau développé Rejoindre Ciment Tech, c'est être assisté à toutes les étapes de l'ouverture du point de vente : - Avant l'ouverture : étude de marché, plan d'implantation, aide au montage du dossier et formation. - Pendant l'exploitation : assistance, suivi, conseil, plan de communication, formation continue et plan de communication. L'adhérent profite avant tout d'une image de marque forte, de l'expertise d'un grand groupe, du soutien de la centrale d achats et de référencement ainsi que d'autres services Leviers de développement L entreprise souhaite diversifier ses activités connexes à la construction : Menuiserie, Charpente, Cuisine, Carrelage, Salle de bain. Aujourd hui, l'entreprise fait face aux défis du 21ème siècle en se développant dans les matériaux écologiques, les énergies renouvelables et les constructions à basse consommation énergétique. De plus, nous allons mettre en place un système de location de matériels (Machine à souffler la laine de roche, coupe-carrelage, Scie à plaque de plâtre, lève-panneaux, transpalette, bétonnière...). 6 / 106

7 Version : Nos partenaires 1.6 Situation 7 / 106

8 Version : Cahier des charges Le contexte L entreprise vient de s installer sur le nouveau site et nous avons besoin d améliorer les pratiques. L organigramme de l entreprise est celui-ci. Directeur Général Assistante Responsable Produit 1 Responsable Produit 2 Responsable S.A.V. Directeur Administratif et Financier Service Produit 1 40 personnes Service Produit 2 30 personnes Assistante Service Administratif 10 personnes Service Informatique 3 personnes Le DAF nous a soumis quelques idées et remarques : L équipe informatique n a pas de point de centralisation des données sur le parc (nom d hôtes, type de machines, localisation) ; par conséquent, l équipe informatique perd du temps pour la gestion des incidents. Il n y a pas de gestion des droits des utilisateurs. Le siège social a besoin d un serveur FTP (demande de mise en place d un serveur Linux). Nous devons implémenter Active Directory Un compte rendu mensuel devra être réalisé afin de présenter l avancée du projet. 8 / 106

9 Version : Contraintes Windows Server 2008 DNS (Configuration des zones, tolérance de panne) Sécurité des mots de passe (exigences de complexité, 8 caractères minimum) Les impressions : 1 imprimante par service (nom de l imprimante = Printnom du service) 1 imprimante pour tout le monde et les services Produit 1 et 2 ne peuvent imprimer qu entre 8 heures et 17 heures La direction est prioritaire sur toutes les impressions et les utilisent 24 h /24 Le service informatique a contrôle total sur toutes les impressions Mme LAPORTE (Assistante SAV) et Mme ADA (Assistante de Direction) peuvent imprimer chez les services Informatique, Produit 1 et Produit2. Les connexions réseaux : Connexion limitée pour Mme BEZIAT, ELLA, AYO et ACIEN (Produit 1) : de 8 h à 18 h. de plus, elles doivent être déconnectées. Aucun salarié (sauf la direction, le SAV et l informatique) ne peuvent se connecter entre 20 h et 7 heures du matin. Stratégie locale : Aucun salarié (sauf la direction et le service informatique) ne peut installer de logiciels sur sa machine ni modifier l heure. Les lecteurs disquette et CD sont désactivés sur les postes des services Produit 1 et 2. Les services Produit 1, 2 et SAV ne peuvent parcourir ou ouvrir les dossiers ou fichiers à partir d une disquette ou d un CD Gestion de l espace disque : Chaque utilisateur a droit à 5 Go sur le disque Mise en place d alertes en cas dépassement Connexion aux lecteurs réseau : Chaque service doit avoir un répertoire (nom = Communservice) qui sera attribué à chacun des salariés lors de sa connexion réseau A l intérieur de chaque répertoire, vous créerez un dossier pour chaque salarié (contrôle total sur celui-ci et aucun accès sur ceux des collègues) Seuls la direction et l informatique peuvent y accéder en plus (juste lire pour la direction) Attribuer un dossier de base à 2 users locaux au choix Attribuer un dossier de base à 2 users du domaine au choix Planifier 2 audits au hasard Configurer au moins 3 journaux à 3 jours Désactiver le moniteur d évènements 9 / 106

10 Version : 3.0 Accès à distance : Tous les postes doivent être accessibles à distance Tolérance de panne (au niveau de chaque machine et de tout le domaine) : Donner une liste de matériels prévus et les coûts associés. Création de scripts facilitant l administration des serveurs. Créer des scripts de connexion définissant l environnement propre à chaque utilisateur Server Linux Partage de ressources Windows via samba serveur Serveur DHCP (option) Service FTP (sécurisé et anonyme) Service HTTP (intranet php-mysql) (option) avec visualisation des caractéristiques techniques et logiciel des autres machines du parc informatique Création d une application (pour la gestion du parc informatique) Utilisateurs de l application développée : Les membres du service informatique (en mode gestion) Les utilisateurs du parc informatique (en mode consultation) Fonctionnalités souhaitées : En mode consultation : Consulter la liste des postes décrits par : les noms/prénoms d utilisateur, le nom du local, les caractéristiques de l UC. Pour chaque poste, offrir la possibilité de consulter : la fiche liste des écrans associés au poste, la liste des imprimantes associées au poste. Permettre la recherche multicritères de poste : utilisateur, local, mémoire vive, disque dur. En mode gestion : Enregistrer/modifier/supprimer des utilisateurs Enregistrer/modifier/supprimer des locaux Enregistrer/modifier/supprimer des écrans Enregistrer/modifier/supprimer des imprimantes Enregistrer un poste en sélectionnant un utilisateur existant, un local existant, un ou plusieurs écrans existant, une ou plusieurs imprimantes existantes, et en saisissant les caractéristiques de l UC ainsi que la date de début d utilisation. Modifier un poste Supprimer un poste 10 / 106

11 Version : Charte graphique 1. Définition La charte graphique définit l ensemble des règles graphiques et typographiques à respecter lors de l utilisation et/ou de la déclinaison des supports de communications pour l identité visuelle, le style graphique qui identifie la société. 2. Notre choix Notre charte graphique respectera celle utilisée pour ce document. Nous avons mis en place un tableau de suivi des modifications pour les documents car ces derniers sont amenés à évoluer. Concernant la création de documents, nous mettrons à disposition des utilisateurs un modèle de document qui aura la trame et tous les styles déjà enregistrés (.dot). Pour les présentations, nous mettrons de même un modèle de documents à utiliser où le logo de l entreprise sera présent (.potx) 11 / 106

12 3 - Configuration réseau Schéma logique (réseau : topologie en étoile) X (RESEAU CIMENTTECH MERIGNAC) Postes Client à Imprimantes à NAS HYPER-V1 : MER-DC-01 MER-DHCP-01 MER-SF-01 MER-SIMP-01 MER-AV-01 HYPER-V2 : MER-DC-02 MER-DHCP-02 MER-SF-02 DEBIAN ( ) 12 / 106

13 3.2 - Schéma physique Légendes : Baie A (20 U) - Bât. Principal Baie B (9 U) Aile Est Tiroir Fibre Bandeau RJ Switch Onduleur 3 3 Serveur 1 Numéro du bandeau Numéro de la prise du bandeau (de 01 à 24) 4 5 Local L RDC (près du bureau 115) + NAS_2 Baie C (9 U) Aile Ouest Principe de nommage des prises réseaux : Ex: A 1 01 A Nom de la baie 1 Numéro du bandeau 01 Numéro de la prise du bandeau Local C RDC (près du bureau 112 ) + NAS_1 Local T - RDC (près du bureau 115 ) 13 / 106

14 3.3 Configuration des serveurs Sur le serveur HYPER-V1, nous installons Windows Server 2012 en version graphique sur lequel nous installons le rôle HYPER-V qui va nous permettre de gérer 5 serveurs virtuels. Sur le serveur HYPER-V2, nous installons Windows Server 2012 en version Core sur lequel nous installons le rôle HYPER-V qui va nous permettre de gérer 4 serveurs virtuels. Le choix d une «installation minimale» (Serveur Core) pour le serveur secondaire a été fait car ce type d installation requiert moins d espace disque, diminue la surface exposée aux attaques et réduit considérablement les tâches de maintenance. De plus, pour accéder au serveur Core via une interface graphique, il nous suffit de se connecter par l intermédiaire du serveur principal (HYPER-V1). Cette configuration avec 2 serveurs physiques offre une meilleure tolérance aux pannes. Nom serveur physique HYPER-V1 (Serveur graphique) Nom serveur physique HYPER-V2 (Serveur Core) Noms des serveurs virtuels Tolérance aux pannes Noms des serveurs virtuels MER-DC-01 Rôles (AD / DNS) Réplication MER-DC-02 Rôles (AD / DNS) MER-DHCP-01 Rôle DHCP Fractionnement plage IP MER-DHCP-02 (priorité à la distribution d adresse car plus rapide) MER-SF-01 Rôle Serveur de fichier Réplication MER-SF-02 Rôle Serveur de fichier MER-SIMP-01 Rôle Serveur d impression DEBIAN Serveur FTP / Intranet MER-AV-01 Serveur Anti-virus 14 / 106

15 15 / 106

16 3.4 - Plan d adressage réseau Domaine : cimenttech.loc Nom IP Remarques Réseau Masque Passerelle SERVEURS à WINDOWS SERVER 2012 Serveur hôte 1 HYPER-V DC1 (AD/DNS) MER-DC DHCP MER-DHCP Serveur de fichier MER-SF Serveur d impression MER-SIMP Serveur anti-virus MER-AV Serveur hôte 2 HYPER-V DC2 (AD/DNS) MER-DC DHCP MER-DHCP Serveur de fichier MER-SF DEBIAN SERVER Debian NAS NAS (Aile Ouest) NAS_ NAS (Aile Est) NAS_ IMPRIMANTES à Direction PrintDirection Produit 1 PrintProduit Casque de chantier à LED Produit 2 PrintProduit Marteau USB SAV PrintSAV Administratif PrintAdministratif Informatique PrintInformatique Tout le monde PrintAll Postes Clients à Fractionnement MER-DHCP à 151 Tolérance aux pannes Fractionnement MER-DHCP à.253 Tolérance aux pannes 16 / 106

