INTRODUCTION
Le serveur Windows est le système d’exploitation serveur de Microsoft. Il s’agit d’une version amélioré et puissant des systèmes d’exploitations standard de Microsoft. Elle permet une gestion simplifiée des services applicatifs et réseaux. Le but est de fournir des services à de nombreux autres équipements. Il permet d’offrir plusieurs services comme Services AD DS, Hyper-V, Serveur DHCP, Serveur DNS, Serveur Web, Service WSUS, Services de déploiement Windows etc.
Le but de cette article est de découvrir dans un premier temps le service AD DS. Puis exploiter l’un des fonctionnalités que cette service nous offre comme la gestion d’utilisateur et ordinateur et la gestion de stratégie de groupe.Puis nous allons associer un autre serveur à notre serveur AD DS sur le quel nous allons installer le service DHCP. Finalement nous verront l’utilisation de l’environnement PowerShell avec l’explication de quelque exercice.
SOMMAIRE
- Active Directory
- Créer une unité d’organisation
- Créer un groupe
- Créer un utilisateur
- Intégrer un client dans le domaine
- Les stratégies de groupe
- Ajouter un serveur dans le pool de serveurs
- Installation d’un serveur DHCP
- Découverte de Powershell
1.Active Directory
Microsoft Active Directory (AD) est une technologie développée par Microsoft, s’appuyant sur l’exploitation d’un annuaire informatique (norme X500).L’objectif étant de fournir un environnement de travail sûr et efficace, répondant aux attentes d’utilisateurs exécutant Microsoft Windows, pour les besoins allant d’une très petite entreprise à ceux d’une vaste organisation, multi-sites. Le principe d’Active Directory est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows. La sécurité est au cœur des préoccupations d’un domaine. Avec Active Directory, les données sont sous le contrôle de machines dédiées (contrôleurs de domaines) et d’administrateurs systèmes. Un ensemble de services travaillant de concert, permet l’exploitation des ressources et assure les répartitions des tâches de gestion et de contrôle. L’un des principaux services est un annuaire LDAP s’appuyant sur le système DNS qui permet une ‘géolocalisation’ rapide et efficace de l’ensemble des ressources. Avec Microsoft Active Directory, il est facile d’attribuer des stratégies d’utilisations et d’accès, de distribuer des logiciels et les mises à jour, par les administrateurs. Active Directory répertorie les éléments d’un réseau administré tels que les comptes utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, les contacts etc.
Allons maintenant l’explorer!
Avant de procéder à l’installation d’Active Directory nous allons mettre une adresse IP fixe à notre machine.
Comme notre machine deviendra le contrôleur principale et la première machine du domaine il est conseillé de mettre l’adresse de boucle comme DNS 127.0.0.1 car cette machine aura sa propre service DNS lors de l’installation d’AD du coup elle pourra faire des requêtes sur elle-même. C’est efficace et sécurisé.
Nous allons maintenant construire notre domaine. C’est à dire ajouter les rôles et les fonctionnalités qui sont les gestions des services d’Active directory. Pour cela nous allons se rendre dans le gestionnaire de serveur et cliquer sur gérer puis ajouter des rôles et des fonctionnalités.
Une fenêtre d’assistant va s’ouvrir. Il vous demandera dans un premier temps de vérifier trois conditions.
Si ces trois conditions sont réunies nous pouvons passer à l’étape « Type d’installation ».Dans cette étape nous avons deux choix.
Le deuxième choix est à sélectionner dans le cas où on installe une application dans le serveur qui sera utilisé à distance par les ordinateurs de domaine en mode virtualisation de bureau à distance. Mais dans le cas où nous installons une application qui sera réellement exploité directement sur cette serveur par lui-même en local dont ce qui est notre cas on laisse par défaut le premier choix et passer à l’étape suivante.
L’étape suivant nous invite à choisir dans le serveur sur le quelle nous désirons installer le rôle AD DS. Comme nous possédons qu’un seul serveur on sélectionne notre serveur et on passe à l’étape suivant.
