Outils pour utilisateurs

Outils du site


nethserver_301_cahier_04_ad_jonction_de_stations

Table des matières



Description générale

Introduction

Le Cahier-04: NethServer, Active Directory et jonction de stations du “Cours NethServer-301” décrit la jonction de stations Win-8.1 et Win-10 à Active Directory roulant sur un Serveur NethServer 7.6-1810, le mappage d'un disque H: pour le répertoire personnel, le partage de fichiers/répertoires, le mappage ciblé et la création de profils itinérants pour certains utilisateurs.

Profils itinérants

Référence: https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles.

Un profil Windows est un ensemble des fichiers qui contiennent tous les paramètres d'un utilisateur, y compris les fichiers de configuration modifiés par l'utilisateur et les paramètres de registre. Dans un domaine Active Directory ou NT4, vous pouvez faire en sorte que le profil d'un utilisateur soit stocké sur un serveur. Ceci permet à l'utilisateur de se connecter à différentes stations du domaine Windows et d'utiliser les mêmes paramètres.

Lorsque vous utilisez des profils itinérants, une copie du profil est téléchargée du serveur vers la station du domaine Windows lorsqu'un utilisateur s'y connecte. Jusqu'à ce que l'utilisateur se déconnecte, tous les paramètres sont stockés et mis à jour dans la copie locale. Pendant la déconnexion, le profil est téléversé sur le serveur.

But de ce cahier

Joindre des stations Win-8.1 et Win-10 à Active Directory roulant sur un Serveur NethServer LOCAL.

Les procédures sont exactement les mêmes pour un Serveur NethServer physique directement branché ou non à l'Internet.

Nous allons utiliser la machine virtuelle du Cahier-301-02 : NethServer et migration de LDAP vers Active Directory du “Cours NethServer-301”.


Cours NethServer-101

Le Cours NethServer-101, se voulant une base solide pour la création d'un site de Commerce en ligne, comprend plusieurs cahiers:

  • Cahier-01: → Les bases de Linux.
  • Cahier-02: → Installation et configuration des logiciels prérequis sur le poste de travail.
  • Cahier-03: → Création d'un Serveur NethServer virtuel.
  • Cahier-04: → Serveur NethServer LOCAL & Let's Encrypt.
  • Cahier-05: → FAI, modem VDSL, domaine FQDN1) et Serveur NethServer physique.
  • Cahier-06: → Installation de WordPress.
  • Cahier-07: → Installation de l'extension de sécurité Wordfence.
  • Cahier-08: → WooCommerce, comptes chez Stripe et PayPal pour les paiements en ligne.
  • Cahier-09: → Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator.
  • Cahier-10: → Serveur mandataire inversé.
  • Cahier-11: → Sauvegarde/restauration avec BackupPC.

Cours NethServer-201

Le Cours NethServer-201 décrit l'installation et la configuration d'applications sur un Serveur NethServer.

Cours NethServer-301

Le Cours NethServer-301 décrit l'annuaire Active Directory roulant sur un Serveur NethServer.

Logiciels

Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence GPL; ils ne coûtent pas un sou. Le seul achat nécessaire est l'obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'environ $30 CAD.

But final du Cours NethServer-101

Après avoir suivi le Cours NethServer-101, vous posséderez un site de Commerce en ligne fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un Serveur NethServer virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'intégrité de votre site en ligne.

Particularités de ce document

Notes au lecteur

* Les captures d'écrans ne sont que des références.
** Les informations écrites ont préséance sur celles retrouvées dans les captures d'écrans. Veillez vous référer aux différents tableaux lorsque ceux-ci sont présents.
*** Une capture d'écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation.

Conventions

Manipulation, truc ou ruse pour se tirer d'embarras.
Une recommandation ou astuce.
Une note.
Une étape, note ou procédure à surveiller.
Paragraphe non complété ou non vérifié.
Danger pour la sécurité du système.

Toutes les commandes à la console ou à travers PuTTY sont précédées d'une invite qui est toujours présente.

[[email protected] ~]# ping 10.10.10.75 -c1

PING 10.10.10.75 (10.10.10.75) 56(84) bytes of data.
64 bytes from 10.10.10.75: icmp_seq=1 ttl=64 time=1.63 ms

--- 10.10.10.75 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.639/1.639/1.639/0.000 ms
[[email protected] ~]#
Commande à exécuter si ce n'est déjà fait.
Commande indiquée à titre d'information seulement.


À savoir


Serveur NethServer-7.6.1810

Le Serveur NethServer-7.6.1810 est un dérivé de la distribution Linux CentOS et est équivalent à CentOS-7.6.1810.

dorgee.micronator.org

  • Serveur passerelle pour les connexions à l'Internet.
  • Serveur DHCP pour tout le réseau LOCAL 192.168.1.0/24.

tchana.micronator-dev.org

Serveur virtuel LOCAL sous VirtualBox Version 6.0.4 r128413 (Qt5.6.2).

Poste de travail

Windows-8.1, on utilisera ce poste de travail comme station d'administration pour tout ce document.

