Labo 3
L'iso du windows serveur : cliquer ici
Si ce lien ne fonctionne plus, rendez-vous sur ici et complètez le formulaire
L'iso pour les VirtIO : cliquer ici
Nous allons commencer par créer notre machine qui nous servira de domain controller.
On lui donne un nom, ici AD-DC
On va ensuite lui donner l'iso windows server téléchargé au préalable. On va aussi cliquer sur 'Add additionnal drive VirtIO drivers afin que nous puissions utiliser du matériel virtuel sur notre serveur comme par exemple les disques durs, adaptateurs réseaux, etc. Pour l'iso nous allons renseigné celui-ci que nous avons téléchargé au préalable.
Nous allons attribuer 40Gb à notre VM.
Nous allons attribuer 4 coeurs à notre VM.
Nous allons attribuer 4Gb de RAM.
Pour le réseau, nous allons connecter l'adaptateur réseau au réseau lan. Et ensuite, vous pouvez mettre votre VM dans le vlan que vous souhaitez en mettant le nombre correspondant dans "vlan tag".
On va maintenant pouvoir boot notre VM. Au moment de choisir le disque dur, vous verrez qu'il n'y a rien. Vous devez donc cliquer sur load drivers. Vous allez ensuite sélectionner l'avant dernier D:\amd64\w10\vioscsi.inf.
Nous allons configurer notre pfsense afin d'avoir accès à internet, de créer et gérer les vlans, etc. Pour suivre la configuration, ça se passe ici.
Si vous avez des problèmes réseau, que votr epc ne trouve pas l'adaptateur réseau, vous devez allez installer les drivers VirtIO. Pour ce faire, vous allez vous rendre dans l'explorateur de fichier puis sur le cd VirtIO et vous allez tout en bas et vous double-cliquez sur virt-win-gt-{votre architecture (x64 ou x86)}. Vous allez maintenant pouvoir voir votre adaptateurs réseaux.
Vous allez recommencer depuis le début pour créer une deuxieme machine qui nous servira de client.
On va aussi aller changer le nom de notre pc. Pour ça, Settings > System > Info > Rename this pc
Pour cela nous allons nous rendre dans Settings > Time & Language > Date & Time > Time zone et mettre le bon fuseau horaire.
Nous allons faire un clic droit sur l'adaptateur réseau et cliquer sur Open Network & Internet Settings > Change adapter options > Clic droit Ethernet > Properties > Double clic TCP/IPv4. ET vous renseigner une adresse ip qui se trouve dans votre réseau lan.
Nous allons maintenant configurer notre serveur afin qu'il tienne plusieurs rôles :
- Active Directory Domain Service
- DNS
- DHCP
- File Sharing
Nous allons donc nous rendre dans Server Manager > Manage > Add Roles & Features.
Nous allons choisir notre serveur dans la liste.
Et nous allons cochez les choses qui se rapportent au rôles exprimés plus haut.
Nous allons maintenant promouvoir notre serveur en tant que Domain Controller en choisissant comme nom de domaine group33.lab.
Nous allons configurer un mot de passe de restauration
Ensuite le serveur va redémarrer
Et lorsqu'il aura redémarré, vous devriez voir le nom NetBIOS que vous lui avez donné plus haut.
Vérifier l'installation avec Vérifiez l’installation avec les commandes dcdiag et dcdiag /test:DNS dans l’invite
de commandes.
dcdiag
dcdiag /test:DNS
On va créer maintenant les différentes OU :
- utilisateurs
- ordinateurs
- groupes
Pour cela il faut faire cliquer sur votre nom de domaine ici group33.lab puis sur l'icone de dossier avec l'astérisque orange. Il faut répéter l'étape autant de fois que l'on veut des OU.
On va maintenant créer des users. Pour ça, cliquer sur le dossier utilisateur puis sur l'icone de la personne avec l'astérisque orange. Puis compléter les informations demandées.
On va ajouter nos users dans le groupe étudiants.
groupes > clic droit etudiants > properties > members > add là vous ajoutez vos users et vous cliquez sur Apply.
Afin de rejoindre le domaine, nous allons nous rendre sur le deuxieme pc qui fait office de client.
Vous allez vous rendre dans les paramètres, system, info
Vous allez ensuite cliquer sur Rename this PC (advanced) qui se trouve sur la droite puis vous allez cliquer sur change.
Vous allez donc lui donner un nom cohérent (AD-Client) pour la démo.
