Download - Active Directory 2008 R2 GPO
-
7/25/2019 Active Directory 2008 R2 GPO
1/12
-
7/25/2019 Active Directory 2008 R2 GPO
2/12
-
7/25/2019 Active Directory 2008 R2 GPO
3/12
Stratgie de groupe dans Active Directory 2012
3
I. Introduction
192.168.0.0/24
Windows Seven,@IP:192.168.0.100Windows Server 2008R2, Active Directory@IP:192.168.0.11
Mask:255.255.255.0
L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et
d'authentification un rseau d'ordinateurs utilisant le systme Windows. Il permet galement
l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour
critiques par les administrateurs. Active Directory rpertorie les lments d'un rseau
administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers
partags, les imprimantes, etc.
Active Directory existe depuis la version 2000, Le service d'annuaire Active Directory peut
tre mis en uvre sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008, il
rsulte de l'volution de la base de compte plane SAM. Un serveur informatique hbergeant
l'annuaire Active Directory est appel contrleur de domaine .
Active Directory stocke ses informations et paramtres dans une base de donnes centralise. La
taille d'une base Active Directory peut varier de quelques centaines d'objets pour de petites
installations plusieurs millions d'objets pour des configurations volumineuses.
Dans les premiers documents Microsoft mentionnant son existence, Active Directory s'est d'abord
appel NTDS (pour NT Directory Services, soit Services d'annuaire de NT en franais). On peut
d'ailleurs encore trouver ce nom dans la littrature couvrant le sujet ainsi que dans certains utilitaires
AD comme NTDSUTIL.EXE par exemple, ou le nom du fichier de base de donnes NTDS.DIT.
Le protocole principal d'accs aux annuaires est LDAP qui permet d'ajouter, de modifier et de
supprimer des donnes enregistres dans Active Directory, et qui permet en outre de rechercher et
de rcuprer ces donnes. N'importe quelle application cliente conforme LDAP peut tre utilise
pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des
donnes. Il utilise galement DNS, LDAP, Kerberos V, SNTP, SMB/CIFS, MSRPC.
-
7/25/2019 Active Directory 2008 R2 GPO
4/12
-
7/25/2019 Active Directory 2008 R2 GPO
5/12
-
7/25/2019 Active Directory 2008 R2 GPO
6/12
Stratgie de groupe dans Active Directory 2012
6
d'administration pour toutes les units d'organisation d'un domaine ou pour une seule unit
d'organisation. Un administrateur d'une unit d'organisation ne requiert pas des droits
d'administration pour les autres units d'organisation du domaine. Pour plus d'informations sur la
dlgation d'autorit administrative, voir Dlgation de l'administration.
Les UO sont des conteneurs logiques dans lesquels des utilisateurs, des groupes, des
ordinateurs et d'autres UO sont placs. Elles ne peuvent contenir que des objets de leur domaine
parent. Une UO est la plus petite unit laquelle il soit possible d'appliquer une stratgie de groupe
ou une dlgation d'autorit.
Crez les trois U.O suivantes :
Dans utilisateurs et Ordinateurs Active Directory :
Entrez un nom pour crer votre UO.
-
Comptabilit
- Secrtariat
- Informatique
-
7/25/2019 Active Directory 2008 R2 GPO
7/12
-
7/25/2019 Active Directory 2008 R2 GPO
8/12
Stratgie de groupe dans Active Directory 2012
8
6.
Discrimination clients AD
Une option utile en entreprise dun point de vue scurit, vous pouvez dfinir des plages
dhoraires o les utilisateurs sont autoriss se connecter. Cliquez sur un utilisateur =>
Proprits, dans longlet compte dfinissez la plage dhoraires.
Dans le mme onglet, imposez l'utilisateur de se connecter uniquement sur
l'ordinateur client que vous venez d'intgrer.
A louverture de session du client, nous allons dfinir dans son poste de travail, un lecteur P :
personnel, qui pourra contenir ses documents de travail, lavantage tant dy avoir accs de
nimporte quelle poste informatique.
Utilisez nimporte quels utilisateurs, dans ses proprits, onglet Profil,
Ici on peut voir quun dossier dj tait cre situ la racine du serveur et dans un dossier
profil, le dossier enfant comportant le nom de lutilisateur. Cre ce dossier o vous le dsirez, et
affectez lui des scurits en nautorisant laccs qu lutilisateur concern, ainsi qu ladministrateur
systme par exemple.
