Nicolas Dewaele

nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Active Directory sous 2008 R2

Le livre de rfrence de ce chapitre est Windows Server 2008 -

Installation, configuration, gestion et dpannage des ditions ENI,
disponible sur eGreta.

Le site de rfrence pour vos recherches sur les technologies Microsoft se

trouve ici : http://technet.microsoft.com/fr-fr/library/

Table des matires

Active Directory sous Windows 2008...................................................................................1
I- Prsentation d'Active Directory :...................................................................................2
II- Installation et configuration de base :.........................................................................3
Avant de commencer.....................................................................................................3
Installation....................................................................................................................... 3
III- Gestion des utilisateurs et ordinateurs.......................................................................3
Units organisationnelles..............................................................................................3
Groupes............................................................................................................................ 3
Utilisateurs :.....................................................................................................................4
Intgration d'un client dans un domaine :..................................................................4
Profils utilisateur :...........................................................................................................4
V- Stratgies de groupes....................................................................................................5
Cration des GPO :.........................................................................................................5
Liaison des stratgies de groupe :...............................................................................5
Application des stratgies de groupe :........................................................................6
Un premier cas :..............................................................................................................6
Vrification et sauvegarde :...........................................................................................6
Stratgies complexes :...................................................................................................6
GPO Starters :..................................................................................................................7
Aller plus loin avec AD :......................................................................................................7
Scripts de dmarrage :...................................................................................................7
Dploiement de logiciels :..............................................................................................7
Cration de fichiers MSI pour le dploiement :..........................................................8
VI- Architectures Active Directory.....................................................................................9
Redondance de contrleurs..........................................................................................9
Domaine et sous-domaines..........................................................................................9
Forts..............................................................................................................................10

Dernires modifications le 28/01/13 Page 1

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

I- Prsentation d'Active Directory :

L'objectif principal d'Active Directory est de fournir des services centraliss

d'identification et d'authentification un rseau d'ordinateurs utilisant le systme
Windows.
Il permet galement l'attribution et l'application de stratgies, la distribution de
logiciels, et l'installation de mises jour critiques par les administrateurs.
Active Directory rpertorie les lments d'un rseau administr tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les
imprimantes, etc.

Depuis quelle version de Windows Server, existe A.D. ?

Qu'est ce qu'un contrleur de domaine ?

Quels sont les protocoles utiliss par l'annuaire Active Directory ?

Quels sont les mthodes d'authentification possibles Active Directory ?

Active Directory introduit les notions de domaine, fort, arborescence.

Dfinissez ces termes :

Dernires modifications le 28/01/13 Page 2

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

II- Installation et configuration de base :

Avant de commencer

Pensez donner un nom Windows facile retenir pour votre serveur : serveur-
XX
Votre serveur doit avoir une adresse IP fixe : 192.168.X.Y ( demander au
formateur)

Installation

L'installation de Active Directory se fait ...

en ajoutant le rle Service de Domaine Active Directory
puis avec la commande suivante :
dcpromo

Cocher l'installation en mode avanc.

Domaine dans une nouvelle fort
Le domaine sera votreville.local
Nom NetBios : VOTREVILLE
Niveau fonctionnel : Windows 2008
Les autres options seront laisses par dfaut.

III- Gestion des utilisateurs et ordinateurs

Units organisationnelles

Qu'est ce qu'une unit organisationnelle (U.O.) ?

Quelle est la diffrence entre une U.O. et un groupe (dans quels cas utilise-t-on
l'un et l'autre) ?

Dernires modifications le 28/01/13 Page 3

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Crez les trois U.O suivantes :

Comptabilit
Secrtariat
Informatique

Groupes

Pour comprendre le principe des groupes sous Windows 2008, vous pouvez lire
cet article : http://www.alexwinner.com/articles/win2008/9-groupead.html
Active Directory est un annuaire rfrenant notamment les utilisateurs et les
groupes d'une entreprise. Tous les utilisateurs et groupes existant sous Windows
avant l'installation d'AD ont t copis dans AD.

Dans l'U.O. Comptabilit, crez le groupe assistants et le groupe chefs

comptables.
Dans l'U.O. Secrtariat, crez le groupe accueil et le groupe assistantes de
direction.
Dans l'U.O. Informatique, crez le groupe dveloppeurs et le groupe
techniciens rseau.

Utilisateurs :

Chaque utilisateur devra pouvoir se connecter par le login suivant :

Premire lettre du prnom, nom complet, par exemple Sam Secrt devra taper :
ssecrt
Le mot de passe sera Azerty77
Les utilisateurs ne pourront pas changer de mot de passe.

