Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Active Directory sous 2008 R2

Le livre de rfrence de ce chapitre est Windows Server 2008 Installation, configuration, gestion et dpannage des ditions ENI,
disponible sur eGreta.
Le site de rfrence pour vos recherches sur les technologies Microsoft se
trouve ici : http://technet.microsoft.com/fr-fr/library/

Table des matires

Active Directory sous Windows 2008...................................................................................1
I- Prsentation d'Active Directory :...................................................................................2
II- Installation et configuration de base :.........................................................................3
Avant de commencer.....................................................................................................3
Installation....................................................................................................................... 3
III- Gestion des utilisateurs et ordinateurs.......................................................................3
Units organisationnelles..............................................................................................3
Groupes............................................................................................................................ 3
Utilisateurs :.....................................................................................................................4
Intgration d'un client dans un domaine :..................................................................4
Profils utilisateur :...........................................................................................................4
V- Stratgies de groupes....................................................................................................5
Cration des GPO :.........................................................................................................5
Liaison des stratgies de groupe :...............................................................................5
Application des stratgies de groupe :........................................................................6
Un premier cas :..............................................................................................................6
Vrification et sauvegarde :...........................................................................................6
Stratgies complexes :...................................................................................................6
GPO Starters :..................................................................................................................7
Aller plus loin avec AD :......................................................................................................7
Scripts de dmarrage :...................................................................................................7
Dploiement de logiciels :..............................................................................................7
Cration de fichiers MSI pour le dploiement :..........................................................8
VI- Architectures Active Directory.....................................................................................9
Redondance de contrleurs..........................................................................................9
Domaine et sous-domaines..........................................................................................9
Forts..............................................................................................................................10

Dernires modifications le 28/01/13

Page 1

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

I- Prsentation d'Active Directory :

L'objectif principal d'Active Directory est de fournir des services centraliss
d'identification et d'authentification un rseau d'ordinateurs utilisant le systme
Windows.
Il permet galement l'attribution et l'application de stratgies, la distribution de
logiciels, et l'installation de mises jour critiques par les administrateurs.
Active Directory rpertorie les lments d'un rseau administr tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les
imprimantes, etc.
Depuis quelle version de Windows Server, existe A.D. ?

Qu'est ce qu'un contrleur de domaine ?

Quels sont les protocoles utiliss par l'annuaire Active Directory ?

Quels sont les mthodes d'authentification possibles Active Directory ?

Active Directory introduit les notions de domaine, fort, arborescence.

Dfinissez ces termes :

Dernires modifications le 28/01/13

Page 2

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

II- Installation et configuration de base :

Avant de commencer

Pensez donner un nom Windows facile retenir pour votre serveur : serveurXX
Votre serveur doit avoir une adresse IP fixe : 192.168.X.Y ( demander au
formateur)

Installation

L'installation de Active Directory se fait ...

en ajoutant le rle Service de Domaine Active Directory
puis avec la commande suivante :
dcpromo

Cocher l'installation en mode avanc.

Domaine dans une nouvelle fort
Le domaine sera votreville.local
Nom NetBios : VOTREVILLE
Niveau fonctionnel : Windows 2008
Les autres options seront laisses par dfaut.

III- Gestion des utilisateurs et ordinateurs

Units organisationnelles
Qu'est ce qu'une unit organisationnelle (U.O.) ?

Quelle est la diffrence entre une U.O. et un groupe (dans quels cas utilise-t-on
l'un et l'autre) ?

Dernires modifications le 28/01/13

Page 3

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Crez les trois U.O suivantes :

Comptabilit
Secrtariat
Informatique

Groupes
Pour comprendre le principe des groupes sous Windows 2008, vous pouvez lire
cet article : http://www.alexwinner.com/articles/win2008/9-groupead.html
Active Directory est un annuaire rfrenant notamment les utilisateurs et les
groupes d'une entreprise. Tous les utilisateurs et groupes existant sous Windows
avant l'installation d'AD ont t copis dans AD.

Dans l'U.O. Comptabilit, crez le groupe assistants et le groupe chefs

comptables.
Dans l'U.O. Secrtariat, crez le groupe accueil et le groupe assistantes de
direction.
Dans l'U.O. Informatique, crez le groupe dveloppeurs et le groupe
techniciens rseau.

Utilisateurs :
Chaque utilisateur devra pouvoir se connecter par le login suivant :
Premire lettre du prnom, nom complet, par exemple Sam Secrt devra taper :
ssecrt
Le mot de passe sera Azerty77
Les utilisateurs ne pourront pas changer de mot de passe.

