TP-Windows – V2 - Auteur PIB – Mars 2014 Page 1

TP – WINDOWS 2008

Description

Mise en œuvre de l’administration d’Active Directory et des permissions d’accès aux ressources.

Environnement technologique

Windows 2008, Windows 7, Virtual Box ou VMware

Activités mises en œuvre

A1.2.5 Définition des niveaux d'habilitation associés à un service

A1.3.4 Déploiement d'un service

A3.2.1 Installation et configuration d'éléments d'infrastructure

A3.3.1 Administration sur site ou à distance des éléments d'un réseau, de serveurs, de services et

d'équipements terminaux

A3.3.3 Gestion des identités et des habilitations

A3.3.4 Automatisation des tâches d'administration

A5.2.4 Étude d‘une technologie, d'un composant, d'un outil ou d'une méthode

Compétences mises en œuvre

C1.2.5.1 Recenser les utilisateurs du service, leurs rôles et leur niveau de responsabilité

C1.2.5.2 Recenser les ressources liées à l'utilisation du service

C1.2.5.3 Proposer les niveaux d'habilitation associés au service

C1.3.4.1 Mettre au point une procédure d'installation de la solution

C1.3.4.2 Automatiser l'installation de la solution

C1.3.4.3 Mettre en exploitation le service

C3.2.1.1 Installer et configurer un élément d'interconnexion, un service, un serveur, un équipement

terminal utilisateur

C3.2.1.2 Installer et configurer un élément d'infrastructure permettant d'assurer la continuité de service,

un système de régulation des éléments d'infrastructure, un outil de métrologie, un dispositif d'alerte

C3.2.1.3 Installer et configurer des éléments de sécurité permettant d'assurer la protection du système

informatique

C3.3.1.1 Installer et configurer des éléments d'administration sur site ou à distance

C3.3.1.2 Administrer des éléments d'infrastructure sur site ou à distance

C3.3.3.1 Identifier les besoins en gestion d'identité permettant de protéger les éléments d'une

infrastructure

C3.3.3.2 Gérer des utilisateurs et une structure organisationnelle

C3.3.3.3 Affecter des droits aux utilisateurs sur les éléments d'une solution d'infrastructure

C3.3.4.1 Repérer les tâches d'administration à automatiser

C3.3.4.2 Concevoir, réaliser et mettre en place une procédure d'automatisation

C5.2.4.1 Se documenter à propos d‘une technologie, d'un composant, d'un outil ou d'une méthode

C5.2.4.2 Identifier le potentiel et les limites d'une technologie, d'un composant, d'un outil ou d'une

méthode par rapport à un service à produire

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 2

Préparation de la machine virtuelle Créer un disque de 20 Go, paramétrer la Ram avec 4 Go, activer le copier/coller, indiquer 2 processeurs, choisir

réseau par pont

Atelier 1- Installation de Windows Pour installer le serveur vous devez effectuer les tâches suivantes :

1. Démarrez votre ordinateur à l’aide du CD du produit Windows Server 2008 R2. 2. Choisissez la version 2008 Entreprise 3. Choisissez Options Avancées 4. Créez une partition de 10 Go pour le système dans les options Avancées 5. Choisissez comme mot de passe sisr@1234 6. Lorsque vous êtes invité à entrer un nom d’ordinateur, tapez SOCIETEx-DC ou x est le numéro qui vous a

été attribué. 7. Suivez le reste des instructions qui s’affichent à l’écran pour terminer l’installation.

Ensuite, configurez les propriétés TCP/IP pour attribuer à SOCIETEX-DC l’adresse IP statique IPv4 10.0.0.x ou x est le numéro qui vous a été attribué. Pour configurer les propriétés TCP/IP

1. Ouvrez une session sur SOCIETEX-DC à l’aide du compte Administrateur. 2. Cliquez sur Démarrer, Panneau de configuration, Réseau et Internet, Centre Réseau et partage et sur

Modifier les Paramètres de la Carte, cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.

