26 janv. 2016

[PTI - BTS IG] Active Directory et GPO




Nature de l'activité

Active Directory & GPO


Contexte : L’entreprise ALLCOM souhaiterait créer deux stratégies de groupe, l’une pour les employés de l’entreprise et l’autre pour les autres (prestataires, stagiaires, intérimaires). De plus elle envisagerait les créations d’utilisateurs de façon automatique.

Objectifs : En utilisant les stratégies de groupe (GPO), mettre en place des restrictions en fonction des utilisateurs (employé ou autre). Il faudra centraliser le répertoire des utilisateurs sur le serveur. De plus un script sera


Compétences mises en œuvre pour la réalisation de cette activité

C21
C22
C23
C31
C32
C36

Installer et configurer un microordinateur
Installer et configurer un réseau
Installer et configurer un dispositif de sécurité
Assurer les fonctions de base de l'administration d'un réseau
Assurer les fonctions de l'exploitation
Assurer la maintenance d'un poste de travail
Réalisation d’un script

Conditions de réalisations
Matériels :
-          2 ordinateurs :
o   Un serveur
o   Un client
Logiciels :
-          Windows XP Professionnel
-          Windows 2003 Server
-          Active Directory

Durée : 25 minutes

Description de l'activité réalisée
Situation initiale :
-          Serveur : Contrôleur de domaine Active Directory avec un serveur DNS installé sur Windows 2003 server faisant aussi serveur de fichier
-          Client : sous Windows XP, non relié au domaine Active directory
-          Ces deux derniers reliés en réseau
Situation finale :
-          Le client XP relié au domaine Active Directory
-          Stratégies mises en place en fonction du type d’utilisateur
-          Script de création proposé

I/ Présentation

1.1/ Existant



II/ Projet


Mettre en place une stratégie de groupe (GPO) pour faire en sorte que les employés de ALLCOM et les autres (l’ensemble des intérimaires, prestataires et stagiaires) aient deux stratégie de groupes distinctes comme décrit ci-après :

2.1/ Employés


-          Restrictions :
o   Forcer le menu démarrer Classique
o   interdire le panneau de configuration
-          Utilisateur test : Jean Dupont (login : jdupont)
-          Unité d’Organisation : emp
-          Redirection vers un répertoire personnel dans \\serveur\homes

2.2/ Intérimaires, prestataires et Stagiaires


-          Restrictions :
o   interdire le panneau de configuration
o   interdire l’invite de commande
o   cacher les disques locaux
o   interdire Microsoft Messenger
o   supprimer le gestionnaire des tâches
o   désactiver le verrouillage de l’ordinateur
-          Utilisateur test : Robert Martin (login : rmartin)
-          Unité d’Organisation : ips
-          Redirection vers un répertoire personnel situé dans \\serveur\homes

III/ Réalisation

3.1/ Configuration système et réseau


Tout d’abord nous vérifierons la configuration TCP/IP du serveur et du client
Serveur
Client
-          Adresse IP : 192.168.1.1
-          Masque : 255.255.255.0
-          DNS : 192.168.1.1
-          Nom Netbios: serveur
-          Nom du domaine : intra.local
-          Adresse IP : 192.168.1.2
-          Masque : 255.255.255.0
-          DNS : 192.168.1.1
-          Nom Netbios : client

Puis créer à la racine du serveur le répertoire : C:\homes partagé (Tout le monde : Contrôle total)

3.2/ Création des Unités d’Organisation (UO) et des utilisateurs :


Dans Active Directory, créer tout d’abord les utilisateurs :
-          Clique droit sur Users > Nouveau > Utilisateur
o   Créer Jean Dupont (login : jdupont)
o   Et Robert Martin (login : rmartin)

Créer ensuite l’Unité d’Organisation et la configurer :
-          Clique droit sur le contrôleur de domaine > Nouveau > Unité d’Organisation
-          Créer emp et ips
-          Déplacer jdupont dans emp
-          Déplacer rmartin dans ips

3.3/ Configurer la Stratégie de Groupe des UO :


Configurer l’Unité d’Organisation emp (EMPloyés) :

-          Clique droit > Propriétés > Stratégie de groupe
-          Nouveau > donner le nom gpoemp > Modifier
-          Forcer le menu démarrer classique:
o    Configuration utilisateur > Modèle d’administration > Menu Démarrer et Barre de tâche > Forcer le menu démarrer classique : Activer
-          Interdire le panneau de configuration :
o    Configuration utilisateur > Modèle d’administration > Panneau de configuration > Empêcher l’accès au Panneau de configuration : Activer

Configurer l’Unité d’Organisation ips (Intérimaires, Prestataires, Stagiaires) :

-          clique droit > Propriétés > Stratégie de groupe
-          Nouveau > donner le nom gpoips > Modifier
-          Interdire le panneau de configuration :
o    Configuration utilisateur > Modèle d’administration > Panneau de configuration > Empêcher l’accès au Panneau de configuration : Activer
-          Interdire l’invite de commande MS-DOS :
o    Configuration utilisateur > Modèle d’administration > Système > Désactiver l’accès à l’invite de commandes : Activer
-          Cacher les disques locaux
o    Configuration utilisateur > Modèles d’administration > Explorateur Windows > Empêcher l’accès aux lecteurs à partir du poste de travail : Activer (Restreindre les lecteurs A, B, C et D seulement)
-          Interdire Windows Messenger :
o    Configuration utilisateur > Modèle d’administration > Composants Windows > Windows Messenger > Ne pas autoriser l’exécution de Windows Messenger : Activer
-          Supprimer le gestionnaire des tâches
o    Configuration utilisateur > Modèle d’administration > Système > Option Ctrl+Alt+Suppr > Supprimer le gestionnaire des tâches : Activer
-          Désactiver le verrouillage de l’ordinateur
o    Configuration utilisateur > Modèle d’administration > Système > Option Ctrl+Alt+Suppr > Désactiver le verrouillage de l’ordinateur : Activer

IV/ Automatisation


Tout d’abord éditer un fichier user.txt et entrer les noms de comptes et leurs mots de passe délimité par ‘;’

pierre;Password01
paul;Password01
jacques;Password01

Il faudra que le script créé un répertoire C:\profil partagé à tout le monde (droit total), créé les utilisateurs en fonction du fichier user.txt en leur affectant le login et le mot de passe. Ces comptes devront être itinérant (création de leur répertoire personnel dans C:\profil\

cls
@echo off

cd c:\
if not exist c:\profil md c:\profil

net share profil /delete

net share profil=c:\profil

cacls profil /e /g "Tout le monde":F

for /f "tokens=1,2 delims=;" %%a in (C:\user.txt) do (
if not exist c:\profil\%%a md c:\profil\%%a
dsadd user "CN=%%a,OU=eleve,DC=toto,DC=local" -pwd %%b )



 

Aucun commentaire:

Enregistrer un commentaire