Embed Size (px)
Citation preview
1
PROJET ADDS, GPO ET
ACCES DISTANT
M2L.FR
Sécurisation des accès aux ressources
Windows Server 2012 R2
Alexia CLERC
BTS SIO spécialité SISR
Session 2017
2
SOMMAIRE
Préface : Cahier des charges de la M2l – Page 3
1. Mise en place de la maquette sous HyperV. 1 - Présentation du schéma de l’infrastructure.
2 - Création de l’architecture réseau virtuel
3 - Création des Vms
2. Préparation des machines virtuelles. 1 – DC2 : Installation des rôles AD DS, DNS
2 – CLI2 : installation du client Windows 8.1 Pro
3 – SRV3 : Installation du rôle DHCP
3. Configuration du serveur DHCP SRV3. 1 - Installation d’une étendue DHCP
2 – Test du client pour le service DHCP
4. Création des groupes et des utilisateurs. 1 – Console « Utilisateurs et ordinateurs Active Directory »
5. Création d’un dossier partagé pour le domaine m2l.fr. 1 – Création d’un dossier partagé
6. Ajout de la fonctionnalité « Sauvegarde Windows Server ». 1 – Sur DC2 ajout de la fonctionnalité de sauvegarde
7. Installation et configuration d’un service bureau à distance 1 – Ajout du rôle serveur « Service bureau à distance »
2- Configuration du client
8. Mise en place d’une GPO pour l’accès par défaut à l’url du bureau à distance configuration
d’un service bureau à distance 1 – Configuration automatique du navigateur via la GPO
2- Test du client
3
PREFACE
Cahier des charges de la M2L
La « Maison des Ligues de Lorraine » (M2L) souhaite fournir des ressources aux différentes Ligues, notamment un service d’annuaire qui comprend :
1. Un contrôleur de domaine de l’organisation.
2. La gestion des utilisateurs et des groupes pour le domaine « m2l.fr ». 3. La gestion de dossiers partagés sur le domaine.
4. La création de nouvelles stratégies de groupe associées aux utilisateurs. 5. L’utilisation du service de bureau à distance. 6. L’utilisation de la sauvegarde du serveur.
La solution retenue doit fonctionner sur un environnement Microsoft Windows Serveur 2012 R2 : Le
serveur d’authentification devra contenir les rôles suivants : AD DS, DNS et être contrôleur de domaine. La
maquette devra être réalisée sous HyperV version 3 afin que les administrateurs de la M2L puissent la
reproduire facilement et la tester sans avoir besoin d’acheter du matériel supplémentaire.
Liste des activités :
A 1.1.1 Analyse du cahier des charges et d'un service à produire.
A 1.1.3 Etudes des exigences liées à la qualité attendue d’un service. A.1.2.1 Elaboration et présentation d’un dossier de choix de solution technique. A.1.2.2 Rédaction des spécifications techniques de la solution retenue. A 1.2.4 Détermination des tests nécessaires à la validation d’un service. A 1.3.3 Accompagnement de la mise en place d’un nouveau service. A 1.3.4 Déploiement d'un service.
A 1.4.1 Participation à un projet. A 1.3.1 Test d’intégration et d’acceptation d’un service. A 2.2.1 Suivi et résolution d’incidents. A 3.1.1 Proposition d'une solution d'infrastructure A 3.2.1 Installation et configuration d'éléments d'infrastructure A 3.3.3 Gestion des identités et des habilitations.
A 4.1.9 Rédaction d’une documentation technique.
4
AVANT PROPOS
Objectifs : L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows. Le DNS quant à lui hébergent
les enregistrements d'une base de données DNS distribuée et utilisent ces enregistrements pour résoudre
les requêtes de noms DNS envoyées par les ordinateurs clients DNS, notamment les requêtes de noms de
sites Web ou d'ordinateurs de votre réseau ou sur Internet. Pour finir le DHCP lui, gèrent de façon
centralisée les adresses IP et les informations associées et les fournissent automatiquement aux clients.
Solutions envisageables :
1) Création d’une infrastructure totalement virtualisée avec HyperV avec deux serveurs et un client.
2) Utilisation d’un seul serveur contenant tous les rôles ADDS, DHCP, etc.
Description de la solution retenue :
3) Choix de la solution 1 création d’une infrastructure virtualisée sous HyperV avec Windows Server
Windows Server 2012 R2 pour les deux serveurs et Windows 8.1 pro pour le client.
Mise en place de la maquette sous HyperV avec Windows serveur 2012 R2. 1 - Présentation du schéma de l’infrastructure
DC2 : Contrôleur de domaine, AD DS, DNS.
SRV3 : Serveur DHCP, partage DFS.
CL2 : Client pour les différents tests.