17 4 Matériels 4.1 Serveurs Notre sélection s est portée sur 2 serveurs DELL PowerEdge R620 (2S/1U) : (voir devis en annexe) - pour leur faible encombrement (1 U), - leur évolution (2 Sockets possible, le serveur est équipé actuellement d un seul processeur). Caractéristiques techniques principales: - Chassis avec 8 Hard Drives and 2 PCIe slots / 1 cadre - 1 Processeur Intel Xeon E GHz, 20 M Cache, DDR3-1600MHz - 2x16 Gb RDIMM, 1600 MHz, Low Volt, Dual Rank - 4 Disques durs 1Tb, SATA, 2.5-in, 7.2 RPM Hard Drive (Hot Plug) - double alimentation - Contrôleur RAID : PERC H310 RAID Adapter, Low Profile, 8 HDD Chassis Ces 2 serveurs seront installés dans la baie du local technique du bâtiment principal au rez-de-chaussée (Rappel : le local C a été retenu). Cette baie s appelle la baie A. Pour éviter la perte des données, du fait que les 2 serveurs se trouvent dans le même local, nous décidons de déplacer le NAS_1 dans le local technique de l Aile Ouest. Nous effectuerons une sauvegarde supplémentaire des données de travail des utilisateurs sur le NAS_1 situé dans l aile Ouest. Une partie consacrée aux sauvegardes est à consulter au paragraphe 6.5. Dans cette baie de 20 U, sont installés actuellement les éléments suivants qui occupe chacun 1 U: 1 tiroir fibre (1 U), 5 bandeaux de brassage (5 U), 5 switchs (5 U), 1 onduleur rackable (1 U). La disponibilité est de 8 U. La place restante est suffisante pour installer les 2 serveurs (2 U nécessaires) Onduleur Sur l onduleur rackable actuel (Total : 8 prises), 5 switch sont branchés actuellement. Il reste 3 prises sur l onduleur. Notre besoin est de 4 prises : 2 prises par serveur car les serveurs possèdent une double alimentation. Par conséquent, nous choisissons d investir dans un nouvel onduleur rackable (8 prises) identique au précédent (voir devis en annexe) afin de permettre une évolutivité et une meilleure répartition des charges. Nous décidons de séparer la double alimentation de chaque serveur. Chaque prise de chaque serveur sera branchée sur un onduleur différent. Il reste encore 6 U dans la baie A pour installer cet onduleur supplémentaire. Les onduleurs sont garantis 3 ans (sauf batterie 2 ans). 17 / 106

18 4.3 - Climatisation La climatisation a déjà été prévue lors de l installation des nouveaux locaux. (Climatiseur réversible mural mono-split ATME-026 S04 ALTECH (Garantie : 3 ans pièces - 5 ans compresseur). 4.4 Switch Rappel Référence Switch : HP Pro Curve G (24 ports) Le nombre total de switch est 12 dont la répartition est la suivante : - 5 dans la baie A (Bâtiment principal = BP) - 3 dans la baie B (Aile Est = AE) - 3 dans la baie C (Aile Ouest = AO) - 1 de spare 4.5 NAS Rappel Référence NAS : QNAP TS-412 U - Serveur NAS 4 Baies avec 4 disques durs de 2 To chacun Le nombre de NAS est de 2 dont : - NAS_1 qui est installé dans le local technique de l Aile Ouest (AO) - NAS_2 qui est installé dans le local technique de l Aile Est (AE) Les 2 NAS sont montés en RAID Postes clients Rappel Référence PC : DELL OPTIPLEX 3010 Essentielle Configuration : Intel Core I3 + 4 Go RAM Go HDD + Windows 7 Pro (64 bits) / Garantie 1 an Intervention Jour ouvrable suivant. Ecran : Dell UltraSharp U2212HM 54,5cm (21,5'') LED Écran large VGA, DVI-DP (1 920 x 1 080) noir Anti-virus client : Logiciel Antivirus MUI Trend Micro Worry Free Business Security 3.5 (Abonnement de 36 mois) Principe de nommage : CT-xxx 4.7 Imprimantes Rappel Référence : KYOCERA FS-3920DN Type : Noir et blanc (NB) Principe de nommage : PrintNom_du_service 18 / 106

19 5 Logiciels Licence Windows Server Nous avons choisi d acheter des licences Windows Server 2012 DATACENTER qui offre un droit de virtualisation illimitée. Nous avons décidé de séparer chaque rôle en créant une machine virtuelle par rôle (ADDS/DNS, DHCP, Serveur de fichier, Serveur d impression). Voir devis en annexe Afin d avoir les ressources nécessaires pour tous les serveurs virtuels, nous avons décidé d équiper nos serveurs de 2 barrettes de 16 Gb. Ce dimensionnement autorise ainsi une évolution future. Il est nécessaire d acheter des CAL avec la licence Windows Server. Pour 90 utilisateurs, nous avons besoin de 18 packs de 5 CAL. Nous avons pris des CAL devices car chaque utilisateur peut se connecter depuis n importe quel poste. La procédure d installation de Windows Server et du rôle Hyper-V est en annexe Anti-virus Notre choix s est porté sur Trend Micro Worry Free Business Security Standard. Ce logiciel comprend : - Une protection contre les virus, les spams et autres menaces Web - Le blocage des liens malveillants dans les s et la messagerie instantanée - Un filtrage avancé des URL, bloquant l accès à des sites spécifiques - La prévention des modifications non autorisées des applications Nb de postes Nb de mois Tarif pour la période Tarif /poste/an ,00 40, ,50 26, ,50 21,54 Par conséquent, nous décidons de prendre 2 packs de 50 postes sur une durée de 36 mois. TOTAL : 6461,00 L anti-virus sera installé sur les serveurs et sera déployé à partir du serveur HYPER-V1 sur une machine virtuelle dédiée (Serveur anti-virus). 5.3 OS / Pack Office Rappel : Nous avions choisi d installer Windows 7 et le Pack Office 2010 plutôt que Windows 8 et Office 2013 car les logiciels sont à jour, plus stables et il existe moins de failles de sécurité. 19 / 106

20 6 Rôles - Tolérance aux pannes - Sauvegardes La configuration des serveurs est la suivante : HYPER-V1 : Rôles AD/DNS, DHCP, serveur de fichier, serveur d impression et une machine virtuelle qui sera serveur anti-virus. HYPER-V2 : Rôles AD/DNS, DHCP, serveur de fichier et une machine virtuelle Debian qui géra le FTP et le site intranet ADDS (Active Directory Domain Services) Nous avons créé une OU par service (Direction, Administratif, SAV, Produit 1, Produit 2, Informatique). Chaque OU est divisée en deux catégories : une «Direction» et une «Employés» ou «Assistants» afin de faciliter le déploiement des GPO. Chaque OU «Direction», «Employés» ou «Assistants» est elle-même composée de 3 OU (Ordinateurs fixes, ordinateurs portables et utilisateurs). Nous avons jugé utile de séparer les employés avec des droits «classiques» des utilisateurs membre du groupe «direction». Les assistants étant liés à leur direction avec souvent des droit différents de l employé classique, nous avons donc choisi de leurs créer une OU spécifique. Vous trouvez page suivante l arborescence de notre Active Directory. 20 / 106

21 21 / 106

22 Création des groupes utilisateurs 1 ère étape : Création des GG (Groupes Globaux) pour chaque service - Produit 1 (contenant le responsable + 40 personnes) - Produit 2 (contenant le responsable + 30 personnes) - SAV (contenant le responsable + Assistante SAV) - Administratif (DAF + 10 personnes) - Informatique (nous 3) - Direction (DG, Assistante DG, Responsable produit 1, Responsable produit 2, Responsable produit SAV, DAF) - Tous_services 2 ème étape : Création des GDL (Groupe de Domaine Local) identiques aux GG 3 ème étape : on place les GG dans les GDL Les permissions NTFS s appliquent sur les GDL. Comptes utilisateurs : Principe de nommage pour les comptes utilisateurs : [email protected] Ordinateurs : Principe de nommage Ordinateurs : CT-xxx (où xxx représente un nombre de 001 à 999) Imprimantes : Principe de nommage Imprimantes : PrintNom_du_service (ex : PrintDirection) Etiquetage Ecrans : CT-Exxx (où xxx représente un nombre de 001 à 999) Tolérance aux pannes : Nous avons choisi de répliquer les rôles ADDS et DNS sur un deuxième contrôleur de domaine, appelé MER-DC-02 via la commande : Dcpromo /unattend /UserName=Administrateur /UserDomain=cimenttech.loc /Password:Evolution0 /replicaornewdomain:replica /ReplicaDomainDNSName:cimenttech.loc /DatabasePath:"H:\BASE AD" /LogPath:"G:\JOURNAUX" /SYSVOLPath:"F:\SYSVOL" /InstallDNS=yes /ConfirmGC:yes /SafeModeAdminPassword:Evolution0 /RebootOnCompletion=yes En cas de panne ou de lenteur sur un des contrôleurs, le basculement se fera de façon «transparente» pour l utilisateur. 22 / 106

23 6.2 - DNS (MER-DC-01 et MER-DC-02) Il y a 3 zones possibles : zone primaire, zone secondaire et zone de stub. La zone primaire: quand on définit une zone primaire dans un Serveur DNS, on lui dit que sur cette zone c est lui le «DNS maitre» de la zone. C est à dire que sur cette zone c est ce serveur DNS qui possède le fichier de zone maître («le fichier exemple»). Le Serveur DNS a pleine autorité sur le fichier de zone c est lui qui l édite et il peut le lire pour répondre au requête. La zone secondaire: c est quand on renseigne notre DNS sur une zone déjà créée. On lui indique la zone et le fichier de zone maitre qu il a le seul droit de lire pour répondre aux requêtes. Seul le DNS ayant créé la zone en tant que primaire a le droit d écriture. On utilise ce procédé pour alléger le trafic quand on a une zone où se fait beaucoup de requête DNS. La zone de stub: Cette zone ressemble beaucoup à la zone secondaire, la seule différence c est qu elle garde seulement une copie du fichier de zone. Elle ne fait pas de résolution de nom, son but est juste d avoir une copie du fichier à jour. Nous avons créé uniquement des zones primaires. Nous avons configuré 2 zones de recherches directes et 1 zone de recherche inversée. La zone directe permet de trouver l adresse IP correspondant à un nom d hôte. La zone inversée permet de trouver le nom d hôte correspondant à une adresse IP. Quand la recherche inversée est créée, il faut créer le pointeur. 23 / 106

24 Pour que le nslookup fonctionne en ligne de commande, il faut cocher : Obtenir les adresses des serveurs DNS automatiquement Si MER-DC-01 est indisponible MER-DC-02 prend le relais car MER-DC-02 est élevé au rang de contrôleur de domaine. Ce dernier joue le rôle de DNS secondaire DHCP (MER-DHCP-01) Nous avons effectué une répartition des charges (load balancing) entre les deux serveurs MER-DHCP-01 et MER-DHCP-02 (fractionnement de la plage d adresse). Microsoft recommande un ratio de 70/30. 30% sont affectés sur MER-DHCP-01 et 70% sur MER-DHCP-02. Nous avons donné la priorité à MER-DHCP-02 car le serveur Core est plus rapide pour distribuer les adresses IP. Si le serveur MER-DHCP-02 est indisponible, MER-DHCP-01 prend le relais automatiquement. Les serveurs sont configurés avec une adresse IP fixe. Une exclusion sur le DHCP ( à ) a été faite pour que les adresses IP des serveurs ne soient pas distribuées. Les imprimantes ont aussi une adresse IP fixe (page de réservation : à ) 24 / 106