Dans cette étape je choisi le rôle que je veux installer dans mon serveur. Donc je choisi service AD DS. Pour qu’un serveur AD puisse fonctionner correctement nous avons besoin d’un serveur DNS. Nous pouvons constater que nous avons la possibilité d’installer le service DNS cochant le case mais celui-ci.nous exigera qu’on lui configure nous-même or si nous laissons vide le processus d’installation de service d’AD s’en chargera lui-même d’installer et configurer le serveur DNS.
Je passe donc à l’étape suivant qui consiste à choisir les fonctionnalités à installer. Nous pouvons voir qu’il y a déjà des fonctionnalités qui sont sélectionnés par défaut qui sont nécessaire pour le fonctionnement d’Active directory. Nous allons laisser ces paramètres par défaut et poursuivre à l’étape suivant.
L’étape suivant nous indique simplement ce qui est l’Active directory donc on passe directement à l’étape suivant pour confirmer notre installation.
L’Installation est terminé mais à la fin de l’installation le serveur nous exige de promouvoir le serveur en tant que contrôleur de domaine.
Quand on clique sur cette notification le serveur nous dirige vers un autre assistant qui va nous permettre de configurer vraiment notre domaine.
Ici comme nous allons créer notre nouveau domaine nous allons cliquer sur la troisième option et nous allons ensuite spécifier le nom de notre domaine.
L’étape suivant nous propose de choisir le niveau fonctionnel de foret. Une forêt Active Directory (forêt AD) représente le plus haut niveau de conteneur logique dans une configuration Active Directory contenant des domaines, utilisateurs, ordinateurs et règles de groupe.
Si nous choisissons un niveau qui est faible (Windows server 2008) nous aurons la possibilité de choisir des niveaux de domaine qui sera comprise entre le niveau maximale dont le niveau de notre serveur (Windows server 2012 r2).Ainsi nous avons la possibilité d’utiliser des clients avec une version ancienne comme Windows XP alors que si nous choisissons le niveau plus récente nous ne pourrons pas. Donc ces paramètres sont à choisir selon les clients ordinateurs qu’on veut utiliser. Ensuite nous laissons la case de DNS coché car comme expliqué précédemment nous allons laisser l’assistant s’occuper d’installation et configuration d serveur DNS. Puis troisième partie consiste à mettre un mot de passe de restauration qui va permettre de restaurer en cas de besoin l’annuaire qui contient toutes les informations de domaine.
L’étape suivant nous indique que l’assistant n’a pas pu créer une délégation pour ce serveur DNS car la zone parente faisant autorité est introuvable. Cette remarque est normale car la zone parente qui fera l’autorité est la zone qui portera le nom de notre domaine. Et comme ce domaine n’est pas encore crée c’est normal que qu’il est introuvable. Donc ignorons cette remarque et faisons juste suivant.
L’étape suivant vérifie sur le réseau si le nom de domaine qu’on veut créer est disponible ou pas et si c’est disponible celui-ci va nous afficher le nom NETBIOS.
Ensuite l’étape suivant nous indique à quel endroit les informations concernant les partitions d’annuaire, les fichiers journaux et le dossier volume système seront stocké. Nous pouvons changer ces emplacements si nous souhaitons.
Puis les trois étapes suivant nous permet de vérifier les options que nous avons choisies. Ensuite l’assistant fera une vérification de configuration puis nous pouvons installer le domaine et redémarrer le serveur pour que le serveur se mette à jour.
A ce point la promotion de de serveur en tant que contrôleur de domaine est terminé. Allons voir maintenant notre domaine dans l’outil de gestion d‘utilisateur et ordinateur Active directory.
Nous pouvons voir notre foret asur.local dans le quelle nous trouvons les groupes crée par le serveur lui-même, puis un dossier computers où vont apparaître les ordinateurs qu’on intégrera dans le domaine, les contrôleurs de domaines et les utilisateurs de domaines.
Créer une unité d’organisation :
Nous allons maintenant créer une unité d’organisation.Les unités d’organisation (UO) dans un domaine managé Active Directory Domain Services (AD DS) vous permettent de regrouper logiquement des objets tels que des comptes d’utilisateur, des comptes de service ou des comptes d’ordinateur.Pour créer une unité d’organisation on fait une clique droite sur notre foret puis nouveau ensuite unité d’organisation.
