Partie pratiqueI-Installation Active Directory

On Lance la commande dcpromo afin de démarrer l’assistant d’installation:

On clique sur "Next":

On clique sur "Next":

On Sélectionne "Create a new domain in a new forest", puis On clique sur "Next".

On entre le nom de votre domaine, puis cliquez sur "Next":

On choisi le niveau fonctionnel le plus élevé afin de profiter de toutes les spécificités propres à"Windows server 2008 R2" , puis clique sur "Next":

DNS sera installé en même temps que l’Active Directory.

On clique sur "yes,the computer will use an IP address automatically":

Dans notre exemple on a pas de Serveur DNS parent qui gère le « IDRISSI.LOCAL ». Il va essayer de le contacter mais vu qu’il existe pas il va nous générer un message d’erreur ce qui est tout a fait normal.

On clique sur "Yes".

Ensuite, on nous demande de choisir l’emplacement des fichiers de bases de données, de logs.. Des fichiers qui vont être utiles à l’Active Directory. En générale on évite de les placer sur le disque système pour une raison de sécurité. Mais je ne possède qu’un disque sur la machine donc je me permet de le stocker sur le C:/.

Dans le but de protéger les restaurations de l' Active Directory, Windows nous propose d’y affecter un mot de passe juste pour la restauration. On clique sur "Next"

la fenêtre suivante, On patiente pendant la configuration des services de domaine Active Directory:

On clique sur Finish:

on redémarre la machine:

Une fois le redémarrage automatique effectué, l’Active Directory est installé et opérationnel.

II-Ajouter utilisateur au domaine AD server 2008

1. Allez dans : Démarrer / outils d’administration/ Utilisateurs et ordinateurs Active Directory (AD):

2. On peut ajouter des ordinateurs, des Utilisateurs, dossiers de partage, etc.....clique droit sur users (utilisateurs) puis nouveau /utilisateur:

3. Créer l’utilisateur (profil):

4. Définir le mot de passe utilisateur :  Choisir si l’utilisateur doit changer le mot de passe au démarrage pour la première fois ou l’interdiction de changement de mot de passe, mot de passe n’expire jamais.dans notre cas, j'ai choisi l'utilisateur ne peut pas changer mot de passe, et le mot de passe n'expire jamais:

5.Utilisateur créé.

Double clic sur l’utilisateur pour éditer  le profile, accès, données personnelles, rejoindre groupe, ouverture d’une application au démarrage de la session utilisateur …..etc:

Configuration la machine( Windows 7) pour permettre un utilisateur de se connecter à un

domaine Active Directory:1.Sur ma machine Windows 7, je clique sur l’icône du réseau, puis j’ouvre le centre réseau (vous pouvez également y accéder directement depuis le panneau de configuration):

2.Je clique sur Change adapter settings de ma carte:

3.Je clique droit sur ma carte réseau et je clique sur propriétés:

4.Je sélectionne le Protocole Internet Version 4 et je clique sur propriétés:

5.J’indique comme serveur DNS l’adresse de mon serveur Windows 2008R2 où sont installé les services Active Directory et DNS. Je valide sur ok puis fermer.

6.J’ouvre une console pour vérifier que ma modification à bien été prise en compte. Sur la capture ci-dessous on constate que mon serveur DNS est bien celui que j’ai indiqué:

7.Dans le menu "Start" de la machine virtuelle "Windows 7", un clique droit sur "Computer" puis on clique sur "Propriétés":

8.Cliquez sur "change settings".

9.Cliquez sur le bouton "Change":

Cliquez sur le bouton rond à côté de "Domaine" puis tapez le nom de votre domaine. Dans notre exemple le domaine s'appelle: "IDRISSI.LOCAL":

Un identifiant et mot de passe me sont demandés. Il s’agit d’indiquer un utilisateur disposant de droits sur le domaine Active Directory. Pour ma part j’indique user1:

Après avoir vérifié que mes paramètres sont correctes je suis intégré au domaine Active Directory.

Je dois redémarrer ma machine pour appliquer les modifications:

Je clique sur Restart Now:

Déverrouillez l'écran:

Et voilà, je peux saisir les identifiants d'un compte utilisateur du domaine:

III-Stratégie de groupe dans Active Directory (GPO=Group Policy Objects):

Les stratégies de groupe ou GPO (Group Policy Object) permettent de configurer des restrictions d'utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné,soit sur un compte utilisateur donné. Voici un exemple de stratégie de groupe :

Menu Démarrer et Barre des tâches1. Suppression du menu Documents dans le menu Démarrer2. Suppression des Connexions réseau et accès distant du menu Démarrer3. Suppression du menu Exécuter dans le menu Démarrer4. Désactivation de la fermeture de session dans le menu Démarrer5. Désactivation de la commande Arrêter

Panneau de configuration1. Désactivation du Panneau de configuration 2. Masque de certaines applications du Panneau de configuration.

Système1. Activation des quotas de disque2. Désactivation des outils de modifications du Registre3. Désactivation de l'invite de commandes.

 Internet Explorer1. Désactivation de la modification des paramètres de la page de démarrage.

Maintenant que j'ai installé Active Directory, mis en place notre domaine dans une nouvelle forêt et créé une unité d'organisation s'appelle "informatique", je vais mettre en place des GPO.

Pour cela, allez dans le menu start, puis administrative tools (outils d’administration) et cliquez sur Group policy management Gestion des stratégies de groupe:

on clique sur notre unité d'organisation (informatique) puis un clic droit et on sélectionne« create a GPO in the domain, and link here...»:

Une fenêtre s’ouvre nous permettant de nommer notre  GPO:

Le GPO est maintenant visible dans l’unité d’organisation « informatique ».  On clique droit sur le GPO TECHNICIEN et on sélectionne Edit..

Nous voilà arrivé sur la fenêtre Group Policy Management Editor « Éditeur de gestion des stratégies de groupes ». C’est dans cette dernière je vais pouvoir, par exemple, « supprimer le panneau de configuration », « interdire le clic droit », etc....

dans mon cas je vous montre comment Définir un fond d'écran commun pour tous les utilisateurs et les interdire de le changer, ensuite on verra comment les empêcher à accéder au panneau de configuration.

1. spécifier un fond d'écran commun et interdire de le changer:

2.empêcher utilisateur l'accès au panneau de configuration:

3. Forcer une actualisation de la stratégie de groupe (GPUpdate):

Dans la machine utilisateur (Windows 7) on teste les paramètres qu'on a fait: (interdire le changement de fond d'écran): "test réussi":

(Empêcher l'accès au panneau de configuration): "test reussi"