25 6.4 - Serveurs de fichiers (MER-SF-01 et MER-SF-02) Si le serveur de fichier MER-SF-01 est indisponible, MER-SF-02 prend le relais grâce à une réplication de MER-SF-01 vers MER-SF-02 de tous les dossiers utilisateurs. Les données sont toujours accessibles. Sur les 2 serveurs, nous installons les services de rôles suivants : - Serveur de fichiers - Système de fichiers distribués (DFS), réplication DFS - Gestion de ressources du serveur de fichier - Services pour NFS (permettent de fournir à des ordinateurs clients UNIX un accès aux fichiers sur ce serveur) - Service Windows Search. Les fichiers et système de fichier sont répliqués via le rôle DFS sur notre 2ème serveur MER-SF-02. Les technologies DFS offrent une réplication via un réseau étendu, ainsi qu un accès simplifié et hautement disponible à des fichiers dispersés sur le plan géographique. Les deux technologies du système de fichiers DFS sont les suivantes : Espaces de noms DFS. Ces espaces de noms DFS permettent de regrouper des dossiers partagés situés sur différents serveurs en un ou plusieurs espaces de noms structurés de manière logique. Pour les utilisateurs, chaque espace de noms apparaît sous la forme d un dossier partagé unique qui comporte une série de sous-dossiers. Cette structure accroît la disponibilité et connecte automatiquement les utilisateurs aux dossiers partagés dans le même site des Services de domaine Active Directory, au lieu de router les utilisateurs sur des connexions de réseau étendu (WAN). Réplication DFS. La réplication DFS correspond à un moteur de réplication multimaître efficace qui permet d assurer la synchronisation des dossiers entre des serveurs par le biais de connexions réseau dont la bande passante est limitée. Elle remplace le service de réplication de fichiers (FRS) comme moteur de réplication pour les espaces de noms DFS, ainsi que pour la réplication du dossier SYSVOL AD DS dans les domaines qui utilisent le niveau fonctionnel de domaine Windows Server / 106

26 Nous avons créé un espace nom «Stockage», dans lequel nous avons ajouté le dossier partagé «utilisateurs» sur nos 2 contrôleurs de domaines respectif. Le dossier «utilisateurs» contient les dossiers communs à chaque service. REPLICATION SYSVOL Source : : Le dfsrmig commande migre la réplication SYSVOL depuis le Service de réplication de fichiers (FRS) pour la réplication de système de fichiers distribués (DFS : Distributed File System), fournit des informations sur la progression de la migration et modifie des objets de Services de domaine Active Directory (AD DS) pour prendre en charge la migration. Lancer les commandes : Dfsrmig /SetGlobalState 1 Dfsrmig /SetGlobalState2 Dfsrmig /SetGlobalState 3 26 / 106

27 27 / 106

28 6.5 Sauvegardes Ajout des fonctionnalités de la SAUVEGARDE de Windows Server Sélectionner Sauvegarde de Windows Server et Outils en ligne de commande Après l installation de ces fonctionnalités, on les retrouve dans Stockage. Nous pouvons planifier une sauvegarde ou faire une sauvegarde unique ou récupérer une sauvegarde. Nous pouvons sauvegarder le serveur entier ou choisir des volumes ou fichiers en particulier. Nous choisissons Personnalisé - Cliquer sur Ajouter des éléments 28 / 106

29 Sélectionner Etat du système (fichiers du registre nécessaire pour le redémarrage), Base AD, Journaux, Sysvol. Nous effectuons une sauvegarde planifiée de : - L état du système - La base AD - Les journaux - Sysvol Cette sauvegarde est réalisée sur le disque E:/DATA. Pour les données utilisateurs, nous effectuons une sauvegarde incrémentielle tous les jours à minuit et une sauvegarde totale le vendredi soir à minuit. Cette sauvegarde est faite sur le NAS_1 situé dans l Aile Ouest. Nous avons activé les Clichés instantanés (tous les jours à 12h) sur le disque DATA contenant les données utilisateurs afin de pouvoir revenir à version antérieure des fichiers. Comme le recommande Microsoft, nous affectons une partition dédiée pour stocker les clichés instantanés avec une unité d allocation de cluster supérieur ou egal à 16 ko. Nous allouons 3 Go que nous réservons pour les clichés sur un disque virtuel nommé «clichés instantanés». 29 / 106

30 7 - GPO Pour créer une GPO, on se place sur l OU concernée, on fait un clic droit et on sélectionne «Créer un objet GPO dans ce domaine, et le lier ici». On lui donne un nom, ensuite on fait un clic droit sur cette GPO et on fait modifier. 7.1 Sécurité des mots de passe Pour la complexité des mots de passe : nous modifions la Default Domain Policy dans Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de comptes Stratégies de mots de passe Du côté droit de la fenêtre : Double clic sur «Le mot de passe doit respecter des exigences de complexité». 30 / 106

31 Cocher «Définir ce paramètre de stratégie» et Activé et cliquer sur Appliquer Pour imposer une longueur de 8 caractères aux mots de passe : double clic sur la ligne «Longueur minimale du mot de passe» 31 / 106

32 Résultat : 7.2 Les impressions Cimenttech utilise 6 imprimantes physiques distinctes : Rappel cahier des charges : Une imprimante réseau pour tout le monde (les services Produit 1 et 2 ne peuvent imprimer qu entre 8 heures du matin et 17 heures) La direction sont prioritaires sur toutes les impressions et les utilisent 24/24 Pour répondre aux exigences rappelées ci-dessus, nous avons créé une imprimante Print CommunAB 8-17 et une autre imprimante Print Commun Prio. Ces imprimantes partagent le même port d impression. 32 / 106

33 Nous renseignons le champ Priorité à 99 (plus haute) pour gérer la priorité de la Direction. Note : le service SAV ne possède pas d imprimante et peut imprimer chez les services Informatique, Service Marteau USB et le service Casque de chantier à LED. Le responsable SAV Jaques Martino imprime sur l imprimante «Print Direction». AJOUT D UNE IMPRIMANTE : Ajout d une imprimante : Clique droit «Ajouter une imprimante» sur le serveur d impression dans le gestionnaire serveur. 33 / 106

34 Nous entrons notre configuration : On peut aussi ajouter les pilotes et les ports manuellement et ensuite affecter l imprimante à un port et pilote existant. DEPLOIEMENT DES IMPRIMANTES PAR GPO : Nous créons la GPO : Ensuite nous deployons l imprimante sur la GPO créée avec l option «Déployer avec la stratégie de groupe». 34 / 106

35 Nous sélectionnons sa GPO précédemment créé : Nous pouvons aussi utiliser l onglet «Tous» qui est plus intuitif pour trouver sa GPO. Nous ajoutons l imprimante à la GPO : Pour finir, nous choisissons une imprimante deployée : 35 / 106

36 7.3 Les connexions réseaux Horaires pour les ouvertures de session (8 h 18 h) Dans l AD, il faut double cliquer sur le nom de l utilisateur Aller dans l onglet Compte Cliquer sur Horaire d accès Sélectionner les zones horaires où l ouverture de session est refusée et cocher «Ouverture de session refusée. Les cases bleues deviennent blanches. 36 / 106

37 Déconnexion à 19 h Nous avons mis un script de déconnexion dans une GPO. La tâche planifiée se lance à 18 h et avertit l utilisateur qu il sera déconnecté dans 1 heure (Mme BEZIAT, ELLA, AYO et ACIEN). La GPO est activée uniquement au groupe de 4 personnes qui nécessite une déconnection. Cela est rendu possible grâce au filtrage de sécurité. 37 / 106

38 Interdire connexion réseau de 20 h à 7 h pour tous les services sauf la direction, le SAV et l informatique. Nous créons un fichier csv qui comporte tous les utilisateurs dont la connexion réseau est interdite de 20 h à 7h (nous excluons la direction le SAV et l informatique) A l aide du script suivant qui va chercher les users dans le fichier CSV : cd c:\ For /F "delims=" %r in (horaire.bat) do (net user %r /time:lundi-vendredi,7am-8pm) Voir le chapitre (8.3) sur les scripts 38 / 106

39 7.4 Stratégie locales 1. Bloquer l installation de logiciels sauf pour la Direction et le Service Informatique Nous autorisons la publication uniquement pour la Direction et le Service Informatique. Les autres utilisateurs ne peuvent rien installer. Nous avons fait une GPO de type «Publication» qui s applique côté utilisateur (Association de fichier). Par exemple, si un utilisateur de la Direction veut ouvrir un fichier pdf et qu Acrobat Reader n est pas installé alors l utilisateur a la possibilité d installer Acrobat Reader (via fichier msi sur le serveur) 2. Interdire la modification de l heure 3. Les lecteurs disquettes et CD sont désactivés sur les postes des services Produit 1 et 2 Sélectionner «Dans Poste de travail, masquer ces lecteurs spécifiés» et «Empêcher l accès aux lecteurs à partir du poste de travail». Pour bloquer les lecteurs correspondants il nous a fallu modifier les fichiers ADMX correspondant. Voir détail en annexe. 39 / 106

40 40 / 106

41 4. Impossibilité de parcourir ou ouvrir les dossiers ou fichiers à partir d une disquette ou d un CD 7.5 Gestion de l espace disque Chaque utilisateur a droit à 5 Go / Mettre des alertes de dépassement (Quota + alerte) Les quotas sont appliqués sur le disque DATA et limité a 5 GO par utilisateur en adéquation avec le cachier des charges. L alerte est fixée 4,5 Go. 41 / 106

42 7.6 Connexions aux lecteurs réseaux Connexion aux lecteurs réseau Etape 1 : créer un répertoire pour chaque service nommé «CommunTousServices» Etape 2 : Mappage lecteur réseau qui pointe sur ce répertoire Clic droit sur Mappages de lecteurs / Nouveau / Lecteur mappé 42 / 106

43 A l intérieur de chaque répertoire de Service, chaque salarié doit avoir un dossier à son nom (contrôle total et aucun accès sur ceux des collègues) Nous avons utilisé un script (CreationDeDossierPerso.ps1) pour créer les dossiers personnels. Voir chapitre 8.3 consacré au script Par contre, la Direction a un accès en lecture seule et l Informatique a accès total sur les dossiers personnels de chaque utilisateur. Attribuer un dossier de base à 2 users locaux au choix Sur le poste en local, clic droit sur Ordinateur / Gérer / Utilisateurs et groupes locaux / Utilisateurs Créer un utilisateur / Clic droit Propriétés / Onglet Profil / Dossier de base : Chemin d accès local ou lecteur réseau 43 / 106

44 Attribuer un dossier de base à 2 users du domaine au choix Dans le profil de l utilisateur, nous attribuons le dossier personnel en dossier de base. Planifier 2 audits au hasard Plusieurs stratégies d audit ont été affectées à deux utilisateurs, à l aide des GPO prévues à cet effet. Pour observer les audits, il faut aller dans l observateur d évenement. Pour en savoir plus sur les codes erreurs ou les différents ID d avenement on peut consulter les sites suivants : Eventid.net ou technet.microsoft.com 44 / 106

45 Configurer au moins 3 journaux à 3 jours 45 / 106

46 Désactiver le moniteur d évènements Dans la version Serveur de Windows, lors d une procédure d arrêt ou de redémarrage du système, Windows demande une justification. Il est possible de désactiver cette fonctionnalité et d arrêter le serveur sans justification. Faire Démarrer, puis Exécuter. Dans la fenêtre Exécuter, tapez gpedit.msc et faire OK. Le but de cette manipulation étant de désactiver la fonctionnalité au niveau de la stratégie de groupe locale, donc directement sur le serveur. «L éditeur de stratégie de groupe locale» s ouvre. Dans Configuration Ordinateur, déployez Modèle d administration, puis cliquez sur Système. 46 / 106

