IUT VALENCE CHARLES DE LA BROUSSE Henri DUT R&T DUT R&T TP Windows 2008 Server R2 Sommaire : TP1 - Installation, création d un AD et arborescence, Windows 2008 Server Page 1 à 10 TP2 - Configuration des groupes et partages de ressources Page 11 à 23 TP3 - Infrastructure de la stratégie de groupe Page 24 à 31
Objet : TP1 : Auteur : TP Windows 2008 Server Installation, création d un AD et arborescence, Windows 2008 Server Charles de La Brousse Henri Étape 1 : Analyse et configuration de départ 1.1 Windows 2008 Serveur : On configure deux cartes réseau sur cette machine virtuelle. La première en mode «Accès par pont» de façon à pouvoir être connectée à internet ultérieurement et la seconde en mode «Réseau interne». On s assure ensuite de la présence de deux disques durs, un de 25 Go destiné au système et l autre de 512 Mo pour les données. 1.2 Windows 7 professionnel : Cette machine n a besoin que d une seule carte réseau (en mode «Réseau interne»), car elle joue le rôle de client du serveur. À noter : Mot de passe du serveur : IutVal$21 && n du disque dur (physique) : "R&T 31" «Crtl+Altr+Supp» sur machine virtuelle == «Ctrldroit+Supp» Étape 2 : Configuration du serveur Configuration de la carte WAN : Configuration de la carte LAN: TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 1
Définition du nom de la machine: Un nom de machine Windows server doit comporter 1 à 15 caractères. Nom complet de l'ordinateur donnée: "VM-Serv-21" Configuration de l espace de stockage: Désactivation des mises à jour : Modifier les paramètres de mise à jour automatiques : «Ne jamais rechercher les mises à jour». Étape 3: Configuration de Windows 7 Pro - Client La configuration de la machine client est telle : - Nome de l ordinateur : VM-7-21 - Compte utilisateur n 1 : user - Mot de passe du compte utilisateur n 1 : aucun TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 2
Étape 4: Configuration des services réseaux sur le serveur Pour configurer le serveur en tant que passerelle vers internet, il faut ajouter le proxy de l IUT dans la machine Windows serveur 2008 et également sur la machine client ("options internet">"connexions">"paramètres réseau" puis ajouter l'adresse du proxy). 4.1/2 Ajout des rôles DNS & DHCP: Dans la fenêtre gestion de serveur, il faut cliquer sur ajouter des rôles. On sélectionne ensuite serveur DHCP et serveur DNS. Le serveur DNS n a besoin d aucune configuration spéciale pour l instant. En cliquant sur «suivant» on arrive aux configurations du serveur DHCP. On sélectionne le réseau où l on souhaite ajouter le service (le réseau LAN). Le nom de mon domaine parent est «Dom21.com». L adresse IP du serveur DNS préféré est l adresse IP de la carte LAN (192.168.21.1). Paramètres Wins non requis. On ajoute maintenant une étendue d adresse IP, comme suit : TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 3
Désactivation du mode sans état DHCPv6 (pas besoin dans le TP). Le client récupère une adresse du pôle du DHCP: 4.3 Activation de la fonction de routage NAT On ajoute le rôle «Service et stratégie d accès réseau», et on coche le service Routage. Un onglet «Service et stratégie d accès réseau» apparaît dans le Gestionnaire de serveur. Ensuite, on active le routage et l accès à distance. Il faut penser à configurer le pare-feu pour laisser passer les Ping dans les 2 sens (sur les 2 machines): Test du Ping client > serveur: OK! TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 4
Problème: le client n a toujours pas accès à internet. Solution : le Ping ne marchait pas du client > serveur (côté WAN). J'ai donc recrée le service NAT et j'ai sélectionné WAN, car je ne l'avais pas sélectionné la 1er fois. Étape 5: Mise en place d un Active Directory Nous utilisons ici, l assistant d installation des services de domaine Active Directory : dcpromo.exe On crée ensuite un domaine dans une nouvelle forêt (Dom21.com). On choisit de configurer le contrôleur de domaine comme serveur de Catalogue Global. Il permet l authentification d utilisateurs. L'Active Directory modifie l'interface : 5.2 Création d un composant logiciel enfichable On va utiliser le logiciel mmc (taper mmc dans exécuter pour lancer le logiciel). Ce logiciel va nous permettre de créer une console sur le serveur, donnant accès à la configuration de l AD. TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 5