Sam Secrt et Will Tariat seront ajouts l'U.O Secrtariat et dans le

groupe Accueil.
Julie Assist et Rose Directi seront ajouts l'U.O Secrtariat et dans le
groupe Assistantes de direction.
Jean Develo et Joseph Peur seront ajouts l'U.O Informatique et dans le
groupe Dveloppeurs.
Lucien Tec et Arthur Nicien seront ajouts l'U.O Informatique et dans le
groupe Techniciens rseau.
Yves Comp et Franois Table seront ajouts l'U.O Comptabilit et dans
le groupe chefs comptables.
Mathieu Assis et Fabien Tant seront ajouts l'U.O Comptabilit et dans
le groupe assistants.

Dernires modifications le 28/01/13

Page 4

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Intgration d'un client dans un domaine :

Avec votre client XP ou Seven, intgrez votre domaine (clic droit > proprits
sur le poste de travail, onglet nom de l'ordinateur).
Indiquez un nom d'utilisateur du groupe Secrtariat pour vous connecter.

Profils utilisateur :
Faites en sorte que les utilisateurs du groupe accueil ne puissent se connecter
que de 8h 18h.
Imposez l'utilisateur de se connecter uniquement sur l'ordinateur client que
vous venez d'intgrer.
Faites en sorte que l'utilisateur Sam Secrt ait un lecteur rseau personnel
nomm P: qui pointe vers le partage \\Serveur\Sam
Dfinissez le terme profil itinrant :

Quels sont les avantages et inconvnients des profils itinrants ?

Mettez en place un profil itinrant pour l'utilisateur Sam Secrt.

Faites en sorte que l'utilisateur Sam Secrt soit administrateur de son poste
(et non pas du domaine). Quelle est la diffrence entre les deux ?

Dernires modifications le 28/01/13

Page 5

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

V- Stratgies de groupes
Trouvez une dfinition des stratgies de groupes Windows ou (GPO : Group
Policy Object) :

Les trois phases de la cration d'une GPO sont les suivantes :

Cration de la GPO
Liaison de la GPO
Application de la GPO

Cration des GPO :

La console gpedit.msc ( lancer depuis Dmarrer > Excuter) permet d'diter
individuellement les stratgies de groupes locales. Cette console existe pour tous
les Windows y compris les versions clientes.
La console gpmc.msc ( lancer depuis Dmarrer > Excuter) permet une
gestion centralise des GPO dans Active Directory. On peut aussi la trouver dans le
menu Outils d'administration > Gestion des stratgies de groupe .

Liaison des stratgies de groupe :

Aprs avoir cr une stratgie de groupe, elle doit tre lie un site Active
Directory, un domaine ou une UO.
Attention, les objets enfants d'Active Directory hritent des objets
parents ! Un utilisateur peut donc se voir appliquer plusieurs GPO.

Forcer l'application des stratgies de groupe :

Le client de stratgie de groupe du poste rcupre la configuration (par dfaut
au bout de 60 120 minutes) qui est applicable lordinateur et/ou lutilisateur
connect.

Dernires modifications le 28/01/13

Page 6

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Pour forcer l'application des GPO, vous pouvez utiliser la commande :

gpupdate /force

Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la

commande :
gpresult /h rapport.htm

Activ / Appliqu :
Une stratgie de groupe est par dfaut toujours active ds sa cration. Cela
signifie qu'elle fonctionne.
Le fait de l'appliquer permet de forcer cette stratgie s'appliquer mme si une
stratgie enfant vient s'y opposer.

Un premier cas :
Mettre en place les stratgies de groupe suivantes :
Tout le domaine :
Interdire aux utilisateurs de partager des fichiers de leur profil.
Permettre l'utilisation du bureau distance sur n'importe quelle machine.
Permettre l'utilisation de mots de passe simples (minimum 5 caractres).
Service Secrtariat :
Dsactiver l'assistant de connexion Internet d'Internet Explorer.
Interdire la modification des paramtres de proxy d'Internet Explorer.
Service Comptabilit sauf les chefs comptables :
Masquer le lecteur D:
Interdire le clic droit > grer sur l'icne de l'ordinateur.
Service Informatique :
Supprimer l'onglet scurit de l'explorateur Windows.
Interdire l'accs l'invite de commandes.

Dernires modifications le 28/01/13

Page 7

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Vrification et sauvegarde :
Forcez la mise jour des GPO (commande gpupdate).
Vrifiez que les stratgies s'appliquent bien aux utilisateurs des diffrentes
units d'organisation.
Si les GPO ont bien fonctionn, dans la partie Objets de stratgies de groupes,
sauvegardez toutes les GPO sur votre Bureau.

Stratgies complexes :
Crer une nouvelle U.O. nomme production avec deux utilisateurs
l'intrieur.
Cette U.O. concerne des ordinateurs installs dans un contexte de production
(commandant des automates ou aidant les techniciens). Ils doivent tre restreints
au maximum :
Les utilisateurs de cette unit d'organisation ne doivent pas pouvoir faire autre
chose que d'utiliser le logiciel spcifique (considrons que ce logiciel est Word pour
l'exemple).
Pour aller plus loin sur les GPO vous pouvez lire le livre Les stratgies de
groupe (GPO) - sous Windows Server 2008 des ditions ENI, disponible sur
eGreta.

