atelier no1 : installation de windows server 2003 …profdinfo.com/web/420-keg-lg/atelier 2 - active...

Cours 420-KEG-LG, Gestion de réseaux et support technique

Préparé par Saliha Yacoub, modifié par Etienne Forest

1

Atelier 2

Installation d’Active Directory

Installation du service DNS

Installation du Service WINS

Création d'un compte d'ordinateur

Jonction d'un ordinateur à un domaine

Création d’usagers.

Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes

Rappel : Un domaine

Un domaine est un groupe de comptes et de ressources réseau qui partagent une base de données de répertoire commune et un jeu de stratégies de sécurité, et qui peut avoir des relations de sécurité avec d'autres domaines. Un groupe de travail est une structure plus simple, conçue uniquement pour aider les utilisateurs à trouver des objets, tels que des imprimantes et des dossiers partagés à l'intérieur de ce groupe. Il est conseillé d'utiliser des domaines pour tous les réseaux, sauf pour les réseaux de petite taille avec très peu d'utilisateurs.

Rappel : Active Directory

Active Directory, est défini comme un annuaire unique des ressources d’une entreprise. Active Directory, en plus d’être une banque de données (comptes utilisateurs), est également équipé d’un certain nombre de fichiers de support et notamment les journaux de transaction, et du volume système (SYSVOL) qui contient les scripts d’ouverture de session et les informations relatives à la stratégie de groupe.. Pour exécuter et installer le service d’annuaire Active Directory, votre serveur devra être promu d’abord Contrôleur de domaine. C’est le fait de créer un contrôleur de domaine qui installera Active Directory sur le serveur. Cette opération, par le fait même, créera le domaine. On pourra ensuite y créer des comptes usagers et y joindre des ordinateurs.



2

Préparation à l’nstallation d’Active Directory Avant de commencer : Vous devez tout d’abord configurer correctement vos machines virtuelles afin de permettre la communication réseau.

Choisissez « Préférences »



3

Choisissez l’onglet Réseau, puis Accès par pont comme le montre la figure.

Vous pouvez alors lancer vos machines en toute confiance! Ensuite, il est très important de fixer manuellement l’adresse IP de votre serveur. En effet, le serveur doit avoir une adresse fixe qui ne changera jamais pour permettre aux clients de le repérer aisément! Pour ce faire :

Menu démarre/Paramètres/Connexions réseau

Bouton droit sur la connexion réseau, puis propriétés.

Propriétés du protocole TCP/IP C’est à cet endroit que vous pouvez modifier votre configuration réseau (adresse IP, passerelle, serveur DNS). Vous pouvez également vérifier votre configuration réseau en

tapant ipconfig /all dans une fenêtre CMD. Exemple (boite de dialogue des propriétés de TCP/IP)



4

Pour simplifier la gestion des adresses, vous devez utiliser le schéma suivant : 192.168.X.5 pour votre serveur 192.168.X.10 pour votre client X correspond au numéro de votre équipe (demandez au professeur de vous fournir ce numéro s’il ne l’a pas déjà fait!). Dans mon exemple, le numéro de l’équipe est 10, mais vous devez évidemment utiliser le vôtre.

Votre serveur et votre serveur DNS préféré ont la même adresse IP En effet, votre serveur hébergera dans quelques instants le serveur DNS, c’est donc normal que l’adresse du serveur DNS préféré de votre serveur soit sa propre adresse! Une fois votre serveur DNS installé, vous remarquerez peut-être que l’adresse du serveur DNS préféré changera pour 127.0.0.1. Pas de panique, cette adresse est l’adresse de « loopback », c’est une adresse qui pointe vers vous-même, ce qui est tout aussi valide!



