Environnement du lab
Ce lab est basé sur la PME fictive NOUVY, une entreprise de formation et conseil. Il couvre la mise en place d'un Active Directory et d'un serveur de fichiers, les deux briques fondamentales d'une infrastructure Windows Server en entreprise.
| Rôle | Nom machine | Adresse IP | Système |
|---|---|---|---|
| Contrôleur de domaine (AD DS) | SRV-AD01 | 192.168.194.100 | Windows Server 2022 |
| Serveur de fichiers | SRV-FICHIER1 | 192.168.194.110 | Windows Server 2022 |
| Domaine | NOUVY.LAN | — | — |
| NetBIOS | NOUVY | — | — |
Active Directory — Structure des Unités d'Organisation (OU)
Qu'est-ce qu'une OU ?
Une Unité d'Organisation (OU — Organizational Unit) est un conteneur dans Active Directory qui permet de regrouper des objets (utilisateurs, ordinateurs, groupes) selon la structure de l'entreprise.
Pourquoi c'est important ? Les GPO (Group Policy Objects) s'appliquent aux OUs. Une bonne structure d'OU = une bonne gestion des politiques par service, sans conflits.
Arborescence des OUs — NOUVY.LAN
NOUVY.LAN
├── OU=NOUVY
│ ├── OU=Direction
│ ├── OU=Informatique
│ ├── OU=Commercial
│ ├── OU=Comptabilite
│ ├── OU=RH
│ ├── OU=Groupes
│ └── OU=Ordinateurs
│ ├── OU=Postes_Direction
│ ├── OU=Postes_Services
│ └── OU=Serveurs
Utilisateurs
Convention de nommage
| Élément | Format | Exemple |
|---|---|---|
| Login (SAM) | prenom.nom |
alice.martin |
| UPN | prenom.nom@nouvy.lan |
alice.martin@nouvy.lan |
| Mot de passe initial | Nouvy2024! |
— |
| Changement au 1er login | Oui | — |
Liste des utilisateurs
Direction
| Prénom | Nom | Login | OU | Groupe |
|---|---|---|---|---|
| Marc | Dupont | marc.dupont | OU=Direction | GRP_Direction |
| Sophie | Lambert | sophie.lambert | OU=Direction | GRP_Direction |
Informatique
| Prénom | Nom | Login | OU | Groupe |
|---|---|---|---|---|
| Thomas | Bernard | thomas.bernard | OU=Informatique | GRP_Informatique |
| Julie | Moreau | julie.moreau | OU=Informatique | GRP_Informatique |
| Kevin | Simon | kevin.simon | OU=Informatique | GRP_Informatique |
Commercial
| Prénom | Nom | Login | OU | Groupe |
|---|---|---|---|---|
| Emma | Petit | emma.petit | OU=Commercial | GRP_Commercial |
| Lucas | Girard | lucas.girard | OU=Commercial | GRP_Commercial |
| Manon | Leroy | manon.leroy | OU=Commercial | GRP_Commercial |
| Hugo | Roux | hugo.roux | OU=Commercial | GRP_Commercial |
Comptabilité
| Prénom | Nom | Login | OU | Groupe |
|---|---|---|---|---|
| Claire | Fontaine | claire.fontaine | OU=Comptabilite | GRP_Comptabilite |
| Pierre | Blanc | pierre.blanc | OU=Comptabilite | GRP_Comptabilite |
Ressources Humaines
| Prénom | Nom | Login | OU | Groupe |
|---|---|---|---|---|
| Inès | Laurent | ines.laurent | OU=RH | GRP_RH |
| Alexis | Michel | alexis.michel | OU=RH | GRP_RH |
Groupes
Convention de nommage des groupes
| Type | Préfixe | Exemple |
|---|---|---|
| Groupe par service | GRP_ |
GRP_Commercial |
| Groupe inter-services | GRP_ |
GRP_Managers |
Liste des groupes
| Nom du groupe | Type | Portée | Membres | Rôle |
|---|---|---|---|---|
GRP_Direction |
Sécurité | Global | marc.dupont, sophie.lambert | Accès Direction |
GRP_Informatique |
Sécurité | Global | thomas.bernard, julie.moreau, kevin.simon | Accès Informatique |
GRP_Commercial |
Sécurité | Global | emma.petit, lucas.girard, manon.leroy, hugo.roux | Accès Commercial |
GRP_Comptabilite |
Sécurité | Global | claire.fontaine, pierre.blanc | Accès Comptabilité |
GRP_RH |
Sécurité | Global | ines.laurent, alexis.michel | Accès RH |
GRP_Managers |
Sécurité | Global | marc.dupont, sophie.lambert, thomas.bernard, ines.laurent | Accès Management |
GRP_Tous_Employes |
Sécurité | Global | Tous les utilisateurs | Accès commun |
Serveur de Fichiers — SRV-FICHIER1 (192.168.194.110)
Groupes (Global) et permissions
Ici, on utilise uniquement des groupes de sécurité Globaux (par service) et on les applique directement dans les permissions NTFS et Partage.
