tp windows serveur 2008 : administration d'un réseau d ... · tp windows serveur 2008 : ......

GRALL TERM SEN/ELEEC

Killian 01/02/2016

TP Windows Serveur 2008 : Administration d'un réseau d'entreprise :

NB : Il faut que les « Vmware Tools » soient installés pour ce TP, sur la machine client.

Etape N°1 : Réorganisation de la salle serveurs :

Je me rend sur FileZilla pour récupérer un fichier qui est une mise à jour windows pour notreclient Windows7, car elle n'a pas accès à internet. (ce fichier permet d'installer le RSAT : remote server administration tools)

Le fichier téléchargé sur notre machine physique, on effectue un « glissé déposé » sur l'écran dubureau de notre machine virtuelle, le fihcier va s'y copier.

On execute ce fichier sur la machine virtuelle cliente Windows7, qui requirel'autorisation « administrateur », on y rentre les informations et l'installations'execute.

Lorsque le chargement est terminé, on nous demande si l'on veut executer la mise à jour, on metoui, puis un contrat de licence s'affiche, on accepte, l'installation se lance.

Quand l'installation est terminée, une feuille d'aide s'affiche avec les étapes à effectuées, selonla configuration souhaitée.

1/17


Killian 01/02/2016

La feuille d'aide permet de nous guider, je me rend dans panneau de configuration, programmes,et dans la catégorie programmes et fonctionnalités je clique sur « activer ou désactiver desfonctionnalités Wndows » qui requiert les droits administrateurs.

Lorsque les identifiants administrateurs sont rentrés, on accès à une liste de plusieursconfiguration à cocher, je me rend à la ligne « outils d'administration de serveur distant » que jecoche et je clique sur le « + » qui permet de faire dérouler les données, je coche ce qui est faitsur la photo suivante, c'est la configuration qui permet d'installer les programmes relatifs à notreadministration de serveur à distance.

Après avoir choisi on accepte et l'installation s'effectue, mais l'on ne voit pas quels programmesont étaient installés, pour se faire on clique droit sur le bouton démarrer puis propiètés.

2/17


Killian 01/02/2016

Dans l'onglet « menu démarrer » onclique sur personnaliser. Ensuite onpeut choisir d'afficher dans le menudémarrer tous les programmes, dontceux qui ont étaient installés avec lamise à jour des outils RSAT.

On peut voir que maintenant lorsque l'on ouvre le menudémarrer tous ce qui est surligné était caché avant cettemanipulation. Plusieurs applications utiles à la gestion deserveur, accès à distance, ...

Mais ce qui nous intéresse est de pouvoir organiser àdistance l'Active Directory à partir d'un PC client, ils fautobligatoirement un Windows7 Pro, pour que les outils RSATainsi que ses applications puissent fonctionner, il estobligatoire d'être dans le même domaine que le serveur, etle DNS.

Je lance "mmc" (Microsoft Management Console) qui contient et affiche lesoutils d’administration créés par Microsoft et d’autres éditeurs de logiciels.Ces outils s’appellent des composants logiciels enfichables, et ils permettentde gérer les composants logiciels, matériels et réseau de Windows.

Une fois lancé, je me rend dansfichier puis "ajouter/supprimerun composant logiciel enfichable"qui va me permettre dans uneliste de sélectionner la gestion del'Active Directory.

3/17


Killian 01/02/2016

La nouvelle fenêtre nous affiche deux listes, la première nous affiche tous ce qui nous estpossible de faire, celle de droite nous affiche ce que l'on a sélectionné.J'ai donc sélectionné "Utilisateurs et ordinateurs Active Directory" qui va me permettre de gérerl'active directory du serveur à partir d'une machine cliente sous Windows 7 Profesionnel.

/!\ Rappel: Il faut obligatoirement que le client soit dans le même domaine que le serveur etest pour configuration DNS l'IP du serveur /!\

La visualisation de l'arborescense de l'Active Directory est donc opérationnel.

4/17


Killian 01/02/2016

Etape N°2 : Evolution des services de l'entreprise :

Suite à de nombreuses demandes des utilisateurs, une hotline va être mise en place, cetteHotline aura pour missions de gérer les problèmes des mots de passes, d'appartenance àdifférents groupes. Il va donc falloir créer ces utilisateurs dans l'Active Directory ainsi que desdélégations.

