TP Partage de ressources sur un réseau local avec un contrôleur de

TP Partage de ressources sur un réseau local avec un contrôleur de domaine
sous Windows 2008 Server
Pour gérer un réseau local avec un serveur contrôleur de domaine sous Microsoft ® Windows 2008
Server, il faut bien sûr installer le serveur et avoir quelques clients permettant de vérifier que nos
manipulations sont réellement effectives sur ces postes clients, pour des utilisateurs classiques du
réseau local.
Contexte : vous travaillez dans un établissement scolaire qui est le lycée Professionnel de la Licorne,
d’où le nom de domaine traité plus bas qui sera LICPRO.
Des comptes utilisateurs seront créés, ainsi que des groupes et des partages de dossiers,
essentiellement via l’Active Directory (la gestion de l’annuaire du domaine Microsoft). Ceci dans le
cadre d’un établissement scolaire qui sera virtuellement la cité scolaire Jean Monnet – Jean Mermoz.
Nous allons gérer toutes les ressources partagées de notre Domaine, à commencer par les utilisateurs
et les groupes d’utilisateurs dans l’Active Directory (l’annuaire) puis au niveau des dossiers partagés.
Cette gestion des ressources est utilisée tout aussi bien dans un cadre scolaire comme pour notre
exemple que dans une grande entreprise qui gère des centaines de comptes et de dossiers partagés.
A la fin de ce long TP en 20 points, vous serez en mesure de gérer un contrôleur de Domaine avec tous
ces comptes utilisateurs, ces groupes d’utilisateurs, les Autorisations du partage sur des dossiers et
mieux encore les permissions NTFS qui vont bien, ces Unités d’Organisations (UO), ces dossiers
partagés en tant que serveur de fichiers, connecter les lecteurs réseau, …. Bref, tout ce qu’il faut pour
gérer les bases d’un Domaine Client / Serveur avec son annuaire.
Merci de suivre les étapes suivantes pour avancer dans le TP :
1. Commençons par aller sous l’Active Directory pour gérer les utilisateurs. Vérifiez que l’AD soit active,
sinon passez par la commande dcpromo (voir cours). Chaque élève doit appartenir au groupe qui lui
revient. CARPENTIER est une étudiante de TS2SIO, elle doit donc appartenir à ce groupe (choisir de
préférence des groupes globaux, ils seront ainsi intégrés au domaine). Créez les UO nécessaires.
Remarque : TE12 signifie Monnet (pour une question de notation, Z correspondra à Mermoz sachant
que les deux noms commencent par la même lettre), Elève, année 2011-2012.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 1 sur 12
2. Dans les propriétés de cet utilisateur, on peut y ajouter une description…
… la gestion de son mot de passe, ses horaires d’accès, …
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 2 sur 12
… le chemin où l’on va trouver son script de démarrage à l’ouverture de sa session…
… le ou les groupes auxquels l’utilisateur appartient…
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 3 sur 12
3. Ne pas oublier de créer un compte de secours pour l’administrateur du réseau au cas où son compte
principal ne serait plus accessible. Essayez d’imaginer si personne ne peut plus rentrer sur le serveur
en tant qu’administrateur réseau, ce serait une vraie catastrophe.
4. Très important, voici l’endroit où sont créés les différents groupes de professeurs et d’élèves. A vous
de créer toutes les Unités d’Organisation (UO) nécessaires. Les UO sont des objets conteneurs qui
permettent de hiérarchiser Active Directory et tiennent lieu de frontière pour la délégation
d’autorisations administratives.
Au moment de créer une UO, pensez que vous ne pourrez pas la supprimer par erreur si vous laissez
cocher « Protéger le conteneur contre une suppression accidentelle ».
On distinguera aisément les Unités d’Organisation des groupes d’utilisateurs et des utilisateurs grâce à
leurs icônes.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 4 sur 12
Il vous faut maintenant créer les groupes d’utilisateurs comme ci-dessous :
Sous Windows Server Active Directory, les 3 types de groupes sont :
- le groupe local : il ne peut comprendre que des utilisateurs de son propre domaine ;
- le groupe global : au sein d'un domaine, il est principalement utilisé pour affecter des droits à des
ressources dans un domaine ;
- le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et utilisateurs
d'autres domaines.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 5 sur 12
5. Et voilà comment indiquer quels sont les utilisateurs membres de ce groupe. Ici pour les
professeurs.
Et là pour les élèves.
On peut remarquer que le compte de CIVEL2 est désactivé (peut-être a-t-il dépassé son quota disque).
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 6 sur 12
6. Pour finir, on peut choisir un utilisateur et vérifier à quels groupes il appartient.
7. Maintenant, passons au partage des dossiers. Vous devez commencer par vous placer sur le serveur
de fichiers, qui fait aussi office de contrôleur de domaine. Créez depuis un dossier de
l’un des disques durs (attention, la place prise par les fichiers des élèves et des
professeurs risque de se compter en centaines de Go). Créez les 2 dossiers « eleves »
et « profs » comme ci-contre.