La fenêtre Fichier > Ajouter/Supprimer un composant logiciel enfichable : On ajoute l Active Directory à la liste de logiciels enfichables, puis on sauvegarde la console sur le bureau : 5.3 Création de nouvelles Unités d Organisation (OU) Les OU servent à structurer le contenu de l AD. On peut les comparer à des dossiers dans l arborescence de fichiers Windows. TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 6
5.4 Création d un utilisateur On crée un utilisateur par le procédé vue juste avant. Nom de L UO créée précédemment Étape 6 : Intégration d une machine dans le domaine 6.1 Autorisation du serveur DHCP Dans le gestionnaire de serveur, on va aller autoriser le serveur DHCP. Les icones suivantes passent au vert : TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 7
Le client reçoit à nouveau son adresse IP via le DHCP. La mise en place de l AD avait désactivé ce service. 6.2 Intégration d un poste client Sur le poste client : Poste de travail > Propriétés > Paramètres système avancé Dans l onglet Nom de l ordinateur, on clique sur Modifier, puis on indique le nom de domaine créé précédemment. Compte administrateur du serveur requis. => Dom21.com/administrateur 6.3 Connexion sur le poste client Au redémarrage de la machine client, une connexion au domaine est demandée, ainsi que la saisie d un nouveau mdp (option choisi lors de la création d un utilisateur du domaine). On se loge avec les identifiants créés dans la partie 5.4. À noter : Nouveau mdp client: "Azerty26" Par défaut, on ne peut pas modifier les paramètres d'un compte utilisateur, ni changer l'heure... Le panneau de configuration Windows est très limité sans les droits administrateurs. TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 8
Étape 7 : Paramétrages d un compte utilisateur 7.1 Limitation des horaires d accès Par l intermédiaire de la console : clic droit sur un utilisateur > Propriété. Dans l onglet compte, cliquer sur horaires d accès. Un planning hebdomadaire apparaît, on peut alors choisir à quelle heure l utilisateur à le droit de se connecter au domaine. On test l interdiction d accès en journée : 7.2 Connexion à un lecteur réseau On crée un dossier «dospartage» sur le disque DATA créée précédemment sur la machine serveur. On peut y accéder depuis la machine client par le chemin suivant : On peut configurer un lecteur réseau pointant sur ce dossier en modifient les propriétés d un utilisateur, rubrique «Profil». Ainsi, ce lecteur se crée à chaque démarrage de la machine : TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 9
Le «%username%» permet d accéder au dossier de son propre login de façon dynamique. Un sous dossier «hdelabrousse» est créé dans le dossier «dospartage» et l utilisateur «hdelabrousse» y a directement accès par le lecteur «P:». TP1 - Installation, création d un AD et arborescence, Windows 2008 Server 10
Objet : TP2 : Auteur : TP Windows 2008 Server Configuration des groupes et partages de ressources Charles de La Brousse Henri Étape 1 : Création de l arborescence On va créer une arborescence avec des OU, et ensuite on va créer différents utilisateurs dans des OU différents : Pour faire cela, on a réutilisé les OU créer lors de l étape 8 du TP1. Pour glisser-déplacer ces OU, il faut dans fonctionnalités avancées, désactiver la protection contre la suppression accidentelle : TP2 - Configuration des groupes et partages de ressources 11
Exemple de création d un utilisateur : TP2 - Configuration des groupes et partages de ressources 12