3. Sous l’onglet Réseau, cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Propriétés. 4. Cliquez sur Utiliser l’adresse IP suivante. Dans la zone Adresse IP, tapez 10.0.0.x. Dans la zone Masque de

sous-réseau, tapez 255.0.0.0 et dans DNS tapez 127.0.0.1puis cliquez sur OK. 5. Sous l’onglet Réseau, cliquez sur OK, puis fermez la boîte de dialogue Propriétés de Connexion au Réseau

Local. Pour tester IP

1. Ouvrez l’invite de commande du menu Démarrer 2. Tapez ipconfig pour voir votre configuration IP 3. Notez vos adresses IP v4 et V6 4. Tapez la commande ping votre adresse IP v4 5. Tapez la commande ping votre adresse IP v6 6. Désactiver IP v6

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 3

Atelier 2 – DNS Installation

1. Dans la console gestionnaire de serveur, choisissez Ajouter un Rôle de serveur 2. Dans la liste cochez serveur DNS

Création d’une zone 3. Ouvrez la console DNS des Outils d’administration 4. Développez votre serveur 5. Faite un clic droit sur zone de recherche directe puis Nouvelle Zone 6. Comme nom de zone tapez votre prenom.local, suivant puis Terminer

Ajout d’enregistrements 1. Sur votre zone nouvellement créée, faites un clic droit Nouvel Hôte A AAAA 2. Comme nom choisissez moi et comme adresse ip 127.0.0.1 3. Recommencez l’opération avec les informations suivantes nom=www 4. Adresse IP votre adresse

Test des informations 1. Ouvrez l’invite de commandes 2. Tapez ping moi.votre domaine 3. Recommencez l’opération avec ping www.votre domaine 4. Tapez maintenant ping www.google.fr

Atelier 3 - Création MMC 1. Menu Démarrer/Exécuter 2. Tapez MMC 3. Menu Fichier/Ajouter Un Composant Logiciel Enfichable 4. Ajoutez les composants Gestion des disques (local) et Gestion de l’Ordinateur (local) puis Gestion de

l’ordinateur d’un autre ordinateur (celui de votre voisin) 5. Dans le menu options choisissez Mode Utilisateur Accès Total et cochez Ne Pas Enregistrer … 6. Cliquez sur Terminé 7. Enregistrer la console sur le bureau sous le nom Ma console perso

http://www.votre/http://www.google.fr/

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 4

Atelier 4 - Installer une forêt et un domaine

1. Cliquez sur Démarrer, puis sur Exécuter. Dans la zone Exécuter, tapez Dcpromo, puis cliquez sur OK. 2. Dans la page Assistant Installation des services de domaine Active Directory, cliquez sur Suivant. 3. Dans la page Choisissez une configuration de déploiement, cliquez sur Créer un domaine dans une

nouvelle forêt, puis cliquez sur Suivant. 4. Dans la page Nommez le domaine racine de la forêt, dans la zone Nom de domaine complet du domaine

racine de forêt, tapez societex.local (où x est le numéro qui vous aura été attribué), puis cliquez sur Suivant.

5. Dans la page Définir le niveau fonctionnel de la forêt, dans la zone Niveau fonctionnel de la forêt, sélectionnez Windows Server 2008, puis cliquez sur Suivant.

6. Dans la page Options supplémentaires pour le contrôleur de domaine, vérifiez que la case à cocher Serveur DNS est activée, puis cliquez sur Suivant.

7. Cliquez sur Oui pour créer une délégation pour ce serveur DNS, puis continuez. 8. Dans la page Emplacement de la base de données, des fichiers journaux et de SYSVOL, cliquez sur

Suivant. 9. Dans les zones Mot de passe et Confirmer le mot de passe, tapez sisr@1234, puis cliquez sur Suivant. 10. Dans la page Résumé, vérifiez vos choix, puis cliquez sur Suivant pour démarrer l’installation. 11. Au terme de l’installation, cliquez sur Terminer, puis sur Redémarrer maintenant. Vérification de l’installation Ouvrez la console DNS et déployez la zone, consultez les changements

