Vous pouvez créer des utilisateurs, des groupes

TP : Unités d’organisation, comptes, groupes, profils et
powershell
I ENVIRONNEMENT LOGICIEL ET MATÉRIEL
Vous disposez de :

Windows 2008 server R2 Datacenter en tant que contrôleur de domaine
ActiveDirectory sur le domaine « votrenom.local» ;

Windows Seven intégré au domaine "votrenom.local" :
II LES COMPTES, LES GROUPES C'EST QUOI ?
Les comptes et les groupes permettent de gérer plus facilement l’administration du réseau. Il semble
assez logique que sur un réseau, n’importe qui ne fasse pas n’importe quoi. L’Administrateur a
généralement des droits et des permissions élevés sur tous les objets du réseau (comptes d’utilisateurs,
machines, dossiers…) alors que les utilisateurs ont des droits moindres. Pour faciliter encore cette
gestion on peut regrouper les utilisateurs en groupes et c’est à tel ou tel groupe qu’on va attribuer des
droits ou des permissions.
Pour accéder à l’ensemble des ressources d’un domaine il faut créer des comptes et des groupes
accessibles depuis n’importe quel poste (sauf limitations particulières). Ces comptes d’utilisateurs et
ces groupes sont stockés dans la base de données de l’Active Directory, base de données stockée sur le
serveur qui a été installé en Active Directory.
Pour essayer de mettre en évidence ces notions, nous allons créer cinq comptes d’utilisateurs (Art1,
Art2, Aut1, Aut2 et Boss). Ultérieurement, lors des autres TP, les "Artistes" auront le droit de faire des
choses, les "Auteurs" n’auront que des droits minimums et le Boss aura des droits d’administrateur.
III
PREPARATION DES PARTAGES RÉSEAU ET PERMISSIONS NTFS
Créez un partage réseau pour le répertoire « c:\homes » accessible à « Tout le monde » en «
Lecture/Écriture ».
Modifiez les permissions NTFS du répertoire « homes » afin de supprimer les permissions de « Tout
le monde » sur le répertoire « homes ». Conservez les permissions pour les utilisateurs « Système », «
Administrateurs ». Ajoutez l’utilisateur « CREATEUR PROPRIETAIRE » et vérifiez ces droits dans
le paramétrage avancé. Ces autorisations seront propagées par héritage aux sous dossiers crées.
Créez un dossier partagé caché ($ à la fin du nom) sur le serveur par exemple « profils$ », et donnez à
"Tout le monde" l’autorisation "Modifier" sur ce dossier.
IV
CRÉATION DE COMPTES
Pour aller à l’essentiel nous allons utiliser un script Powershell pour créer nos comptes utilisateurs.
Vous le trouverez sur le serveur de fichier, répertoire \SISR4\tpAD
Ce script utilise deux modules Powershell, ActiveDirectory et NTFSSECURITY. Le second doit être
téléchargé ici : http://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef-
90dbb2b84e85/file/48905/1/NTFSSecurity%201.3.zip
Une fois téléchargé, mettez le dossier dézippé du module NTFSSecurity dans le répertoire
C:\Windows\System32\WindowsPowerShell\v1.0\Modules.
1
Marie-pascale Delamare
Affichez toutes les cmdlets contenant NTFS :
Get-command *NTFS*
Exécutez le script Powershell.
V COMPREHENSION DE L‘ARCHITECTURE CRÉÉE
Dessinez ci-dessous l’architecture des unités d’organisation créées
Quelle commande crée une unité d’organisation ?
Dessinez ci-dessous l’Architecture des groupes créés
Quelle commande crée un groupe ?
Combien de types de groupe sont utilisés dans ce script ?
En recherchant sur Internet, précisez l’utilité de ces différents types de groupe.
Comment rajoute-t-on un utilisateur dans un groupe dans le script ?
Dessinez ci-dessous l’architecture des répertoires créés
2
Marie-pascale Delamare
Quelle commande crée un répertoire ?
Quelle commande change le propriétaire d’un répertoire ?
VI
ESSAIS DE CONNEXION D’UTILISATEURS
Une fois que les comptes d’utilisateurs et les groupes ont été créés, nous pouvons en tester le
« fonctionnement ».
Essayez de vous « loguer » avec le nom Art1 (Ce compte Art1a été créé comme utilisateur du
domaine sur le poste installé en Windows 2008 serveur et disposant dorénavant de l’Active Directory)
- mot de passe Password1.
Sur le Serveur - Y arrivez-vous ?
 Oui
 Non
Sur la Station (domaine) - Y arrivez-vous ?
 Oui
 Non
Sur la Station (machine locale) - Y arrivez-vous ?
 Oui
 Non
Tirez en les conclusions qui s’imposent sur les possibilités de connexion des utilisateurs du domaine
depuis les postes.
- Sur le serveur :
- Sur la station (domaine) :
- Sur la station (machine locale)
Nota : des tests complets exigeraient des tenter une connexion pour chaque compte.
Quelle commande crée un utilisateur ?
Où sont crées les utilisateurs ?
Ont-ils un répertoire personnel ?
Quelle sont les propriétés d’un utilisateur permettant de gérer son répertoire personnel ? Quels sont
leurs noms dans la commande powershell de création d’un utilisateur ?
3
Marie-pascale Delamare
VII
OBSERVATION DE L‘ARCHITECTURE CRÉÉE
Dessinez ci-dessous l’architecture des répertoires créés après avoir vérifié d’éventuels changements.
Remarque : Pour l’afficher les fichiers masqués dans l’Explorateur Windows, dans Panneau de
configuration, puis sur Options des dossiers. Dans l’onglet Affichage de la boîte de dialogue
Options des dossiers, sous Paramètres avancés, activez la case à cocher Afficher les fichiers et
dossiers cachés. Désactivez la case à cocher Cacher les extensions des fichiers dont le type est
connu, puis cliquez sur 0K.
VIII
LES PROFILS UTILISATEUR
Dans Windows Seven, l’environnement informatique d’un utilisateur est essentiellement déterminé par
son profil d’utilisateur. Pour des raisons de sécurité, Windows Seven nécessite un profil d’utilisateur
pour chaque compte d’utilisateur pouvant accéder au système.
Le profil d’utilisateur contient tous les paramètres que l’utilisateur peut définir pour l’environnement
de travail d’un ordinateur qui exécute Windows Seven à savoir les paramètres de l’affichage, les
paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et
aux imprimantes. Vous pouvez configurer des profils d’utilisateur pour qu’un profil suive un
utilisateur sur chaque ordinateur sur lequel il ouvre une session.
VIII.1 TYPES DE PROFILS D’UTILISATEUR
Le profil d’utilisateur est créé à la première ouverture de session de l’utilisateur sur un ordinateur.
Tous les paramètres propres à l’utilisateur sont automatiquement enregistrés dans le sous-dossier de
cet utilisateur dans le dossier Utilisateurs. Lorsque l’utilisateur ferme la session, son profil
d’utilisateur est mis à jour sur l’ordinateur sur lequel il avait ouvert la session. Le profil d’utilisateur
conserve donc les paramètres de bureau de l’environnement de travail de chaque utilisateur sur
l’ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d’utilisateur
obligatoires.
Les types de profils d’utilisateur sont présentés ci-dessous.
 Profil d’utilisateur local. Ce profil est créé la première fois qu’un utilisateur ouvre une session sur
un ordinateur, et est stocké sur l’ordinateur local dans le répertoire "Utilisateurs". Toutes les
modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les
changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur.
 Profil d’utilisateur itinérant. Ce profil est créé par l’administrateur système et stocké sur un
serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur
le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur
est mis à jour sur le serveur lorsqu’il ferme la session.
 Profil d’utilisateur obligatoire. Ce profil est créé par l’administrateur pour indiquer les paramètres
particuliers d’un utilisateur ou d’utilisateurs, et peut être de type local ou itinérant. Un profil
4
Marie-pascale Delamare
d’utilisateur obligatoire ne permet pas à un utilisateur d’enregistrer des modifications apportées aux
paramètres de son bureau. L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur
lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.
VIII.2 CRÉATION DE PROFILS D’UTILISATEUR ITINÉRANTS
Vous pouvez stocker des profils d’utilisateur sur un serveur pour qu’ils soient disponibles à chaque
fois qu’un utilisateur ouvre une session sur un ordinateur du réseau. Les profils d’utilisateur itinérants
et obligatoires sont stockés de façon centralisée sur un serveur, afin de permettre aux utilisateurs de
disposer du même environnement de travail quel que soit l’ordinateur sur lequel ils ouvrent une
session.
Pour créer un profil d’utilisateur itinérant, suivez la procédure ci-dessous :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. Dans le volet de détails, cliquez
avec le bouton droit sur le compte d’utilisateur approprié, puis cliquez sur Propriétés. Dans
l’onglet Profil, sous Profil utilisateur, tapez le chemin du dossier partagé dans la zone Chemin
du
profil.
Le
chemin
d’accès
doit
s’afficher
de
la
façon
suivante
"\\serveur\dossier_partagé\votreUtilisateur" (Vous pouvez utiliser la variable %username% au
lieu d’indiquer le nom de l’utilisateur. Windows 2008 remplace alors automatiquement
%username% par le nom du compte d’utilisateur du profil d’utilisateur itinérant).
