Windows Server 2003 – Configuration en tant que contrôleur de domaine et autres possibilités – Partie 5

Partie 5 – Créer et lier un script de connexion, définir des autorisations locales, des réservations DHCP pour les clients, créer et lier un script de connexion Cette partie commence par la création d’un script …

Windows Server 2003 – Configuration en tant que contrôleur de domaine et autres possibilités – Partie 5

  1. Magazine
  2. »
  3. Article
  4. »
  5. Windows
  6. »
  7. Windows Server 2003 – Configuration en tant que contrôleur de domaine et autres possibilités – Partie 5

Partie 5 – Créer et lier un script de connexion, définir des autorisations locales, des réservations DHCP pour les clients, créer et lier un script de connexion

Cette partie commence par la création d’un script de connexion simple qui, lors de la connexion d’un utilisateur, associe la lettre de lecteur S : au partage DATA sur le serveur.

Pour ce faire, nous ouvrons l’explorateur sur le serveur, naviguons jusqu’au dossier NETLOGON et y créons un nouveau fichier texte appelé login.bat.

Nouveau fichier de login
Cliquez sur l’image pour l’agrandir

Veillez à décocher la case « Masquer les extensions pour les types de fichiers connus » sous Options des dossiers, sinon votre script s’appellera login.bat.txt et ne fonctionnera pas.

Le script lui-même est très simple :

Contenu du script

Après avoir enregistré le script, il s’agit maintenant de l’attribuer aux utilisateurs. Pour cela, il y a deux manières : la manière « classique » – qui devrait être connue de ceux qui ont déjà travaillé avec NT – est d’inscrire le script pour chaque utilisateur individuellement dans les propriétés du compte. Cela se fait au moyen du SnapIn « Active Directory Utilisateurs et ordinateurs » => double-clic sur le compte de l’utilisateur => onglet « Profil ».

Attribuer le script dans le profil

Pour une poignée d’utilisateurs, ce n’est certainement pas un problème, mais on peut aussi le faire plus habilement en intégrant le script de connexion via une stratégie de groupe. Pour cela, nous démarrons la GPMC et créons un nouveau GPO nommé Loginscript.

Attribuer le script via la stratégie de groupe
Cliquez sur l’image pour l’agrandir

Nous cliquons sur ce nouveau GPO avec le bouton droit de la souris, choisissons « Modifier » et naviguons vers Configuration utilisateur => Paramètres Windows => Scripts (connexion/déconnexion).

Attribuer un script via la stratégie de groupe
Cliquez sur l’image pour l’agrandir

En double-cliquant sur « Connexion », la boîte de dialogue « Propriétés de Connexion » s’ouvre.

Attribuer un script via la stratégie de groupe

Ici, nous cliquons maintenant sur « Ajouter », puis sur « Parcourir » et naviguons dans le dossier NETLOGON (le mieux est de passer par Voisinage réseau => Tout le réseau => Réseau Microsoft Windows => MyDomain => Serveur de test => NETLOGON ou en tapant directement \TestserverNETLOGON).

Attribuer le script via la stratégie de groupe

Nous confirmons maintenant toutes les boîtes de dialogue avec OK et voilà, le login.bat est intégré. Nous fermons maintenant l’éditeur de stratégie de groupe et relions le nouveau GPO à notre domaine par glisser-déposer (comme décrit dans la partie 4 pour le GPO redirection de dossier).

Glisser-déposer sur le domaine local
Cliquez sur l’image pour l’agrandir

Remarques :
N’utilisez jamais les deux méthodes en même temps, cela conduit inévitablement à des problèmes. En raison de la distribution plus simple aux utilisateurs, je n’utilise désormais plus que la variante via les stratégies de groupe.
Le script de connexion est très simple, on peut bien sûr faire beaucoup plus avec les scripts de connexion. Jetez donc un coup d’œil à la collection de scripts des archives logicielles de WinTotal.

Définition des autorisations locales

Passons maintenant à la définition des autorisations locales :
Par défaut, les utilisateurs du domaine sont placés dans le groupe (local) Utilisateurs sur les clients auxquels ils se connectent, ce qui signifie qu’ils ne peuvent pratiquement rien faire, sauf travailler avec les applications mises à disposition par l’administrateur.
Mais il peut être judicieux que l’administrateur lui-même souhaite avoir des droits d’administration locaux sur chaque ordinateur du réseau SANS se connecter en tant qu’administrateur de domaine – simplement avec sa connexion d’utilisateur « normale ».
Là encore, il y a deux façons d’y parvenir : une façon « manuelle » via l’administration des ordinateurs et une autre via la stratégie de groupe. Comme la voie via la stratégie de groupe n’est plus tout à fait triviale et qu’une mauvaise configuration ou une reprise incomplète des GPO par les clients peut conduire à ce que plus rien ne fonctionne, je ne vais pas l’expliquer plus en détail ici.
Pour une poignée d’ordinateurs, la voie de la gestion des ordinateurs est tout à fait utilisable, d’autant plus qu’elle permet de faire plus que de définir des autorisations.
Pour pouvoir administrer directement les autres ordinateurs via le réseau, ceux-ci doivent bien sûr être activés ; en revanche, un utilisateur ne doit pas être connecté.
Nous démarrons la gestion des ordinateurs sur le serveur (Démarrer => Gestion => Gestion des ordinateurs), cliquons avec le bouton droit de la souris sur l’entrée supérieure « Gestion des ordinateurs (locaux) » et choisissons « Établir une connexion avec un autre ordinateur ». Nous saisissons ici le nom de l’ordinateur à administrer.

