TP Partage de ressources sur un réseau local avec un contrôleur de domaine sous Windows 2008 Server Pour gérer un réseau local avec un serveur contrôleur de domaine sous Microsoft Windows 2008 Server, il faut bien sûr installer le serveur et avoir quelques clients permettant de vérifier que nos manipulations sont réellement effectives sur ces postes clients, pour des utilisateurs classiques du réseau local. Contexte : vous travaillez dans un établissement scolaire qui est le lycée Professionnel de la Licorne, d où le nom de domaine traité plus bas qui sera LICPRO. Des comptes utilisateurs seront créés, ainsi que des groupes et des partages de dossiers, essentiellement via l Active Directory (la gestion de l annuaire du domaine Microsoft). Ceci dans le cadre d un établissement scolaire qui sera virtuellement la cité scolaire Jean Monnet Jean Mermoz. Nous allons gérer toutes les ressources partagées de notre Domaine, à commencer par les utilisateurs et les groupes d utilisateurs dans l Active Directory (l annuaire) puis au niveau des dossiers partagés. Cette gestion des ressources est utilisée tout aussi bien dans un cadre scolaire comme pour notre exemple que dans une grande entreprise qui gère des centaines de comptes et de dossiers partagés. A la fin de ce long TP en 20 points, vous serez en mesure de gérer un contrôleur de Domaine avec tous ces comptes utilisateurs, ces groupes d utilisateurs, les Autorisations du partage sur des dossiers et mieux encore les permissions NTFS qui vont bien, ces Unités d Organisations (UO), ces dossiers partagés en tant que serveur de fichiers, connecter les lecteurs réseau,. Bref, tout ce qu il faut pour gérer les bases d un Domaine Client / Serveur avec son annuaire. Merci de suivre les étapes suivantes pour avancer dans le TP : 1. Commençons par aller sous l Active Directory pour gérer les utilisateurs. Vérifiez que l AD soit active, sinon passez par la commande dcpromo (voir cours). Chaque élève doit appartenir au groupe qui lui revient. CARPENTIER est une étudiante de TS2SIO, elle doit donc appartenir à ce groupe (choisir de préférence des groupes globaux, ils seront ainsi intégrés au domaine). Créez les UO nécessaires. Remarque : TE12 signifie Monnet (pour une question de notation, Z correspondra à Mermoz sachant que les deux noms commencent par la même lettre), Elève, année 2011-2012. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 1 sur 12
2. Dans les propriétés de cet utilisateur, on peut y ajouter une description la gestion de son mot de passe, ses horaires d accès, TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 2 sur 12
le chemin où l on va trouver son script de démarrage à l ouverture de sa session le ou les groupes auxquels l utilisateur appartient TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 3 sur 12
3. Ne pas oublier de créer un compte de secours pour l administrateur du réseau au cas où son compte principal ne serait plus accessible. Essayez d imaginer si personne ne peut plus rentrer sur le serveur en tant qu administrateur réseau, ce serait une vraie catastrophe. 4. Très important, voici l endroit où sont créés les différents groupes de professeurs et d élèves. A vous de créer toutes les Unités d Organisation (UO) nécessaires. Les UO sont des objets conteneurs qui permettent de hiérarchiser Active Directory et tiennent lieu de frontière pour la délégation d autorisations administratives. Au moment de créer une UO, pensez que vous ne pourrez pas la supprimer par erreur si vous laissez cocher «Protéger le conteneur contre une suppression accidentelle». On distinguera aisément les Unités d Organisation des groupes d utilisateurs et des utilisateurs grâce à leurs icônes. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 4 sur 12
Il vous faut maintenant créer les groupes d utilisateurs comme ci-dessous : Sous Windows Server Active Directory, les 3 types de groupes sont : - le groupe local : il ne peut comprendre que des utilisateurs de son propre domaine ; - le groupe global : au sein d'un domaine, il est principalement utilisé pour affecter des droits à des ressources dans un domaine ; - le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et utilisateurs d'autres domaines. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 5 sur 12
5. Et voilà comment indiquer quels sont les utilisateurs membres de ce groupe. Ici pour les professeurs. Et là pour les élèves. On peut remarquer que le compte de CIVEL2 est désactivé (peut-être a-t-il dépassé son quota disque). TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 6 sur 12