Créer un groupe :
Ensuite nous allons créer un groupe global et un utilisateur dans cette unité d’organisation qu’on vient de créer pour cela on fait un clique droit sur notre OU puis nouveau.
Créer un utilisateur :
On donne renseigne les informations sur l’utilisateur :
On définit le mot de passe ainsi que la politique de mot de passe :
Puis on clique sur terminer.Si nous allons dans les propriétés de notre utilisateur que nous venons de créer nous pouvons voir dans la rubrique « membre de » que cet utilisateur ne fait partie que de groupe d’utilisateur de domaine. Pour lui intégrer dans le groupe que nous venons de créer nous allons cliquer sur ajouter puis entrer le nom de groupe auquel nous voulons intégrer l’utilisateur puis valider.
Intégrer un client dans le domaine :
Nous allons maintenant intégrer un ordinateur client dans le domaine pour pouvoir tester notre compte d’utilisateur.
Pour intégrer un ordinateur dans le domaine il faut qu’on configure les paramètres réseau de l’ordinateur en question. C’est à dire définir l’adresse IP de serveur ad dans le champ de DNS pour qu’il puisse interroger le serveur. Il est préférable de tester la communication avec le serveur en faisant un Ping avec l’adresse IP de serveur AD ainsi que le nom de domaine avant de procéder à l’intégration d’ordinateur dans le domaine.
Nous allons aller dans l’explorateur de fichier puis faire un clic droit sur Ce PC et aller dans les propriétés de l’ordinateur.
Puis dans la fenêtre de propriété de système nous allons cliquer sur modifier les paramètres:
Ensuite nous allons encore cliquer sur modifier une fenêtre.Une autre fenêtre va alors s’ouvrir comme montré dans le figure 30-étape3 qui va nous permettre de changer le nom de pc ainsi que le domaine au quelle il appartient.Nous pouvons voir que pour le moment l’ordinateur SARU-PC appartient à un groupe de travail propre au ordinateur lui-même.Nous allons donc modifier et choisir l’option domaine afin de saisir le nom de notre domaine.Puis nous allons cliquer sur Ok.
Après avoir cliqué sur OK l’ordinateur va interroger le serveur DNS qu’on lui a attribué dans sa paramètre réseau. C’est donc le serveur AD lui-même qui va répondre. Il va demander de saisir l’identifiant et le mode de passe de l’administrateur de domaine.
Après avoir entré les informations d’identification l’ordinateur va être intégré avec succès dans le domaine et on va devoir redémarrer l’ordinateur client afin que cela prenne en compte cette modification. On peut maintenant retourner dans notre serveur AD et aller dans l’outils ⇒ gestion de l’utilisateur et ordinateur Active Directory pour voir si l’ordinateur a bien intégrer le Domain.
Comme nous pouvons voir dans le figure 32 que l’ordinateur a bien été intégré.Testons tous cela en essayant de se connecter avec la session d’utilisateur qu’on a créé précédemment. Nous allons cliquer sur changer d’utilisateur et choisir autre utilisateur nous pouvons voir dans le figure 33 qu’un message est affiché « ouvrir une session sur ASUR ».Cela nous confirme encore une fois que l’ordinateur est dans le domaine ASUR.
Et voilà nous avons réussi à se connecter sur notre session d’utilisateur. Dans le propriété de système nous pouvons voir apparaître le nom de domaine.
2.Les stratégies de groupe
les stratégies de groupe sont des paramètres de configuration appliqués par le biais d’objets Active Directory « Stratégie de groupe » (GPO) appliqués aux sites, domaines ou unités d’organisation.Nous allons faire deux exemple permettant de comprendre cette notion de stratégie.
Exemple:
Nous allons créer un stratégie de groupe qui va permettre de connecter un lecteur réseau à un utilisateur.Pour ce la il faut commencer par créer un dossier que nous allons partager. Pour cela il faut aller dans les propriétés de ce dossier et cliquer sur partager.
Puis on choisit l’utilisateur à qui la stratégie que nous allons créer va s’appliquer.
Nous allons maintenant se rendre sur la fenêtre de gestion de stratégie en allant dans outils ⇒ gestion de stratégie de groupe.
