Active Directory

Tout ce qui touche à Active Directory

Installation du rôle AD DS (Contrôleur de domaine) et DNS

Dans le gestionnaire de serveur, en haut à droite, on clique sur "Gérer" puis "Ajouter des rôles et des fonctionnalités".

image015.png

On choisit ensuite le rôle "Services AD DS".

image020.png

On clique ensuite sur "Suivant" pour toutes les autres étapes puis "Installer".

Une fois installé, en haut à droite, on clique sur le panneau des notifications (un drapeau) puis "Promouvoir ce serveur en contrôleur de domaine".

image021.png

On ajoute une nouvelle forêt. Le domaine est « khroners.fr » (à remplacer par le votre, bien entendu).

image022.png

On définit le mot de passe de restauration des services d’annuaire. Il est important de le conserver.

image023.png

Suivant

image024.png

Suivant.

image025.png

On peut changer la destination de la BGG, sysvol et des logs.

image026.png

Les avertissements sont normaux. On installe.

image027.png

Le serveur redémarre.

Le serveur est promu Contrôleur de Domaine. Les rôles ADDS & DNS sont installés.

image028.png

On clique sur "Outils" puis "Utilisateurs et ordinateurs Active Directory".

Ici, OU = "Organizational Unit"ou en français "Unité d'Organisation".

On ajoute l’OU Khroners, et dedans 3 OU : Groups, Users & Computers.

image-1610979772322.png

On déplace les objets correspondants aux ordinateurs déjà existants dans le domaine dans Computers.

 

 

Ajouter un contrôleur de domaine secondaire

Ajouter un contrôleur de domaine secondaire permet d'avoir une réplication du contrôleur de domaine. Cela permet au deuxieme de prendre le relais en cas de panne.

Sur un autre serveur Windows, ici SRV-DC02, on ajoute le rôle AD DS.

On ajoute à un domaine existant et on rentre le domaine, puis "Modifier" en rentrant les logins du compte administrateur du domaine, ici KHRONERS\Administrateur.

image-1610982167895.png

On rentre un mot de passe du mode de restauration des services d'annuaire, il est important de le garder.

image-1610982172951.png

On réplique depuis SRV-DC01 (notre contrôleur de domaine principal).

image-1610982234301.png

On spécifie l'emplacement des dossiers de BDD, fichiers journaux et SYSVOL.

image-1610982263480.png

Une fois fait, on n'oublie pas de modifier les options du DHCP pour les DNS.

Activer la corbeille Active Directory

Dans le Centre d'Administration Active Directory, on clique droit sur notre domaine puis "Activer la corbeille".

image-1619818823900.png

Monter un partage par GPO par OU

On clique sur "Gestion des stratégies de groupe".

image-1610983102318.png

On clique droit sur "Objets de stratégie de groupe" puis "Nouveau"

image-1610984428658.png

On choisit un nom. On souhaite qu'il soit le plus clair possible.

image-1610984515806.png

On le lie ensuite à une OU. Dans mon cas, je veux que le partage soit monté pour tous les utilisateurs du domaine.

image-1610984616608.png

On choisit notre GPO.

image-1610984648528.png

On clique droit sur la GPO puis "Modifier".

On se rend dans "Configuration Utilisateur", "Préférences" puis "Mappage de lecteurs".

image-1610984802570.png

On clique droit puis "Nouveau" > "Lecteur mappé".

image-1610984993287.png

On choisit le chemin, la lettre et on coche "Reconnecter".

image-1610985303990.png

Dans l'onglet "Commun", on coche "Ciblage au niveau de l'élément" et "Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur)".

image-1610985558252.png

On clique sur "Ciblage..." puis "Nouveau" puis "Unité d'Organisation".

image-1610985425746.png

En cliquant sur "...", on choisit notre OU.

image-1610985472229.png

On clique sur "OK" puis "Appliquer".

On redémarre ensuite un poste ou via l'invité de commandes, on rentre la commande "gpupdate /force".