Premièrement dans l'Active Directory, jecrée une nouvelle Unité d'Organisationaillant pour nom :

Dans cette Unité d'Organisation j'y ajoute 4utilisateurs :

Maintenant que la Hotline est en place il lui faut ses délégations de contrôle afin de respecte lecahier des charges suivant :

Hotline 1 Gère le bureau d'étude

Hotline 2 Gère la comptabilité

Hotline 3 et 4 Gères la fabrication et la direction

Pour se faire, je fais un clic droit sur l'Unité d'Organisation ou se trouve le groupe d'utilisateurdemandé. J'effectue la manipulation pour le Bureau d'Etude.

5/17


Killian 01/02/2016

Ensuite je dois choisir quel(s) utilisateur(s) pourra déléguer ce groupe d'utilisateurs, pour leBureau d'Etude c'est "Hotline 1".

S'offre à nous une liste de taches pouvant être déléguées, comme demandé "réinitialiser el motde passe" ainsi que "modifier l'appartenance à un groupe".

Un récapitulatif des informations choisies nous est affiché à la fin de la configuration. Je répètecette manipulation pour les 3 autres utilisateurs de la Hotline en respectant le cahier descharges. Puis je teste le fonctionnement de la Hotline.

Je me connecte en tant que "Hotline 1".Puis je me rend dans laMMC, et je n'oublie pas d'activer les "fonctionnalités avancées" dansaffichage afin de voir les options cachées.

Comme je suis sous Hotline 1, j'ai normalement le droitde modifier le mot de passe des utilisateurs du Bureaud'Etude.

6/17


Killian 01/02/2016

Les délégations pour Hotline 1 par rapport au Bureaud'Etude est fonctionnel, maintenant je vais effectuerun teste sur un utilisateur qui fait partie de laComptabilité afin de vérifier que Hotline 1 n'est accèsaux modifications du Bureau d'Etude comme demandé.

On effectuant la même manipulation que la précèdentes, je peux voir que Hotline 1 n'a pasaccès aux modifications sur un utilisateur autre que le Bureau d'Etude, la Hotline estopérationnelle.

Etape N°3 : Accès au serveur WS2008STD :

Les administrateurs du serveur veulent pouvoir avoir accès au serveur en ouvrant une sessiongraphique. Je retourne sur le serveur puis j'ajoute un rôle et je sélectionne "Services Bureau àdistance" puis "Hôte de session Bureau à distance".

Ensuite un message s'affiche nous prévenant qu'ajouter ce rôle peut être une faille de sécurité,plus l'on rajoute d'accès graphique ou autre sur un serveur il sera vulnérable, mais j'autorisel'installation.

7/17


Killian 01/02/2016

Suite à cette autorisation, je dois spécifier l'authentification au niveau du réseau, je sélectionnele 2ème choix, "les ordinateurs qui executent une des versions du client bureau à distancepeuvent se connecter à ce serveur hôte de session bureau à distance".Ensuite on me demande comment je veux configurer cet accès, je choisis "configurerultérieurement".

Puis j'attribue ce droit aux administrateurs :

Une liste d'options s'affiche à nous je décoche tout :

Un récapitulatif de notre configuration s'affiche puis on nous demande de redémarrer le serveurafin de terminer l'installation.

Le serveur redémarrer je me connecte avec le compte administrateur, puis tout c'est bien passéon devrait avoir ce message :

Dans les rôles de notre serveur en plus de l'active directory et du reste, s'y est rajouté le servicede bureau à distance.

Maintenant il reste à tester le fonctionnement de ce service, à partir d'un client.

8/17


Killian 01/02/2016

Connecté sur un client, je lance l'outil de connexion de bureau à distance.

Je rentre comme nom d'ordinateur celui auquel jeveux me connecter, donc le serveur, qui a pournom : "ws2008std".

Ensuite une authentification nous est demandée,comme ce service est paramétré pour queseulement les adminsitrateurs puissent l'utiliser, ilfaut avoir ces identifiants afin de se connecter, lescomptes comptabilités, fabrications, etc... N'ont pasd'accès.

S'ouvre à nous une fenêtre par dessus notre bureau avec le bureau du serveur WS2008STD. Ou jevais pouvoir effectuer toutes les modifications voulues par l'administrateur, tout cela à distance.