Éditeur de texte

Ne modifiez pas les fichiers avec des éditeurs de documents tels Notepad, TextEdit ou autres qui ajoutent une marque d'ordre d'octets (byte order marks) aux fichiers et qui casse le programme PHP. Utilisez plutôt un éditeur de code tel vi, vim, Notepad++, ou Atom. Ces éditeurs gèrent l'encodage des fichiers de manière appropriée; ils peuvent aussi être utilisés pour réparer les fichiers précédemment cassés par les autres éditeurs de documents.

Notepad++

Voir le Cahier-02 : Installations & configurations des logiciels prérequis du “Cours NethServer-101” pour l'installation et la configuration de cet éditeur.

Description

Référence: https://notepad-plus-plus.org/.

Notepad++ est un éditeur de code source qui prend en charge plusieurs langages. Ce logiciel, codé en C++ avec STL et win32 api, a pour vocation de fournir un éditeur de code source de taille réduite mais très performant. En optimisant de nombreuses fonctions, tout en conservant une facilité d’utilisation et une certaine convivialité, Notepad++ contribue à la limitation des émissions de dioxyde de carbone dans le monde; en effet, en réduisant l’utilisation du CPU, la consommation d’énergie des ordinateurs chute considérablement, en conséquence de quoi, la terre est plus verte.

Site de téléchargement: https://notepad-plus-plus.org/downloads/.

Documentation

Quelques propriétés de notre fournisseur des comptes AD

[[email protected] ~]# account-provider-test dump

{
   "BindDN" : "[email protected]",
   "LdapURI" : "ldaps://nsdc-tchana.ad.micronator-dev.org",
   "DiscoverDcType" : "ldapuri",
   "StartTls" : "",
   "port" : 636,
   "host" : "nsdc-tchana.ad.micronator-dev.org",
   "isAD" : "1",
   "isLdap" : "",
   "UserDN" : "dc=ad,dc=micronator-dev,dc=org",
   "GroupDN" : "dc=ad,dc=micronator-dev,dc=org",
   "BindPassword" : "OwSvR7Cg_9XbT28w",
   "BaseDN" : "dc=ad,dc=micronator-dev,dc=org",
   "LdapUriDn" : "ldap:///dc%3Dad%2Cdc%3Dmicronator-dev%2Cdc%3Dorg"
}
[[email protected] ~]#


Serveurs DNS/Wins attribués par DHCP

L'ajout d'AD comme fournisseur de comptes signifie que la page DNS du Serveur NethServer NE SERA PLUS UTILISÉE!
L'adresse IP du serveur DNS que nous devons distribuer aux clients DOIT ÊTRE celle du conteneur Active Directory, c.-à-d. 10.10.10.76: l'adresse IP donnée lors de l'installation d'AD; voir le chapitre Contrôleur primaire de Domaine (PDC) du Cahier-02: NethServer et migration de LDAP vers Active Directory du “Cours NethServer-301”.

Vérification du serveur DHCP

On vérifie la configuration du serveur DHCP en ce qui a trait au Serveur DNS et au Serveur Wins.

Configuration → DHCP → onglet Serveur DHCP.

On vérifie les paramètres du serveur DHCP et si celui-ci fournit les bonnes adresses IP des Serveur DNS et Wins.


Particularités des groupes Samba

Description

Cet écran de l'interface Web de NethServer vous permet de créer, supprimer ou changer les groupes d'utilisateurs. Ces groupes sont tout simplement des listes d'utilisateurs qui partagent un même intérêt, tel travailler dans un même service ou collaborer à un même projet. La fonction de groupe d'utilisateurs a deux utilités pour le Serveur NethServer: elle permet au courrier électronique d'être envoyé à un groupe d'utilisateurs et permet à l'administrateur du système d'associer un groupe d'utilisateurs à une ou plusieurs i-bays (répertoires partagés).

La création d'un nouveau groupe est un processus simple composé de trois étapes. Vous entrez le nom du groupe (comme pour les noms de comptes, ce nom doit commencer par une lettre minuscule et ne se composer que de minuscules non accentuées et de nombres) suivi d'une brève description. Enfin, vous insérez les noms des utilisateurs à associer à ce groupe.

Mise en garde
Après avoir procédé à l'ajout ou à la suppression d'un compte d'utilisateur à un groupe, l'utilisateur doit se déconnecter, puis se reconnecter pour que ces changements puissent prendre effet. Tant que l'utilisateur ne l'aura pas fait, ses anciennes données concernant les membres du groupe prévaudront. Par exemple, supposons que vous créez un nouveau groupe ventes et que vous assignez l'utilisateur toto à ce groupe. Ensuite, vous créez une nouvelle I-bay appelée info-ventes à laquelle seul le groupe ventes peut accéder. L'utilisateur toto est toujours en session sur un poste de travail et il essaie maintenant de se connecter à la nouvelle I-bay. Il recevra un message d'erreur de type Permission refusée. Il doit alors fermer sa session (il n'a pas besoin d'arrêter ou de redémarrer son ordinateur, il lui suffit de fermer sa session) et se reconnecter. À présent, il pourra accéder sans problème à l'I-bay info-ventes.

