Windows Server 2008

De NCad Wiki
Aller à la navigation Aller à la recherche

Contrôleur de domaine Active Directory

Définitions

Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs.

Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Ce protocole est utilisé par Windows Server 2008 et plus particulièrement dans la phase d'authentification des utilisateur via Active Directory.

Installation

  1. Ouvrir le Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis l'encart Résumé des rôles, cliquer sur le lien Ajouter des rôles.
  3. Un Assistant de configuration va débuter. Dans la liste des rôles proposés, sélectionner Service de domaine Active Directory.
  4. Une fois l'installation terminée, revenir au Gestionnaire de serveur puis accéder aux propriétés du Services de domaine Active Directory. Le service n'est pas démarrer.
  5. Cliquer sur le lien Exécuter l'assistant installation des services de domaine Active Directory pour installer les composants additionnels et configurer le service.

Ajout d'un client Windows 7 au contrôleur de domaine Windows Server 2003

Avant toute chose, on va configurer les paramètres de la carte réseau de la station et plus particulièrement les options DNS afin d'y définir l'adresse de l'Active Directory.

  1. Accéder au menu Démarrer / Panneau de configuration
  2. Cliquer sur l'item Réseau et Internet puis cliquer sur Afficher l'état et la gestion du réseau sous l'item Centre réseau et partage.
  3. Pour accéder au propriétés TCP/IP cliquer sur le lien Connexion au réseau local.
  4. Dans la fenêtre Etat de Connexion au réseau local, cliquer sur le bouton Propriétés, dans la liste cliquer sur Protocole Internet version 4 (TCP/IPv4) puis cliquer sur le bouton Propriétés.
  5. Sélectionner la case Utiliser l'adresse de serveur DNS suivante puis indiquer dans le champs Serveur DNS préféré l'adresse IP du contrôleur de domaine Active Directory.

Maintenant on peut ajouter le poste client au contrôleur de domaine Active Directory.

  1. Accéder au menu Démarrer / Panneau de configuration.
  2. Cliquer sur l'item Système puis sur le menu Paramètres système avancés.
  3. Dans la fenêtre Propriétés système, cliquer sur l'onglet Nom de l'ordinateur.
  4. Cliquer sur le bouton Identité sur le réseau... .
  5. Sélectionner l'option Cet ordinateur appartient à un réseau d'entreprise. Je l'utilise pour me connecter à d'autres ordinateurs de la société puis cliquer sur le bouton Suivant.
  6. Sélectionner Ma société utilise un réseau comprenant un domaine puis cliquer sur le bouton Suivant.
  7. Saisir les identifiants du compte mod_loc de la station cliente puis cliquer sur le bouton Suivant.
  8. Saisir le nom du domaine avec ou sans son extension : ncad.lan ou ncad, par exemple.
  9. Saisir les identifiants du compte Administrateur du contrôleur de domaine Active Directory.
  10. L'assistant vous propose d'ajouter le compte mod_loc aux utilisateurs du contrôleur Active Directory. Nous choisirons de laisser cet utilisateur comme utilisateur local donc on sélectionnera l'option Ne pas ajouter ce compte d'utilisateur au domaine.

Comptes Utilisateurs

Définition des Unités Organisationnelles (OU)

Les OU permettent d'organiser la structure des composants Active Directory (Utilisateurs, Groupes, Machines) . On peut affecter pour chaque OU crée, une GPO distincte qui permettra de définir les droits et autorisations pour l'ensemble des objets qu'elle contient.

Ici, nous distingueront trois catégories d'objets avec des permissions bien distinctes :

  • Classe Basic, avec des pouvoirs sur la personnalisation et la configuration de l'environnement très restreint ;
  • Classe Medium, avec des pouvoirs sur la personnalisation et la configuration de l'environnement autorisé à condition que cela n'affecte pas les paramètres globaux de la machine ;
  • Classe Master, avec des pouvoirs sur la configuration de la station.
  1. Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis le menu en arborescence, accéder à la branche Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/. Effectuer un clic droit sur <domain> puis accéder à Nouveau / Unité d'organisation.
  3. Nommer l'OU Basic puis répéter l'opération deux fois pour Medium et Master.
  4. Les OU Basic, Medium et Master apparaissent sous l’arborescence Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/.
  5. Dans chacune de ces OU créer un Groupe portant le même nom que son OU parente. La création d'un groupe s'effectue en accédant à ses Propriétés puis en cliquant sur Nouveau / Groupe.