6. Pour finir, on peut choisir un utilisateur et vérifier à quels groupes il appartient. 7. Maintenant, passons au partage des dossiers. Vous devez commencer par vous placer sur le serveur de fichiers, qui fait aussi office de contrôleur de domaine. Créez depuis un dossier de l un des disques durs (attention, la place prise par les fichiers des élèves et des professeurs risque de se compter en centaines de Go). Créez les 2 dossiers «eleves» et «profs» comme ci-contre. Créez ensuite quelques classes sur le serveur de fichiers depuis le dossier «eleves». Ne donnez pas de noms de partage à ces dossiers à l intérieur du dossier «eleves». Commencez par créer les TS1SIO et les TS2SIO. Quand on clique avec le bouton droit sur le dossier, il faut ensuite choisir Propriétés puis l onglet Partage pour obtenir la fenêtre ci-dessous. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 7 sur 12
Cliquez sur le bouton Partage avancé puis cochez Partager ce dossier, donnez un Nom du partage suivi d un caractère dollar $ pour anonymer le dossier lors d une recherche sur le réseau. L onglet Sécurité permet de choisir les droits que l on donnera aux utilisateurs et/ou groupes d utilisateurs. Dans notre exemple, nous gagnerons énormément de temps en donnant des droits à une classe entière plutôt qu à chacun des élèves de la classe. Depuis la fenêtre ci-contre, on clique sur le bouton Modifier pour changer les droits. On se rend compte alors qu on ne peut pas modifier directement ces autorisations : Cliquez alors sur OK, puis de nouveau sur OK puis sur le bouton Avancé quand on est revenu à l onglet Sécurité. Ici, il faut cliquer sur le bouton Modifier. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 8 sur 12
On obtient alors : Il reste à «décocher» Inclure les autorisations pouvant être héritées du parent de cet objet. On peut maintenant cliquer sur le bouton Supprimer malgré le message inquiétant qui apparaît pour qu il n y ait plus d autorisations sur le partage de ce dossier. Il reste à Appliquer les modifications, passer le message qui indique qu il n y a plus aucun droit sur ce dossier et surtout, depuis le retour à l onglet Sécurité, positionner correctement les Utilisateurs et les Groupes qui conviennent sans oublier d Ajouter un Contrôle total dans la colonne Autoriser à l administrateur ou plutôt au groupe des Administrateurs. Ajouter ensuite les autres Utilisateurs et Groupes d utilisateurs avec des droits modérés. Si on regarde de près ces droits, on peut par exemple permettre de déposer des fichiers dans le dossier sans pouvoir ensuite les modifier ni les supprimer mais on pourra les lire. Ces droits permettent un ajustement très précis des permissions accordées à chacun. Attention! Il ne faut pas confondre les permissions NTFS que l on vient de voir en détail et les Autorisations du partage d un dossier. Dans notre TP, nous n utilisons que les permissions NTFS et c est bien souvent suffisant. Les Autorisations du partage d un dossier se gèrent à partir de l onglet Partage, puis Partage avancé puis en cliquant sur le bouton Autorisations. La fenêtre ci-contre montre la gestion de ces Autorisations du partage. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 9 sur 12
Certains utilisent les Autorisations du Partage combinées aux permissions NTFS. Dans ce cas, voilà la méthode à suivre mais attention à ne surtout pas rendre incompatibles ces Autorisations et ces permissions : Prenons un exemple de ce qu'il faut faire pour être plus clair : si vous voulez partager un dossier du serveur pour le service commercial, que le chef de service puisse lire et écrire des fichiers mais que les commerciaux ne puissent que lire ces fichiers, voilà la procédure : commencez par créer dans l'active Directory un groupe Chef_des_commerciaux, un groupe Tous_les_commerciaux et un groupe Les_commerciaux dans lequel il y a tous les commerciaux sauf le chef, il faut ensuite créer le partage sur le dossier, lui donner un nom avec $ à la fin, comme permissions d'accès au partage il faut ajouter le groupe Tous_les_commerciaux en Modification. Ensuite, on donne les permissions NTFS dans l'onglet Sécurité en mettant Chef_des_commerciaux en Modification et Les_commerciaux en Lecture seule et c'est gagné. L écran ci-dessous montre comment sécuriser (grâce encore une fois au système de gestion de fichiers NTFS) chacun des dossiers en autorisant ou non les accès à utilisateur ou par groupe d utilisateurs. On note que le groupe des professeurs des TS2SIO (noté TS2SIO_p, le groupe des élèves est noté TS2SIO_e) ne peut qu accéder en affichage au dossier de la classe (pour le voir mais sans pouvoir y modifier quoi que ce soit, contrairement aux sous-dossiers de ce dossier partagé TS2SIO). TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 10 sur 12
