TP Windows server 2kx 1 er TP 4 mois de recul sur les métiers SISR Version server acceptées 2008 r2 ou 2012 Le client souhaite avoir à disposition un système permettant de gérer le personnel, leurs accès aux ressources de l entreprise, le tout de façon sécurisée. Egalement pour offrir des services pour des logiciels, leurs licences. Aussi automatiser certains aspects de configurations, de sécurité, ou encore déploiement d applications qui peuvent être compliqués pour certains utilisateurs. Aussi d organiser, de hiérarchiser le Système d Information et de faciliter l administration du réseau informatique de l entreprise. Le client souhaite notamment héberger son intranet. Avoir un système de messagerie interne, voire de messagerie instantanée. Il souhaite également profiter des fonctionnalités de sauvegarde de ces systèmes et du travail de leurs employés. S interroge sur la mise à jour de ses systèmes utilisateurs. Aussi que nous puissions intervenir à distance à des fins d administration, d assistance utilisateur (prise de main distante) et support helpdesk avec un traitement des incidents par ticket (traçabilité des actions), et régulation des licences. Une note de dernière minute nous signale que l entreprise possède des locaux à lyon, nous devons leur proposer une solution de lien sécurisé et sur la gestion que cela implique, nous devons présenter les solutions envisageable et dresser leurs avantages et inconvénients néanmoins être réactifs et fonctionnels rapidement. Le budget accordé sur 1 an de fonctionnement est de xxxxx Aussi, l entreprise pense racheter une autre entreprise et partager certaines ressources
*Traduction du besoin exprimé de façon synthétique en termes techniques (en dehors du schéma obligatoire) : besoin Gestion informatisée des utilisateurs du réseau / de la sécurité / du partage de documents / capable d accueillir différents rôles Hébergement de l intranet messagerie Gestion de ticket d incidents / inventaire de parc sauvegardes Admin distante et prise en main distante sur les postes clients Solutions envisageables Un contrôleur de domaine, gestionnaire d annuaire : Sambaopenldap Contrôleur de domaine AD IIS7 Autre système serveur web plus basique (wamp/xampp) Lotus notes Exchange OCSinventory/Glpi TSE (remote desktop) LoGmein teamviewer Conseil automatisation maximum simplicité organisation et convention de nommage dhcp secours Solution retenue Contrôleur de domaine AD pour le domaine domyla.local user/group partages (et quotas) sécurité et gpo mmc dns/dhcp(+secours) IIS7 Exchange OCSinventory/Glpi equivalent ntbackup / svgde AD et snapshots nas TSE admin LogmeIN teamviewer + redirections fw Lien entre les sites d Orléans et de Lyon VPN opérateur VPN maison (openvpn ou autres) impératif être rapidement fonctionnel
Dans le cadre du rachat d une entreprise externe, possibilité de partager les ressources Approbation externe Centralisation des partages Gestion des Mises à jour Approbation externe entre domaines Racine DFS WSUS Rédaction d une note aux utilisateurs (complexité mdp / reflexes sécurité)..à poursuivre (et tableau à réaliser par vos soins pour les futurs thèmes abordés)
*Schéma de votre infrastructure réseau/systèmes: (adressage/infrastructure/fonctionnalités) *Schéma fonctionnel de votre organisation AD: *Installation : Installer l OS Windows server 2kx, afin d installer un serveur qui est dit autonome. Promouvoir ce serveur autonome en serveur contrôleur de domaine pour le domaine dns dominitiales.local (exemple yann laneau > domyl.fr ) via la commande dcpromo.exe Quelle est l utilité des répertoires ntds et sysvol? Installez dans la foulée le rôle serveur DNS. Une fois le serveur redémarré reexecuter la commande dcpromo pour voir le nouveau menu qu il vous propose. De façon synthétique, que permet de faire la commande dcpromo? *Créez les utilisateurs et groupes suivants Dans le service A de l entreprise Martine SERVICO (ville : Orléans/bureau : 12/tel : 0625689855) Steeve MARTINS (ville : Orléans/bureau : 13/tel : 06222545555) Ils font partie d un même groupe de sécurité service a. Martine est la chef de service*
