5.3. Outils d’administration de serveur distant (RSAT)
Les outils RSAT (Outils d’administration de serveur distant) permettent aux administrateurs de gérer le contrôleur de domaine Active Directory du serveur KWARTZ depuis un ordinateur Windows.
La plupart des opérations peuvent se faire via KWARTZ~Control, mais il peut être nécessaire d'utiliser ces outils notamment pour définir les stratégies de groupe.
5.3.1. Installation
Ces outils doivent être téléchargés depuis le site de Microsoft
Remarque: Vous ne pouvez pas installer les outils RSAT sur les ordinateurs qui exécutent une édition familiale ou standard de Windows.
A chaque version de Windows correspond une version des outils.
Vous devez être membre du groupe Administrateurs de l’ordinateur sur lequel vous souhaitez installer ces outils. Nous vous invitons à utiliser le compte winadmin.
- Téléchargez le package Outils d'administration de serveur distant pour Windows qui correspond
- à la version de Windows utilisée
- à l'architecture de votre ordinateur (x64 pour les versions 64 bits, x86 pour les versions 32 bits)
- pour Windows 10 à la sous version (1803, 1709 ou antérieures)
- Double-cliquez sur le fichier .msu téléchargé pour lancer l'installation
L'installation prend quelques minutes.
5.3.1.1. Windows 7
Il est nécessaire d'activer les fonctionnalités:
- Aller dans Panneau de configuration > Programmes
- Cliquer sur Activer ou désactiver des fonctionnalités Windows
- Sélectionner les éléments suivant
5.3.1.2. Windows 10
Tous les outils sont activés par défaut.
5.3.2. Exécuter les outils
Les outils RSAT s'utilisent depuis le dossier Outils d'administration accessible:
- dans le menu Démarrer
- dans la section Système et sécurité du Panneau de configuration
La majorité des outils d'administration ne peuvent pas être utilisés avec le serveur KWARTZ.
Les principaux composants utiles sont
5.3.2.1. Utilisateurs et ordinateurs Active Directory
Vous retrouvez
- les comptes et groupes d'utilisateurs du contrôleur de domaine dans mon.domaine > Users
- comptes et groupes internes
- comptes et groupes créés sur KWARTZ~Control
- les ordinateurs inscrits au domaine dans mon.domaine > Computers
Cet outil peut être utilisé pour
- définir des unités organisationnelle (OU) et y déplacer des utilisateurs ou ordinateurs.
- interdire la modification de mot de passe de certains comptes
- éditer des propriétés non proposées dans KWARTZ~Control
Nous vous déconseillons
- d'ajouter un groupe ou un utilisateur via cet outil, car il ne sera pas visible dans KWARTZ~Control.
- de supprimer ou renommer des comptes ou groupes
- créés dans KWARTZ~Control
- internes existants
5.3.2.2. Gestion des stratégies de groupe
Les stratégies de groupe ou GPO sont des paramètres qui permettent de contrôler le comportement de Windows et de certains logiciels.
Elles s’appliquent automatiquement à des utilisateurs ou des groupes sur des ordinateurs du domaine.
Elles permettent notamment:
- de restreindre l’accès à certains paramètres de l'ordinateur.
- déployer une application
- paramétrer un logiciel
- définir des scripts à exécuter au démarrage de l'ordinateur ou à l'ouverture de session.
Les GPO s’appliquent
- sur l'ensemble du domaine
- aux utilisateurs, ordinateurs et groupes contenus dans des unités organisationnelle (OU)
En cas de modification, les stratégies sont actualisées dans un intervalle aléatoire compris entre 60 et 120 minutes sur les postes du domaine.
Pour appliquer immédiatement une stratégie, il faut exécuter la commande gpudate /force sur l'ordinateur pour l'obliger à ré-appliquer toutes les stratégies (même celles qui n’ont pas été modifiées)
Voir aussi https://fr.wikipedia.org/wiki/Strat%C3%A9gies_de_groupe
ATTENTION: Il existe par défaut 2 objets de stratégies:
- Default Domain Controllers Policy
- Default Domain Policy
Il ne faut ni supprimer ni modifier ces objets et leurs liaisons.
Remarque: Les paramètres de mots de passe (longueur, complexité) du domaine doivent être définis sous KWARTZ~Control.
La console de gestion des stratégies de groupe vous permet de contrôler les GPOs sur votre domaine. Développez l'arborescence Forêt:mon.domaine > Domaines > mon.domaine
Note: Sous Windows 10, une erreur peut apparaître lors du parcours de l'arborescence.
