I Mise en place de la stratégie de groupe
Lors de la création d'utilisateurs, nous avons ajouter le chemin du profil pour chaque utilisateur et nous avons créer un script de connexion pour tout les utilisateurs, qui se nomme user.bat.
Le script user.bat appelle un scropt Vb qui permet de récupérer le groupe de l'utilisateur créé dans Active Directory, et de connecter un lecteur réseau sur le serveur LNXDNS au nom de l'utilisateur et au nom de son groupe. Voici le script VB connect.vbs :
Dim Utilisateur, Listegroupe, domaine,WSHnet
Set wshnet=wscript.createobject("wscript.network")
Utilisateur=wshnet.username
Set UserObj = GetObject("WinNT://CASTELGINEST/"&Utilisateur)
Dim GroupObj
listegroupe=""
For Each GroupObj In UserObj.Groups
If Listegroupe="" Then
listegroupe = GroupObj.Name & CRLF
End if
next
Set wshell = CreateObject("WScript.Shell")
wshell.Run "repgroupe.bat "&listegroupe
wshell.Run "net use z: \\31.2.1.2\"&utilisateur
|
Ce script appelle un autre script appellé regroupe.bat :
@echo off
if not exist \\31.2.1.2\groupes\%1%2. (md \\31.2.1.2\groupes\%1%2.)
net use w: \\31.2.1.2\groupes\%1%2
net use x: \\31.2.1.2\public
regedit /s \\primaire\netlogon\documents.reg |
Ce script permet de créer le répertoire commun du groupe et de s'y connecter s'il n'existe pas sinon il créé seulement une connexion ainsi qu'au répertoire public. Voici un exemple pour l'utilisateur maire1 qui appartient au groupe maire, on peut voir que la connection de trois lecteurs réseaux, celui de l'utilisateur , celui du groupe et celui du répertoire commun :
II Stratégie de groupes
Après avoir créer les comptes utilisteurs et leur groupes respectif, nous avons mis en place la stratégie de groupe en créant dans Active Directory des Unités Organisationnelles. Les groupes créés sont :
- MAIRE qui a comme utilisateur maire1.
- ADJOINT qui a comme utilisateurs adj1, adj2, adj3.
- COMPTABLE qui a comme utilisateurs comptable1.
- CONSEIL MUNICIPAL qui a comme utilisateurs conseiller1, conseiller2, conseiller3, conseiller4, conseiller5.
- SECRETAIRE MAIRE qui a comme utilisateurs secretaire1.
- SECRETAIRES GENERAUX qui a comme utilisateurs sgAss, sgCfb, sgTeev.
Nous avons créer une Unité Organisationnelle, dans laquelle nous avons créés une stratégie générale qui s'applique à tous les utilisateurs. Dans cette Unité Organisationnelle nous avons créé une Unité Organisationnelle pour chaque groupe existant, dans laquelle se trouve le groupe et les utilisateurs. Les noms de ces Unités Organisationnelles porte le noms d'UO + le nom du groupe.
Le fait de créer une Unité Organisationnelle générale, dans laquelle se trouve plusieurs Unités Organisationnelles permet d'appliquer une même stratégie de groupe pour tous les groupes. Après dans chaque Unité Organisationnelle correspondant à un groupe, nous pouvons mettre en place une stratégie de groupe spécifique.
Pour spécifier une stratégie sur une Unité Organisationnelle, nous faisons un clique droit sur l'Unité Organisationnelle puis nous faisons propriétés et nous allons dans l'onglet Stratégie de groupe(Group Policy sur l'imprime écran ci-dessous) puis nous créons une stratégie de groupe que l'on édite. Après la console gpedit.exe se lance et nous pouvons mettre en place des stratégies sur les utilisateurs appartenant à l'Unité Organisationnelle.
Ensuite nous pouvons mettre en place des stratégies pour les utilisateurs des Unités Organisationnelles. Voici ci-dessous la console gpedit.exe qui permet de mettre en place une stratégie de groupe :
Pour la stratégie général, nous avons activé
la stratégie "Menu outils : désactiver
la commande option internet" pour éviter que les
utilisateurs modifient les options de connection à
Internet.
Nous avons interdit à tous les utilisateurs de modifier
le chemin d'accès au répertoire "Mes Documents".
Nous avons aussi ajouter une restriction concernant, nous
avons interdit l'ajout et la suppression d'imprimante.
Nous avons aussi interdit l'accès au propriétés
du'n connexion au réseau local, pour que les utilisateurs
ne modifie pas la stratégie de distribution d'adresse
IP.
Nous pouvons remarquer que ce genre de stratégie peut
être appliqué à tous le monde comme aussi
être spécifique à un groupe. Il existe
un grand nombre de stratégie intérressante à
mettre en place avec les Unités Organisationnelles
et la strégie de groupe, mais il existe d'autres moyens de faire des startégie de groupe en lancant la console "Domain Security Policy".
III Stratégie de domaine
Ouverture de la console "Domain Security Policy"
Nous avons mis en place plusieurs stratétgies :
Nous avons obliger l'utilisataeur à avoir un mot de passe supérieur à 6 caractères pour que les mots de passe ne soient pas trop court.
Nous avons mis un durée minimun du mot de passe, qui est de 7 jours, ceci oblige l'utilisateur à modifié toutes les semaine sont mots de passe
Nous avons aussi la posibilté de mettre en place des audits de sécurités.
Nous avons mis un audit sur les erreur d'évenements Système et sur les erreurs d'évènements de connexion.
Après avoir mis cette stratégie nous avons définis la taille maximun des fichier d'audit, nous les avons dans un premier temps mis à 512 kilobytes :
D'autres types de stratégie de permissons et de restrictions ont été mis en place avec la connexion d'accès distantes, pour voir ces diférrentes straégies voir le rapport sur la connection d'accès distantes.
|