TP3 Windows 2003 server

TP3 Windows 2003 server
Active Directory
Gestion des stratégies de sécurité
1
2
3
4
5
6
Installation de Windows 2003 server en machine virtuelle..............................................................2
Installation de Active Directory.......................................................................................................2
Après l'installation ...........................................................................................................................3
Intégrer une station dans le domaine de ce serveur..........................................................................3
Délégation d'administration et stratégies de groupe.........................................................................4
Notes sur l'application des stratégies de groupe .............................................................................4
TP N° 3 Windows 2003 server
1/4
Groupe esaip
1 Installation de Windows 2003 server en machine virtuelle
1. Démarrer VmWare
Démarrage des services VmWare
Gérer le poste de travail :: services
2. Créer ou vérifier l'existence d'une partition sur le disque dur de Windows, disposant de
suffisamment d'espace 3Go+3Go) , pour y enregistrer les disques virtuels (Poste de travail :: gérer ::
Espace de stockage : nommer R: cette nouvelle partition formatée en FAT32 ou NTFS)
3. Créer un nouvelle machine virtuelle pour windows 2003 server
●
Comment sera gérée la carte virtuelle réseau ?
●
Quel sera la taille du disque virtuel ?
●
Où sera situé le disque virtuel ?
4. Démarrer la machine virtuelle et Installer windows 2003 server à partir du CD1
−
comme un serveur autonome (workgroup)
−
vérifier que la machine a correctement obtenu une adresse IP en DHCP
et que cette machine virtuelle accède à Internet
−
Noter l'adresse IP de ce serveur
−
Noter l'adresse MAC de ce serveur2
5. Revenir sur la machine hôte
et noter les adresses IP et MAC de toutes les interfaces réseau définies sur la machine Hôte
2 Installation de Active Directory
1. Installer Active Directory sur le serveur (soit à partir de l'interface graphique soit en tapant dcprom
−
nouveau domaine, nouvelle arborescence, nouvelle forêt
−
Choisir un nom de domaine spécifique
2. Installer un serveur DNS
Ne pas installer de serveur DHCP
1 Pour gagner le temps de l'installation il sera possible de récupérer une copie du disque virtuel par ftp://forum (copier
l'image .ZIP dans l'unité R: décompresser ce fichier et ouvrir le fichier correspondant à cette machine virtuelle.
Attention il sera sans doute nécessaire de redéfinir le chemin d'accès au disque virtuel (R: au lieu de V:)
2 Attention, si plusieurs cartes virtuelles avaient la même adresse MAC, il serait nécessaire de la changer
manuellement (voir propriétés de la carte Ethernet)
TP N° 3 Windows 2003 server
2/4
Groupe esaip
3 Après l'installation
1. configurer les paramètres IP du serveur pour que
le serveur DNS interrrogé soit "lui-même"
vérification : nslookup donne l'adresse IP¨correspondant au nom du serveur (résolution directe)
mais ne donne pas le nom du serveur correspondant à son adresse (résolution inverse)
2. Modifier les paramètres du serveur DNS :
créer un zone de redirection inverse : nouvelle zone principale (non intégrée à AD)
créer ensuite un nouveau pointeur dans cette zone : IP du serveur, associée au nom du serveur
Actualiser la zone
Vérifier avec nslookup que cette fois-ci la redirection inverse donne une correspondance pour
l'adrese IP du serveur
3. configurer les paramètres IP du serveur pour que le serveur WINS interrogé soit "lui-même"
taper nbtstat -A adresse-du-serveur
on doit obtenir la liste des services netbios hébergés par ce serveur
4 Intégrer une station dans le domaine de ce serveur
En s'inspirant du TP Windows N°2 , on intégrera dans le domaine de ce serveur une serveur Windows 2003
autonome, qui deviendra dons un serveur membre de ce nouveau domaine.
On devra donc au préalable changer les paramètres TCP/IP de ce serveur autonome de telle sorte que
son serveur DNS soit le serveur DNS installé sur notre nouveau contrôleur de domaine
vérifier par nslookup comme ci-dessus
et (facultatif) :
son serveur WINS soit soit le serveur WINS installé sur notre nouveau contrôleur de domaine
vérifier par nbtstat -A
adresse-IP-du-contrôleur-de-domaine
Intégrer le serveur dans le domaine choisi via "Propriétés du poste de travail :: Identification Réseau "
On utilisera un nom d'utilisateur du domaine préalablement défini (il n'est pas nécessaire que cet
utilisateur soit administrateur : un utilisateur peut par défaut intégrer jusqu'à 10 stations dans un domaine).
TP N° 3 Windows 2003 server
3/4
Groupe esaip
5 Délégation d'administration et stratégies de groupe
−
donner une délégation d'administration à cet utilisateur sur une unité organisationnelle où il
pourra créer de nouveau utilisateurs
−
créer une unité organisationnelle dans laquelle on mettra l'ordinateur qui vient d'être intégré au
domaine et créer une stratégie de sécurité appliquée à cette UO3 de telle sorte que sur les
ordinateurs de cette UO, on ne puisse pas modifier l'heure du système (ou d'autres restrictions
applicables au poste de travail, ou à l'utilisateur)
−
Sur le poste de travail, pour créer des utilisateurs dans l'annuaire Active Directory il sera
nécessaire de disposer des outils d'administration d'active Directory sur la station : ceux-ci
seront installés à partir de adminpak.msi disponible sur le CD
6 Notes sur l'application des stratégies de groupe
Ordre d'application des stratégies de groupe :
1. site (1 seul site : celui dont on fait partie)
2. domaine (1 seul domaine, celui dont on fait partie, pas d'héritage entre les domaines parentsenfants d'une forêt)
3. unités d'organisation (tient compte de l'inclusion des UO)
On peut bloquer l'héritage au niveau UO ou domaine.
Si plusieurs stratégies sont appliquées à la même UO, l'ordre est important: les stratégies sont appliquées
de bas en haut : c'est donc la stratégies la plus haute qui est appliquée, car appliquée en dernier, si des
paramètres sont définis différemment dans ces différentes stratégies
Les changements de stratégies de groupe sont répercutées
➢
toutes les 5 minutes sur les contrôleurs de domaines
➢
toutes les 90 minutes sur les stations
➢
ou immédiatement si on utilise gpupdate /force
3 Pour définir ou appliquer une stratégie de groupe, voir Propriétés de l'UO
TP N° 3 Windows 2003 server
4/4
Groupe esaip