TP Partage de ressources sur un réseau local avec un ... · Pour gérer un réseau local avec un...

TS1SIO TP Partage de ressources avec contrôleur de domaine 2008 SI5, page 1 sur 12

TP Partage de ressources sur un réseau local avec un contrôleur de domaine

sous Windows 2008 Server

Pour gérer un réseau local avec un serveur contrôleur de domaine sous Microsoft® Windows 2008

Server, il faut bien sûr installer le serveur et avoir quelques clients permettant de vérifier que nos

manipulations sont réellement effectives sur ces postes clients, pour des utilisateurs classiques du

réseau local.

Contexte : vous travaillez dans un établissement scolaire qui est le lycée Professionnel de la Licorne,

d’où le nom de domaine traité plus bas qui sera LICPRO.

Des comptes utilisateurs seront créés, ainsi que des groupes et des partages de dossiers,

essentiellement via l’Active Directory (la gestion de l’annuaire du domaine Microsoft). Ceci dans le

cadre d’un établissement scolaire qui sera virtuellement la cité scolaire Jean Monnet – Jean Mermoz.

Nous allons gérer toutes les ressources partagées de notre Domaine, à commencer par les utilisateurs

et les groupes d’utilisateurs dans l’Active Directory (l’annuaire) puis au niveau des dossiers partagés.

Cette gestion des ressources est utilisée tout aussi bien dans un cadre scolaire comme pour notre

exemple que dans une grande entreprise qui gère des centaines de comptes et de dossiers partagés.

A la fin de ce long TP en 20 points, vous serez en mesure de gérer un contrôleur de Domaine avec tous

ces comptes utilisateurs, ces groupes d’utilisateurs, les Autorisations du partage sur des dossiers et

mieux encore les permissions NTFS qui vont bien, ces Unités d’Organisations (UO), ces dossiers

partagés en tant que serveur de fichiers, connecter les lecteurs réseau, …. Bref, tout ce qu’il faut pour

gérer les bases d’un Domaine Client / Serveur avec son annuaire.

Merci de suivre les étapes suivantes pour avancer dans le TP :

1. Commençons par aller sous l’Active Directory pour gérer les utilisateurs. Vérifiez que l’AD soit active,

sinon passez par la commande dcpromo (voir cours). Chaque élève doit appartenir au groupe qui lui

revient. CARPENTIER est une étudiante de TS2SIO, elle doit donc appartenir à ce groupe (choisir de

préférence des groupes globaux, ils seront ainsi intégrés au domaine). Créez les UO nécessaires.

Remarque : TE12 signifie Monnet (pour une question de notation, Z correspondra à Mermoz sachant

que les deux noms commencent par la même lettre), Elève, année 2011-2012.


2. Dans les propriétés de cet utilisateur, on peut y ajouter une description…

… la gestion de son mot de passe, ses horaires d’accès, …


… le chemin où l’on va trouver son script de démarrage à l’ouverture de sa session…

… le ou les groupes auxquels l’utilisateur appartient…


3. Ne pas oublier de créer un compte de secours pour l’administrateur du réseau au cas où son compte

principal ne serait plus accessible. Essayez d’imaginer si personne ne peut plus rentrer sur le serveur

en tant qu’administrateur réseau, ce serait une vraie catastrophe.

4. Très important, voici l’endroit où sont créés les différents groupes de professeurs et d’élèves. A vous

de créer toutes les Unités d’Organisation (UO) nécessaires. Les UO sont des objets conteneurs qui

permettent de hiérarchiser Active Directory et tiennent lieu de frontière pour la délégation

d’autorisations administratives.

Au moment de créer une UO, pensez que vous ne pourrez pas la supprimer par erreur si vous laissez

cocher « Protéger le conteneur contre une suppression accidentelle ».

On distinguera aisément les Unités d’Organisation des groupes d’utilisateurs et des utilisateurs grâce à

leurs icônes.


Il vous faut maintenant créer les groupes d’utilisateurs comme ci-dessous :

Sous Windows Server Active Directory, les 3 types de groupes sont :

- le groupe local : il ne peut comprendre que des utilisateurs de son propre domaine ;

- le groupe global : au sein d'un domaine, il est principalement utilisé pour affecter des droits à des

ressources dans un domaine ;

- le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et utilisateurs

d'autres domaines.


5. Et voilà comment indiquer quels sont les utilisateurs membres de ce groupe. Ici pour les

professeurs.

Et là pour les élèves.

On peut remarquer que le compte de CIVEL2 est désactivé (peut-être a-t-il dépassé son quota disque).


6. Pour finir, on peut choisir un utilisateur et vérifier à quels groupes il appartient.

7. Maintenant, passons au partage des dossiers. Vous devez commencer par vous placer sur le serveur

de fichiers, qui fait aussi office de contrôleur de domaine. Créez depuis un dossier de

l’un des disques durs (attention, la place prise par les fichiers des élèves et des

professeurs risque de se compter en centaines de Go). Créez les 2 dossiers « eleves »

et « profs » comme ci-contre.

