Active Directory
Profils des utilisateurs, sécurité et stratégie de groupe (GPO)
Création des profils utilisateurs (contexte Ste Puzzle) Ajout du rôle de serveur « service de fichiers DFS » Paramétrage des serveurs NAS
Création des dossiers (NAS et DFS) GPO lecteurs réseaux
BTS
SIO
Sommaire
Le contexte ... 2
Les besoins ... 3
L’infrastructure ... 4
Création des unités d’organisation et utilisateurs plus redirection ... 5
Ajout du service de fichier (DFS) ... 7
Quel est le rôle du système de fichiers DFS ?... 7
À qui cette fonctionnalité s’adresse-t-elle ? ... 7
Paramétrage du serveur NAS ... 13
Les GPO... 16
Le contexte
La société Puzzle, disposée sur deux sites (Brest et Rennes), cherche à centraliser les utilisateurs depuis la mise sous domaine. En effet les utilisateurs avaient un poste dédié et se heurtaient au refus de leurs collègues lorsqu’ils voulaient utiliser un autre poste. Aujourd’hui l’entreprise souhaite donner l’opportunité à ces employés de se « logger » depuis n’importe quel poste et cela sans pour autant voir les données personnelles du poste dédié.
Pour cela il faudra créer les utilisateurs sous Active Directory et les intégrer au domaine. De plus la société ne souhaite pas que ses employés puissent créer du data directement sur leur poste physique, mais plutôt sur un accès réseau (NAS). Il faudra, à ce titre, se renseigner sur la méthode de redirection des profils ainsi que la création de lecteurs réseau automatique selon les services de l’entreprise Puzzle.
Les besoins
Centraliser les utilisateurs. Ils doivent pouvoir se connecter sur tous les postes du domaine de Brest et Rennes avec une ouverture de session à leur nom.
Rediriger leur profil sur un emplacement réseau pour éviter la perte de leurs données en cas de crash matériel et de les retrouver en se connectant sur autre poste.
Créer des lecteurs réseau selon les services de l’entreprise pour le partage de fichiers en prenant en compte les règles de sécurité et d’autorisation d’accès.
Proposer différentes stratégies de groupe afin d’optimiser la sécurité du réseau et la facilité d’utilisation pour les employés.
Prévoir une sauvegarde des différents éléments.
Proposer un schéma des utilisateurs et des services de l’entreprise.
L’infrastructure
Exemple d’architecture « unité d’organisation/services/utilisateurs/GPO »
Les utilisateurs se connectent à Brest ou Rennes avec leur profil utilisateur (login/mdp) du domaine Ste Puzzle. L’Active Directory identifie cet utilisateur et charge le profil (stocké sur un NAS) ainsi que la stratégie de groupe qui lui est associée.
Création des unités d’organisation et utilisateurs plus redirection
Une Unité organisationnelle (Organizational Unit ; OU ; UO) est un objet conteneur qui permet de hiérarchiser Active Directory. Cette notion était inexistante dans les "versions précédentes" d'AD, telle que la base de données SAM. L'AD permet une hiérarchisation des domaines. À l'intérieur de ces domaines, il existe maintenant des possibilités de structuration et de hiérarchisation des utilisateurs.