Dans le serviceb de l entreprise John LOCKE (ville :lyon/bureau :3/tel :0699887766) Roger RABBIT (ville :orléans/bureau :11/tel :0611223344) Sarah MARTINS (ville :lyon/bureau :2/tel :0612345678) Ils font partie d un même groupe de sécurité serviceb RABBIT et LOCKE font partis du groupe serviceb_orl, Sarah non. Ils font tous partie d un groupe entreprise John est le chef de service* *Les chefs de services auront des stratégies de sécurité différentes des employés. * Réalisez et décrivez l intégration d un un poste client au domaine. *Partages&sécurité :.Créer les répertoires suivants (ils doivent être visibles) Partage_serviceA (accessible en lecture /écriture/modification pour les employés du servicea) Partage_serviceB (idem pour le serviceb)
Sur le dossier partagé partage_servicea le groupe servicea garde les mêmes droit mais Steeve MARTINS n a que le droit de lecture, quels seront les droits effectifs de l user? Faites en sorte que Steeve n ait que les droits de lecture Sur un nouveau répertoire partagé stock l user1 a le droit de lecture, mais appartient au groupe servicea qui a des droits de lecture/écriture Quels seront les droits effectifs de l user1? En plus des gammes de droits déjà affectées, User1 appartient aussi au groupe serviceb qui lui, a tous ses droits refusés sur le répertoire stock. Quels seront les droits effectifs de l user1? Sur un nouveau partage stock2 les autorisations de partages sont pour tout le monde lecture, coté droits ntfs, le groupe servicea a le contrôle total. Quels sont les droits effectifs d un user membre du servicea? Qu en conclure sur la gestion des droits? Où trouveton le listing de tous les partages de ressources réalisés sur un serveur donné? Peuton voir si des utilisateurs sont connectés à des ressources? Groupes: Quels sont les différents types de groupes et quels sont également les différents périmètres / étendues de validité du groupe...!!!!!pour tester vos accès à partir du client xp sans vous déconnecter de session a chaque fois, lancez ce script en tache automatisée toutes les 2 minutes : créez un.bat contenant : net use * /d /y
*Création d une console mmc personnalisée à l aide de la commande mmc.exe *Stratégies de groupes (Group Policy Objects) Mettre en place quelques gpo Le servicea doit être interdit de configurer le réseau, ni même d accéder au panneau de configuration ni même aux options ie ) Le serviceb doit être interdit des mêmes choses sauf Mr LOCKE qui doit avoir un accès complet. utiliser la commande gpupdate pour forcer les mises à jour. Coté client vérifiez quelles sont les stratégies qui s'appliquent : utiliser la commande gpresult ou bien la console rsop.msc. Préciser ce que signifie rsop... Installer ensuite la console gestionnaire des stratégies : «Editeur d objet de stratégie de groupe» Regarder la stratégie de groupe par défaut au niveau du domaine (on y définit souvent la complexité de mot de passe, il vous est demandé de la modifier pour utiliser des mots de passes plus simples ceci a certainement été fait au préalable) *Redaction d une note aux utilisateurs sur les exigences de complexité de mot de passe et sur de brefs
rappels quant à la sécurité, aussi aux fermetures de session!! Rédigez une courte note afin de prévenir de ce qu est que la complexité de mot de passe et quelques exemples simples à retenir et des quelques rappels de sécurité essentielle!! *Répertoires Personnels Création d un répertoire personnel à la création de l utilisateur avec des droits contrôle total pour l admin et l utilisateur concerné (utilisation de la variable d environnement %username% qui récupère le login utilisateur) attention a votre conteneur de dossier persos et à l héritage des droits propriétés avancées de l onglet sécurité ntfs Afin de ne pas polluer les partages de ce serveur il est nécessaire que ces répertoires soient cachés. *script d ouverture de session Création d un script de login pour l utilisateur en créant le fichier exécutable dos.bat comme l exemple suivant script.txt dans le partage \\192.168.2.207\Partage_sio_sisr_2012 Ce script doit : vérifier l existence du volume sur le poste utilisateur Si présent le supprimer Monter la lettre de volume (lecteur) Z : sur le repertoire perso de l utilisateur Monter le lecteur réseau Y : sur le commun général et le commun du service concerné de l utilisateur