Principe :
Utilisateur → appartient à → Groupe Global → a la permission sur → Dossier / Partage
alice.martin → GRP_Commercial → Modifier → \SRV-FICHIER1Commercial$
Structure des dossiers partagés
D:Partages
├── Commun → Tous les employés (lecture/écriture)
├── Direction → Direction uniquement
├── Informatique → Equipe IT
├── Commercial → Equipe commerciale
├── Comptabilite → Comptabilité + Direction
├── RH → RH uniquement (données sensibles)
└── Profils → Dossiers personnels (un par utilisateur)
├── marc.dupont
├── alice.martin
└── ...
Tableau des partages
| Nom du partage | Chemin local | Chemin UNC | Commentaire |
|---|---|---|---|
Commun$ |
D:PartagesCommun | \SRV-FICHIER1Commun$ | Dossier commun entreprise |
Direction$ |
D:PartagesDirection | \SRV-FICHIER1Direction$ | Réservé Direction |
Informatique$ |
D:PartagesInformatique | \SRV-FICHIER1Informatique$ | Réservé IT |
Commercial$ |
D:PartagesCommercial | \SRV-FICHIER1Commercial$ | Réservé Commercial |
Comptabilite$ |
D:PartagesComptabilite | \SRV-FICHIER1Comptabilite$ | Réservé Comptabilité |
RH$ |
D:PartagesRH | \SRV-FICHIER1RH$ | Données RH confidentielles |
Profils$ |
D:PartagesProfils | \SRV-FICHIER1Profils$ | Dossiers personnels |
Le
$en fin de nom rend le partage masqué : il n'apparaît pas dans l'explorateur réseau par simple navigation. Les utilisateurs doivent connaître le chemin UNC exact pour y accéder.
Permissions
Double niveau de permissions
Sous Windows Server, les accès à un partage réseau sont contrôlés par deux niveaux de permissions qui se cumulent :
| Niveau | Où se configure | Ce qu'il contrôle |
|---|---|---|
| Permissions de partage | Onglet « Partage » | L'accès réseau (via le réseau) |
| Permissions NTFS | Onglet « Sécurité » | L'accès au fichier (réseau ET local) |
Règle fondamentale : l'accès effectif d'un utilisateur = le plus restrictif des deux niveaux. Exemple : si le partage donne « Contrôle total » mais que NTFS donne « Lecture », l'utilisateur n'aura que la lecture.
Méthode retenue ici : on configure d’abord les permissions NTFS (onglet Sécurité) (héritage + droits), puis on configure les permissions de partage en reproduisant les mêmes groupes et droits équivalents (pas de
Tout le monde = Contrôle total).