47 Dans système cherchez Afficher l arrêt du moniteur d événements, faire clic droit puis Propriétés. La fenêtre «Propriétés de Afficher l arrêt du moniteur d événements» s ouvre, cliquez sur Désactiver, Faites Appliquer, puis OK : Fermer «L éditeur de stratégie de groupe locale», ensuite faites Démarrer, puis Exécuter. Dans la fenêtre Exécuter, tapez cmd et faites OK. Dans l invite de commande, tapez gpupdate /force. Cette commande va mettre à jour la stratégie de groupe locale que nous venons d actualiser. Si la stratégie a été mise à jour sans erreur, le moniteur d événement de mise hors tension est donc désactivé. Avec la commande gpresult, on peut voir que la gpo a été appliquée. 47 / 106

48 8 Amélioration de la gestion du parc (Continuité de services) 8.1 Accès à distance Nous avons activé l accès à distance par GPO. 8.2 Tolérance de panne (au niveau matériel) Serveur : 3 ans de garantie de base - Intervention le jour ouvrable suivant incluse Poste client : 1 poste en spare Contrat ProSupport - Support logiciel & matériel sur site 3 ans de service ProSupport et d intervention sur site le jour ouvrable suivant Switch HP ProCurve G (J9561A) :1 switch en spare - Garantie à vie, remplacement anticipé, intervention jour ouvré suivant Onduleur : Garantie 3 ans (sauf batterie, garantie 2 ans) NAS : Garantie 3 ans Climatiseur réversible mural mono-split ATME-026 S04 ALTECH (Garantie : 3 ans pièces - 5 ans compresseur) 48 / 106

49 8.3 Création de scripts Facilitant l administration des serveurs Script «Création des utilisateurs»: Le but était de créer 90 utilisateurs en se basant sur un fichier CSV préalablement rempli et les mettant dans la bonne OU. Nom du Script : CréationUtilisateurs3.ps1. import-module activedirectory #Importe le module AD avec les variables d environnement $utils=import-csv -delimiter ";" -path ".\Users2.csv" #Importation du CSV avec les utilisateurs -delimiter défini les séparateurs de champs. path le chemin. foreach ($util in $utils) #Boucle pour chaque élément du tableau users2.csv. Pour chaque ligne dans le fichier utils.csv { $categorie=$util.categorie #Correspond à la colonne catégorie du CSV $service=$util.service #Correspond à la colonne service du CSV $login=$util.login #Et ainsi de suite $pass=$util.password $nom=$util.nom $prenom=$util.prenom $nomcomplet=$util.fullname $ou="ou=utilisateurs,ou=$categorie,ou=$service,ou=merignac,dc=cimenttech,dc=loc"#chemin l OU ou sont créés les utilisateurs de New-aduser -surname $nom -name $nomcomplet -department $service -enabled $true -path $ou - accountpassword (convertto-securestring $pass -AsPlainText -force) -samaccountname $login - userprincipalname $login -givenname $prenom -displayname $nomcomplet #new adduser pour ajouter des utilisateurs/ -enabled $true pour activer le compte / path=chemin AD / mot de passe converti en chaine sécurisé / } #fin de boucle une fois le script terminé. 49 / 106

50 Script pour mettre les utilisateurs dans leur groupe respectif : Nom du script : UtilisateursDansGroupe.ps1 import-module activedirectory $utils=import-csv -delimiter ";" -path ".\users2.csv" foreach ($util in $utils) { $groupe=$util.groupe $login=$util.login $ou="cn=$groupe, ou=groupes Globaux,ou=Groupes,dc=cimenttech,dc=loc"#Chemin ou est le groupe variable. add-adgroupmember -identity $ou -members $login#,identity : spécifie le groupe, members spécifie l utilisateur membre de ce groupe. } 50 / 106

51 Script de Suppression des Droits ACL existant et suppression de l héritage Avant d ajouter nos Droits ACL (Acces Control List), il faut supprimer les droits sur chaque Dossier et l héritage de chaque dossier précédemment créé. Nom du Script : SupHeritageGroup2.ps1 import-module activedirectory $utils=import-csv -delimiter ";" -path ".\users2.csv" foreach ($util in $utils) { $nomdedossier=$util.fullname $service=$util.service $chemin="\\cimenttech.loc\stockage\utilisateurs\commun $service\$nomdedossier" #Suppression de l'héritage NTFS sur le dossier $isprotected = $true $preserveinheritance = $true $acl = (Get-Item $chemin).getaccesscontrol("access") $acl.setaccessruleprotection($isprotected, $preserveinheritance) Set-Acl -AclObject $acl $chemin #Suppression Droits NTFS sur le repertoire, $acl = Get-Item $chemin get-acl $acl.access Where-Object {$chemin} ForEach-Object{$Acl.RemoveAccessRuleSpecific($_)} Set-ACL $chemin $acl #$acl where {$_.IdentityReference -eq $ou} %{$acl.removeaccessrule($_)} } 51 / 106

52 Script qui applique les Droits ACL pour chaque service Nous appliquons un script qui applique les droits ACL de chaque Groupe ou utilisateurs sur les dossiers personnels correspondant. Nom des Scripts Ajout ACLadministrateur.ps1 Ajout ACLDirection.ps1 AjoutACLUtilisateurs.ps1 AjoutAclInformatique.ps1 import-module activedirectory $utils=import-csv -delimiter ";" -path ".\users2.csv" foreach ($util in $utils) { $login=$util.login $nomdedossier=$util.fullname $service=$util.service $chemin="\\cimenttech.loc\stockage\utilisateurs\commun $service\$nomdedossier" # Déclaration du groupe Administrateurs $admins = new-object Security.Principal.NTAccount("cimenttech\Admins du domaine") # Lecture de l'acl du dossier : $acl= get-acl -path $chemin # Assignation du groupe Administrateurs en tant que propriétaire : $acl.setowner($admins) # Création d'une ACE (permission) donnant le droit de control total pour $l'utilisateur concerné. Le 3 spécifie l'héritage des dossiers et sous dossiers/fichier enfants, allow = autorisé 52 / 106

53 $ar= New-Object system.security.accesscontrol.filesystemaccessrule("cimenttech\$login","fullcontrol",3,0, "Allow") # # Ajout de la permission de control total pour l Utilisateur : $acl.setaccessrule($ar) # Application de l'acl modifiée sur le dossier : Set-Acl -Path $chemin $acl } Autre exemple script utilisé pour appliquer les droits, ici administrateur : import-module activedirectory $utils=import-csv -delimiter ";" -path ".\users2.csv" foreach ($util in $utils) { $nomdedossier=$util.fullname $login=$util.login $service=$util.service $acl = get-acl "\\cimenttech.loc\stockage\utilisateurs\commun $service\$nomdedossier" # Lecture de l'acl du dossier : $arguments = "cimenttech.loc\admins du domaine","fullcontrol",3,0,"allow"#spécifie les droits a appliquer, avec l héritage enfant et l option autorisé. $accessrule = New-Object System.Security.AccessControl.FileSystemAccessRule $arguments #création de l ACE avec les permissions spécifié dans la variable argument # Application de l'acl modifiée sur le dossier : $acl.setaccessrule($accessrule) $acl Set-Acl "\\cimenttech.loc\stockage\utilisateurs\commun $service\$nomdedossier" 53 / 106

54 } Définissant l environnement propre à chaque utilisateur Script Création Dossier personnel utilisateur : Pour créer nos 90 dossiers personnels, nous avons utilisé un script, qui va chercher dans un fichier.csv le nom et le chemin du dossier. Nom du Script : CreationDeDossierPerso.ps1 $utils=import-csv -delimiter ";" -path ".\users2.csv" foreach ($util in $utils) { $Nomdedossier=$util.fullname $service=$util.service $chemin="\\cimenttech.loc\stockage\utilisateurs\commun $service" New-Item -ItemType "directory" -name $nomdedossier -path $chemin # Nouvel objet de type «repertoire» avec nom variable et dossier variable selon le service. } Script qui monte les lecteurs réseaux : Nous avons monté les lecteurs réseaux en script Power Shell sauf le CommunTousServices que nous avons déployé en GPO. Nom des Scripts : LecteurReseauxNom_du_service.ps1 (ex. : LecteurReseauxAdministratif.ps1) $lecteur=new-object -ComObject Wscript.Network $lecteur.mapnetworkdrive("u:", "\\cimenttech.loc\stockage\utilisateurs\commun Administratif") Script imprimante par défaut : Nom des Scripts : PrintDefautNom_du_service.ps1 (ex. : PrintDefautAdministratif.ps1) (New-Object -ComObject WScript.Network).SetDefaultPrinter('\\DC1\Print Administratif') 54 / 106

55 Script net user (.bat) Ce script met la plage de connexion horaire pour les utilisateurs des services (spécifiée dans le cahier des charges). Il va chercher la liste des utilisateurs spécifiés dans un fichier au format texte (.TXT). (Source : # aller dans le disque c:\ cd c:\ #boucle For /F (signifie boucle a travers la sortie d une commande), ici «delim» signifie l espace comme séparateur, %r correspond à la ligne du.txt. «Pour chaque ligne entre les séparateurs dans le fichier horairebat.txt fait la commande net user». For /F "delims=" %r in (horairebat.txt) do (net user %r /time:lundi-vendredi,7am-8pm) pause 55 / 106

56 9 Serveur Linux Nous avons choisi un serveur Linux sous la distribution Debian Squeeze qui est une version stable et légère. Les différents besoins sont principalement d héberger un site intranet et d avoir un échange de fichiers entre client-serveur. Ce serveur intègre donc plusieurs rôles : serveur WEB, serveur FTP/SFTP et SAMBA, nous détaillerons ces rôles par la suite. Nous avons également décidé de joindre les machines Linux (les 2 clients du service SAV et le serveur) au domaine pour des raisons d homogénéité, fiabilité et d efficacité. 9.1 Partage de ressources Windows via samba serveur Actuellement, le serveur Windows prend en charge le partage des fichiers mais nous l avons installé pour pouvoir sauvegarder le site intranet. À l avenir, il est tout à fait possible qu il puisse prendre le relais, par exemple pour répartir les charges entre les serveurs. Installation des paquets : - smbclient - samba Ce service est offert par «Samba», il permet donc de partager les fichiers en local ou d accéder à une ressource partagée. Le paquet «smbclient», comme son nom l indique, il se situe partie client, et donc permettra d accéder à un partage Windows dédié à la sauvegarde du site intranet. Le paquet «samba» lui se situe partie serveur et permettra éventuellement de prendre en charge partiellement ou intégralement le rôle du partage de fichiers. 9.2 Service FTP (sécurisé et anonyme) Le serveur FTP est dédié à l échange de fichiers pour les personnes extérieures à l entreprise, principalement à destination des clients. En contrepartie, les personnes internes devront s identifier et donc pour plus de sécurité, nous avons mis en place un serveur SFTP. Ce dernier offre les même services mais utilise un protocole de transfert qui crypte les échanges entre le client et le serveur. Ceci garantie la confidentialité des données de l entreprise et sécurise l authentification. Installation des paquets : - proftpd-basic - openssh-server Le programme «Proftpd» est un serveur FTP. Il s installe grâce au paquet «proftpd-basic». Nous avons activé «le mode anonymous» pour enlever l authentification, utile par exemple pour les clients qui veulent déposer des fichiers. En revanche, OpenSSH est un serveur SFTP. Il s installe avec le paquet «openssh-server». 56 / 106

