2014-2016

Baptiste Lionel

Projet Personnalisé Encadré BTS Services Informatiques aux Organisations

2

SOMMAIRE

1. Mise en place d’une stratégie de groupe

Table des figures

1. Contexte Page 5

2. Solution retenue Page 5

3. Stratégie de Groupe (GPO) Page 5

4. Prérequis Page 5

5. Les étapes à suivre Page 6

a. Configuration du pare-feu des postes Seven du domaine b. Restriction du panneau de configuration c. Mappage d’un lecteur réseau via les stratégies de préférences

6. Conclusion Page 17

a. Condition initiale b. Condition finale c. Durée de l’activité d. Solution envisagée

3

Table des figures

Figure 1 : Vérification du poste sur le domaine .......................................................................................................................... 6 Figure 2 : Pare-feu Désactivé ...................................................................................................................................................... 6 Figure 3 : Configuration du pare-feu Windows .......................................................................................................................... 7 Figure 4 : Pare-feu Windows avec fonctions avancées .............................................................................................................. 7 Figure 5 : Paramètres pour le profil de domaine........................................................................................................................ 8 Figure 6 : Conteneur Seven ........................................................................................................................................................ 8 Figure 7 : Conteneur Seven 2 ..................................................................................................................................................... 9 Figure 8 : GPUPDATE /FORCE ..................................................................................................................................................... 9 Figure 9 : Pare-feu configuré - Réseau avec domaine .............................................................................................................. 10 Figure 10 : Configuration du panneau de configuration .......................................................................................................... 10 Figure 11 : Activer le paramètre ............................................................................................................................................... 11 Figure 12 : Eléments à masquer du panneau de configuration ................................................................................................ 11 Figure 13 : OU "Artiste" ............................................................................................................................................................ 12 Figure 14 : Panneau de configuration après la mise en place de la GPO.................................................................................. 12 Figure 15 : Création du dossier partagé ................................................................................................................................... 14 Figure 16 : Création du dossier partagé dans l'AD ................................................................................................................... 14 Figure 17 : Configuration Mappages Réseau ............................................................................................................................ 15 Figure 18 : Propriété de Nouveau Lecteur ............................................................................................................................... 15 Figure 19 : OU "Artiste" ............................................................................................................................................................ 15 Figure 20 : Ou "Artiste" dans l'AD ............................................................................................................................................ 16 Figure 21 : GPUPDATE /FORCE ................................................................................................................................................. 16 Figure 22 : Lecteur Réseau Equipe ........................................................................................................................................... 16

4

BTS SIO Service Informatiques aux Organisations Session 2014-2016

BAPTISTE Lionel Année 2014-2016

Option : SISR Activité professionnelle N°3

NATURE DE L'ACTIVITE :

3. Mise en place d’une stratégie de groupe

COMPETENCES MISES EN ŒUVRE POUR CETTE ACTIVITE PROFESSIONNELLE Participation à un projet d’évolution d’un SI (solution applicative et d’infrastructure portant prioritairement sur le domaine de spécialité du candidat) Elaboration de documents relatifs à la production et à la fourniture de services A1.2.2. Rédaction des spécifications techniques de la solution retenue A1.2.4. Détermination des tests nécessaires à la validation d'un service A1.3.1. Test d'intégration et d'acceptation d'un service A1.3.4. Déploiement d'un service A2.3.2. Proposition d'amélioration d'un service A3.3.4. Automatisation des tâches d'administration A4.1.9. Rédaction d'une documentation technique A5.1.1. Mise en place d'une gestion de configuration

Situation obligatoire

«Mettre en place une stratégie de groupe sur Windows 2008 Serveur.»

Matériel Logiciel VMWare Workstation, VM Windows 2008, VM Windows 7

Durée de réalisation Environ 1 heure

5

1. Contexte Les entreprises ont toutes des besoins différents en termes de stratégies de mot de passe, de connexion de dossier partagés ou encore d’imposer des règles spécifiques aux ordinateurs d’un domaine. Le professeur nous demande donc d’activer le Pare-feu Windows sur tous les postes client du domaine (flux entrants interdits, flux sortant autorisés), de restreindre l’accès d’un groupe d’utilisateur au panneau de configuration, ainsi de mapper un lecteur de réseau.