Groupes par défaut

Si vous utilisez un Serveur NethServer en tant que contrôleur de domaine et que les postes de travail ont rejoint le domaine, alors en ajoutant des utilisateurs à des groupes spéciaux vous serez en mesure de modifier les droits qu'un utilisateur possède sur ces postes de travail.

Un Domaine a toujours trois groupes créés, répartis comme suit:

Description du groupeDroits du domaine
Domain Adminsadministrator
Domain Usersusers (tous - everyone)
Domain Guestsnobody


Principaux droits des groupes

Domain Admins

Référence: https://technet.microsoft.com/fr-fr/library/cc771990(v=ws.11).aspx.

Les membres de ce groupe possèdent le contrôle total de l’ordinateur et peuvent affecter des droits d’utilisateur et des autorisations de contrôles d’accès aux utilisateurs en fonction des besoins. Le compte Administrateur fait partie par défaut de ce groupe. Lorsqu’un ordinateur est joint à un domaine, le groupe Administrateur est automatiquement ajouté à ce groupe.

Vu que ce groupe dispose du contrôle total de l’ordinateur, il est conseillé d’y ajouter des utilisateurs avec précaution.

Droits par défaut des Administrateurs
  • Accéder à cet ordinateur à partir du réseau.
  • Ajuster les quotas de mémoire pour un processus.
  • Permettre l’ouverture d’une session locale.
  • Autoriser l’ouverture de session par les services Bureau à distance.
  • Sauvegarder des fichiers et des répertoires.
  • Contourner la vérification de parcours.
  • Modifier l’heure système.
  • Changer le fuseau horaire.
  • Créer un fichier d’échange.
  • Créer des objets globaux.
  • Créer des liens symboliques.
  • Déboguer des programmes.
  • Forcer l’arrêt à partir d’un système distant.
  • Emprunter l’identité d’un client après l’authentification.
  • Augmenter la priorité de planification.
  • Charger et décharger les pilotes de périphériques.
  • Ouvrir une session en tant que tâche.
  • Gérer le journal d’audit et de sécurité.
  • Modifier les valeurs de l’environnement du microprogramme.
  • Effectuer les tâches de maintenance de volume.
  • Processus unique du profil.
  • Performance système du profil.
  • Retirer l’ordinateur de la station d’accueil2).
  • Restaurer des fichiers et des répertoires.
  • Arrêter le système.
  • Prendre possession de fichiers ou d’autres objets.

Domain Users

Les membres de ce groupe peuvent effectuer des tâches courantes: exécuter des applications, utiliser les imprimantes locales ou celles du réseau et verrouiller l’ordinateur. Les membres de ce groupe ne peuvent pas partager des répertoires ni créer des imprimantes locales. Par défaut, les groupes Utilisateurs de domaine, Utilisateurs authentifiés et Interactifs sont membres de ce groupe. Par conséquent, tout compte d’utilisateur créé dans le domaine devient membre du groupe Domain Users.

Droits par défaut des Utilisateurs

  • Accéder à cet ordinateur à partir du réseau.
  • Permettre l’ouverture d’une session locale.
  • Contourner la vérification de parcours.
  • Changer le fuseau horaire.
  • Augmenter une plage de travail de processus.
  • Retirer l’ordinateur de la station d’accueil.
  • Arrêter le système.

Création de groupes sur le Serveur NethServer

Par défaut, le nom des utilisateurs/groupes dans NT-4.0 sont limités à 20 caractères.
Référence: https://docs.microsoft.com/fr-fr/windows/win32/adschema/a-samaccountname?redirectedfrom=MSDN

On affiche la longueur par défaut des noms de groupes.

[[email protected] ~]# config show maxGroupNameLength

maxGroupNameLength=31
[[email protected] ~]#

On modifie la longueur par défaut des noms des groupes.

[[email protected] ~]# /sbin/e-smith/db configuration set maxGroupNameLength 20

[[email protected] ~]#

On vérifie.

[[email protected] ~]# config show maxGroupNameLength

maxGroupNameLength=20
[[email protected] ~]#



Station Windows-8.1

Description

Nous allons utiliser une station de travail Windows-8.1 pour nous connecter à notre domaine Active Directory AD.MICRONATOR-DEV.ORG.

Avec Windows 8.x, il existe maintenant 2 types de compte, un compte Microsoft qui vous permet d'avoir une authentification unique sur tous les services du Cloud que Microsoft veut vous faire utiliser, mais qui ne vous permet pas de vous authentifier pour les services de domaine du Serveur NethServer. En effet, si vous souhaitez utiliser une authentification unique sur le réseau LOCAL, vous devez transformer votre compte Microsoft en un Compte Local, Ce dernier vous permet d'utiliser les services du Cloud en vous sollicitant à chaque fois qu'il est nécessaire de fournir le mot de passe Windows.
Lorsque vous utilisez Windows-8.x/10 dans un environnement de domaine d'un Serveur NethServer, vous ne serez pas en mesure d'utiliser un compte Microsoft pour vous loguer à un Serveur NethServer Contrôleur primaire de domaine. En effet, votre compte Microsoft n'est pas reconnu par le serveur après le login et vous devrez donner votre mot de passe pour chaque partage que vous souhaitez atteindre sur le Serveur NethServer.