-
7/25/2019 Active Directory 2008 R2 GPO
9/12
Stratgie de groupe dans Active Directory 2012
9
7.
Profil itinrant
Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le mme compte d'utilisateur.
Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement diffrent de celui prsent sur
l'autre ordinateur. Dans ce cas, il pourra tre intressant de configurer pour cet utilisateur un profil
itinrant. En effet, le fait d'utiliser ce type de compte va permettre votre utilisateur de conserver
ses documents, ses paramtres, et son environnement de travail, quelque soit l'ordinateur sur lequel
il ouvre une session. Les profils itinrants vont stocker leurs informations sur un serveur que vous
choisissez
Quels sont les avantages et inconvnients des profils itinrants ?
Pour crer un profil itinrant, il dabord cre un dossier la racine de no tre serveur par exemple, en
le nommant profil. Configurez-le :
-
Cliquez droit partage et scurit, Partagez le dossier
- Donnez le contrle total tous le monde (Autorisations)
- Commentez le partage (Profil itinrants)
Dans utilisateurs Active Directory :
-
Cliquez droit sur le profil en question, dans onglet profil :
o Chemin du profil : \\@IPServeur\[Dossier_Parent]\%[Dossier_du_profil]%
Une fois connect lutilisateur crera ses dossiers et pourra y accder de nimporte quelle
autre poste, vrifier la fonctionnalit de votre configuration dans poste de travail sur le client :
-
Cliquez droit proprit Poste de travail
- Cliquez sur
-
Profil des utilsiateurs -> Paramtres
Changer le fond dcran par exemple, cre des fichiers, dconnectez -vous, et connectez vous
dune autre machine. Vous allez pouvoir constater quen se connectant le fond dcran correspond,
et dans lexplorateur Windows taper le chemin du profil pour accder aux documents.
-
7/25/2019 Active Directory 2008 R2 GPO
10/12
Stratgie de groupe dans Active Directory 2012
10
IV. Stratgies de Groupe
8.
Domaine GPO
Lorsque vous configurer les stratgies de groupe et dailleurs pour nimporte quelle applications
Windows Server, il faut tre particulirement mthodique. La base de GPO repose sur une
problmatique de gestion dentreprise, de scurit, daccs aux donnes, Qui le droit de faire
quoi ?
On peut schmatiser le processus daction des GPO:
En rgle gnrale on distingue chacun des groupes AD par des Domains GPO contenant les
feuilles GPO. (Expliquer ci-dessous). On peut galement classer les Domains GPO par type de
restriction. Des groupes AD peuvent correspondre plusieurs Domain GPO.
-
7/25/2019 Active Directory 2008 R2 GPO
11/12
Stratgie de groupe dans Active Directory 2012
11
9.
Activation de GPO
a.
Domain GPO ; Objet de stratgie de groupe
Une liste de GPO de base est disponible, vous pouvez nanmoins crer les vtres, ceci dit elle neprsente que trs peu dintrts, mise part pour des cas trs particuliers, la liste fournie de base est
complte, comme vous allez pouvoir le constater
Dans le menu dmarrer :
-
Dans larborescence dployer votre fort, dans vous avez deux Domain GPO
de base, prenant pour notre exemple .
-
Cliquez droit, Modifier.
-
Activer toutes les feuilles GPO qui vous intresse pour ce Domain.
b. Feuilles de stratgie de groupe
Arborescence de gauche prsent tout dabord 2 grandes parties:
Comme vous pouvez le voir de nombreuses options sont disponibles, les fichiers se trouvant dans
.Maintenant comment se passe lactivation.
-
7/25/2019 Active Directory 2008 R2 GPO
12/12
Stratgie de groupe dans Active Directory 2012
12
Trs simplement, cherchez la GPO que vous voulez appliquer :
-
Cliquez droit, Modifier
-
, OK
Spcifier dans les groupes qui hriteront de ce Domain GPO avec ses
feuilles correspondantes.
Pour ajouter un Domain GPO, cliquez droit , Nouveau .
Le client de stratgie de groupe du poste rcupre la configuration (par dfaut au bout de 60 120
minutes) qui est applicable lordinateur et/ou lutilisateur connect.Pour forcer l'application des
GPO, vous pouvez utiliser la commande :
gpupdate /force
Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la commande :
gpresult /h rapport.
Ajouter
les
groupes