 

 

 

Créer des GPO pour Chrome

On télécharge les GPO de Chrome : Télécharger le navigateur Chrome pour votre entreprise – Chrome Enterprise (chromeenterprise.google)

On extrait, on déplace le dossier windows\admx\fr-FR dans le dossier PolicyDefinitions\fr-FR du sysvol, et les deux fichiers .admx dans windows\admx vers le dossier PolicyDefinitions du sysvol.

Les GPO apparaissent.


Déployer un .msi par GPO

Création du partage pour le déploiement

Si un partage n’a pas déjà été créé pour le déploiement, on le crée :

Dans l’explorateur de fichiers, on crée un dossier « deploiement » sur le disque, dans mon cas à la racine du disque.

image-1613760743274.png

On clique droit sur le dossier, propriétés, onglet « Partage », « Partager » puis on ajoute « Ordinateurs du domaine ».

image-1613760757283.png

On écrit « Ordinateurs du domaine » puis on clique sur « Vérifier les noms » à droite.

image-1613760762412.png

On laisse les droits de lecture seulement (par défaut).

REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ».

On clique sur « Partager ».

 

image-1613760768514.png

image-1613760771575.png

On déplace ensuite le setup dans ce dossier.

 

 

image-1613760778652.png

Création de la GPO

On se rend ensuite dans la Gestion de stratégie de groupe.

image-1613760785464.png

On crée une GPO dans « Objets de stratégie de groupe ».

 

image-1613760794392.png

On lui donne un nom.

image-1613760801103.png

On double clique gauche sur la GPO puis dans « Filtrage de sécurité » on retire « Utilisateurs authentifiés » puis on ajoute « Ordinateurs du domaine ».

 

image-1613760810577.png

image-1613760813620.png

REMARQUE : Si l’on souhaite l’installer sur un contrôleur de domaine, il faut ajouter « Contrôleurs de domaine ».

Ensuite, on clique droit sur la GPO puis « Modifier ».

image-1613760825866.png

Dans « Configuration ordinateur », « Stratégies », « Paramètres du logiciel » et « Installation logiciel », on créer un Package.

image-1613760838728.png

On ajoute le .MSI depuis le partage et non le chemin physique.

Dans la barre du haut, on rentre l’adresse IP ou le nom d’hôte avec le nom du partage.

image-1613760852202.png

On choisit « Attribué » puis OK.

image-1613760860199.png

image-1613760864098.png

Liaison de la GPO au domaine/OU

On clique droit sur l’OU contenant le domaine ou directement à la racine du domaine comme ici, puis on clique sur « Lier un objet de stratégie de groupe existant… ».

image-1613760879183.png

On choisit la GPO créée précédemment.

image-1613760888845.png

Elle apparait ici.

image-1613760895438.png

Il est important à savoir que l’installation se fera uniquement après un redémarrage des machines.

Déployer un fond d'écran par GPO

Nous allons voir comment déployer un fond d'écran par gpo sur les postes de notre AD.

On crée et lie notre GPO à une OU Utilisateur.

image-1647180184298.png

image-1647180213817.png

image-1647186962440.png

Dans le partage, on désactive l'héritage (on choisit convertir), on retire "Utilisateurs du domaine" et on rajoute "Ordinateurs du domaine" en lecture.

image-1647180967047.png

Et concernant les autorisations du partage, on remplace "Tout le monde" par "Ordinateurs du domaine" en CT (On s'occupe des permissions via NTFS).

image-1647192346727.png

On crée une deuxième GPO ordinateur :

image-1647187015821.png

image-1647187044482.png

Sous "Fichiers" :

image-1647187289061.png

Déployer des favoris Chrome via GPO

Après avoir installé les ADMX dans le magasin central (PolicyDefinitions du Sysvol), on active la stratégie "Activer la barre des favoris" et "Favoris gérés".

Les favoris utilisent le format .json, en voici un exemple.