Vous allez ensuite cliquer sur Domain et rentrer votr enom de domaine. Le pc va ensuite redémarrer et vous allez pouvoir vous connecter avec le nom d'utilisateur et le mot de passe que vous avez créé.
A l’aide des GPO, mettez en place une stratégie unifiée pour
- les paramètres NTP,
- une politique de complexité de mots de passe,
- autoriser la connexion RDP pour tous les membres du groupe “etudiants”.
Vous allez vous rendre dans Edit group policy.
Ensuite vous allez faire un clique droit sur 'Group Policy Objects' sous votre nom de domaine et vous allez donner un nom à votre GPO. Ensuite vous allez cliquer droit puis 'Edit'.
Puis vous allez vous rendre sous Computer Configuration > Policies > Administrative Templates > System > Windows Time Service > Time Providers
Vous allez ensuite Enable le GPO
Ensuite vous allez faire un clique droit sur 'Group Policy Objects' sous votre nom de domaine et vous allez donner un nom à votre GPO. Ensuite vous allez cliquer droit puis 'Edit'.
Vous allez ensuite vous rendre sous Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
Ensuite vous allez faire un clique droit sur 'Group Policy Objects' sous votre nom de domaine et vous allez donner un nom à votre GPO. Ensuite vous allez cliquer droit puis 'Edit'.
Vous allez ensuite vous rendre sous Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Double cliquer sur Allow log on through Remote Desktop Services et ajouter le groupe etudiants.
Pour activer le RDP sur un pc vous allez sous Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections et vous activez Allow users to connect remotely using Remote Desktop Services
Vous devriez avoir quelque chose qui ressemble plus ou moins à ceci :
Maintenant afin que les GPO se mettent à jour vous allez vous rendre sur votre poste client et envoyer dans l'invite de commande gpupdate /force
Pour créer un pool DHCP, vous devez vous rendre dans la console DHCP. Puis vous cliquez sur IPv4, puis la petite icone avec l'écran, des barres et du vert dans l'action menu comme sur la première photo. Puis vous compléter la suite du setup wizzard comme sur les photos en dessous.
Pour vérifier, nous allons essayer d'obtenir une ip via DHCP sur une machine debian basique.
- Ajouter la vm dans le bon tag vlan (331)
- Mettre sa configuration d'interface en dhcp
/etc/network/interface
- Configurer le dhcp relay car l'AD DC et le pool vlan 331 ne sont pas dans le même vlan
Service > DHCP relay
- Demander une adresse ip soit en faisant
dhclient -r
dhclientSoit en faisant dhclient -v eth0 -v pour verbose et eth0 par votre interface réseau
Questions
- A quoi correspond l’acronyme “fsmo” dans le cadre de ce cours ? Expliquez brièvement le concept associé. [1]
FSMO (Flexible Single Master Operation) désigne des rôles spéciaux dans Active Directory, répartis en cinq rôles pour éviter les conflits de données. Ces rôles sont :
Forêt : Schema Master, Domain Naming Master Domaine : RID Master, PDC Emulator, Infrastructure Master
- Qu’est-ce qu’une GPO? A quoi ça sert? [2]
Une GPO (Group Policy Object) est un ensemble de configurations permettant de gérer et de contrôler les environnements utilisateurs et ordinateurs. Elles permettent, par exemple, de définir des politiques de sécurité, de configurer des paramètres système et de déployer des logiciels.
- Dans les User Groups, quelle est la différence entre un Security Group et un Distribution Group? Quels sont les scopes possible d’un Security Group et à quoi correspond chaque scope? [3]
- Security Group : Utilisé pour gérer les accès aux ressources réseau.
- Distribution Group : Utilisé pour créer des listes de diffusion par e-mail (ne gère pas les accès).
Scopes des Security Groups :
- Domain Local : Permissions pour les ressources locales au domaine.
- Global : Regroupe des utilisateurs d’un domaine, pour permissions au sein de la forêt.
- Universal : Peut inclure utilisateurs/groupes de toute la forêt, utilisé dans les environnements multi-domaines.
-
[1] "Active Directory FSMO roles in Windows", 2 rédacteurs, 02/19/2024, https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles, consulté le 13 novembre 2024 à 15h06
-
[2] "Group Policy Objects", X, 05/31/2018, https://learn.microsoft.com/en-us/previous-versions/windows/desktop/policy/group-policy-objects, consulté le 13 novembre 2024 à 15h20
-
[3] "Active Directory security groups", 8 rédacteurs, 09/08/2023 https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups, consulté le 13 novembre 2024 à 15h39