2. Solution retenue Etant donné que pour un précédent projet, le professeur m’avait demandé de réaliser une installation du service DNS et Active Directory sur Windows Serveur 2008 et de connecter une machine à ce nouveau domaine. La solution que j’ai retenue est la mise en place de stratégie de groupe sur Windows serveur 2008. Les stratégies groupe proposent des milliers de paramètres à configurer et à mettre en place pour un domaine, des Unités d’Organisation (UO), des ordinateurs ou des utilisateurs.

3. Stratégie de Groupe (GPO) Les stratégies de groupe sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects). IntelliMirror s'articule autour de trois fonctions : la gestion des données utilisateur, la gestion des paramètres utilisateur, l'installation et la maintenance des logiciels. Ces fonctions peuvent être utilisées séparément ou ensemble.

4. Prérequis

• Un ordinateur avec un système d’exploitation fonctionnel.

• Une machine virtuelle de Windows Serveur 2008 avec les services Active Directory et DNS.

• Une machine virtuelle de Windows 7 sur le domaine.

6

5. Les étapes à suivre

a. Configuration du pare-feu des postes Seven du domaine Avant toute chose, vérifiez que votre poste Windows 7 soit sur le domaine.

Figure 1 : Vérification du poste sur le domaine

Maintenant il faut que vous désactiviez le pare-feu du poste Windows 7.

Figure 2 : Pare-feu Désactivé

Pour configurer le pare-feu pour les postes de travail, ouvrez la console de gestion des stratégies de groupe et créez une nouvelle stratégie appelée Configuration du pare-feu Windows.

7

Figure 3 : Configuration du pare-feu Windows

Ensuite éditez la stratégie et placez-vous dans le conteneur Configuration ordinateur – Stratégies Paramètres Windows – Paramètres de sécurité. Puis Pare-feu Windows avec fonctions avancées de sécurités, et enfin faites clic droit sur Pare-feu Windows avec fonctions avancées de sécurité et choisissez Propriétés.

Figure 4 : Pare-feu Windows avec fonctions avancées

8

Figure 5 : Paramètres pour le profil de domaine

Le pare-feu est maintenant activé pour les postes de travail du domaine. Les connexions entrantes sont bloquées par défaut. Dans ce cas, le pare-feu est configuré pour bloquer toute connexion qui ne correspond pas à une règle définie. Les connexions sortantes sont activées par défaut. Dans ce cas, le pare-feu autorise toutes les connexions sortantes à l’exception de celles pour lesquelles une règle est en cours. Dans les options de personnalisation nous avons activé l’option d’affichage des notifications lorsqu’une connexion entrante est bloquée. La dernière option de personnalisation (zone Fusion de règle) permet de bloquer l’application des paramètres du pare-feu local. Nous avons choisi d’activer cette option pour éviter un conflit entre la configuration du pare-feu de domaine et celle sur le poste de travail. Il reste plus qu’à lier cette stratégie avec un conteneur contenant les postes « seven » du domaine. Créez un nouveau conteneur dans l’arborescence Active Directory (« Seven ») et déplacez-y votre poste « seven ». Ensuite liez-lui la stratégie.

Figure 6 : Conteneur Seven

9

Figure 7 : Conteneur Seven 2

Maintenant vérifiez que votre stratégie soit fonctionnel, pour cela sur le poste Windows 7, faites Démarrer – Exécuter – Gpupdate/force.

Figure 8 : GPUPDATE /FORCE

10

Figure 9 : Pare-feu configuré - Réseau avec domaine

b. Restriction du panneau de configuration Pour gérer les options du panneau de configuration, ouvrez la console de gestion des stratégies de groupe, et créez une nouvelle stratégie appelée Configuration du panneau de configuration.

