Active Directory, profils itinérants, GPO

 

Active Directory, profils itinérants, GPO
Contexte 

Une entreprise veut une gestion précise et sécurisée des utilisateurs et des machines de son parc, elle veut gérer avec des automatismes l’installation de logiciels et les préférences Windows sur des services entiers.

Objectif 

Mettre un serveur en Domain Controller et permettre à des utilisateurs autorisés, l’accès à un lecteur réseau personnel et à un lecteur réseau commun en utilisant les GPO de préférence.

 

Compétences mises en œuvre
C21 

C25

C31

C36

Installer et configurer un micro-ordinateur 

Installer un applicatif

Assurer les fonctions de base de l’administration d’un réseau

Assurer la maintenance d’un poste de travail

 

 

Conditions de réalisation
Matériels Logiciels
–       1 serveur 

–       2 postes clients

–       1 réseau LAN

–       VMware Workstation 

–       Windows 2008 Server

–       Windows 7 Professional

Autre : –

 

 

Description de l’activité réalisée
Situation initiale 

Windows 2008 Server est installé sur une VM avec comme rôle Active Directory et DNS. Le serveur se trouve dans le domaine AZ, il est sur le même réseau que les postes clients où Windows 7 Professional est installé.

Situation finale 

Les postes clients sont connectés au domaine AZ et les utilisateurs sont devenus des membres de ce même domaine. Leurs données sont sauvegardés sur le serveur grâce à l’utilisation des profils itinérants et les GPO Utilisateur assurent l’installation des logiciels de base nécessaire à chacun quelque soit la machine où il s’identifie. De plus les GPO de préférence permettent la configuration de paramètres Windows selon le même principe.

 

 

 

Installation d’Active Directory sur le serveur

 

L’installation d’Active Directory peut se faire soit par l’exécution de la commande DCPROMO.EXE, soit en ajoutant le rôle Active Directory dans l’assistant de configuration des rôles du serveur.

Un assistant d’installation se lance et on doit spécifier le nom DNS complet du nouveau domaine (AZ.LOCAL) et le nom NetBIOS (AZ). On laisse l’emplacement du volume système partagé par défaut (C:\WINDOWS\SYSVOL).

L’assistant d’installation va demander la présence d’un serveur DNS. S’il n’y en a pas sur le réseau, il va proposer d’installer les services DNS sur le présent serveur.

 

L’installation de l’Active Directory s’effectue incluant la mise en place du service DNS si besoin. Après un redémarrage du serveur, l’Active Directory est fonctionnel.

 

 

Création d’Unités d’Organisation et de comptes utilisateurs

 

On créé différentes Unités d’Organisation (Organizational Units) dans l’AD (AZ) qui représentent des services au sein de l’entreprise.

 

On créé ensuite les utilisateurs qui pourront se connecter au domaine.

 

On peut assigner un mot de passe standard que l’utilisateur changera à sa première connexion. Pour des raisons pratiques, on utilisera ici des mots de passe qui n’expirent pas.


Exemple de création d’utilisateur

 

Profils itinérants

 

Avec Active Directory, on peut doter les comptes utilisateurs d’un profil itinérant. Ceci signifie que leur session Windows (desktop etc.) sera sauvegardée sur le serveur dans un dossier dédié plutôt que localement, sur la machine sur laquelle ils travaillent. Ainsi, les utilisateurs retrouveront leur bureau et fond d’écran ainsi que leur dossier utilisateur (C:\Users\%username%) sur les divers postes clients du domaine auxquels ils se connecteront.

Cela permet une certaine flexibilité quand au remplacement des machines des utilisateurs en plus de diriger les données utilisateurs sur un serveur potentiellement plus fiable (sauvegarde sur bande, redondance) que des postes clients.

 

Le profil itinérant est chargé au login de l’utilisateur et est enregistré sur le serveur à la fermeture de sa session.

 

Au préalable il faut donc avoir créé des dossiers partagés sur le serveur. Un dossier Users contenant les profils et un dossier Data pouvant contenir des fichiers spécifiques sur le serveur.

 

Pour chaque utilisateur, il faut ainsi modifier les champs suivants dans l’onglet Profil :

 

Chemin du Profil : \\AD-SV01\Users\%username%

Connecter P: à : \\AD-SV01\Data\%username%

 

Group Policy Objects (Stratégie)

Les GPO permettent d’automatiser l’installation ou la configuration de postes clients et de comptes utilisateurs. Une GPO peut par exemple servir à déployer un logiciel à une Unité d’Organisation précise (et donc à tous les éléments y étant contenus), à des ordinateurs ou encore à des utilisateurs spécifiques.

Dans Windows Server 2008, on ajoute juste la fonctionnalité Gestion des stratégies de groupe.

 

Ici nous avons déployé 7zip, un utilitaire gérant la compression et la décompression de fichiers. Pour se faire, les logiciels doivent être packagés en .msi , un installateur Windows (l’équivalent des paquets .rpm sur de nombreuses distributions GNU/Linux).

 

NB : pour être sûr que tous les postes et clients pourront accéder au fichier .msi, il vaut mieux le placer dans un dossier partagé. Aussi, il faut bien sûr donner les autorisations nécessaires à son accès.

 

GPO de préférence

Les GPO de préférence sont des GPO assez particulières, leur comportement diffère des GPO  de base et elles ne sont disponibles que depuis Windows server 2008.

Elles permettent par exemple de se passer de script de logon dans certains cas comme le mappage de lecteur réseau, ce que nous allons voir ici, ou encore de modifier variables d’environnement, créer ou supprimer des fichiers/dossiers, activer/désactiver des périphériques, modifier les options d’alimentation ou encore ajouter des imprimantes réseau sans avoir besoin du pushprinterconnection.exe au démarrage des sessions comme avec Windows Server 2003.
On créé un dossier Sales qu’on partage avec les droits nécessaires (un groupe Domain Local avec tous les membres de l’Unité d’Organisation Sales aura été créé précédemment) :
On créé ensuite une GPO Préférence Utilisateur > Paramètres Windows > Mappages de lecteurs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *