Mission 2 Installation, administration d'active Directory. Lycée Franklin Roosevelt 1/10 Année 2013-2015
Table des matières 1.Objectif :...3 2.Démarche :...3 3.Choix :...3 4.Réalisation :...4 5.Test de conformité :...10 Lycée Franklin Roosevelt 2/10 Année 2013-2015
1. Objectif : Mettre en place un domaine de travail, qui gérera les utilisateurs, les unités d'organisation ainsi que les GPO. 2. Démarche : Dessiner le plan des utilisateurs du réseau Création des unités d'organisation Création des utilisateurs/groupes(avec et sans script) Création/Configuration GPO Mise en place de dossiers de partage Création de script d'ouverture de session Définition des stratégies des permissions d'accès 3. Choix : Le domaine portera le nom : mdl.local Les utilisateurs du domaines seront divisés en deux catégories : Les utilisateurs de l Administration de la maison des ligues Les utilisateurs de la ligue elle même Une Unité d'organisation sera créée pour chaque catégorie d'utilisateurs Un GPO sera appliqué à chaque unité d'organisation Nous utiliserons un script d'ouverture de session pour chaque GPO : Il permettra de créer un répertoire de connexion de l'utilisateur Il connectera un lecteur réseau vers ce répertoire Nous mettrons en place une redirection des dossiers personnels vers le nouveau répertoire de connexion de l'utilisateur Lycée Franklin Roosevelt 3/10 Année 2013-2015
4. Réalisation : Pour configurer le service Active Directory il faut au préalable configurer correctement l'ip du serveur. On précisera dans l'adresse DNS du serveur l'ip : 127.0.0.1 qui correspond à l'adresse de bouclage de la machine. Installation et configuration rôle Active Directory Création de la forêt mdl.local Installation service DNS Création des unités d'organisation Unité 1 : Administration Unité2 : Ligue Deux façons de créer des utilisateurs Création des utilisateurs/groupe manuellement Utilisateurs de l'administration : Président Secrétaire Comptable Groupes : Présidence Trésorerie Lycée Franklin Roosevelt 4/10 Année 2013-2015
Utilisateurs de la Ligue : Groupes : staff-technique gérant-ligue Sam Arnauld Utilisateurs ligues Création des utilisateurs/groupe automatiquement(script.vbs) Cette méthode de création d'utilisateurs est automatique, ce qui permet d'alléger la tâche de création d'un bloc d'utilisateurs. La ligne ci-dessous du script, indique le fichier qui contient les nom des utilisateurs à créer La ligne suivante, permet d''insérer les utilisateurs dans le groupe «Utilisateurs ligue» de l'ou Ligue du domaine MDL.LOCAL Les utilisateurs à créer sont stockés dans un fichier texte(.txt) Une ligne du fichier contient le prénom, le nom ainsi que le login de l'utilisateur. Le mot de passe par défaut de tous les utilisateurs est «azerty». Ils devront donc le changer. Chaque ligne du fichier représente un utilisateur, le script va parcourir ce fichier ligne par ligne et créée les utilisateurs. De plus dans notre contexte il faudra rajouter ces utilisateurs dans le groupe nommé «Utilisateurs de la ligue» de l'unité d'organisation «Ligue». Le script s'en charge aussi automatiquement. Lycée Franklin Roosevelt 5/10 Année 2013-2015
Création de GPO : Pour l'administration : gpo-administration Pour la ligue : gpo-ligue Configuration des stratégies de mots de passe L'utilisateur devra changer son mot de passe à la première connexion Le mot de passe n'expire jamais Création de scripts d'ouverture de session Capture script pour le GPO de l'administration Capture script pour le GPO de la ligue De manière automatique, on doit créer à la première connexion de l'utilisateur, un dossier qui hébergera son profil. Un lecteur réseau visant ce répertoire doit notamment être connecté. Ainsi le profil de «Arnauld» appartenant au GPO Ligue, sera stocké dans \\192.168.0.66\doss-perso$\Ligue\Arnauld Nous reproduisons la même chose avec le GPO Administration Nous mettons également en place des espaces de partage de ressources propre a chaque GPO. Les utilisateurs de l'administration pourront échanger des documents dans «Public-admin» et la ligue sur «Public-ligue» Nous prendrons le soin de définir les permissions NTFS pour l'accès à ces espaces. Lycée Franklin Roosevelt 6/10 Année 2013-2015
Des groupes d'utilisateurs ont été créées. L'espace «Public-admin» ne sera accessible en lecture et écriture qu'aux groupes : Trésorerie Commission administrative Gérants ligue Administrateurs Alors que celui de la ligue sera accessible non seulement par ses utilisateurs mais aussi ceux de l'administration. Sur chaque GPO on a appliqué des modèles d'administrations : Lycée Franklin Roosevelt 7/10 Année 2013-2015
(c'est un ensemble de paramètres Windows qui peuvent apporter(ou retirer) des restrictions logiciels aux utilisateurs, ils peuvent avoir comme but, la sécurisation du réseau) Les utilisateurs de la ligue sont les plus restreints cela pour prendre en compte la charte informatique de la MDL qu'ils ont eu à signer. Les utilisateurs de la ligue auront un fond d écran imposé. Ils n'auront accès à aucune possibilité de modification des configurations système Exemple : Ils ne peuvent pas accéder au panneau de configuration, changer le fond d'écran, modifier les paramètres de config. Réseau TCP/IP Redirection de dossiers Lycée Franklin Roosevelt 8/10 Année 2013-2015
L'emplacement des dossiers personnelles des utilisateurs sont par défaut stocké dans un profil local. La redirection de dossier permet de rediriger les profils des utilisateurs vers son répertoire réseau personnel. Configuration de Internet Explorer à partir d'active Directory La capture ci-dessous affiche la configuration du proxy qui sera utilisée automatiquement par les utilisateurs. Lycée Franklin Roosevelt 9/10 Année 2013-2015
5. Test de conformité : A partir d'un ordinateur distant sous Windows 7 connecté au domaine MDL.LOCAL, nous ouvrons une session avec un utilisateur de l'administration «Président» Sur «Ordinateur» On peut remarquer la création d'un lecteur réseau qui contient les données personnelles de l'utilisateur «Président» Ainsi dans ce lecteur, on peut y trouver le répertoire : Mes documents, le Bureau Menu Démarrer. Nous pouvons de plus remarquer l'apparition d'un deuxième lecteur réseau qui est le dossier public commun a tous les Utilisateurs de l'administration. A la première ouverture de session d'un utilisateur son répertoire de documents personnels est créé. Lycée Franklin Roosevelt 10/10 Année 2013-2015