II. Schéma fonctionnel
III. Liste du personnel
- Organisation des Unités d’Organisation Active Directory.
- Nomenclature.
- Nom de domaine et mot de passe à utiliser
VII. Création du premier serveur Windows
- Activation et Configuration du service DHCP
- Création des GPO (Group Policy Object)
- Création des OU (Organization Unit)
- Création des groupes de sécurité
- Ajout des utilisateurs
VIII. Création du serveur de sauvegarde Windows
- Configuration de la sauvegarde du serveur de fichiers
- Configuration du Cloud
- Configuration des sauvegardes des données
XII. Intégration d’un poste informatique au domaine
XIII. Création des GPO (Group Policy Object)
- Mappage des lecteurs réseaux
- Combinaison de déverrouillage d’ordinateur (Ctrl + Alt + Suppr)
- Désactivation du compte Administrateur, Invité et blocage des comptes Microsoft
- Ne pas afficher le dernier nom d’utilisateur
I. Contexte
Vous avez été embauché en tant que technicien informatique dans une toute nouvelle maison de santé. Votre mission est de mettre en place un Active Directory. Tout le personnel devra accéder à des dossiers partagés depuis l’AD avec des règles d’accès très strictes car des données médicales et personnelles seront enregistrées dessus.
Vous êtes en charge de sauvegarder toutes ces données dans un espace sécurisé, d’une part en interne dans l’établissement (sur un autre serveur) et d’autre part en dehors de l’établissement (cloud).
Votre mission est d’établir un nouvel Active Directory, un serveur de sauvegarde des données de l’établissement et un cloud sur lequel seront chiffrées toutes les données sauvegardées.
| Tableau des adresses IP privées | |
| MDS-SRV-AD | 172.16.0.201 /24 |
| MDS-SRV-SAVE | 172.16.0.205 /24 |
| MDS-PMF1 | DHCP |
| MDS-PMF2 | DHCP |
| MDS-PMF3 | DHCP |
| Tableau des adresses IP publiques | |
| Adresse IP maison de santé | 55.55.55.50/24 |
| Adresse IP cloud | 55.55.55.55/24 |
II. Schéma fonctionnel
III. Liste du personnel
L’ensemble du personnel vous a été communiqué, en voici la liste.
| Nom | Prénom | Qualification | Métier |
| Dupond | Maurice | Directeur | Administratif |
| Granger | Caroline | Assistante de direction | Administratif |
| Albertini | Roger | Responsable comptable | Administratif |
| Planchon | Guilaine | Comptable | Administratif |
| Albertini | Jérôme | Responsable RH | Administratif |
| Levasseur | Francis | Assistant RH | Administratif |
| Beaulac | Xavier | Médecin | Médical |
| Dacoba | Thomas | Médecin | Médical |
| Soh | Malcom | Médecin | Médical |
| Egranger | Roger | Médecin | Médical |
| Plautinet | Maurice | Médecin | Médical |
| Ballarger | Francis | Dentiste | Médical |
| Melanger | Caroline | Psychologue | Médical |
| Chanvrenant | Hervé | Psychologue | Médical |
| Cavailles | Maxime | Psychothérapeute | Médical |
| Travers | Nathalie | Podologue | Médical |
| Domingues | Mathilde | Secrétaire médicale | Médical |
| Malheureux | Marise | Infirmière | Médical |
| Hamard | Agnès | Infirmière | Médical |
| Roberta | Adeline | Infirmière | Médical |
| Favier | Lydie | Infirmière | Médical |
| Deschamps | Noémie | Secrétaire médicale | Médical |
| Artois | Brigitte | Secrétaire médicale | Médical |
| Artois | Marie | Secrétaire médicale | Médical |
| Langelier | Ray | Technicien de maintenance | Technique |
| Bisson | Harriette | Technicienne de surface | Technique |
| Vastel | Thomas | Informaticien | Informatique |
IV. Organisation des Unités d’Organisation Active Directory
Chaque Unité d’Organisation (OU) correspondra au métier de la maison de santé.
Chaque unité d’organisation et services aura un espace partagé, tous les agents de la maison de santé auront un espace commun et un espace personnel.
V. Nomenclature
La nomenclature de noms des équipements informatiques se feront de cette façon :
MDS-« EQUIPEMENT »-« N°DEL’EQUIPEMENT »
VI. Nom de domaine et mot de passe à utiliser
Pour rappel, la zone DNS sera : MDS.LAN
Mot de passe DSRM : Promeo60!
Administrateur / Promeo60!
Thomas / Promeo60!
Tous les utilisateurs / Mds2019
VII. Création du premier serveur Windows
Cette partie de la documentation correspondant à la création du serveur Active Directory. Il sera nommé MDS-SRV-AD.