[
  {
    "toplevel_name": "Favoris gérés"
  }, 
  {
    "url": "https://www.google.fr", 
    "name": "Google"
  }, 
  {
    "url": "https://microsoft.com//", 
    "name": "Microsoft"
  },
  {
    "url": "https://portal.office365.com", 
    "name": "Portail Office 365"
  }
]

JSON Formatter & Validator (curiousconcept.com)

On compacte le json.

image-1657806545964.png

image-1657806555663.png

Dans "Favoris gérés", on colle le json compacté.

 

Gérer Edge par GPO

On doit télécharger et importer les ADMX/ADML de Edge dans le magasin central.

On extrait l'archive et on place les fichiers dans le magasin central (fichiers .admx à la race, et on fusionne les deux dossiers fr-FR).

Télécharger Microsoft Edge pour les entreprises - Microsoft

(politique de Windows 64 bits)

Déployer des favoris Edge par GPO

La méthode de déploiement est quasiment identique qu'avec Chrome.

Après avoir importé les ADMX, il faut créer une GPO ciblant les utilisateurs.

Les deux paramètres à activer sont "Activer la barre des favoris" et "Configurer les favoris".

"Configurer les favoris" est identique à "Favoris gérés" de Chrome.

Gérer OneDrive par GPO

Cette page est liée à Configurer OneDrive | Docs Khroners .

Pour avoir ces GPO, il faut importer les fichiers .admx et .adml dans le magasin central du domaine, disponible sur un poste client dans %localappdata%\Microsoft\OneDrive\BuildNumber\adm\ (ou C:\Program Files (x86)\Microsoft OneDrive\BuildNumber\adm\ ou Program Files\Microsoft OneDrive\BuildNumber\adm\.

OneDrive ne se connectera pas automatiquement si le PC n'est pas Azure AD registered ou Hybrid Joined.

GPO Ordinateur :

image.png


GPO Utilisateur :

image.png

Voici ce que verra un utilisateur :

image.png

image.png

image.png

Configuration de Windows Update par GPO

Windows Update peut être géré par GPO.

Les postes peuvent utiliser Windows Update "classique", Windows Update for Business (WUfB) ou WSUS.

Dans mon cas, les mises à jour sont déployées par WSUS.

Nous allons voir ici l'expérience utilisateur de ces mises à jour.

Certaines GPO existent mais ne sont pas fonctionnels. De plus, plusieurs stratégies ne sont pas recommandées par Microsoft. Pour plus d'infos, voir Why you shouldn’t set these 25 Windows policies.

La bonne pratique désormais est d'utiliser des dates d'échéances et des périodes de grâce. Pour plus d'infos, voir Manage how users experience updates, Windows quality update end user experience et Windows feature update end user experience.

Exemple pour les mises à jour de fonctionnalités avec la GPO configurée ci-dessous :

  1 - La mise à jour est approuvée le lundi. La personne aura 7 jours pour redémarrer son PC (des notifications apparaitront). Si le PC n'est pas redémarré, il redémarrera automatiquement même durant les heures d'activités après 7 jours.

  2 - La mise à jour est approuvée le lundi. Le pc n'est démarré qu'une semaine plus tard ; on utilisera alors la période de grâce. Le pc aura 2 jours pour être redémarré (des notifications apparaitront) ou celui-ci s'effectuera automatiquement, même durant les heures d'activités.

On se basant sur ces deux documentations de Microsoft, on obtient le résultat suivant (à modifier selon vos besoins) :

image.png

Et en français :

image.png

Dans notre cas, les ordinateurs ne redémarreront pas en dehors des heures d'activités si la date d'échéance (deadline) n'est pas dépassée. Ce paramètre est la case à cocher "Don't auto-restart until end of grace period".

Pour plus d'infos sur le comportement de l'ordinateur avec la mise en place des dates d'échéances et de grâce, voir https://learn.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy#i-want-to-keep-devices-secure-and-compliant-with-update-deadlines.

Un exemple : 

image.png