TP : Unités d organisation, comptes, groupes, profils et powershell I ENVIRONNEMENT LOGICIEL ET MATÉRIEL Vous disposez de : Windows 2008 server R2 Datacenter en tant que contrôleur de domaine ActiveDirectory sur le domaine «votrenom.local» ; Windows Seven intégré au domaine "votrenom.local" : II LES COMPTES, LES GROUPES C'EST QUOI? Les comptes et les groupes permettent de gérer plus facilement l administration du réseau. Il semble assez logique que sur un réseau, n importe qui ne fasse pas n importe quoi. L Administrateur a généralement des droits et des permissions élevés sur tous les objets du réseau (comptes d utilisateurs, machines, dossiers ) alors que les utilisateurs ont des droits moindres. Pour faciliter encore cette gestion on peut regrouper les utilisateurs en groupes et c est à tel ou tel groupe qu on va attribuer des droits ou des permissions. Pour accéder à l ensemble des ressources d un domaine il faut créer des comptes et des groupes accessibles depuis n importe quel poste (sauf limitations particulières). Ces comptes d utilisateurs et ces groupes sont stockés dans la base de données de l Active Directory, base de données stockée sur le serveur qui a été installé en Active Directory. Pour essayer de mettre en évidence ces notions, nous allons créer cinq comptes d utilisateurs (Art1, Art2, Aut1, Aut2 et Boss). Ultérieurement, lors des autres TP, les "Artistes" auront le droit de faire des choses, les "Auteurs" n auront que des droits minimums et le Boss aura des droits d administrateur. III PREPARATION DES PARTAGES RÉSEAU ET PERMISSIONS NTFS Créez un partage réseau pour le répertoire «c:\homes» accessible à «Tout le monde» en «Lecture/Écriture». Modifiez les permissions NTFS du répertoire «homes» afin de supprimer les permissions de «Tout le monde» sur le répertoire «homes». Conservez les permissions pour les utilisateurs «Système», «Administrateurs». Ajoutez l utilisateur «CREATEUR PROPRIETAIRE» et vérifiez ces droits dans le paramétrage avancé. Ces autorisations seront propagées par héritage aux sous dossiers crées. Créez un dossier partagé caché ($ à la fin du nom) sur le serveur par exemple «profils$», et donnez à "Tout le monde" l autorisation "Modifier" sur ce dossier. IV CRÉATION DE COMPTES Pour aller à l essentiel nous allons utiliser un script Powershell pour créer nos comptes utilisateurs. Vous le trouverez sur le serveur de fichier, répertoire \SISR4\tpAD Ce script utilise deux modules Powershell, ActiveDirectory et NTFSSECURITY. Le second doit être téléchargé ici : http://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef- 90dbb2b84e85/file/48905/1/NTFSSecurity%201.3.zip Une fois téléchargé, mettez le dossier dézippé du module NTFSSecurity dans le répertoire C:\Windows\System32\WindowsPowerShell\v1.0\Modules. 1
Affichez toutes les cmdlets contenant NTFS : Get-command *NTFS* Exécutez le script Powershell. V COMPREHENSION DE L ARCHITECTURE CRÉÉE Dessinez ci-dessous l architecture des unités d organisation créées Quelle commande crée une unité d organisation? Dessinez ci-dessous l Architecture des groupes créés Quelle commande crée un groupe? Combien de types de groupe sont utilisés dans ce script? En recherchant sur Internet, précisez l utilité de ces différents types de groupe. Comment rajoute-t-on un utilisateur dans un groupe dans le script? Dessinez ci-dessous l architecture des répertoires créés 2
Quelle commande crée un répertoire? Quelle commande change le propriétaire d un répertoire? VI ESSAIS DE CONNEXION D UTILISATEURS Une fois que les comptes d utilisateurs et les groupes ont été créés, nous pouvons en tester le «fonctionnement». Essayez de vous «loguer» avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du domaine sur le poste installé en Windows 2008 serveur et disposant dorénavant de l Active Directory) - mot de passe Password1. Sur le Serveur - Y arrivez-vous? Oui Non Sur la Station (domaine) - Y arrivez-vous? Oui Non Sur la Station (machine locale) - Y arrivez-vous? Oui Non Tirez en les conclusions qui s imposent sur les possibilités de connexion des utilisateurs du domaine depuis les postes. - Sur le serveur : - Sur la station (domaine) : - Sur la station (machine locale) Nota : des tests complets exigeraient des tenter une connexion pour chaque compte. Quelle commande crée un utilisateur? Où sont crées les utilisateurs? Ont-ils un répertoire personnel? Quelle sont les propriétés d un utilisateur permettant de gérer son répertoire personnel? Quels sont leurs noms dans la commande powershell de création d un utilisateur? 3
