GPO

Les stratégies de groupe ou GPO servent à administrer beaucoup plus simplement les utilisateurs et ordinateurs présent dans l’Active Directory.

Elles permettent d’attribuer des tâches exécutées automatiquement au démarrage de la session de l’utilisateur ou de l’ordinateur. Elles ont l’avantage d’être totalement transparente pour l’utilisateur, cela peut permettre, par exemple, de connecter les lecteurs réseau pour un utilisateur à chaque connexion. Sans cela le service informatique serait contraint de faire un paramétrage sur chaque poste pour tout paramétrer.

Il est important de souligné que les GPO peuvent se mettre à jour uniquement si l’ordinateur est connecter au réseau de l’entreprise, sans cela il gardera les dernières GPO qu’il a reçu quand il était sur le réseau.

Les GPO s’appliquent aux unités d’organisation (OU), il faut donc organiser les utilisateurs et ordinateurs dans l’AD en fonction des GPO que l’on veut appliquer.

Pour répondre aux attentes dans l’entreprise nous avons décidé de créer plusieurs GPO :

- Security-Policy : Cette GPO est appliqué à l’ensemble de nos utilisateurs. Elle correspond essentiellement à des obligations en termes de sécurité de mot de passe. Elle permet aussi de protéger contre l’ouverture de périphériques amovible et le changement d’heure.

- ‘Service’-Policy : Ces GPO sont légèrement différentes selon les services, elles permettent d’attribuer un certain nombre de paramètres tels que l’imprimante principale du service, ou encore le mappage automatique d’un lecteur réseau dédié au service présent dans la DFS.

Il y a autant de variantes de cette GPO que de services.

- CommonPrint : Cette GPO n’est là que pour connecter l’imprimante commune à l’entreprise

- Remote-Policy : Cette GPO s’applique à l’intégralité des postes utilisateurs (hors SI) et permet d’installer l’applicatif TightVNC qui nous servira d’outils de prise en main.

5.4 Tolérance aux pannes

Concernant la tolérance aux pannes nous avons préféré choisir une solution nous assurant une continuité de service en toutes circonstances.

Tout d’abord sur les machines physiques nous allons faire un RAID 5 nous permettant d’avoir une tolérance de panne sur un disque défaillant.

De plus si le système d’exploitation de la machine virtuelle principale nous fait défaut nous avons pour les services les plus indispensable une réplication sur une autre machine virtuelle héberger sur la deuxième machine physique. Les services concernés par cette mesure sont : l’Active Directory, le DFS hébergeant le serveur de fichier, le DHCP, DNS.

5.5 Gestion des couts

Pour ce projet nous avons besoin de matériel et de licence, notamment deux serveurs physique, baie de disque, les disques, les licences Windows server pour chaque machine virtuelle sous Windows.

Dans notre cas le serveur comprend 10 baies de stockage interne.

Pour la tolérance de panne il nous faut un groupe électrogène nous permettant d’alimenter les serveurs. Nous allons utiliser la licence gratuite Hypervisor de VMWare.

Produit Qte Prix en € Prix Total

Seagate Ironwolf SSD 1To 16 72 € 1 152 €

Licence Windows server 2019 5 972 € 4 860 €

Serveur dell rack: R440 2 2 422,80 € 4 845,60 €

Groupe éléctrogene 5000w RONDY 1 500 € 500 €

Somme= 11 358 €

6.0 Application Web

Afin de répondre au cahier des charges nous avons besoin de crée une page web lié à une base de données, la page devra être consultable par les utilisateurs et modifiable uniquement par les administrateurs.

La base de données contiendra tous les utilisateurs ainsi que leurs matériels informatiques.

Pour avoir accès à cette base de données il faudra se connecter via la page de connexion ci-dessous :

Un mot de passe unique sera communiqué aux utilisateurs lors de la mise en place du site pour leurs en permettre l’accès.

La base de données nous permettra d’avoir un suivi du matériel informatique, et dans le cas d’un dépannage, pouvoir connaitre le nom de la machine à distance.

Le site WEB se repose sur des technologies tel que : php, html, css. Pour la base de données nous avons choisi d’utilisé MySQL.

7.0 Annexes

7.1 Procédures

7.1.1 Ajout Rôle Serveur

7.1.1 La Sauvegarde

7.1.2 DFS

7.1.3 NFS

Partie Serveur :

Mise à jour : apt-get update

Installation du service NFS :

apt-get install nfs-kernel-server nfs-common

Création du dossier à partager : mkdir /home/NFS

Configuration du partage : nano /etc/exports

Commande à remplir dans le nano :

/NFS/ Client-NFS(rw,all_squash,sync) Partie Client :

Instalation du service NFS : apt-get install nfs-common

Création du point de montage : mkdir /home/user/partage

7.1.4 FTP

Exécuter dans l’ordre les commandes linux suivantes depuis un compte su (ou les précédés de sudo), les mots commençant par un $ sont les endroits où il faut remplacer le mot qui suis par un mot correspondant à notre situation :

Apt-get update

Apt-get install proftpd Addgroup $ftpgroup

#On ajoute un user $ftptest pour tester plus tard

adduser $ftptest -shell /bin/false -ingroup ftpgroup -home /ftpshare nano /etc/proftpd/proftpd.conf

DefaultRoot ~ #Ceci correspond au partage FTP pas défaut des utilisateurs

<Limit LOGIN>

DenyGroup !$ftpgroup #Ceci autorise l’accès au groupe $ftpgroup

</Limit>

service proftpd restart

7.1.5 Jonction au domaine Windows:

Linux:

apt install krb5-user realmd adcli sssd sssd-tools samba-common samba-libs resolvconf samba-common-bin packagekit

#Appuyer directement sur Entrée lorsque le serveur demande le realm nano /etc/pam.d/commun session

Ajouter la ligne :

session optional pam_mkhomedir.so skel=/etc/skel umask=077

nano /etc/sssd/sssd.conf

Entrer le mot de passe Administrateur du domaine nano /etc/krb5.conf

Modifier le fichier pour obtenir :

nano /etc/sssd/sssd.conf

Modifier le fichier pour obtenir :

id $DOMAINE\\Administrateur

Si le serveur retourne quelque chose de ce style, c’est gagné !

su - DOMAINE\\$DomainUser

Si on obtient ceci s’est terminé

7.1.6 Active Directory

7.1.7 DNS

7.1.8 DHCP

Faire un clic droit sur IPV4

7.1.9 Service Web

7.1.10 Modèle d’attribution des GPOs