5

Installation d’Active Directory Normalement, une fenêtre « Gérer votre serveur » s’ouvre automatiquement au démarrage du serveur. Si ce n’est pas le cas, vous pouvez la retrouver dans Démarrer / Outils d’administration / Gérer le serveur. Dans cette fenêtre, choisissez ajouter un Rôle, choisissez configuration personnalisée et cliquez sur suivant. Vous devriez arriver ici :

Vérifiez que les rôles Contrôleur de domaine (Active Directory), Serveur DNS et serveur WINS, ne sont pas configurés. (De votre côté, tout devrait être à « Non ».) Ensuite :

Choisissez Contrôleur de domaine (Active Directory) pour installer ce rôle et le configurer, puis cliquez sur suivant

Choisissez « Contrôleur de domaine pour un nouveau domaine ». En effet, vous créez en ce moment un tout nouveau domaine. Vous auriez pu être en train d’installer un contrôleur de domaine secondaire pour l’ajouter à un domaine déjà existant.

Choisissez « Domaine dans une nouvelle forêt ». Une forêt est un regroupement de domaines qui ont des relations de sécurité les uns avec les autres. Comme on ne se joint pas à une forêt existante, on créera une nouvelle forêt contenant un seul domaine.



6

Suivez les étapes de l’installation (ça devrait aller de soi).

Lorsqu’on vous demandera le nom du domaine, entrez KEGLGx.local, où KEGLG correspond au numéro de ce cours et x à votre numéro d’équipe tel que défini précédemment. Par exemple, mon nom de domaine est KEGLG10.local.

Le système vous pose la question concernant le nom NetBios; acceptez le nom tel qu’il est.

On vous proposera des chemins où stocker la base de données du journal; acceptez le répertoire par défaut.

On vous précisera votre volume système (l’endroit où Active Directory installera ses

fichiers), qui est toujours C:\Windows\SYSVOL; acceptez le répertoire tel qu’il est.

À cette étape, le système vous pose la question concernant l'installation du service DNS. En effet, Active Directory a absolument besoin d’avoir accès à un serveur DNS local au réseau pour fonctionner. Comme on n’en a pas, l’installateur peut immédiatement en installer un sur le serveur, suspendant l’installation d’Active Directory en attendant (il y reviendra automatiquement après). Pour ce faire :

Cochez la case « Installer et configurer le service DNS ».

À la question suivante, choisissez la deuxième coche (« Autorisation compatible uniquement avec le système d'exploitation Windows 2000 ou Windows 2003 », inutile de supporter des systèmes d’exploitation plus anciens que ça!) et cliquez sur suivant

Choisissez un mot de passe pour l’administrateur de restauration du service d'annuaire. Ce sera utile si jamais votre Active Directory est endommagé. Vous pouvez simplement laisser ce champ vide pour plus de simplicité (si vous ne le faites pas, soyez certains de noter le mot de passe choisi quelque part).

Insérez le CD de Windows 2003 pour continuer. N’oubliez pas que votre lecteur de CD virtuel (dans la machine vituelle) doit pointer vers votre lecteur de CD physique pour pouvoir accéder au CD. Si ce n’est pas le cas, vous pouvez modifier cette configuration en temps réel sans danger. Assurez-vous que vous êtes capable de voir le CD et son contenu dans le disque D : de votre serveur. Tant que vous n’y arrivez pas, l’installation ne pourra pas continuer. Si vous y arrivez mais que l’installateur vous informe qu’il n’arrive pas à trouver un fichier particulier, changez de CD, celui que vous avez est peut-être endommagé.

Redémarrez votre ordinateur une fois tout terminé. Une fois redémarré, revenez à la fenêtre « Gérer votre serveur ». Vous devriez constater que les services Contrôleur de domaine (Active Directory) et DNS sont maintenant configurés. Bravo! Votre domaine est maintenant né!

