Nicolas ZOZIO – Votre futur administrateur système & réseau.

« A portée de main, toutes les informations sur mon parcours. »

BTS Services Informatiques aux Organisations, un parcours passionnant au cœur des technologies et de l’innovation.

Mise en place du contrôleur de domaine

Notre contrôleur de domaine assurera le rôle Active Directory Domain Services (AD DS), ainsi que les fonctions de serveur DHCP et de serveur DNS.

1. Installation des rôles

2. Promotion du serveur en Contrôleur de domaine

Avant tout nous renommons notre serveur : G7-CD-DCHP-DNS. Maintenant nous allons promouvoir notre serveur en Contrôleur de domaine, une fois l’opération complétée nous redémarrerons la machine. Comme nom de domaine nous choisissons : g7-msc.lan

3. Intégration des différentes stations au domaine

Afin d’intégrer nos machines au domaine, elles doivent pourvoir joindre le contrôleur de domaine et avoir comme DNS principal l’adresse IP de celui-ci. Il est évidemment important de personnaliser le hostname de la station avant de l’intégrer.

Pour une station Windows : Configurer le DNS vers le contrôleur de domaine, puis rejoindre le domaine via les paramètres système en entrant le nom du domaine et des identifiants autorisés, et redémarrer la machine.

Pour une station Linux : configurer le DNS vers le contrôleur de domaine, puis joindre le domaine avec realm join en utilisant un compte AD autorisé, et redémarrer ou redémarrer les services d’authentification.

Tester que le domaine est joignable :

On va ajouter notre machine Linux au domaine avec la commande realm :

Pour autoriser la connexion à des utilisateurs spécifiques : 

realm permit hdurant mdubois pdupont g7-msc.lan

4.1 Création des utilisateurs (manuellement)

Nous allons maintenant procéder à la création des utilisateurs. Nous créerons manuellement les comptes du personnel, ensuite nous utiliserons un script Powershell afin de créer les comptes des croisiéristes.

Afin d’appliquer la méthode AGDLP (Account -> Group -> Local Domain -> Permission) Nous créons nos unités d’organisation :

Maintenant nous créons nos comptes pour ensuite les lier à des groupes globaux :

Le personnel de l’entreprise possède une lecteur réseau personnel, un répertoire commun et un répertoire relié à leur métier :

Bien-sûr, tous les utilisateurs n’ont pas le même niveau de privilège selon leur fonction au sein de l’entreprise. L’accès et le champ d’action de chaque utilisateur doit suivre le principe du moindre privilège :

  • onglet sécurité pour le répertoire « infos » :
  • onglet partage pour le répertoire « infos » :

4.2 Création des utilisateurs (Powershell)

Afin de créer les comptes des croisiéristes nous utilisons un script Powershell. Les données utilisateurs seront stockées dans un .csv :

 $Login = $BaseLogin

    # --- gestion des duplicats ---
    $i = 1
    while (Get-ADUser -Filter "SamAccountName -eq '$Login'") {
        $i++
        $Login = "$BaseLogin$i"
    }

    # --- mot de passe ---
    $Password = "P@ssw0rd"

    try {
        New-ADUser `
            -Name $CN `
            -DisplayName $CN `
            -GivenName $Prenom `
            -Surname $Nom `
            -SamAccountName $Login `
            -UserPrincipalName "$Login@g7-msc.lan" `
            -Title $Fonction `
            -Path $OUPath `
            -AccountPassword (ConvertTo-SecureString $Password -AsPlainText -Force) `
            -ChangePasswordAtLogon $true `
            -Enabled $true

        Write-Output "Créé : $Login ($CN)"
    }
    catch {
        Write-Warning "Erreur pour ${Login} : $($_.Exception.Message)"
    }
}

Exécution du script :

Vérification dans dsa.msc puis connexion avec un utilisateur (Henri TOULMET) :

5. Stratégies de groupe

Nous allons déployer Firefox ainsi que notre certificat auto-signé Stormshield à l’aide d’une GPO, sans quoi nos utilisateurs n’auront pas accès à internet :

Dans un premier temps nous téléchargeons la version .msi de firefox. Ensuite nous plaçons le fichier d’installation dans un dossier partagé. Nous appliquons bien sûr les autorisations adéquates. Nous faisons de même pour notre certificat Stormshield. Nous modifions les GPO et nous les appliquons à l’unité d’organisation ‘msc-computers’

Nous forçons la mise à jour des GPO avec la commande :

gpupdate /force
  • Test d’accès à internet avec un utilisateur (Isabelle MARINETTE) :

Firefox est bien installé

Connexion au portail captif :

Requête vers le site « lequipe.fr » :

6.1 Mise en place du service DHCP

Nous définissons maintenant les différentes plages. Pendant le processus, nous définirons la passerelle ainsi que le DNS des machines.

Pour permettre aux machines d’obtenir leur bail DHCP nous devons activer le relai sur le routeur : 

en
conf t
int gi0/0
ip helper-address 192.168.10.253

Ainsi nos machines obtiendront toutes leur bail DHCP.

4. Configuration de la borne wifi