====== Mise en place d'un AD sur Windows Server 2016 & d'un serveur DNS ====== {{ :wiki:windows:logo-active-directory.png?400 |}} Dans cette documentation nous irons configurer une image server 2016 vierge pour y ajouter AD et un serveur DNS. Cette documentation est réalisée dans le cadre d'un TP guidé, il peut donc y avoir d'autre méthode plus ou moins simple pour y parvenir. Pour mieux s'y retrouver cette documentation disposera de plusieurs screenshots illustrant les consignes. Prenez note que lorsque **[SERVER]** apparait c'est que les manipulations sont à faire côté serveur, quand **[CLIENT]** apparait c'est que les manipulations sont à faire côté client. A vos serveurs ! ## Préambule Nous considérons que vous êtes équipé de cette manière : - Une VM sous Windows Serveur 2k16 [SERVER] - Une VM sous Windows 10 20H2 [CLIENT] Les allocations de matériel (CPU/RAM...) sont à allouer selon vos envies, attention à respecter la configuration minimale. Rappel des IPs pour l’identité Valentin DEROUET : - [SERVER] : **172.16.3.131** - [CLIENT] : **172.16.3.130** Mot de passe par défaut : **Not24get** Rappel des deux commandes essentiels : - ''ncpa.cpl'' (ouverture du panel "Connexion réseau") - ''sysdm.cpl'' (ouverture du panel "Gestion de l'ordinateur") **Conseil :** Ajouter les deux machines dans un logiciel tel que mRemoteNG pour faciliter l'administration. # Premier démarrage du [SERVER] & du [CLIENT] ## Configuration des adresses IPs **ACTIONS A REPRODUIRE SUR LES DEUX MACHINES AVEC L'IP EN N+1.** - exécuter ''ncpa.cpl'' - clique droit sur la carte réseau>propriété - désactiver l'IPV6 - double clique sur "![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_wB6yYeO3Ku.png)" - renseigner les champs suivant : - IP, MASK, PASSERELLE - Deux DNS (exemple avec ceux de Cloudflare et ceux de Google) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_fRKrPW8fiy.png) - cliquer sur "Avancé..." puis onglet WINS. -Désactiver le ''NetBIOS sur TCP/IP''. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_2dqWovAPwY.png) - Cliquer sur OK, puis sur OK, vérifier que l'ordinateur s'est bien identifié sur le réseau. # [SERVER] Début des installations ## Changement du nom du serveur - taper ''sysdm.cpl'' - appeler le "DC1" - fermer les fenêtres puis redémarrer la machine ## Installation du serveur "AD DS" - ouvrir le gestionnaire de serveur puis ajouter un rôle ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_ofUuoF64DC.png) - Faites suivant, "installation basée sur un rôle ou une fonctionnalité", choisir le serveur sur lequel on veut installer la fonctionnalité. - Cocher "Service AD DS" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_9vvgMelYaP.png) - Choisir les fonctionnalité facultative - Lancer l'installation puis redémarrer la machine ### Au redémarrage : Le serveur vient de redémarrer (cela à pu être long c'est tout à fait normal). Ouvrez le "Gestionnaire de serveur" puis dans le petit drapeau jaune en haut à droite cliquer sur "Promouvoir ce serveur en CDD". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/ws201241.png) Indiquer ici le nom de la forêt souhaité. Il est souhaitable d'indiqué un domaine dont on est propriétaire. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/2-ad-ds-ajouter-nouvelle-foret.jpg.png) Indiquer ici votre mot de passe maître. N'oubliez pas de côcher "Serveur DNS", cela sera utile plus tard. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/3-niveau-fonctionnel-dns-catalogue-global.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/5-nom-de-domaine-netbios.png) Vous pouvez désormais lancer l'installation, cela prendra une dizaines de minutes (au dépend de votre configuration matérielle). Vous serez invité à redémarrer la machine une fois configuré. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_1igVH2EZZh.png) Au redémarrage vous constaterez dans l'onglet "AD DS" que "DC1" est désormais bien en ligne. La configuration de base est désormais terminée. ### Créations des objets dans l'AD & d'un utilisateur test Ouvrez utilitaire de management des users et des machines. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_C79dFjHoPU.png) Pour plus de praticité, activer les fonctionnalités avancées : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_axvTwXQ5ax.png) Créez l'objet BTS à la racine du serveur. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_W70IysU9Bm.png) Créer un objet "Utilisateur", dans ce dernier, ajouter un utilisateur de votre choix : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_s7h81DVF4n.png) Ajouter un mot de passe (exemple: Not24get) puis : - Décocher "L’utilisateur doit changer le mot de passe à la prochaine ouverture de session" - Cocher "L'utilisateur ne peut pas changer de mot de passe" - Cocher "Le mot de passe n'expire jamais" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_e0BGj6NKyO.png) ### Configuration de règles DNS Ouvrez l'outil de management DNS dans : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_agzSUrSC9v.png) **[MEMO]** Type de record pour les DNS : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_OYuHLKE3X6.png) #### Création d'une règle de type A - Clique droit dans DC1>zones de recherche directe>corp.iia-laval.fr - Nouvel hôte (A/AAAA) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_CwH1VtYv0E.png) Remplir les champs "Nom" & "Adresse IP". Cocher "Créer un pointeur d'enregistrement PTR associé" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_4qY8siHdxr.png) #### Création d'une règle de type CNAME ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_pAioD3Kdns.png) Vous pouvez aller rechercher le FQDN avec le bouton parcourir. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_bSRCLfcJC9.png) Une fois les deux règles créées : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_dTnuinA1te.png) ## Vérifications sur le [CLIENT] Ouvez un cmd, puis essayez de ping : - ftp.corp.iia-laval.fr - http.corp.iia-laval.fr - test.corp.iia-laval.fr Dans le premier cas, le DNS répond bien et nous renvoi bien l'adresse IPV4 indiquée. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_3eqNLVOUFW.png) Dans le deuxième cas, le DNS fait bien le lien entre http et ftp.corp.iia-laval.fr. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_8OKMMXNifB.png) Dans le troisième cas, le DNS ne trouve pas la règle avec comme nom "test", il réponse donc que le nom d'hôte est introuvable. Tout est normal. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_n3ywiUvTxd.png) ## Création d'une nouvelle zone dans "Zones de recherche inversée" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_CrgY24LK65.png) Choisir "Zone principale" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_I2nOrGzN0p.png) Choisir "Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine : corp.iia.fr" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_puhmXOGSI0.png) Choisir en IPV4, l'IPV6 ne nous concerne pas pour le moment. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_Vpli3RESnd.png) Compléter l'adresse IPV4 du **serveur** sans le dernier octet. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_KDL7ESoKI4.png) Laissez en recommandé. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_8AqsXbGMqc.png) Vérification de la création de la règle : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_lbJEUFyM1d.png) ## Création d'un PTR Création d'un nouveau pointeur dans DC1, deux techniques : - Utiliser l'automation "Mettre à jour l'enregistrement de pointeur (PTR) associé" - Créer manuellement le pointeur dans la zone de recherche inversée ### Création Automatique : Décochez, puis valider, puis retourner dans la fenêtre pour de nouveau le cocher. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_lVvJXbpTwy.png) ### Création manuelle : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_xJ6yOq8moV.png) Indiquer l'adresse IPV4 du serveur, puis le nom d'hôte correspondant. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_JqIOvw3kQH.png) **Tips utile** : En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des enregistrements directement par les postes clients. Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les enregistrements DNS, de nettoyer les zones. En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les enregistrements PTR (dans la zone de recherche inversé). Lorsque ces postes sont supprimés ou lorsqu’ils ne sont présents ponctuellement il est possible que votre zone DNS contienne des enregistrements obsolètes. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_e6h62XMlZa.png) Dans l'onglet "Redirecteurs", vous pouvez ajouter, si ce n'est déjà fait, des DNS de secours en cas de problème : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_JaAxnAhOju.png) *Voici quelques exemples de secours :* - **Cisco OpenDNS**: 208.67.222.222 - **Cloudflare**: 1.1.1.1 - **Google Public DNS**: 8.8.8.8 - **Quad9**: 9.9.9.9 # [CLIENT] Connexion d'un client sur Active Directory ## Vérification sur le client si le serveur répond bien ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_uqpMamN4OQ.png) Changer les DNS par l'adresse IPV4 du serveur : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_4DK3SeVclo.png) Vous pouvez tester Internet, en faisant une requête sur votre moteur de recherche préféré. ## Changement du nom du PC et du domaine Changer le nom du pc du client avec ''sysdm.cpl'', puis redémarrer avant de changer le domaine. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_i2JMehjPTM.png) Une fois redémarrer, relancer ''sysdm.cpl'' puis changer le domaine par ''corp.iia-laval.fr''. Une authentification vous sera demandez, utilisez le compte que vous avez créé tout à l'heure pour vous connecter. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_OfCF4jDreU.png) Connexion réussie ! ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_aSAQFbl8lm.png) ## Activer le RDP dans ''sysdm.cpl'' Ouvrez les propriétés système, puis dans "Utilisation à distance", ajoutez des users. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_eDznjShCMP.png) - Sélectionner des users - Ajouter > Emplacements > Sélectionner "CLIENT" - Taper "Tout le monde" > Vérifier les noms ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemstsc_AFq9MNJWjw.png) # [SERVER] Mise en situation avec une TPE ## Créations des utilisateurs Voici le tableau des utilisateurs que nous devons créer. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_tuZAVEDQg1.png) Nous allons séparer ces 7 utilisateurs en 3 catégories : - Une Unité D'organisation "Direction" - AVANT Nicolas - Une Unité D'organisation"RH" - AIMABLE Lucie - Une Unité D'organisation "Technique" - BILLE Daniel - ELEC Marco - TELI Jacques - CASSE Michel Vous devez donc créer 4 UO comme ceci : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_DxNH9Z7dJQ.png) Voici la structure visée : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_0hZTfzAhC8.png) Exemple avec Nicolas AVANT : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_Mr9ZDC70tc.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_eA7KcxMIxe.png) Validez, puis répéter la procédure avec tous les utilisateurs. Objectif visé avec l'UO "Technique": ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_fKLOSs24ia.png) ## Créations des groupes Voici notre cas d'étude (avec l'exemple de Nicolas AVANT): ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_S8loS7zuF2.png) Les permissions des groupes: ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_n4a4QceHIW.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_y1MGMWb09L.png) Créer une UO dans BTS qui s'appel "Groupes". Dans cette dernière, créer une UO "GD" et "GP". Dans l'UO "GD", créer tous les groupes dans le domaine local. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_l3ZByHCo4u.png) Dans l'UO "GP", créer tous les groupes en mode étendue "Globale". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_oHIhVl6qwy.png) Dans GP-Direction, ouvrez l'onglet "Membre de", puis ajouter comme le tableau indique les groupes suivant : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_UHodj0Rh2k.png) Dans l'onglet "Membres", ajouter "Nicolas AVANT", toujours en correspondance au tableau : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_GanU5sKIvw.png) Dans GP-RH, ouvrez l'onglet "Membre de", puis ajouter comme le tableau indique les groupes suivant : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_sLpyhPTEVh.png) Dans l'onglet "Membres", ajouter "Lucie AIMABLE" & "Marcel TERRE", toujours en correspondance au tableau : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_2VGE9OHBta.png) Dans GP-RH, ouvrez l'onglet "Membre de", puis ajouter comme le tableau indique les groupes suivant : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_f7ZEtZdjUJ.png) Dans l'onglet "Membres", ajouter "Daniel BILLE" & "Jacques TELI" & "Marco ELEC" & "Michel CASSE", toujours en correspondance au tableau : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_LDYa3VdVep.png) Ce qui est visé : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_QCHf9V7FQw.png) ## Créations des espaces de stockages Le but ici est que chaque secteur de l'entreprise dispose d'un stockage. Il faut noter la subtilité avec "PAIE", il faudra créer un espace unique dans le dossier "RH". L'arborescence visée est celle-ci: ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_T7138Bn9n9.png) Créer donc les dossiers nécessaires dans le ''C:\data''. ### Attributions des droits aux dossiers Exemple avec le dossier commun, qui est accessible par tout le monde : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_B3RwShQKNf.png) Pour le dossier "direction" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_LyqdvYMDdu.png) Pour le dossier "rh" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_Q2kREo2qXE.png) Pour le dossier "rh/paie" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_knFNBV2a0b.png) Pour le dossier "technique" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_NWzK71N64X.png) Ajouter selon la correspondance du tableau ci dessus les permissions aux dossiers. **Tips:** Gestion de permissions. - R = read - W = write - O = only - exemples : - RO : read-only - RW : read & write Sur linux on aura plus tendance à utiliser la commande ''chmod''. Voici un site qui permet de calculer les valeurs : https://chmod-calculator.com/. Le plus important à retenir est le 777 qui donne toutes les permissions. Attention à la subtilité avec le dossier ''rh/paie'' : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_oQUtY9Z8lb.png) Ajouter le groupe correspondant au groupe "paie". ## Montage du disque automatiquement Ouvrez l'outil de "Gestion de stratégie de groupe", sélectionner le domaine corp.iia-laval.fr, puis créer une nouvelle GPO. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_mQ5GIpwdu2.png) Utiliser un nom explicite pour mieux organiser les GPO. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_ItNL7aaNAH.png) Editer la GPO, en faisant clique droit dessus. Ouvrer l'onglet "Mappages de lecteurs" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_kUf6Jzek5N.png) Puis clique droit, Nouveau>Lecteur mappé : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_cJ5lmxySTi.png) Choisissez la lettre de lecteur ''P:'' : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_Xp05vZAh6O.png) ### Essai avec le compte à Michel CASSE Sur le **[CLIENT]**, essayez de vous connecter avec l'utilisateur mcasse. Lancer une invite de commande puis tapez : ''gpupdate /force'' ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_u7cvXQ973E.png) Cela à pour but de actualiser les règles imposer par AD sur le [CLIENT]. Le lecteur réseau "ENTREPRISE" apparait. Test accès au dossier "Direction" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_AyOd9BAGbP.png) Test accès écriture/suppression "technique" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_T9aeOlOqCm.png) Tout fonctionne parfaitement, les permissions sont fonctionnelles. ## Filtrage des fichiers .locky ### Installation de la fonctionnalité "Gestionnaire de ressources du serveur de fichiers" Ouvrez le gestionnaire de serveur. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_QGAnNQPXlZ.png) Installez la fonctionnalité "Gestionnaire de ressources du serveur de fichiers" ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_OKSXeXrYi0.png)![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_9W9P8DFXMZ.png) Le redémarrage du serveur n'est pas obligatoire. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_8ZFA2yizua.png) L'installation est désormais terminée, vous pouvez ouvrir le module installé. ### Création d'un groupe de fichiers ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_rg41ejCPDT.png) Dans l'onglet à gauche, cliquer sur "Groupes de fichiers". Puis ensuite à droite "Créer un groupe de fichier". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_ydpSFtUBab.png) Si vous souhaitez filtrer d'autres extensions, il suffit de les ajouter comme pour ''*.locky'' ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_2DX9BuVJoW.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_ZyXRMJxTbS.png) Le groupe de fichier locky est bel et bien créé. ### Création du modèle de filtre de fichiers Changer d'onglet pour aller dans le "Modèles de filtres de fichiers". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_DHcnieMcn6.png) Attention à bien sélectionner un filtrage actif. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_vfTXKGHoPl.png) *Facultatif* : Vous pouvez logger dans le journal des événements du serveur à chaque fois q'un fichier ''*.locky'' est détecté. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_K7S0Uvexx7.png) ### Appliquer un filtre de fichiers Pour terminer nous allons appliquer ce filtre au serveur. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_7QIJrK4XUy.png) Ici on à carrément tout le ''C:\'' qui est sous watchdog. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_eni1HHTVT4.png) ### Essai avec le compte à Michel CASSE La configuration est validée et active sur le chemin ''C:\'' , si j’ouvre une console PowerShell et que je tente de créer un fichier avec une extension interdite, j’obtiens un accès refusé. À l’inverse, si je crée un fichier avec une extension autorisée, la création s’effectue. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfefirefox_9Ptt5DL3wH.png) ## Bloquer l'accès au registre et au panneau de configuration via GPO ### Accès au registre Créer une nouvelle règle dans le gestionnaire de stratégie de groupe : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_bZ08z7cBrd.png) Naviguer pour trouver "Empêche l'accès aux outils de modifications du Registre" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_7nvmthLTG3.png) Passer la règle en "Oui" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_9gdsK9JYeY.png) *Important !* Lier la règle aux groupes "BTS" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_rY1ShptkRp.