5
2 - Création de l’architecture réseau virtuel
Dans HyperV, gestionnaire de commutateur virtuel, création de 1 commutateur : LAN-
PROJET2 de type « privé » (seules les Vms communiquent entre elles).
3- Création des VMs
Configuration des machines : DC2 : DD 40 Go, Ram 1024, 1 carte réseau (LAN-PROJET2).
SRV3 : DD 40 Go, Ram 1024, 1 cartes réseaux (LAN-PROJET2).
CLI2 : DD 30 Go, Ram 1024, 1 carte réseau (LAN-PROJET2).
Choix de l’emplacement des VM.
Sélectionnez « Génération 2 ».
Affectation de 1024 Mo pour chaque machine virtuelle.
Choix du commutateur : LAN-PROJET2
6
Taille du disque dur 40 Go.
Choisir les options d’’installation et intégrer l’image iso du système d’exploitation. Faire de même
pour toutes les Vms.
2-Préparation des machines virtuelles.
1 - DC2 : Installation des rôles AD DS et DNS
Installation de Windows server 2012 R2 (suivre les étapes d’installation).
Dans la gestion de l’ordinateur, changer le nom de l’ordinateur en « DC2 ».
Renommer la carte réseau : LAN. Attribuer une adresse Ipv4 fixe : 192.168.2.100 /
255.255.255.0
Serveur DNS : on lui attribue sa propre adresse IP en tant que contrôleur de domaine.
7
Ajout du rôle AD DS. Cela permettera à toutes les machines d’etre intégrées dans le domaine
« m2l.fr » que nous créerons par la suite.
Une fois le rôle installé, promouvoir ce serveur en tant que contrôleur de domaine en indiquant le nom du domaine « m2l.fr » et suivre les étapes.
Dans le gestionnaire DNS aller dans la zone de recherche inversée créer une
nouvelle zone principale. Sélectionner l’option « Vers tous les serveurs DNS exécutés sur des contrôleur de domaine dans ce domaine : m2l.fr ». Sélectionner « Zone de recherche inversé
ipv4 ». Entrer l’ID réseau « 192.168.2 », puis terminer.
8
2 - CL2 : installation du client Windows 8.1 Pro
Création d’une machine virtuelle nommée CL2
Installation du système d’exploitation Windows 8.
Nommage du nom de l’ordinateur CL2.
Configuration réseau LAN :
CL2 : 182.168.2.105/24
Nommer la carte réseau : LAN, puis mettre l’adresse DNS du contrôleur de domaine :
192.168.2.100 afin de pouvoir intégrer les deux machines au domaine m2l.fr.
3 - SRV3 : Installation des rôles DHCP
Changer le nom de la machine en « SRV3 », puis configurer la carte réseau avec l’IP fixe :
192.168.2.103 et le DNS 192.168.2.100, intégrer la machine au domaine m2l.fr.
9
3-Configuration du serveur DHCP SRV3.
1 - Installation d’une étendue DHCP
Après le reboot du serveur, dans le gestionnaire de serveur, ajout des rôles et des
fonctionnalités, cliquez sur le rôle DHCP, puis cliquez sur 3x suivant, puis installer :
Un message vous indique qu’une configuration post-déploiement est en attente, cliquez sur
« Terminer la configuration DHCP » :
L’assistant vous indique les différents groupes de sécurité qui seront habilités à l’utilisation du
serveur DHCP, puis cliquez sur suivant :
10
On utilisera le compte admin du domaine m2l.fr, puis cliquez sur suivant :
L’assistant de configuration a terminé l’installation du service DHCP avec succès et précise
que la création des groupes de sécurité ont bien été créés :
11
Dans le gestionnaire du serveur, cliquez sur « Outils » puis dans « DHCP » :
Dans la console DHCP déroulez le menu « sr3.m2l.lan », puis « IPv4 » :
Dans la console DHCP déroulez le menu « sr3.m2l.lan », puis « IPv4 », faire un clic et « Nouvelle
étendue » :
12
Cliquez sur suivant :
Remplissez les champs comme indiqué ci-dessous :
J’ai choisi une plage d’adresse allant de 192.168.2.4 à 192.168.2.150 car le service informatique de
la m2l est constitué d’une vingtaine de personnes et que la M2l prévoit une extension de son service informatique ce qui nécessitera de nouvelles adresses IP dynamiques :
13
Aucune exclusion de prévue, cliquez sur suivant :
Laissez les paramètres par défaut, nous y reviendrons pour tester la bonne marche du serveur DHCP :
14
Nous allons configurer les options de l’étendue DHCP que nous venons de créer afin de permettre aux clients d’obtenir la configuration IP complète : Masque de réseau, DNS, passerelle.