VII OBSERVATION DE L ARCHITECTURE CRÉÉE Dessinez ci-dessous l architecture des répertoires créés après avoir vérifié d éventuels changements. Remarque : Pour l afficher les fichiers masqués dans l Explorateur Windows, dans Panneau de configuration, puis sur Options des dossiers. Dans l onglet Affichage de la boîte de dialogue Options des dossiers, sous Paramètres avancés, activez la case à cocher Afficher les fichiers et dossiers cachés. Désactivez la case à cocher Cacher les extensions des fichiers dont le type est connu, puis cliquez sur 0K. VIII LES PROFILS UTILISATEUR Dans Windows Seven, l environnement informatique d un utilisateur est essentiellement déterminé par son profil d utilisateur. Pour des raisons de sécurité, Windows Seven nécessite un profil d utilisateur pour chaque compte d utilisateur pouvant accéder au système. Le profil d utilisateur contient tous les paramètres que l utilisateur peut définir pour l environnement de travail d un ordinateur qui exécute Windows Seven à savoir les paramètres de l affichage, les paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et aux imprimantes. Vous pouvez configurer des profils d utilisateur pour qu un profil suive un utilisateur sur chaque ordinateur sur lequel il ouvre une session. VIII.1 TYPES DE PROFILS D UTILISATEUR Le profil d utilisateur est créé à la première ouverture de session de l utilisateur sur un ordinateur. Tous les paramètres propres à l utilisateur sont automatiquement enregistrés dans le sous-dossier de cet utilisateur dans le dossier Utilisateurs. Lorsque l utilisateur ferme la session, son profil d utilisateur est mis à jour sur l ordinateur sur lequel il avait ouvert la session. Le profil d utilisateur conserve donc les paramètres de bureau de l environnement de travail de chaque utilisateur sur l ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d utilisateur obligatoires. Les types de profils d utilisateur sont présentés ci-dessous. Profil d utilisateur local. Ce profil est créé la première fois qu un utilisateur ouvre une session sur un ordinateur, et est stocké sur l ordinateur local dans le répertoire "Utilisateurs". Toutes les modifications apportées au profil d utilisateur local sont propres à l ordinateur sur lequel les changements ont été effectués. Plusieurs profils d utilisateur locaux peuvent exister sur un ordinateur. Profil d utilisateur itinérant. Ce profil est créé par l administrateur système et stocké sur un serveur. Ce profil est disponible chaque fois qu un utilisateur ouvre une session sur un ordinateur sur le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d utilisateur est mis à jour sur le serveur lorsqu il ferme la session. Profil d utilisateur obligatoire. Ce profil est créé par l administrateur pour indiquer les paramètres particuliers d un utilisateur ou d utilisateurs, et peut être de type local ou itinérant. Un profil 4
d utilisateur obligatoire ne permet pas à un utilisateur d enregistrer des modifications apportées aux paramètres de son bureau. L utilisateur peut modifier les paramètres du bureau de l ordinateur sur lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu il la ferme. VIII.2 CRÉATION DE PROFILS D UTILISATEUR ITINÉRANTS Vous pouvez stocker des profils d utilisateur sur un serveur pour qu ils soient disponibles à chaque fois qu un utilisateur ouvre une session sur un ordinateur du réseau. Les profils d utilisateur itinérants et obligatoires sont stockés de façon centralisée sur un serveur, afin de permettre aux utilisateurs de disposer du même environnement de travail quel que soit l ordinateur sur lequel ils ouvrent une session. Pour créer un profil d utilisateur itinérant, suivez la procédure ci-dessous : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. Dans le volet de détails, cliquez avec le bouton droit sur le compte d utilisateur approprié, puis cliquez sur Propriétés. Dans l onglet Profil, sous Profil utilisateur, tapez le chemin du dossier partagé dans la zone Chemin du profil. Le chemin d accès doit s afficher de la façon suivante "\\serveur\dossier_partagé\votreutilisateur" (Vous pouvez utiliser la variable %username% au lieu d indiquer le nom de l utilisateur. Windows 2008 remplace alors automatiquement %username% par le nom du compte d utilisateur du profil d utilisateur itinérant). 