I. Plan du TP :
On va dans un premier temps installer un second contrôleur de domaine sur le domaine que
vous avez installé lors des TP précédents.
Par la suite on va tester la notion de zone DNS intégré dans l’Active Directory.
Les mises à jours sur les GPO, les DFS, le dossier Netlogon.
II. Déploiement du second contrôleur de domaine
Déployer un second contrôleur de domaine. Initialiser le serveur en désactivant la sécurité renforcée d’Internet Explorer. Placer sur le serveur une IP fixe.
Quelle adresse de machine DNS devez-vous placer pour que votre machine puisse intégrer le domaine AD de votre premier serveur.
Faites la configuration demandée.
Installer un second contrôleur de domaine à l'aide de la commande ___________.
Lors de cette installation vous demandez à rendre votre machine serveur DNS si cela est proposé, de même la machine pourra si possible être Global Catalog.
Si à l’issue de la transformation en contrôleur du domaine la machine n’a pas le rôle serveur DNS, il faudra le lui ajouté.
A la fin du TP placer l’adresse réseau 127.0.0.1 en adresse de serveur DNS.
Dans la suite on désigne le premier contrôleur de domaine DC1 et le second DC2.
III. Gestion des conflits de réplications
Prérequis : On doit avoir un 2 DC sur un domaine que l’on désigne dans la suite du TP par DC1 et DC2.
- Vérifier que DC1 et DC2 sont bien synchronisés en vérifiant rapidement les objets présents sur les deux consoles Utilisateurs et Ordinateurs sont identiques.
- Créer l’unité d’organisation Test_Synchro, créer des objets dans cette OU (des comptes et des groupes par exemple). Vérifier que ces objets existent et sont à jours sur les 2 DC.
- Déconnecter DC1 du réseau, supprimer alors l’unité d’organisation Test_Synchro sur DC1.
- Garder DC1 déconnecté, sur DC2 créer des objets et déplacer des objets dans l’OU Test_Synchro.
- Reconnecter DC1. Que deviennent les objets de l’OU Test_Synchro quand les contrôleurs de domaine se synchronisent.
(Eventuellement forcer une synchronisation des contrôleurs de domaines).
Rappel du cours :
Il existe un conteneur LostAndFound à la racine de chaque domaine.
Lorsque deux administrateurs font des modifications sur deux DC différents, il peut arriver par exemple qu’un utilisateur soit déplacé vers une OU qui vient d’être effacée sur l’autre DC, alors que la réplication n’a pas encore eu lieu. Dans ce cas, à la réplication, les objets déplacés (qui deviennent alors orphelins) sont mis dans LostAndFound en attente de suppression ou de nouveau déplacement par l’administrateur (qui peut par exemple choisir de recréer l’OU).
IV. Gestion des utilisateurs
1. Créer un groupe global Commerciaux.
2. Créer sur le serveur DC2 un dossier Profil que vous partagez sous le nom de partage Profil$, ce dossier ne devra pas être sur C : Les autorisations de partages permettront à tout le monde de lire et écrire sur le partage.
3. Créer sur le serveur DC2 un dossier Data que vous partagez sous le nom de partage Data$, ce dossier ne devra pas être sur C : Les autorisations de partages permettront à tout le monde de lire et écrire sur le partage.
4. Créer les unités d’organisation UserNomade et UserAgence ansi que PCNomade et PCAgence.
5. Créer dans l’OU UserNomade un compte user nommé TemplateCommercial. Ce compte aura les caractéristiques suivantes :
· Le compte sera désactivé,
· L’utilisateur ne pourra pas changer le mot de passe
· Le mot de passe pourra expirer en fonction d’une stratégie de mot de passe.
· il aura le droit de se connecter uniquement sur les créneaux horaires suivante : Lundi –jeudi de 08heuresà 18H00 et vendredi de 08h00 à 15H00. / Le dimanche de 06h00 à 10H00.
· Le compte expirera le 30 juin 2014.
· Au démarrage le compte lancera un script d’ouverture de session nommé Script1.cmd
· Le profil de l’utilisateur sera stocké sur le DC1 dans un partage \\DC2\Profils$\%username%
· Le compte sera membre du groupe Commerciaux.
6. Quel élément dans la configuration du compte TemplateCommercial est strictement incohérent.
Corriger le.
7. A l’aide d’une copie de compte dans la console Utilisateur et Ordinateur, créer un compte Charlie qui soit une copie du compte précédent.
8. Vérifier quels sont les caractéristiques du compte TemplateCommerciale qui ont été reprise sur le compte de Charlie.
9. Sur le DC02, créer un fichier nommé Script1.cmd dans le partage Netlogon, ce fichier contiendra un script que vous écrirez qui va monter un lecteur nommée H qui ira pointer sur \\DC2\Data$
10. Intégrer une machine au domaine AD .
11. Dans quel Unité d’organisation est créé le compte Computer pour cette machine.
12. Sur une machine membre du domaine AD, ouvrez une session avec le compte de Charlie et vérifier que le lecteur réseau est bien monté.
13. Vérifier après la première fermeture de session de Charlie la présence de contenu dans le dossier \\Dc2\Profil$\Charlie.
14. Cessez de partager (=Supprimer le partage) \\Dc2\Profil$\mais sans modifier les données que vous laissez à l’identique sur le disque.
15. Essayer à nouveau d’ouvrir la session Charlie sur la machine précédente. Que se passe-t-il.
16. Créer dans le dossier du Bureau Windows de Charlie, dans la session que vous venez d’ouvrir un dossier Chocolaterie dans lequel vous placerez quelques documents, puis fermer la session.