Installer le service WINS Le service WINS est très simple à installer. Toujours par la fenêtre « Gérer votre serveur », choisissez le service WINS et laissez les options par défaut. Le tout prend une minute à peine. Le serveur WINS est un peu l’ancêtre de l’Active Directory, en ce sens qu’il est une base de données des noms NetBios des ordinateurs du domaine. Le nom NetBios est lui-



7

même l’ancêtre des noms DNS que l’on utilise aujourd'hui. De nos jours, le serveur WINS est plutôt désuet, mais l’installer est très rapide et ne demande pratiquement aucune ressource alors pourquoi ne pas être rétrocompatible juste au cas où?

Structure de base d'un domaine Étant maintenant les maîtres de votre domaine, vous pouvez aller le gérer avec la console « Utilisateurs et ordinateurs Active Directory ». Cette console est accessible via Démarrer/Outils d’administration. Vous pouvez aussi atteindre la console par la fenêtre Gérer votre serveur que vous utilisez depuis tout à l’heure. Une fois dans la console d’Active Directory, vous pouvez constater une structure hiérarchique du domaine. Dans la fenêtre, on voit la racine qui est le nom du domaine, keglg.local. Tout domaine doit avoir la structure minimale suivante:

On verra plus tard à quoi servent ces conteneurs et UO. Pour l’instant, il suffit de savoir que ce n’est pas exactement la même chose. Il est aussi une bonne idée de regrouper les comptes des ordinateurs dans « Computers » et les comptes des usagers dans « Users ».

Unité d'organisation (UO)

Conteneur (remarquez l’icône différent)

Votre nom de domaine



8

Étape 2 : Jonction de l'ordinateur au domaine:

Durée approximative : 20 minutes (dans le cas d'une configuration correcte)

Rappel : vos cartes réseaux virtuelles doivent être bien configurées, autant pour la machine serveur que pour la machine client! Revoyez la section sur la préparation au début de cet atelier! Avant de commencer Vous devrez vous connecter au client pour configurer correctement son adresse IP. Procédez de la même manière que lorsque vous avez configuré les paramètres TCP/IP du serveur, en tenant compte des points importants suivants :

Pour votre station XP, son adresse IP doit indiquer qu'elle est sur le même réseau que le serveur et son serveur DNS préféré doit être le serveur. En effet, votre réseau, étant une classe C, est 192.168.X.0 (où X correspond à votre numéro d’équipe). Le serveur doit donc avoir une adresse dans ce réseau (mais une adresse qui doit tout de même être différente de celle du serveur!). En plus, lorsque vous tenterez de le joindre au domaine, vous ne fournirez que le nom du domaine. Le client aura besoin de trouver l’adresse IP du contrôleur de ce domaine pour pouvoir s’y joindre. Pour ce faire, il devra demander à un serveur DNS de lui fournir cette adresse IP. C’est pour cette raison qu’il est essentiel que votre client connaisse l’adresse de votre serveur DNS. Avant de pouvoir se connecter à un ordinateur avec un compte utilisateur du domaine, il est obligatoire que l'ordinateur appartienne au domaine. En effet, un ordinateur aura un compte lui aussi, tout comme l’utilisateur. Ensuite, un utilisateur, avec son compte, pourra se connecter au domaine sur tout ordinateur ayant lui aussi un compte sur le domaine, et retrouver ses configurations propres. Pour joindre un ordinateur à un domaine, il faut deux étapes:

a) créer un compte pour l'ordinateur sur le contrôleur de domaine b) configurer l'ordinateur pour le joindre au domaine avec ce compte.

Un compte ordinateur se compose d'un nom, d'un mot de passe et d'un ID de sécurité. Ces propriétés sont incorporées à la classe de l'objet ordinateur dans Active Directory. Ainsi, la préparation d'un compte ordinateur à ajouter à un domaine est similaire à celle d'un utilisateur.



9

a) Création d'un compte ordinateur.