Pour notre infrastructure nous n’ayant pas de routeur, nous n’avons pas besoin de passerelle. Cliquez sur suivant :
Le serveur DNS est déjà renseigné, n’ayant qu’un seul serveur, cliquez sur suivant :
15
La M2l n’utilise pas de serveur WINS, cliquez sur suivant :
Validez l’étendue que nous venons de créer puis cliquez sur suivant et terminer :
16
Voici l’étendue qui est constituée d’un pool d’adresses IP:
2 – Test du client pour le service DHCP
Souvenez-vous que l’adresse IP du client avait été configuré en mode statique pour l’intégration au domaine m2l.fr :
17
Sélectionnez « Obtenir une adresse IP automatiquement » et « Obtenir les adresses des serveurs
DNS automatiquement », puis cliquez sur suivant :
Ouvrir l’invite de commande, puis lancez la commande suivante : ipconfig /all + Entrez. Le test client est concluant, on retrouve l’adresse du serveur DNS, du serveur DHCP et une
adresse IP a été attribuée à notre client «192.168.2.4 », cette adresse étant la première de notre étendue :
18
4-Création des groupes et des utilisateurs.
1 – Console « Utilisateurs et ordinateurs Active Directory
Se rendre dans le contrôleur de domaine DC2, ouvrir le gestionnaire de serveur, puis outils, Utilisateurs et ordinateurs Active Directory : création d’une unité d’organisation
« INFORMATIQUE », puis création de deux groupes utilisateurs « GRP_admin-intranet » : contenant les utilisateurs, Denis ROUGET, Ellen HOUSTON, René MARBRE.
Création d’un groupe utilisateurs « GRP_Users-intranet » contenant les utilisateurs suivants : Claude MONNET, Evelyne ROBERT, Fred RENAUD, Manon KLEIN.
5-Création d’un dossier partagé pour le domaine m2l.fr.
1 – Création d’un dossier partagé
Créé un dossier dans le lecteur C:\ du serveur DC2 :
19
Création d’un dossier « PartageUsers » sur la partition C :
Faire un clic droit sur le dossier et choisir les groupes d’utilisateurs autorisés à l’accès au
partage en cliquant sur « Partager avec » et « Des personnes spécifiques » :
Cliquez sur « Rechercher des personnes... » et sélectionnez le groupe d’utilisateurs :
20
Après sélection des groupes d’utilisateurs cliquez sur « OK » :
Puis attribuez des droits en lecture/écriture au groupe admin « GRP_Admin-intranet » et en
lecture au groupe utilisateurs « GRP_Users-intranet »:
21
Se rendre sur l’ordinateur client « CL2 » et se connecter avec un compte utilisateur du domaine
m2l.fr qui a un accès en lecture seul :
Dans la barre de recherche tapez \\dc2 puis validez afin de retrouver tous les dossiers
partagés pour le domaine :
22
On retrouve notre dossier partagé « PartageUsers » :
Le dossier de partage est vide, créé un fichier texte pour vérifier les droits en lecture seul pour
l’utilisateur « cmonnet » qui n’a pas le droit d’écriture :
Un message d’erreur indique que l’utilisateur n’a pas le droit de crée de fichier sur ce dossier de
partage :
Nous allons tester l’un des comptes admin pour les droits d’écriture du groupe « GRP_Admin-
intranet » :
23
Déconnectez l’utilisateur précédemment et se connectez avec le compte « drouget » :
Vérifiez les droits d’écriture pour cet utilisateur en créant un fichier texte, l’utilisateur dispose
bien de ses droits d’écriture :
6-Ajout de la fonctionnalité « Sauvegarde Windows Server ».
1 – Sur DC2 ajout de la fonctionnalité de sauvegarde.
Nous allons ajouter cette fonctionnalité afin de permettre une sauvegarde manuelle vers le dossier
partagé créé précédemment dans l’annuaire Active Directory.