Atelier 5 - Gestion des comptes 1. Lancez la console Utilisateurs et ordinateurs Active Directory (Démarrer/Outils d’Administration) 2. Regardez qui fait partie du conteneur USERS et BUILTIN 3. Placez-vous au niveau du domaine et créez l’unité d’organisation Société 4. Créez les comptes suivants dans cette OU 5. Testez l’ouverture de session avec ses comptes

Prénom Nom Nom ouverture de session

Mot de passe

Options Onglet Comptes

Pierre Martin DirInfo sisr@1234 Tout décocher Ne rien changer

Aline Toibien Compta1 sisr@1234 Tout décocher Horaires Pas le mercredi

Pascale Mounier Pdg sisr@1234 Le mot de passe n’expire jamais Doit changer de mot de passe à la prochaine ouverture de session

Ne rien changer

Alex Andre Info2 sisr@1234 Tout décocher Ne rien changer

Isabelle Hatre Stage1 sisr@1234 Utilisateur de peut pas changer de mot de passe

Horaires 9h-17h pas le week-end Expiration le 30 janvier xxxx

Jean Balle Compta2 sisr@1234 Tout décocher Se connecter à la machine StationCop

Valérie Boncoeur Ventes1 sisr@1234 Tout décocher Ne rien changer

Gaspard Haleur Ventes2 sisr@1234 Tout décocher Ne rien changer

Ben Mabrouk Stage2 sisr@1234 Compte désactivé Horaires 9h-17h pas le week-end Expiration le 07 février xxxx

Nico Tine RH sisr@1234 Tout décocher Ne rien changer

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 5

Atelier 6 - Gestion des groupes

1. Lancez la console Utilisateurs et ordinateurs Active Directory 2. Dans le conteneur USERS Regardez qui fait partie des groupes Administrateurs de l’entreprise et Admins du

Domaine et le type de groupes puis dans BUILTIN regardez le contenu et le type du groupe Administrateurs (faite la même chose avec les groupes Utilisateurs et Utilisateurs du Domaine)

3. Placez-vous au niveau de l’unité d’organisation Société 4. Créez les groupes suivants dans cette OU

Groupe Global Groupe Domaine Local

Ventes – Informatique – Comptables – Stagiaires – Direction – Paris 12 – Paris 8

DLfinanceRO - DLfinanceCT

5. Affectez les utilisateurs aux groupes et les groupes aux groupes selon la configuration suivante :

Nom Membre de Groupe Membre

DirInfo Informatique, Direction Paris 12 Ventes - Informatique

Compta1 et Compta2 Comptables Paris 8 Comptables - Direction

Pdg et RH Direction DLfinanceRO Ventes, Direction

Info2 Informatique DLfinanceCT Comptables

Stage1 et Stage2 Stagiaires

Ventes1 et Ventes 2 Ventes

Ventes2 Ventes

Activer le partage de fichiers ou le partage d’imprimantes Pour activer le partage de fichiers ou le partage d’imprimantes Démarrer le Centre Réseau et partage dans le panneau de configuration Cliquez sur le bouton de la flèche bas à côté de Partage de fichiers ou Partage d’imprimantes. Pour permettre aux utilisateurs de partager des fichiers ou des dossiers, ou de partager des imprimantes, cliquez sur Activer le partage de fichiers ou Activer le partage d’imprimante. Cliquez sur Appliquer.

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 6

Atelier 7 - Création de partage Préparation d’une partition D

1. A partir du Gestionnaire de serveur choisir l’outil Gestionnaire de Disque, modifier la lettre du lecteur du Cédérom en H et sélectionner l’espace vide pour créer une partition de 1 Go pour le disque D