Étape 2 : Gestion de groupes 2.1 Modèle AGDLP : La technique AGDLP consiste à placer un utilisateur dans un groupe global qui lui, fait partie d un ou plusieurs groupe de domaine local. Les différents groupes de domaines locaux représentent différentes permissions. Un groupe de sécurité sert à affecter des droits à un ensemble d utilisateur. Un groupe de distribution sert uniquement à la gestion de mail. Un groupe global contient des utilisateurs, ordinateurs et des groupes du même domaine que lui. Il n est pas adapté pour organiser l accès à des ressources spécifiques du domaine. Un groupe universel, identique, à l exception qu il peut contenir des groupes d un domaine de sa forêt. Il est utilisé pour imbriquer des groupes globaux pour des ressources apparentées dans plusieurs domaines. Un groupe local peut contenir des groupes de tous types, de n importe quel domaine. Il sert à gérer l accès à une ressource du domaine. Les groupes globaux sont inclus dans les DL. Schéma exemple modèle AGDLP: On partage alors un dossier avec le groupe de domaine local (Partage_CT_DL) pour affecter les permissions nécessaires à certaines personnes. 2.2 Création des groupes globaux correspondant aux services : TP2 - Configuration des groupes et partages de ressources 13
2.3 Ajout des utilisateurs dans un groupe: 1 er possibilité : à partir du groupe, on ajoute un membre : 2 ième possibilités : à partir d un utilisateur, on le met membre de : Lorsque l on clique sur «Ajouter», la fenêtre suivante s ouvre. En tapant le début du nom que l on cherche, le bouton «vérifier les noms» permet de voir la liste des noms disponibles. TP2 - Configuration des groupes et partages de ressources 14
TP2 - Configuration des groupes et partages de ressources 15
Étape 3 : Mise en place d un partage réseau 3.1 Création de l arborescence des dossiers : Création d un dossier partagé sur l espace disque du serveur (dossier «SharedFolder») : On partage ensuite le dossier «SharedFolder» à tous les utilisateurs authentifiés, à l aide d un clic droit > Propriétés > Partage > Partager sur le dossier. On ajoute ensuite de groupe utilisateurs authentifiés. Dans l onglet sécurité, on peut modifier les autorisations d un groupe/utilisateur. Ici on coche Contrôle total pour utilisateurs authentifiés. 3.2 Suppression de l héritage des sous-dossiers : On va chercher à supprimer l héritage pour ne pas affecter les mêmes droits aux dossiers enfants qu aux dossiers parents. Pour supprimer l héritage : clic droit sur le dossier > Propriétés > Sécurité > Avancé > Modifier les autorisations > Décocher TP2 - Configuration des groupes et partages de ressources 16
Puis on supprime tout le monde de la liste des utilisateurs ayant autorité sur ce dossier. Ainsi les droits sur le contenu des dossiers ne seront pas hétirés par tout le monde. Étape 4 : Gestion des accès à une ressource 4.1 Création des accès à une ressource : On va créer ici des groupes de domaine locaux pour donner différents accès à une ressource. 3 types de droits diffèrent par service (Contrôle total / Lecture&Écriture / Lecture) 4.2 Attribution des droits aux groupes de domaine locaux : On va ajouter les 3 types de droits au dossier Direction (les 3 groupes domaine local). Clic droit > Propriétés > Sécurité > Modifier > Ajouter : Ensuite on paramètre les droits en Contrôle total, Lecture&Écriture ou Lecture celons le groupe : TP2 - Configuration des groupes et partages de ressources 17
Étape 5 : Attribution des droits à un groupe d utilisateurs 5.1 - Attribution aux groupes globaux des accès aux ressources : On modifie les paramètres du groupe global de la direction en le mettant membre du groupe domaine local RW : TP2 - Configuration des groupes et partages de ressources 18
A ce niveau, Jack Sparrow (membre du groupe direction) a accès à tous les dossiers partagés, mais n a aucun droit d écriture, modification... Le problème est que l on souhaite lui donner les droits en écriture dans le dossier direction et ça ne fonctionne pas : Vérifications : Jack Sparrow est bien membre du groupe Direction_GL, mais ce groupe n était pas membre de Partage_Direction_RW_DL : TP2 - Configuration des groupes et partages de ressources 19
Il faut aussi penser cocher la case "modification" pour les groupes de domaine locaux ayant les droits d écriture. TP2 - Configuration des groupes et partages de ressources 20
Création d un accès par un lecteur réseau : 5.2 Montage automatique d un disque réseau : On crée le script suivant pour monter un disque réseau automatiquement. On indique, dans les propriétés des utilisateurs le chemin du script : TP2 - Configuration des groupes et partages de ressources 21