17. Recréer le partage Profils comme fait précédemment.
18. Essayer à nouveau d’ouvrir la session Charlie sur la machine précédente. Que se passe-t-il, Avons-nous toujours le dossier Chocolaterie ? Pouvons-nous le récupérer.
19. Sur le lecteur contenant les partages, mettre en place une stratégie de gestion des clichés instantanés qui effectuera un cliché automatiquement tous les jours du lundi au vendredi à 7h30 et à 12h50.
20. Ajouter le rôle de Serveur de Fichier sur le DC2, ajouter les services rôles pour pouvoir faire la gestion de quotas et du filtrage de fichier sur le serveur, soit le service de rôle… »Gestion de ressource pour le serveur de fichier ».
V. Gestion des stratégies de groupe :
Les étapes a à f sont facultatives.
Créer une Stratégie de groupe nommé PCFixe qui donne le comportement suivant : (Le poste client est en Windows 2008 ou Windows vista au minimum)
a) 45 jours avant l’expiration du mot de passe une boite de dialogue doit rappeler à l’utilisateur de faire changer son mot de passe.
b) Lors de la connexion, une fenêtre ayant pour titre Alerte Sécurité et pour message « Merci de ne pas vous connecter si vous ne faites partie
c) Le bureau à distance doit être activé sur le poste de travail mais en mode sécurisé c’est-à-dire avec l’authentification au niveau réseau.
d) Au niveau du pare-feu, le port 3389 doit être ouvert en TCP
e) Le trafic ICMPv4 doit être ouvert pour les requètes d’écho entrante.
f) L’écran de veille Vide (scrnsave.scr ?)devra se lancer au bout de 8 minutes et exiger le mot de passe de l’utilisateur pour déverrouiller le poste
g) Désactiver Windows Defender (Configuration de l’ordinateur\Modèle d’administration\Composant Windows\Windows Defender )
VI. Modification de la stratégie des mots de passe
1. Vérifier sur un poste ou un serveur membre du domaine que vous pouvez créer un compte local ( cad non membre de l’AD ) ce compte sera Admin2
2. Vérifier que ce compte ne peut avoir de mot de passe court comme M2i
3. Vérifier que les comptes du domaine ne peuvent prendre pour mot de passe « M2i »
4. Changer pour quelques minutes la stratégie de groupe pour permettre les mots de passe de 3 caractères, non complexe.
5. Créer le compte local ( cad non membre de l’AD ) ce compte sera Admin3 avec le mot de passe AAA.
6. Créer le compte dans le domaine compte sera Admin3 avec le mot de passe AAA.
7. Replacer le paramétrage de l’AD dans son état d’origine.
VII. Zone DNS intégrée à l’AD
On commence sur le DC1
1. Créer dans votre domaine la zone de recherche inversée correspondantes à votre sous-réseau. Cette zone sera intégrée dans l' Ad.
2. Créer dans la zone Dns de votre Ad les enregistrements suivants :
A www ==>62.210.226.48
Cname INTRANET==>WWW.M2I.FR
TXT ==> ce domaine est en production
3. Sur le DC2 on continu les étapes suivantes
Créer dans le domaine DNS de l’AD un enregistrement de classe A nommé Intra2 qui pointe vers 62.210.226.48
4. Créer la zone DNS principale Microsoft.com sur un des DC, cette zone sera intégrées à l’AD
5. Vérifier que les deux serveurs DNS vont contenir toutes les modifications faites précédemment.
6. Placer sur DC1 le redirecteur ayant pour adresse 8.8.8.8
7. Placer sur DC2 le redirecteur ayant pour adresse 8.8.4.4
8. Est-ce que la page www.microsoft.com peut être atteinte à partir de vos deux serveurs.
VIII. Retrait du Dc1.
1. Vérifier que le Dc2 possède le rôle Dns et gère la zone Dns du domaine Ad.
2. Via la console Sites et services Ad vérifier que Dc2 est catalogue global (GC), sinon donner lui la fonction de Catalogue Globale.
3. Créer une console de gestion du schéma Ad sur Dc1 & Dc2 suivant les consignes vue dans un TP précédent.
4. Faire une modification de schéma à partir du Dc2.....
5. Faire transférer le rôle maître de schéma vers le Dc2 .
6. Via la console Domaine et approbation Ad, faire le transfert du rôle "maître d’attribution des noms de domaine" vers le Dc2
7. Via la console Utilisateurs et ordinateurs Active Directory, regarder le contenu de l’Unité d’organisation « Domain Controler »
8. Essayer à partir de DC1 puis à partir de DC2 de transférer les rôles FSMO suivangt vers le serveur DC2
a. Emulateur PDC
b. Maitre RID
c. Maitre d’infrastructure
9. A l’aide de la commande DCpromo lancé sur le serveur DC1 retiré le rôle contrôleur de domaine du serveur DC1.
10. Que deviens le service DNS sur le DC1 ?
11. Eventuellement retirer le rôle DNS du DC1.
12. Après le redémarrage configurer correctement le DNS du DC1 pour qu’il soit membre du domaine.
IX. Requêtes dans l’Active Directory
Créer 3 users Riri, fifi et loulou
Indiquer que Loulou habite 5 rue des Caribou, 75016 Paris
Faites une requêtes dans la console pour retrouver les personnes du département 91.
Faites une requêtes dans la console pour retrouver les personnes de Paris.
Ne pas oublier de faire un gpupdate /force pour valider les changement de GPO sans attendre prêt de 90 minutes !