GPO Starters :
Les GPO starters sont des modles de GPO. On peut par la suite crer une GPO
en partant de ce modle, ce qui simplifie l'administration des stratgies de groupes.

Dernires modifications le 28/01/13

Page 8

Nicolas Dewaele

AD sous Windows 2008 R2

nico@adminrezo.fr
http://adminrezo.fr

Aller plus loin avec AD :

Scripts de dmarrage :

Crez un script Batch pour les comptables permettant :

de mettre l'heure les ordinateurs clients.
La commande permettant de grer l'heure sur Windows est :
..............................................................................................................

de mapper un lecteur z: qui permette d'accder

\\serveur\compta qui soit accessible en lecture et criture.
La commande permettant d'utiliser un partage rseaux est :

au

partage

..............................................................................................................
Intgrez ce script dans une GPO qui s'appliquera l'unit d'organisation
Comptabilit.
Appliquez la GPO et vrifiez son fonctionnement.

Dploiement de logiciels publi ou attribu :

La publication de logiciel permet l'utilisateur de retrouver ce logiciel prt
tre install dans l'ajout/suppression de programmes.
L'attribution ou l'assignation permettent d'installer directement le logiciel au
dmarrage de l'ordinateur.
Dans la majorit des cas, le dploiement s'applique l'utilisateur.
Tlchargez le logiciel MBSA depuis le site Web de Microsoft :
http://www.microsoft.com/en-us/download/details.aspx?id=7558
Dployez MBSA sur tous les postes de votre domaine.

Dernires modifications le 28/01/13

Page 9

Nicolas Dewaele
nico@adminrezo.fr
http://adminrezo.fr

AD sous Windows 2008 R2

VI- Architectures Active Directory

Avant de commencer chaque partie, vous devrez supprimer
votre ancien AD avec la commande dcpromo.

Redondance de contrleurs
Ce travail est effectuer par groupe de 2
serveurs.
Installez deux contrleurs de domaine
pour un seul domaine dans le but de tolrer la
panne de l'un d'entre eux.

votreville.local

Le premier serveur sera le contrleur

\\serveur1\sysvol
principal du domaine votreville.local. Le
second sera le contrleur secondaire du mme domaine.

\\serveur2\sysvol

Configurez ces deux contrleurs.

Vrifiez que les informations du serveur principal sont bien recopies sur le
secondaire (comptes utilisateurs, groupes, ordinateurs, U.O, ).
Tous les combien de temps a lieu la synchronisation des donnes ? .....................
Quel protocole permet cela ? .......................
Connectez vos clients au domaine. Dbranchez le cble du serveur principal
pour simuler une panne, puis redmarrez votre client Windows pour voir si il arrive
toujours se connecter malgr la panne.

Domaine et sous-domaines
Ce travail est effectuer par groupe
de 2 ou 3 serveurs.

booktic.local

Le serveur du formateur reprsente le

sige social de l'entreprise booktic.
Les autres serveurs reprsentent des
agences de l'entreprise situes dans les
autres villes.
torcy.booktic.local

Dernires modifications le 28/01/13

lognes.booktic.local

Page 10

Nicolas Dewaele
nico@adminrezo.fr
http://adminrezo.fr

AD sous Windows 2008 R2

Chaque site de l'entreprise doit crer:

Une U.O.
Dans cette U.O. un groupe
Dans cette U.O. et appartenant au groupe, trois utilisateurs.

Lors de sminaires, il arrive que les nouveau utilisateurs aient utiliser des
ordinateurs d'une ville autre que leur ville d'attache.
Faites en sorte que les employs puissent se connecter depuis n'importe quel
site.

Forts
Ce
travail
est

effectuer par groupe de 3

ou 4 machines.

booktic.local

greta.local

Les socits booktic et

Greta
viennent
de
fusionner.
Le
serveur
du
formateur doit reprsenter
le
sige
social
de
l'entreprise booktic.

torcy.booktic.local

lognes.greta.local

L'un des serveurs doit reprsenter le sige social de l'entreprise Greta.

Les autres serveurs reprsentent des agences de ces entreprises situes dans
diffrentes villes.

Chaque site de l'entreprise doit crer:

Une U.O. Service Communication
Dans cette U.O. un groupe publication
Dans cette U.O. et appartenant au groupe publication, trois utilisateurs.

Lors de sminaires, il arrive que les nouveau utilisateurs aient utiliser des
ordinateurs d'une ville et d'une socit autre que leur site d'attache.
Faites en sorte que les employs puissent se connecter depuis n'importe quel
site.

Dernires modifications le 28/01/13

Page 11