Projet 3 : La solution d'administration centralisée de Microsoft (AIS)

Contexte et objectifs

L'entreprise fictive AD Horizon souhaite mettre en place une infrastructure réseau virtualisée afin de centraliser et sécuriser la gestion de ses utilisateurs, de ses ressources partagées et de son parc informatique.
Elle choisit la solution Microsoft pour mettre en œuvre son infrastructure centralisée.

Le cœur du projet consiste à :

• Déployer un contrôleur de domaine Active Directory (AD DS) sous Windows Server 2022.
• Assurer la configuration du LAN, du pare-feu, et des rôles serveur (DNS, DHCP, Backup).
• Mettre en place un client Windows 11 intégré au domaine.
• Installer et configurer un serveur GLPI pour la gestion des tickets et la supervision du parc.
• Gérer la sécurité et les accès par le biais de partages réseau sécurisés et de GPO.
• Préparer et documenter un script PowerShell d'installation automatique d'Active Directory et de création automatisée des comptes/objets de l'AD.
• Implémenter des fonctionnalités avancées de sécurisation et d'automatisation (Fine-Grained Password Policies, quotas, profils itinérants, scripts PowerShell de suppression d'utilisateurs, etc.).

---

Architecture technique

1. Pare-feu

• Dispose de deux interfaces (WAN / LAN).
• Fournit une passerelle par défaut sur le réseau local en 10.10.10.1/24.
• Le serveur DHCP n'est pas géré par le pare-feu mais par un serveur Windows sur le LAN.

2. Réseau LAN : 10.10.10.0/24

• Passerelle : 10.10.10.1/24 (interface LAN du pare-feu).
• Les postes clients et serveurs s'y connectent.

3. Serveur Windows Server 2022

• Adresse IPv4 fixe : 10.10.10.210/24.
• Rôle Contrôleur de Domaine déployé automatiquement via un script PowerShell.
  Forêt : HORIZON.LOCAL
• Installation de l'Active Directory et de ses services.
• Mise en place des partages réseaux et des GPO (mappage lecteurs, restrictions périphériques, etc.).
• Préparation des disques D:\ (pour données/partages) et E:\ (pour sauvegardes) via diskpart (avec captures d'écran).

4. Poste client Windows 11

• Doit être intégré au domaine Active Directory.
• Contrôle via GPO (installation logicielle, configuration, restrictions, etc.).
• Profils itinérants pour certains utilisateurs (Marc.Assin et Paul.Ochon dans l'UO COMMERCIAUX).

5. Serveur GLPI

• Adresse IPv4 fixe : 10.10.10.200/24.
• Fournit un portail de support et d'inventaire.
• Accessible via l'URL : http://assistance (enregistrement DNS et raccourci GPO).

6. Services complémentaires

• DNS : Configuré sur le serveur AD DS, avec un redirecteur vers dns0.eu.
• DHCP : Configuré sur le serveur Windows. Sur le réseau 10.10.10.0/24, passerelle 10.10.10.1, DNS public 1.1.1.1. Réservation pour l'imprimante à 10.10.10.50/24.
• Windows Backup : Sauvegardes planifiées (complète du serveur) vers le lecteur E:, à 02:00 chaque nuit.

---

Déploiement et configuration de l'Active Directory

1. Script PowerShell

• Automatisation de l'installation du rôle AD DS et de la promotion du serveur en tant que contrôleur de domaine.
• Chargement d'un fichier CSV contenant les utilisateurs, les groupes globaux et les UO (unités organisationnelles).
• Création automatique des comptes selon le schéma Prénom.Nom (samAccountName).
• Création automatique des Groupes Globaux (GG) dans chaque UO (nomenclature simple : GG-DIRECTION, GG-COMMERCIAUX etc..) et ajout automatique des membres.
• Fournir également un script PowerShell permettant de supprimer un (ou plusieurs) utilisateur(s) de l'AD en fonction de leur samAccountName, avec une boucle pour gérer plusieurs suppressions d'affilée.

2. Organisation et sécurisation

• Création d'UO dédiées (ex. DIRECTION, RH, IT, ACCUEIL, COMMERCIAUX, etc.).
• Application du schéma AGDLP (comptes intégrés dans des Groupes de domaine, auxquels sont assignées des Listes de contrôle d'accès, placées dans des Groupes locaux si nécessaire).
• Mise en place de partages réseaux sur D:\ (avec un dossier partagé pour chaque UO : DIRECTION, RH, COMPTA, IT, COMMERCIAUX, R&D) avec Access-Based Enumeration (ABE), limitant l'accès aux seuls groupes autorisés.
  • DIRECTION et RH ont accès lecture aux partages de leurs homologues.
  • IT a lecture/écriture sur tous les partages.
• Appliquer un quota de 2 Go sur le partage des COMMERCIAUX.