8. Maintenant, il vous faut créer des comptes pour les élèves et les professeurs de ces 2 classes (TS1SIO et TS2SIO pour rappel). Créez aussi des sous-dossiers pour les dossiers partagés de ces 2 classes avec un dossier par élève portant le nom de l étudiant. A l intérieur d un dossier correspondant à une classe, nous allons aussi créer un dossier appelé _commun (le caractère underscore permet de placer ce nom de dossier en début de liste) qui sera accessible par «tout le monde» de la classe (élèves et professeurs). Il est à noter que le groupe des élèves (TS2SIO_e) ainsi que celui des professeurs (TS2SIO_p) des TS2SIO ont toutes les autorisations sauf le Contrôle total (à réserver absolument à l administrateur et personne d autre). Elèves et professeurs peuvent créer des sous-dossiers de ce dossier _commun. 9. Ce dossier _commun sera désormais le dossier partagé des TS2SIO. Il faut donc le mettre en partage en lui donnant le nom de la classe. A noter que pour partager un dossier, il est conseillé de cliquer droit sur le nom du dossier, puis d aller dans Propriétés, puis le bouton Partage avancé TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 11 sur 12
Tutoriel pour DCPROMO (création du contrôleur de domaine) Pour créer le contrôleur de domaine, donner une adresse IP fixe au serveur 2008 ainsi qu aux clients (et configurer toutes les cartes réseaux depuis VirtualBox en Mode «Réseau privé hôte» pour qu ils puissent communiquer entre eux, tant pis si vous perdez la connexion Internet qui ne sera plus utile dans nos VM) ; pas besoin de cocher «Utiliser l installation en mode avancé», cocher «Créer un domaine dans une nouvelle forêt» ; choisir le niveau fonctionnel de la forêt sur Windows Server 2008 (sauf si l on a dans le réseau d autres serveurs contrôleurs de domaine secondaires sous 2003 ou 2000 Server) ; choisir «Oui, l odinateur utilisera une adresse IP attribuée dynamiquement (non recommandé)» pour pouvoir continuer (cette adresse IP dynamique sera plus tard fixée en mode manuel ; le serveur indiquera alors qu il n y aura pas la possibilité d intégrer une zone parente, ce qui est normal puisque nous sommes au niveau le plus haut de la forêt, il suffit donc de cliquer sur «Oui» pour continuer ; à l étape suivante, laissez les noms des dossiers par défaut ; pour le mot de passe fort, utilisez AuGret@,On@14LicPro ; dernière étape : pensez à donner un nom au serveur et aux clients et à leur donner aussi des adresses IP fixes. Tutoriel pour intégrer le client au domaine Nous allons placer dans le même domaine un 2008 Server complet et un client Windows XP Pro SP3. Pour cela, le 2008 Server sera serveur DNS, contrôleur de domaine et l Active Directory permettra de gérer postes, utilisateurs et groupes d utilisateurs. Commencez par lancer dcpromo sur le 2008 Server, suivez les étapes avec le bouton Suivant puis créez un domaine dans une nouvelle forêt que nous appellerons LICPRO.fr pour «Licence Pro». Etant dans un environnement 2008 Server, choisissez un «Niveau fonctionnel de la forêt» Windows Server 2008. Cochez la case «Serveur DNS» et demandez une adresse IPv4 statique pour ce serveur (configurez cette adresse IP 192.168.25.25 dans Centre Réseau et partage et Connexions réseau). Si une fenêtre vous indique qu il est impossible de créer une délégation faute de zone parente, c est normal puisque ce serveur n est pas déjà dans une forêt. Si vous restez coincé sur Continuez en laissant les dossiers indiqués par défaut. Pour le Mot de passe administrateur de restauration des services d annuaire, utilisez Pa$$word. Pour le moment, mettez aussi le client XP en adresse IP fixe (192.168.25.30 par exemple). Maintenant, intégrez votre client XP au domaine LICPRO. Il est parfois nécessaire de passer par un groupe de travail avant de pouvoir intégrer définitivement le domaine. Pensez à redémarrer le serveur. Dorénavant, un mot de passe simple comme Pa$$word ne suffira plus. A vous d utiliser un mot de passe très fort pour éviter toute mésaventure future. Rappelez-vous du 1er cours où nous avons décidé d exploiter en commun le mot de passe AuGret@,On@14LicPro Tutoriel pour partager un dossier entre l ordinateur hôte et les machines virtuelles Aller dans la configuration de VirtualBox puis Dossiers partagés ; créer un dossier partagé en donnant un nom simple (partage par exemple) puis démarrer la VM et taper sous le mode commande MS-DOS net use H: \\vboxsvr\partage; votre machine hôte est maintenant prête à recevoir des fichiers de votre VM. TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 12 sur 12