L’étendue sera 172.16.0.1-254 /24
- Ctrl+Alt+Suppr
- Interdiction d’accès au panneau de configuration pour tous les utilisateurs sauf l’informatique.
- Ne pas afficher le dernier utilisateur connecté.
- Désactivation du compte invité et du compte Administrateur local
- Interdiction des comptes Microsoft
- Montage des lecteurs réseaux
- P : Espace Personnel
- U : Espace Commun de la maison de santé
- S : Espace partagé par Service
Pour simplifier la tâche, j’ai manipulé l’AD avec des commandes Windows PowerShell.
- Pour créer l’OU UTILISATEURS, la commande est :
New-ADOrganizationalUnit -Name "UTILISATEURS" -Path "dc=mds,dc=lan"
- Pour créer l’OU ADMINISTRATIF dans l’OU UTILISATEURS, la commande est :
New-ADOrganizationalUnit -Name "ADMINISTRATIF" -Path "ou=UTILISATEURS,dc=mds,dc=lan"
Pour créer le reste des OU, il suffit de modifier la commande à votre convenance.
Tout d’abord, afin d’avoir une nomenclature cohérente, les objets de l’AD doivent avoir un préfixe identique.
Dans le cas de la maison de santé, un groupe de sécurité devra être nommé de cette façon :
GMDS-«NOMDUGROUPE»
Pour simplifier la tâche, j’ai manipulé l’AD avec des commandes Windows PowerShell.
- Pour créer le groupe des directeurs, la commande est :
New-ADGroup -Name GMDS-ADMINISTRATION -GroupScope Global -GroupCategory Security -Path "ou=UTILISATEURS,ou=ADMINISTRATIF,,dc=mds,dc=lan"
Ce groupe sera intégré dans le chemin UTILISATEURS puis ADMINISTRATIF.
Pour pouvoir ajouter un utilisateur, il suffit de se rendre dans « Utilisateurs et ordinateurs Active Directory ».
Dans le cas de cet exemple, l’utilisateur mdupond est créé.
Tout d’abord, il faut connaître sa fonction dans la maison de santé ; celui-ci est directeur, il sera donc dans l’OU ADMINISTRATIF. Les groupes de sécurité dans lesquels l’utilisateur fera partie sont :
- GMDS-UTILISATEURS
- GMDS-DIRECTEURS
- GMDS-DIRECTION
Cliquer sur l’OU UTILISATEURS puis dans la sous OU ADMINISTRATIF.
Cliquer droit puis aller sur Nouveau puis Utilisateur.
Entrer les informations nécessaires à la création du compte AD.
Notez bien que « le nom d’ouverture de session de l’utilisateur » est important, il s’agit en effet de l’identifiant nécessaire à l’utilisateur afin qu’il puisse ouvrir sa session.
Entrer le mot de passe de l’utilisateur.
Celui-ci devra être changé à la première ouverture pour des raisons évidentes de sécurité. En effet, un mot de passe générique n’est pas sécurisé. Le fait de recourir à un mot de passe générique augment drastiquement les risques d’usurpation d’identité.
Il faut désormais ajouter l’utilisateur à un ou des groupes de sécurité. Ces groupes permettent d’appliquer des droits NTFS sur des dossiers/fichiers, de cibler des stratégies, etc.
Sélectionner l’utilisateur créé, puis cliquez sur «Propriétés».
Vous allez inscrire l’utilisateur dans des groupes. Une nouvelle fenêtre s’ouvre, cliquez sur « Membre de », puis cliquez sur « Ajouter ».
Dans le cas du directeur de la maison de santé, il sera inscrit dans les groupes suivants :
- GMDS-UTILISATEURS
- GMDS-DIRECTION
- GMDS-DIRECTEURS
Il faudra effectuer l’ensemble des étapes décrites ci-dessus pour chaque utilisateur. Il sera nécessaire de modifier les placements du/des utilisateur(s) dans les OU et/ou groupes de sécurité.
VIII. Création du serveur de sauvegarde Windows
Cette partie de la documentation correspond à la création du serveur de sauvegarde. Il sera* nommé MDS-SRV-SAVE.
Démarrage du serveur.
Configuration des comptes utilisateurs locaux à Windows Server 2016.
Nommage du serveur
Redémarrage du serveur.
IX. Configuration de la sauvegarde du serveur de fichiers
Cette partie de la documentation correspond à la création de la sauvegarde des dossiers et fichiers sur la partition F: du serveur MDS-SRV-AD.
Avant de commencer, il faut créer un utilisateur dédié à la sauvegarde, il se nommera sauvegarde et aura comme mot de passe @MdsS@uveg@rde2019@ . Il devra être inscrit dans l’annuaire en tant que « Opérateur de Sauvegarde ».
