1

Configuring DC1
7 out of 7 rated this helpful - Rate this topic Updated: February 23, 2010 Applies To: Windows 7, Windows Server 2008 R2 DC1 is a computer running Windows Server 2008 R2 that provides the following services:

A domain controller for the contoso.com Active Directory domain. A DNS server for the Contoso.com DNS domain. A file server.

The configuration of DC1 requires the following steps:

Install the operating system Configure TCP/IP Install Active Directory and DNS Create a user account with remote access permission Create a shared folder and file

The following sections explain these steps in detail. Install the operating system To install Windows Server 2008 R2

1. 2. 3. 4.

On DC1, start your computer using the Windows Server 2008 R2 product disc. Follow the instructions that appear on your screen. When prompted to provide a password for the Administrator user account, type Pass@word1 After installation completes and the Initial Configuration Tasks window appears, under 1. Provide Computer Information, click Provide computer name and domain. Note If the Initial Configuration Tasks window does not appear, or if you closed it after selecting Do not show this window at logon, you can start it by clicking Start, typing oobe, and pressing ENTER.

5. On the Computer Name tab, click Change. 6. In the Computer name text box, type DC1, and then click OK. 7. On the confirmation window, click OK, click Close on the System Properties dialog box, and then click Restart Now. Configure TCP/IP

Configure TCP/IP properties so that DC1 has a static IP address of 192.168.0.1 with the subnet mask 255.255.255.0 and a default gateway of 192.168.0.2. To configure TCP/IP properties

1. After DC1 restarts, in the Initial Configuration Tasks window, under 1. Provide Computer Information, click Configure networking. 2. In the Network Connections dialog box, right-click Local Area Connection, and then click Properties. 3. In the Local Area Connection Properties dialog box, click Internet Protocol Version 4 (TCP/IPv4), and then click Properties. 4. Click Use the following IP address, and configure the following settings: 1. In IP address, type 192.168.0.1. 2. In Subnet mask, type 255.255.255.0. 3. In Default gateway, type 191.168.0.2. 4. In Preferred DNS server, type 192.168.0.1. 5. Click OK, and then click Close. 6. Close the Network Connections window. Install Active Directory and DNS

Configure the computer as a domain controller for the Contoso.com domain. This will be the first and only domain controller in this network. To configure DC1 as a domain controller

1. On DC1, in the Initial Configuration Tasks window, under 3. Customize This Server, click Add roles, and then perform the following steps in the Add Roles Wizard. 1. In the Add Roles Wizard, on the Before You Begin page, click Next. 2. On the Select Server Roles page, select Active Directory Domain Services. 3. In the Add features required for Active Directory Domain Services dialog box, click Add Required Features. 4. Back on the Select Server Roles page, click Next. 5. On the Active Directory Domain Services page, click Next, and then on the Confirm Installation Selections click Install. 6. On the Installation Results page click Close this wizard and launch the Active Directory Services Installation Wizard (dcpromo.exe). 2. In the Active Directory Domain Services Installation Wizard, perform the following steps: 1. On the Welcome page, click Next.

2. On the Operating System Compatibility page, click Next. 3. On the Choose a Deployment Configuration page, select Create a new domain in a new forest, and then click Next. 4. On the Name the Forest Root Domain page, type contoso.com, and then click Next. 5. On the Set Forest Functional Level page, select Windows Server 2008 R2, and then click Next. Note The choice does not affect the outcome of this step-by-step guide. 6. In the Additional Domain Controller Options page, ensure that DNS server is selected, and then click Next. 7. On the notice dialog that indicates that a delegation for the DNS server cannot be created, click Yes. 8. On the Location for Database, Log Files, and SYSVOL page, click Next. 9. On the Directory Services Restore Mode Administrator Password page, type Pass@word1 in both text boxes, and then click Next. 10. On the Summary page, click Next. 11. On the progress dialog box, select Reboot on completion. 12. On the Completing page, click Finish, and then click Restart Now. Important You must allow the computer to restart after installing Active Directory before proceeding. Create a user account with remote access permission

Create a user account and configure the account with remote access permission. To create and grant permission to a user account in Active Directory

1. After DC1 restarts, logon as Contoso\Administrator 2. Click Start, click Administrative Tools, and then click Active Directory Users and Computers. 3. In the navigation tree, expand contoso.com, right-click Users, click New, and then click User. 4. In Full name, type user1, and in User logon name, type user1. Click Next. 5. In Password, type Pass@word1, and in Confirm password, type Pass@word1 again. 6. Clear the User must change password at next logon check box, and then select the User cannot change password and Password never expires check boxes. 7. Click Next, and then click Finish. To grant remote access permission to user1: 1. In the left tree, click Users. In the details pane, double-click user1.

2. On the Dial-in tab, under Network Access Permission, click Allow access, and then click OK. 3. Close Active Directory Users and Computers. Create a shared folder and file

DC1 is a file server that should be accessible to a remote user after access and authentication methods have been configured. To create a shared folder and file

1. 2. 3. 4. 5. 6. 7.

On DC1, click Start, and then click My Computer. Double-click Local Disk (C:). On the toolbar, click New folder, and then type the nameCorpData. Right-click the CorpData folder, click Share with, and the click Specific people. In the File Sharing dialog box, type Everyone, and then click Add. In the list, click the entry for Everyone, and then click Read/Write. Click Share, and then Done to complete the process.The folder is now accessible as \\dc1\corpdata. 8. Double-click the CorpData folder, and then right-click in the blank space. Point to New, and then click Text Document. 9. Name the document VPNTest (the .txt file type extension is added automatically). 10. Open VPNTest and add some text. 11. Save and close VPNTest

Note: This article was written when Windows Server 2008 was still RC1. Changes might occur later once the product is RTM'd 1. If you have set up a domain controller previously with Windows 2000 Server, or Windows Server 2003, then you would be familiar with the dcpromo.exe command, it will also be used to set up a Domain Controller on Windows Server 2008. To use the command, click on Start > Run > and then write dcpromo > Click OK

2. The system will start checking if Active Directory Domain Services ( AD DS) binaries are installed, then will start installing them. The binaries could be installed if you had run the

dcpromo command previously and then canceled the operation after the binaries were installed.

3. The Active Directory Domain Services Installation Wizard will start, either enable the checkbox beside Use Advanced mode installation and Click Next , or keep it unselected and click on Next

The following table lists the additional wizard pages that appear for each deployment configuration when you select the Use advanced mode installation check box. Deployment configuration New forest Advanced mode installation wizard pages Domain NetBIOS name On the Choose a Deployment Configuration page, the option to create a new domain tree appears only in advanced mode installation. New domain in an existing forest Domain NetBIOS name Source Domain Controller Install from Media Additional domain controller in an existing domain Source Domain Controller Specify Password Replication Policy (for RODC installation only) Create an account for a read-only domain Specify Password Replication Policy controller (RODC) installation Attach a server to an account for an RODC installation Install from Media Source Domain Controller

4. The Operating System Compatibility page will be displayed, take a moment to read it and click Next

5. Choose Create a new domain in a new forest, Click Next

6. Enter the Fully Qualified Domain Name of the forest root domain inside the textbox, click Next

7. If you selected Use advanced mode installation on the Welcome page, the Domain NetBIOS Name page appears. On this page, type the NetBIOS name of the domain if necessary or accept the default name and then click Next.

10

8. Select the Forest Functional Level, choose the level you desire and click on Next. Make sure to read the description of each functional level to understand the difference between each one.