Les U.O sont le meilleur moyen de créer ces structures hiérarchiques dans Active Directory. Outre la structuration d'informations, qui offre une clarté accrue dans les annuaires complexes notamment, les U.O présentent un avantage important : elles tiennent lieu de frontière pour la délégation d'autorisations administratives. Il est donc possible de personnaliser les droits des différents utilisateurs/groupes de façon ciblée (gestion des mots de passe ; droits d'accès : autorisations concernant les installations...). (Source Wikipédia)
Pour créer les U.O, il faut ouvrir le gestionnaire de serveur puis faire comme suit
S’ouvre alors une fenêtre « Nouvel objet ». Il n’y a qu’à nommer cet U.O
↑ On peut créer maintenant des utilisateurs dans cette UO (ex : Olivier Emery) ↑
↓ Pour la redirection rien de plus facile : clic droit sur les propriétés du compte ↓
Ajout du service de fichier (DFS)
Les espaces de noms DFS et la réplication DFS offrent un accès simplifié et hautement disponible aux fichiers, au partage de la charge et à la réplication via un réseau étendu. Dans le système d’exploitation Windows Server® 2003 R2, Microsoft a modifié et a renommé les espaces de noms DFS (anciennement appelés « DFS »), a remplacé le composant logiciel enfichable Système de fichiers DFS par le composant logiciel enfichable Console DFS, et a introduit la nouvelle fonctionnalité de réplication DFS. Dans le système d’exploitation Windows Server® 2008, Microsoft a ajouté le mode Windows Server 2008 des espaces de noms de domaine et a intégré plusieurs améliorations en termes de convivialité et de performances.
Quel est le rôle du système de fichiers DFS ?
Les technologies DFS offrent une réplication conviviale via un réseau étendu, ainsi qu’un accès simplifié et hautement disponible à des fichiers dispersés sur le plan géographique. Les deux technologies du système de fichiers DFS sont les suivantes :
Espaces de noms DFS. Ces espaces de noms DFS vous permettent de regrouper des dossiers partagés situés sur différents serveurs en un ou plusieurs espaces de noms structurés de manière logique. Pour les utilisateurs, chaque espace de noms apparaît sous la forme d’un dossier partagé unique qui comporte une série de sous-dossiers. Cette structure accroît la disponibilité et connecte automatiquement les utilisateurs aux dossiers partagés dans le même site des Services de domaine Active Directory, au lieu de router les utilisateurs sur des connexions de réseau étendu (WAN).
Réplication DFS. La réplication DFS correspond à un moteur de réplication multi-maître efficace qui vous permet d’assurer la synchronisation des dossiers entre des serveurs par le biais de connexions réseau dont la bande passante est limitée. Elle remplace le service de réplication de fichiers (FRS) comme moteur de réplication pour les espaces de noms DFS, ainsi que pour la réplication du dossier SYSVOL AD DS dans les domaines qui utilisent le niveau fonctionnel de domaine Windows Server 2008.
À qui cette fonctionnalité s’adresse-t-elle ?
Cette fonctionnalité s’adresse aux administrateurs de réseaux importants qui veulent organiser les dossiers partagés et renforcer leur disponibilité en créant un espace de noms, ainsi qu’aux administrateurs qui veulent garantir la synchronisation des dossiers sur plusieurs serveurs de manière efficace, à l’aide de la réplication DFS. (Source Wikipédia)
Pour l’installer ouvrir le gestionnaire de serveur et ajouter des rôles.
↑Notre espace de noms est bien là, on va pouvoir créer des dossiers en rapport avec ceux du NAS en ajoutant une cible de dossier (qui sera l’adresse du NAS plus les chemins de dossier).
↑Tous ces dossiers sont synchronisés avec les dossiers du NAS↑
Paramétrage du serveur NAS
Un serveur de stockage en réseau, également appelé stockage en réseau NAS, ou plus simplement NAS (de l'anglais Network Attached Storage), ou encore boîtier de stockage en réseau, est un serveur de fichiers autonome, relié à un réseau dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes.
Configurer le NAS pour qu’il soit sur le même réseau que le domaine et l’intégrer à celui-ci.
L’entité correspond à l’unité d’organisation « NAS » créé dans l’Active Directory.
Il faut ensuite importer les utilisateurs et groupes à partir de notre Active Directory, dans les options du NAS nous pouvons donc les synchroniser. Il suffit de sélectionner entre des groupes ou utilisateurs.
Les GPO
Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.
Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains exécutables, etc.
Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou unité d’organisation Active Directory. Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments.
Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (Le « group policy template », ou GPT) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur le format XML et introduits par Windows Vista pour la gestion des stratégies de groupe.
Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre étant ajustable par un paramètre de stratégie de groupe. (Source Wikipédia)