Gestion de l’ordinateur, autre ordinateur

Après avoir cliqué sur OK, la console d’administration de l’ordinateur distant apparaît après quelques instants.

Gestion de l’ordinateur, autre ordinateur

Ici, nous naviguons vers Système => Utilisateurs et groupes locaux => Groupes et faisons un double clic sur le groupe Administrateurs.

Groupe Administrateurs

Nous ajoutons maintenant l’utilisateur souhaité au groupe local Administrateurs.

Groupe Administrateurs, ajouter

Après avoir confirmé avec OK, cet utilisateur aura les droits d’administrateur sur la machine à partir de la prochaine connexion à ce client.
N’oubliez pas qu’il n’est pas toujours nécessaire de disposer de droits d’administrateur si, par exemple, une application ne fonctionne pas sous un compte d’utilisateur normal – dans ce cas, l’ajout de l’utilisateur au groupe « Utilisateur principal » peut suffire à résoudre le problème.

Réservations DHCP pour les clients

Passons maintenant à la dernière section de cette partie, les réservations DHCP. Qu’est-ce qu’une réservation DHCP et quel est son intérêt ?
Comme nous l’avons expliqué dans la troisième partie, les clients de notre réseau se voient attribuer automatiquement leurs adresses IP par le serveur ou par son serveur DHCP. Lorsqu’un bail arrive à expiration, le client demande un nouveau bail et obtient ainsi soit la même adresse IP, soit une autre adresse dans la plage définie. En bref, le client peut être accessible aujourd’hui sous une autre adresse IP qu’il ne l’était hier.
La fonctionnalité proprement dite du réseau n’en est pas affectée, mais celui qui a par exemple configuré un port forwarding sur son routeur pour certains services pourrait justement ne pas apprécier cette situation de changement d’adresse IP.
C’est précisément là qu’interviennent les réservations DHCP :
Avec leur aide, le client reçoit toujours son adresse IP via DHCP, mais toujours la même, car le serveur reconnaît le client à l’aide de l’adresse MAC de sa carte réseau et lui réserve l’adresse IP définie, c’est-à-dire qu’il ne l’attribue qu’à ce seul client.
Pour configurer les réservations, nous ouvrons la console correspondante sur le serveur via Démarrer => Outils d’administration => DHCP et naviguons vers « Adressleases ».

DHCP

Nous voyons ici que l’ordinateur « Testpc » a reçu l’adresse IP 192.168.1.110 du pool d’adresses que nous avons défini et qu’il est donc accessible sur le réseau. Mais nous souhaitons maintenant attribuer à cet ordinateur l’adresse IP 192.168.1.80 et devons pour cela créer une réservation. Les adresses IP utilisées pour les réservations ne doivent PAS provenir du pool d’adresses !
La détermination de l’adresse MAC de cet ordinateur est très simple.

Ping vers l’IP

Après le ping, nous exécutons un arp -a dans la même ligne de commande ; la partie un peu cryptique sous « Physikal. Adresse » est l’adresse MAC.

Adresse MAC via arp -a

Copions cette adresse MAC dans le presse-papiers (sélectionnez-la en maintenant le bouton gauche de la souris enfoncé et appuyez sur Entrée) et passons à la console DHCP. Ici, nous effectuons un clic droit sur « Réservations » et sélectionnons « Nouvelle réservation ».
Nous remplissons la boîte de dialogue « Nouvelle réservation » avec les données nécessaires, nous insérons l’adresse MAC dans le champ Adresse MAC à l’aide de [CTRL]+[V] et sélectionnons « DHCP uniquement » dans « Types pris en charge ».

Réservation par adresse MAC

Après avoir cliqué sur OK, cela devrait ressembler à quelque chose comme ça :

Réservation par adresse MAC

Ainsi, notre client « TestPC » se voit désormais toujours attribuer l’adresse IP 192.168.1.80 et est donc toujours accessible sous cette adresse IP. Cependant, le client utilise encore l’adresse IP attribuée dans le pool d’adresses.

Une adresse du pool d’adresses est encore utilisée.
Cliquez sur l’image pour l’agrandir

Cela change au plus tard après un redémarrage, mais peut aussi être obtenu sur le client par ipconfig /release ou /renew sur la console.

Résoudre l’IP

Nouvelle IP

Dans la console DHCP, cela se présente comme suit.

Réglage correct
Cliquez sur l’image pour l’agrandir

Vous devez répéter cette procédure pour chaque client du réseau qui doit toujours recevoir la même adresse IP via DHCP. Pour trouver les adresses MAC de plusieurs ordinateurs à la fois, vous pouvez également utiliser le petit script GetMac.

La partie 6 sera exclusivement consacrée au thème des Software Update Services (SUS), c’est-à-dire à une possibilité de fournir automatiquement les mises à jour les plus importantes à tous les ordinateurs du réseau (à partir de Win2000 et plus), le téléchargement à partir d’Internet n’ayant lieu qu’une seule fois sur le serveur et les clients récupérant ensuite les mises à jour localement sur le serveur.

Articles similaires