AWS & TSSR
  • 🌇Infra-AWS
    • 🌄Projet Infrasphere
  • Page
    • Le réseau sous PKT et en physique
    • V.V Questionnaire sur l'Active Directory
    • V.V ECF TSSR Pratique
  • Mes ressources
    • 🛝In depth
      • 🏹AWS _ Déploiement, provisionnement et automatisation
    • ☁️AWS - Cloud Practitioner
      • 📚P.1 Training for Cloud Practitioner Exam'
      • 📚P.2 Training for Cloud Practitioner Exam'
    • 🌉Setting Up Bastion Host with 2 VPCs on AWS
Powered by GitBook
On this page
  1. Page

V.V ECF TSSR Pratique

PreviousV.V Questionnaire sur l'Active DirectoryNextIn depth

Avant-propos : Je tiens à signaler que les machines n’ont pas été renommées en amont ni pendant la durée de l’ECF. Le contrôleur principal se nomme WIN-27EPC8AC8JV Le contrôleur secondaire se nomme WIN-K3VAFC8LBN3

Avec plus de précautions, j’aurai nommé le DC principal SRVDC et le DC secondaire SRVFIC.

Création d'un nouvel utilisateur :

    • Ajouter 5 nouveaux utilisateurs à l'Active Directory.

    • Définir les propriétés telles que le nom d'utilisateur, le mot de passe, le groupe d'appartenance, etc.

Nomenclature pour connexion utilisateur : prenom.nom

Création des 5 utilisateurs qui feront parti du groupe Comptabilité :

Mot de passe de connexion : Azerty/123 Politique Mdp :

Via une GPO, on pourra inclure un mdp composé d’une suite de 12 caractères par exemple.

Plage de connexions disponible dans le domaine : du lundi au vendredi de 8h à 19h

  • Création d'un groupe de sécurité :

    • Créer un nouveau groupe de sécurité dans l'Active Directory.

    • Ajouter des utilisateurs à ce groupe.

Création d’un groupe comptabilité

Inclure au groupe créé :

On voit dans la capture ci-dessous les membres du groupe Comptabilité :

  • Délégation des droits :

    • Déléguer des droits d'administration spécifiques à un utilisateur ou un groupe pour une unité d'organisation (OU) particulière.

Délégation de contrôle à la cheffe de service Jeanne Darc

On lui laisse l’accès à la lecture des informations des utilisateurs

Résultat final :

  • Modification des propriétés d'un objet :

    • Modifier les propriétés d'un utilisateur existant, par exemple, changer le mot de passe, mettre à jour les informations de contact, etc.

Les utilisateurs déjà existant dans l’AD sont “Administrateur” et “Invité”. Nous allons modifier “Invité” pour répondre à cette question.

GPO pour renommer le compte invité :

=> chemin d’accès et nouveau nom “welcome” :

On applique cela sur son compte :

Visible dans les settings de nos règles du domaine :

Il ne faut pas oublier de rentrer la ligne de commande gpupdate dans le terminal :

Le compte invité étant verrouillé de base, il faudrait l’activer dans la foulée.

  • Désactivation d'un compte utilisateur :

    • Désactiver un compte utilisateur pour des raisons de sécurité ou lorsqu'un utilisateur quitte l'organisation.

Avec une GPO, il est possible de désactiver le compte Invité. Dans la même arborescence que la réponse précédente, on trouve la stratégie “Comptes : statut du compte Invité”

On coche définir ce paramètre et on effectue un nouveau gpupdate.

Sauf que le compte “invité” est déjà désactivé de base ! On pourrait simplement faire clique-droit sur un utilisateur (existant ou créé)et cliquer sur désactiver le compte :

  • Création d'une unité d'organisation (OU) :

    • Créer une nouvelle OU pour organiser les objets Active Directory de manière logique.