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_BmA3rcGYhQ.png) ### Accès au panneau de configuration Créer une nouvelle règle dans le gestionnaire de stratégie de groupe : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_Ys0Bz7peY8.png) Naviguer pour trouver "Interdire l'accès au Panneau de configuration et à l'application Paramètres du PC" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_h5IkGBLyks.png) Passer la règle en "Oui" : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_dDv0ou914Z.png) Pour terminer, lier la règle : ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_1uSU73iwle.png) ### Essais avec le compte à Michel CASSE Sur le **[CLIENT]**, essayez de vous connecter avec l'utilisateur mcasse (comme déjà vu précédemment). Lancer une invite de commande puis tapez : ''gpupdate /force'' ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_u7cvXQ973E.png) #### Test avec le panneau de configuration ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_3f5ITOJA3J.png) L'accès est refusé. #### Test avec regedit ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_UA4TZRcAx8.png)![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_3DbYhPlGpD.png) L'accès est refusé. Les règles sont belles et bien appliquées. ## Créations d'un dossier personnel pour tous les users de 100 Mo ### Création des dossiers users manuellement A partir de cette arborescence, recréer le dossier "users". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/mstsc_KAv9Bv3Wud.png) ### Création du dossier "user" automatiquement Lorsque l'entreprise possède plusieurs centaines d'utilisateurs, i lest plus simple que la création soit faite automatiquement. Pour cela nous allons créer une GPO qui créer un dossier dans ''C:\data\users\'' avec comme nom le nom de la session. Ouvrir le Gestionnaire de stratégie de groupe, créer une nouvelle GPO, nommer la "Création dossier utilisateur". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_6nPqD0m0qo.png) Indiquer le path ou les dossiers seront créés. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_7Vrd339nYV.png) A chaque nouvelle connexion, le dossier sera, si il existe déjà rien ne sera fait. ### Appliquer le quota sur les sous-dossiers de "users" Ouvrez le Gestionnaire de ressources du serveur de fichiers précédemment installé. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_IEeJ6uvLgu.png) Créer un quota en utilisant le modèles de quota de 100 Mo. Spécifier le path avec ''C:\data\users''. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_46qO5ZZ9rT.png) Vous retrouvez ici tous les quotas pour les dossiers existants. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_u8TPhvbdlN.png) ### Partage du dossier "users" Pour rendre accessible l'ensemble des dossiers dans "users", il faut partager publiquement le dossier "users". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_tMLC19AYSE.png) ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_36FEv2sv7j.png) Le partage est existant sous le nom de ''\\DC1\users''. ### Montage du lecteur "Users" Comme déjà fait précdemment, créer une GPO pour monter un lecteur. Ici le lecteur ''B:'', spécifier le path et ajouter la variable ''%USERNAME%''. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_X7Z3Twgujr.png) ### Cacher les dossiers non accessible Par mesure de sécurité, cacher les dossiers non accessibles aux utilisateurs. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_thO1qJyYMd.png) Clique droit sur le partage de fichier "users". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_qSoVHYTGdi.png) Cocher "Activer l'énumération basée sur l'accès". ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_QzqdzwxQXd.png) ### Essai avec le compte à Michel CASSE Pour terminer, tester avec un compte. Ici mcasse, une fois connecté on remarque que le lecteur est bien monté que le quota est bel et bien de 100 Mo. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_55UYlOlsv2.png) Il dispose par ailleurs les droits d'écritures et de suppressions. ![alt](http://files.stoneset.fr/stoneset/images/doc_ad/fefrfemRemoteNG_wVfQ2dd8u1.png) ## Mes sources 1. Tous les screens en raw : [http://files.stoneset.fr/stoneset/images/doc_ad/?C=M;O=D](http://files.stoneset.fr/stoneset/images/doc_ad/?C=M;O=D) 2. [https://chmod-calculator.com/](https://chmod-calculator.com/) 3. [https://rdr-it.com/windows-serveur-appliquer-des-quotas-sur-des-dossiers/](https://rdr-it.com/windows-serveur-appliquer-des-quotas-sur-des-dossiers/) 4. [https://rdr-it.com/mappage-lecteur-reseau-gpo-et-script/](https://rdr-it.com/mappage-lecteur-reseau-gpo-et-script/) 5. [https://techexpert.tips/fr/windows-fr/gpo-empecher-lacces-au-registre-windows/](https://techexpert.tips/fr/windows-fr/gpo-empecher-lacces-au-registre-windows/) 6. [https://www.it-connect.fr/gpo-empecher-lacces-au-panneau-de-configuration-parametres/](https://www.it-connect.fr/gpo-empecher-lacces-au-panneau-de-configuration-parametres/) 7. [https://computerz.solutions/windows-server-quota-sur-dossiers/](https://computerz.solutions/windows-server-quota-sur-dossiers/) 8. [https://www.tutos-informatique.com/cacher-dossier-windows-arborescence/](https://www.tutos-informatique.com/cacher-dossier-windows-arborescence/)