Étape 6 : Gestion des partages de l entreprise 6.2 Accès spécifique pour le service direction : Pour permettre à tous les membres du groupe direction de visualiser l ensemble des dossiers de services, on ajoute le groupe de domaine local Direction_R ayant les droits de lecture à tous les dossiers de services. Étape 7 : Gestion des partages de l entreprise 7.1 Mise en place d un administrateur des partages : On crée un nouvel utilisateur (tanderson_adm) dans un nouvel OU ComptesDeService. On le met membre d un nouveau groupe global AdminSharedFolders. On ajoute ensuite à tous les dossiers de service le groupe AdminSharedFolders pour permettre à ses membres (tanderson_adm) d y avoir accès. 7.2 Autorisation de connexion aux serveurs : Pour permettre à tanderson_adm d avoir accès au serveur, on le met membre de «Admins du domaine». TP2 - Configuration des groupes et partages de ressources 22
TP2 - Configuration des groupes et partages de ressources 23
Objet : TP3 : Auteur : TP Windows 2008 Server Infrastructure de la stratégie de groupe Charles de La Brousse Henri Étape 1 : Gestion de stratégie de groupe 1-1 : Ajout de la fonction «Gestion des stratégies de groupe» à la console : Dans la console, on ajoute «Gestion des stratégies de groupe» et on sauvegarde la console. 1-2 : Ajout de la fonction «Gestion des stratégies de groupe» à la console : Dans cette GPO, on trouve les paramètres de sécurité des comptes (mdp, verrouillage de comptes, Kerberos, options de sécurité, fichiers de chiffrement ). Ils s appliquent aux utilisateurs identifiés du domaine dom21. La GPO est affectée à l ensemble du domaine. TP3 - Infrastructure de la stratégie de groupe 24
Étape 2 : Création d une GPO pour un utilisateur 2-1 : Création d une GPO : 2-2 : Modification d une GPO : On configure la GPO afin qu elle est une action prédéfinie : Puis double clic > Activer > OK TP3 - Infrastructure de la stratégie de groupe 25
2-3 : Activation d une GPO : Dans le rapport de la GPO, on peut voir que la GPO est bien active. On ajoute ensuite la GPO à un OU d utilisateurs : TP3 - Infrastructure de la stratégie de groupe 26
2-4 : Test de la GPO : Lorsque l on se connecte au domaine en tant qu utilsateur affecté par la GPO (ex : jsparrow membre de l OU Utilisateurs de Valence), l utilisateur ne peut que fermer la session. Il ne peut plus éteindre, redémarrer Forcer la mise à jour : sur poste client : gpupdate /force Étape 3 : Création d une GPO d installation de logiciel 3-1 : Création d un partage réseau : TP3 - Infrastructure de la stratégie de groupe 27
3-2 : Création d une GPO d installation : On crée une GPO «InstallationMSI», dans laquelle on ajoute un nouveau package. Configuration utilisateur > Stratégies > Paramètres du logiciel > Installation de logiciel. ATTENTION : Vérifier le chemin de la source du fichier : On affecte cette GPO à un OU d utilisateurs. 3-3 : Test de la GPO : La GPO a installé le.msi au démarrage de la session : Étape 4 : Héritage 4-1 : Création de l arborescence pour les tests & 4-2 : Création et application de GPOs : On a créée une nouvelle GPO InterdirePanneauConf. On l applique, un verrou va s afficher sur la GPO (clic droit + Appliqué). TP3 - Infrastructure de la stratégie de groupe 28
4-3 : Blocage de l héritage : Même procédé pour bloquer l héritage : 4-4 : Tests des GPO et de l héritage : Plus de raccourci vers le panneau de configuration : TP3 - Infrastructure de la stratégie de groupe 29
Via les réglages, l accès au panneau de configuration est bien bloqué : Le panneau de configuration est inaccessible pour les utilisateurs de l OU Utilisateurs mais aussi pour ceux de l OU Admin. Appliquer une GPO traverse le blocage de l héritage. En revanche, les GPO non appliqués (InstallationMSI + InterdireActionArrêter) ne sont pas hérités pour les membres de l OU Admins. Thomas Anderson : Étape 5 : Création d une GPO de blocage 5-1 : Création d une GPO de blocage : TP3 - Infrastructure de la stratégie de groupe 30
5-2 : Assigner la GPO : On assigne la GPO à un OU contenant uniquement une machine physique d un client : La GPO est alors active sur la machine, donc sur n importe quelles sessions connectées sur celle-ci. Si l on crée un dossier à partir d une session connectée sur cette machine, alors toutes les prochaines sessions qui se connecteront à partir de cette machine auront accès à ce dossier. TP3 - Infrastructure de la stratégie de groupe 31