Configuration de la carte réseau

On se logue à la station de travail avec un utilisateur ayant les droits d'Administrateur (admin, administrator ou michelandre) à joindre une station à Active Directory.

On s'assure de la bonne configuration de la carte réseau de la station.

- Clac sur l'icône réseau.
- Ouvrir le Centre Réseau et partage.


Modifier les paramètres de la carte.

Double-cliquer sur l'icône de la carte réseau.



Détails…

- On s'assure de la bonne configuration de la carte.
- Fermer.



Fermer toutes les fenêtres.

Vérification

Sur la station, on ouvre un écran de commande: clac sur Démarrer → Exécuter → entrer cmd → OK → ipconfig /all.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\michelandre>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : WIN-181
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-04-A8-0C
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 10.10.10.181(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : 10.10.10.75
   Serveurs DNS. . .  . . . . . . . . . . : 10.10.10.76
   Serveur WINS principal . . . . . . . . : 10.10.10.76
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{7876B49B-705C-4A0C-B5A2-F771321D174A} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #3
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

C:\Users\michelandre>

Les prérequis sont remplis, on est prêt à joindre cette station Windows-8.1 au domaine AD.MICRONATOR-DEV.ORG.

Fichiers hosts

Serveur sur un réseau LOCAL

Vu que nous ne possédons pas de serveur DNS pour notre réseau LOCAL, il nous faut ajouter les entrées spécifiant les adresses IP du conteneur AD dans le fichier C:\Windows\System32\drivers\etc\hosts de la station à joindre au domaine afin qu'elle puisse contacter le serveur du domaine.

...
# POUR ACTIVE DIRECTORY
10.10.10.76 ad.micronator-dev.org
10.10.10.76 nsdc-tchana.ad.micronator-dev.org
10.10.10.76 adserver.ad.micronator-dev.org
...


Serveur branché directement à l'Internet

Affichage des CNAME de notre domaine.

[[email protected] ~]# account-provider-test dump

{
   "BindDN" : "[email protected]",
   "LdapURI" : "ldaps://nsdc-tchana.ad.micronator-dev.org",
   "DiscoverDcType" : "ldapuri",
   "StartTls" : "",
   "port" : 636,
   "host" : "nsdc-tchana.ad.micronator-dev.org",
   "isAD" : "1",
   "isLdap" : "",
   "UserDN" : "dc=ad,dc=micronator-dev,dc=org",
   "GroupDN" : "dc=ad,dc=micronator-dev,dc=org",
   "BindPassword" : "OwSvR7Cg_9XbT28w",
   "BaseDN" : "dc=ad,dc=micronator-dev,dc=org",
   "LdapUriDn" : "ldap:///dc%3Dad%2Cdc%3Dmicronator-dev%2Cdc%3Dorg"
}
[[email protected] ~]#

Pour un serveur directement branché à l'Internet, il faut ajouter les trois enregistrements CNAME: ad, nscd-tchana.ad et adserver.ad chez le régistraire de notre nom de domaine.

Ici, nous utilisons cloudflare.com comme régistraire de domaine.

ad

nscd-tchana.ad

adserver.ad

Résultat final


Pour plus de détails, voir le chapitre Régistraire de domaines dans le Cahier-05: VDSL, FQDN, Internet et NethServer du “Cours NethServer-101”.

Voir aussi le chapitre Certificat pour un domaine LOCAL dans le Cahier-04: NethServer LOCAL & Certificat Let's Encrypt du “Cours NethServer-101”.

Jonction au domaine

On va joindre la station WIN-181 à notre domaine AD.MICRONATOR-DEV.ORG.

Clac sur le bouton Démarrer → Système → Paramètres système avancés → onglet Nom de l'ordinateur → Identité sur le réseau…

Cet ordinateur appartient à un réseau d'entreprise… → Suivant.

Ma société utilise un réseau comprenant un domaine → Suivant.


Suivant.

- On entre admin/mot de passe.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.

- On choisit un nom pour cette station.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.

- On entre admin/mot de passe.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- OK.

- Le nom de l'utilisateur admin est déjà entré.
- Le nom du domaine est AD.MICRONATOR-DEV.ORG.
- Suivant.


On veut que l'utilisateur admin soit administrateur de la station de travail.
- Administrateur.
- Suivant.





Terminer.

- OK.

- Redémarrer maintenant.


Premier login d'admin

- On entre le mot de passe d'admin → [Entrée].

- On peut aussi choisir de se loguer sous un autre utilisateur.

Soyez très patient, Windows va créer le compte AD.MICRONATOR-DEV.ORG\admin et son environnement sur la station, ce qui peut prendre un certain temps, voire plusieurs minutes.