Configuration des Groupes Policy (GPO)

La définition des GPO s'effectue depuis l'utilitaire Gestion des Stratégies de Groupe accessible depuis le menu Démarrer / Outils d'Administration. Les GPO permettront de définir les permissions et rôles accordés pour chacune de nos OU.

Accéder à la branche Gestion de stratégies de groupe / Forêt : NCAD.lan / Domaines / NCAD.lan. On remarquera la présence de nos OU définies précédemment.

Par défaut, et pour tous les comptes utilisateurs, les GPO utilisées sont celles présentes dans la branche Objets de stratégie de groupes. Il va falloir ici créer trois nouvelles GPO qui seront rattachées au trois OU définies précédemment.

  1. Accéder aux Propriétés de l'une des trois OU puis cliquer sur Créer un objet GPO dans ce domaine, et le lier ici... . Nommer la GPO à l'identique de son OU père pour l'identifier facilement.
  2. La GPO peut être visualisées sous la branche de l'OU concernée.
  3. Pour modifier la GPO, il suffit d'accéder à ses Propriétés et de cliquer sur Modifier.
  4. La fenêtre Éditeur de gestion des stratégies de groupe s'affiche alors.
  5. Nous allons nous concentrer sur la branche Configuration Utilisateur / Stratégies / Modèles d'administration : définition de stratégies.
  6. On configurera chacun des éléments pour chacun des OU en respectant le tableau synthétique suivant :

Création d'un compte utilisateur

On va créer le compte utilisateur cacheln sous l'OU Basic.

  1. Accéder au Gestionnaire de serveur depuis le menu Démarrer / Outils d'Administration.
  2. Depuis le menu en arborescence, accéder à la branche Gestionnaire de serveur / Rôles / Services domaine Active Directory / Utilisateurs et ordinateurs Active Directory /NCAD.lan/Basic.
  3. Depuis les propriétés de l'OU Basic, cliquer sur Nouveau/Utilisateur.
  4. On indiquera les informations suivantes pour le formulaire Nouvel objet – Utilisateur :
    Prénom : Nicolas
    Nom : CACHELOU
    Nom complet : CACHELOU Nicolas
    Nom d'ouverture de session de l'utilisateur : cacheln@<domain>
  5. À l'étape suivante, on veillera à décocher toutes les cases.
  6. L'utilisateur crée, accéder à ses Propriétés puis cliquer sur Ajouter à un groupe et saisir basic puis valider en cliquant sur le bouton OK.

Répertoires utilisateurs partagés

On va définir sur le serveur un répertoire partagé accessible depuis le réseau pour le stockage des documents utilisateurs. Ainsi, les ressources seront disponibles depuis n'importe quel machine.

On choisira de créer un répertoire sur la racine du disque principal appelé Partages dans lequel on retrouvera des répertoires spécifiques aux différents partages sur le réseau dont :

  • Applications : avec tous les programmes, logiciels et utilitaires à installer sur les machines ;
  • Profils : pour le stockage des profils itinérants spécifiques aux différents groupes ;
  • Utilisateurs : pour le stockage des répertoires de session des utilisateurs ;
  • Média : pour le stockage de ressources divers (Documents, Vidéos, Musiques).
  1. Créer à la racine du disque dur le répertoire Partages dans lequel on créera les sous répertoires UtilisateursProfilsMédias et Applications.
  2. Accéder aux Propriétés de l'un des sous dossiers UtilisateursProfilsMédias et Applications puis cliquer sur l'onglet Partage de la fenêtre Propriétés de Utilisateurs.
  3. Cliquer sur le bouton Partage Avancé.
  4. Activer l'option Partager ce dossier.
  5. Cliquer sur Autorisations puis définir les autorisations des groupes en fonction du tableau ci-dessous :