*Quotas sur répertoires : Créez un modèle de quota à appliquer pour le répertoire personnel de chaque utilisateur. Les paramètres suivants seront utilisés : Nom du modèle : Limite de 200 Mo Limite d espace : 200 Mo Type de quota : quota conditionnel Seuils de notification : Avertissement (100%) : envoyer un avertissement au journal des événements Avertissement (85%) : envoyer un avertissement au journal des événements Remarque pour la démonstration du fonctionnement des quotas au jury : Pour tester vos quotas, vous pouvez générer des fichiers volumineux à l aide de la commande fsutil avec les paramètres suivants : fsutil file createnew <nom_fichier> <taille_fichier>, où nom_fichier est le chemin d accès et le nom du fichier à créer et taille_fichier est la taille du fichier en octets. *GUID (Global Unique Identifier) Supprimer un utilisateur d un domaine tout en laissant ses droits sur le partage d une ressource, si vous retournez après suppression de l utilisateur sur les droits de partages ntfs de la ressource qu y trouveton, a quoi cela correspondil? *Profils itinérants : Créer un profil itinérant pour John LOCKE. Quel est l'utilité de type de profils? A quel moment se sauvegardentils?
*DHCP Dans le DHCP réaliser des réservations d adresses et regardez tout ce qui est configurable (affectation dns attribution nom de poste etc ) Quel problème aurionsnous rencontré dans le Labo si tout le monde eut été sur le même réseau IP? *DHCP de secours : On conseille à l entreprise de prévoir un dhcp de secours afin d assurer la redondance, la tolérance de panne et la haute disponibilité de ce rôle. Avec un serveur autonome rattaché au domaine AD, mettez en place le rôle dns. [plus tard] (Tester aussi les classes utilisateurs..) *Terminal server TSE Connectezvous à l aide du bureau à distance sur votre serveur à partir de votre poste client. Nous sommes censée sortir de la session en fermant la session, si ce n est pas fait la connexion reste effective et bloque l accès à TSE sur le serveur si plus de 2 connexions sont déjà établies Placezvous dans cette situation et accéder a la console vous permettant de faire sauter ces connexions fantômes encours *Prise en main à distance sur les postes utilisateurs
*Automatisation des créations de comptes utilisateurs Pour nous il est nécessaire face au nombre montant d employés à entrer dans l AD de pouvoir automatiser cette tâche, en demandant au client de nous fournir un fichier excel explicité permettant la création automatisée de comptes utilisateurs Que proposeriezvous? *Approbation entre domaines externes Entre les domaines de 2 groupes réalisez une approbation donc une approbation entre 2 domaines parents. L admin du domaine 1 doit approuver le domaine 2 et inversement. (Tester la possibilité de partager des ressources d un domaine à un utilisateur du second domaine)
*Hébergement de l intranet et mise en place comme page d accueil des navigateurs. Créer l intranet de l entreprise grâce à l applicatif/rôle IIS Exemple code html page index.htm de l intranet <html> <head><title>intranet</title></head> <body bgcolor= blue text= white > <center><h1>nous sommes sur l intranet de l entreprise</h1></center> </body></html> *Nous conseillons à l entreprise (du fait d un nombre de serveurs de fichiers important) de centraliser les partages avec un réplica de cette racine DFS. DFS : créez avec l approbation entre les 2 domaines une racine DFS + réplica On ajoute le rôle réplication DFS au serveur
*Nous pensons qu il est nécessaire de s assurer de la mise à jour des systèmes de façon automatisée et centralisée. WSUS : Mettre en place un serveur WSUS
*Messagerie : Exchange/outlook *Egalement un outil de gestion de tickets de déclaration d incident et d inventaire de parc est nécessaire : OCS/GLPI :