1. Sur votre disque dur D, créez la structure des dossiers ci-dessous

Dossiers Sous dossiers Fichiers

USERS Pas de sous dossiers Pas de fichiers

ECHANGE Pas de sous dossiers Pas de fichiers

SERVICES COMPTA Ca 2011.txt

VENTES Trim1.txt, Trim2.txt

DIRECTION Etat 2010.txt, Etat 2011.txt

INFO Projet.txt

PROFILS Pas de sous dossiers Pas de fichiers

ANNUAIRE Pas de sous dossiers Annuaire.txt

DOCS Pas de sous dossiers Pas de fichiers

2. Partager les dossiers avec les autorisations suivantes :

Dossiers Groupes Autorisations

USERS Utilisateurs Stagiaires

Copropriétaire Lecteur

ECHANGE Utilisateurs Stagiaires

Collaborateur Lecteur

COMPTA DLfinanceRO DLfinanceCT

Lecteur Collaborateur

VENTES Direction Comptables Ventes

Lecteur Collaborateur Lecteur

DIRECTION Direction Copropriétaire

INFO Informatique Administrateurs

Collaborateur Copropriétaire

ANNUAIRE (utilisez clic droit sur dossier/Propriétés/Partage/Partage avancé)

Paris 8 Paris 12 Administrateurs Stagiaires

Modifier Lecture Contrôle Total Refus l’accès

DOCS Tout le Monde Copropriétaire

3. Connectez-vous avec les comptes, que constatez-vous ?

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 7

Publiez le partage USERS dans l’annuaire

Profil centralisé pour le directeur

1. Créez un partage sur le dossier Profils avec les permissions suivantes : Direction = Copropriétaire et Administrateurs = Collaborateur

2. Dans la console AD, ouvrez la feuille de propriétés du PDG

3. Dans l’onglet Profil saisissez le chemin du profil \\votreserveur\profils\pdg

Atelier 8 - Mise en place autorisations NTFS

Pour mettre en place l’atelier vous allez changer les droits système du serveur en accordant aux utilisateurs le droit d’ouvrir une session localement

file://votreserveur/profils/pdg

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 8

1. Supprimez tous les partages à l’exception de profils et users 2. Mettre en place les autorisations suivantes :

Dossiers Groupes Autorisations

ECHANGE A définir A définir

SERVICES Administrateurs Utilisateurs

Contrôle Total Lecture et exécution

ANNUAIRE Administrateurs Stagiaires Utilisateurs

Contrôle Total Refuser l’accès A définir

DOCS Administrateurs Tout le Monde

Contrôle Total Modification

COMPTA DLfinanceRO DLfinanceCT

Lecture et exécution Modification

VENTES Direction Comptables Ventes

Lecture et exécution Lecture et exécution Modification

DIRECTION Direction Modification

INFO Informatique Administrateurs

Modification Contrôle Total

3. Testez vos autorisations avec les différents comptes Mettre en place des autorisations complexes 1. Pour le dossier ANNUAIRE mettre en place les permissions de dossiers et de fichiers pour obtenir ce qui suit :

Les utilisateurs doivent pouvoir écrire dans le fichier annuaire.txt mais ne doivent pas être capable de le supprimer et ne doivent pas être capable de créer de nouveaux fichiers

2. Pour le dossier ECHANGE mettre en place les permissions avancées pour obtenir ce qui suit : Les utilisateurs doivent pouvoir créer des fichiers et des dossiers, mais ne peuvent lire ou supprimer que leurs propres fichiers et dossiers, en aucun cas les documents des autres.

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 9

Atelier 9 - Mise en œuvre des GPO

Création des UO

1. Dans l’UO société créez les UO Paris 8, Paris 12, Interim, GroupSociete 2. Dans Paris créez Comptabilité, Directoire et dans Paris 12 Commercial, ServInfo 3. Placez les groupes dans UO GroupSociété et répartissez les utilisateurs dans les UO correspondantes.

