Active Directory : installation et configuration

Pour l’installation de l’AD, nous aurons besoins de:

–        D’un serveur 2012 R2

–        D’un client Windows 7

–        D’un nom de domaine

Installation et configuration de l’AD.

Avant de commencer, il est nécessaire de renommer notre machine et de lui donner une IP fixe.

Installer l’AD sans fonctionnalités supplémentaires

Choisir le rôle « AD DS » et cliquez sur suivant

Le DNS n’étant pas encore installé, on va l’installer en même temps que le rôle Active Directory. Pour cela on va ajouter une nouvelle forêt et renseigné le nom du domaine, ensuite Cliquez sur suivant.

Ensuite configurer un mot de passe en cas de restauration des services, la case Serveur DNS devant être cochée, ensuite cliquez sur suivant tout en laissant par défaut les chemins de stockage de l’AD, ensuite installer,

Après l’installation il faut le configurer en faisant un clic sur l’onglet « promouvoir ce serveur en contrôleur … »

Nous remarquons après l’installation qu’une zone a été créée et qu’il faut juste configurer la zone inverse.

  • Création de l’OU

Ouvrir l’outil d’administration > click sur Utilisateurs et ordinateurs Active Directory >clic droit sur le nom de domaine(epbooktic.local) >  nouveau > Unité d’Organisation et ensuite remplir les cases avec les informations données.

  • Création des groupes dans l’annuaire.

Clic droit sur l’OU dans laquelle il faut créer un groupe >nouveau >groupe et ensuite renseignez les informations qui vous sont données.

Dans une OU nous pouvons créer :

·        Des sous OU

·        Des groupes

·        Des ordinateurs

·        Des imprimantes

·        Des dossiers partagés

·        Des utilisateurs

Un groupe: est un ensemble de machines ou Users avec une politique particulière et des droits spécifiques.

Une unité d’Organisation: est un conteneur d’objets AD. Elle permet la hiérarchisation d’objets au sein d’un domaine.

Les éléments essentiels à la création d’un compte:

·        Le nom

·        Le prénom

·        Nom d’ouverture de session de l’utilisateur

·        Mot de passe (Azerty1 pour l’admin et Azerty2 pour le technicien) en appliquant des GPO

J’ai par la suite crée deux utilisateurs dans le groupe info qui sont les suivant:

Michel AMAR qui est technicien du service info

Philippe GRAND qui est admin réseau du service info.

  • Intégration de la machine cliente Windows 7 dans le domaine

Pour intégrer une machine dans le domaine aller sur démarrer > clic droit ordinateur >propriétés > Modifier les paramètres > Modifier et cocher la case “membre d’un : Domaine, ensuite un mot de passe administrateur vous sera demandé (utilisez le compte administrateur du serveur pour intégrer la machine), après le redémarrage de la machine, elle sera intégrée au domaine.

  • Test de connectivité à l’annuaire AD avec les utilisateurs

Je me suis connectée avec l’utilisateur Philippe GRAND qui est admin réseau du G_Info

  • Arborescence du domaine

“epbooktic.local”

Création des utilisateurs

Pour créer les utilisateurs, nous allons sélectionner une OU > click droit nouveau >utilisateur ensuite renseigner les champs : prénom, nom, nom d’ouverture de session (initiale prénom.nom) ensuite cliquez sur suivant.

Dans la nouvelle fenêtre entrer le mot de passe de l’utilisateur et configurer ses droits. Faire de même pour les autres utilisateurs.

Mettre chaque utilisateur dans un groupe

Clic droit sur l’utilisateur > Ajouter à un groupe…, dans la fenêtre qui s’ouvre clic sur avancé >rechercher pour avoir la liste de tous les groupes.

Stratégie de compte du domaine « epbooktic.local »

Pour ouvrir la console de gestion des stratégies de mot de passe, aller dans démarrer > outil d’administration > gestion des stratégies de groupe.

Une nouvelle fenêtre s’ouvre, déroulez le menu jusqu’à stratégie de mot de passe

Configuration ordinateur > stratégies > paramètres Windows >paramètres de sécurités >stratégies de comptes >stratégie de mot de passe.

Activer et entrez les valeurs nécessaires.

GPO pour bloquer le panneau de configuration,

Cette GPO se fait au niveau des unités d’organisation. Créer la GPO sur une unité d’organisation ensuite lier un objet de stratégie de groupe existant … au niveau des autres OU

Aller dans comptabilité > créer un objet GPO dans ce domaine… pour créer un nouvel objet GPO

Par la suite entrer le nom de la GPO et click sur ok.

une fois la GPO créée,  click droit sur la GPO > Modifier

Dérouler le menu configuration utilisateur >stratégies >Modèles d’administration > panneau de configuration > Empêcher l’accès au panneau de configuration…   et activer la GPO

Pour appliquer la même GPO aux autres unités d’organisation , click droit sur l’OU( unité d’organisation) > lier un oblet de stratégie de groupe existant… Selectionner  la GPO à appliquer.

