ActiveDirectory
Transcription
ActiveDirectory
ActiveDirectory Par THOREZ Nicolas X – Procédures GPO Ce • • • • chapitre va vous donnez quelques procédures utiles telles que : Contrôler l'interface d'un utilisateur Rediriger un dossier du profil vers un serveur de fichiers Déployer un .msi Mettre en place un serveur WSUS Contrôler l'interface d'un utilisateur : 1) imposer un fond d'écran Configuration de l'utilisateur • Stratégies • Modèles d'administration • Bureau • Bureau Activer Active Desktop Activé Désactivé Avtive Desktop Désactivé Interdire les modifications Activé Papier peint du Bureau Activé Nom du papier peint Chemin du papier peint sur un serveur de fichier Style de papier peint Disposition du peint sur l'écran N'autoriser que les papiers peints au format BMP papier Désactivé Seulement si le papier peint choisi n'est pas en BMP 2) interdire l'accès au panneau de configuration Configuration de l'utilisateur • Stratégies • Modèles d'administration • Panneau de configuration Empêcher l'accès au Panneau de configuration Activé Rediriger un dossier du profil d'un utilisateur vers un serveur de fichiers : Configuration de l'utilisateur • Stratégies • Paramètres Windows • Redirection de Dossiers • Sélectionner le dossier à rediriger • Propriétés → Onglet Cible : • Paramètre • De Base • Emplacement du dossier cible • Créer un dossier pour chaque utilisateur sous le chemin d'accès racine • Spécifier le chemin d'accès sur un serveur de fichiers → Onglet Paramètres : • Cocher toutes les options • Suppression de stratégie • Conserver le dossier dans le nouvel emplacement lorsque la stratégie sera supprimée Configuration de l'utilisateur • Stratégies • Modèles d'administration • Système • Redirection des dossiers Ne pas rendre automatiquement les dossiers redirigés disponible hors Désactivé connexion Utiliser les noms de sous-dossiers localisés lors de la redirection du menu Activé Démarrer et de Mes Documents Déployer un .msi : Attention : Windows Installer doit être déjà installé sur les postes ciblés Configuration de l'utilisateur • Stratégies • Paramètres du logiciel • Installation de logiciel • Nouveau • Package... → Choisir le msi → Choisir le mode de déploiement Mettre en place un serveur WSUS : WSUS (Windows Server Update Services) est un service de remplacement de Windows Update en local. Il s'intercale entre le réseau local et les serveurs de Microsoft sur Internet. Il permet de contrôler les mises à jour déployer sur le réseau local. De plus, il les télécharge et les garde sur son espace de stockage. De ce fait, les clients ayant besoin d'une mise à jour l'a récupère sur le réseau local et non sur Internet. Attention : WSUS a du mal à fonctionner (voire, ne fonctionne pas) sur une machine virtuelle. Il nécessite une installation sur un poste physique. Cependant, il prend tout de même en compte la mise à jour de postes sur machines virtuelles. 1) Sur le serveur WSUS • • Installer le rôle WSUS • Par défaut, IIS s'installe automatiquement avec WSUS. Si IIS est déjà installé sur le serveur, les options nécessaire de IIS sont rajoutés automatiquement. • Au cours de l'installation, une application se lance automatiquement. Elle peut apparaître derrière les fenêtre de AD. Elle est visible sur la barre de tâche. On la lance avec ses options par défaut. • A la fin de l'installation, un résumé apparaît. Noter l'adresse de WSUS (sans le /selfupdate, on aura besoin de cette adresse plus tard) Configuration de WSUS • choisir le serveur en amont • indiquer si nécessaire l'adresse du proxy • test de connexion • choix des langues à installer • choix des applications ciblées • choix des classifications (Mises à jour critiques, de sécurité, optionnelles, …) • configurer la planification de la synchronisation • commencer la synchronisation 2) Sur le contrôleur de domaine Configuration de l'ordinateur • Stratégies • Modèles d'administration • Composants Windows • Windows Update Configuration du service Mise à jour automatique Activé Configuration de la mise 4 - Téléchargement automatique à jour automatique et planification des installations Jour de planifiée l'installation 0 – Tous les jours Heure de planifiée l'installation 12:00 Spécifier l'emplacement intranet du service de mise à jour Microsoft Configurer le service de Mise à Adresse du serveur WSUS jour pour la détection des sans le /selfupdate mises à jour Configurer le serveur intranet Adresse du serveur WSUS de statistiques sans le /selfupdate Activé 3) Sur le poste client • • • Démarrer (ou redémarrer) le poste pour prendre en compte la GPO Exécuter wuauclt.exe /resetauthorization pour réinitialiser l'inscription du poste dans WSUS (dans le cas où le poste y aurait déjà été inscrit) Exécuter wuauclt.exe /detectnow pour inscrire le poste dans WSUS 4) Sur le serveur WSUS • • • • • • Lancer l'interface de WSUS Autoriser WSUS à modifier le contenu de l'ordinateur • Les postes clients apparaissent automatiquement dans la section Ordinateurs non attribués. Créer un groupe d'ordinateurs Ajouter le poste au groupe Approuver les mises à jour Un rapport est généré et indique l'état des mises à jour sur le client à la fin de chaque synchronisation.