11

9. In the previous step, If you have selected any Forest Functional Level other than Windows Server 2008 and clicked on Next , you would then get a page to select the Domain Functional Level. Select it and then click on Next

12

10. In the Additional Domain Controller Options page, you can select to install the Domain Name Service to your server. Note that the First domain controller in a forest must be a Global Catalog that's why the checkbox beside Global Catalog is selected and it cannot be cleared. The checkbox is also selected by default when you install an additional domain controller in an existing domain, however you can clear this checkbox if you do not want the additional domain controller to be a global catalog server. The first domain controller in a new forest or in a new domain can not be a Read Only Domain Controller (RODC), you can later add a RODC but you must have at least one Windows Server 2008 Domain Controller. I want to set my DC as a DNS Server as well, so I will keep the checkbox beside DNS Server selected and click on Next

13

11. If the wizard cannot create a delegation for the DNS server, it displays a message to indicate that you can create the delegation manually. To continue, click Yes

12. Now you will have the location where the domain controller database, log files and SYSVOL are stored on the server. The database stores information about the users, computers and other objects on the network. the log files record activities that are related to AD DS, such information about an object being updated. SYSVOL stores Group Policy objects and scripts. By default, SYSVOL is part of the operating system files in the Windows directory Either type or browse to the volume and folder where you want to store each, or accept the defaults and click on Next

14

13. In the Directory Services Restore Mode Administrator Password (DSRM) page, write a password and confirm it. This password is used when the domain controller is started in Directory Services Restore Mode, which might be because Active Directory Domain Services is not running, or for tasks that must be performed offline. Make sure that you memorize this password when you need it. I know many administrators forgot it when they most needed it !!

15

Make sure the password meet the password complexity requirements of the password policy, that is a password that contains a combination of uppercase and lowercase letters, numbers, and symbols. else you will receive the following message :

14. Summary page will be displayed showing you all the setting that you have set . It gives you the option to export the setting you have setup into an answer file for use with other unattended operations, if you wish to have such file, click on the Export settings button and save the file.

16

15. DNS Installation will start

16. Followed by installing Group Policy Management Console, the system will check first if it is installed or not.

17

17. Configuring the local computer to host active directory Domain Services and other operations will take place setting up this server as a Domain Controller

18

19

18. Active Directory Domain Services installation will be completed, click Finish, then click on Restart Now to restart your server for the changes to take effect.

20

19. Once the server is booted and you logon to it, click on Start > Administrative Tools , will notice that following have been installed :

Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Users and Computers ADSI Edit DNS Group Policy Management

Summary Setting up a Domain Controller in Windows Server 2008 to install Active Directory Domain Services is performed by running the dcpromo command. It has some new options like using Advanced Mode

21

Installation, and exporting settings to an answer file . In my next articles, I will show you how to perform an unattended installation to set up your domain controller, and also how to set up an additional domain controller using Windows Server 2008. Related Articles To set up an Additional Domain Controller, I will use the dcpromo.exe command. 1. To use the command, click on Start
> Run > and then write dcpromo > Click OK

2. The system will start checking if Active Directory Domain Services ( AD DS) binaries are installed, then will start installing them. The binaries could be installed if you had run the dcpromo command previously and then canceled the operation after the binaries were installed.

3. The Active Directory Domain Services Installation Wizard will start, either enable the checkbox beside Use
Advanced mode installation and Click Next , or keep it unselected and click on Next

22

The following table lists the additional wizard pages that appear for each deployment configuration when you select the Use advanced mode installation check box. Deployment configuration New forest Advanced mode installation wizard pages Domain NetBIOS name
On the Choose a Deployment Configuration page, the option to create a new domain tree appears only in advanced mode installation.

New domain in an existing forest

Domain NetBIOS name Source Domain Controller Install from Media

Additional domain controller in an existing Source Domain Controller domain Specify Password Replication Policy (for RODC installation only) Create an account for a read-only domain controller (RODC) installation Attach a server to an account for an RODC installation Specify Password Replication Policy Install from Media Source Domain Controller

23

4. The Operating System Compatibility page will be displayed, take a moment to read it and click Next

5. On the Choose a Deployment Configuration page, click Existing forest, click Add a domain controller to an existing domain, and then click Next.

24

6. On the Network Credentials page, type your domain name, my domain name is elmajdal.net ( was set in the previous article ) , so I will type elmajdal.net.

25

7. To set up an Additional Domain Controller, you will need an account that must be either a member of the Enterprise Admins group or the Domain Admins group. We have two options:

My Current logged on credentials ( DomainName\Username or MachineName\Username)

Alternate credentials If you have previously joined this server to the domain and you are currently logged in to it with an Enterprise Admin/Domain Admin user, then you can use the first option (My current logged on credentials) . As you can see this option is grayed here, and the reason for this is below it. It is because I'm currently logged in with a local user, the machine is not a domain member. I'm left out with the second option: Alternate credentials

8. To enter the Alternate credentials, click Set. In the Windows Security dialog box, enter the user name and password for an account that must be either a member of the Enterprise Admins group or the Domain Admins group > then click Next.

26

If you have entered a wrong username/password , you will receive the following error message

27

9. On the Select a Domain page, select the domain of the Additional Domain Controller, and then click Next, as I already have only one domain, then it will be selected by default.

10. On the Select a Site page, either enable the checkbox beside Use the site that corresponds to the IP address of this computer, this will install the domain controller in the site that corresponds to its IP address, or select a site from the list and then click Next. If you only have one domain controller
and one site, then you will have the first option grayed and the site will be selected by default as shown in the following image

28

11. On the Additional Domain Controller Options page, By default, the DNS Server and Global Catalog
checkboxes are selected. You can also select your additional domain controller to be a Read-only Domain Controller (RODC) by selecting the checkbox beside it. My primary domain controller is a DNS Server is well, and this can be verified by reading the additional information written in the below image, that there is currently 1 DNS server that is registered as an authoritative name server for this domain. I do want my Additional DC to be a DNS server and a Global catalog, so I will keep the checkboxes selected. Click Next

29

12. If you select the option to install DNS server in the previous step, then you will receive a message that indicates a
DNS delegation for the DNS server could not be created and that you should manually create a DNS delegation to the DNS server to ensure reliable name resolution. If you are installing an additional domain controller in either the forest root domain (or a tree root domain) , you do not need to create the DNS delegation. In this case, you can safely ignore the message and click Yes.

13. In the Install from Media page ( will be displayed if you have selected Use advanced mode installation on the Welcome page, if you didn't select it, then skip to step # 15), you can choose to either replicate
data over the network from an existing domain controller, or specify the location of installation media to be used to create the domain controller and configure AD DS. I want to replicate data over the network, so I will choose the first option > click Next

30

14. On the Source Domain Controller page of the Active Directory Domain Services Installation Wizard, you can select
which domain controller will be used as a source for data that must be replicated during installation, or you can have the wizard select which domain controller will be used as the source for this data. You have two options :

Let the wizard choose an appropriate domain controller Use this specific domain controller

31

If you want to choose from the list, any domain controller can be the installation partner. However, the following restrictions apply to the domain controllers that can be used as an installation partner in other situations: o A read-only domain controller (RODC) can never be an installation partner. o If you are installing an RODC, only a writable domain controller that runs Windows o

Server 2008 can be an installation partner. If you are installing an additional domain controller for an existing domain, only a domain controller for that domain can be an installation partner.

15. Now you will have to specify the location where the domain controller database, log files and SYSVOL are stored on the server. The database stores information about the users, computers and other objects on the network. the log files record activities that are related to AD DS, such information about an object being updated. SYSVOL stores Group Policy objects and scripts. By default, SYSVOL is part of the operating system files in the Windows directory Either type or browse to the volume and folder where you want to store each, or accept the defaults and click on Next

32

Note : Windows Server Backup backs up the directory service by volume. For backup and recovery efficiency, store these files on separate volumes that do not contain applications or other nondirectory files.

16. In the Directory Services Restore Mode Administrator Password (DSRM) page, write a password and confirm it.
This password is used when the domain controller is started in Directory Services Restore Mode, which might be because Active Directory Domain Services is not running, or for tasks that must be performed offline.

33

Make sure the password meet the password complexity requirements of the password policy, that is a password that contains a combination of uppercase and lowercase letters, numbers, and symbols. else you will receive the following message :

17. Summary page will be displayed showing you all the setting that you have set . It gives you the option to export the
setting you have setup into an answer file for use to automate subsequent AD DS operations, if you wish to have such file, click on the Export settings button and save the file. Then click Next to begin AD DS installation

34

18. Active Directory Domain Services installation will be completed, click Finish, then click on Restart Now to restart
your server for the changes to take effect.

35

Open Active Directory Users & Computers, and then click on the Domain Controllers Organizational Unit, and you will see your Additional Domain Controller along with your Primary Domain Controller.

