ACTIVE DIRECTORY A quoi sert-il? Authentifier les utilisateurs Paramétrer l environnement d exploitation des utilisateurs Centraliser la gestion des ressources du réseau Comment fonctionne-t-il? LDAP Kerberos CG (Catalogue Global qui liste toutes les ressources réseau inscrites dans l AD) SF (Serveur de Fichier) LAB : Sur machines virtuelles, soient un serveur AD-DNS-WINS, un deuxième serveur AD-Serveur de fichiers, un serveur Terminal Server (qui doit être sur un serveur non- AD), et un poste XP. Récapitulatif de notre architecture : Serveur AD1-222 (AD+DNS+WINS => 10.20.222.100) Serveur AD2-222 (AD + Serveur de fichiers => 10.20.222.200) Serveur TS1-222 (Terminal Server => 10.20.222.150) Poste XP (10.20.222.50) Notre domaine sera foret222.lan 1) SYSPREP (SAUF si on part sur une install CD) Si on part sur une Machine Virtuelle déjà toute prête, il faut réinitialiser le SID par le sysprep. Pour ce faire, il faut extraire le deploy.cab dans c:\sources\
Puis, lancer le sysprep.exe pour reconfiguration Clé w2k3 : D2XQR XV32K Y4H37 9BK7W KW74T 2) Sur le serveur, Insérer le nom NETBIOS, l @ IP, le masque, la gateway (le cas échéant)
3) Installer le service DNS + WINS Créer son domaine DNS (que l on appelle "foret222.lan"), en faisant un clic droit sur "zones de recherche directes" Sur le serveur, auto-renseigner les @ DNS et WINS du serveur (donc de lui-même) & le suffixe dns
3) b) INSTALLER ACTIVE DIRECTORY SUR LE SERVEUR AD1-222 par la commande DCPROMO 4) Sur les machines clientes, renseigner les @ DNS et WINS du serveur Il y a deux conditions pour qu un hôte client soit enregistré automatiquement dans le DNS : a) Lui renseigner le serveur DNS préféré b) Lui renseigner le suffixe DNS en cochant la case "modifier le suffixe dns principal " 5) Installer Active directory sur le deuxième serveur par la commande DCPROMO Le premier serveur AD sera automatiquement répliqué sur le deuxième serveur AD.
On peut vérifier le bon fonctionnement du système DNS par la présence des enregistrements DNS des hôtes clientes : 6) Rajouter des postes de travail Renseigner nom netbios + @ IP + masque + DNS préféré + WINS + joindre au domaine Sur le serveur AD-DNS-WINS (AD1-222) ainsi que sur le serveur AD2-222: On voit dans "utilisateurs & ordinateurs Active Directory" :
Dans "computers", les stations connectées Dans "domain controllers", les serveurs Active Directory
Nous souhaitons maintenant créer un modèle d utilisateur (que l on copiera par la suite) comprenant un profil itinérant + un map donnant accès au répertoire personnel sur le serveur de fichier (AD2-222) ET un profil itinérant TS + map donnant accès au répertoire personnel sur le serveur TS (TS1-222) A) SUR LE SERVEUR DE FICHIER AD2-222 : Préparation des répertoires Créer un répertoire C:\fichiers et deux sous-répertoires C:\fichiers\profil et C:\fichiers\dossier de base Paramétrages des droits et autorisations sur les répertoires : C:\fichiers Partager le dossier puis cliquer sur "autorisations" et cocher la case "modifier" pour "tout le monde" C:\fichiers\profil Ne rien faire (ni partage ni sécurité) C:\fichiers\dossier de base On voit que les autorisations du groupe "Utilisateurs" sont grisées car il s agit de droits hérités. Se positionner sur le groupe "Utilisateurs", cliquer sur "Paramètres avancés" et décocher "Permettre aux autorisations héritées " puis "Copier".
Revenir sur la fenêtre où apparaissent les groupes et supprimer les groupes "Utilisateurs" et "Créateurs propriétaires". Il ne doit rester que les groupes "Administrateurs" et "SYSTEM". B) SUR LE SERVEUR DE FICHIER TS1-222 : 1- Préparation des répertoires Faire exactement les mêmes manipulations que sur le serveur AD2-222, c'est-à-dire créer C:\fichiersts + C:\fichiersts\profil + C:\fichiersts\dossier de base, et attribuer les mêmes droits et autorisations que précédemment.
2- Activation du bureau à distance Attention! Pour que l ouverture de sessions TS fonctionne sur notre serveur, il faut que le bureau à distance soit activé. Par contre, si on souhaite faire plus de deux sessions simultanées en TS, il faut installer le service "Terminal Server". 3- Ajouter les utilisa. du domaine dans Utilisateurs bureau à distance Absolument rajouter le groupe des "Utilisa. Du domaine" dans le groupe «Utilisateurs du bureau à distance», en faisant clic droit sur "poste de travail"/gérer
C) SUR ACTIVE DIRECTORY : Préparation du compte "modèle" Créer le compte "modèle" et renseigner dans l onglet "profil", les chemins du profil user et du dossier de base.
Dans l onglet "profil de services Terminal Server", faire de même.
Enfin, dans l onglet "Membre de", rajouter "Utilisateurs du bureau à distance" Copies du compte "modèle" Copier simplement le compte "modèle" pour créer les comptes utilisateurs, en faisant clic droit dessus.
D) TESTER LES DEUX TYPES DE CONNEXION AVEC PROFIL ITINERANT & MAP : a) Depuis Virtual Server 2005, on ouvre une session utilisateur créée à partir du modèle, sur le Serveur AD2-222. On se rend compte que le map "dossier de base" est bien présent dans le poste de travail. Une fois la session fermée, on peut voir dans le C:\fichiers du serveur concerné, les répertoires créés. b) Depuis mstsc (connexion bureau à distance), on ouvre une session utilisateur créée à partir du modèle, sur le Serveur TS1-222. On se rend compte que le map "dossier de base" est bien présent dans le poste de travail. Une fois la session fermée, on peut voir dans le C:\fichiersts du serveur concerné, les répertoires créés. E) DOUBLER LE SERVICE DNS Tant qu à avoir deux serveurs AD dont un DNS, autant répliquer aussi le DNS Pour ce faire, se rendre sur le serveur DNS AD1-222, lancer outils d administration/dns (ou bien exécuter dnsmgmt). Dans "zone de recherche directe", faire clic droit sur "foret222.lan" et choisir "propriétés" Cliquer sur "modifier" de "Principale" et cocher la case "enregistrer la zone dans Active Directory" puis OK.
En revenant sur la fenêtre précédente, cliquer sur le deuxième "modifier" (celui qui était grisé juste avant) et choisir "vers tous les contrôleurs de domaine" Il ne reste plus qu à installer le service DNS sur notre deuxième serveur AD (AD2-222). La réplication est faite quasi-instantanément. On peut le vérifier en lançant dnsmgmt depuis le nouveau serveur DNS. F) CONCLUSION DU LAB On se retrouve sur un domaine foret222.lan comprenant deux serveurs Active Directory (répliqués), deux serveurs DNS (répliqués), un serveur Terminal Server, et des comptes utilisateurs itinérants de deux types. Documentation microsoft importante : http://technet.microsoft.com/fr-fr/dd164336.aspx