Projet 3 : La solution d'administration centralisée de Microsoft (TSSR)

---

Contexte et objectifs

L'entreprise fictive AD Horizon souhaite mettre en place une infrastructure réseau virtualisée afin de centraliser et sécuriser la gestion de ses utilisateurs, de ses ressources partagées et de son parc informatique.
Elle choisit la solution Microsoft pour mettre en œuvre son infrastructure centralisée.

Le cœur du projet consiste à :

• Déployer un contrôleur de domaine Active Directory (AD DS) sous Windows Server 2022.
• Assurer la configuration du LAN, du pare-feu, et des rôles serveur (DNS, DHCP, Backup).
• Mettre en place un client Windows 11 intégré au domaine.
• Installer et configurer un serveur GLPI pour la gestion des tickets et la supervision du parc.
• Gérer la sécurité et les accès par le biais de partages réseau sécurisés et de GPO.
• Préparer et documenter un script PowerShell d'installation automatique d'Active Directory et la création automatisée des comptes/objets de l'AD.

---

Architecture technique résumée

1. Pare-feu

• Dispose de deux interfaces (WAN / LAN).
• Fournit une passerelle par défaut sur le réseau local en 10.10.10.1/24.
• Le serveur DHCP n'est pas géré par le pare-feu mais sera géré par le serveur Windows sur le LAN.

2. Réseau LAN : 10.10.10.0/24

• Passerelle : 10.10.10.1/24 (interface LAN du pare-feu).
• Les postes clients et serveurs s'y connectent.

3. Serveur Windows 2022

• Adresse IPv4 fixe : 10.10.10.210/24.
• Rôle Contrôleur de Domaine déployé automatiquement via un script PowerShell.
  Forêt : HORIZON.LOCAL
• Installation de l'Active Directory et de ses services.
• Mise en place des partages réseaux (un pour chaque UO) et des GPO (mappage lecteurs, restrictions périphériques, etc.).

4. Poste client Windows 11

• Doit être intégré au domaine Active Directory.
• Contrôle via GPO (installation logicielle, configuration, restrictions, etc.).

5. Serveur GLPI

• Adresse IPv4 fixe : 10.10.10.200/24.
• Fournit un portail de support et d'inventaire.
• Accessible via l'URL : http://assistance (enregistrement DNS et raccourci GPO).

6. Services complémentaires

• DNS : Configuré sur le serveur Windows, avec un redirecteur vers dns0.eu.
• DHCP : Configuré sur le seveur Windows. Sur le réseau 10.10.10.0/24, passerelle 10.10.10.1, DNS public 1.1.1.1. Réservation pour l'imprimante à 10.10.10.50/24.
• Windows Backup : Sauvegardes planifiées (complète du serveur) vers le lecteur E:, à 02:00 chaque nuit.

---

Déploiement et configuration de l'Active Directory

1. Script PowerShell

• Automatisation de l'installation du rôle AD DS et de la promotion du serveur en tant que contrôleur de domaine.
• Chargement d'un fichier CSV contenant les utilisateurs, les groupes globaux et les UO (unités organisationnelles).
• Création automatique des comptes selon le schéma Prénom.Nom (samAccountName).

2. Organisation et sécurisation

• Création d'UO dédiées (ex. DIRECTION, RH, IT, ACCUEIL, etc.).
• Application du schéma AGDLP (comptes intégrés dans des Groupes de domaine, auxquels sont assignées des Listes de contrôle d'accès, placées dans des Groupes locaux si nécessaire).
• Mise en place de partages réseaux sur D:\ (avec un dossier partagé pour chaque UO : ACCUEIL, DIRECTION, RH, COMPTA, IT, COMMERCIAUX, R&D) avec Access-Based Enumeration (ABE), limitant l'accès aux seuls groupes autorisés.
  • DIRECTION et RH ont accès lecture aux partages de leurs homologues.
  • IT a lecture/écriture sur tous les partages.

3. GPO

• Mappage automatique de lecteurs en fonction des droits d'accès (les utilisateurs ne voient que les lecteurs auxquels ils ont réellement accès).
• Blocage des périphériques amovibles sur les postes clients.
• Politique de mots de passe : complexité renforcée, longueur minimale à 15 caractères, historique minimal = 1.
• Fond d'écran fleuri pour la comptable (GPO ciblée par groupe ou UO).
• Raccourci « assistance » pointant vers http://assistance (serveur GLPI) sur le bureau de tous les utilisateurs.
• Déploiement Firefox et Thunderbird (packages MSI) par GPO.

4. Autres configurations

• Agent GLPI déployé sur tous les postes, via un script dans SYSVOL (+GPO) ou une commande msiexec placée directement dans une GPO.
• Restrictions d'horaires de connexion : du lundi au vendredi, 8h à 18h, pour tous les utilisateurs sauf IT (lundi 7h au samedi 23h).
• Délégation de contrôle à l'utilisateur Marcel.Dublog pour réinitialiser les mots de passe des utilisateurs du domaine.

---

Services DNS et DHCP sur le serveur Windows.

1. DNS

• Enregistrement "assistance" pointant vers le serveur GLPI (10.10.10.200).
• Redirecteur DNS vers dns0.eu

2. DHCP

• Étendue pour 10.10.10.0/24 avec passerelle 10.10.10.1/24.
• DNS : 1.1.1.1
• Réservation d'IP pour l'imprimante : 10.10.10.50/24.

---

Sauvegardes Windows Backup

1. Sauvegarde unique

• Sauvegarde complète du serveur vers le volume E:\.
• Vérification et capture d'écran de la réussite de la sauvegarde.

2. Sauvegarde planifiée

• Configuration d'une tâche quotidienne à 02:00 du matin, couvrant l'intégralité du serveur (système, données, etc.), toujours vers E:\.

---

Livrables attendus

1. Script PowerShell

• Création d'utilisateurs, d'unités organisationnelles et de groupes à partir du CSV.

2. Captures d'écran

• Prouvant la bonne application des GPO (lecteurs mappés, délégation, restrictions périphériques, etc.).
• Illustrant les configurations DHCP (étendue, réservation) et DNS (redirecteur, enregistrement assistance).
• Montrant la réussite de la sauvegarde unique avec Windows Backup.

3. Schéma AGDLP

• Détaillant la structure des unités organisationnelles, les groupes et leurs autorisations.
• Explicitant le lien entre les comptes d'utilisateurs et les ressources partagées.

csv

---