Active Directory 2008 R2 GPO

7/25/2019 Active Directory 2008 R2 GPO

1/12


2/12


3/12

Stratgie de groupe dans Active Directory 2012

3

I. Introduction

192.168.0.0/24

Windows Seven,@IP:192.168.0.100Windows Server 2008R2, Active Directory@IP:192.168.0.11

Mask:255.255.255.0

L'objectif principal d'Active Directory est de fournir des services centraliss d'identification et

d'authentification un rseau d'ordinateurs utilisant le systme Windows. Il permet galement

l'attribution et l'application de stratgies, la distribution de logiciels, et l'installation de mises jour

critiques par les administrateurs. Active Directory rpertorie les lments d'un rseau

administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers

partags, les imprimantes, etc.

Active Directory existe depuis la version 2000, Le service d'annuaire Active Directory peut

tre mis en uvre sur Windows 2000 Server, Windows Server 2003 et Windows Server 2008, il

rsulte de l'volution de la base de compte plane SAM. Un serveur informatique hbergeant

l'annuaire Active Directory est appel contrleur de domaine .

Active Directory stocke ses informations et paramtres dans une base de donnes centralise. La

taille d'une base Active Directory peut varier de quelques centaines d'objets pour de petites

installations plusieurs millions d'objets pour des configurations volumineuses.

Dans les premiers documents Microsoft mentionnant son existence, Active Directory s'est d'abord

appel NTDS (pour NT Directory Services, soit Services d'annuaire de NT en franais). On peut

d'ailleurs encore trouver ce nom dans la littrature couvrant le sujet ainsi que dans certains utilitaires

AD comme NTDSUTIL.EXE par exemple, ou le nom du fichier de base de donnes NTDS.DIT.

Le protocole principal d'accs aux annuaires est LDAP qui permet d'ajouter, de modifier et de

supprimer des donnes enregistres dans Active Directory, et qui permet en outre de rechercher et

de rcuprer ces donnes. N'importe quelle application cliente conforme LDAP peut tre utilise

pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des

donnes. Il utilise galement DNS, LDAP, Kerberos V, SNTP, SMB/CIFS, MSRPC.


4/12


5/12


6/12


6

d'administration pour toutes les units d'organisation d'un domaine ou pour une seule unit

d'organisation. Un administrateur d'une unit d'organisation ne requiert pas des droits

d'administration pour les autres units d'organisation du domaine. Pour plus d'informations sur la

dlgation d'autorit administrative, voir Dlgation de l'administration.

Les UO sont des conteneurs logiques dans lesquels des utilisateurs, des groupes, des

ordinateurs et d'autres UO sont placs. Elles ne peuvent contenir que des objets de leur domaine

parent. Une UO est la plus petite unit laquelle il soit possible d'appliquer une stratgie de groupe

ou une dlgation d'autorit.

Crez les trois U.O suivantes :

Dans utilisateurs et Ordinateurs Active Directory :

Entrez un nom pour crer votre UO.

-

Comptabilit

- Secrtariat

- Informatique


7/12


8/12


8

6.

Discrimination clients AD

Une option utile en entreprise dun point de vue scurit, vous pouvez dfinir des plages

dhoraires o les utilisateurs sont autoriss se connecter. Cliquez sur un utilisateur =>

Proprits, dans longlet compte dfinissez la plage dhoraires.

Dans le mme onglet, imposez l'utilisateur de se connecter uniquement sur

l'ordinateur client que vous venez d'intgrer.

A louverture de session du client, nous allons dfinir dans son poste de travail, un lecteur P :

personnel, qui pourra contenir ses documents de travail, lavantage tant dy avoir accs de

nimporte quelle poste informatique.

Utilisez nimporte quels utilisateurs, dans ses proprits, onglet Profil,

Ici on peut voir quun dossier dj tait cre situ la racine du serveur et dans un dossier

profil, le dossier enfant comportant le nom de lutilisateur. Cre ce dossier o vous le dsirez, et

affectez lui des scurits en nautorisant laccs qu lutilisateur concern, ainsi qu ladministrateur

systme par exemple.


9/12


9

7.

