Partie 4 – Créer les partages nécessaires, créer des utilisateurs, attribuer des dossiers de base et de profil, introduire les stratégies de groupe
Nous commençons la partie 4 par la préparation de la création des utilisateurs, c’est-à-dire que nous créons les partages pour les profils et le lecteur d’accueil des utilisateurs. Dans ce cas, j’ai opté pour des partages cachés qui ne seront pas visibles plus tard dans l’environnement réseau ou avec „net view“ sur la console. Les partages cachés portent un signe $ à la fin du nom du partage.
Créez deux répertoires sur un lecteur de votre serveur, l’un nommé Profile et l’autre User.
Pour partager ces répertoires, nous ouvrons l’administration de l’ordinateur via „Démarrer“ => „Outils d’administration“ et naviguons dans l’arborescence de gauche vers „Dossiers partagés“ => „Partages“. Un clic droit sur „Partages“ fait apparaître le menu contextuel.
Nouveau partage |
Saisissez maintenant les données nécessaires.
Nouveau partage |
Ensuite, nous définissons les autorisations pour ce partage.
Autorisation pour le partage |
Ajoute „Utilisateur du domaine“ et „Admin du domaine“ et donne aux deux groupes un accès complet. Ce n’est qu’ensuite que tu supprimes „TOUT LE MONDE“ des autorisations de partage et que tu cliques sur OK.
Autorisation de partage |
Répétez l’opération avec le répertoire „User“ et définissez les autorisations de la même manière que pour le répertoire des profils.
Nous pouvons maintenant créer le premier utilisateur dans l’Active Directory. Pour cela, nous démarrons via „Démarrer“ => „Administration“ le SnapIn „Active Directory Utilisateurs et ordinateurs“ et naviguons dans l’arborescence de gauche vers „Users“. Cliquez avec le bouton droit de la souris sur l’entrée „Users“ et sélectionnez „Nouveau“ => „Utilisateur“ dans le menu contextuel.
Créer un nouvel utilisateur |
La création d’un utilisateur est presque auto-explicative. Vous changez bien sûr „TestUser“ en un nom d’utilisateur utilisable.
Nouveau compte |
Attribuer maintenant un mot de passe, celui-ci doit comporter au moins 7 caractères et contenir une lettre majuscule et/ou un chiffre. Les parties du nom ne sont pas autorisées, c’est ce que veut la directive sur la complexité des mots de passe de Windows Server 2003.
Attribuer un mot de passe |
Une fois l’utilisateur créé, il apparaît dans le conteneur „Users“ sur le côté droit. Un double-clic sur l’utilisateur ouvre la boîte de dialogue des propriétés, dans laquelle vous passez à l’onglet „Profil“ et effectuez les réglages suivants.
Définir le chemin du profil et le dossier de base |
La variable %USERNAME% est alors remplacée par le véritable nom de l’utilisateur, ce que vous pouvez contrôler en appelant à nouveau les propriétés de l’utilisateur.
En cliquant sur OK, vous enregistrez ces paramètres, la configuration du premier utilisateur est ainsi terminée : Le chemin du profil permet de se connecter à n’importe quel ordinateur du réseau, car l’utilisateur possède maintenant un profil enregistré sur le serveur. Le dossier de base est également disponible depuis n’importe quel ordinateur du réseau. Dans l’étape suivante, le dossier „Mes documents“, par exemple, sera redirigé vers ce chemin via la stratégie de groupe (car il est enregistré par défaut dans le chemin du profil et la connexion/déconnexion peut donc parfois prendre un certain temps).
En outre, nous définirons les autorisations des utilisateurs sur les clients via les stratégies de groupe, c’est-à-dire que nous définirons via la stratégie de groupe si tel ou tel utilisateur obtient des droits d’administration sur tel ou tel client, etc.
Le traitement des stratégies de groupe s’effectue de préférence à l’aide de la Group Policy Management Console (GPMC). Celle-ci peut être téléchargée chez Microsoft, mais attention, elle existe en différentes langues et versions. La version dont nous avons actuellement besoin est la GPMC 1.01 SP1 allemande.
Veuillez l’installer directement sur le serveur. La manière d’administrer le domaine à partir d’un client fera l’objet d’une prochaine partie de l’article.
Console de gestion des politiques de groupe |
Vous trouverez la console GPMC après l’installation sous Démarrer => Outils d’administration => Gestion des stratégies de groupe.
Console de gestion des politiques de groupe |
Ne touchez pas à la „Default Domain Policy“ et à la „Default Domain Controllers Policy“ – des réglages erronés peuvent paralyser le domaine entier. Seule la complexité des mots de passe doit et peut être contrôlée exclusivement par la „Default Domain Policy“, pour tout le reste, nous créons nos propres objets de stratégie de groupe, en abrégé GPO.