Puis nous allons faire un clic droit dans le nom de domaine et cliquer sur la première option.
Nous allons ensuite donner un nom à notre GPO.
Maintenant que notre GPO est créé nous allons le configurer. Pour faire cela on fait un clic droit sur notre stratégie.
Figure 40:Créer un mappage réseau avec GPO étape6
Un éditeur de stratégie va s’ouvrir. Nous pouvons voir qu’il est constitué de deux type de configuration l’un c’est configuration de l’ordinateur et l’autre c’est la configuration d’utilisateur.On comprend donc qu’on peut créer deux type de stratégie.L’un lié au configuration des ordinateurs et s ‘applique sur les ordinateurs et l’autre est lié aux configuration des utilisateur et s’applique sur les utilisateurs. Comme la stratégie que nous voulons créer s’applique à un utilisateur appartenant à un groupe nous allons choisir la configuration utilisateur. Puis nous allons sélectionner le dossier paramètres Windows et choisir le mappage réseau.
Ensuite dans la fenêtre qui s’ouvre nous allons créer un nouveau lecteur mappé.
Puis on clique sur ce lecteur pour le configurer. On configure le lecteur en donnant le chemin de dossier partagé et en lui attribuant une lettre de lecteur.
Maintenant nous allons retourner dans le gestionnaire de stratégie de groupe et nous allons cliquer sur notre stratégie. Cela va afficher les informations sur notre stratégie. Nous devons maintenons ajouter l’utilisateur sarujan dans les champs de filtrage de sécurité afin que la stratégie s’applique sur cette utilisateur.
Nous allons maintenant aller dans l’ordinateur client et dans l’explorateur de fichier nous pouvons voir que pour l’instant le lecteur n’apparaît pas .Il faut se déconnecter et se reconnecter sur la session d’utilisateur pour que la stratégie prend effet sur l’ordinateur.
Et après avoir reconnecté nous pouvons voir en allant dans l’explorateur de fichier que le lecteur dossier sarujan apparaître. Cela prouve que notre stratégie a bien fonctionné.
3.Ajouter un serveur dans le pool de serveurs
Nous allons maintenant ajouter un deuxième serveur dans notre pool des serveurs.Nous allons ensuite installer un rôle DHCP dessus.Pour ce la nous devons d’abord mettre une adresse IP fixe et renseigner l’adresse ip de serveur AD /DNS dans le champ DNS puis nous devons ensuite l’intégrer dans notre domaine.Une fois que tous cela est fait nous allons cliquer sur gérer puis ajouter des serveurs.
Puis nous allons identifier le serveur en cherchant par son nom et appuyer sur le flèche au milieu pour l’ajouter.
Nous pouvons voir dans le figure suivant que le nouveau serveur a bien été ajouté.
4.Installationd’un serveur DHCP
Nous allons maintenant installer le service DHCP sur notre nouveau serveur.
DHCP (Dynamic Host Configuration Protocol) est un standard IP conçu pour faciliter l’administration des configurations d’adresses. DHCP utilise un serveur qui centralise la gestion des adresses IP.DHCP permet d’affecter de manière dynamique une adresse IP et d’autres éléments de configuration IP à un client à partir d’une base de données d’adresses stockée sur le serveur. Les clients obtiennent de manière dynamique leur adresses IP et les paramètres de configurations associés, chaque fois qu’ils ouvrent une session réseau.
Les serveurs DHCP fournissent cette configuration sous forme de bail d’adresse.
DHCP réduit la complexité et quantité de taches d’administration impliqués dans la reconfiguration des ordinateurs et évite les conflits d’adresses par duplication.
Pour installer un serveur DHCP il suffit d’aller dans outils ⇒ ajouter des rôles et des fonctionnalités comme nous avons fait pour l’installation d’AD. Ensuite choisir le serveur sur lequel l’installer la rôle. Ensuite nous serons à l’étape ou nous devons choisir le rôle à installer c’est ici qu’il faut choisir le service DHCP.
Une fois qu’on a choisi il suffit de faire suivant. La fenêtre suivant sert à choisir les fonctionnalités à installer comme nous n’avons aucune fonctionnalités à installer on fait simplement suivante la fenêtre d’après indique ce qui est un DHCP et les conditions à respecter. Un serveur DHCP doit avoir obligatoirement une IP statique.