57 Dans les deux cas, nous avons confiné les utilisateurs dans leur répertoire dédié. Ceci permet d éviter le risque de suppression accidentelle ou volontaire, de garantir la protection des données ainsi que leur confidentialité et de renforcer la sécurité. 9.3 Service HTTP (intranet php-mysql) Le serveur WEB va nous permettre l hébergement du site intranet et d interagir avec la base de donnée MySQL. Installation des paquets : - apache2 - php5 - mysql-server - phpmyadmin Apache installe les services HTTP et prend en charge le module PHP. Le paquet «mysql-server» installe un système de gestion de base de données pour serveur et «phpmyadmin» va permettre de gérer la base de données via un navigateur web pour plus de confort Sauvegarde du site intranet Nous avons fait un script qui copiera les fichiers du site intranet et la base de données vers le serveur Windows. Il s exécutera tous les soirs à partir de 20h. 57 / 106

58 Serveur Joindre une machine Linux au domaine Nous avons intégré le serveur Linux au domaine pour parfaire la gestion de la totalité du parc informatique et nous avons en plus une vue du serveur dans l Active Directory. Installation des paquets : - libkrb5-3 - krb5-config - krb5-user - winbind - ntpdate - ntp Le protocole «ntp» (Network Time Protocol) et le paquet «ntpdate» permettent de gérer la synchronisation du temps avec le serveur Windows. L ajout du serveur au domaine implique une corrélation entre les deux systèmes d authentification. Grâce au protocole «Kerberos» et au paquet «winbind», nous arrivons à gérer les utilisateurs, les groupes et les mots de passe sur les deux serveurs, uniquement depuis l Active Directory. Nous offrons à l entreprise une centralisation des comptes utilisateurs dans l Active Directory et une authentification unique pour tous les services. Poste utilisateur Nous avons intégré les postes clients au domaine pour préserver la centralisation des comptes dans l Active Directory. L installation du paquet «likewise-open» nous permet d inclure le poste utilisateur dans l Active Directory en quelques commandes (voir annexe p..) et le paquet «lightdm» nous a permis de gérer l affichage de l ouverture de connexion (voir annexe..). Garder une vue totale sur tous les postes du parc informatique dans l Active Directory est indispensable pour garantir sa gestion. 58 / 106

59 10 Structure de l application pour la gestion de parc Cahier des charges Mode consultation (pour tous les utilisateurs) Consultation de la liste des postes (Nom, Prénom, Nom du local, les caractéristiques de l UC. Mode Gestion (pour le service informatique) Enregistrement / Modification / Suppression : - Des utilisateurs - Des locaux - Des écrans - Des imprimantes Enregistrer un poste en sélectionnant : - Un utilisateur existant - Un local existant - Un ou plusieurs écrans existant - Une ou plusieurs imprimantes existantes Enregistrer un poste en saisissant : - Les caractéristiques de l UC - La date de début d utilisation Modification de poste Suppression de poste 59 / 106

60 10.2 Création du MCD / MPD A l aide du logiciel AnalyseSI, nous créons les tables suivantes : - Table 1 : localisation (id_local, ref_loc, batiment (BP, AE, AO), etage (0, 1)) - Table 2 : ordinateur (SN_PC, id_poste, marque_pc, modele_pc, ram, processeur, hdd, adresse MAC, date_achat_pc, date_fin_garantie_pc, prise reseau) - Table 3 : ecran (SN_ecran, id_ecran, marque_e, modele_e, taille, date_achat_e, date_fin_garantie_e) - Table 4 : imprimante (SN_imp, nom_imp, marque_imp, modele_imp, type (couleur, monochrome), date_achat_imp, date_fin_garantie_imp) - Table 5 : utilisateurs (id_user, nom, prénom, service, fonction, login_utilisateur, password_utilisateur, statut_utilisateur (0, 1)) Les champs surlignés en jaune représentent la clé primaire de chaque table. Procédure Ouvrir le dictionnaire rentrer le nom de tous les champs de toutes les tables et modifier le type de données (Auto-Increment - Varchar Int) Aller sur MCD Cliquer sur - Puis cliquer sur - Double cliquer sur la table et sélectionner les champs à insérer Modifier le nom des tables! Création des liens : Cliquer sur pour créer une association entre 2 tables. Cliquer sur pour créer les liens entre les tables via l association. Modifier les relations en cliquant sur le lien (0, n) 60 / 106

61 Explication des relations : Exemple : Relation (1, 1) (0, n) entre les tables «ordinateur» et «utilisateur» 1 ordinateur et un seul peut être associé de 0 à n utilisateurs Génération du MPD : Cliquer sur ce bouton Enregistrer le script SQL(.sql) et l ouvrir sous Notepad ++ si il y a des modifications à faire. Sous PhpMyAdmin, créer une nouvelle base de données (cliquer sur Base de données) ensuite importer son fichier SQL. 61 / 106

62 10.3 Intégration de quelques données via PhpMyAdmin Pour intégrer quelques données via PhpMyAdmin, il faut ouvrir la base de données, se placer sur la table dans laquelle nous souhaitons rentrer des données. Ensuite utiliser la fonction Insérer. Rentrer la valeur pour chaque champ et ensuite cliquer sur exécuter. Dans cet exemple, nous ne renseignons pas le champ l id_local car c est un auto-increment. En retournant sur votre table, vous vous apercevez que les lignes correspondantes ont été créées. 62 / 106

63 11 Présentation du site intranet 11.1 Menu 11.2 Composants du menu Accueil : Comporte un agenda avec les évènements importants concernant la société. Groupe Cimenttech : Présentation du groupe Partenaires : Liens vers les sites de nos différents partenaires Base documentaire : Charte informatique, présentation de l environnement Windows 7, découverte de Word 2010 et Excel Gestion Parc Informatique : notre gestion du parc informatique Trombinoscope : Présentation de chaque collaborateur avec leur nom et leur photo. Contact : pour nous contacter 63 / 106

64 11.3 Gestion du parc informatique 1 ère page : Authentification pour accéder à la gestion du parc informatique Il existe 2 types d authentification : - Consultation : Le simple utilisateur pourra uniquement consulter le parc informatique - Gestion : Les membres de l équipe informatique qui pourront modifier toutes les entrées de la base de données 2 ème page : Page d accueil de la gestion de parc En mode gestion : (Réservé au service informatique) En mode consultation : Vous remarquez que les boutons Nouvel utilisateur, Nouveau local, Nouveau poste, Nouvelle imprimante, Nouvel écran ont disparu. 64 / 106

65 Sur chaque page de la gestion du parc informatique, en mode consultation et gestion, vous retrouverez : - Le menu - Le bouton Accueil Gestion Parc qui nous permet de revenir à tout moment à cette page intitulée : liste des utilisateurs par emplacement - Le bouton Recherche qui nous permet de faire des recherches multicritères Pour chaque table de notre base de données (utilisateur, poste, écran, imprimante, localisation), nous avons 6 pages fonctionnant sur le même principe. Nom_tableAffiche.php : sert à afficher l ensemble des données de la table concernée Nom_tableInsereForm.php : formulaire à remplir pour insérer un nouvel utilisateur, poste Nom_tableInsere.php : fichier qui va traiter la requête SQL d insertion (INSERT) Nom_tableModifForm.php : formulaire qui permet de modifier des données existantes Nom_tableModif.php : fichier qui traite la requête SQL de mise à jour (UPDATE) Nom_tableSupprime.php : fichier qui traite la requête de suppression (DELETE) Exemple : utilisateuraffiche.php affiche la liste des utilisateurs (voir ci-dessous) Mode consultation : Clic sur le bouton UTILISATEURS : (utilisateuraffiche.php) 65 / 106

66 Clic sur le bouton POSTES : (posteaffiche.php) Clic sur le bouton ECRANS : (ecranaffiche.php) Clic sur le bouton IMPRIMANTES : (imprimanteaffiche.php) Page d accueil : Clic sur cet icône : Affichage des caractéristiques techniques du poste ayant l id de la ligne sélectionnée. On récupère cette variable par la méthode GET (visible dans l adresse URL de la page). Si je me mets sur la première ligne sur l icône de l ordinateur, on peut voir apparaître (en bas) : posteaffiche.php?code=ct-001 La liste affiche uniquement les caractéristiques du poste qui porte l id_pc=ct / 106

67 Clic sur cet icône : En mode Gestion : Les différents clics sur les boutons et icônes précédents affichent la même chose qu en mode consultation. Par contre, en mode gestion, nous avons 2 colonnes qui s ajoutent devant chaque ligne : une contenant un crayon permettant de modifier les données et l autre contenant un icône de sens interdit permettant de supprimer la ligne. Modification dans la liste des utilisateurs : (clic sur le crayon) utilisateurmodifform.php Nous modifions les champs et ensuite nous cliquons sur le bouton MODIFIER. A ce moment, le fichier utilisateurmodif.php traite la requête SQL UPDATE et reboucle sur la page utilisateuraffiche.php qui affiche la liste des utilisateurs dans laquelle nous avons cliqué pour modifier la ligne. Cela nous permet de vérifier que nos modifications ont été prises en compte. Le fichier utilisateursupprime.php va être sollicité quand nous cliquerons sur l icône du sens interdit. Ce fichier traite la requête SQL de suppression (DELETE) de la ligne. 67 / 106

68 Les boutons d insertion : Les fichiers sollicités sont ceux qui portent les noms suivants : Nom_tableInsereForm.php et nom_tableinsere.php InsereForm permet de remplir les champs Clic sur Et quand on clique sur le bouton INSERER, le fichier nom_tableinsere.php traite la requête SQL d insertion et reboucle sur Nom_tableAffiche pour visualiser la nouvelle entrée. Clic sur 68 / 106

69 Clic sur Clic sur Clic sur 69 / 106

70 Bouton Recherche : Dans la recherche multi-critères, il est nécessaire de rentrer, dans le champ motif, la valeur recherchée et ensuite il faut sélectionner dans quelle catégorie nous faisons la recherche. Exemples : Recherche : CT-001 dans Ordinateur Recherche : xx sur les écrans Recherche : PrintDirection sur les imprimantes 70 / 106

71 Recherche : 101 sur Ecran Recherche : Sanzo dans Utilisateur 71 / 106

72 ANNEXES 72 / 106

73 Réseau LAN Partie réseau supplémentaire non utilisée pour le projet principal Pack tracer nommée VLANEvolution.pkt fonctionnel disponible en annexe. Ciment Tech utilise un réseau en topologie en Etoile. C est la topologie la plus répandue. Elle est aussi très souple en matière de gestion et dépannage réseau : La panne d'un commutateur ou d un lien ne perturbe pas le fonctionnement global du réseau. Chaque commutateur est relié au cœur de réseau se situant dans la salle serveur du RDC du bâtiment principal par de la fibre optique. Le cœur de réseau est constitué de deux commutateurs «stacké» ensemble pour la redondance en cas de panne. Ces commutateurs sont de niveau 3 permettant le routage des données. Les commutateurs reliés au cœur de réseau sont de niveau 2 et servent à commuter les différents paquets routés par le cœur de réseau sur les différents postes de travail de chaque étage. SEGMENTATION EN VLAN Chaque étage est segmenté par des VLAN et dispose de son propre sous réseaux (Virtual Local Area Network). L intérêt est de limiter les broadcast à travers le réseau. Il est à noter que les broadcast produisent des interruptions systèmes sur les stations le temps de leur traitement, et donc utilise de la ressource matérielle. De plus les tempêtes de broadcaste étant diffusées sur l'ensemble d'un réseau, peuvent provoquer des surcharges de liens et des pertes de paquets. L intérêt est aussi d augmenter la sécurité à travers les réseaux, on peut par exemple empêcher deux services branchés sur le même commutateur de communiquer ensemble via deux VLAN distincts. La limitation du broadcast diminue les risques qu un hacker puisse sniffer des rames sur le réseau 73 / 106