Créez ensuite quelques classes sur le serveur de fichiers depuis le dossier « eleves ». Ne donnez pas

de noms de partage à ces dossiers à l’intérieur du dossier « eleves ».

Commencez par créer les TS1SIO et les TS2SIO.

Quand on clique avec le bouton droit sur le dossier, il faut

ensuite choisir Propriétés puis l’onglet Partage pour

obtenir la fenêtre ci-dessous.


Cliquez sur le bouton Partage avancé… puis cochez Partager ce dossier, donnez un Nom du partage

suivi d’un caractère dollar $ pour anonymer le dossier lors d’une recherche sur le réseau.

L’onglet Sécurité permet de choisir les droits que l’on donnera

aux utilisateurs et/ou groupes d’utilisateurs. Dans notre

exemple, nous gagnerons énormément de temps en donnant

des droits à une classe entière plutôt qu’à chacun des élèves

de la classe.

Depuis la fenêtre ci-contre, on clique sur le bouton Modifier

pour changer les droits.

On se rend compte alors qu’on ne peut pas modifier

directement ces autorisations :

Cliquez alors sur OK, puis de nouveau sur OK puis sur le bouton Avancé quand on est revenu à l’onglet

Sécurité.

Ici, il faut cliquer sur le bouton Modifier.


On obtient alors :

Il reste à « décocher » Inclure les autorisations pouvant être héritées du parent de cet objet. On peut

maintenant cliquer sur le bouton Supprimer malgré le message inquiétant qui apparaît pour qu’il n’y ait

plus d’autorisations sur le partage de ce dossier. Il reste à Appliquer les modifications, passer le

message qui indique qu’il n’y a plus aucun droit sur ce dossier et surtout, depuis le retour à l’onglet

Sécurité, positionner correctement les Utilisateurs et les Groupes qui conviennent sans oublier

d’Ajouter un Contrôle total dans la colonne Autoriser à l’administrateur ou plutôt au groupe des

Administrateurs. Ajouter ensuite les autres Utilisateurs et Groupes d’utilisateurs avec des droits

modérés. Si on regarde de près ces droits, on peut par exemple permettre de déposer des fichiers

dans le dossier sans pouvoir ensuite les modifier ni les supprimer mais on pourra les lire. Ces droits

permettent un ajustement très précis des permissions accordées à chacun.

Attention ! Il ne faut pas confondre les permissions NTFS

que l’on vient de voir en détail et les Autorisations du

partage d’un dossier. Dans notre TP, nous n’utilisons que

les permissions NTFS et c’est bien souvent suffisant.

Les Autorisations du partage d’un dossier se gèrent à

partir de l’onglet Partage, puis Partage avancé… puis en

cliquant sur le bouton Autorisations.

La fenêtre ci-contre montre la gestion de ces

Autorisations du partage.


Certains utilisent les Autorisations du Partage combinées aux permissions NTFS. Dans ce cas, voilà la

méthode à suivre mais attention à ne surtout pas rendre incompatibles ces Autorisations et ces

permissions :

Prenons un exemple de ce qu'il faut faire pour être plus clair : si vous voulez partager un dossier du

serveur pour le service commercial, que le chef de service puisse lire et écrire des fichiers mais que les

commerciaux ne puissent que lire ces fichiers, voilà la procédure : commencez par créer dans l'Active

Directory un groupe Chef_des_commerciaux, un groupe Tous_les_commerciaux et un groupe

Les_commerciaux dans lequel il y a tous les commerciaux sauf le chef, il faut ensuite créer le partage

sur le dossier, lui donner un nom avec $ à la fin, comme permissions d'accès au partage il faut ajouter

le groupe Tous_les_commerciaux en Modification. Ensuite, on donne les permissions NTFS dans

l'onglet Sécurité en mettant Chef_des_commerciaux en Modification et Les_commerciaux en Lecture

seule et c'est gagné.

L’écran ci-dessous montre comment sécuriser (grâce encore une fois au système de gestion de fichiers

NTFS) chacun des dossiers en autorisant ou non les accès à utilisateur ou par groupe d’utilisateurs. On

note que le groupe des professeurs des TS2SIO (noté TS2SIO_p, le groupe des élèves est noté

TS2SIO_e) ne peut qu’accéder en affichage au dossier de la classe (pour le voir mais sans pouvoir y

modifier quoi que ce soit, contrairement aux sous-dossiers de ce dossier partagé TS2SIO).


8. Maintenant, il vous faut créer des comptes pour les élèves et les professeurs de ces 2 classes

(TS1SIO et TS2SIO pour rappel). Créez aussi des sous-dossiers pour les dossiers partagés de ces

2 classes avec un dossier par élève portant le nom de l’étudiant.