Figure 10 : Configuration du panneau de configuration

Dans l’éditeur de gestion des stratégies de groupe, placez-vous dans le conteneur Configuration utilisateur – Stratégies – Modèles d’administration – Panneau de configuration.

11

Nous allons nous concentrer sur un paramètre unique mais très intéressant. Il est possible de supprimer des éléments du panneau de configuration pour les rendre inaccessibles aux utilisateurs. Editez les paramètres « Masquer les éléments du panneau de configuration » (Vous masquerez « Programmes par défaut », « Centre de réseau et partage »). Dans un premier temps, définissez le paramètre à « Activé »

Figure 11 : Activer le paramètre

. Maintenant, cliquez sur Afficher pour renseigner les éléments que Windows n’affichera pas sur le panneau de configuration.

Figure 12 : Eléments à masquer du panneau de configuration

12

Une fois la liste terminée, cliquez sur OK pour valider vos souhaits. Cliquez sur OK à la fenêtre suivante. Maintenant appliquez cette stratégie à l’Unité d’Organisation « Artiste » que vous aurez créé et que vous y aurez ajouté l’utilisateur à qui vous voulez appliquer cette restriction.

Figure 13 : OU "Artiste"

Sur le poste Seven lancez la commande « gpupdate /force », et allez dans le panneau de configuration pour vérifier l’absence de « Programmes par défaut » et de « Centre de réseau et partage ».

Figure 14 : Panneau de configuration après la mise en place de la GPO

13

c. Mappage d’un lecteur réseau via les stratégies de préférences Les stratégies de préférences sont l’une des nouveautés les plus intéressantes de la gestion des stratégies de groupe dans Windows Serveur 2008. En effet les stratégies de préférences remplacent les scripts utilisés jusqu’à présent. Commencez par créer un dossier partagé sur votre serveur en donnant les droits à tous les utilisateurs et un répertoire partagé sur votre serveur AD qui redirige vers ce dossier partagé.

14

Figure 15 : Création du dossier partagé

Figure 16 : Création du dossier partagé dans l'AD

Ensuite, pour mapper les lecteurs, ouvrez la console de gestion des stratégies de groupe et créez une nouvelle stratégie appelée « Configuration des mappages réseau ».

15

Figure 17 : Configuration Mappages Réseau

Dans l’éditeur de gestion des stratégies de groupe, placez-vous dans le conteneur Configuration utilisateur – Préférences – Paramètres Windows – Mappages de lecteur. Dans la case Emplacement, indiquez le chemin de votre répertoire partagé sur l’AD.

Figure 18 : Propriété de Nouveau Lecteur

Maintenant appliquez cette stratégie à l’Unité d’Organisation « Artiste ».

Figure 19 : OU "Artiste"

16

Figure 20 : Ou "Artiste" dans l'AD

Sur le poste Seven lancez la commande « gpupdate /force ».

Figure 21 : GPUPDATE /FORCE

Maintenant allez dans le poste de travail et vérifiez que votre lecteur réseau soit bien remonté.

Figure 22 : Lecteur Réseau Equipe

17

6. Conclusion

a. Condition initiale Initialement, je possédais un serveur de domaine sous Windows Serveur 2008, ainsi qu’une machine sur le domaine. Mais je n’avais pas de gestion automatique, de mappage de lecteur, de paramétrage de pare-feu, ni même de restriction automatisé.

b. Condition finale Cette opération m’a permis d’avoir un serveur Windows 2008 avec des fonctions plus poussé, je possède maintenant des GPO qui activent le pare-feu, mappent mes lecteurs réseaux, où encore qui restreignent l’accès au panneau de configuration.

c. Durée de l’activité Pour cette activité, j’ai mis environ 1h, j’avais déjà effectué ces manipulations lors de TP en classe de BTS, alors j’avais une certaine aisance pour les reproduire.

d. Solution envisagée Par la suite, si je souhaite faire évoluer mon réseau, créer d’autre VM et les mettre sur le domaine, je pourrais ainsi automatiser tous mes paramétrages, créer un petit LAN virtuel pour effectuer des tests ou encore m’exercer dans ce domaine.