36

Summary Additional domain controllers improve the performance of authentication requests and global catalog server lookups. They also help Active Directory Domain Services (AD DS) overcome hardware, software, or administrator errors. When you add a domain controller, information is replicated over the network

37 P01 - Peut-on ajouter un serveur Windows Server 2003 dans un domaine Windows 2000 ?

Oui, les contrleurs de domaines Windows Server 2000 et Windows Server 2003 peuvent cxister. Cependant, avant d'installer le premier DC 2003 vous devez prparer le schema AD avec adprep /forestprep. Consultez

http://support.microsoft.com/default.aspx?scid=kb;fr;325379 .

P02 - Comment nommer un domaine AD ? - http://www.ToutWindows.com

Les rgles de nomage d'un domaine AD viennent principalement de DNS : les caractres accepts sont les caractres alphanumpriques (A Z et 0 9) et le tiret (-). Le point (.) dans le nom de domaine est toujours utilis pour sparer les diffrentes parties du nom de domaine. Chaque nom de domaine ne peut excder 63 octets et le premier caractre ne peut tre un chiffre. Il est conseill de respecter les rgles suivantes : _ si vous voulez que le nom NetBIOS du domaine corresponde votre nom de domaine, utilisez moins de 15 caractres pour le nom, _ n'utilisez pas pour votre domaine AD, le mme nom de domaine que celui que vous possdez en externe, ceci posera des problemes DNS, par contre pour viter le mme genre de dsagrment rservez celui ci sur Internet,

P03 - Peut on se connecter a Active Directory depuis Windows95, 98 ou NT 4 ?

Oui, il suffit d'installer les "Extensions Client d'Active Directory pour Windows 95, 98 et NT 4 Workstation" sur les PC clients, le tlcharger ici :

http://www.microsoft.com/france/windows/98/download/info.asp?mar=/france/windows/2000/server/tele charge/info/2000_adextensions.html&xmlpath=/france/windows/98/inc/download.xml&rang=14

Q01 - Comment crer une fort avec un domaine ?

Pour plus de dtails, cliquez ici. 1. Dmarrer / Excuter DCPROMO 2. Sur la page d'accueil, cliquez sur Suivant 3. Sur la page d'avertissement, cliquez sur Suivant 4. Sur la page Type de Contrleur de Domaine, slectionnez Contrleur de Domaine pour un nouveau domaine, et cliquez sur Suivant, 5. Sur la page suivante, slectionnez Domaine dans une nouvelle fort, puis cliquez sur Suivant 6. Saisissez le nom DNS complet, cliquez sur Suivant 7. Vrifiez le nom NetBIOS et cliquez sur Suivant 8. Prcisez un emplacement, et cliquez sur Suivant 9. Validez un emplacement, et cliquez sur Suivant 10. Vrifiez le DNS existant ou cliquez sur Installer et configurer, puis cliquez sur Suivant 11. Prcisez si vous souhaiter appliquer les scurits 12. Lorsque l'assistant vous le demande, prcisez le mot de passe de dpannage,

38
13. Vrifiez la page de rsum, puis validez. 14. A la fin le serveur doit redmarrer.

Q02 - Comment ajouter un contrleur de domaine un domaine existant ? - toutwindows.com

1. Dmarrer / Excuter DCPROMO 2. Sur la page Type de Contrleur de Domaine, slectionnez Ajouter un contrleur un domaine existant. 3. A la page scurit, saisissez le nom d'utilisateur puis le mot de passe :

4. 5. 6. 7. 8.

Confirmez l'emplacement de la Base de donne et des dossiers Logs Sur le partage systeme, donnez l'emplacement du rpertoire SYSVOL A la page de restauration confirmez le mot de passe de restauration Vrifiez le rsum et validez. A la fin le serveur doit redmarrer.

Q03 - Comment renommer un Contrleur de Domaine ? - toutwindows.com

1. 2. 3. 4. Dans le Panneau de Configuration, double cliquez sur Systme Dans l'onglet Nom de l'ordinateur, cliquez sur Modifier Confirmez le changement Entrez le nom complet et cliquez sur OK

Q04 -Comment retirer un Contrleur de domaine ? - toutwindows.com

Supprimer un DC oprationnel : 1. Lancez l'assistant AD (DCPROMO) 2. A la page Dsinstallation d'AD, slectionnez Ce serveur est le dernier contrleur du domaine, et cliquez sur Suivant :

39

3. tapez le nouveau mot de passe administrateur 4. Vrifiez le rsum et validez. DCPROMO vous demande aussi de confirmer les zones DNS correspondantes.

40

Contrleur endommag qui ne peut plus tre redmarr : Dans ce cas il faut utiliser ntdsutil , conformment http://support.microsoft.com/default.aspx?scid=kb;fr;216498

Pour supprimer un

41 Q05 - Comment vrifier l'initialisation correcte d'Active Directory ? - toutwindows.com

POur vrifiez que AD s'est correctement initialis, vrifiez les points suivants : Default Containers Ceux ci sont crs automatiquement. Ouvrez la MMC Utilisateurs et Ordinateurs AD et vrifiez la prsence de : Computers, Users, ForeignSecurityPrincipals Default Domain Controllers Organizational Unit Ouvrez la MMC Utilisateurs et Ordinateurs AD, et vrifiez la prsence de cette OU. Premier-Site-Par-Defaut A vrifier en lanant la MMC Site et Servieces AD Base de donne Active Directory Le fichier Ntds.dit reprsente la base Active Directory. Verifiez sa prsence dans %Systemroot%\Ntds. Serveur Global Catalog (GC) Par dfaut le premier DC devient GC. Pour le vrifier :

1. 2. 3. 4. 5.

Lancez la MMC Site et Services AD Double cliquez sur Sites, ouvrez Servers, et slectionnez votre serveur Double cliquez sur votre Controleur de Domaine En dessous du serveur, un objet NTDS Settings est affich. Cliquez bouton droit et slectionnez Proprits. Dans l'onglet General, Vrifiez que la boite Global Catalog est slctionne.

Domaine racine (Root Domain) Vrifiez ceci avec la commande net accounts. Le rle du serveur doit tre "primaire" ou "backup".

Partage Systme Le volume SYSVOL est partag dans %Systemroot%\Sysvol\Sysvol .

Enregistrements DNS SRV Vous devez avoir un serveur DNS install et fonctionnel pour AD, ainsi que les clients qui y refrent. Pour vrifier DNS sous Widnows Server, utilisez la MMC DNS et vrifiez que les enregistrements de zones et ressources sont bien crs pour chaque zone. AD cre ses enregistrements SRV dans les dossiers suivants : o _Msdcs/Dc/_Sites/Default-first-site-name/_Tcp o _Msdcs/Dc/_Tcp Pour les services suivants : o o _kerberos _ldap

Q06 - Comment crer un domaine enfant ? - toutwindows.com

Pour crer un domaine enfant, vous devez crer un nouveau serveur et suivre les instructions suivantes : 1. Dmarrer / Excuter : dcpromo. 2. Sur la page de slection, cliquez sur Crer un domaine enfant dans un domaine existant.

42
3. Saisissez un nom d'utilisateur, mot de passe et domaine que vous souhaitez utiliser 4. Vrifiez le domaine parent et saisissez le domaine enfant

Q07 - Comment crer une nouvelle fort ? - toutwindows.com

1. 2. 3. 4. Dmarrer / Excuter : dcpromo. Sur la page de slection, cliquez sur Arborescence de domaine dans une foret existante. Saisissez un nom d'utilisateur, mot de passe et domaine que vous souhaitez utiliser Vrifiez le domaine parent et saisissez le domaine enfant

Q10 - Comment dterminer les rles RID, PDC, et Infrastructure dans un domaine ?