Permissions de partage (Share)
Pour tous les partages, appliquer la règle suivante (alignée sur NTFS) :
| Groupe / Utilisateur | Permission de partage |
|---|---|
| Même liste que NTFS | Droits équivalents (Contrôle total / Modifier / Lecture) |
La restriction se fait à la fois au niveau NTFS et au niveau Partage (et l'effectif reste le plus restrictif).
Permissions NTFS par dossier
Dossier Commun
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_Tous_Employes |
Modification | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier Direction
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_Direction |
Contrôle total | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier Informatique
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_Informatique |
Contrôle total | Non |
GRP_Direction |
Lecture et exécution | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier Commercial
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_Commercial |
Modification | Non |
GRP_Direction |
Contrôle total | Non |
GRP_Managers |
Lecture et exécution | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier Comptabilite
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_Comptabilite |
Modification | Non |
GRP_Direction |
Contrôle total | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier RH
| Groupe / Utilisateur | Permission NTFS | Héritée |
|---|---|---|
GRP_RH |
Modification | Non |
GRP_Direction |
Lecture et exécution | Non |
SYSTEM |
Contrôle total | Non |
Administrateurs |
Contrôle total | Non |
Dossier Profils (dossiers personnels)
Chaque sous-dossier appartient à un utilisateur unique :
| Groupe / Utilisateur | Permission NTFS |
|---|---|
prenom.nom (propriétaire) |
Contrôle total |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Les autres utilisateurs n'ont aucun accès au dossier personnel d'un collègue.
Récapitulatif — Matrice d'accès
| Dossier | Direction | Informatique | Commercial | Comptabilité | RH | Tous |
|---|---|---|---|---|---|---|
| Commun | RW | RW | RW | RW | RW | RW |
| Direction | CT | — | — | — | — | — |
| Informatique | R | CT | — | — | — | — |
| Commercial | CT | — | RW | — | — | — |
| Comptabilite | CT | — | — | RW | — | — |
| RH | R | — | — | — | RW | — |
| Profils[user] | CT | — | — | — | — | CT (propriétaire) |
Légende : CT = Contrôle total | RW = Modification (lecture + écriture) | R = Lecture seule | — = Aucun accès
Mise en place via l'interface graphique
Étape 1 — Créer les Unités d'Organisation (sur SRV-AD01)
Outil : Gestionnaire de serveur → Outils → Utilisateurs et ordinateurs Active Directory
- Ouvrir Utilisateurs et ordinateurs Active Directory (
dsa.msc) - Faire un clic droit sur le domaine
NOUVY.LAN→ Nouveau → Unité d'organisation - Nommer la première OU :
NOUVY→ cocher Protéger le conteneur contre une suppression accidentelle → OK - Faire un clic droit sur l'OU
NOUVY→ Nouveau → Unité d'organisation, et créer les suivantes une par une :
| OU à créer | Parent |
|---|---|
Direction |
OU=NOUVY |
Informatique |
OU=NOUVY |
Commercial |
OU=NOUVY |
Comptabilite |
OU=NOUVY |
RH |
OU=NOUVY |
Groupes |
OU=NOUVY |
Ordinateurs |
OU=NOUVY |
Postes_Direction |
OU=Ordinateurs |
Postes_Services |
OU=Ordinateurs |
Serveurs |
OU=Ordinateurs |
Étape 2 — Créer les groupes (sur SRV-AD01)
Outil : Utilisateurs et ordinateurs Active Directory
Pour chaque groupe de la liste ci-dessous, faire un clic droit sur l'OU Groupes → Nouveau → Groupe :
| Nom du groupe | Étendue | Type |
|---|---|---|
GRP_Direction |
Global | Sécurité |
GRP_Informatique |
Global | Sécurité |
GRP_Commercial |
Global | Sécurité |
GRP_Comptabilite |
Global | Sécurité |
GRP_RH |
Global | Sécurité |
GRP_Managers |
Global | Sécurité |
GRP_Tous_Employes |
Global | Sécurité |
Paramètres à renseigner dans la fenêtre de création :
- Nom du groupe : ex.