Aller dans « Utilisateur et ordinateurs Active Directory » puis « Builtin » puis cliquer sur « Opérateurs de sauvegarde ».
Puis cliquer sur « Membre de » puis ajouter l’utilisateur sauvegarde.
Dès que cela est fait, il faut maintenant configurer la sauvegarde des fichiers. 
Pour cela, allez dans le « gestionnaire de serveur », cliquer sur « Gérer », « ajouter des rôles et fonctionnalités ».
Suivez les étapes et cliquez sur « Fonctionnalités », puis cliquez sur « Sauvegarde Windows Server ».
Suivez les étapes et laissez la fonctionnalité s’installer.
Aller dans le menu démarrer, puis rechercher « Sauvegarde Windows Server ».
Cliquer en haut à gauche sur « Sauvegarde locale », puis cliquer en haut à droite de l’écran sur « Planification de sauvegarde ».
Dans notre cas, seule la partition F : dans laquelle il y a les données de la maison de santé sera sauvegardée. Il faudra donc cliquer sur « Personnalisé ».
Ensuite, cliquer sur «Paramètres avancés ».
Comme dit, la sauvegarde ne concernera uniquement les fichiers présents sur la partition F: .
Sélectionnez donc FILES (F:).
Puis cliquez sur OK.
Configuration de l’heure de sauvegarde. Dans notre cas, une sauvegarde à 6h, 13h et 21h sera faite.
Cliquer sur « Sauvegarder sur un dossier réseau partagé ». 
Attention ! Dans notre cas, nous allons sauvegarder sur un dossier partagé sur le serveur MDS-SRV-SAVE. Chaque sauvegarde sera écrasée au profit de la nouvelle. En d’autres termes, la sauvegarde de 13h supprimera la sauvegarde de 6h.
Une fenêtre d’avertissement explique ce qui est décrit ci-dessus.
Définissez l’emplacement de la future sauvegarde. Dans notre cas, ce sera :
\\MDS-SRV-SAVE\sauvegarde$
Cliquer sur « Suivant », puis entrer les informations d’authentification. Dans notre cas, ce sera l’utilisateur sauvegarde et le mot de passe défini.
Cliquer sur « Confirmer », la sauvegarde du serveur est désormais opérationnelle.
Afin d’améliorer et d’externaliser la sauvegarde de données, la maison de santé s’est dotée d’un serveur dédié qui sera transformé en plateforme cloud chez un prestataire externe. Dans la prochaine partie, vous allez paramétrer le serveur de sauvegarde.
X. Configuration du Cloud
Nextcloud est une application d’hébergement de fichiers, elle servira à sauvegarder les données présentes sur le serveur Active Directory en temps réel.
Installation d’Apache, de PHP et de Maria-DB.
apt install apache2 php mariadb-server
Installation de Nextcloud.
cd /var/www/ wget https://download.nextcloud.com/server/releases/nextcloud-15.0.5.zipunzip nextcloud-15.0.5.zip mv nextcloud cloud.mds.fr
Nous allons créer le vhost du site cloud.mds.fr. Nous commençons par aller dans le répertoire des vhosts d’Apache.
root@PPEWEBSRV1:~# cd /etc/apache2/sites-availables root@PPEWEBSRV1:/etc/apache2/sites-availables/# nano cloud.mds.fr.conf
Nous insérons les lignes ci-dessous dans le fichier.
<VirtualHost *:80>
ServerName cloud.mds.fr
ServerAdmin assistance@mds.fr
DocumentRoot /var/www/cloud.mds.fr
CustomLog /var/log/apache2/access.log combined
ErrorLog /var/log/apache2/error.log
</VirtualHost>
Nous changeons le propriétaire du dossier de notre site avec la commande chown. Dans notre cas, elle définit de manière récursive tous les répertoires et fichiers appartenant à www-data du groupe www-data.
root@PPEWEBSRV1:/var/www/# chown –R www-data:www-data cloud.mds.fr
Puis, nous appliquons les droits de façon que seul le propriétaire puisse lire, écrire et exécuter sur le dossier (7). Nous donnons la permission aux autres utilisateurs un accès en lecture et exécution (5) et interdisons l’accès aux autres (0).
root@PPEWEBSRV1:/var/www/# chmod 750 cloud.mds.fr
Activons maintenant notre site, nous retournons donc dans le répertoire des vhosts.
root@PPEWEBSRV1:/var/www/# cd /etc/apache2/sites-availables/ root@PPEWEBSRV1:/etc/apache2/sites-availables/# a2ensite cloud.mds.fr.conf root@PPEWEBSRV1:/etc/apache2/sites-availables/# service apache2 reload
XI. Configuration des sauvegardes des données
Serveur cloud
- Installation du client
- Configuration
- Connexion au serveur cloud via le client
- Configuration des dossiers à synchroniser avec le Cloud.