Pour créer une nouvelle stratégie, fais un clic droit sur le conteneur „Objets de stratégie de groupe“ => „Nouveau“. Nomme le nouveau GPO selon sa fonction :
Nouveau GPO |
Pour modifier le GPO dans la liste sur la droite, cliquer sur l’objet „Redirection de dossier“ à droite et sélectionner „Modifier“.
Modifier le GPO |
Comme vous le voyez, les stratégies de groupe sont divisées en configuration ordinateur et configuration utilisateur, ce qui signifie que les stratégies définies sous Configuration ordinateur s’appliquent à chaque ordinateur pour lequel ce GPO est valable, indépendamment de l’utilisateur connecté.
Modifier le GPO |
Les directives définies sous Configuration utilisateur s’appliquent à chaque ordinateur sur lequel un utilisateur donné s’est connecté et uniquement à lui.
Nous voulons ici configurer une redirection de dossier, c’est une configuration utilisateur :
Modifier GPO |
Un clic droit sur „Mes documents“ => „Propriétés“ fait apparaître une boîte de dialogue d’options que vous configurez comme suit :
Modifier GPO |
Dans l’onglet „Paramètres“, effectuez les réglages suivants et confirmez en cliquant sur OK.
Modifier le GPO |
Maintenant, fermez l’éditeur d’objets de stratégie de groupe et revenez à la GPMC. Ici, nous devons encore lier le nouveau GPO et définir pour qui il doit être valable.
Dans le conteneur „Objets de stratégie de groupe“, sélectionnez l’entrée „Redirection de dossier“ et cliquez ensuite sur l’onglet „Délégation“ dans la fenêtre de droite.
Déléguer un GPO |
Clique maintenant en bas à droite sur „Avancé“. Veille à ce que, sous „Utilisateurs authentifiés“, la case „Appliquer la stratégie de groupe“ soit cochée sur „Autoriser“.
Appliquer GPO |
Pour les administrateurs de domaine, la coche ne doit par contre pas être activée.
Ne pas adopter GPO pour les administrateurs de domaine |
Le GPO est maintenant configuré, mais il n’est pas encore lié, c’est-à-dire qu’il n’est pas encore actif. Pour le lier, prenez le GPO „Redirection de dossier“ et faites-le glisser, en maintenant le bouton gauche de la souris enfoncé, sur l’entrée „mydomain.local“ ou sur l’entrée qui correspond à votre nom de domaine.
Lier le GPO |
Avant de nous connecter pour la première fois depuis un client avec l’utilisateur nouvellement créé, il faut encore créer un partage de données (ou plusieurs) sur le serveur, qui sera ensuite mis à disposition depuis le client via „Connecter un lecteur réseau“ ou via un script de connexion.
Pour ce faire, nous créons un nouveau dossier sur le serveur (que nous partagerons ensuite) et le nommons par exemple Data, puis nous démarrons l’administration de l’ordinateur et naviguons dans l’arborescence de gauche vers „Dossiers partagés“ => „Partages“. La création d’un nouveau partage pour le dossier „Data“ se fait de la même manière que le partage des dossiers de profil et de base, la seule différence étant que le nom du partage n’est PAS suivi du signe $.
Créer un nouveau dossier |
Vous définissez les autorisations de partage exactement comme pour les dossiers de profil et de base.
Il est maintenant temps de se connecter pour la première fois au domaine depuis le client avec l’utilisateur nouvellement créé. Une fois la connexion établie, les répertoires sur le serveur se présentent comme suit :
Dossier de profil |
Dossier de l’utilisateur |
Mes fichiers |
De plus, vous voyez sur le client dans le poste de travail/l’explorateur un lecteur U : qui est directement connecté au serveur – c’est le dossier de base que nous avons saisi dans les propriétés de l’utilisateur lors de la création.
Il est maintenant judicieux de répéter les étapes présentées ici et de créer tous les utilisateurs nécessaires pour votre réseau ainsi que les partages de données nécessaires sur le serveur. En outre, vous devriez réfléchir à quel utilisateur obtient quelles autorisations sur quel ordinateur et quels lecteurs réseau doivent être connectés par utilisateur – tous ces points seront définis dans la partie 5 via la stratégie de groupe.
D’ici là, nous vous recommandons vivement la lecture du projet web de Mark Heitbrink www.gruppenrichtlinien.de – du moins pour ceux qui souhaitent à l’avenir en faire plus avec les GPO.