TP 3 : NTFS et Active Directory (2 h 00)

TP 3 : NTFS et Active Directory (2 h 00)
I
ENVIRONNEMENT LOGICIEL ET MATÉRIEL
Vous disposez de :

Windows 2008 server R2 Datacenter en tant que contrôleur de domaine
ActiveDirectory sur le domaine « votrenom.local» ;

Windows Seven virtuel intégré au domaine "votrenom.local" :
II
CRÉATION DES DOSSIERS PARTAGÉS
L’objectif est de créer des espaces de partage de fichiers pour les différents départements de
l’entreprise.
Créez les répertoires « Departements », puis les sous-répertoires « Artistes », « Auteurs » et
« Direction ». Créez pour chacun d’entre eux un partage accessible à « Tout le monde » en
lecture/écriture
Avant de modifier l'héritage sur les sous-dossiers, regardez bien les autorisations associées à chaque
groupe hérité.
Conservez les mêmes pour les trois groupes ci-dessous et donnez les mêmes autorisations que celles
qu'a le groupe "Utilisateurs" à chacun des groupes autorisés à accéder à un partage. En effet, seuls les
artistes doivent avoir accès au partage "Artistes" etc et seul le propriétaire d'un fichier ou d'un dossier
créé dans ce partage doivent pouvoir détruire ce fichier ou ce dossier.
Créez les groupes locaux nécessaires, insérez-y les groupes globaux et modifiez les permissions NTFS
de ces répertoires afin qu’elles soient conformes avec la stratégie choisie.
Testez ensuite pour chaque utilisateur membre des groupes l’accès à ces répertoires en effectuant un
mappage réseau manuel depuis le poste client de votre domaine. Attention, un artiste ne doit pas avoir
accès au répertoire « Auteurs » et vice-versa.
1
Marie-pascale Delamare d'après Genaël Valet
N°1 : Utilisateurs, groupes et permissions - Génaël VALET – Reproduction interdite
Pour effectuer un mappage réseau (X:), il est possible d’utiliser la commande suivante depuis l’invite
de commande (Sur le poste client):
Net use X: \\NOMDUSERVEUR\NOMDUPARTAGE
Sous Windows Seven
Art1 accède-t-il à son répertoire de partage ?
 Oui
 Non
Art1 peut-il créer un répertoire ?
 Oui
 Non
Art1 peut-il créer un fichier ?
 Oui
 Non
Art1 accède-t-il au répertoire de partage des Auteurs?
 Oui
 Non
Art1 accède-t-il au répertoire de partage de la Direction ?
 Oui
 Non
Art2 accède-t-il à son répertoire de partage ?
 Oui
 Non
Art2 peut-il créer un répertoire ?
 Oui
 Non
Art2 peut-il créer un fichier ?
 Oui
 Non
Art2 accède-t-il au répertoire de partage des Auteurs?
 Oui
 Non
Art2 accède-t-il au répertoire de partage de la Direction ?
 Oui
 Non
Art2 peut-il détruire un répertoire créé par Art1 ?
 Oui
 Non
Art2 peut-il détruire un fichier créé par de Art1 ?
 Oui
 Non
Aut1 accède-t-il à son répertoire de partage ?
 Oui
 Non
Aut1 accède-t-il au répertoire de partage des Artistes?
 Oui
 Non
Aut1 accède-t-il au répertoire de partage de la Direction ?
 Oui
 Non
Boss accède-t-il à son répertoire de partage ?
 Oui
 Non
Boss accède-t-il au répertoire de partage des Artistes?
 Oui
 Non
 Oui
 Non
Faites la même chose avec le compte Aut1 (mot de passe Password1)
Faites la même chose avec le compte Boss (mot de passe Password1)
Boss accède-t-il au répertoire de partage des Auteurs
III
?
PROBLÉMATIQUE À RÉSOUDRE
La direction a de nouveaux besoins :

L’utilisateur « pbocuse » (Paul BOCUSE), nouveau directeur des «Artistes» et des
«Auteurs» doit avoir accès aux documents des 2 départements en lecture/écriture
Proposer une solution à ce problème en gardant bien à l’esprit qu’il vaut mieux
raisonner au niveau groupe qu’au niveau utilisateur. Il est possible de créer de
nouveaux groupes pour satisfaire ces besoins mais aussi d’ajouter un utilisateur à un
groupe pour qu’il bénéficie des permissions accordées au groupe.
Mettez en œuvre la solution et testez tous les cas de figure depuis le poste client.
pBocuse accède-t-il aux deux répertoires partagés (Auteurs et Artistes) ?
 Oui
 Non
2
Marie-pascale Delamare d'après Genaël Valet
pBocuse peut-il créer des dossiers dans les deux répertoires (Auteurs et Artistes) ?
 Oui
 Non
pBocuse peut-il créer des fichiers dans les deux répertoires (Auteurs et Artistes) ?
 Oui
 Non
pBocuse peut-il supprimer des fichiers qui ne lui appartiennent pas ?
 Oui
 Non
pBocuse peut-il supprimer des répertoires qui ne lui appartiennent pas ?
 Oui
 Non
IV
SCRIPT DE CONNEXION
Plutôt que de laisser nos utilisateurs connecter manuellement les lecteurs réseau correspondants aux
partages nous allons faire des scripts de connexion.
Sur le poste Seven, créez un script "Artistes.bat" dans lequel vous insérez la commande Net use
nécessaire et que vous testez en local.
Faites la même chose pour le groupe "Auteurs".
Faites la même chose pour l'utilisateur pBocuse qui lui doit avoir deux lecteurs réseau.
Recopiez ensuite ces scripts dans le répertoire Netlogon du serveur Win 2008 R2 (déjà partagé en
lecture seule).
Affichez ensuite les propriétés des utilisateurs des groupes "Artistes" et "Auteurs" et inscrivez le nom
du script à déclencher à l'ouverture de session (onglet Profil).
Testez avec un artiste, un auteur et avec l'utilisateur pBocuse.
Testez en vous connectant avec un membre du groupe "Artistes" puis "Auteurs" puis avec pBocuse.
3
Marie-pascale Delamare d'après Genaël Valet