1. Dmarrer / Executer dsa.msc

2. 3. 4. 5.
Cliquez avec le bouton droit sur l'objet reprsentant le Domaine et slectionnez Maitre d'Opration. Dans l'onglet CDP : vous visualisez le serveur ayant le rle PDC Dans l'onglet Infrastructure : vous visualisez le serveur ayant le rle Infrastructure Dans l'onglet RID : vous visualisez le serveur ayant le rle RID

Q11 - Comment dterminer le serveur Schema Master dans une fort ? - toutwindows.com 1. Dmarrer / Excuter, mmc 2. Dans le menu Fichier, Ajout d'un composant enfichable, choisissez la mmc Schma Active Directory, puis OK 3. Cliquez sur Active Directory Schma avec le bouton droit puis choisissez Schema Active directory, afin de visualiser
le serveur concern

Q12 - Comment crer une relation d'approbation entre deux forts ? - toutwindows.com 1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le domaine avec lequel vous souhaitez tablir 3. 4. 5. 6. 7.
Directory. une approbation, puis cliquez sur Proprits. Cliquez sur l'onglet Approbations, puis sur Nouvelle approbation pour dmarrer l'Assistant Nouvelle approbation. Cliquez sur Suivant. Sur la page Nom d'approbation, tapez le nom DNS ou NetBIOS du domaine, puis cliquez sur Suivant. Sur la page Type d'approbation, cliquez sur Approbation externe, puis sur Suivant. Sur la page Direction de l'approbation, appliquez l'une des mthodes suivantes : o Pour crer une approbation externe bidirectionnelle, cliquez sur Bidirectionnel. Les utilisateurs dans ce domaine et les utilisateurs dans le domaine spcifi peuvent accder aux ressources situes dans l'un ou l'autre domaine. o Pour crer une approbation externe sens unique, cliquez sur Sens unique : en entre. Les utilisateurs dans le domaine spcifi ne peuvent accder aucune ressource dans ce domaine. o Pour crer une approbation externe sens unique en sortie, cliquez sur Sens unique : en sortie. Les utilisateurs dans le domaine spcifi ne peuvent accder aucune ressource dans le domaine spcifi. Suivez les instructions affiches sur les autres pages de l'Assistant pour crer l'approbation externe.

8.

Pour crer une relation d'approbation avec un domaineNT4, consultez http://support.microsoft.com/default.aspx?scid=kb;fr;325874

Q13 - Comment vrifier les relations d'approbation ? - toutwindows.com

43

1. Dmarrez l'outil Domaines et approbations Active Directory. L'outil repre automatiquement un contrleur de
2. L'icne affiche pour chaque domaine reprsente la racine de chacun des lments de la hirarchie. Le
domaine pour y lire les donnes de relations d'approbation. dveloppement d'un de ces noeuds permet l'affichage de la hirarchie des domaines enfants, s'il en existe. Pour afficher les relations d'approbation associes un domaine particulier, cliquez avec le bouton droit sur le domaine, puis cliquez sur Proprits. 3. Cliquez sur l'onglet Approbations. Pour chacun des domaines que le domaine slectionn approuve (approuv) ou est approuv par (autoris approuver) le domaine slectionn, l'affichage prsente le type de relation d'approbation et si celle-ci est ou non transitive. Il est galement possible d'ajouter ou de supprimer des approbations au moyen de la mme interface. Pour afficher des informations dtailles ou rinitialiser une relation d'approbation transitive, cliquez sur l'approbation voulue, puis cliquez sur Afficher/Modifier. En utilisant netdom: NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name /Verify Utilisation de l'outil NLTEST L'utilitaire NLTEST du Kit de ressources permet l'affichage de la liste actuelle des domaines approuvs connus par un serveur donn. Pour chaque domaine list, vous pouvez afficher les donnes suivantes : Index d'approbation (spcifique chaque contrleur de domaine mesure que les approbations sont numres) Nom de domaine NetBIOS du domaine approuv Nom de domaine DNS du domaine approuv Type d'approbation (NT 4, NT 5, MIT ou DCE) Un des indicateurs suivants : o Direct Outbound (sortant direct) : il existe une relation d'approbation directe entre le domaine associ au serveur interrog et ce domaine. o Native (natif) : ce domaine est actuellement en mode natif. o Primary Domain (domaine principal) : il s'agit du domaine utilis pour le serveur lors de l'interrogation. o Forest Tree Root (racine de l'arborescence de la fort) : ce domaine reprsente la racine d'une arborescence dans une fort. o Forest (fort) : numro d'index : pour ce domaine approuv, le numro d'index reprsente le numro d'index de son domaine parent dans la mme liste NLTEST.

Pour excuter une demande sur un serveur spcifique, tapez NLTEST /server: nom du serveur /domaines_approuvs.

Q14 - Comment effacer une relation d'approbation ? - toutwindows.com

Dmarrez l'outil Domaines et approbations Active Directory. 1. Cliquez avec le bouton droit sur le domaine choisi et choisissez Proprits 2. Slectionnez la relation que vous souhaitez supprimer et slectionnet Supprimer 3. Procdez de mme pour les autres domaines

Q15 - Comment grer les sites et sous-rseaux ? - toutwindows.com

Vous devez utiliser les sites AD pour contrler la rplication entre les sites, ainsi vous devez crer les sites supplmentaires et les sous-masques correspondants puis pouvez dlguer la gestion de ces sites. Pour crer des sites, vous devez entrer en tant que membre du groupe d'Admins d'entreprise ou du

44
groupe d'Admins de domaine dans le domaine racine. Pour crer un site procdez comme suit : 1. Ouvrez la MMC Sites et Services AD 2. Dans l'arborescence, cliquez avec le bouton droit sur Sites, et choisissez Nouveau Site 3. Donnez le nom du site 4. OK deux fois Pour crer un objet de sous-rseau : 1. Ouvrez la MMC Sites et Services AD 2. Dans l'arborescence, double cliquez sur Sites, et cliquez bouton droit sur Masque de sous rseau choisissez Nouveau Sous Rseau 3. Saisissez le sous rseau et choisissez le site associ, puis validez.

Q16 - Comment dplacer un contrleur de domaine vers un nouveau site ? - toutwindows.com

Pour dplacer un contrleur dans un site diffrent, il suffit de le dplacer dans Sites et services AD : 1. 2. 3. 4. 5. Ouvrez la MMC Sites et Services AD Dans l'arborescence, double cliquez sur Sites, puis le site qui contient le contrleur Slectionnez le contrleur dplacer puis cliquez avec le bouton droit choisissez Dplacer Slectionner le site de destination puis validez

Q17 - Comment crer et configurer des liens entre sites ? - - http://www.toutwindows.com

Les connexions entre sites sont importantes car elles permettent de rpliquer les informations de AD. Lorsqu'on configure un lien entre deux sites, on dfinit les proprits incluant les intervalles de rplication, la plannification et les associations de sites. Procdure en Anglais

Q18 - Comment grer les topologies de sites ?

- toutwindows.com

Procdure en Anglais

Q19 - Comment transfrer le rle de contrleur de schma ? - toutwindows.com

Transfert du rle Contrleur de schma

1. Cliquez sur Dmarrer, cliquez sur Excuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK. 2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable .

45 3. Cliquez sur Ajouter. 4. Cliquez sur Schma Active Directory, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur OK. 5. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur 6. Cliquez sur Spcifier un nom, tapez le nom du contrleur de domaine qui va tre le nouveau dtenteur du rle, puis 7. Cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Matre d'oprations. 8. Cliquez sur Spcifier un nom, tapez le nom du contrleur de domaine qui doit dtenir le rle de contrleur de 9. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Matre 10. Cliquez sur Modifier. 11. Cliquez sur OK pour confirmer que vous voulez transfrer le rle, puis cliquez sur Fermer. Q20 - Comment transfrer le rle Matre d'attribution de noms de domaine ? - toutwindows.com 1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active
d'oprations. schma, puis cliquez sur OK. cliquez sur OK. Changer le contrleur de domaine.