Profil itinrant

Il peut arriver qu'une personne utilise plusieurs ordinateurs, avec le mme compte d'utilisateur.

Lorsqu'il va utilisateur un ordinateur, il pourra avoir un environnement diffrent de celui prsent sur

l'autre ordinateur. Dans ce cas, il pourra tre intressant de configurer pour cet utilisateur un profil

itinrant. En effet, le fait d'utiliser ce type de compte va permettre votre utilisateur de conserver

ses documents, ses paramtres, et son environnement de travail, quelque soit l'ordinateur sur lequel

il ouvre une session. Les profils itinrants vont stocker leurs informations sur un serveur que vous

choisissez

Quels sont les avantages et inconvnients des profils itinrants ?

Pour crer un profil itinrant, il dabord cre un dossier la racine de no tre serveur par exemple, en

le nommant profil. Configurez-le :

-

Cliquez droit partage et scurit, Partagez le dossier

- Donnez le contrle total tous le monde (Autorisations)

- Commentez le partage (Profil itinrants)

Dans utilisateurs Active Directory :

-

Cliquez droit sur le profil en question, dans onglet profil :

o Chemin du profil : \\@IPServeur\[Dossier_Parent]\%[Dossier_du_profil]%

Une fois connect lutilisateur crera ses dossiers et pourra y accder de nimporte quelle

autre poste, vrifier la fonctionnalit de votre configuration dans poste de travail sur le client :

-

Cliquez droit proprit Poste de travail

- Cliquez sur

-

Profil des utilsiateurs -> Paramtres

Changer le fond dcran par exemple, cre des fichiers, dconnectez -vous, et connectez vous

dune autre machine. Vous allez pouvoir constater quen se connectant le fond dcran correspond,

et dans lexplorateur Windows taper le chemin du profil pour accder aux documents.


10/12


10

IV. Stratgies de Groupe

8.

Domaine GPO

Lorsque vous configurer les stratgies de groupe et dailleurs pour nimporte quelle applications

Windows Server, il faut tre particulirement mthodique. La base de GPO repose sur une

problmatique de gestion dentreprise, de scurit, daccs aux donnes, Qui le droit de faire

quoi ?

On peut schmatiser le processus daction des GPO:

En rgle gnrale on distingue chacun des groupes AD par des Domains GPO contenant les

feuilles GPO. (Expliquer ci-dessous). On peut galement classer les Domains GPO par type de

restriction. Des groupes AD peuvent correspondre plusieurs Domain GPO.


11/12


11

9.

Activation de GPO

a.

Domain GPO ; Objet de stratgie de groupe

Une liste de GPO de base est disponible, vous pouvez nanmoins crer les vtres, ceci dit elle neprsente que trs peu dintrts, mise part pour des cas trs particuliers, la liste fournie de base est

complte, comme vous allez pouvoir le constater

Dans le menu dmarrer :

-

Dans larborescence dployer votre fort, dans vous avez deux Domain GPO

de base, prenant pour notre exemple .

-

Cliquez droit, Modifier.

-

Activer toutes les feuilles GPO qui vous intresse pour ce Domain.

b. Feuilles de stratgie de groupe

Arborescence de gauche prsent tout dabord 2 grandes parties:

Comme vous pouvez le voir de nombreuses options sont disponibles, les fichiers se trouvant dans

.Maintenant comment se passe lactivation.


12/12


12

Trs simplement, cherchez la GPO que vous voulez appliquer :

-

Cliquez droit, Modifier

-

, OK

Spcifier dans les groupes qui hriteront de ce Domain GPO avec ses

feuilles correspondantes.

Pour ajouter un Domain GPO, cliquez droit , Nouveau .

Le client de stratgie de groupe du poste rcupre la configuration (par dfaut au bout de 60 120

minutes) qui est applicable lordinateur et/ou lutilisateur connect.Pour forcer l'application des

GPO, vous pouvez utiliser la commande :

gpupdate /force

Pour vrifier le rsultat de l'application des GPO, vous pouvez utiliser la commande :

gpresult /h rapport.

Ajouter

les

groupes

Documents

Active Directory 2008 R2 GPO