3. GPO

• Mappage automatique de lecteurs en fonction des droits d'accès (les utilisateurs ne voient que les lecteurs auxquels ils ont réellement accès).
• Blocage des périphériques amovibles sur les postes clients.
• Politique de mots de passe : complexité renforcée, longueur minimale à 15 caractères, historique minimal = 1.
• Fond d'écran fleuri pour la comptable (GPO ciblée par groupe ou UO).
• Raccourci « assistance » pointant vers http://assistance (serveur GLPI) sur le bureau de tous les utilisateurs.
• Déploiement Firefox et Thunderbird (packages MSI) par GPO.
• Bloquer l'affichage de la commande « Exécuter » (Win + R).

4. Autres configurations

• Agent GLPI déployé sur tous les postes, via un script dans SYSVOL (+GPO) ou une commande msiexec placée directement dans une GPO.
• Restrictions d'horaires de connexion : du lundi au vendredi, 8h à 18h, pour tous les utilisateurs sauf IT (lundi 7h au samedi 23h).
• Délégation de contrôle à l'utilisateur Marcel.Dublog pour réinitialiser les mots de passe des utilisateurs du domaine.
• Fine-Grained Password Policy (FGPP) nommée FGPP_pwd_adminsDC, appliquée aux administrateurs de domaine, avec :
  • Priorité = 1
  • Longueur minimale du mot de passe = 17
  • Complexité = activée
  • Changement de mot de passe = 30 jours
  • Protection contre la suppression accidentelle = activée
• Profils itinérants pour Marc.Assin et Paul.Ochon (COMMERCIAUX).
• Usage de Robocopy pour copier un dossier (par ex. sur un Bureau) vers un autre emplacement, avec un résumé des options (ex. /E, /LOG:, /TEE, /MIR, etc.).

---

Services DNS et DHCP sur le serveur Windows

1. DNS

• Enregistrement "assistance" pointant vers le serveur GLPI (10.10.10.200).
• Redirecteur DNS vers dns0.eu

2. DHCP

• Étendue pour 10.10.10.0/24 avec passerelle 10.10.10.1/24.
• DNS : 1.1.1.1 (ou, selon le besoin, le DNS interne en second).
• Réservation d'IP pour l'imprimante : 10.10.10.50/24.

---

Sauvegardes Windows Backup

1. Sauvegarde unique

• Sauvegarde complète du serveur vers le volume E:\.
• Vérification et capture d'écran de la réussite de la sauvegarde.

2. Sauvegarde planifiée

• Configuration d'une tâche quotidienne à 02:00 du matin, couvrant l'intégralité du serveur (système, données, etc.), toujours vers E:\.

---

Livrables attendus

1. Script PowerShell

• Installation et configuration automatique d'Active Directory (rôle AD DS).
• Création d'utilisateurs, d'unités organisationnelles et de Groupes Globaux à partir du CSV.
• Script supplémentaire pour supprimer des utilisateurs par samAccountName avec une boucle.

2. Captures d'écran

• Prouvant la bonne application des GPO (lecteurs mappés, délégation, restrictions périphériques, blocage de la commande Exécuter, etc.).
• Illustrant les configurations DHCP (étendue, réservation) et DNS (redirecteur, enregistrement "assistance").
• Montrant la réussite de la sauvegarde unique avec Windows Backup.
• Mise en place du quota de 2 Go sur le partage COMMERCIAUX,
• Captures d'écran de diskpart pour la préparation de D:\ et E:\.
• Configuration de la FGPP "FGPP_pwd_adminsDC" pour les administrateurs.
• Profils itinérants (Marc.Assin, Paul.Ochon).
• Exemple d'utilisation de Robocopy (options, log, etc.).

3. Schéma AGDLP

• Détaillant la structure des unités organisationnelles, les groupes et leurs autorisations.
• Explicitant le lien entre les comptes d'utilisateurs et les ressources partagées (partages sécurisés, quotas, etc.).

---

📥 Télécharger ob_5ab76a_csv.txt

---