Sam Secrt et Will Tariat seront ajouts l'U.O Secrtariat et dans le

groupe Accueil.
Julie Assist et Rose Directi seront ajouts l'U.O Secrtariat et dans le
groupe Assistantes de direction.
Jean Develo et Joseph Peur seront ajouts l'U.O Informatique et dans le
groupe Dveloppeurs.
Lucien Tec et Arthur Nicien seront ajouts l'U.O Informatique et dans le
groupe Techniciens rseau.
Yves Comp et Franois Table seront ajouts l'U.O Comptabilit et dans
le groupe chefs comptables.
Mathieu Assis et Fabien Tant seront ajouts l'U.O Comptabilit et dans
le groupe assistants.

Dernires modifications le 28/01/13 Page 4

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Intgration d'un client dans un domaine :

Avec votre client XP ou Seven, intgrez votre domaine (clic droit > proprits
sur le poste de travail, onglet nom de l'ordinateur).
Indiquez un nom d'utilisateur du groupe Secrtariat pour vous connecter.

Profils utilisateur :

Faites en sorte que les utilisateurs du groupe accueil ne puissent se connecter

que de 8h 18h.

Imposez l'utilisateur de se connecter uniquement sur l'ordinateur client que

vous venez d'intgrer.

Faites en sorte que l'utilisateur Sam Secrt ait un lecteur rseau personnel
nomm P: qui pointe vers le partage \\Serveur\Sam

Dfinissez le terme profil itinrant :

Quels sont les avantages et inconvnients des profils itinrants ?

Mettez en place un profil itinrant pour l'utilisateur Sam Secrt.

Faites en sorte que l'utilisateur Sam Secrt soit administrateur de son poste
(et non pas du domaine). Quelle est la diffrence entre les deux ?

Dernires modifications le 28/01/13 Page 5

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

V- Stratgies de groupes

Trouvez une dfinition des stratgies de groupes Windows ou (GPO : Group

Policy Object) :

Les trois phases de la cration d'une GPO sont les suivantes :

Cration de la GPO
Liaison de la GPO
Application de la GPO

Cration des GPO :

La console gpedit.msc ( lancer depuis Dmarrer > Excuter) permet d'diter

individuellement les stratgies de groupes locales. Cette console existe pour tous
les Windows y compris les versions clientes.

La console gpmc.msc ( lancer depuis Dmarrer > Excuter) permet une

gestion centralise des GPO dans Active Directory. On peut aussi la trouver dans le
menu Outils d'administration > Gestion des stratgies de groupe .

Liaison des stratgies de groupe :

Aprs avoir cr une stratgie de groupe, elle doit tre lie un site Active
Directory, un domaine ou une UO.

Attention, les objets enfants d'Active Directory hritent des objets

parents ! Un utilisateur peut donc se voir appliquer plusieurs GPO.

Forcer l'application des stratgies de groupe :

Le client de stratgie de groupe du poste rcupre la configuration (par dfaut

au bout de 60 120 minutes) qui est applicable lordinateur et/ou lutilisateur
connect.

Dernires modifications le 28/01/13 Page 6

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Pour forcer l'application des GPO, vous pouvez utiliser la commande :

gpupdate /force

Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la

commande :
gpresult /h rapport.htm

Activ / Appliqu :

Une stratgie de groupe est par dfaut toujours active ds sa cration. Cela
signifie qu'elle fonctionne.

Le fait de l'appliquer permet de forcer cette stratgie s'appliquer mme si une

stratgie enfant vient s'y opposer.

Un premier cas :

Mettre en place les stratgies de groupe suivantes :

Tout le domaine :
Interdire aux utilisateurs de partager des fichiers de leur profil.
Permettre l'utilisation du bureau distance sur n'importe quelle machine.
Permettre l'utilisation de mots de passe simples (minimum 5 caractres).

Service Secrtariat :
Dsactiver l'assistant de connexion Internet d'Internet Explorer.
Interdire la modification des paramtres de proxy d'Internet Explorer.

Service Comptabilit sauf les chefs comptables :

Masquer le lecteur D:
Interdire le clic droit > grer sur l'icne de l'ordinateur.

Service Informatique :
Supprimer l'onglet scurit de l'explorateur Windows.
Interdire l'accs l'invite de commandes.

Dernires modifications le 28/01/13 Page 7

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Vrification et sauvegarde :

Forcez la mise jour des GPO (commande gpupdate).

Vrifiez que les stratgies s'appliquent bien aux utilisateurs des diffrentes
units d'organisation.

Si les GPO ont bien fonctionn, dans la partie Objets de stratgies de groupes,
sauvegardez toutes les GPO sur votre Bureau.