Il est important de taper le nom de l'ordinateur que vous allez joindre au domaine. Pour cela, consultez d'abord le nom de l'ordinateur XP que vous allez joindre et notez-le. Le nom de l’ordinateur se trouve dans les propriétés du Poste de travail. Pour créer un objet ordinateur ou « compte » :

Ouvrez votre console « Utilisateurs et ordinateurs Active Directory »

Sélectionnez le conteneur qui va accueillir votre objet/compte (ici, Computers est tout indiqué!)

Dans le menu Action, choisissez Nouveau/Ordinateur et la boite de dialogue suivante apparaît :

Taper le nom de l'ordinateur XP tel qu’il apparaît dans les propriétés du Poste de travail; cliquez sur suivant

Pour l'instant, il n'est pas nécessaire de saisir un GUID (« Globally Unique Identifier ») ou identifiant global unique.

Cliquez donc sur suivant puis sur Terminé. Pas plus compliqué que ça.



10

b) Jonction du compte ordinateur à un domaine.

Vous aurez besoin de connaître votre nom de domaine. Normalement, ça devrait être KEGLGx.local où x est votre numéro d’équipe. Assurez-vous que c’est bien le cas et sinon, prenez note du nom. Il ne suffit pas d'un compte ordinateur pour créer un lien entre un domaine et un ordinateur, il faut le joindre au domaine. Pour cela, un administrateur du domaine doit avoir un accès physique au poste client et doit le joindre manuellement. Voici les étapes à suivre.

Allez dans les propriétés du Poste de travail du client, puis dans l’onglet « Nom de l’ordinateur ».

Cliquez ensuite sur Modifier. La boite de dialogue « Modification du nom de l'ordinateur » apparaît :

Sélectionnez l'option Domaine et tapez le nom du domaine

Cliquer sur OK

L'ordinateur vous demande alors de saisir un nom d'usager et un mot de passe. (Si ce n’est pas le cas, vérifiez la configuration TCP/IP du serveur et du client, la configuration des cartes réseaux virtuelles du serveur et du client, ainsi que les



11

connexions physiques entre les machines et la switch). Ce qu’Active Directory veut comme login (car c’est bien lui qui vous fait cette demande), c’est que vous lui prouviez que vous êtes un administrateur du domaine ayant le droit d’ajouter des clients au domaine. Utilisez donc le login «Administrateur» et le mot de passe Administrateur de votre serveur (rappelez-vous, vous l’avez défini en installant Windows 2003 à l’atelier 1). Pour l'instant c'est le seul usager qui est autorisé à joindre un ordinateur au domaine.

Si votre mot de passe est valide, on vous souhaitera la bienvenue dans le domaine. Sinon, recommencez.

Vous êtes ensuite invités à redémarrer votre ordinateur. Vous remarquerez après le démarrage que votre écran de login n’est plus le même : vous devez utiliser CTRL-ALT-Del (ou CTRL de droite-Del sur votre machine virtuelle!) pour vous loguer. Vous aurez également le choix (dans les options supplémentaires) de vous authentifier sur l’ordinateur lui-même (avec un compte local, comme avant) ou sur le domaine (avec un compte d’utilisateur du domaine).

À faire : tester vos utilisateurs en utilisant votre station XP. Suppression, désactivation et réinitialisation des comptes Pour supprimer un compte (ordinateur comme utilisateur) avec la console « Utilisateurs et ordinateurs Active Directory », localisez et sélectionnez l'objet ordinateur puis dans le menu Action, choisissez simplement supprimer.