2. Connectez-vous sur la machine Seven avec ce compte utilisateur. Rajoutez une icône sur le
bureau. Puis déconnectez-vous.
3. Sur le serveur, en tant qu'administrateur appropriez-vous ce dosssier "Profils$\VotreUtilisateur"
mais laissez bien tous les droits à votreUtilisateur. Observez son contenu en faisant apparaître les
fichiers cachés.
Remarque : Le fichier Ntuser.dat contient la section du registre qui s’applique au compte
d’utilisateur, et contient les paramètres du profil d’utilisateur. Ce fichier se trouve dans le dossier de
profil de l’utilisateur.
Quelle instruction dans le script indique à l’utilisateur où sauvegarder son profil ?
Pourquoi le profil de l’utilisateur n’apparaissait pas avant la première connexion sous le compte de
l’utilisateur ?
5
Marie-pascale Delamare
Annexe : Le script powershell à utiliser
# On importe le module active directory et le module de gestion NTFS
Import-Module ActiveDirectory
Import-Module NTFSSECURITY
#Gestion emplacement
#Attention à changer
$ipServeurDeFichiers
$emplacement= "\\" +
des repertoires personnels
l’adresse IP
= "172.31.0.100"
$ipServeurDeFichiers + "\homes\"
#Gestion emplacement des repertoires de profils
$partage= "\\" + $ipServeurDeFichiers + "\profils$\"
# Creation des unites d'organisation
# Attention à changer le domaine
New-ADOrganizationalUnit -Name Departements -Path "DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Groupes -Path "DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Artistes -Path
"OU=Departements,DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Auteurs -Path
"OU=Departements,DC=delamare,DC=local"
New-ADOrganizationalUnit -Name Direction -Path
"OU=Departements,DC=delamare,DC=local"
# Creation des groupes
# Attention à changer le domaine
$chemin = "OU=Groupes,DC=delamare,DC=local"
# Creation des groupes globaux
New-ADGroup -Name gg_Artistes -Path "$chemin" -GroupCategory Security GroupScope Global `
-SamAccountName
gg_Artistes
New-ADGroup -Name gg_Auteurs -Path "$chemin" -GroupCategory Security GroupScope Global `
-SamAccountName
gg_Auteurs
New-ADGroup -Name gg_Direction -Path "$chemin" -GroupCategory Security GroupScope Global `
-SamAccountName
gg_Direction
# Creation des groupes locaux
New-ADGroup -Name gl_Artistes -Path "$chemin" -GroupCategory Security GroupScope DomainLocal `
-SamAccountName gl_Artistes
New-ADGroup -Name gl_Auteurs -Path "$chemin" -GroupCategory Security GroupScope DomainLocal `
-SamAccountName gl_Auteurs
New-ADGroup -Name gl_Direction -Path "$chemin" -GroupCategory Security GroupScope DomainLocal `
-SamAccountName gl_Direction
# Ajout des groupes globaux
Add-ADGroupMember -Identity
Add-ADGroupMember -Identity
Add-ADGroupMember -Identity
#Chiffrement du mot de passe
6
Marie-pascale Delamare
dans les groupes de domaine locaux
gl_Artistes -Members gg_Artistes
gl_Auteurs -Members gg_Auteurs
gl_Direction -Members gg_Direction
$securepwd = ConvertTo-SecureString "Password1" -AsPlainText -Force
Import-Csv C:\Users\Administrateur\Desktop\annuaire.csv -Delimiter ";" |
ForEach {
# Attention à changer le domaine
$chemin = "OU="+ $_.OU + ",OU=Departements,DC=delamare,DC=local"
#Ajout de l?utilisateur
$sam = $_.SamAccountName
$displayName = $_.Name + " " + $_.GivenName
$dossier = $emplacement + $sam
$profil = $partage + $sam
New-ADUser -Path "$chemin" `
-SamAccountName $sam `
-Name $_.Name `
-SurName $_.Name `
-GivenName $_.GivenName `
-DisplayName "$displayName" `
-AccountPassword $securepwd `
-HomeDirectory $dossier `
-HomeDrive 'U:' `
-ProfilePath $profil `
-Enabled $true
# On affecte ensuite les utilisateurs dans leur groupe respectif
# Attention à changer le domaine
$chemin = "CN=" + $_.Groupe + ",OU=Groupes,DC=delamare,DC=local"
$cheminUtilisateur = "CN=" + $sam + ",OU=" + $_.OU +
",OU=Departement,DC=delamare,DC=local"
Add-ADGroupMember -Identity $chemin -Members $sam
# On cree le repertoire de chaque utilisateur et on change le
propriétaire
# Attention à changer le domaine
Set-Location $emplacement
New-item -Name $sam -ItemType directory | Set-NTFSOwner -Account
"delamare.local\$sam"
}
7
Marie-pascale Delamare