Stratgies complexes :

Crer une nouvelle U.O. nomme production avec deux utilisateurs

l'intrieur.
Cette U.O. concerne des ordinateurs installs dans un contexte de production
(commandant des automates ou aidant les techniciens). Ils doivent tre restreints
au maximum :
Les utilisateurs de cette unit d'organisation ne doivent pas pouvoir faire autre
chose que d'utiliser le logiciel spcifique (considrons que ce logiciel est Word pour
l'exemple).
Pour aller plus loin sur les GPO vous pouvez lire le livre Les stratgies de
groupe (GPO) - sous Windows Server 2008 des ditions ENI, disponible sur
eGreta.

GPO Starters :

Les GPO starters sont des modles de GPO. On peut par la suite crer une GPO
en partant de ce modle, ce qui simplifie l'administration des stratgies de groupes.

Dernires modifications le 28/01/13 Page 8

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Aller plus loin avec AD :

Scripts de dmarrage :

Crez un script Batch pour les comptables permettant :

de mettre l'heure les ordinateurs clients.
La commande permettant de grer l'heure sur Windows est :

..............................................................................................................

de mapper un lecteur z: qui permette d'accder au partage

\\serveur\compta qui soit accessible en lecture et criture.
La commande permettant d'utiliser un partage rseaux est :

..............................................................................................................

Intgrez ce script dans une GPO qui s'appliquera l'unit d'organisation

Comptabilit.

Appliquez la GPO et vrifiez son fonctionnement.

Dploiement de logiciels publi ou attribu :

La publication de logiciel permet l'utilisateur de retrouver ce logiciel prt

tre install dans l'ajout/suppression de programmes.
L'attribution ou l'assignation permettent d'installer directement le logiciel au
dmarrage de l'ordinateur.
Dans la majorit des cas, le dploiement s'applique l'utilisateur.

Tlchargez le logiciel MBSA depuis le site Web de Microsoft :

http://www.microsoft.com/en-us/download/details.aspx?id=7558

Dployez MBSA sur tous les postes de votre domaine.

Dernires modifications le 28/01/13 Page 9

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

VI- Architectures Active Directory

Avant de commencer chaque partie, vous devrez supprimer

votre ancien AD avec la commande dcpromo.

Redondance de contrleurs

Ce travail est effectuer par groupe de 2

serveurs. votreville.local
Installez deux contrleurs de domaine
pour un seul domaine dans le but de tolrer la
panne de l'un d'entre eux.

Le premier serveur sera le contrleur

\\serveur1\sysvol \\serveur2\sysvol
principal du domaine votreville.local. Le
second sera le contrleur secondaire du mme domaine.

Configurez ces deux contrleurs.

Vrifiez que les informations du serveur principal sont bien recopies sur le
secondaire (comptes utilisateurs, groupes, ordinateurs, U.O, ).

Tous les combien de temps a lieu la synchronisation des donnes ? .....................

Quel protocole permet cela ? .......................

Connectez vos clients au domaine. Dbranchez le cble du serveur principal

pour simuler une panne, puis redmarrez votre client Windows pour voir si il arrive
toujours se connecter malgr la panne.

Domaine et sous-domaines

Ce travail est effectuer par groupe

booktic.local
de 2 ou 3 serveurs.

Le serveur du formateur reprsente le

sige social de l'entreprise booktic.

Les autres serveurs reprsentent des

agences de l'entreprise situes dans les
autres villes.

torcy.booktic.local lognes.booktic.local

Dernires modifications le 28/01/13 Page 10

 Nicolas Dewaele
nico@adminrezo.fr
AD sous Windows 2008 R2 http://adminrezo.fr

Chaque site de l'entreprise doit crer:

Une U.O.
Dans cette U.O. un groupe
Dans cette U.O. et appartenant au groupe, trois utilisateurs.

Lors de sminaires, il arrive que les nouveau utilisateurs aient utiliser des
ordinateurs d'une ville autre que leur ville d'attache.
Faites en sorte que les employs puissent se connecter depuis n'importe quel
site.

Forts

Ce travail est
booktic.local greta.local
effectuer par groupe de 3
ou 4 machines.

Les socits booktic et

Greta viennent de
fusionner.

Le serveur du
formateur doit reprsenter
le sige social de torcy.booktic.local lognes.greta.local
l'entreprise booktic.

L'un des serveurs doit reprsenter le sige social de l'entreprise Greta.

Les autres serveurs reprsentent des agences de ces entreprises situes dans
diffrentes villes.

Chaque site de l'entreprise doit crer:

Une U.O. Service Communication
Dans cette U.O. un groupe publication
Dans cette U.O. et appartenant au groupe publication, trois utilisateurs.

Lors de sminaires, il arrive que les nouveau utilisateurs aient utiliser des
ordinateurs d'une ville et d'une socit autre que leur site d'attache.

Faites en sorte que les employs puissent se connecter depuis n'importe quel
site.

Dernires modifications le 28/01/13 Page 11