Infrastructure Active Directory en termes de GPO 10/11/2011 Jonathan UNG UNG Jonathan ERE P48 ERE P48 1
Description de l entreprise Création : 2002 Fiche d identité Nom : Digital Simulation Activité Le groupe Digital Simulation s applique à la conception, l analyse et la simulation d un produit sous forme numérique (rétroviseur de voiture, aile d avion, ). Aujourd hui, l effectif de DPS avoisine les 100 collaborateurs/salariés. Les ingénieurs PS possèdent une double compétence CAO et Calcul afin de répondre au mieux aux attentes des industriels, que ce soit en interne ou chez les clients. Le site d Orsay héberge le siège de Digital Simulation et les bureaux d études ingénierie, développement et embarqué ; Constituée d équipes d ingénieurs de très haut niveau, DPS est une société de conseil en ingénierie numérique qui propose ses services aux entreprises issues de secteurs d activités variés (automobile, aéronautique) tel que : En France : Renault, PSA, Airbus, Thalès, Safran, Et à l étranger : Daimler Chrysler, Toyota, Honda, Aujourd hui, DPS a diversifié ses activités et déploie une solution complète pour ses clients industriels. DPS est orienté vers trois domaines d activités : Service Mécanique : Son expertise dans le domaine de la mécanique fait de DPS un partenaire de référence pour les industries automobile, aéronautique et de défense. DPS propose une gamme étendue de compétences appliquées au cycle de conception produit. Service Système : DPS possède un savoir-faire reconnu et propose des solutions performantes et rapides de modélisation de systèmes complexes pluridisciplinaires. Service Ingénierie Embarqué : modélisation et simulation d Interfaces Homme- Machine (IHM) pour des systèmes embarqués. Jonathan UNG ERE P48 2
Description de l entreprise Equipes Directeur général : Kévin DAQUIN Administration et Gestion RH : Responsable RH : Juliette TEVI Assistante RH : Amandine SADI Marketing : Responsable commerciale IHM : Yvette LIVION Gestion de projet : Mathieu Gren Finance : Responsable : Tony LERDE Assistant : Marc BLANC Ingénierie : Directeur Ingénierie : Mathieu KERC Responsable Calcul : Loic CAMA Responsable Modélisation : Jean Guili Equipe : Jean-Rémy, Emanuel, Vincent, Alexandre Informatique : Responsable : Patrick LUTIS Administrateur Système et Réseau : Jonathan UNG Equipe développeur : Kévin, Wilfred, Sofiane, Jean Jonathan UNG ERE P48 3
Les objectifs Les différents départements ont un accès à internet, mais l entreprise ne souhaite pas donner le même accès à tous ses services. Il faut donc mettre en place une solution de filtrage en fonction des différents types de services (Direction Marketing, Informatique, Ingénierie, etc). Accès internet total - Le directeur doit pouvoir avoir un accès total à internet. - Le département Informatique également doit avoir un accès total pour pouvoir travailler librement (téléchargement de logiciel, test de sécurité, ). Accès internet restreint - Le service Administration et Gestion RH et Finance doit pouvoir accéder à internet et télécharger des documents (ils ne peuvent pas par exemple télécharger des fichiers éxécutable). - Le service Ingénierie et Marketing ne peut accéder seulement à des pages Web. - Le service Gestion de projet n a pas d accès à Internet car leurs travails consistent à organiser le bon déroulement d un projet, organiser des réunions. Ils auront cependant accès au site internet de l entreprise et à l intranet. L accès à internet sera disponible pendant l heure de la pause du midi, de 12h à 14h. - Un accès bloqué à certains sites comme Youtube grâce au proxy. Partage de Ressources L objectif est de mettre à disposition de chacune des Directions un espace de stockage et de partage des données ainsi qu un partage des imprimantes. - Un dossier partagé est disponible pour tous les utilisateurs de l entreprise, ils peuvent y stockés des documents, les supprimés et faire toutes modifications. - La mise à disposition d un répertoire partagé et sécurisé par service. - Chaque utilisateur possède un espace de stockage personnel. - La mise à disposition d un partage des imprimantes. Groupes restreints Les groupes restreints servent à s assurer que les membres d un groupe particulier ne se voient pas modifier des paramètres de leurs machines. Seuls les membres faisant partie du service Informatique auront les droits administrateurs sur leurs machines. Jonathan UNG ERE P48 4
Redirection des dossiers Une redirection de dossier sera établit pour avoir accès plus rapidement aux fichiers depuis n importe quel poste et de ne pas surchargé les disques durs des ordinateurs. Déploiement des applications Le déploiement des applications va permettre une installation homogène d un logiciel et la personnalisation de l installation destiné à tous les utilisateurs ou d un groupe. Il permet un gain de temps pour les administrateurs de l entreprise. Accès à distance Le service informatique seul aura accès au service MSTSC (Microsoft Terminal Services Client) qui est une fonctionnalité de Windows permettant la connexion au Bureau à distance sur un serveur ou un ordinateur. Configuration du client Outlook 2010 Une configuration utilisateur sera faite pour le client de messagerie OUTLOOK 2010, les paramètres configurés seront : - Nom - Prénom - Adresse mail - Serveur POP - Serveur SMTP - Imposer une signature pour tous les utilisateurs - Limitation de la taille des pièces jointes - Limitation de la bande passante Détermination d une valeur en pourcentage de bande passante de connexion que le système peut réserver pour qu un utilisateur ne se voie pas allouer la totalité de la bande passante au détriment des autres. Ceci est la conséquence d une part de la rareté des ressources disponibles due aux applications web (streaming audio/vidéo, animation flash, ), qui demandent de plus en plus de bande passante.cette valeur limite les réserves combinées de bande passante de tous les programmes ouverts sur le système. Jonathan UNG ERE P48 5