GRP_Direction - Étendue du groupe : Global
- Type de groupe : Sécurité
- Cliquer OK
Étape 3 — Créer les utilisateurs (sur SRV-AD01)
Outil : Utilisateurs et ordinateurs Active Directory
Pour chaque utilisateur, faire un clic droit sur l'OU du service concerné → Nouveau → Utilisateur :
Fenêtre 1 — Identité :
- Prénom, Nom, Nom d'ouverture de session :
prenom.nom
Fenêtre 2 — Mot de passe :
- Mot de passe :
Nouvy2024! - Cocher L'utilisateur doit changer le mot de passe à la prochaine ouverture de session
Répéter l'opération pour chaque utilisateur :
| Prénom | Nom | Login | OU cible |
|---|---|---|---|
| Marc | Dupont | marc.dupont | Direction |
| Sophie | Lambert | sophie.lambert | Direction |
| Thomas | Bernard | thomas.bernard | Informatique |
| Julie | Moreau | julie.moreau | Informatique |
| Kevin | Simon | kevin.simon | Informatique |
| Emma | Petit | emma.petit | Commercial |
| Lucas | Girard | lucas.girard | Commercial |
| Manon | Leroy | manon.leroy | Commercial |
| Hugo | Roux | hugo.roux | Commercial |
| Claire | Fontaine | claire.fontaine | Comptabilite |
| Pierre | Blanc | pierre.blanc | Comptabilite |
| Inès | Laurent | ines.laurent | RH |
| Alexis | Michel | alexis.michel | RH |
Ajouter chaque utilisateur à son groupe de service :
- Double-cliquer sur le groupe (ex.
GRP_Commercial) dans l'OU Groupes - Onglet Membres → Ajouter
- Taper le login de l'utilisateur → Vérifier les noms → OK
- Répéter pour tous les membres du groupe
Ajouter tous les utilisateurs à GRP_Tous_Employes : même procédure, sélectionner tous les utilisateurs à la fois en maintenant Ctrl.
Membres de GRP_Managers : marc.dupont, sophie.lambert, thomas.bernard, ines.laurent
Étape 4 — Créer les dossiers et les partages (sur SRV-FICHIER1)
Outil : Explorateur de fichiers + Gestionnaire de serveur
4a — Créer la structure de dossiers
- Ouvrir l'Explorateur de fichiers sur SRV-FICHIER1
- Aller sur le disque
D: - Créer le dossier
Partages - Dans
D:Partages, créer les sous-dossiers suivants :
D:Partages
├── Commun
├── Direction
├── Informatique
├── Commercial
├── Comptabilite
├── RH
└── Profils
├── marc.dupont
├── sophie.lambert
├── thomas.bernard
├── julie.moreau
├── kevin.simon
├── emma.petit
├── lucas.girard
├── manon.leroy
├── hugo.roux
├── claire.fontaine
├── pierre.blanc
├── ines.laurent
└── alexis.michel
4b — Partager les dossiers
Important : on configure d’abord les permissions NTFS (onglet Sécurité) à l’étape 5 (héritage + droits), puis on revient ici pour configurer le Partage.
