FAMEL Yoan PAYET Yoann BTS SIO2 SISR 24/11/2015 SI7 Traitement des stratégies de groupe GPO Déploiement d'applications Personnalisation du bureau Table des matières Introduction... 2 Déploiement d'applications... 3 Première partie...3 Deuxième partie...12 Deuxième, troisième et quatrième étape...16 Cinquième étape... 20 Personnalisation du bureau...21 1 / 24
Introduction Nous allons dans ce TP, aborder la notion de stratégie de groupe, ou GPO (Group Policy Object) qui permettent de gérer de manière globale des machines ou des utilisateurs au sein d'un domaine Active Directory. «Les entreprises utilisent les stratégies de groupe pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l accès à certains dossiers, la désactivation de l utilisation de certains exécutables, etc.» Source : https://fr.wikipedia.org/wiki/strat%c3%a9gies_de_groupe Dans ce TP nous mettrons donc en œuvre deux machines : Un serveur contrôleur de domaine Un poste client membre de ce domaine Nous aurons aussi besoin d'avoir : Un partage réseau sur lequel nous déposerons nos déploiements Les sources des logiciels que nous déploierons au format MSI Nous vous conseillons de vous rendre sur la page web de Microsoft dédié à cette rubrique, à l'adresse suivante : https://technet.microsoft.com/fr-fr/windowsserver/grouppolicy 2 / 24
Déploiement d'applications Première partie Dans un premier temps, le premier réflexe à avoir est de renommer son serveur et de vérifier que son adressage est correct, le client devra être capable de le joindre. L'adresse IP associée au DNS sera la propre adresse IP du serveur puisqu'il fait office de DNS, nous renseignons donc à cet emplacement son adresse de loopback (soit 127.0.0.1). Nous déterminons également l'adressage de notre poste client de façon à ce que les deux hôtes puissent communiquer : 3 / 24
Nous vérifions ensuite si la connexion est bien étable entre les deux machines par une requête ICMP : De même, nous effectuons cette manipulation sur l'hôte client : Nous pouvons donc déterminer le plan d'adressage qui suit, Adresse IP Masque de sous réseau Windows Server 2012 172.16.71.50 255.255.0.0 Client Windows 172.16.71.51 255.255.0.0 4 / 24
La connexion est bel et bien fonctionnelle. Il s'agit à présent d'ajouter un rôle à notre serveur, nous nous rendons donc dans l'assistant d'ajout des rôles et fonctionnalités (figure suivante) : L'assistant nous explique son rôle et ce dont nous devons nous assurer avant toute manipulation (tel que le mot de passe administrateur qui devra être fort afin que la sécurité du service soit maximale). Nous passons donc cette page. Sur la page suivante, nous sélectionnerons le bouton radio mentionnant «Installation basée sur un rôle ou une fonctionnalité». Puis nous passerons à la prochaine étape. 5 / 24
Nous sélectionnons à présent le serveur de destination (soit notre propre serveur) : Ce sera donc sur ce serveur que les fonctionnalités seront installées. Le service en question sera AD DS, nous ajoutons donc cette fonctionnalité en cliquant sur «Ajouter des fonctionnalités». 6 / 24
Nous confirmerons cette installation en précisant un redémarrage du serveur : La progression de l'installation s'affiche alors et nous précise les futurs outils qui seront installés par la suite. 7 / 24
Nous créons donc un contrôleur de domaine, une «forêt» va donc être créée (le conteneur de l'active directory est nommé ainsi), le principe de la forêt est qu'elle se compose de plusieurs domaines et permet d'administrer ainsi plus aisément des objets tel que les utilisateurs ou les groupes d'utilisateurs. Il s'agit donc ici une réelle arborescence. Nous allons donc à présent créer cette forêt en utilisant l'assistant de configuration des services de domaine Active Directory : Nous spécifions également notre nom de domaine faisant office de racine et nous passons à la suite. 8 / 24
Nous arrivons alors à une interface nous proposant de sélectionner des options pour la forêt en question : Nous laisserons la coche sur «Serveur DNS» notre serveur étant un contrôleur de domaine. Puis, nous créons un mot de passe que nous confirmons. 9 / 24