Créez ensuite quelques classes sur le serveur de fichiers depuis le dossier « eleves ». Ne donnez pas
de noms de partage à ces dossiers à l’intérieur du dossier « eleves ».
Commencez par créer les TS1SIO et les TS2SIO.
Quand on clique avec le bouton droit sur le dossier, il faut
ensuite choisir Propriétés puis l’onglet Partage pour
obtenir la fenêtre ci-dessous.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 7 sur 12
Cliquez sur le bouton Partage avancé… puis cochez Partager ce dossier, donnez un Nom du partage
suivi d’un caractère dollar $ pour anonymer le dossier lors d’une recherche sur le réseau.
L’onglet Sécurité permet de choisir les droits que l’on donnera
aux utilisateurs et/ou groupes d’utilisateurs. Dans notre
exemple, nous gagnerons énormément de temps en donnant
des droits à une classe entière plutôt qu’à chacun des élèves
de la classe.
Depuis la fenêtre ci-contre, on clique sur le bouton Modifier
pour changer les droits.
On se rend compte alors qu’on ne peut pas modifier
directement ces autorisations :
Cliquez alors sur OK, puis de nouveau sur OK puis sur le bouton Avancé quand on est revenu à l’onglet
Sécurité.
Ici, il faut cliquer sur le bouton Modifier.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 8 sur 12
On obtient alors :
Il reste à « décocher » Inclure les autorisations pouvant être héritées du parent de cet objet. On peut
maintenant cliquer sur le bouton Supprimer malgré le message inquiétant qui apparaît pour qu’il n’y ait
plus d’autorisations sur le partage de ce dossier. Il reste à Appliquer les modifications, passer le
message qui indique qu’il n’y a plus aucun droit sur ce dossier et surtout, depuis le retour à l’onglet
Sécurité, positionner correctement les Utilisateurs et les Groupes qui conviennent sans oublier
d’Ajouter un Contrôle total dans la colonne Autoriser à l’administrateur ou plutôt au groupe des
Administrateurs. Ajouter ensuite les autres Utilisateurs et Groupes d’utilisateurs avec des droits
modérés. Si on regarde de près ces droits, on peut par exemple permettre de déposer des fichiers
dans le dossier sans pouvoir ensuite les modifier ni les supprimer mais on pourra les lire. Ces droits
permettent un ajustement très précis des permissions accordées à chacun.
Attention ! Il ne faut pas confondre les permissions NTFS
que l’on vient de voir en détail et les Autorisations du
partage d’un dossier. Dans notre TP, nous n’utilisons que
les permissions NTFS et c’est bien souvent suffisant.
Les Autorisations du partage d’un dossier se gèrent à
partir de l’onglet Partage, puis Partage avancé… puis en
cliquant sur le bouton Autorisations.
La fenêtre ci-contre montre la gestion de ces
Autorisations du partage.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 9 sur 12
Certains utilisent les Autorisations du Partage combinées aux permissions NTFS. Dans ce cas, voilà la
méthode à suivre mais attention à ne surtout pas rendre incompatibles ces Autorisations et ces
permissions :
Prenons un exemple de ce qu'il faut faire pour être plus clair : si vous voulez partager un dossier du
serveur pour le service commercial, que le chef de service puisse lire et écrire des fichiers mais que les
commerciaux ne puissent que lire ces fichiers, voilà la procédure : commencez par créer dans l'Active
Directory un groupe Chef_des_commerciaux, un groupe Tous_les_commerciaux et un groupe
Les_commerciaux dans lequel il y a tous les commerciaux sauf le chef, il faut ensuite créer le partage
sur le dossier, lui donner un nom avec $ à la fin, comme permissions d'accès au partage il faut ajouter
le groupe Tous_les_commerciaux en Modification. Ensuite, on donne les permissions NTFS dans
l'onglet Sécurité en mettant Chef_des_commerciaux en Modification et Les_commerciaux en Lecture
seule et c'est gagné.
L’écran ci-dessous montre comment sécuriser (grâce encore une fois au système de gestion de fichiers
NTFS) chacun des dossiers en autorisant ou non les accès à utilisateur ou par groupe d’utilisateurs. On
note que le groupe des professeurs des TS2SIO (noté TS2SIO_p, le groupe des élèves est noté
TS2SIO_e) ne peut qu’accéder en affichage au dossier de la classe (pour le voir mais sans pouvoir y
modifier quoi que ce soit, contrairement aux sous-dossiers de ce dossier partagé TS2SIO).
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 10 sur 12
8. Maintenant, il vous faut créer des comptes pour les élèves et les professeurs de ces 2 classes
(TS1SIO et TS2SIO pour rappel). Créez aussi des sous-dossiers pour les dossiers partagés de ces
2 classes avec un dossier par élève portant le nom de l’étudiant.