Vérification

Clac sur le bouton Démarrer → Système → Paramètres système avancés → onglet Nom de l'ordinateur.

On voit que la station est jointe au domaine AD.MICRONATOR-DEV.ORG.


Anciens usagers locaux de la station WIN-181

Si les anciens usagers originaux de la station WIN-181 veulent se loguer localement ils doivent mettre .\ (point et barre oblique inversé) avant leur nom d'usager.

Pour l'ancien utilisateur michelandre, qui s'était déjà logué à la station WIN-181 avant sa jonction à Active Directory, ce sera .\michelandre.

- On clique Autre utilisateur.

- On entre .\michelandre → mot de passe → [Entrée].

Instantané VirtualBox

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Mappage de disque

Prérequis

Installation du module Serveur de fichiers

Administration → Gestionnaire des logiciels → Ignorer.

Onglet Disponible → on coche Serveur de fichiers et NethServer-samba-audit → Ajouter.

Appliquer les changements.

Recharger la page.

Ignorer.


Mappage d'un disque pour le répertoire personnel

Introduction

Nous allons utiliser RSAT et les Stratégie de groupe pour mapper un disque H: pour le répertoire personnel des utilisateurs.

Nous avons déjà installé RSAT dans le Cahier-301-01 : RSAT (Remote Server Administration Tools) du “Cours NethServer-301”.

Login de l'utilisateur admin

Si ce n'est déjà fait, on se logue sur la station WIN-181 en tant que l'utilisateur admin.

Icône de lancement de Server Manager (RSAT)

Si ce n'est déjà fait sur le bureau, on peut y ajouter une icône de raccourci vers le Gestionnaire de serveur.

Clac sur Démarrer → Rechercher → Server Manager → clac sur Server Manager → Ouvrir le dossier.


Clac sur le fichier → Envoyer vers → Bureau (créer un raccourci).

Le raccourci vers le gestionnaire est sur le bureau.

On peut aussi utiliser ( + R ) pour ouvrir une fenêtre d'exécution et lancer la commande: ServerManager (sans espace entre Server et Manager).

Voici une liste d'interfaces auxquelles on accède avec un .msc (commandes à taper pour accéder aux diverses interfaces).

gpmc.mscGestion de stratégie de groupe - Group Policy Management Console.
gpedit.mscÉditeur de stratégie de groupe locale - Group Policy ObjectEditor.
lusrmgr.mscGestionnaire des groupes locaux d'utilisateurs - Local user manager group.
fsmgmt.mscGestionnaire des dossiers partagés - Folder Sharing Management.
compmgmt.mscGestion de l'ordinateur.

Création d'une stratégie de groupe



Double-cliquer l'icône.



Outils → Gestion des stratégies de groupe.

- On développe jusqu'à Domaines.
- Clac sur le nom de notre domaine.
- Créer un objet GPO dans ce domaine…

Répertoire personnel → OK.

Clac sur Répertoire personnel → Modifier…


- On développe jusqu'à Paramètres Windows.
- Clac sur Mappages de lecteurs → Nouveau → Lecteur mappé.



- Onglet Général.
- On entre les informations demandées.

- Onglet Commun.
- Cocher Exécuter dans le con­tex­te de sécurité…
- Appliquer.




OK.




On vérifie les paramètres affichés.

Vérification

Sur le Serveur NethServer, on vérifie les répertoires personnels.

[[email protected] ~]# ls -als /var/lib/nethserver/home/

total 0
0 drwxr-xr-x.  6 root                           root                             62 28 nov.  18:11 .
0 drwxr-xr-x. 12 root                           root                            155 19 avril  2019 ..
0 drwx------   2 [email protected]       domain [email protected]  83 28 nov.  18:06 admin
0 drwx------   2 [email protected] domain [email protected]  83 16 nov.  13:54 michelandre
0 drwx------   2 [email protected]        domain [email protected]  83 17 oct.  11:32 titi
0 drwx------   2 [email protected]        domain [email protected]  83 17 oct.  11:32 toto
[[email protected] ~]#

Sur la station WIN-181, l'utilisateur admin ouvre un écran Power Shell et met à jour les stratégies de groupe.

( + R ) → powershell → OK.

gpupdate /force (peut prendre un certain temps).

L'utilisateur admin lance l'Explorateur Windows.

Dans Options des dossiers, il s'assure que les paramètres Afficher le chemin d'accès complet dans la barre de titre et Afficher les fichiers, dossiers et lecteurs cachés soient sélectionnés.

L'utilisateur admin retourne à l'Explorateur Windows pour afficher ses disques.

Le disque H: est présent et il pointe vers son répertoire personnel.

Autre utilisateur - michelandre

L'utilisateur admin se déconnecte de la station WIN-181 et on se logue en tant que l'utilisateur michelandre.

- On clique l'icône Autre utilisateur.

- On entre l'identifiant et le mot de passe de l'utilisateur michelandre.

L'utilisateur michelandre est reconnu comme un utilisateur du domaine et il peut se loguer à cette station.