74 ADRESSAGE IP L adressage de notre réseau : Location SWITCH HOSTNAME VLAN Adresse RESEAU Principal RDC Cœur Vlan Principal RDC PSW0 vlan Principal étage PSW1 vlan Ouest RDC OSW0 vlan Ouest Etage OSW1 vlan Est RDC ESW2 vlan Est Etage ESW0 vlan Imprimante all vlan AGENT RELAI DHCP Dans le cadre du projet évolution et l ajout de serveur DHCP, il est intéressant de faire un point s sur la fonction de l agent relai DHCP. Dans le cas où l on possède plusieurs sous réseau, les routeurs ne laissent pas passer les trames DHCP. Les routeurs bloquent par défaut les diffusions générales. Il convient de créer un serveur agent relai par sous réseau ou activé la fonction sur le commutateur routeur concerné si elle est disponibles, sur chaque Vlan du commutateur. Sur les commutateurs Cisco la commande est (dans l interface des vlan) Sur le serveur DHCP il conviendra de créer les étendues correspondantes : Sur notre machine virtuelle nous utilisons uniquement l étendue du Vlan10 pour des raisons techniques. Les autres étendues sont présentées en guise d information pour montrer la correspondance avec notre réseau. 74 / 106

75 Devis Serveur / Licence DELL 1 Rond Point B. Franklin MONTPELLIER N devis : 2013-CT Code client : CIMENT TECH 110 Avenue de l yser MERIGNAC Date : 26 Juin 2013 A l attention de : LACHOT Florence Mail : [email protected] Objet : Devis Serveur PowerEdge R620 et licence Windows Serveur Qté Description PU Montant H.T. 2 Serveur Power Edge R620 : - Chassis avec 8 Hard Drives and 2 PCIe slots / 1 cadre - 1 Processeur Intel Xeon E GHz, 20 M Cache, 8.0GT/s QPI, Turbo, 8 Cœur, 95 W, DDR3-1600MHz - 2x16 Gb RDIMM, 1600 MHz, Low Volt, Dual Rank - 4 Disques durs 1Tb, SATA, 2.5-in, 7.2 RPM Hard Drive (Hot Plug) - Contrôleur RAID : PERC H310 RAID Adapter, Low Profile, 8 HDD Chassis - Alimentation : Dual, Hot Plug, Redundant Power Supply (1 + 1), 750 W, Titanium + 2 Cordons d alimentation : Rack Power Cord 2 M - Rails pour rack : ReadyRails Sliding Rails with Cable Management Arm - Ecran, clavier et souris : 1 U KMM (Touchpad, French Keyboard, Widescreen 18,5 LED) with readyrails, 1U KVM Mounting kit 5 457, ,76 1 Licence Windows Server 2012 Datacenter, 2 socket 2 947, ,20 18 Pack de 5 CAL (Devices CAL) 149, ,00 3 ans de garantie de base - Intervention le jour ouvrable suivant incluse Conditions de paiement : 40 % à la commande et le solde par chèque, à réception de la facture. Nom du client : Date : Signature précédée de la mention «Bon pour accord» : Cachet de l entreprise : Montant total H.T ,96 TVA 19,6 % 3 242,62 Montant total T.T.C ,58 75 / 106

76 Devis Onduleur LDLC.com 18 chemin des Cuers CS DARDILLY Cedex N devis : Code client : 33CM15873 CIMENT TECH 110 Avenue de l yser MERIGNAC Date : 14/05/2013 A l attention de : LACHOT Florence Mail : [email protected] Objet : Installation nouveau site Quantité Description P.U. H.T. Montant H.T. 1 Onduleur APC Smart-UPS Rack-Mount 2200VA LCD 230V 960,70 960,70 Montant total H.T. 960,70 TVA 19,6 % 188,30 Montant total T.T.C ,00 Conditions de paiement : 40 % à la commande et le solde par chèque, à réception de la facture. Nom du client : Date : Signature précédée de la mention «Bon pour accord» : Cachet de l entreprise : 76 / 106

77 Procédure d installation de Windows Server 2012 Datacenter I SERVEUR GRAPHIQUE (HYPERV1) 1 Installer Windows Server 2012 version intégrale + Installer le rôle Hyper V Installation du rôle Hyper-V 1. Ouvrir le Gestionnaire de serveur 2. Dans le menu Gérer, cliquez sur Ajouter des rôles et fonctionnalités. 3. Dans la page Avant de commencer, vérifiez que votre serveur de destination et environnement réseau sont préparés pour le rôle et la fonctionnalité que vous voulez installer. Cliquez sur Suivant. 4. Dans la page Sélectionner le type d installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant. 5. Dans la page Sélectionner le serveur de destination, sélectionnez un serveur dans le pool de serveurs, puis cliquez sur Suivant. 6. Dans la page Sélectionner des rôles de serveurs, sélectionnez Hyper-V. 7. Pour ajouter les outils avec lesquels vous créez et gérez des ordinateurs virtuels, cliquez sur Ajouter des fonctionnalités. Dans la page Fonctionnalités, cliquez sur Suivant. 8. Dans les pages Créer des commutateurs virtuels, Migration d ordinateur virtuel et Emplacements par défaut, sélectionnez les options appropriées. 9. Dans la page Confirmer les sélections d installation, sélectionnez Redémarrer automatiquement le serveur de destination, si nécessaire, puis cliquez sur Installer. 10. Une fois l installation terminée, vérifiez-la en ouvrant la page Tous les serveurs dans le Gestionnaire de serveur, en sélectionnant un serveur sur lequel vous avez installé Hyper-V, puis en affichant la vignette Rôles et fonctionnalités dans la page du serveur sélectionné. 2 Création de machine virtuelle 1. Ouvrir le Gestionnaire Hyper-V. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire Hyper-V. 2. Dans le volet de navigation du Gestionnaire Hyper-V, sélectionnez l ordinateur exécutant Hyper- V. Sous le gestionnaire Hyper-V, nous aurons : Pour HYPER-V1 : MER-DC-01, MER-DHCP-01, MER-SF-01, MER-SIMP / 106

78 Pour HYPER-V2 : 3. Dans le volet Actions, cliquez sur Nouveau, puis sur Ordinateur virtuel. 4. L Assistant Nouvel ordinateur virtuel s ouvre. Cliquez sur Suivant. 5. Dans la page Spécifier le nom et l emplacement, tapez un nom approprié. 6. Dans la page Affecter la mémoire, spécifiez une quantité suffisante de mémoire pour démarrer le système d exploitation invité. 7. Dans la page Configurer la mise en réseau, connectez l ordinateur virtuel au commutateur que vous avez créé lors de l installation d Hyper-V. 8. Dans les pages Connecter un disque dur virtuel et Options d installation, sélectionnez l option qui correspond à la façon dont vous planifiez d installer le système d exploitation invité : o Si vous voulez installer le système d exploitation invité à partir d un DVD ou d un fichier image (fichier.iso), sélectionnez Créer un disque dur virtuel. Cliquez sur Suivant, puis sur l option qui décrit le type de support que vous allez utiliser. Par exemple, pour utiliser un fichier.iso, cliquez sur Installer un système d exploitation à partir d un CD/DVD- ROM de démarrage et indiquez le chemin d accès au fichier.iso. o Si le système d exploitation invité est déjà installé dans un disque dur virtuel, sélectionnez Utiliser un disque dur virtuel existant, puis cliquez sur Suivant. Ensuite, sélectionnez Installer un système d exploitation ultérieurement. 9. Dans la page Résumé, vérifiez vos sélections, puis cliquez sur Terminer. 3 Installer le système d exploitation invité Cette étape suppose que vous avez configuré les supports de démarrage pour l ordinateur virtuel lorsque vous avez créé l ordinateur virtuel. 1. Dans le Gestionnaire Hyper-V, dans la section Ordinateurs virtuels du volet de résultats, cliquez avec le bouton droit sur le nom de l ordinateur virtuel, puis cliquez sur Connexion. 2. L outil Connexion à un ordinateur virtuel s ouvre. 3. Dans le menu Action de la fenêtre Connexion à un ordinateur virtuel, cliquez sur Démarrer. 4. L ordinateur virtuel démarre, recherche les périphériques de démarrage et charge le package d installation. 5. Procédez à l installation. 4 Installer les services d intégration ou effectuer leur mise à niveau Hyper-V inclut un package logiciel pour les systèmes d exploitation invités pris en charge qui améliore l intégration entre l ordinateur physique et l ordinateur virtuel. Ce package est connu sous le nom de services d intégration. 1. Ouvrez le Gestionnaire Hyper-V. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire Hyper-V. 2. Connectez-vous à l ordinateur virtuel. Dans la section Ordinateurs virtuels du volet des résultats, utilisez l une des méthodes suivantes : o Cliquez avec le bouton droit sur le nom de l ordinateur virtuel et cliquez sur Se connecter. o Sélectionnez le nom de l ordinateur virtuel. Dans le volet Action, cliquez sur Se connecter. 3. L outil Connexion à un ordinateur virtuel s ouvre. Dans le menu Action de l outil Connexion à un ordinateur virtuel, cliquez sur Insérer le disque d installation des services d intégration. Cette action charge le disque d installation dans le lecteur de DVD virtuel. 4. En fonction du système d exploitation à installer, il peut être nécessaire de démarrer l installation manuellement. Cliquez n importe où dans la fenêtre du système d exploitation invité et accédez au lecteur de CD. Utilisez la méthode appropriée pour que le système d exploitation invité démarre le package d installation à partir du lecteur de CD. 5. Quand l installation est terminée, tous les services d intégration peuvent être utilisés. 78 / 106