A l’intérieur d’un dossier correspondant à une classe, nous allons aussi créer un dossier appelé
_commun (le caractère underscore permet de placer ce nom de dossier en début de liste) qui sera
accessible par « tout le monde » de la classe (élèves et professeurs).
Il est à noter que le groupe des élèves
(TS2SIO_e) ainsi que celui des professeurs
(TS2SIO_p) des TS2SIO ont toutes les
autorisations sauf le Contrôle total (à
réserver absolument à l’administrateur et
personne d’autre).
Elèves et professeurs peuvent créer des
sous-dossiers de ce dossier _commun.
9. Ce dossier _commun sera désormais le
dossier partagé des TS2SIO. Il faut donc le
mettre en partage en lui donnant le nom de
la classe.
A noter que pour partager un dossier, il est
conseillé de cliquer droit sur le nom du
dossier, puis d’aller dans Propriétés, puis le
bouton Partage avancé…
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 11 sur 12
Tutoriel pour DCPROMO (création du contrôleur de domaine)
Pour créer le contrôleur de domaine, donner une adresse IP fixe au serveur 2008 ainsi qu’aux clients
(et configurer toutes les cartes réseaux depuis VirtualBox en Mode « Réseau privé hôte » pour qu’ils
puissent communiquer entre eux, tant pis si vous perdez la connexion Internet qui ne sera plus utile
dans nos VM) ; pas besoin de cocher « Utiliser l’installation en mode avancé », cocher « Créer un
domaine dans une nouvelle forêt » ; choisir le niveau fonctionnel de la forêt sur Windows Server 2008
(sauf si l’on a dans le réseau d’autres serveurs contrôleurs de domaine secondaires sous 2003 ou 2000
Server) ; choisir « Oui, l’odinateur utilisera une adresse IP attribuée dynamiquement (non
recommandé) » pour pouvoir continuer (cette adresse IP dynamique sera plus tard fixée en mode
manuel ; le serveur indiquera alors qu’il n’y aura pas la possibilité d’intégrer une zone parente, ce qui
est normal puisque nous sommes au niveau le plus haut de la forêt, il suffit donc de cliquer sur « Oui »
pour continuer ; à l’étape suivante, laissez les noms des dossiers par défaut ; pour le mot de passe
fort, utilisez AuGret@,On@14LicPro ; dernière étape : pensez à donner un nom au serveur et aux
clients et à leur donner aussi des adresses IP fixes.
Tutoriel pour intégrer le client au domaine
Nous allons placer dans le même domaine un 2008 Server complet et un client Windows XP Pro SP3.
Pour cela, le 2008 Server sera serveur DNS, contrôleur de domaine et l’Active Directory permettra de
gérer postes, utilisateurs et groupes d’utilisateurs. Commencez par lancer dcpromo sur le 2008 Server,
suivez les étapes avec le bouton Suivant puis créez un domaine dans une nouvelle forêt que nous
appellerons LICPRO.fr pour « Licence Pro ». Etant dans un environnement 2008 Server, choisissez un
« Niveau fonctionnel de la forêt » Windows Server 2008. Cochez la case « Serveur DNS » et demandez
une adresse IPv4 statique pour ce serveur (configurez cette adresse IP 192.168.25.25 dans Centre
Réseau et partage et Connexions réseau). Si une fenêtre vous indique qu’il est impossible de créer une
délégation faute de zone parente, c’est normal puisque ce serveur n’est pas déjà dans une forêt. Si
vous restez coincé sur Continuez en laissant les dossiers indiqués par défaut. Pour le Mot de passe
administrateur de restauration des services d’annuaire, utilisez Pa$$word. Pour le moment, mettez
aussi le client XP en adresse IP fixe (192.168.25.30 par exemple). Maintenant, intégrez votre client XP
au domaine LICPRO. Il est parfois nécessaire de passer par un groupe de travail avant de pouvoir
intégrer définitivement le domaine.
Pensez à redémarrer le serveur. Dorénavant, un mot de passe simple comme Pa$$word ne suffira plus.
A vous d’utiliser un mot de passe très fort pour éviter toute mésaventure future. Rappelez-vous du 1er
cours où nous avons décidé d’exploiter en commun le mot de passe AuGret@,On@14LicPro
Tutoriel pour partager un
dossier entre l’ordinateur hôte
et les machines virtuelles
Aller dans la configuration de
VirtualBox puis Dossiers
partagés ; créer un dossier
partagé en donnant un nom
simple (partage par exemple)
puis démarrer la VM et taper sous
le mode commande MS-DOS net
use H: \\vboxsvr\partage;
votre machine hôte est
maintenant prête à recevoir des
fichiers de votre VM.
TS1SIO
TP Partage de ressources avec contrôleur de domaine 2008
SI5, page 12 sur 12