Besoins Windows server 2008 : Windows Server 2003 est un système d'exploitation orienté serveur développé par Microsoft. Il permet d'accroître la flexibilité et la fiabilité de notre infrastructure de serveur. Service de domaine Active Directory Le service de domaine Active Directory stockent les données d'annuaire et gèrent les communications entre les utilisateurs et les domaines, y compris les processus d'ouverture de session utilisateur, l'authentification et les recherches dans l'annuaire. Pour la mise en place de ce projet un domaine ProductSimulation doit être crée. Unité d Organisation Des conteneurs (Unité Organisation) Active Directory seront créés pour refléter la structure fonctionnelle de la société. Chaque service possèdera une Unité d Organisation (OU Informatique, OU Marketing...). Stratégie de groupe (GPO) Des stratégies de groupes seront créées pour la gestion des ordinateurs et des utilisateurs de l entreprise ainsi que le déploiement d applications. Serveur de fichier Un serveur de fichiers sera mis en place pour permettre de partager des données à travers le réseau. Toutes les données utilisateurs seront stockées sur le serveur de fichier (fichier partagés, répertoire personnel, ). Proxy Mise en place d un proxy qui permet généralement de sécuriser et contrôler l'accès à Internet pour les utilisateurs d'un réseau local d'une entreprise. Ainsi qu effectuer du filtrage au niveau des sites web (accès bloqué à youtube par exemple et des mots s clé bloqué). Jonathan UNG ERE P48 6
Schéma des Unités d Organisations d Active Directory Jonathan UNG ERE P48 7
Les GPO à mettre en place Nous appliquerons des stratégies de groupe (GPO) pour configurer des restrictions d utilisation Windows ou des paramètres à appliquer soit sur un ordinateur, soit sur un compte utilisateur. Une Unité d Organisation sera créée pour chaque service. Configuration ordinateur La configuration ordinateur définit le comportement du système d exploitation et la configuration de la sécurité. Elle intervient dans des opérations comme l installation des logiciels dès le démarrage de la machine. Dans notre cas chaque machine sera appliquer ces différents paramètres : - Désinstallation des programmes tels que : les jeux - Déploiement du logiciel Microsoft Office 2010 - Désactivation du pare-feu Windows - Déploiement du pare-feu KOMODO - Déploiement de l anti-virus sur toutes les machines - Désactivation du service MSTSC («Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server «) sauf pour les membres du groupe Informatique. - Ajout d un filtre WMI : pour le déploiement de logiciel nous utiliserons un filtre WMI permettant d installer un logiciel en fonction du système d exploitation. Le logiciel de modélisation 3D n est compatible seulement sur Windows 7 64 bits, de ce fait à l aide du filtre WMI nous allons appliquer un déploiement de paquet seulement sur les machines fonctionnant sous l environnement Windows 7. Root\CimV2; Select * from Win64_OperatingSystem where Caption = "Microsoft Windows 7" Configuration utilisateur La configuration utilisateur définit la configuration des applications, les options d applications affectées et publiées et enfin les paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de démarrage - Mise en place des paramètres du proxy dans les options Internet Explorer - La page par défaut du navigateur appliqué sera celle de l Intranet - Script de mappage pour mettre à disposition un dossier partagé pour tous les utilisateurs - Ajout des imprimantes via un script de mappage Jonathan UNG ERE P48 8
- Configuration automatique du client Outlook 2010 via un script à l ouverture de session. - Redirection des dossiers «Mes documents, Bureau, App Data, Menu démarrer» vers le serveur de fichier - Bloquer l accès à «l ajout et suppression de programmes», «connexion réseau» pour tous les utilisateurs sauf les membres du service Informatique et du Directeur GPO Directeur - Le directeur sera administrateur de sa machine locale - Un script de mappage de lecteur réseau sera appliqué lors du démarrage de la session. Le lecteur réseau correspond au service auquel l utilisateur fait partie. GPO Administration gestion et RH - Script de mappage de lecteur réseau pour le service Administration gestion RH (accès réservé pour les membres de ce groupe) - Script de mappage des imprimantes réseaux GPO Marketing - Script de mappage de lecteur réseau pour le service Marketing (accès réservé pour les membres de ce groupe) - Script de mappage des imprimantes réseaux - Déploiement du logiciel «Marketing Manager» et «Internet Marketing Manager» GPO Gestion de projet - Script de mappage de lecteur réseau pour le service Gestion Projet (accès réservé pour les membres de ce groupe) - Script de mappage des imprimantes réseaux - Déploiement du logiciel Microsoft Project GPO Finance - Script de mappage de lecteur réseau pour le service Marketing (accès réservé pour les membres de ce groupe) - Script de mappage des imprimantes réseaux Jonathan UNG ERE P48 9
GPO Ingénierie - Script de mappage de lecteur réseau pour le service Marketing (accès réservé pour les membres de ce groupe) - Script de mappage des imprimantes réseaux - Déploiement du logiciel de modélisation CATIA GPO Informatique - Les membres du service informatique auront un accès «administrateur» sur leurs machines locales. - Un script de mappage de lecteur réseau sera appliqué lors du démarrage de la session. Le lecteur réseau correspond au service auquel l utilisateur fait partie. - Déploiement d un logiciel de virtualisation (VMWARE) - Déploiement du logiciel pour les développeurs Dev C++ - Déploiement du logiciel Putty Jonathan UNG ERE P48 10
Jonathan UNG ERE P48 11