Création des GPO

Lancez la console Gestion des Stratégies de Groupes, développez l’arborescence pour vous placer sur l’UO Société Faites un clic droit et choisissez Créer un objet GPO et saisissez le nom GPO de Société puis OK. Dans la fenêtre de droite faite un clic droit sur la GPO nouvellement créée et choisissez Modifier Stratégie de redirection du dossier mes documents vers un serveur pour tous les utilisateurs de la société

Placez-vous comme ci-dessous Dans les propriétes configurer comme ci dessous

Stratégie d’installation d’un package MSi cf cours page Erreur ! Signet non défini. Acrobat Reader pour paris 8 et changement de la page d’accueil du navigateur (google)

Pour affecter une modification au navigateur

Stratégie d’exécution d’un script cf cours page Erreur ! Signet non défini. pour paris 12 et changement de la page d’accueil du navigateur (Yahoo)

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 10

Stratégie d’accès à Internet via un proxy pour Intérim, interdiction du panneau de configuration, interdiction d’exécuter l’application Notepad( bloc-notes) et de l’invite de commandes

Imposer le proxy Interdir panneau de configuration Interdir invite de cmd

Stratégie de mot de passe pour le domaine (historique 2 derniers mot de passe, verrouillage 3 tentatives, verrouillage permanent) voir page Erreur ! Signet non défini. Stratégie de mappage réseau pour la direction et changement de la page d’accueil du navigateur (Medef)

Atelier 10 - Délégation sur UO société pour service info (réinitialiser mot de passe)

1. Placez-vous sur UO société, puis clic droit Délégation de contrôle. 2. Ajoutez le groupe informatique puis suivant 3. Sélectionnez Réinitialiser les mots de passe 4. Connectez-vous avec un compte du service info et faite un test.

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 11

Atelier 11 - Gestion des impressions Dans un premier temps il faut installer le rôle service d’impression.

Installer une imprimante

1. dans Panneau de Configuration/Imprimantes, choisissez Ajout d’Imprimantes puis option Imprimante Locale 2. Port LPT1 3. choisir un modèle d’imprimante 4. laissez le nom par défaut 5. dans la boite de dialogue Partage, choisissez Ne pas partager puis suivant et terminer (sans page de test)

Partager une imprimante

1. Dans les propriétés de l’imprimante, choisissez l’onglet Partage 2. Cochez la case Partager cette imprimante et la case Lister dans l’annuaire cliquez sur Appliquer 3. Dans l’onglet Sécurité n’autorisez que la comptabilité à imprimer et tous les droits pour le service Info et les

administrateurs

Se connecter à une file d’attente

1. Connectez-vous avec un compte utilisateur ayant droit 2. dans Panneau de Configuration/Imprimantes, choisissez Ajout d’Imprimantes puis option Imprimante

Réseau 3. Sélectionnez une des imprimantes 4. Connectez-vous avec un compte utilisateur n’ayant pas le droit d’imprimer 5. dans Panneau de Configuration/Imprimantes, choisissez Ajout d’Imprimantes puis option Imprimante

Réseau 6. Sélectionnez une des imprimantes

Atelier 12 - Gestion des disques 2. A partir du Gestionnaire de serveur choisir l’outil Gestionnaire de Disque 3. Sur l’espace vide, créez une partition principale de 5 Go 4. Formatez la partition (formatage rapide) 5. Convertissez le disque de base en disque dynamique 6. Sur l’espace restant, créez un volume monté dans un dossier appelé Disque Monté 7. Supprimez la partition de 5 Go 8. Etendez le volume monté sur le reste de l’espace libre

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 12

Atelier 13 - Mise en œuvre du Bureau à distance Dans les Propriétés du Système, Utilisation à Distance activer l’autorisation A partir du client dans Démarrer\Accessoires lancez l’outil Connexion Bureau à Distance. Utilisez le compte Administrateur pour vous connecter. Gérer une connexion à distance par navigateur

1. Dans le gestionnaire de serveur, installez Services Web IIS avec les options par défaut. 2. Installez le rôle Terminal Server et dans les services de rôle sélectionnez uniquement Accès Web TS.