Pour chaque dossier (Commun, Direction, Informatique, etc.) :
- Clic droit sur le dossier → Propriétés → onglet Partage
- Cliquer sur Partage avancé
- Cocher Partager ce dossier
- Nom du partage : ajouter
$à la fin pour le masquer (ex.Commun$) - Cliquer sur Autorisations
- Supprimer
Tout le mondesi présent - Ajouter les mêmes groupes que dans l’onglet Sécurité (étape 5) et appliquer les droits équivalents :
- NTFS Contrôle total → Partage Contrôle total
- NTFS Modification → Partage Modifier
- NTFS Lecture et exécution → Partage Lecture
- Valider avec OK → Appliquer
| Dossier | Nom du partage |
|---|---|
| D:PartagesCommun | Commun$ |
| D:PartagesDirection | Direction$ |
| D:PartagesInformatique | Informatique$ |
| D:PartagesCommercial | Commercial$ |
| D:PartagesComptabilite | Comptabilite$ |
| D:PartagesRH | RH$ |
| D:PartagesProfils | Profils$ |
Rappel : on ne met pas “Contrôle total” global sur le partage. On règle l’ordre ainsi :
- Sécurité (NTFS) : on modifie l’héritage et on pose les droits (étape 5)
- Partage : on remet les mêmes groupes/droits que côté NTFS
Étape 5 — Configurer les permissions NTFS (sur SRV-FICHIER1)
Outil : Explorateur de fichiers → Propriétés → onglet Sécurité
Procédure commune à chaque dossier
- Clic droit sur le dossier → Propriétés → onglet Sécurité
- Cliquer sur Avancé
- Cliquer sur Désactiver l'héritage → choisir Supprimer toutes les autorisations héritées (cela repart de zéro, propre)
- Cliquer sur Ajouter pour ajouter chaque groupe avec les bons droits
- → Sélectionner un principal → taper le nom du groupe → Vérifier les noms → OK
- Choisir le niveau d'autorisation dans la liste déroulante
- Répéter pour chaque groupe du tableau ci-dessous
- Appliquer → OK
Dossier Commun
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_Tous_Employes |
Modification |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossier Direction
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_Direction |
Contrôle total |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossier Informatique
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_Informatique |
Contrôle total |
NOUVYGRP_Direction |
Lecture et exécution |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossier Commercial
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_Commercial |
Modification |
NOUVYGRP_Direction |
Contrôle total |
NOUVYGRP_Managers |
Lecture et exécution |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossier Comptabilite
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_Comptabilite |
Modification |
NOUVYGRP_Direction |
Contrôle total |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossier RH
| Principal | Autorisation NTFS |
|---|---|
NOUVYGRP_RH |
Modification |
NOUVYGRP_Direction |
Lecture et exécution |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Dossiers personnels (dans Profils)
Pour chaque sous-dossier (ex. Profilsemma.petit) :
| Principal | Autorisation NTFS |
|---|---|
NOUVYprenom.nom (le propriétaire) |
Contrôle total |
SYSTEM |
Contrôle total |
Administrateurs |
Contrôle total |
Aucun autre utilisateur ne doit apparaître dans la liste.
Vérification
Vérifier la structure AD
- Ouvrir Utilisateurs et ordinateurs Active Directory
- Parcourir l'arborescence
NOUVY.LAN → NOUVYet vérifier la présence de toutes les OUs - Ouvrir chaque OU et vérifier les utilisateurs présents
- Double-cliquer sur un groupe → onglet Membres pour vérifier les affiliations
Vérifier les partages
- Sur SRV-FICHIER1, ouvrir le Gestionnaire de serveur → Services de fichiers et de stockage → Partages
- Tous les partages doivent être visibles dans la liste
Tester l'accès depuis un poste client
- Ouvrir l'Explorateur de fichiers
- Dans la barre d'adresse, taper
\SRV-FICHIER1Commun$et valider - Vérifier que l'accès est accordé ou refusé selon l'utilisateur connecté
- Tester avec différents comptes (ex. emma.petit pour Commercial, ines.laurent pour RH)
Récapitulatif de l'infrastructure
| Élément | Valeur |
|---|---|
| Domaine | NOUVY.LAN |
| Contrôleur de domaine | SRV-AD01 — 192.168.194.100 |
| Serveur de fichiers | SRV-FICHIER1 — 192.168.194.110 |
| Nombre d'utilisateurs | 13 |
| Nombre de groupes | 7 |
| Nombre de partages | 7 |
| Mot de passe initial | Nouvy2024! (changement obligatoire) |