- Il faudra effectuer la tâche suivante pour l’ensemble des dossiers.
- A la fin de la configuration, l’ensemble des dossiers se présentent de cette façon :
Tous les dossiers sont synchronisés en temps réels, l’icône du dossier est remplacé par celui de Nextcloud.
Vue du dossier sur Windows Serveur (MDS-SRV-AD)
Vue du Cloud (cloud.mds.fr)
XII. Intégration d’un poste informatique au domaine
Chaque poste informatique doit être intégré au domaine (MDS.LAN) pour que les utilisateurs puissent se connecter et avoir un environnement de travail cohérent. Le poste est par ailleurs renommé.
Le poste est renommé afin d’avoir une nomenclature cohérente. (pour rappel : MDS-PMFX, X correspond au numéro du poste.)
Enregistrement des modifications et redémarrage du poste.
Après redémarrage, le poste est prêt, il est possible aux utilisateurs de se connecter avec leurs sessions.
XIII. Création des GPO (Group Policy Object)
Cette partie de la documentation correspond à la création des lecteurs réseaux pour chaque utilisateur. Dans le cas de la maison de santé, les utilisateurs auront 3 lecteurs réseaux de monté :
- P : Espace Personnel
- S : Espace partagé par Service
- U : Espace Commun de la maison de santé
Le mappage automatique des lecteurs réseaux se fait à l’aide d’une GPO, celle-ci se nomme MDS-GPO-UTILISATEURS.
Pour l’instant, les lecteurs P : et U : sont mappés.
Nous allons passer au mappage des lecteurs réseaux en fonction des services.
Créez un groupe de sécurité qui englobe l’ensemble des services afin d’avoir plus qu’un seul groupe dans le mappage de lecteurs.
Dans le premier cas, ce sera le lecteur de l’administration. Dans la console « Utilisateurs et ordinateurs Active Directory », créez le groupe de sécurité GMDS-ADMINISTRATION dans lequel il y aura l’ensemble des services (GMDS-XXXX).
Pour créer le partage réseau de l’administration, il suffit de cliquer droit dans la console, puis :
Puis, en haut de la fenêtre, cliquez sur « Commun ». Une nouvelle fenêtre s’ouvre, cliquez sur « Ciblage au niveau de l’élément », puis cliquez sur « Ciblage »
Cliquez sur « Nouvel élément », puis cliquez sur 
: .
Puis entrez le nom du groupe de sécurité, en l’occurrence dans notre cas ce sera GMDS-ADMINISTRATION.
Puis, cliquez sur OK.
Ouvrez une session avec un agent de l’administration, ouvrez le Menu Démarrer puis cliquez sur « Ce PC ».
Les lecteurs réseaux sont bien montés.
Il faudra faire les mêmes démarches pour l’ensemble des groupes à créer.
A la fin, le tableau des lecteurs réseaux ressemblera à cela.
Sécurisation du poste informatique
Le poste informatique doit être un minimum sécurisé, en effet, la maison de santé est amenée à traiter des données médicales. Il faut donc que l’accès au poste informatique soit restreint et donne le moins d’indices possibles sur l’utilisation du système d’informations.
Une GPO nommée MDS-GPO-PMF rassemblera l’ensemble des stratégies.
Dans le cas de cette maquette, il n’y aura que 3 restrictions.
Allez dans « l’éditeur de stratégie de groupe », puis cliquez droit sur la GPO en question, puis cliquez sur « Modifier ».
Cette GPO permet à l’ouverture de l’ordinateur, de demander à l’utilisateur d’appuyer simultanément sur Ctrl + Alt + Suppr afin que celui-ci puisse s’y connecter.
Dirigez-vous dans la GPO « MDS-GPO-PMF », puis suivez le chemin ci-dessous :
Configuration ordinateur à Stratégies à Paramètres Windows à Paramètres de sécurité à Options de sécurité
Cliquez ensuite sur le filtre « Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl + Alt +Suppr », puis activez le en cliquant sur « Définir ce paramètre de stratégie » puis cliquez sur « Désactivé ».
Recherchez le filtre « Comptes : statuts du compte Administrateur » et le filtre « Comptes : status du compte Invité », ouvrez l’invite puis cliquez sur « Désactivé ».
Recherchez le filtre « Comptes : bloquer les comptes Microsoft », ouvrez l’invite puis cliquez sur « Activé ».
Recherchez le filtre « Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur », ouvrez l’invite puis cliquez sur « Activé ».
Au redémarrage de l’ordinateur, le dernier utilisateur n’apparaît plus.