Si un compte est supprimé, même si vous créez un compte avec le même nom et le même mot de passe, ce sera un nouveau compte. Si un compte ordinateur ou utilisateur reste inexploité pendant une longue période, vous pouvez alors le désactiver. Dans le menu contextuel ou par le menu Action, choisissez Désactiver (une croix rouge apparaît sur le compte). Vous pouvez le réactiver en tout temps. Un compte désactivé est équivalent à un compte supprimé, sauf qu’il est plus facile d’en réactiver un que d’en créer un nouveau. En plus, un compte désactivé puis réactivé reste le même compte. Vous pouvez également réinitialiser le mot de passe d’un compte utilisateur par le biais du menu Action/réinitialiser. Cette commande permet de conserver les propriétés du compte, seul le mot de passe est réinitialisé. Dans le cas d’un compte utilisateur, l’utilisateur peut de nouveau l’utiliser s’il avait oublié son mot de passe. Dans le cas d’un compte ordinateur, le compte est disponible et un ordinateur au même nom pourra être rattaché au compte (en suivant la procédure de jonction au domaine). Mise en situation : À l'ouverture d'une session, un message indiquant que le contrôleur de domaine ne peut pas être contacté, ou que le compte d'ordinateur est absent ou que la relation entre le domaine et l'ordinateur est perdue, que faire?

Si le compte existe dans Active Directory, il doit être réinitialisé.



12

Question: Comment vérifier qu'un ordinateur existe dans Active directory? Réponse: La console « Utilisateurs et ordinateurs d'Active Directory » donne accès à un outil graphique puissant qui permet de localiser une grande variété d'objets (ordinateurs dans notre cas). Dans Rechercher, choisir Ordinateur

1. Si le compte n'existe pas dans Active Directory, vous devez le créer. 2. Si l'ordinateur appartient au domaine, vous devez le supprimer du domaine en le

remettant dans un groupe de travail (tel qu’il était avant que vous l’ajoutiez à votre domaine). Le nom du groupe de travail choisi n'a pas d'importance. Choisissez un nom de groupe inutilisé.

a. Joignez à nouveau l'ordinateur au domaine.



13

Étape 3 : Création des comptes utilisateurs Durée approximative : 20 minutes Dans cette partie, vous allez être initiés à la création d’utilisateurs avec Active Directory. Active Directory requiert la vérification d’identité d’une personne avant que celle-ci puisse utiliser les ressources. Or, le compte utilisateur représente l’élément clé de l’authentification (nom usager, mot de passe). Le compte utilisateur est intégré à l’objet utilisateur d’Active Directory. Cet objet comprend non seulement le nom d’usager et le mot de passe de l’utilisateur, mais également un ensemble d’information le concernant. Pour créer un objet utilisateur :

Sélectionner le conteneur qui va le recevoir (dossier USERS),

Dans le menu Action choisir nouvel Utilisateur. La fenêtre suivante s’ouvre :

Créez un compte avec le nom que vous voulez puis cliquer sur suivant.

Une fenêtre demandant de rentrer un mot de passe s’ouvre. Saisissez le mot de passe et cocher « L’utilisateur doit changer de mot de passe à la prochaine ouverture de session » (le fameux mot de passe temporaire).

Il faut choisir un mot de passe assez complexe sinon, il ne sera pas accepté à la prochaine étape. Un mot de passe est considéré complexe lorsqu’il contient au



14

moins 6 caractères, qu’il ne contient pas le nom de l’usager et qu’il contient des caractères tirés de trois des quatre catégories suivantes : lettres minuscules, lettres majuscules, chiffres et symboles. Le plus simple est de prendre un mot d’au moins 5 lettres, de mettre la première lettre en majuscule et de mettre un chiffre à la fin. Utilisez toujours le même pour tous les usagers pour plus de simplicité.

Vérifiez que votre utilisateur a bel et bien été crée.

Modification des paramètres de l’utilisateur.

En sélectionnant l’utilisateur que vous venez de créer, cliquez sur le bouton droit de la souris, puis sur Propriétés. La fenêtre suivante apparaît :

Explorez un peu les différentes propriétés d’un compte (il y en a beaucoup!). Créez ensuite un deuxième compte au nom que vous voulez, puis testez vos comptes en les utilisant pour vous connecter au domaine à partir du client.

atelier no1 : installation de windows server 2003 …profdinfo.com/web/420-keg-lg/atelier 2 - active...

Documents