79 II SERVEUR CORE (HYPERV2) 1 Installer Windows Server 2012 version minimale + Installer le rôle Hyper V Dans Windows PowerShell, contrairement à l Assistant Ajout de rôles et de fonctionnalités, les outils de gestion et composants logiciels enfichables pour un rôle ne sont pas inclus par défaut. Pour inclure les outils de gestion dans le cadre de l installation d un rôle, ajoutez le paramètre - IncludeManagementTools à l applet de commande. Si vous installez des rôles et des fonctionnalités sur un serveur équipé de l option d installation minimale de Windows Server 2012 et ajouter en prime les outils de gestion d un rôle à une installation, le système vous invite à remplacer l option d installation par une option d interface minimale qui autorise l exécution des outils de gestion. Sinon, il est impossible d installer les outils de gestion et les composants logiciels enfichables sur des serveurs qui exécutent l option d installation minimale de Windows Server. Pour installer Hyper-V et les outils de gestion : Install-WindowsFeature Name Hyper-V -IncludeManagementTools -Restart Vérifier avec Get-WindowsFeature que le rôle a bien été installé. 2 Création de machine virtuelle Exécutez la commande suivante pour créer un ordinateur virtuel nommé «web server» avec 1 Gb de mémoire de démarrage et utiliser un disque dur virtuel existant dans lequel un système d exploitation invité a déjà été installé. New-VM Name web server MemoryStartupBytes 1GB VHDPath d:\vhd\baseimage.vhdx 3 Installer le système d exploitation invité Vous devez effectuer cette étape par le biais de l interface utilisateur graphique. Il est impossible de l automatiser ou de l effectuer dans une session Windows PowerShell. 4 Installer les services d intégration ou effectuer leur mise à niveau Vous devez effectuer cette étape par le biais de l interface utilisateur graphique. Il est impossible de l automatiser ou de l effectuer dans une session Windows PowerShell. III REPLICATION HYPERV La réplication Hyper-V fournit la réplication asynchrone des ordinateurs virtuels Hyper-V entre deux serveurs d hébergement. Sa configuration est simple. Par ailleurs, elle ne nécessite ni stockage partagé ni matériel de stockage particulier. Toute charge de travail serveur pouvant être virtualisée dans Hyper-V peut être répliquée. La réplication fonctionne sur n importe quel réseau IP ordinaire, et les données répliquées peuvent être chiffrées pendant la transmission. La réplication Hyper-V fonctionne avec les serveurs autonomes, les clusters de basculement ou une combinaison des deux. Les serveurs peuvent être physiquement colocalisés ou séparés géographiquement. Il n est pas nécessaire que les serveurs physiques figurent dans le même domaine. Par ailleurs, un serveur physique peut très bien ne pas être joint à un domaine. Configuration matérielle requise Vous pouvez configurer la réplication des ordinateurs virtuels Hyper-V tant que vous avez deux serveurs Windows Server 2012 physiques qui prennent en charge le rôle Hyper-V. Les deux serveurs peuvent être physiquement colocalisés ou se trouver dans des lieux géographiques très distincts. Le serveur principal ou le serveur réplica, ou les deux à la fois, peuvent faire partie d un cluster de basculement ; de plus, ce cas de figure prend en charge des environnements autonomes et en cluster mixtes. 79 / 106

80 Modification des fichiers ADMX Ce sont donc des fichiers modèles utilisés par les stratégies de groupe (servant notamment à décrire l interface utilisateur affichée aux administrateurs dans l éditeur de stratégie de groupe GPEdit). Les fichiers ADM, sont situés dans le dossier SYSVOL des contrôleurs de domaines, ces contrôleurs de domaines maintiennent un dossier nommé «modèle de stratégie de groupe». Chaque système possède son propre bagage de fichiers ADM. Ces stratégies de groupe permettent de contrôler des clés du registre, la politique de sécurité et d audit (y compris la sécurité NTFS), les restrictions concernant l installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Elles possèdent un identifiant unique appelé GUID (Globally Unique Identifier). Chaque stratégie de groupe peut être liée à un ou plusieurs Domaine, Site ou Unité d Organisation Active Directory. Cela permet à plusieurs objets ordinateurs ou utilisateurs d être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d administration globale de ces éléments. Source et info complémentaire disponible ADMX/0/#st1 MODIFICATION D UN FICHIER ADMX POUR MASQUER ET INTERDIRE L ACCES AUX LECTEURS SPECIFIES Par défaut les stratégies de groupe «Dans postes de travail, masquer les lecteurs spécifiés» et «Empêcher l accès aux lecteurs à partir du poste de travail» propose de restreinte l accès à une liste de lecteur prédéfini. Nos deux GPO se situent dans la console GPEDIT dans «configuration utilisateurs\modèle d administration\composants Windows\Explorateur Windows» Dans notre cas, nous voulons interdire l accès aux lecteurs A et B qui historiquement sont réservés pour les lecteurs de disquette et D pour le lecteur optique. Dans le formulaire déroulant proposé par la GPO notre choix n est pas disponible sans modifier le fichier ADMX correspondant. 80 / 106

81 OU TROUVER LES FICHIER ADMX? Ils sont dans le chemin c:\windows\policydefinitions Les dossiers en-us et fr-fr contiennent les Fichiers ADML. Après modification d un ADMX, il sera souvent nécessaire de modifier le fichier ADML correspondant. Dans notre cas, la langue de notre serveur est le français, il nous faudra modifier les fichiers ADML situés dans fr-fr. Le fichier ADMX correspondant est le fichier WindowsExplorer.ADMX situé dans «C:\windows\PolicyDefinitions\» Le fichier ADML correspondant à notre langue d installation est le fichier fichier WindowsExplorer.ADML se situant dans «C:\windows\PolicyDefinitions\fr-FR\» SE RENDRE PROPRIETAIRE Pour pouvoir modifier les ADMX et sauvegarder vos modifications, il faudra rendre l administrateur propriétaire du fichier à modifier. Clic droit puis propriétés\sécurité\avancé\propriétaire\ sélectionner administrateur et lui donné les droits. 81 / 106

82 MODIFICATION DU «WINDOWS EXPLORER.ADMX» Rechercher avec l éditeur de texte (ctrl +F ) et taper «nodrives». Vous trouverez la ligne suivante : Le Nodrives correspondant à la GPO «Dans postes de travail, masquer les lecteurs spécifiés» <policy name="nodrives" class="user" displayname="$(string.nodrives)" Et dessous : <enum id="nodrivesdropdown" valuename="nodrives" required="true"> Et encore dessous les balises suivantes. <item displayname="$(string.abonly)"> <value> <decimal value="3" /> </value> </item> Chaque balise corresponde à des lettres de lecteurs a désactivé. Ici le lecteur A et B. La valeur 3 pour 2^0+2^1. Chaque lettre de lecteur décimal a une valeur décimale associée. A=0, B=1, C=2, D=3 etc Dans notre cas nous allons rajouter pour les lecteurs A, B, et D les lignes suivantes: <item displayname="$(string.abdonly)"> <value> <decimal value="11" /> </value> </item> Ou 11 correspond à 2^0 +2^1+2^3 Toujours dans le WindowsExplorer.admx on va maintenant modifier la clé suivante qui correspond à la GPO «Empêcher l accès aux lecteurs à partir du poste de travail» <policy name="noviewondrive" class="user" displayname="$(string.noviewondrive)" 82 / 106

83 On rajoute les balises : <item displayname="$(string.abdonly)"> <value> <decimal value="11" /> </value> </item> Et on sauvegarde. MODIFICATION DU FICHIER WINDOWSEXPLORER.ADML On ajoute la clé : <string id="abdonly">restreindre aux lecteurs A, B et D uniquement</string> On sauvegarde et on ferme la fenêtre. On retourne dans GPMC.msc pour activer notre GPO et vérifier que nos modification on bien était pris en compte. 83 / 106

84 Fichiers de configuration Linux Fichier de configuration «proftpd.conf» pour le serveur «FTP» Chemin d accès dans l arborescence : /etc/proftpd/proftpd.conf. # /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file. # To really apply changes reload proftpd after modifications. # Includes DSO modules Include /etc/proftpd/modules.conf # Set off to disable IPv6 support which is annoying on IPv4 only boxes. UseIPv6 on # If set on you can experience a longer connection delay in many cases. IdentLookups off ServerName ServerType DeferWelcome "debian" standalone off MultilineRFC2228 DefaultServer ShowSymlinks on on on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle / 106

85 DisplayLogin DisplayChdir ListOptions welcome.msg "-l".message true DenyFilter \*.*/ # Use this to jail all users in their homes DefaultRoot ~ # Users require a valid shell listed in /etc/shells to login. # Use this directive to release that constrain. # RequireValidShell off # Port 21 is the standard FTP port. Port 21 # In some cases you have to specify passive ports range to by-pass # firewall limitations. Ephemeral ports can be used for that, but # feel free to use a more narrow range. # PassivePorts # If your host was NATted, this option is useful in order to # allow passive tranfers to work. You have to use your public # address and opening the passive ports used on your firewall as well. # MasqueradeAddress # This is useful for masquerading address with dynamic IPs: # refresh any configured MasqueradeAddress directives every 8 hours <IfModule mod_dynmasq.c> 85 / 106

86 # DynMasqRefresh </IfModule> # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User proftpd Group nogroup # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask # Normally, we want files to be overwriteable. AllowOverwrite on # Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords: # PersistentPasswd off # This is required to use both PAM-based authentication and local passwords # AuthOrder mod_auth_pam.c* mod_auth_unix.c # Be warned: use of this directive impacts CPU average load! # Uncomment this if you like to see progress and transfer rate with ftpwho # in downloads. That is not needed for uploads rates. # 86 / 106

87 # UseSendFile off TransferLog SystemLog /var/log/proftpd/xferlog /var/log/proftpd/proftpd.log <IfModule mod_quotatab.c> QuotaEngine </IfModule> off <IfModule mod_ratio.c> Ratios </IfModule> off # Delay engine reduces impact of the so-called Timing Attack described in # # It is on by default. <IfModule mod_delay.c> DelayEngine on </IfModule> <IfModule mod_ctrls.c> ControlsEngine off ControlsMaxClients 2 ControlsLog /var/log/proftpd/controls.log ControlsInterval 5 ControlsSocket /var/run/proftpd/proftpd.sock </IfModule> 87 / 106

88 <IfModule mod_ctrls_admin.c> AdminControlsEngine </IfModule> off # Alternative authentication frameworks #Include /etc/proftpd/ldap.conf #Include /etc/proftpd/sql.conf # This is used for FTPS connections #Include /etc/proftpd/tls.conf # Useful to keep VirtualHost/VirtualRoot directives separated #Include /etc/proftpd/virtuals.con # A basic anonymous configuration, no upload directories. <Anonymous ~ftp> User ftp Group nogroup # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Cosmetic changes, all files belongs to ftp user DirFakeUser on ftp DirFakeGroup on ftp RequireValidShell off # Limit the maximum number of anonymous logins MaxClients / 106

89 Fichier de configuration «sshd_config» pour le serveur «SFTP» Chemin d accès dans l arborescence : /etc/ssh/sshd_config. # Package generated configuration file # See the sshd_config(5) manpage for details # What ports, IPs and protocols we listen for Port # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress Protocol 2 # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key #Privilege Separation is turned on for security UsePrivilegeSeparation yes # Lifetime and size of ephemeral version 1 server key KeyRegenerationInterval 3600 ServerKeyBits 768 # Logging SyslogFacility LogLevel INFO AUTH # Authentication: LoginGraceTime 120 PermitRootLogin no StrictModes yes 89 / 106

90 #RSAAuthentication PubkeyAuthentication AuthorizedKeysFile yes yes /home/%u/.ssh/authorized_keys # Don't read the user's ~/.rhosts and ~/.shosts files IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts #RhostsRSAAuthentication no ## similar for protocol version 2 #HostbasedAuthentication no # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication #IgnoreUserKnownHosts yes # To enable empty passwords, change to yes (NOT RECOMMENDED) PermitEmptyPasswords no # Change to yes to enable challenge-response passwords (beware issues with # some PAM modules and threads) ChallengeResponseAuthentication yes # Change to no to disable tunnelled clear text passwords PasswordAuthentication yes # Kerberos options KerberosAuthentication #KerberosGetAFSToken no KerberosOrLocalPasswd #KerberosTicketCleanup yes yes yes 90 / 106

