Active Directory
Tout ce qui touche à Active Directory
- Installation du rôle AD DS (Contrôleur de domaine) et DNS
- Ajouter un contrôleur de domaine secondaire
- Activer la corbeille Active Directory
- Monter un partage par GPO par OU
- Créer des GPO pour Chrome
- Déployer un .msi par GPO
- Déployer un fond d'écran par GPO
- Déployer des favoris Chrome via GPO
- Gérer Edge par GPO
- Déployer des favoris Edge par GPO
- Gérer OneDrive par GPO
- Configuration de Windows Update par GPO
Installation du rôle AD DS (Contrôleur de domaine) et DNS
Dans le gestionnaire de serveur, en haut à droite, on clique sur "Gérer" puis "Ajouter des rôles et des fonctionnalités".
On choisit ensuite le rôle "Services AD DS".
On clique ensuite sur "Suivant" pour toutes les autres étapes puis "Installer".
Une fois installé, en haut à droite, on clique sur le panneau des notifications (un drapeau) puis "Promouvoir ce serveur en contrôleur de domaine".
On ajoute une nouvelle forêt. Le domaine est « khroners.fr » (à remplacer par le votre, bien entendu).
On définit le mot de passe de restauration des services d’annuaire. Il est important de le conserver.
Suivant
Suivant.
On peut changer la destination de la BGG, sysvol et des logs.
Les avertissements sont normaux. On installe.
Le serveur redémarre.
Le serveur est promu Contrôleur de Domaine. Les rôles ADDS & DNS sont installés.
On clique sur "Outils" puis "Utilisateurs et ordinateurs Active Directory".
Ici, OU = "Organizational Unit"ou en français "Unité d'Organisation".
On ajoute l’OU Khroners, et dedans 3 OU : Groups, Users & Computers.
On déplace les objets correspondants aux ordinateurs déjà existants dans le domaine dans Computers.
Ajouter un contrôleur de domaine secondaire
Ajouter un contrôleur de domaine secondaire permet d'avoir une réplication du contrôleur de domaine. Cela permet au deuxieme de prendre le relais en cas de panne.
Sur un autre serveur Windows, ici SRV-DC02, on ajoute le rôle AD DS.
On ajoute à un domaine existant et on rentre le domaine, puis "Modifier" en rentrant les logins du compte administrateur du domaine, ici KHRONERS\Administrateur.
On rentre un mot de passe du mode de restauration des services d'annuaire, il est important de le garder.
On réplique depuis SRV-DC01 (notre contrôleur de domaine principal).
On spécifie l'emplacement des dossiers de BDD, fichiers journaux et SYSVOL.
Une fois fait, on n'oublie pas de modifier les options du DHCP pour les DNS.
Activer la corbeille Active Directory
Dans le Centre d'Administration Active Directory, on clique droit sur notre domaine puis "Activer la corbeille".
Monter un partage par GPO par OU
On clique sur "Gestion des stratégies de groupe".
On clique droit sur "Objets de stratégie de groupe" puis "Nouveau"
On choisit un nom. On souhaite qu'il soit le plus clair possible.
On le lie ensuite à une OU. Dans mon cas, je veux que le partage soit monté pour tous les utilisateurs du domaine.
On choisit notre GPO.
On clique droit sur la GPO puis "Modifier".
On se rend dans "Configuration Utilisateur", "Préférences" puis "Mappage de lecteurs".
On clique droit puis "Nouveau" > "Lecteur mappé".
On choisit le chemin, la lettre et on coche "Reconnecter".
Dans l'onglet "Commun", on coche "Ciblage au niveau de l'élément" et "Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur)".
On clique sur "Ciblage..." puis "Nouveau" puis "Unité d'Organisation".
En cliquant sur "...", on choisit notre OU.
On clique sur "OK" puis "Appliquer".
On redémarre ensuite un poste ou via l'invité de commandes, on rentre la commande "gpupdate /force".
Créer des GPO pour Chrome
On télécharge les GPO de Chrome : Télécharger le navigateur Chrome pour votre entreprise – Chrome Enterprise (chromeenterprise.google)
On extrait, on déplace le dossier windows\admx\fr-FR dans le dossier PolicyDefinitions\fr-FR du sysvol, et les deux fichiers .admx dans windows\admx vers le dossier PolicyDefinitions du sysvol.
Les GPO apparaissent.
Déployer un .msi par GPO
Création du partage pour le déploiement
Si un partage n’a pas déjà été créé pour le déploiement, on le crée :
Dans l’explorateur de fichiers, on crée un dossier « deploiement » sur le disque, dans mon cas à la racine du disque.
On clique droit sur le dossier, propriétés, onglet « Partage », « Partager » puis on ajoute « Ordinateurs du domaine ».
On écrit « Ordinateurs du domaine » puis on clique sur « Vérifier les noms » à droite.
On laisse les droits de lecture seulement (par défaut).
REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ».
On clique sur « Partager ».
On déplace ensuite le setup dans ce dossier.
Création de la GPO
On se rend ensuite dans la Gestion de stratégie de groupe.
On crée une GPO dans « Objets de stratégie de groupe ».
On lui donne un nom.
On double clique gauche sur la GPO puis dans « Filtrage de sécurité » on retire « Utilisateurs authentifiés » puis on ajoute « Ordinateurs du domaine ».
REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ».