Directory. 2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrleur de domaine. REMARQUE : Vous devez effectuer cette tape si vous ne vous trouvez pas sur le contrleur de domaine vers lequel vous voulez transfrer le rle. Vous devez pas effectuer cette tape si vous tes dj connect au contrleur de domaine dont vous voulez transfrer le rle. 3. Effectuez une des actions suivantes : o Dans la zone Entrez le nom d'un autre contrleur de domaine, tapez le nom du contrleur de domaine qui va dtenir le nouveau rle, puis cliquez sur OK. -ouDans la liste Ou slectionner un contrleur de domaine disponible, cliquez sur le contrleur de domaine qui va tre le nouveau dtenteur du rle, puis cliquez sur OK. 4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre d'oprations. 5. Cliquez sur Modifier. 6. Cliquez sur OK pour confirmer que vous voulez transfrer le rle, puis cliquez sur Fermer. o

Q21 - Comment transfrer les rles Matre RID, mulateur PDC et Contrleur d'infrastructure ? http://www.ToutWindows.com Transfert des rles Matre RID, mulateur PDC et Contrleur d'infrastructure

1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active

Directory. 2. Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrleur de domaine. REMARQUE : Vous devez effectuer cette tape si vous ne vous trouvez pas sur le contrleur de domaine vers lequel vous voulez transfrer le rle. Vous devez pas effectuer cette tape si vous tes dj connect au contrleur de domaine dont vous voulez transfrer le rle. 3. Effectuez une des actions suivantes : o Dans la zone Entrez le nom d'un autre contrleur de domaine, tapez le nom du contrleur de domaine qui va dtenir le nouveau rle, puis cliquez sur OK. -ouDans la liste Ou slectionner un contrleur de domaine disponible, cliquez sur le contrleur de domaine qui

46 4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, 5. Cliquez sur l'onglet appropri pour le rle que vous voulez transfrer (RID, PDC ou Infrastructure), puis cliquez sur
Modifier. 6. Cliquez sur OK pour confirmer que vous voulez transfrer le rle, puis cliquez sur Fermer. pointez sur Toutes les tches, puis cliquez sur Matre d'oprations. va tre le nouveau dtenteur du rle, puis cliquez sur OK.

Q22 - Comment sauvegarder Active Directory ? - http://www.ToutWindows.com

AD est sauvegard lorsque vous effectuez une sauvegarde de l'tat du Systme, avec l'accessoire de sauvegarde fourni avec Windows.

1. Cliquez sur Dmarrer, pointez sur Programmes, Accessoires, Outils systme, puis cliquez sur Sauvegarde. 2. Cliquez sur l'onglet Sauvegarde. 3. Activez la case cocher tat du systme (tous les composants sauvegarder figurent dans le volet droit ; vous ne
pouvez pas slectionner chaque lment individuellement). REMARQUE : Au cours de la sauvegarde de l'tat systme, vous devez choisir de sauvegarder le dossier Winnt\Sysvol. Vous devez galement slectionner cette option au cours de la restauration pour que le volume systme fonctionne aprs la rcupration. Les informations suivantes s'appliquent uniquement aux contrleurs de domaine. La restauration des serveurs membres est identique, si ce n'est qu'elle s'effectue en mode normal. Si l'une des conditions suivantes n'est pas satisfaite, la restauration de l'tat systme n'a pas lieu. Le programme de sauvegarde tente de restaurer l'tat systme, mais choue. La lettre du lecteur sur lequel le dossier %RacineSystme% figure doit tre identique celle utilise lors de la sauvegarde. Le dossier %RacineSystme% doit tre identique celui utilis lors de la sauvegarde. Si le volume systme ou d'autres bases de donnes Active Directory se trouvent sur un autre volume, ils doivent galement exister et comporter les mmes lettres de lecteur. La taille du volume n'a pas d'importance.

Q23 - Comment restaurer Active Directory ? - http://www.ToutWindows.com

Il existe diffrentes mthodes de restauration, choisir en fonction de l'tat de votre AD : Normale : si vous n'avez perdu qu'un DC, dans ce cas vous devez le rinstaller puis restaurer les donnes Authoritaire : avec plusieurs DC, pour pouvoir sauvegarder ce que vous dsirez. Comment faire une restauration Normale :

1. Pour restaurer l'tat systme sur un contrleur de domaine, commencez par dmarrer l'ordinateur en mode de 2. 3. 4. 5. 6. 7. 8.

restauration des services d'annuaire. Pour ce faire, redmarrez l'ordinateur et appuyez sur la touche F8 lorsque le menu Dmarrage s'affiche. Choisissez Mode Restauration des services d'annuaire . Choisissez l'installation Windows 2000 restaurer, puis appuyez sur ENTRE. l'invite de connexion, indiquez les rfrences de connexion du mode Restauration des services d'annuaire que vous aviez spcifies au cours du processus Dcpromo.exe. Cliquez sur OK pour confirmer que vous utilisez le mode sans chec. Cliquez sur Dmarrer, pointez sur Programmes, Accessoires, Outils systme, puis cliquez sur Sauvegarde. Cliquez sur l'onglet Restaurer. Cliquez sur le support de sauvegarde appropri et l'tat systme restaurer.

47
REMARQUE : Au cours de la restauration, vous devez galement slectionner le dossier Winnt\Sysvol pour que le volume systme fonctionne aprs la rcupration. Assurez-vous que l'option avance de restauration des points de jonction et des donnes est galement slectionne avant la restauration. Ceci garantit que les points de jonction du volume systme sont recrs. 9. Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine. REMARQUE : Lorsque vous choisissez de restaurer un fichier dans un autre emplacement ou dans un seul fichier, toutes les donnes de l'tat systme ne sont pas restaures. Ces options servent principalement aux fichiers de dmarrage ou aux cls du Registre. 10. Cliquez sur Dmarrer. 11. Une fois la restauration termine, redmarrez l'ordinateur. Comment faire une Restauration autoritaire d'objet dans Active Directory (authoritative ) : Si vous ne souhaitez pas rpliquer les modifications intervenues aprs la dernire opration de sauvegarde, vous devez procder une restauration force ou autoritaire. Par exemple, si vous avez supprim, par inadvertance, des utilisateurs, des groupes ou des units d'organisations et si vous voulez restaurer le systme afin de rcuprer et rpliquer les objets supprims. N'effectuez jamais une restauration autoritaire de plusieurs contrleurs de domaine en mme temps !. La restauration autoritaire d'un contrleur de domaine recopie : AD (fichier NTDS), le Registre, le volume SYSVOL, les fichiers de dmarrage(BOOT), la base de donnes COM+ et si il est install le serveur des certificats. Nous allons procder la restauration autoritaire dune OU qui t efface par erreur, en utilisant la dernire sauvegarde du DC 1. Redmarrez le contrleur de domaine 2. Lorsqu'on vous le propose, appuyez sur la touche F8 lors du dmarrage du serveur 3. Dans le menu slectionnez Mode restauration Active Directory 4. Ouvrez une session en tant quadministrateur avec le mot de passe que vous avez entr lors de linstall ation d'Active Directory. 5. Ensuite restaurer partir de votre dernire sauvegarde ltat du systme (soit ntbackup,BackupExec, ...). Faire attention de toujours remplacer le fichier %windir%\sysvol qui fait partie de ltat du systme sur le disque. 6. Une fois la restauration termine quittez le gestionnaire de sauvegardes 7. Rpondre NON la question "Voulez vous redmarrer votre ordinateur maintenant ?" 8. A l'invit de commande tapez ntdsutil 9. A l'invit de commande de ntdsutil, entrez : authoritative restore 10. tapez ensuite : restore subtree par exemple : OU=,DC=support,DC=mtoo,DC=net Vous pouvez utiliser la commande . restore database pour restaurer lintgralit de la base donne 12. Quittez ntdsutil en tapant deux reprises la commande Quit 13. Redmarrez le serveur Le redmarrage peut durer 15 a 30 minutes 14. Pour vous assurer davoir les fichiers les plus rcents , Attendez que le Sysvol soit publi et copiez par dessus le volume sysvol dun autre contrleur qui na pas t restaur 15. Vrifiez lexistence de lunit dorganisation que vous venez de restaurez et ce quelle contient

Q24 - Comment passer de Windows Server 2000 Windows Server 2003 ? http://www.ToutWindows.com La mise niveau de 2000 vers 2003 fonctionne bien et est plus simple que la mise niveau depuis NT4, il suffit pour cela de suivre le mode opratoire dcrit dans la fiche ci-jointe : Comment faire pour mettre niveau des contrleurs de domaine Windows 2000 vers Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;fr;325379
En rsum, il faut prparer la foret et le domaine la prise en charge des contrleurs de domaine Windows 2003 : adprep \forestprep sur le schema master de la foret

48
adprep \domainprep sur l'infrastructure master du domaine en question Puis installer un serveur membre sous Windows 2003 dans le domaine et le promouvoir au rle de DC. Il faut ensuite transferer les roles FSMO sur la nouvelle machine avant d'enlever l'ancienne : cf

Q19 - Comment transfrer le rle de contrleur de schma ? , Q20 - Comment transfrer le rle Matre d'attribution de noms de domaine ? , et Q21 - Comment transfrer les rles Matre RID, mulateur PDC et Contrleur d'infrastructure ?
Q30 - Comment dlguer l'autorit pour crer et grer des objets de stratgie de groupe ?

Les administrateurs peuvent dlguer l'autorit pour crer et grer des objets Stratgie de groupe.

1. Crez une unit d'organisation, puis crez un objet Stratgie de groupe directement li cette unit d'organisation.
Pour ce faire, cliquez sur Proprits dans le menu contextuel de l'unit d'organisation, cliquez sur l'onglet Stratgie de groupe dans la bote de dialogue Proprits, puis cliquez sur le bouton Nouveau. Une fois l'objet Stratgie de groupe cr, lancez l'Assistant Dlgation de contrle. Ce dernier propose une procdure pas pas permettant de dlguer facilement et avec beaucoup de prcision des fonctionnalits spcifiques.

REMARQUE : Pour dmarrer l'Assistant Dlgation de contrle, slectionnez l'unit d'organisation approprie, puis cliquez dessus avec le bouton droit. Slectionnez ensuite Dlgation de contrle. Cela lance l'Assistant Dlgation de contrle. 2. Cliquez sur Proprits dans le menu contextuel de l'objet Stratgie de groupe, puis cliquez sur l'onglet Scurit pour accder directement aux paramtres de scurit de l'objet Stratgie de groupe concern. Ajoutez votre utilisateur qui n'est pas un administrateur la liste des utilisateurs pour lesquels la scurit est dfinie. 3. Attribuez votre utilisateur le privilge Contrle total - Autoriser. Ce privilge permet l'utilisateur d'crire dans l'objet Stratgie de groupe, ainsi que de modifier les autorisations de scurit dfinies sur ce dernier. Si vous souhaitez empcher cet utilisateur de dfinir la scurit, vous pouvez choisir de lui octroyer uniquement l'autorisation criture - Autoriser. Vous pouvez aussi empcher l'utilisateur d'appliquer cette stratgie en dsactivant le privilge Appliquer la stratgie de groupe - Autoriser. 4. Pour simplifier l'administration pour l'utilisateur, lancez la console MMC (Mmc.exe) et ajoutez le composant logiciel enfichable Stratgie de groupe. Naviguez jusqu' l'objet Stratgie de groupe que vous configurez pour la dlgation, puis ajoutez-le. Une fois cette session MMC correctement configure, enregistrez-la et donnez-la l'utilisateur. L'utilisateur peut alors utiliser et administrer l'objet Stratgie de groupe sans aucune configuration supplmentaire.

Q50 - Impossible d'ajouter un nouveau DC dans un domaine, pourquoi ? http://www.ToutWindows.com

Voici diffrents points vrifier : 1. Vrifiez que le serveur se rfre bien au DNS qui hberge AD 2. Ouvrez le console DNS, et vrifiez que vous voyez bien la zone de votre domaine 3. Vrifiez les proprits de cette zone, qu'elle accepte les mises jour dynamiques 4. Vrifiez la prsence de 4 fichiers et de quelques enregistrements dans cette zone (_MSDCS, _SITES, _TCP, _UDP) . 5. Lancez IPconfig /registerdns 6. Lancez net stop netlogon puis net start netlogon (cela force le service netlogon enregistrer de nouveau ses enregistrements SRV dans la zone DNS. Ces enregistrements seront dans %windir%\system32\config\netlogon.dns). 7. Re vrifiez les zones DNS comme l'tape 4. 8. Si les zones ne sont pas la, essayez netdiag.exe /fix (support tools)

49

Q51 - L'ouverture de session est trs lente, pourquoi ? - http://www.ToutWindows.com

Lorsque vous ouvrez une session dans un domaine, votre PC a besoin de contacter un ou plusieurs serveurs. La configuration rseau doit donc tre correcte : 1. vrifiez que le PC se rfre bien au DNS utilis par Active Directory, si votre PC accs internet, il ne doit pas envoyer ses requtes directement au fournisseur d'accs internet, c'est le serveur DNS de votre rseau qui doit rediriger les requtes, voir la page de configuration DNS 2. Vrifiez les autres paramtres de votre configuration IP : Etes vous dans le mme sous rseau que le serveur, utilisez vous le mme masque ? 3. Vrifiez votre serveur DNS : _ s'il ne s'agit pas d'un serveur Microsoft, vrifiez les pr requis ici _ si c'est un serveur Microsoft, vrifiez que celui-ci , lancez un dcdiag et un netdiag pour avoir des diagnostics plus prcis 4. Si vous utilisez un serveur DHCP, vrifiez celui-ci : donne-t-il des paramtres rseau (IP, masque, routeur, DNS) correct, plus d'infos ici

- http://www.ToutWindows.com

1/ Cration du domaine : Pour se faire, nous allons utiliser l'Active Directory. Il est possible quil soit install de base. Manipulation : "Outils d'administration", "Gestionnaire de serveur", se placer sur "Rles" et faire "Ajouter des rles". Cochez "Services de domaine Active Directory". Lancer dcpromo.exe (il peut ltre via la console) Il suffit ensuite de suivre lassistant. Slectionnez "crer un domaine dans une nouvelle fort" si vous navez rien de base. Sinon allez voir sur internet Entrez le nom de votre future domaine, choisissez de prfrence le niveau fonctionnel le plus lev (pour nous Windows server 2008). Vrifiez aussi que loption serveur DNS soit bien coche. Continuez. Pour le mot de passe je pense quil est prfrable de prendre le mme que celui de ladministrateur, cela vite de se mlanger. Sinon les rgles par dfaut pour les mots de passe sont : - Les mots de passe doivent comporter au moins 7 caractres - Chaque mot de passe doit utiliser au moins trois catgories de caractres parmi les 4 catgories suivantes. Les lettres majuscules Les lettres minuscules

50 Les chiffres Les caractres spciaux (@!$*-&...). Redmarrez votre serveur. Le domaine est install. 2/ Ajout des comptes utilisateur : Apres avoir install Active Directory, Utilisateurs et ordinateurs Active Directory a dut tre ajout dans les outils dadministration. Ouvrez-le. Vous devriez voir votre serveur, ouvrez. Placez vous sur user ouvrez le menu contextuel (clic droit de la sourie), nouveau , utilisateur Entrez nom, prnom Puis suivant. Si vos souhait ajouter des groupes, ou autres objets mettez vous sur lobjet correspondant et faite de mme que pour les utilisateurs. Configurer ensuite le mot de passe utilisateur. Il est toujours aussi restrictif. Si vous voulez le rendre plus simple je vous invite regarder : Rduire les exigences de mots de passe. Lutilisateur est ajout 3/ Intgrer un ordinateur au domaine : Nous avons intgrer uniquement des ordinateurs XP pro (les versions home ne peuvent entrer dans les domaines). Ouvrir le menu contextuel du poste de travail. Ouvrez proprits . Allez dans longlet Nom de lordinateur . Cliquez sur Modifier Modifiez le nom de votre ordinateur si vous le souhaitez. Choisissez Domaine : , entrez son nom (celui donn pendant la configuration du domaine), puis validez. Il suffira de redmarrer votre ordinateur pour que le changement soit pris en compte. Apres le redmarrage, ouvrez votre session serveur, en choisissant votre domaine, pas le poste ordinateur . Vous avez intgr le domaine. 4/ Partage de fichiers/dossiers : Aprs avoir fait tout ca, je pense que vous vous servirez du serveur pour partager des fichiers/dossiers. Le plus simple est de crer directement les fichiers partager sur le serveur. Si vous voulez partitionner un disc dur je vous invite regarder : Partitionner un disc dur ou une partition.

Ordinateur , D : (le disc dur de votre choix, hors RECOVERY et OS ) Soit vous partagez directement une partition et dans ce cas : Menu contextuel de la partition, partage , partage avanc , cochez partagez ce dossier .

51 Dans les autorisations vous pouvez dfinir qui aura accs la partition.* Soit vous crez un ou plusieurs dossiers dans le disc dur, puis vous les partagez : Crez votre dossier. Menu contextuel du dossier, proprits, onglet partage , partage avanc , cochez partagez ce dossier . Dans les autorisations vous pouvez dfinir qui aura accs la partition.* *Choisissez les utilisateurs, groupes, objets avec lesquels vous voulez partagez le dossier : ajouter , soit vous connaissez les noms, groupe et vous les entrer directement, soit vous cliquez sur avanc , puis rechercher ( droite). Les niveaux dautorisations : Copropritaire : Lutilisateur/groupe/ a le droit dcriture, lecture, modification. Collaborateur : Lutilisateur/groupe/ a le droit dcriture, lecture, mais pas de modification. Lecteur : Lutilisateur/groupe/ a le droit de lecture uniquement. 5/ Rcupration du rseau cot utilisateur : Cliquez sur poste de travail , dans la barre de gauche : menu contextuel du favori rseau , cliquez sur explorer . Puis tout le rseau (toujours dans la barre de gauche), et finalement sur le nom de votre serveur. Les ntres sont ensuite dans un dossier administrateur . Visibilit des dossiers partags : tous les dossiers partags sont visible dans ce dossier. Pour viter cela (ceci devient vite illisible) je vous conseille de ne pas partager les sous dossier (qui ne doivent pas forcement tre vus par tous les utilisateurs du dossier partag) mais plutt de leur attribuer des scurits. Allez sur le dossier, dans ses proprits , dans longlet Scurit , configurez de la mme manire que pour le partage. Attention vous avez plus doption de contrle. Ainsi les sous dossiers seront uniquement dans les dossiers partags et pourront avoir des droits daccs diffrents du dossier partag parent. Pour nafficher que les dossiers autoriss vous invite regarder : Enlever la visibilit des dossiers auxquels les utilisateurs nont pas les autorisations. 6/ Manipulations diverses : a/ Partitionner un disc dur ou une partition : Allez dans outils dadministration , puis gestion de lordinateur . Dans la fentre de gauche, droulez Stockage , cliquez sur Gestion des disques . Crer un espace vide : choisir un espace rduire, clique droit sur ce volume, Rduire choisissez la taille de la rduction et valider. Crer une nouvelle partition partir dun espace vide : clique droit sur lespace vide nouveau volume simple , choisissez la taille de la nouvelle partition, lui attribuer une lettre, puis formater le volume (conseiller) et lui attribuer un nouveau nom. Validez.

52 Agrandir une partition existante a partir dun espace vide : slectionnez lespace agrandir, clique droit Etendre le volume , validez. b/ Rduire les exigences de mots de passe : Rappelons les rgles par dfaut pour les mots de passe : - Les mots de passe doivent comporter au moins 7 caractres - Chaque mot de passe doit utiliser au moins trois catgories de caractres parmi les 4 catgories suivantes : Les lettres majuscules Les lettres minuscules Les chiffres Les caractres spciaux (@!$*-&...) Pour rduire les exigences, allez dans Outils d'administration et Gestion des stratgie de groupe . Ouvrez les nuds suivants : Fort : votre domaine Domaine Domaine. Objets de stratgie de groupe Default domaine Policy (ne confondez pas avec "Default Domain Controllers Policy"). Sur ce dernier, ouvrez le menu contextuel et cliquez sur Modifier Dans cette nouvelle fentre, ouvrez les nuds suivant : Configuration ordinateur Stratgies Paramtres Windows Paramtres de scurit Stratgies de comptes Stratgie de mots de passe , cliquez Dsactivez Le mot de passe doit respecter des exigences de complexit et rduisez la longueur minimale du mot de passe. Vous pouvez aussi changer les autres paramtres. La modification de la stratgie n'est pas effective immdiatement. Il faut attendre quelques minutes. Si vous ne voulez pas attendre, vous pouvez excuter GPUPDATE (console). c/ Enlever la visibilit des dossiers auxquels les utilisateurs nont pas les autorisations : Pour enlever cette visibilit, il faut dfinir une proprit du dossier partag source . La visibilit des dossiers ce fait suivant la scurit. Si vous voulez quune personne autorise au niveau du dossier de partage, ne puisse pas voir un dossier, enlevez lui tout ses droit (au niveau scurit). Allez dans Outils d'administration et gestion du partage de stockage. Slectionner le dossier/volume voulu, ouvrez l e menu contextuel, proprits. Dans l'onglet partage choisir avanc. Cocher la case "Activer l'numration base sur l'accs" d/ Limitation de lutilisation dun disque dur pour un utilisateur :

53 Il peut savrer utile de limit en plus des accs aux fichiers par les utilisateurs, la place quils pourront utiliser sur le disque. Voila donc la manipulation : Allez a la racine du disque limiter (Poste de travail, enfin ordinateur dans la nouvelle version), ouvrez le menu contextuel, choisissez Proprits. Une fois la fentre apparue, choisissez longlet Quota , cliquez sur Activer la gestion des quotas. Les autres cases devraient tre dgris, cochez Refuser lespace disque aux utilisateurs qui dpassent leur limite de quota , laissez Ne pas limiter lespace disque . Paramtrez le reste comme vous le souhaitez. Ensuite pour limiter un/des lutilisateurs en particulier, cliquez sur Entres de quotas . Dans la nouvelle fentre, cliquez sur Quota , Nouvelle entre de quota , choisissez la ou les personnes concernes, validez. Pour finir, choisissez de limiter, ou/et davertir si lutilisateur dpasse son quota. Pour supprimer/modifier, menu contextuel, et Modifier / supprimer .

Bonsoir, Je sais que le sujet est "Rsolu", mais je me permet d'y rajouter un petit commentaire. Effectivement, le champs "Home drive" du compte AD est trs pratique, surtout si on dispose d'un infrastructure bien organise, avec une convention tablie. Si c'est le cas, on peux utiliser des variables dans ce path, la plus courante tant quelque chose dans ce got l : \\fileserver\users\%username% (ce qui pointe vers le drive du user en question. Si ce fonder n'existe pas, le renseigner tel quel dans le path le crera). Cepandant, ce n'est pas la seule mthode et celle-ci peut dans certains cas prsenter des incovnients. Dans l'exemple ci-dessus, nous avons renseign le serveur \\fileserver. Mais si ce serveur venait changer de nom (remplacement, nouvelle infrastructure, etc...) ? Eh bien, nous devrons passer sur chaque profil AD pour modifier le champs (oui, il y a PowerShell pour les faire la voles, bandes de rabat-joie )... Vous voyez o je veux en venir ? Personnelement je prfre utiliser un logon script qui monte le personnel drive au logon de l'user. En gnral, dans les moyennes-grandes entreprises, on cre un logon script par dpartement/cellule. Un des drives sera, par convention, utilis pour le home folder. Ci-aprs un exemple de commande pour monter un lecteur rseau (la premire ligne supprime le lecteur s'il a t mont manuellement par exemple): Code : 1 @echo off 2 :: Le personal drive net use h: /delete /yes >nul 3 net use h: \\filessrv\%username% >nul 4 5 :: Un autre drive, commun tous les user du script 6 net use i: /delete /yes >nul 7 net use i: \\server01\share >nul 8 :: Un drive qui monte en fonction du username 9 net use j: /delete /yes >nul

54

10 if /I "%username%" == "antoine" net use j: \\server01\share01 >nul 11 12 Pour information, ces logon scripts doivent tre au format .bat ou .cmd et stocks dans le share administratif "NETLOGON" d'un des Controlleur de Domaine. Par exemple : \\dc01\netlogon Ainsi, cette mthode est utile car elle permet de grer les drives monts de manire centralise ;-)

Connexion de lecteurs rseau (pour partages grs par Active Directory)

Aujourd'hui je nous partage un petit script en VBS que j'ai d raliser pour une utilisation spcifique mon travail. Sur des postes clients, certains de utilisateurs (lves et professeurs) avaient besoin de se connecter en administrateur local pour lancer certaines applications foireuses qui ncessitent des droits levs. Mais ces mmes utilisateurs avaient aussi besoin d'avoir accs leurs partages sur le rseau, grs par un contrleur de domaine Active Directory. Voil donc mon travail. '===================================================================== === ' Connexion de lecteurs rseau via domaine AD ' Auteur : Nicolas KAROLAK ' Date : 2013-06-03 ' Description : Permet de connecter des lecteurs rseau d'un domaine AD ' sur un poste non joint au domaine. (Site 40) '===================================================================== === Option Explicit On Error Resume Next '===================================================================== === ' Dclaration de variable et objets '===================================================================== === Const ADS_SECURE_AUTHENTICATION = 1 Const ADS_USE_ENCRYPTION = 2 Dim objFSO, objWshNetwork, objWshShell, objNS, objUser, objGroup Dim strDomain, strServer, strUser, strPass, strLength, strClasse '===================================================================== === ' Dbut du programme '===================================================================== === ' Cration des objets

55

Set objFSO = CreateObject("Scripting.FileSystemObject") Set objWshNetwork = CreateObject("WScript.Network") Set objWshShell = CreateObject("WScript.Shell") ' Dconnecter les lecteurs rseau If (objFSO.DriveExists("T:") = True) Then objWshNetwork.RemoveNetworkDrive "T:", True, True End If If (objFSO.DriveExists("L:") = True) Then objWshNetwork.RemoveNetworkDrive "L:", True, True End If If (objFSO.DriveExists("P:") = True) Then objWshNetwork.RemoveNetworkDrive "P:", True, True End If ' Demander le nom d'utilisateur strUser = InputBox("Veuillez entrer votre nom d'utilisateur :","Login") ' Demander le mot de passe strPass = InputBox("Veuillez entrer votre mot de passe :","Password") ' Domaine AD strDomain = "STN40" ' URL du server strServer = "10.40.1.1" ' Rcupration des objets AD Set objNS = GetObject("WinNT:") Set objUser = objNS.OpenDSObject("WinNT://" & strDomain & "/" & strUser, strUser, strPass, ADS_SECURE_AUTHENTICATION Or ADS_USE_ENCRYPTION) ' Parcourir les groupes auquels appartient l'utilisateur For Each objGroup In objUser.Groups ' S'il appartient un groupe lve If InStr(objGroup.Name, "_e") Then ' Rcuprer le nom de la classe strLength = Len(objGroup.Name) - 2 strClasse = Left(objGroup.Name, strLength) ' Connecter le dossier commun de la classe objWshNetwork.MapNetworkDrive "T:", "\\" & strServer & "\" & strClasse & "$",False,strUser,strPass ' Connecter le rpertoire personnel objWshNetwork.MapNetworkDrive "P:", "\\" & strServer & "\" & strUser & "$",False,strUser,strPass End If ' S'il appartient au groupe profs If objGroup.Name = "Profs" Then ' Connecter le dossier commun des profs objWshNetwork.MapNetworkDrive "T:", "\\" & strServer & "\profs$",False,strUser,strPass ' Connecter le rpertoire des lves objWshNetwork.MapNetworkDrive "L:", "\\" & strServer & "\Eleves",False,strUser,strPass ' Connecter le rpertoire personnel

56

objWshNetwork.MapNetworkDrive "P:", "\\" & strServer & "\" & strUser & "$",False,strUser,strPass End If Next

ConnexionDomaine.vbs
'===================================================================== === ' Connexion de lecteurs rseau via domaine AD ' Auteur : Nicolas KAROLAK ' Date : 2013-06-03 ' Description : Permet de connecter des lecteurs rseau d'un domaine AD ' sur un poste non joint au domaine. (Site 40) '===================================================================== === Option Explicit On Error Resume Next '===================================================================== === ' Dclaration de variable et objets '===================================================================== === Const ADS_SECURE_AUTHENTICATION = 1 Const ADS_USE_ENCRYPTION = 2 Dim objFSO, objWshNetwork, objWshShell, objNS, objUser, objGroup Dim strDomain, strServer, strUser, strPass, strLength, strClasse '===================================================================== === ' Dbut du programme '===================================================================== === ' Cration des objets Set objFSO = CreateObject("Scripting.FileSystemObject") Set objWshNetwork = CreateObject("WScript.Network") Set objWshShell = CreateObject("WScript.Shell") ' Dconnecter les lecteurs rseau If (objFSO.DriveExists("T:") = True) Then objWshNetwork.RemoveNetworkDrive "T:", True, True End If If (objFSO.DriveExists("L:") = True) Then objWshNetwork.RemoveNetworkDrive "L:", True, True End If If (objFSO.DriveExists("P:") = True) Then objWshNetwork.RemoveNetworkDrive "P:", True, True

57

End If ' Demander le nom d'utilisateur strUser = InputBox("Veuillez entrer votre nom d'utilisateur :","Login") ' Demander le mot de passe strPass = InputBox("Veuillez entrer votre mot de passe :","Password") ' Domaine AD strDomain = "STN40" ' URL du server strServer = "10.40.1.1" ' Rcupration des objets AD Set objNS = GetObject("WinNT:") Set objUser = objNS.OpenDSObject("WinNT://" & strDomain & "/" & strUser, strUser, strPass, ADS_SECURE_AUTHENTICATION Or ADS_USE_ENCRYPTION) ' Parcourir les groupes auquels appartient l'utilisateur For Each objGroup In objUser.Groups ' S'il appartient un groupe lve If InStr(objGroup.Name, "_e") Then ' Rcuprer le nom de la classe strLength = Len(objGroup.Name) - 2 strClasse = Left(objGroup.Name, strLength) ' Connecter le dossier commun de la classe objWshNetwork.MapNetworkDrive "T:", "\\" & strServer & "\" & strClasse & "$",False,strUser,strPass ' Connecter le rpertoire personnel objWshNetwork.MapNetworkDrive "P:", "\\" & strServer & "\" & strUser & "$",False,strUser,strPass End If ' S'il appartient au groupe profs If objGroup.Name = "Profs" Then ' Connecter le dossier commun des profs objWshNetwork.MapNetworkDrive "T:", "\\" & strServer & "\profs$",False,strUser,strPass ' Connecter le rpertoire des lves objWshNetwork.MapNetworkDrive "L:", "\\" & strServer & "\Eleves",False,strUser,strPass ' Connecter le rpertoire personnel objWshNetwork.MapNetworkDrive "P:", "\\" & strServer & "\" & strUser & "$",False,strUser,strPass End If Next

58

Voici un petit script VBS permettant la connexion d'un lecteur reseau suivant l'appartenance de l'utilisateur a un groupe de l'AD :
ON ERROR RESUME NEXT
set WshShell = CreateObject("WScript.Shell") Set WshNetwork = WScript.CreateObject("WScript.Network")

DomainName=WshShell.ExpandEnvironmentStrings("%USERDOMAIN%") LogonServer=WshShell.ExpandEnvironmentStrings("%LogonServer%") Set UserObj = GetObject("WinNT://" & DomainName & "/" & WshNetwork.username) 'wscript.echo "Bonjour "&WshNetwork.username&" connecte sur "&WshNetwork.computername

'Init Groups Dim UserGroups Dim GroupObj UserGroups="" For Each GroupObj In UserObj.Groups UserGroups=UserGroups & "[" & GroupObj.Name & "]" Next 'wscript.echo "Membre de "&UserGroups

'la commande magique ...................................................................... if InGroup("Nom_du_groupe_de_securite") then WshNetwork.MapNetworkDrive "L:","\\chemin\dossier" end if 'Fin de la commande magique ............................................................

' Fonction Ingroup Function InGroup(strGroup) InGroup=False If InStr(UserGroups,"[" & strGroup & "]") Then InGroup=True End If End Function

Il suffit ensuite de dupliquer la "commande magique" afin d'obtenir une connexion des lecteurs suivants leur groupe d'appartenance et .... un script unique pour tout le monde ..