Il faut clique droit sur notre AD, nouveau puis sélectionner “unité d’organisation”. On crée l’OU “compta” et on y insère nos nouveaux utilisateurs :

  • Gestion des groupes :

    • Modifier les membres d'un groupe existant.

Dans le groupe de sécurité Compta :

On va supprimer Jean Bon du groupe et ce message apparaît :

Une fois supprimé, il reste dans l’OU où il a été inclus. Il faut penser à le remettre dans le dossier “Users” ou dans un autre groupe.

  • Vérification des journaux d'événements :

    • Examiner les journaux d'événements de l'Active Directory pour identifier d'éventuels problèmes ou erreurs.

On aperçoit des infos mais aussi des avertissements (lié au DNS sur la capture ci-dessus) depuis l’outil Observateur d'événements.

Après avoir mis en place la réplication entre nos deux serveurs, un événement a attiré mon attention :

La réplication n’aurait pas fonctionné … On peut avoir plus d’informations à ce sujet en cliquant sur détails et avoir un affichage classique et une vue en XML :

Mais le message supérieur, datant de 13:20:56 indique que la connexion est bien établie :

  • Sauvegarde et restauration :

    • Effectuer une sauvegarde de la base de données Active Directory.

    • Simuler la restauration d'un objet supprimé.

Pour effectuer une sauvegarde, on ajoute un nouveau disque dur dans notre machine (ici 40Go) et on le met en ligne puis on l’initialise depuis l’outil “gestion des disques”. On crée deux volumes :

On installe ensuite l’outil “sauvegarde windows server”. Une fois intallé, on s’y rends et on démarre l’assistant de planification de sauvegarde :

On sélectionne notre BDD d’AD :

On sélectionne le volume créé “sauvegarde” et on lance la sauvegarde :

Sauvegarde effectuée :

Pour restaurer un objet supprimé (par exemple un utilisateur créé), il faut activer la corbeille depuis le centre d’administration active directory.

RDV dans le fichier “deleted objet” pour y retrouver notre utilisateur supprimé.

On fait clique droit dessus puis restaurer. Il est de retour dans son dossier “user” :

  • Gestion des contrôleurs de domaine :

    • Ajouter un nouveau contrôleur de domaine à l'infrastructure.

Depuis le second DC, il faut indiquer les bonnes adresses IP dans le protocole IPV4, surtout la bonne adresse DNS qui doit correspondre à l’IP de notre contrôleur de domaine principal à savoir 192.168.216.2. On va ensuite dans “système”, renommer ce pc et cliquer sur modifier. On indique ensuite le nom de domaine Simplon.TSSR.

On observe bien sa présence dans notre annuaire :

  • Configuration de la réplication :

    • Vérifier la configuration de la réplication entre les contrôleurs de domaine.

Pour configurer une réplication, il faut promouvoir notre second serveur en contrôleur de domaine avec l’installation AD DS. Dans la configuration du déploiement, on ajoute un DC à notre domaine existant. Puis dans les options supplémentaires, on réplique depuis notre DC principal.

On peut observer la bonne mise en place de la réplication avec la commande repadmin /replsummary :

On peut aussi utiliser la commande repadmin /showrepl :

  • Mise en place de la sécurité :

    • Configurer des paramètres de sécurité tels que la politique de mot de passe, le verrouillage de compte, etc.

Pour configurer des paramètres de sécurité, il faut activer des GPO et les lier à nos différents groupes.

Ici j’active l’expiration des mots de passe à 30j au lieu des 42 :

La longueur des mots de passe doit être de 12 caractères :

Pour vérifier ce dernier paramètre, nous allons nous connecter avec un utilisateur créé : jeanne darc dont le mot de passe comporte moins de 12 caractères.

On n’oublie pas d’indiquer un gpupdate dans le terminal.

Avec cinq caractères pour le mdp :

Ok avec Azerty123azerty comme mot de passe !

Si on souhaite changer son mot de passe, nous pouvons faire un clique droit sur cet utilisateur et cliquer sur “réinitialiser le mot de passe” :