Dans le gestionnaire de serveur, installez la fonctionnalité « Sauvegarde Windows Server » :
Dans le gestionnaire de serveur, cliquez sur « Outils », puis sur « Sauvegarde Windows Server » :
24
Faire un clic droit sur « Sauvegarde locale » puis cliquez sur « Planification de sauvegarde...» :
Choisir une sauvegarde complète en sélectionnant « Server complet » puis cliquez sur suivant :
25
Sélectionnez « Sauvegarder sur un dossier réseau partagé » que j’ai déjà créé sur le serveur
DHCP « SAUVEGARDE ». Idéalement, les admins de la M2l devront créer un espace de
stockage dédié aux sauvegardes et sélectionnez « Sauvegarder vers un disque dur dédié aux
sauvegardes », mais pour notre test ceci n’est pas nécessaire :
Spécifier l’emplacement du dossier : \\SRV3\SAUVEGARDES
S’authentifiez :
26
Confirmez la planification de la sauvegarde :
La configuration est terminée, la totalité du serveur sera sauvegardé sur notre dossier partagé tous
les jours à 10H00 :
7-Installation et configuration d’un service bureau à distance
1 – Ajout du rôle serveur « Service de bureau à distance »
Installation et configuration d’un service de bureau à distance sous Windows Serveur 2012
pour les besoins de la m2l. Ajout du rôle serveur « Service bureau à distance »
27
Sélectionnez les services de rôles suivant :
Cliquez sur suivant, puis installez, puis redémarrez le serveur :
Retournez à nouveau sur l’assistant d’ajout de rôles et de fonctionnalités et cliquez sur
« Installation des services Bureau à distance » :
28
Sélectionnez un déploiement standard :
Sélectionnez un déploiement de bureau basés sur une session :
Ajoutons notre serveur pour le service Broker :
29
Cliquez sur la flèche de droite pour sélectionner notre DC2 pour l’accès Web, faire de même
pour les serveurs hôtes de session, puis un résumé vous informe que l’on doit procéder à un
redémarrage du système, cochez la case « Redémarrer automatiquement le serveur de
destination si nécessaire » puis sur « Déployer » :
Attendre la fin de la progression de l’installation, puis cliquez sur « Fermer » :
30
Vue d’ensemble du gestionnaire de serveur :
Création d’une collection de session et nommez la « M2l » :
Sélectionnez notre serveur DC2 :
31
Spécifiez les groupes d’utilisateurs AD autorisés à accéder au serveur :
Décochez la case « Activer les disques de profil utilisateur », puis suivant, « Créer »:
Accueil de notre collection :
32
Cliquez sur « Publiez des programmes RemoteApp » :
Sélectionnez des petits programmes du serveur qui seront accessible par le client, puis cliquez
sur suivant, puis voir la liste des programmes publiés :
Dans le gestionnaire de serveur, cliquez sur « Outil », puis « Terminal Services » et
« Gestionnaire de licences … », puis cliquez sur « Activation du serveur » :
33
Choisissez « Connection auto », puis cliquez sur suivant :
Renseignez les champs :
34
Connexion sur un navigateur avec https://localhost/RDWeb :
Identifiez un compte utilisateur autorisé à accéder au bureau à distance, puis cliquez sur
« s’inscrire »:
Les utilisateurs peuvent accéder à un portail des ressources publiées par le serveur :
35
Configuration des clients
L’adresse pour une connexion à partir des clients « https://dc2/RDWeb » et ajouter l’url dans
le volet des favoris :
Après identification avec un compte de la m2l.fr ex : « m2l\drouget », les clients accèdent aux
ressources partagées du serveur :
8-Mise en place d’une GPO pour l’url du bureau à distance.
1 – Configuration automatique du navigateur via la GPO
Dans le gestionnaire de serveur du DC, cliquez sur outils, puis dans « Gestion des
stratégies de groupe » :
36
Déroulez le menu de la forêt de la m2l.fr, puis cliquez sur « Domaines » et déroulez le menu « M2l.fr » :
Faites un clic droit, puis sur « Nouvelle unité d’organisation » :
Nommez la nouvelle unité d’organisation « INFORMATIQUE »,
Puis « Créer un objet GPO dans ce domaine, et le lier ici... » Cela veut dire que la GPO crée sera directement liée à l’unité d’organisation sélectionnée :
37
Nommez votre objet GPO «navigateur »
Le message suivant vous indique que cette GPO s’appliquera à tous les objets faisant partie de cette unité d’organisation :
Faire un clic droit, puis cliquez sur « Modifier » :
Puis se rendre dans le menu « Configuration utilisateur », puis « Préférences », puis « Paramètres du Panneau de configuration » et enfin sur « Paramètres Internet » nouveau, sélectionnez « Internet Explorer 10 » :
38
Puis dans les propriétés du navigateur, entrez l’adresse du portail bureau à distance q de la m2l « dc2/RDWeb », puis valider les modifications avec la touche CTRL + F6 puis appliquer :
Fermez l’éditeur de stratégies de groupe :
39
Puis cliquez sur notre GPO « Navigateur » puis cliquez sur « Appliqué » :
2 – Test du client
Pour tester la GPO, se rendre sur le poste client « CL2 » en se connectant avec le compte admin du domaine, puis remplacez l’adresse de la page par défaut d’internet :
40
Lancer la console CMD en mode administrateur, puis lancez la commande « GpUpdate /force » pour la mise à jour des stratégies d’active directory et vérifiez si la MAJ de la GPO s’est bien déroulée :
Se connecter avec l’un des comptes de l’unité d’organisation « INFORMATIQUE » puis vérifier que l’adresse https://DC2/RDWeb est bien dans la page d’accueil du navigateur internet explorer et que notre GPO s’est bien activée lors de l’ouverture de session de l’utilisateur :
41
La GPO s’est bien appliquée au navigateur pour l’utilisateur de l’OU « INFORMATIQUE », la page par défaut a bien été modifiée par Active Directory :