A l’intérieur d’un dossier correspondant à une classe, nous allons aussi créer un dossier appelé

_commun (le caractère underscore permet de placer ce nom de dossier en début de liste) qui sera

accessible par « tout le monde » de la classe (élèves et professeurs).

Il est à noter que le groupe des élèves

(TS2SIO_e) ainsi que celui des professeurs

(TS2SIO_p) des TS2SIO ont toutes les

autorisations sauf le Contrôle total (à

réserver absolument à l’administrateur et

personne d’autre).

Elèves et professeurs peuvent créer des

sous-dossiers de ce dossier _commun.

9. Ce dossier _commun sera désormais le

dossier partagé des TS2SIO. Il faut donc le

mettre en partage en lui donnant le nom de

la classe.

A noter que pour partager un dossier, il est

conseillé de cliquer droit sur le nom du

dossier, puis d’aller dans Propriétés, puis le

bouton Partage avancé…


Tutoriel pour DCPROMO (création du contrôleur de domaine)

Pour créer le contrôleur de domaine, donner une adresse IP fixe au serveur 2008 ainsi qu’aux clients

(et configurer toutes les cartes réseaux depuis VirtualBox en Mode « Réseau privé hôte » pour qu’ils

puissent communiquer entre eux, tant pis si vous perdez la connexion Internet qui ne sera plus utile

dans nos VM) ; pas besoin de cocher « Utiliser l’installation en mode avancé », cocher « Créer un

domaine dans une nouvelle forêt » ; choisir le niveau fonctionnel de la forêt sur Windows Server 2008

(sauf si l’on a dans le réseau d’autres serveurs contrôleurs de domaine secondaires sous 2003 ou 2000

Server) ; choisir « Oui, l’odinateur utilisera une adresse IP attribuée dynamiquement (non

recommandé) » pour pouvoir continuer (cette adresse IP dynamique sera plus tard fixée en mode

manuel ; le serveur indiquera alors qu’il n’y aura pas la possibilité d’intégrer une zone parente, ce qui

est normal puisque nous sommes au niveau le plus haut de la forêt, il suffit donc de cliquer sur « Oui »

pour continuer ; à l’étape suivante, laissez les noms des dossiers par défaut ; pour le mot de passe

fort, utilisez AuGret@,On@14LicPro ; dernière étape : pensez à donner un nom au serveur et aux

clients et à leur donner aussi des adresses IP fixes.

Tutoriel pour intégrer le client au domaine

Nous allons placer dans le même domaine un 2008 Server complet et un client Windows XP Pro SP3.

Pour cela, le 2008 Server sera serveur DNS, contrôleur de domaine et l’Active Directory permettra de

gérer postes, utilisateurs et groupes d’utilisateurs. Commencez par lancer dcpromo sur le 2008 Server,

suivez les étapes avec le bouton Suivant puis créez un domaine dans une nouvelle forêt que nous

appellerons LICPRO.fr pour « Licence Pro ». Etant dans un environnement 2008 Server, choisissez un

« Niveau fonctionnel de la forêt » Windows Server 2008. Cochez la case « Serveur DNS » et demandez

une adresse IPv4 statique pour ce serveur (configurez cette adresse IP 192.168.25.25 dans Centre

Réseau et partage et Connexions réseau). Si une fenêtre vous indique qu’il est impossible de créer une

délégation faute de zone parente, c’est normal puisque ce serveur n’est pas déjà dans une forêt. Si

vous restez coincé sur Continuez en laissant les dossiers indiqués par défaut. Pour le Mot de passe

administrateur de restauration des services d’annuaire, utilisez Pa$$word. Pour le moment, mettez

aussi le client XP en adresse IP fixe (192.168.25.30 par exemple). Maintenant, intégrez votre client XP

au domaine LICPRO. Il est parfois nécessaire de passer par un groupe de travail avant de pouvoir

intégrer définitivement le domaine.

Pensez à redémarrer le serveur. Dorénavant, un mot de passe simple comme Pa$$word ne suffira plus.

A vous d’utiliser un mot de passe très fort pour éviter toute mésaventure future. Rappelez-vous du 1er

cours où nous avons décidé d’exploiter en commun le mot de passe AuGret@,On@14LicPro

Tutoriel pour partager un

dossier entre l’ordinateur hôte

et les machines virtuelles

Aller dans la configuration de

VirtualBox puis Dossiers

partagés ; créer un dossier

partagé en donnant un nom

simple (partage par exemple)

puis démarrer la VM et taper sous

le mode commande MS-DOS net

use H: \\vboxsvr\partage;

votre machine hôte est

maintenant prête à recevoir des

fichiers de votre VM.

TP Partage de ressources sur un réseau local avec un ... · Pour gérer un réseau local avec un...

Documents

Transcript of TP Partage de ressources sur un réseau local avec un ... · Pour gérer un réseau local avec un...