Soyez très patient, Windows va créer le compte AD.MICRONATOR-DEV.ORG\michelandre et son environnement sur la station, ce qui peut prendre un certain temps, voire plusieurs minutes.

L'utilisateur michelandre lance l'Explorateur Windows.
Dans Options des dossiers, il s'assure que les paramètres Afficher le chemin d'accès complet dans la barre de titre et Afficher les fichiers, dossiers et lecteurs cachés soient sélectionnés.

Après avoir fermer la fenêtre des Options des dossiers, il voit son répertoire personnel et peut y accéder.

Instantané VirtualBox

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Partage de dossiers (ibays)

Introduction

Un dossier partagé est une ressource du système accessible à l'aide du protocole SMB/CIFS (partage de fichiers et d'imprimantes Windows).

Les dossiers partagés utilisent Samba et nécessitent un fournisseur de compte Active Directory, qu'il soit local (disponible en installant le module “nethserver-dc” à partir de la page “Gestionnaire des logiciels”) ou distant (disponible en se connectant à un contrôleur Active Directory ou Samba).

Si un fournisseur de compte LDAP ou si aucun fournisseur de compte n'est configuré, seul l'accès en mode invité est fourni.

Confidentialité des dossiers partagés

Référence: https://technet.microsoft.com/fr-ca/library/cc753731(v=ws.11).aspx.

Les autorisations NTFS ont un impact sur l’accès local et distant. Elles s’appliquent, quel que soit le protocole adopté. Par opposition, les autorisations de partage s’appliquent uniquement aux ressources réseau partagées. Les autorisations de partage ne restreignent pas l’accès de tout utilisateur local ou de tout utilisateur des services Terminal Server. Par conséquent, les autorisations de partage n’offrent pas de confidentialité entre utilisateurs sur un ordinateur utilisé par plusieurs utilisateurs; ce qui n'est pas le cas avec Active Directory.

Prérequis

Les répertoires partagés utilisent ACL (Access Control List) pour fournir des autorisations flexibles sur les fichiers et les répertoires.

L'option acl est déjà activée sur XFS, le système de fichiers CentOS (NethServer) par défaut.

[[email protected] ~]# cat /etc/fstab

#
# /etc/fstab
# Created by anaconda on Fri Jan  4 14:13:25 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/VolGroup-lv_root /                       xfs     defaults        0 0
UUID=a7c532b2-51d2-419a-ab83-b87d08f8205a /boot                   xfs     defaults        0 0
/dev/mapper/VolGroup-lv_swap swap                    swap    defaults        0 0
[[email protected]ana ~]#

Répertoire ibay dans une autre partition

NethServer entrepose les dossiers partagés dans /var/lib/nethserver/ibay/*.

Si vous avez monté le répertoire ibay dans un autre système de fichiers, vous devez ajouter manuellement l'option acl dans /etc/fstab.

Exemple: Le disque /dev/sdb1 est monté dans le répertoire /var/lib/nethserver/ibay.

...
/dev/sdb1  /var/lib/nethserver/ibay  ext4  acl  1 2
...

Si tel est le cas, une fois l'option dans fstab, il vous suffit de remonter toutes les partitions en lançant:

mount -a


Configuration

Référence: http://docs.nethserver.org/en/v7/ui/FileServer.html.
Référence: http://docs.nethserver.org/en/v7/shared_folder.html#shared-folders-section.

Configuration → Serveur de fichiers Windows.

Donner le contrôle total au créateur.

Donner le contrôle total des répertoires d'accueil au groupe Admins du domaine (home$ share).

Donner le contrôle total des dossiers partagés au groupe Admins du domaine.

SAUVEGARDER.


Création d'un dossier partagé

Le Serveur NethServer sauvegarde les dossiers partagés dans /var/lib/nethserver/ibay/*.

Longueur maximale des nom des ibays.

[[email protected] ~]# /sbin/e-smith/db configuration show  maxIbayNameLength

maxIbayNameLength=30
[[email protected] ~]#

Création

Gestion → Dossiers partagés → CRÉER NOUVEAU.

Onglet Général

On peut créer un dossier partagé pour y insérer diverses directives pour tous les usagers du domaine.

Nom
Le nom du dossier partagé. Il ne peut contenir que des lettres minuscules, des chiffres, des points, des tirets et des traits de soulignement.

Description
Champ facultatif pour une brève description du dossier partagé.

Groupe propriétaire
Le groupe propriétaire du dossier partagé, seuls les membres du groupe peuvent accéder au dossier.

Autoriser l'écriture au propriétaire du groupe
Autorise l'accès en écriture aux membres du groupe propriétaire.

Autoriser la lecture à tout le monde
Autorise l'accès en lecture à toute personne se connectant au système, ainsi qu'aux réseaux publics.