2. Connectez-vous sur la machine Seven avec ce compte utilisateur. Rajoutez une icône sur le bureau. Puis déconnectez-vous. 3. Sur le serveur, en tant qu'administrateur appropriez-vous ce dosssier "Profils$\VotreUtilisateur" mais laissez bien tous les droits à votreutilisateur. Observez son contenu en faisant apparaître les fichiers cachés. Remarque : Le fichier Ntuser.dat contient la section du registre qui s applique au compte d utilisateur, et contient les paramètres du profil d utilisateur. Ce fichier se trouve dans le dossier de profil de l utilisateur. Quelle instruction dans le script indique à l utilisateur où sauvegarder son profil? Pourquoi le profil de l utilisateur n apparaissait pas avant la première connexion sous le compte de l utilisateur? 5
Annexe : Le script powershell à utiliser # On importe le module active directory et le module de gestion NTFS Import-Module ActiveDirectory Import-Module NTFSSECURITY #Gestion emplacement des repertoires personnels #Attention à changer l adresse IP $ipserveurdefichiers = "172.31.0.100" $emplacement= "\\" + $ipserveurdefichiers + "\homes\" #Gestion emplacement des repertoires de profils $partage= "\\" + $ipserveurdefichiers + "\profils$\" # Creation des unites d'organisation New-ADOrganizationalUnit -Name Departements -Path "DC=delamare,DC=local" New-ADOrganizationalUnit -Name Groupes -Path "DC=delamare,DC=local" New-ADOrganizationalUnit -Name Artistes -Path "OU=Departements,DC=delamare,DC=local" New-ADOrganizationalUnit -Name Auteurs -Path "OU=Departements,DC=delamare,DC=local" New-ADOrganizationalUnit -Name Direction -Path "OU=Departements,DC=delamare,DC=local" # Creation des groupes $chemin = "OU=Groupes,DC=delamare,DC=local" # Creation des groupes globaux New-ADGroup -Name gg_artistes -Path "$chemin" -GroupCategory Security - GroupScope Global ` -SamAccountName gg_artistes New-ADGroup -Name gg_auteurs -Path "$chemin" -GroupCategory Security - GroupScope Global ` -SamAccountName gg_auteurs New-ADGroup -Name gg_direction -Path "$chemin" -GroupCategory Security - GroupScope Global ` -SamAccountName gg_direction # Creation des groupes locaux New-ADGroup -Name gl_artistes -Path "$chemin" -GroupCategory Security - GroupScope DomainLocal ` -SamAccountName gl_artistes New-ADGroup -Name gl_auteurs -Path "$chemin" -GroupCategory Security - GroupScope DomainLocal ` -SamAccountName gl_auteurs New-ADGroup -Name gl_direction -Path "$chemin" -GroupCategory Security - GroupScope DomainLocal ` -SamAccountName gl_direction # Ajout des groupes globaux dans les groupes de domaine locaux Add-ADGroupMember -Identity gl_artistes -Members gg_artistes Add-ADGroupMember -Identity gl_auteurs -Members gg_auteurs Add-ADGroupMember -Identity gl_direction -Members gg_direction #Chiffrement du mot de passe 6
$securepwd = ConvertTo-SecureString "Password1" -AsPlainText -Force Import-Csv C:\Users\Administrateur\Desktop\annuaire.csv -Delimiter ";" ForEach { $chemin = "OU="+ $_.OU + ",OU=Departements,DC=delamare,DC=local" #Ajout de l?utilisateur $sam = $_.SamAccountName $displayname = $_.Name + " " + $_.GivenName $dossier = $emplacement + $sam $profil = $partage + $sam New-ADUser -Path "$chemin" ` -SamAccountName $sam ` -Name $_.Name ` -SurName $_.Name ` -GivenName $_.GivenName ` -DisplayName "$displayname" ` -AccountPassword $securepwd ` -HomeDirectory $dossier ` -HomeDrive 'U:' ` -ProfilePath $profil ` -Enabled $true # On affecte ensuite les utilisateurs dans leur groupe respectif $chemin = "CN=" + $_.Groupe + ",OU=Groupes,DC=delamare,DC=local" $cheminutilisateur = "CN=" + $sam + ",OU=" + $_.OU + ",OU=Departement,DC=delamare,DC=local" Add-ADGroupMember -Identity $chemin -Members $sam # On cree le repertoire de chaque utilisateur et on change le propriétaire Set-Location $emplacement New-item -Name $sam -ItemType directory Set-NTFSOwner -Account "delamare.local\$sam" } 7