A la fin d’installation le serveur nous demande de configurer notre serveur DHCP .
Il s’agit de configurer les groupe de sécurité. Après cette configuration l’installation est terminé.
Nous allons maintenant créer notre étendue d’adresse pour servir les clients. Pour cela nous allons se rendre dans outils puis DHCP.
On aura alors cette fenêtre de gestion qui va apparaître. C’est ici que nous allons créer notre étendue. Une étendue est un groupage administratif d’adresses IP pour des ordinateurs sur un sous réseau. L’administrateur crée d’abord une étendue pour chaque sous réseau physique, puis utilise l’étendue pour définir les paramètres utilisés par les clients.
Pour ce la nous allons faire un clic droit sur IPv4 et cliquer sur Nouvelle étendue.
L’assistant de nouvelle étendue va s’ouvrir.La première étape consiste à donner un nom à notre étendue.
Ensuite prochain étape consiste à définir la plage d’adresse qu’on veut distribuer.ici je choisi une plage entre 192.168.1.10 jusqu’au 192.168.1.30 soit vingt adresse.
Cette étape permet d’exclure les adresse IP que nous avons déjà attribué aux machine dont il font partie de l’«étendue qu’on a choisi.Ici comme l’adresse IP de notre serveur DHCP 192.168.1.20 est dans l’étendue je vais l’exclure.
Ensuite l’étape suivant permet de définir la valeur de durée de bail affecté aux clients recevant des adresses IP de manière dynamique. Le bail est le temps alloué à une machine à pouvoir garder l’adresse IP qui lui a été fourni par le serveur DHCP. Chaque machine est configurée à tel sorte qu’il demande un renouvellement de bail quand celui-ci arrive à l’expiration. Si une machine ne renouvelle pas son bail avant qu’il termine et qu’un autre machine vient réclamer cette adresse IP, Le serveur DHCP va fournir cette adresse IP la machine qui fait la demande.
La prochaine étape nous demande si nous voulons configurer les options d’étendue comme serveurs DNS, routeur, WINS. Nous allons laisser l’option oui et nous allons configurer ces options.
Premier option est l’adresse IP de routeur :
Suivant est l’adresse de serveur DNS :
Le dernier est l’adresse IP d’un un serveur de noms et services pour les ordinateurs utilisant NetBIOS qui n’est plus utilisé depuis Windows 2000 :
Ensuite l’assistant nous demande si nous voulons activer notre étendu on clique sur oui.Puis on fait simplement suivant.
Notre étendue est prêt maintenant nous pouvons le voir en cliquant sur pool d’adresses.
Nous allons maintenant tester notre serveur DHCP pour cela nous allons prendre un client et configurer sa carte réseau en DHCP. Puis nous allons voir son adresse IP en utilisant la commande ipconfig /all.
Comme illustré dans la figure 74 notre client a bien obtenue une adresse IP via le serveur DHCP.
Allons voir un peu en détails cette attribution d’adresse IP.
Premièrement lorsqu’un ordinateur est configuré sur DHCP il va faire une requête DHCPDISCOVER en utilisant l’adresse de Broadcast 255.255.255.255.En gros le client qui n’a pas d’adresse IP va envoyer une message comme quoi, je suis @ip0.0.0.0 et @Mac(adresse de la carte réseau) et je cherche quelqu’un qui écoute en port 67 et qui offre des adresse IP.
Comme c’est une message de Broadcast toutes les machine trouvant sur cette réseau vont recevoir cette demande et lorsque le serveur DHCP va recevoir cette message.il va ennoyer une réponse comme quoi c’est moi et je te propose cette adresse IP et Est ce que ça te va ?
La machine va alors envoyer une réponse d’accord.
Finalement le serveur DHCP va alors lui attribuer cette adresse et lui envoyer une accusé de réception.
Voici un schéma qui illustre cette fonctionnement:
5.Découverte de Power Shell
Windows PowerShell est une suite logicielle développée par Microsoft qui intègre une interface en ligne de commande, un langage de script nommé PowerShell ainsi qu’un kit de développement. Nous allons créer et exécuter des scripts PowerShell qui vont permettre de gérer les comptes locaux d’un système.
