ActiveDirectory

ActiveDirectory
Par THOREZ Nicolas
X – Procédures GPO
Ce
•
•
•
•
chapitre va vous donnez quelques procédures utiles telles que :
Contrôler l'interface d'un utilisateur
Rediriger un dossier du profil vers un serveur de fichiers
Déployer un .msi
Mettre en place un serveur WSUS
Contrôler l'interface d'un utilisateur :
1) imposer un fond d'écran
Configuration de l'utilisateur
• Stratégies
• Modèles d'administration
• Bureau
• Bureau
Activer Active Desktop
Activé
Désactivé Avtive Desktop
Désactivé
Interdire les modifications
Activé
Papier peint du Bureau
Activé
Nom du papier peint
Chemin du papier peint
sur un serveur de fichier
Style de papier peint
Disposition
du
peint sur l'écran
N'autoriser que les papiers peints au format BMP
papier
Désactivé
Seulement si le papier peint choisi n'est pas en BMP
2) interdire l'accès au panneau de configuration
Configuration de l'utilisateur
• Stratégies
• Modèles d'administration
• Panneau de configuration
Empêcher l'accès au Panneau de configuration
Activé
Rediriger un dossier du profil d'un utilisateur vers un serveur de fichiers :
Configuration de l'utilisateur
• Stratégies
• Paramètres Windows
• Redirection de Dossiers
• Sélectionner le dossier à rediriger
• Propriétés
→ Onglet Cible :
• Paramètre
• De Base
• Emplacement du dossier cible
• Créer un dossier pour chaque utilisateur sous le chemin d'accès racine
• Spécifier le chemin d'accès sur un serveur de fichiers
→ Onglet Paramètres :
• Cocher toutes les options
• Suppression de stratégie
• Conserver le dossier dans le nouvel emplacement lorsque la stratégie sera
supprimée
Configuration de l'utilisateur
• Stratégies
• Modèles d'administration
• Système
• Redirection des dossiers
Ne pas rendre automatiquement les dossiers redirigés disponible hors Désactivé
connexion
Utiliser les noms de sous-dossiers localisés lors de la redirection du menu Activé
Démarrer et de Mes Documents
Déployer un .msi :
Attention : Windows Installer doit être déjà installé sur les postes ciblés
Configuration de l'utilisateur
• Stratégies
• Paramètres du logiciel
• Installation de logiciel
• Nouveau
• Package...
→ Choisir le msi
→ Choisir le mode de déploiement
Mettre en place un serveur WSUS :
WSUS (Windows Server Update Services) est un service de remplacement de Windows
Update en local. Il s'intercale entre le réseau local et les serveurs de Microsoft sur Internet. Il
permet de contrôler les mises à jour déployer sur le réseau local. De plus, il les télécharge et
les garde sur son espace de stockage. De ce fait, les clients ayant besoin d'une mise à jour l'a
récupère sur le réseau local et non sur Internet.
Attention : WSUS a du mal à fonctionner (voire, ne fonctionne pas) sur une machine virtuelle. Il
nécessite une installation sur un poste physique. Cependant, il prend tout de même en compte
la mise à jour de postes sur machines virtuelles.
1) Sur le serveur WSUS
•
•
Installer le rôle WSUS
• Par défaut, IIS s'installe automatiquement avec WSUS. Si IIS est déjà installé sur le
serveur, les options nécessaire de IIS sont rajoutés automatiquement.
• Au cours de l'installation, une application se lance automatiquement. Elle peut
apparaître derrière les fenêtre de AD. Elle est visible sur la barre de tâche. On la
lance avec ses options par défaut.
• A la fin de l'installation, un résumé apparaît. Noter l'adresse de WSUS (sans le
/selfupdate, on aura besoin de cette adresse plus tard)
Configuration de WSUS
• choisir le serveur en amont
• indiquer si nécessaire l'adresse du proxy
• test de connexion
• choix des langues à installer
• choix des applications ciblées
• choix des classifications (Mises à jour critiques, de sécurité, optionnelles, …)
• configurer la planification de la synchronisation
• commencer la synchronisation
2) Sur le contrôleur de domaine
Configuration de l'ordinateur
• Stratégies
• Modèles d'administration
• Composants Windows
• Windows Update
Configuration du service Mise à jour automatique
Activé
Configuration de la mise 4 - Téléchargement automatique
à jour automatique
et planification des installations
Jour
de
planifiée
l'installation 0 – Tous les jours
Heure de
planifiée
l'installation 12:00
Spécifier l'emplacement intranet du service de mise à jour Microsoft
Configurer le service de Mise à Adresse du serveur WSUS
jour pour la détection des sans le /selfupdate
mises à jour
Configurer le serveur intranet Adresse du serveur WSUS
de statistiques
sans le /selfupdate
Activé
3) Sur le poste client
•
•
•
Démarrer (ou redémarrer) le poste pour prendre en compte la GPO
Exécuter wuauclt.exe /resetauthorization pour réinitialiser l'inscription du poste dans
WSUS (dans le cas où le poste y aurait déjà été inscrit)
Exécuter wuauclt.exe /detectnow pour inscrire le poste dans WSUS
4) Sur le serveur WSUS
•
•
•
•
•
•
Lancer l'interface de WSUS
Autoriser WSUS à modifier le contenu de l'ordinateur
• Les postes clients apparaissent automatiquement dans la section Ordinateurs non
attribués.
Créer un groupe d'ordinateurs
Ajouter le poste au groupe
Approuver les mises à jour
Un rapport est généré et indique l'état des mises à jour sur le client à la fin de chaque
synchronisation.