Interdiction aux paramètres réseaux

Copier et déployer un fond d’écran par GPO

Commencer par créer un dossier nommé « partage_im » à la racine du serveur, pour héberger le fichier du fond d’écran, il doit être accessible par le réseau par les postes clients. Étant donné qu’il s’agit d’une stratégie « ordinateur », nous attribuons les droits de lecture au groupe « Ordinateurs du domaine » pour qu’il puisse venir chercher le fichier. Ce logo sera imposé à tous les utilisateurs.

NB : Mettre le signe ” $ “ devant le dossier partage afin de le cacher (cela permet aux utilisateurs de ne pas voir le dossier à la racine).

Ensuite, sur le contrôleur de domaine, créez une nouvelle GPO que l’on peut par exemple nommer « Copy and Deploy Wallpaper ».

Pour commencer, on va créer un paramètre de préférence pour que le fichier image du fond d’écran soit copié sur les ordinateurs distants. On va créer un nouveau fichier, sous Configuration ordinateur > Préférences > Paramètres Windows > Fichiers.

Sélectionnez l’action « Créer » puisque ce fichier n’existe pas, et pour le fichier source indiquez le chemin vers le fichier image qui est sur votre partage. Pour le fichier de destination, indiquez où vous souhaitez copier le fichier sur l’ordinateur, en local.

Pour ma part, j’indique «SRV-VIRT\ partage_im$\logo booktic.jpg» pour le copier dans le répertoire où Windows stocke par défaut l’ensemble des fonds d’écran.

Dans l’onglet « Commun », vous devez cocher « Appliquer une fois et ne pas réappliquer » pour ne pas que le fond d’écran soit copié à chaque fois.

  • Appliquer le fond d’écran

Un paramètre nommé « Papier peint du Bureau » doit être activé, il se situe dans :

Ensuite dans configuration utilisateur > stratégies > modèles d’administration > bureau > bureau >papier peint du bureau.

Renseigner le chemin d’accès à l’image et cliquer sur activer, ensuite appliquer, pour cela aller dans :

La console de gestion de stratégie de groupe Default Domain Policy > Modifier, pour que la GPO s’applique à tous les utilisateurs du domaine

Ensuite clic droit sur autorisation pour configurer les droits au dossier. Ensuite noter le chemin pour la configuration de la GPO.

Nous devons l’activer, et indiquer le chemin vers lequel on pourra le trouver, en l’occurrence ici un chemin local. Enfin, nous pouvons également choisir le style du papier peint, pour décider s’il est en mosaïque, centré dans l’écran, étiré…

  • Tests

Il ne reste plus qu’à appliquer la GPO sur l’OU concernée et, nous pouvons tester sur un de nos postes de travail avec un utilisateur concerné, nous devons voir apparaître le fond d’écran.

Création des répertoires

Création d’un répertoire partagé caché appelé “commun” à la racine du serveur et à l’intérieur un répertoire pour chaque service portant le nom du service et affecter les droits NTFS

Créer un répertoire appelé “commun”

Créer dans le répertoire commun, les répertoires suivants :

ServEco : Facturation et Achats

CE

Informatique

RH

Clientèle : SAV et RelationClients

AccèsVPN

Affecter les droits comme suit :

Chaque OU possède un espace partagé dans lequel les utilisateurs lisent et déposent des fichiers

Les administrateurs réseaux ont accès, en contrôle total à tous les dossiers.

Tous les utilisateurs de chaque service peuvent accéder à leur dossier en « modification » et leur espace partagé en « écriture »

Les informaticiens accèdent en lecture à tous les dossiers partagés.

Création des scripts

Scripts de démarrage ex : « RHstart.bat » permettant la connexion des lecteurs réseaux accédant aux dossiers.

Script de connexion des utilisateurs d’AccèsVPN’

Script de connexion des utilisateurs du comité d’entreprise

Script de connexion des utilisateurs du service clientèle

Script de connexion des utilisateurs du service informatique

Script de connexion des utilisateurs du service des ressources humaines

Script de connexion des utilisateurs du service économique

Une fois le script rédigé, les enregistrer dans C:\windows\sysvol\nom_du_domaine\scripts

Monter le script sur chaque profil utilisateur

Création de 2 répertoires (profil et home) cachés à la racine du serveur, accessible par tous en modification.

Sur les propriétés de l’utilisateur, il va falloir configurer l’onglet profil pour que l’utilisateur accède à son profil à l’ouverture de session et qu’il connecte comme lecteur réseau « Z » son home.

La redirection des dossiers de base.

C’est une GPO qui va s’appliquer au niveau de chaque OU. Créer la GPO et la nommer.

Dérouler le menu configuration utilisateur > stratégies > paramètre Windows > redirection de documents > clic droit sur document >propriétés

Par la suite lier cette GPO aux autres OU.

Leave a Reply