Ce servce est donc fonctionnel, les administrateur ont donc accès au serveur à partir de leursordinateurs de travails à distance.

Etape N°4 : Mise en place de GPO (Group Policy Object) :

Afin de sécuriser le réseau, les administrateurs décidentd'interdire l'utilisation de l'invite de commande, cetteinterdiction s'appliquera à tous les membres de l'entreprise saufpour les administrateurs et la hotline.

Alors tout d'abord les GPO ne se paramètres pas dans l'activedirectory, qui se trouve dans les rôles, mais dans lesfonctionnalités ou l'on va retrouver la forêt de notre serveur quiest quasiment identique à l'active directory, c'est ce qu'on vapouvoir y faire qui va changer.

Comme l'accès au terminal, devra être accessible par lesamdinistrateurs et la hotline, je ne peux pas mettre un GPO à laracine de "grallindustries" je vasi donc devoir créer un GPO danschaue bâtiment, pour ce faire je fait un clique droit sur un desbâtiments, puis "créer un gpo et le lier dans ce domaine".

9/17


Killian 01/02/2016

Je vais l'appeler "cmd_bloquer" pour le premier bâtiment.

Je clique droit sur ce GPO, et je fais "modifier".

S'ouvre une fenêtre avec soit configuration de l'utilisateur ou de l'ordinateur, je me rend àl'arborescence suivante : configuration utilisateur/stratégies/modèles d'administration/système.

Une liste sur la droite nous affiche plusieurs options, dont ce qui nous intéresse "désactiverl'accès à l'invite de commandes", comme on peut le voir cette option n'es pas configuré, jedouble clique dessus.

S'offre à nous le choix d'activer ou non cette option, je l'active puis j'ajoute une descriptioncomme quoi cette option me permet de bloquer le terminal.

On peut voir que lorsque que je ferme la fenêtre qui ma permis d'activer cette option, celapasse de "non configuré" à "activé".

J'effectue ensuite cette manipulation pur chaque bâtiment comme ceci : (en prenant en compteles exigences)

10/17


Killian 01/02/2016

Mais après avoir créer et configuré tous ces GPO, il reste une chose à faire, ne pas oublier dansle filtrage de sécurité de chaque GPO d'y mettre les groupes d'utilisateurs selon le bâtiment.

Maintenant afin que le serveur puisse prendre en compte plus rapidement ces GPO, j'utilise lacommande "gptupdate /force" dans le terminal.

Une fois que les stratégies ont étaient mises à jours, je passe sur un client pour vérifier si c'estfonctionnel.

On peut voir que l'invite de commande (terminal) est désactivé pour un utilisateur classique.

Nous est ensuite demandé, afin de faciltier le mappage des réseaux, d'utiliser les GPO pour leslecteurs réseaux, car le terminal est désactivé. Je me rends donc sur chaque utilisateur retirerle chemin d'accès du script.

11/17


Killian 01/02/2016

Je me rends ensuite, à la racine du script pour le modifier, afin qu'il est juste à monter lelecteur U par le dossier équivalent au nom d'utilisateur.

Maintenant que le script a était édité, je crée un GPO, cette fois-ci tout en haut del'arborescence qui va pouvoir commandes tout les autres sous "Unité d'organisation", aillant pournom "volume_perso", qui va permettre l'ouverture des lecteurs réseaux de chaque clients.

Je clique droit sur ce GPO, puis modifier.

Je me rends dans : configuration utilisateur/paramètres windows/scripts.

Dans la liste de droite s'affiche deux options, un script à l'ouverture ou fermeture de session, cequi nous intéresse est à l'ouverture de la session.

Je double clique dessus, puis je dois sélectionner mon script.

S'affiche notre script édité, au même endroit que laissé.

Je l'ajoute, puis il s'affiche dans les scripts qui seront ouverts à l'ouverture de la session dechaques utilisateurs.

Je me connecte avec le compte "direction1" pour vérifier le fonctionnement du GPO.

12/17


Killian 01/02/2016

Maintenant je vais m'occuper des lecteurs réseaux communs (les partages entre utilisateurs dechaque bâtiments, et le partage lié à toute l'entreprise).

D'abord je retourne dans l'active directory pour y créer une unité d'organisation ou va s'y trouverles volumes réseaux.

Cette unité d'organisation a pour nom :

Dans cette unité d'organisation je vais yajouter des dossiers partagés, donc lespartages.

Mon premier partage est celui de la directionj'y inscrit son nom ainsi que son chemin d'accèssur le serveur, j'effectue cette manipulation lenombre de fois nécessaire afin d'y rajouter tousles lecteurs réseaux qui était avant sur lescript.

Je retourne dans "fonctionnalirés" je ne suis plusdans les "rôles" ou se trouve l'active directory, jecréer maintenant en gardant l'exemple de ladirection un GPO dans leurs groupe, car dans lebâtiment B4 il y a la direction ainsi que lesadministrateurs, les 2 GPO doivent donc êtreséparés.

13/17


Killian 01/02/2016

Ce GPO s'appel "volume_direction", puis je vaisle modifier.

Je fais un clique droit, puis modifier.Et j'arrive de nouveau dans la même liste que pour lesanciens GPO sauf que cette fois-ci le chemin sera :"configuration utilisaeur/préférences/paramètreswindows/mappages de lecteurs"

Dans "mappages de lecteurs" je crée un nouveau lecteurmappé.

Qui a pour lettre de lecteur "V", puis dans"emplacement" ou se trouve les trois petits points,je peux cliquer dessus et suite aux dossiers créerdans l'active directory, je vais pouvoir retrouverautomatiquement tous les lecteurs réseaux del'entreprise.

/!\ Je n'oublie pas pour chaqueGPO de configurer le filtrage desécurité au groupe auquel le GPOprend effet.

Je répète la manipulation de création de GPO, ainsi que de configuration de "mappages lecteurs"dans chaques bâtiments, ainsi qu'un à la source de l'entreprise afin d'y mettre un partagecommun.

14/17


Killian 01/02/2016

Lorsque tous GPO de partages de lecteurs, et de bloquage du cmd sont ajoutés, cela ressemble àceci:

J'effectue un teste, sur l'administrateur 1 :

Les GPO de partage de lecteurs réseaux, sont fonctionnels.

15/17


Killian 01/02/2016

La dernière demande est de configure un ou des GPO qui va ou vont permettrent la restrictionde connexions des utilisateurs aux ordinateurs qui leurs sont affectés.

Il faut d'abord que je fasse une remise à niveau de mon active directory, je vais tout d'abordcréer de nouvelles unités d'organisation dans chaque bâtiments afin de créer un groupe pour lesordianteurs.

Lorsque que j'ai créer mon groupe, et que je veux ajouteur des ordinateurs dans ce groupe, il nefaut pas oublier de cliquer sur types d'objets, et de cocher, des ordinateurs.

Maintenant que chaques bâtiments, ont une unité d'organistion en plus avec un grouperéunissant les ordinateurs à l'intérieur, je vais pouvoir quitter les "rôles" et retourner dans les"fonctionnalités" afin d'y rajouter des GPO.

Je modifier ce GPO, je me rends dans "attributiondes droits utilisateur" qui se trouve dans"configuration ordinateur'".

Dans la liste de droite s'affiche l'option :

Je doule clique dessus, puis j'active cette option en cochant "définir ces paramètres destratégie".

Je vais maintenant pouvoir y attribuer à quel groupes d'utilisateurs ce GPO prendre effet.

Il est obligatoire que chacun de ces GPO (pour la restriciton de connexion) que lesadministrateurs y soient attribués, dans cet exemple que ce GPO s'appblie au bâtiment B1, c'estdonc le groupe comptabilité que j'ajoute.

Il ne reste plus qu'à configurer le filtrage de sécurité du GPO, ou cette fois-ci je ne met pas legroupe d'utilisateur comptabilité, mais le groupe d'ordinateur comptabilité. Je répète cettemanipulation pour chaque bâtiment et chaque groupe comme exigé.

16/17


Killian 01/02/2016

J'effectue maintenant un teste en étant connecté sur un PC de la comptabilité de me connecté àun utilisateur du bureau d'étude, et l'on peut voir que cela ne fonctionne pas, notre GPO estdonc opérationnel. Le cahier des charges est respecté.

17/17

tp windows serveur 2008 : administration d'un réseau d ... · tp windows serveur 2008 : ......

Documents