Ensuite, on clique droit sur la GPO puis « Modifier ».
Dans « Configuration ordinateur », « Stratégies », « Paramètres du logiciel » et « Installation logiciel », on créer un Package.
On ajoute le .MSI depuis le partage et non le chemin physique.
Dans la barre du haut, on rentre l’adresse IP ou le nom d’hôte avec le nom du partage.
On choisit « Attribué » puis OK.
Liaison de la GPO au domaine/OU
On clique droit sur l’OU contenant le domaine ou directement à la racine du domaine comme ici, puis on clique sur « Lier un objet de stratégie de groupe existant… ».
On choisit la GPO créée précédemment.
Elle apparait ici.
Il est important à savoir que l’installation se fera uniquement après un redémarrage des machines.
Déployer un fond d'écran par GPO
Nous allons voir comment déployer un fond d'écran par gpo sur les postes de notre AD.
On crée et lie notre GPO à une OU Utilisateur.
Dans le partage, on désactive l'héritage (on choisit convertir), on retire "Utilisateurs du domaine" et on rajoute "Ordinateurs du domaine" en lecture.
Et concernant les autorisations du partage, on remplace "Tout le monde" par "Ordinateurs du domaine" en CT (On s'occupe des permissions via NTFS).
On crée une deuxième GPO ordinateur :
Sous "Fichiers" :
Déployer des favoris Chrome via GPO
Après avoir installé les ADMX dans le magasin central (PolicyDefinitions du Sysvol), on active la stratégie "Activer la barre des favoris" et "Favoris gérés".
Les favoris utilisent le format .json, en voici un exemple.
[
{
"toplevel_name": "Favoris gérés"
},
{
"url": "https://www.google.fr",
"name": "Google"
},
{
"url": "https://microsoft.com//",
"name": "Microsoft"
},
{
"url": "https://portal.office365.com",
"name": "Portail Office 365"
}
]
JSON Formatter & Validator (curiousconcept.com)
On compacte le json.
Dans "Favoris gérés", on colle le json compacté.
Gérer Edge par GPO
On doit télécharger et importer les ADMX/ADML de Edge dans le magasin central.
On extrait l'archive et on place les fichiers dans le magasin central (fichiers .admx à la race, et on fusionne les deux dossiers fr-FR).
Télécharger Microsoft Edge pour les entreprises - Microsoft
(politique de Windows 64 bits)
Déployer des favoris Edge par GPO
La méthode de déploiement est quasiment identique qu'avec Chrome.
Après avoir importé les ADMX, il faut créer une GPO ciblant les utilisateurs.
Les deux paramètres à activer sont "Activer la barre des favoris" et "Configurer les favoris".
"Configurer les favoris" est identique à "Favoris gérés" de Chrome.
Gérer OneDrive par GPO
Cette page est liée à Configurer OneDrive | Docs Khroners .
Pour avoir ces GPO, il faut importer les fichiers .admx et .adml dans le magasin central du domaine, disponible sur un poste client dans %localappdata%\Microsoft\OneDrive\BuildNumber\adm\ (ou C:\Program Files (x86)\Microsoft OneDrive\BuildNumber\adm\ ou Program Files\Microsoft OneDrive\BuildNumber\adm\.
OneDrive ne se connectera pas automatiquement si le PC n'est pas Azure AD registered ou Hybrid Joined.
GPO Ordinateur :
GPO Utilisateur :
Voici ce que verra un utilisateur :
Configuration de Windows Update par GPO
Windows Update peut être géré par GPO.
Les postes peuvent utiliser Windows Update "classique", Windows Update for Business (WUfB) ou WSUS.
Dans mon cas, les mises à jour sont déployées par WSUS.
Nous allons voir ici l'expérience utilisateur de ces mises à jour.
Certaines GPO existent mais ne sont pas fonctionnels. De plus, plusieurs stratégies ne sont pas recommandées par Microsoft. Pour plus d'infos, voir Why you shouldn’t set these 25 Windows policies.
La bonne pratique désormais est d'utiliser des dates d'échéances et des périodes de grâce. Pour plus d'infos, voir Manage how users experience updates, Windows quality update end user experience et Windows feature update end user experience.
Exemple pour les mises à jour de fonctionnalités avec la GPO configurée ci-dessous :
1 - La mise à jour est approuvée le lundi. La personne aura 7 jours pour redémarrer son PC (des notifications apparaitront). Si le PC n'est pas redémarré, il redémarrera automatiquement même durant les heures d'activités après 7 jours.
2 - La mise à jour est approuvée le lundi. Le pc n'est démarré qu'une semaine plus tard ; on utilisera alors la période de grâce. Le pc aura 2 jours pour être redémarré (des notifications apparaitront) ou celui-ci s'effectuera automatiquement, même durant les heures d'activités.
On se basant sur ces deux documentations de Microsoft, on obtient le résultat suivant (à modifier selon vos besoins) :
Et en français :
Dans notre cas, les ordinateurs ne redémarreront pas en dehors des heures d'activités si la date d'échéance (deadline) n'est pas dépassée. Ce paramètre est la case à cocher "Don't auto-restart until end of grace period".
Pour plus d'infos sur le comportement de l'ordinateur avec la mise en place des dates d'échéances et de grâce, voir https://learn.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy#i-want-to-keep-devices-secure-and-compliant-with-update-deadlines.
Un exemple :