Il ne faut pas en tenir compte.
Cet outil va vous permettre de
- Créer, consulter et éditer les GPOs
- Lier ces GPOs à l'ensemble du domaine ou à des unités d'organisation
- Modifier l'état de la GPO (Onglet Détail)
- Activé
- Paramètres de configuration ordinateurs désactivés
- Paramètres de configuration utilisateurs désactivés
- Tous les paramètres désactivés
- ouvrir une stratégie de groupe pour la modifier (clic droit > Modifier)
Les stratégies de groupe se divisent en deux arborescences:
- Configuration ordinateur, appliquée lors du démarrage des machines quelque soit l'utilisateur.
- Configuration utilisateur, appliquée à chaque ouverture de session et pouvant varier à chaque utilisateur.
5.3.2.2.1. Exemple
Par exemple, vous pouvez spécifier le papier peint du Bureau des utilisateurs et empêcher ces derniers de modifier l’image ou sa présentation.
Pour cela,
- Copier le fichier jpg ou bmp sur le serveur dans le chemin \\kwartz-server\sysvol\mon.domaine\scripts\ pour le rendre disponible pour tous utilisateurs à l'ouverture de session
- Aller dans Configuration utilisateur > Stratégie > Modèles d'administration > Bureau > Bureau
- Activer la stratégie Papier peint du Bureau et préciser
- le chemin d'accès complet au fichier, par exemple \\kwartz-server\sysvol\mon.domaine\scripts\Jellyfish.jpg
- le style du papier peint Remplir
Ainsi les postes auront le même papier peint que les utilisateurs ne pourront pas modifier
ATTENTION: Il est préférable de tester une GPO dans une unités organisationnelle (OU) avant de la déployer en production
5.3.2.2.2. Appliquer une GPO à un groupe d'utilisateur
En plus de lier une stratégie de groupe sur le domaine ou sur plusieurs unités d'organisation, vous avez la possibilité de ne l'appliquer qu'à un groupe d'utilisateurs.
Pour cela, vous devez:
- Ouvrir la stratégie
- Dans la partie "Filtrage de sécurité" de l'onglet "Étendue", par défaut, c'est appliqué à "Authenticated Users / Utilisateurs authentifiés"
- Supprimer "Authenticated Users / Utilisateurs authentifiés"
- Cliquer sur Ajouter, et sélectionner le ou les groupes désirés
- Ajouter "Authenticated Users / Utilisateurs authentifiés" en lecture dans l'onglet délégation
5.3.2.2.3. Appliquer une GPO selon les caractéristiques de l'ordinateur
Il est aussi possible de cibler une GPO en utilisant des filtres Windows Management Instrumentation (WMI), système permettant de consulter les propriétés du système sur un ordinateur.
https://fr.wikipedia.org/wiki/Windows_Management_Instrumentation
Par exemple, un filtre WMI peut permettre de n'appliquer une GPO uniquement aux ordinateurs exécutant une version de Windows.
Vous trouverez dans le dossier Outils KWARTZ/ad-dc/WMI du compte winadmin deux filtres WMI pour Windows 7 et 10 que vous pouvez importer sur votre serveur (Clic droit > Importer sur Filtres WMI dans l'arborescence)
Ces filtres permettent aussi de contrôler l'espace disque, l'architecture (32 ou 64 bits), ordinateur portable ou de bureau, le modèle...
5.3.2.2.4. Contrôler les stratégies appliquées
Si votre stratégie ne fonctionne pas correctement, sur le poste concerné:
- Ouvrir une invite de commande en tant qu'administrateur
- Exécuter les commandes suivantes
- gpudate /force
Cette commande force a mise à jour des stratégies - GPresult /R
Cette commande vous indique pour l'ordinateur et l'utilisateur- les objets de stratégies appliqués.
- ceux qui n'ont pas été appliqués et pour quelle raison
- gpudate /force
Si la stratégie est appliquée mais ne fonctionne pas, c'est qu'elle n'a pas été définie correctement.
Certains paramètres nécessitent aussi un redémarrage ou une ouverture de session pour être appliqués après la mise à jour de la stratégie sur le poste.
5.3.2.3. Gestionnaire DNS
Cet outil peut être utilisé pour ajouter des aliases.
Attention cependant à
- ne pas supprimer d'entrées existantes sous peine de casser le contrôleur de domaine.
- ne pas définir la zone inverse (gérée par Kwartz directement)