Nature de
l'activité
|
Active Directory & GPO
Contexte : L’entreprise ALLCOM
souhaiterait créer deux stratégies de groupe, l’une pour les employés de
l’entreprise et l’autre pour les autres (prestataires, stagiaires,
intérimaires). De plus elle envisagerait les créations d’utilisateurs de
façon automatique.
Objectifs : En utilisant les
stratégies de groupe (GPO), mettre en place des restrictions en fonction des
utilisateurs (employé ou autre). Il faudra centraliser le répertoire des
utilisateurs sur le serveur. De plus un script sera
|
Compétences
mises en œuvre pour la réalisation de cette activité
|
|
C21
C22
C23
C31
C32
C36
|
Installer
et configurer un microordinateur
Installer
et configurer un réseau
Installer
et configurer un dispositif de sécurité
Assurer
les fonctions de base de l'administration d'un réseau
Assurer
les fonctions de l'exploitation
Assurer
la maintenance d'un poste de travail
Réalisation
d’un script
|
Conditions
de réalisations
|
|
Matériels :
-
2
ordinateurs :
o
Un
serveur
o
Un
client
|
Logiciels :
-
Windows XP Professionnel
-
Windows 2003 Server
-
Active Directory
|
Durée : 25 minutes
|
|
Description de l'activité
réalisée
|
Situation initiale :
-
Serveur :
Contrôleur de domaine Active Directory avec un serveur DNS installé sur
Windows 2003 server faisant aussi serveur de fichier
-
Client :
sous Windows XP, non relié au domaine Active directory
-
Ces
deux derniers reliés en réseau
|
Situation finale :
-
Le
client XP relié au domaine Active Directory
-
Stratégies
mises en place en fonction du type d’utilisateur
-
Script
de création proposé
|
I/ Présentation
1.1/ Existant
II/ Projet
Mettre
en place une stratégie de groupe (GPO) pour faire en sorte que les employés de
ALLCOM et les autres (l’ensemble des intérimaires, prestataires et stagiaires)
aient deux stratégie de groupes distinctes comme décrit ci-après :
2.1/ Employés
-
Restrictions :
o
Forcer
le menu démarrer Classique
o
interdire
le panneau de configuration
-
Utilisateur
test : Jean Dupont (login : jdupont)
-
Unité
d’Organisation : emp
2.2/ Intérimaires, prestataires et Stagiaires
-
Restrictions :
o
interdire
le panneau de configuration
o
interdire
l’invite de commande
o
cacher
les disques locaux
o
interdire
Microsoft Messenger
o
supprimer
le gestionnaire des tâches
o
désactiver
le verrouillage de l’ordinateur
-
Utilisateur
test : Robert Martin (login : rmartin)
-
Unité
d’Organisation : ips
-
Redirection
vers un répertoire personnel situé dans \\serveur\homes
III/ Réalisation
3.1/ Configuration système et réseau
Tout
d’abord nous vérifierons la configuration TCP/IP du serveur et du client
Serveur
|
Client
|
-
Adresse
IP : 192.168.1.1
-
Masque :
255.255.255.0
-
DNS :
192.168.1.1
-
Nom Netbios:
serveur
-
Nom
du domaine : intra.local
|
-
Adresse
IP : 192.168.1.2
-
Masque :
255.255.255.0
-
DNS :
192.168.1.1
-
Nom
Netbios : client
|
Puis
créer à la racine du serveur le répertoire : C:\homes partagé (Tout le
monde : Contrôle total)
3.2/ Création des Unités d’Organisation (UO) et des utilisateurs :
Dans
Active Directory, créer tout d’abord les utilisateurs :
-
Clique
droit sur Users > Nouveau > Utilisateur
o
Créer
Jean Dupont (login : jdupont)
o
Et
Robert Martin (login : rmartin)
Créer
ensuite l’Unité d’Organisation et la configurer :
-
Clique
droit sur le contrôleur de domaine > Nouveau > Unité d’Organisation
-
Créer
emp et ips
-
Déplacer
jdupont dans emp
-
Déplacer
rmartin dans ips
3.3/ Configurer la Stratégie de Groupe des UO :
Configurer l’Unité
d’Organisation emp (EMPloyés) :
-
Clique
droit > Propriétés > Stratégie de groupe
-
Nouveau
> donner le nom gpoemp > Modifier
-
Forcer
le menu démarrer classique:
o
Configuration
utilisateur > Modèle d’administration > Menu Démarrer et Barre de
tâche > Forcer le menu démarrer classique : Activer
-
Interdire
le panneau de configuration :
o
Configuration
utilisateur > Modèle d’administration > Panneau de configuration >
Empêcher l’accès au Panneau de configuration : Activer
Configurer l’Unité
d’Organisation ips (Intérimaires, Prestataires,
Stagiaires) :
-
clique
droit > Propriétés > Stratégie de groupe
-
Nouveau
> donner le nom gpoips > Modifier
-
Interdire
le panneau de configuration :
o
Configuration
utilisateur > Modèle d’administration > Panneau de configuration >
Empêcher l’accès au Panneau de configuration : Activer
-
Interdire
l’invite de commande MS-DOS :
o
Configuration
utilisateur > Modèle d’administration > Système > Désactiver l’accès à
l’invite de commandes : Activer
-
Cacher
les disques locaux
o
Configuration
utilisateur > Modèles d’administration > Explorateur Windows > Empêcher
l’accès aux lecteurs à partir du poste de travail : Activer (Restreindre les lecteurs A, B, C et D
seulement)
-
Interdire
Windows Messenger :
o
Configuration
utilisateur > Modèle d’administration > Composants Windows > Windows
Messenger > Ne pas autoriser l’exécution de Windows Messenger : Activer
-
Supprimer
le gestionnaire des tâches
o
Configuration
utilisateur > Modèle d’administration > Système > Option
Ctrl+Alt+Suppr > Supprimer le gestionnaire des tâches : Activer
-
Désactiver
le verrouillage de l’ordinateur
o
Configuration
utilisateur > Modèle d’administration > Système > Option
Ctrl+Alt+Suppr > Désactiver le verrouillage de l’ordinateur : Activer
IV/ Automatisation
Tout
d’abord éditer un fichier user.txt et entrer les noms de comptes et leurs mots
de passe délimité par ‘;’
pierre;Password01
paul;Password01
jacques;Password01
|
Il
faudra que le script créé un répertoire C:\profil partagé à tout le monde
(droit total), créé les utilisateurs en fonction du fichier user.txt en leur
affectant le login et le mot de passe. Ces comptes devront être itinérant
(création de leur répertoire personnel dans C:\profil\
cls
@echo off
cd c:\
if not exist c:\profil md c:\profil
net share profil /delete
net share profil=c:\profil
cacls
profil /e /g "Tout le monde":F
for /f "tokens=1,2 delims=;" %%a in
(C:\user.txt) do (
if not exist c:\profil\%%a md c:\profil\%%a
dsadd user
"CN=%%a,OU=eleve,DC=toto,DC=local" -pwd %%b )
|
Aucun commentaire:
Enregistrer un commentaire