Accès invité
Un utilisateur invité est un utilisateur dont l'identification a échoué, car il n'a pas fourni d'informations d'identification ou a fourni une information incorrecte. Pour les utilisateurs ou les périphériques qui agissent dans ce mode, vous pouvez accorder les autorisations suivantes:
◉ Aucun
⚪ Lecture seulement
⚪ Lecture et écriture

Browseable
Contrôle la visibilité du dossier partagé. Lorsque cette option est activée, le dossier partagé est répertorié publiquement. Cela n'affecte pas l'autorisation d'utiliser cette ressource.

recycle bin réseau
Non cochée → la corbeille est désactivée.
Cochée –> active la corbeille, mais ne garde que la dernière version si deux fichiers portant le même nom sont supprimés. Lorsque la corbeille est activée, si un utilisateur supprime un fichier, au lieu de le supprimer du serveur, SAMBA le déplace dans le répertoire recycle bin à la racine du dossier partagé (le répertoire est créé s'il n'existe pas).
Lorsqu'activée (cochée) –> la corbeille conserve une copie de chaque fichier supprimé.

Keep copies of files with the same name
Non cochée –> le dernier fichier remplace le précédent.
Cochée –> Si deux fichiers portent le même nom, ils restent distincts dans la corbeille.

Ancien format

Migrate to virtual host
Utilisez ce bouton pour migrer un dossier partagé au format ancien; avec un accès HTTP restauré à partir d'une sauvegarde.

Onglet ACL

La liste de contrôles d'accès permet de spécifier des autorisations d'accès au répertoire partagé pour chaque utilisateur ou groupe, en plus de celles du groupe qui est le propriétaire du répertoire.

- On ajoute Domain Users afin qu'ils puissent lire le fichiers dans le dossier partagé.

- On ajoute domain [email protected] afin qu'ils puissent écrire les fichiers des directives aux usagers dans le dossier partagé.

Lire
Autorise ou refuse l'accès en lecture à l'utilisateur ou au groupe sélectionné.

Écrire
Autorise ou refuse l'accès en écriture à l'utilisateur ou au groupe sélectionné.

Onglet Audit Samba

On peut activer ou non l'Audit Samba sur les dossiers partagés.

SOUMETTRE.

On vérifie.

Après SOUMETTRE et Éditer

Sous l'onglet Général.

Réinitialiser les permissions
Définit le propriétaire du groupe et les ACL configurées à l'aide de ce module sur tous les fichiers du dossier. L'opération sera effectuée de manière récursive sur tous les fichiers et sous-répertoires du dossier partagé.

Actions

Réinitialiser les permissions
Définit le propriétaire du groupe et les ACL configurées à l'aide de ce module sur tous les fichiers du dossier. L'opération sera effectuée de manière récursive sur tous les fichiers et sous-répertoires du dossier partagé.

Supprimer
Supprime le dossier et tout son contenu. L'action est irréversible! Le seul moyen de récupérer le contenu d'un répertoire partagé qui a été supprimé est de le restaurer depuis une sauvegarde.

Vérification

[[email protected] ~]# ls -als /var/lib/nethserver/ibay/

total 0
0 drwxrwxr-x   3 root root                             24  3 sept. 06:15 .
0 drwxr-xr-x. 14 root root                            187  8 déc.  09:39 ..
0 drwxrwsr-x+  2 root domain [email protected]   6  8 déc.  09:42 Directives
[[email protected] ~]#

On créé le fichier Directive-01.txt dans le répertoire et on y ajoute du texte décrivant les différentes directives pour les utilisateurs.
Prendre tout le contenu de l'encadré pour la commande.

cat > /var/lib/nethserver/ibay/Directives/Directive-01.txt <<'EOT'
Première directive
EOT

On vérifie la création du fichier.

[[email protected] ~]# ls -ls /var/lib/nethserver/ibay/Directives/Directive-01.txt

4 -rw-rw-r--+ 1 root domain [email protected] 20  8 déc.  16:42 /var/lib/nethserver/ibay/Directives/Directive-01.txt
[[email protected] ~]#

Sur la station WIN-181, l'utilisateur toto se logue et il lance l'Explorateur Windows. Dans Options des dossiers, il s'assure que les paramètres Afficher le chemin d'accès complet dans la barre de titre et Afficher les fichiers, dossiers et lecteurs cachés soient sélectionnés.

On affiche les dossiers partagés du Server NethServer.

- L'utilisateur toto indique le nom de notre serveur:
- \\tchana.

- Le dossier partagé s'affiche.
- L'utilisateur toto le double-clique pour l'ouvrir.

Le contenu du dossier s'affiche.

L'utilisateur toto peut lire le fichier.

L'utilisateur toto veut Modifier le fichier.


L'utilisateur toto ajoute du texte.

Lorsqu'il veut enregistrer ses modifications, le serveur refuse.

S'il essaie de supprimer le fichier, il n'a pas les droits suffisants.


Samba audit

Rapports → Samba audit → Reload.

L'Audit Samba a enregistré toutes les opérations que l'utilisateur toto a effectuées.

Comme on le voit ci-contre, l'Audit Samba peut créer un journal des transactions et celui-ci peut être très volumineux.

Il est préférable de n'activer l'Audit Samba que lorsque c'est absolument nécessaire.

On peut lancer une recherche dans le journal d'Audit Samba.