Nous vérifions à l'étape suivante que le nom NetBios est bien en adéquation avec notre nom de domaine : Nous examinons que les options soit correctes : 10 / 24
On constate alors que l'installation est en cours : Au redémarrage du serveur on constate alors que le nom de domaine NetBios apparaît comme précisé plus tôt : Nous allons donc à présent intégrer une machine au sein de ce domaine. Avant toute manipulation nous vérifions donc le bon adressage du client et nous testons la connexion entre les machines. 11 / 24
Deuxième, troisième et quatrième partie Ensuite nous spécifions le nom de domaine de notre client : Nous constatons que nous le nom de domaine que avons créé au préalable. rentrons nous Après redémarrage de cette même machine client nous devrions alors constater que cette dernière appartient bien au domaine. On validera cette étape en entrant le mot de passe configuré plus tôt. Le nom de domaine nous notifie alors que nous sommes bien à l'intérieur. 12 / 24
Notre machine client devra être redémarrée afin de pouvoir appliquer ces modifications. A présent nous allons créer un dossier de partage sur notre serveur, nous définirons également des droits d'accès (lecture/écriture), les utilisateurs aurons accès uniquement à ce dossier présent à la racine du serveur. On créer donc ce dossier partage dans C: Puis, en cliquant de droite sur ce même répertoire nous allons pouvoir définir des droits d'accès aux fichiers. 13 / 24
Les options de partage de fichiers se présentent alors dans l'interface suivante : Une fois que nos droits d'accès soit définis nous avons alors une notification nous disant que notre dossier est bel et bien partagé : 14 / 24
Une fois cela étant, nous allons placer quelques logiciels dont Firefox en MSI dans ce même dossier depuis notre serveur : On constate alors depuis le client qu'ils sont bien présents dans partage en précisant l'adresse IP du contrôleur de domaine dans notre gestionnaire de fichiers : 15 / 24
Nous allons nous concentrer à présent sur l'active directory. Nous ouvrons donc l'interface de gestion GPO, nous créons donc le nom de notre objet (tout les utilisateurs s'y trouvant se verrons appliqué les mêmes règles) : Nous entrons donc le notre objet. nom de On va donc déclarer cet objet pour un utilisateur en particulier. 16 / 24
Nous lui attribuerons ensuite son mot de passe permettant de s'authentifier dans le domaine : Il est possible de préciser que le mot de passe n'expirera jamais. Nous nous rendons dans la gestion des stratégies de groupe : 17 / 24
On créer donc un nouvel objet GPO : Et nous modifions la GPO «déploiement Firefox» afin de pouvoir attribuer des droits aux utilisateurs : Nous effectuons un clique droit sur «Installation du logiciel» afin de pouvoir attribuer des droits. 18 / 24
Puis, nous cliquons de droite sur le GPO et nous faisons nouveau puis package afin d'aller chercher notre MSI : Enfin, nous mettons à jour à l'aide de la commande qui suit la stratégie d'ordinateur : 19 / 24
Cinquième étape Nous pouvons alors constater en nous connectant à notre utilisateur membre du domaine que nous avons bel et bien installé Firefox sur le bureau : 20 / 24
Personnalisation du bureau Dans cette partie nous pouvons constater qu'il est possible d'effectuer d'autres restrictions pertinentes aux utilisateurs notamment la désactivation de l'invité de commandes ce qui nous donnerai alors ce résultat : On constate alors que l'administrateur peut avoir un contrôle total de l'environnement Windows du client de son domaine. 21 / 24
Par exemple, nous créons un utilisateur lambda : Puis on lui applique la restriction suivante destinant l'utilisateur à ne pas accéder au panneau de configuration. 22 / 24
Nous lui enlevons également l'accès à Windows update : Puis les paramètres de la barre des tâches : 23 / 24
Nous constatons bien ici que les paramètres de la barre des tâches ainsi que le panneau de configuration a bien été désactivé : 24 / 24