91 # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes X11Forwarding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive UseLogin no yes #MaxStartups 10:30:60 #Banner /etc/issue.net # Allow client to pass locale environment variables AcceptEnv LANG LC_* # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes 91 / 106

92 AllowGroups "utilisateurs du domaine" # Sous système sftp-server Subsystem sftp internal-sftp -f AUTH -l VERBOSE ## Chroot du group "direction" Match Group "utilisateurs du domaine" # Spécifie la racine du FTP ChrootDirectory /SFTP/ ForceCommand internal-sftp # Autorise la redirection des ports TCP AllowTcpforwarding no GatewayPorts X11Forwarding no no 92 / 106

93 Fichier de configuration «krb5.conf» pour «Kerberos» Chemin d accès dans l arborescence : /etc/krb5.conf. [libdefaults] default_realm = CIMENTTECH.LOC # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # The following encryption type specification will be used by MIT Kerberos # if uncommented. In general, the defaults in the MIT Kerberos code are # correct and overriding these specifications only serves to disable new # encryption types as they are added, creating interoperability problems. # # Thie only time when you might need to uncomment these lines and change # the enctypes is if you have local software that will break on ticket # caches containing ticket encryption types it doesn't know about (such as # old versions of Sun Java). # default_tgs_enctypes = des3-hmac-sha1 # default_tkt_enctypes = des3-hmac-sha1 # permitted_enctypes = des3-hmac-sha1 93 / 106

94 # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] CIMENTTECH.LOC = { kdc = CIMENTTECH.LOC admin_server = CIMENTTECH.LOC } [domain_realm].cimenttech.loc = CIMENTTECH.LOC cimenttech.loc = CIMENTTECH.LOC [login] krb4_convert = true krb4_get_tickets = false 94 / 106

95 Fichier de configuration «winbind» pour le serveur «winbind» Chemin d accès dans l arborescence : /etc/default/winbind. # Defaults for winbind initscript # sourced by /etc/init.d/winbind # This is a POSIX shell fragment # Winbind configuration WINBINDD_OPTS="-n" 95 / 106

96 Fichier de configuration «smb.conf» pour le partage «Samba» Chemin d accès dans l arborescence : /etc/samba/smb.conf [global] password server = realm = CIMENTTECH.LOC security = ads allow trusted domains = yes passwd chat = *Enter\snew\s*\spassword:* %$ obey pam restrictions = yes passwd program = /usr/bin/passwd %u dns proxy = no netbios name = %h workgroup = CIMENTTECH os level = 0 log file = /var/log/samba/log.%m max log size = 1000 usershare allow guests = yes restrict anonymous = 2 client use spnego = yes client ntlmv2 auth = yes map to guest = bad user encrypt passwords = yes passdb backend = tdbsam template shell = /bin/bash template homedir = /home/%d/%u 96 / 106

97 unix password sync = yes syslog = 0 panic action = /usr/share/samba/panic-action %d pam password change = yes server string = %h # énumération des utiliasteurs winbind enum users = yes # énumération des groupes winbind enum groups = yes winbind use default domain = yes winbind offline logon = false winbind refresh tickets = yes winbind separator = / winbind nested groups = yes # utilisation des uid entre et des utilisateurs du domaine idmap uid = # utilisation des gid etre et des groupes du domaine idmap gid = [Utilisateurs] comment = Repertoire personnel path = /home/%d/%u create mask = 0700 directory mask = 0700 read only = no valid users du domaine",@"utilisateurs du domaine",@"ordinateurs du domaine" write list du domaine",@"utilisateurs du domaine" 97 / 106

98 Fichier de configuration «common-auth» pour la gestion de l authentification Chemin d accès dans l arborescence : /etc/pam.d/common-auth. # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam , this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. ## here are the per-package modules (the "Primary" block) #auth [success=2 default=ignore] pam_unix.so nullok_secure #auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=file cached_login try_first_pass # auth sufficient pam_unix.so nullok_secure auth sufficient try_first_pass pam_winbind.so krb5_auth krb5_ccache_type=file cached_login # here's the fallback if no module succeeds auth required pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 98 / 106

99 Fichier de configuration «common-session» pour la gestion des sessions utilisateurs» Chemin d accès dans l arborescence : /etc/pam.d/common-session. # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). # # As of pam , this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # and here are more per-package modules (the "Additional" block) session required pam_unix.so session required pam_mkhomedir.so umask=0022 skel=/etc/skel session optional pam_winbind.so session optional pam_ck_connector.so nox11 # end of pam-auth-update config 99 / 106

100 Fichier de configuration «common-password pour la gestion des mots de passe Chemin d accès dans l arborescence : /etc/pam.d/common-password. # /etc/pam.d/common-password - password-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be # used to change user passwords. The default is pam_unix. # Explanation of pam_unix options: # # The "sha512" option enables salted SHA512 passwords. Without this option, # the default is Unix crypt. Prior releases used the option "md5". # # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in # login.defs. # # See the pam_unix manpage for other options. # As of pam , this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. ## here are the per-package modules (the "Primary" block) password [success=2 default=ignore] pam_unix.so obscure sha512 password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass 100 / 106

101 # here's the fallback if no module succeeds password requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around password required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 101 / 106

102 Fichier de configuration «common-account» pour la gestion des comptes utilisateurs Chemin d accès dans l arborescence : /etc/pam.d/common-account. # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # # As of pam , this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # # here are the per-package modules (the "Primary" block) #account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so account sufficient pam_winbind.so account sufficient pam_unix.so # here's the fallback if no module succeeds account requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around account required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 102 / 106

103 Planning Nom de la tâche Début Fin Réception Cahier des charges Mer 13/03/13 Mer 13/03/13 Analyse de l'existant Jeu 14/03/13 Lun 18/03/13 Analyse des besoins Ven 15/03/13 Ven 22/03/13 Etudes des solutions techniques Lun 01/04/13 Mer 10/04/13 Stockage Lun 01/04/13 Mar 02/04/13 Tolérance aux pannes Mer 03/04/13 Jeu 04/04/13 Gestion de parc Ven 05/04/13 Lun 08/04/13 Sauvegarde Mar 09/04/13 Mer 10/04/13 Devis, consultation, choix et commande Jeu 04/04/13 Ven 26/04/13 FORMATION Lun 02/04/13 Ven 30/08/13 MISE EN PLACE Lun 26/04/13 Mar 24/09/13 Bilan Jeu 26/09/13 Jeu 26/09/ / 106

104 Glossaire A AE : Aile Est AO : Aile Ouest AD : Active Directory ADDS : Active Directory Domain Services B Baie : Armoire métallique servant à entreposer les serveurs et autres matériels informatiques ou télécom. Bandeau de brassage : support d'interconnexions qui se place en général dans une baie de brassage. On y connecte des cordons de brassage afin de relier les différents périphériques entre eux. BP : Bâtiment Principal C D DFS : Distributed File System DHCP : Attribution automatique des adresses IP DNS : Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. E F FTP : File Transfer Protocol (protocole de transfert de fichiers), est un protocole de communication destiné à l'échange de fichiers sur un réseau TCP/IP. Il permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur. Ce mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un tiers. G GPO : Group Policy Object. Les stratégies de groupe sont des fonctions de gestion centralisée. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. L Lecteur réseau : Connexion à un partage de fichier sur le réseau LED : diode électroluminescente Linux : système d'exploitation libre fonctionnant avec le noyau Linux. C'est une implémentation libre du système UNIX. M MCD : Modèle Conceptuel de Données MPD : Modèle Physique de Données 104 / 106

105 N NAS : serveur de fichiers autonome, relié à un réseau dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. NB : Noir et Blanc O Onduleur : dispositif d'électronique de puissance permettant de délivrer des tensions et des courants alternatifs à partir d'une source d'énergie électrique continue. OS : Operating System OU : Organisation Unit (Unité d organisation) P Pack Office : suite bureautique de la société Microsoft (Logiciels de base : Word, Excel, PowerPoint, Outlook, OneNote) Processeur : Cœur de l'ordinateur qui permet le fonctionnement de tous les composants Q R RAM : Mémoire vive, contient des informations lorsque l'ordinateur est allumé Réplication : La réplication est un processus de partage d'informations pour assurer la cohérence de données entre plusieurs sources de données redondantes, pour améliorer la fiabilité, la tolérance aux pannes, ou l'accessibilité. On parle de réplication de données si les mêmes données sont dupliquées sur plusieurs périphériques. La réplication n'est pas à confondre avec une sauvegarde : les données sauvegardées ne changent pas dans le temps, reflétant un état fixe des données, tandis que les données répliquées évoluent sans cesse à mesure que les données sources changent. Réseau : Ensemble de relations entre plusieurs appareils connectés entre eux. S Serveur : Dispositif informatique matériel ou logiciel qui offre des services, à différents clients (partage de fichiers et d imprimantes, courrier électronique, accès aux informations Web Serveur DHCP : Un serveur DHCP (Dynamic Host Configuration Protocol) a pour rôle de distribuer de façon automatique, des adresses IP à des clients pour une durée déterminée. Au lieu d'affecter manuellement à chaque hôte une adresse statique, ainsi que tous les paramètres tels que (serveur de noms, passerelle par défaut, nom du réseau), un serveur DHCP alloue à un client, un bail d'accès au réseau, pour une durée déterminée (durée du bail). Le serveur passe en paramètres au client toutes les informations dont il a besoin. Service FTP : Le serveur FTP (File Transfer Protocol) qui permet de transférer des fichiers par Internet ou par le biais d'un réseau informatique local (intranet). Toute personne en ayant l'autorisation, peut télécharger et envoyer des fichiers sur un ordinateur distant faisant fonctionner un tel serveur. Le port par défaut est le plus souvent utilisé est le port 21 Service http : L'HyperText Transfer Protocol (http) est un protocole de communication clientserveur. HTTPS (avec S pour secured, soit «sécurisé») est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. 105 / 106

106 HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS). Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d'accéder à un serveur contenant les données. Il existe aussi des systèmes pour récupérer automatiquement le contenu d'un site tel que les aspirateurs de site Web ou les robots d'indexation. Ces clients se connectent à des serveurs HTTP tels qu'apache HTTP Server ou Internet Information Services. Du client au serveur La liaison entre le client et le serveur n'est pas toujours directe, il peut exister des machines intermédiaires servant de relais : Un proxy (ou serveur mandataire) peut modifier les réponses et requêtes qu'il reçoit et peut gérer un cache des ressources demandées. Une passerelle (ou gateway) est un intermédiaire modifiant le protocole utilisé. Un tunnel transmet les requêtes et les réponses sans aucune modification, ni mise en cache. Spare : Élément matériel parfaitement fonctionnel mais que l'on garde de côté pour remplacer le plus rapidement possible ce qui tombe en panne. Switch : (ou Commutateur) équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits virtuels. Système d'exploitation : Ensemble de programmes qui dirige l'utilisation des capacités physique d'un ordinateur par des logiciels applicatifs. U 106 / 106