Nous allons utiliser le module ADSI (Active Directory Standard Interface) qui est un module dans PowerShell permettant de gérer les comptes les objets d’un annuaire AD. Nous avons un autre module. Nous avons un autre module Active directory comme ADuser qui est plus performant et simple à utiliser mais celui-ci ne permet pas de gérer les comptes locaux. C’est pour ça que nous allons réaliser nos scripts avec ADSI.
Script n°1 :
Le script suivant permet d’afficher les informations d’un compte tel que les informations sur sa dernière connexion, le nom complet d’utilisateur et la description. Pour cela nous allons demander de saisir un nom d’utilisateur et nous allons récupérer cette nom avec Read-Host ensuite le stocker dans un variable $nom, Puis nous allons stocker dans la variable $compte le chemin de utilisateur qu’on récupère grâce au ADSI. Nous avons ensuite une boucle if qui permet de vérifier si un chemin correspondant à ce nom d’utilisateur n’existe ou pas. S’il existe nous allons afficher les informations sur son compte. Et si le chemin n’existe pas nous allons afficher un message comme quoi le nom d’utilisateur n’existe de pas dans la base.
Voici le script et le résultat de son exécution :
Remarque : L’exécution de script PowerShell est bloqué par défaut il faut exécuter la commande suivant pour l’activer : Set-ExecutionPolicy RemoteSigned
Script n°2 :
Le script suivant permet est un peu similaire au script d’avant. D’abord on vérifie si le nom d’utilisateur saisi n’existe pas (!$compte.path).Et si la condition est vrai on créer cette utilisateur en collectant les informations tel que le nom complet et la description. On se positionne d’abord dans l’emplacement ou sont stocké tous les utilisateur Puis on utilise la commande Create pour créer l’utilisateur puis avec la commande invokeSet on ajoute les informations à cette utilisateur finalement on finalise la création avec CommitChanges().Dans le cas où la condition est fausse on affiche que l’utilisateur existe déjà.
Voici le script et le résultat de son exécution :
Script n°3 :
Le script suivant permet de parcourir un fichier texte et d’afficher le contenu de ce fichier.
Pour cela nous allons d’abord stocker le fichier(le chemin de fichier) dans une variable $fichier. Puis nous avons une condition if qui vérifie si l’emplacement de fichier existe ou pas avec la commande Test-path. Si c’est le cas nous allons stocker le contenu de cette fichier dans une variable $collignes. Puis nous allons parcourir chaque ligne de ce fichier avec l’instruction foreach. Puis nous allons segmenter la ligne partout où il y a le symbole (délimiteur) « / » et nous allons afficher avec la commande Write-Host ces segment de chaine de caractère une par une. Dans le cas la condition renseigné dans if est fausse on affiche que « le fichier n’existe pas ».
Voici le script et le résultat de son exécution :
Script n°4:
Le script est similaire au script d’avant. On parcourt un fichier ou nous avons le nom, le nom complet et la description des utilisateurs comme montre dans la figure 78. Ensuite pour chaque ligne dont pour chaque utilisateur nous allons stocker leurs informations dans des différents variables. Puis nous allons insérer le deuxième script qui permet de créer un utilisateur. Ainsi on va créer les utilisateurs et nous allons afficher que l’utilisateur x est ajout ».Puis nous allons utiliser la commande Delete pour supprimer l’utilisateur qu’on vient de créer. Ensuite nous allons insérer une partie de deuxième script qui permet de vérifier si l’utilisateur n’existe pas. Et pour finir on affiche que l’utilisateur n’existe pas.
Voici le script et le résultat de son exécution :
CONCLUSION
Nous avons pu voir les utilisations possibles d’un serveur Windows grâce aux différents exemples. Nous avons pu voir qu’Active directory joue un grand rôle dans la gestion d’un parc informatique. En effet il centralise et facilite la gestion des ordinateurs et des utilisateurs d’une entreprise. Nous avons également pu appréhender l’environnement Power Shell grâce au diffèrent scripts. Des connaissances en Power Shell permettent d’utiliser un serveur Windows en mode Core qui est moins coûteux en termes de ressources.