Acceptez ce que vous propose Windows ensuite. 3. Un fois installé, lancez votre navigateur et dans la barre d’adresse saisissez

https://nomdevotreserveur.domaine/TS 4. Connectez-vous à votre serveur et lancer la console Utilisateur et Ordinateur AD

Atelier 14 - Modifier le registre Activer le pavé numérique au démarrage de Windows Commande Exécuter, tapez Regedit Allez dans HKEY-USERS\default\control panel\keyboard Dans la fenêtre de droite double cliquez sur InitialKeyboardIndicators et mettez la valeur à 2 Lancer une application au démarrage une seule fois Placez-vous sur HKEY LOCAL MACHINE, puis dans le menu Edition Rechercher Cochez mot entier et décochez valeur et données puis tapez runonce Faites F3 jusqu'à arriver à HKLMachine\software\Microsoft\Windows\Currentversion\runonce Faites un clic droit sur runonce puis Nouveau et valeur chaine Tapez test puis validez Double cliquez sur test et dans valeur tapez c:\windows\system32\notepad.exe puis validez. Redémarrer Windows, vérifier le pavé numérique et regardez si l’application se lance. Fermez la session et reconnectez-vous pour vérifier que Notepad ne s’exécute plus

https://nomdevotreserveur.domaine/TS

TP-Windows – V2 - Auteur PIB – Mars 2014 Page 13

Atelier 15 - Création d’un script PowerShell d’ajout d’utilisateur

1. Lancer le bloc-notes 2. Saisir les commandes suivantes

#Gcn=Users car OU Builtin, sinon spécifier ou=monOU $objOU=[ADSI]"LDAP://localhost:389/cn=Users,dc=societe,dc=fr" $objUser = $objOU.Create("user", "cn=pierre hafeux") # sAMAccountName est le seul attribut obligatoire # à spécifier pour créer un compte $objUser.put("sAMAccountName", "phafeux") # à spécifier pour bénéficier d'une ouverture de session Kerberisée $objUser.put("userprincipalName", " pierrehafeux@societe.fr") # prénom $objUser.put("givenName", "Pierre") # nom $objUser.put("sn", "HAFEUX") # Numéro de téléphone $objUser.put("telephoneNumber", "0556584744") # Description $objUser.put("description", "Administrateur") # Nom affiché : nom qui sera visible dans l'annuaire Exchange $objUser.put("displayName", "Pierre Hafeux") # Chemin du profil (si profil errant) $objUser.put("profilePath", "\\serveur2003\profils\hafeux") # Script d'ouverture de session $objUser.put("scriptPath", "logonScript.vbs") # Chemin de la homedirectory $objUser.put("homeDirectory", "\\serveur2003\users\hafeux") # Lettre de la homedirectory $objUser.put("homeDrive", "H:") $objUser.SetInfo() echo Terminé merci

3. Enregistrer le script dans la racine du disque C et nommez le script.ps1 4. Lancer la console Powershell 5. Placez-vous dans le répertoire racine CD/ 6. Vérifier que le fichier est là LS 7. Exécuter votre script .\SCRIPT.PS1

Si le script ne fonctionne pas, lancer les commandes suivantes Get-ExecutionPolicy (pour voir si les scripts sont autorisés) Set-ExecutionPolicy RemoteSigned (autorise le script)

http://fr.clickintext.net/c/?t=cit&k=%3D%3DQPJozC3EFcWl0Al5wbPs0UotABbF0UqJQbWVzUqNlSVRmC8ogNH8jU%2BQAMDATV2I1YSJjDWQgSJEDULhAPWxGBmlwMLAWUxYlTDgjDr9gNT5zCvtVNTBjAsYlNTd2UrVFEKkjC2cgMSBDBHNQPVJjUmJlNOYBB8kgNQtEC8YFaEQWC8sgbRtjV6MQOOg2D&ck=fr/ann/aff/368578__&r=d42589ec23698d78edfea96402c4d1e1&go=http%3A%2F%2Fad.zanox.com%2Fppc%2F%3F14143974C1970853404%26ULP%3D%5B%5Bwww.priceminister.com%2Foffer%2Fbuy%2F122673281%2Fsort1%2Fjouets-de-bain-barbapapa-set-n-3-jouet.html%3Ft%3D1544040%5D%5D%26zpar0%3D%5B%5BAUb3202bd05cf9560eaeaR9S9463%5D%5D&da=