On peut supprimer une partie ou tout le journal.


Dossier partagé avec droit d'écriture

On crée un nouveau dossier de partage dans l'interface Web de NethServer. Gestion → Dossier partagés → CRÉER NOUVEAU.

Le dossier partagé est prêt à l'emploi.

Si l'utilisateur toto est logué, il faut qu'il se délogue et se relogue pour pouvoir accéder au nouveau répertoire partagé.

Explorateur Windows → \\tchana → [Retour] → Documents en partage.

L'utilisateur toto peut créer un répertoire/fichier.


Mappage du dossier partagé

L'utilisateur admin se logue à la station WIN-181 et lance le Gestionnaire de serveur.

Création d'une stratégie de groupe



Double-cliquer l'icône.



Outils → Gestion des stratégies de groupe.

- On développe jusqu'à Domaines.
- Clac sur le nom de notre domaine.
- Créer un objet GPO dans ce domaine…




Dossier partagé → OK.




Clac sur Dossier partagé → Modifier…

- On développe jusqu'à Paramètres Windows.
- Clac sur Mappages de lecteurs → Nouveau → Lecteur mappé.

- Onglet Général.
- On entre les informations demandées. \\tchana\Documents en partage


Onglet Commun → on coche Exécuter dans le contexte… → Appliquer.



OK.

Au retour, cliquer l'onglet Standard pour afficher notre nouvelle stratégie.

Sur la station WIN-181, l'utilisateur admin ouvre un écran de commande et lance: gpupdate /force.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\admin.MICRONATOR-DEV> gpupdate /force
Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.


C:\Users\admin.MICRONATOR-DEV>

L'utilisateur admin lance l'Explorateur Windows et il peut voir le nouveau dossier partagé.

Pour s'assurer que la stratégie est appliquée à tous les utilisateurs de notre domaine, l'utilisateur admin se délogue et l'utilisateur toto se logue sur WIN-181.

L'utilisateur toto possède lui aussi le disque Partage.

Si l'utilisateur toto clique sur le disque Partage (P:), il peut voir le répertoire qu'il a créé précédemment.

Il peut entrer dans le répertoire et y créer un document, car tous les utilisateurs du domaine y ont des droits de lecture et d'écriture.

Instantané VirtualBox

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Mappage ciblé

Mappage ciblé pour le groupe Domain users

On crée un mappage qui cible le groupes Domain users (c.-à-d. tous les utilisateurs du domaine AD.MICRONATOR-DEV.ORG) et qui pointe vers le répertoire Directives.

Création d'une stratégie de groupe

On crée une stratégie de groupe pour appliquer le mappage ciblé.

On lance le Gestionnaire de serveur, puis la Gestion de stratégie de groupe.

Clac sur ad.micronator-dev.org → Créer un objet GPO dans ce domaine et le lier ici…


Map T vers Directives pour tous les usagers → OK.


Au retour, clac sur Map T vers Directives pour tous les usagers → Modifier…

- Sélectionner Configuration uti­lisateur → Préférences → Para­mè­tres Windows → Mappages de lecteurs → Nouveau → Lecteur mappé.



- Onglet Général.
- On entre les informations de­man­dées.

- Onglet Commun.
- Cocher Ciblage au niveau de l'é­lément.
- Ciblage…


Nouvel élément → Groupe de sécurité.

Recherche/vérification Domain Users → OK.


Appliquer.

OK.

Onglet Étendu et on vérifie.

On met à jour les stratégies de groupe.

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\admin> gpupdate /force

Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.

C:\Users\admin>

On lance l'Explorateur Windows et on voit le disque Directives (T:).

Notre mappage ciblé fonctionne correctement.


Mappage ciblé pour le groupe Domain admins

Nous allons créer un mappage ciblé vers un disque R: qui pointera vers un répertoire partagé qu'on nommera RSAT et qui contiendra les fichiers d'installation de RSAT pour Windows-8.1/10. Seuls les utilisateurs du groupe Domain admins auront ce mappage de disque. Tout utilisateur appartenant à ce groupe pourra ainsi, si nécessaire, installer RSAT sur une nouvelle station.

Création du dossier partagé

Gestion → Dossiers partagés → CRÉER NOUVEAU.

Onglet Général → on entre les informations demandées.

Onglet ACL on donne le droit de Lire/Écrire au groupe domain admins.

Onglet Audit Samba, activation au choix → SOUMETTRE.

On s'assure du succès de l'opération.

Vérification

[[email protected] ~]# ls -als /var/lib/nethserver/ibay/

total 0
0 drwxrwxr-x   5 root root                              64 14 déc.  10:26 .
0 drwxr-xr-x. 14 root root                             187 12 déc.  11:39 ..
0 drwxrwsr-x+  2 root domain [email protected]   30 12 déc.  12:45 Directives
0 drwxrwsr-x+  3 root domain [email protected]   18 12 déc.  13:03 Documents en partage
0 drwxrws---+  2 root domain [email protected]   6 14 déc.  10:26 RSAT
[[email protected] ~]#

On copie les fichiers RSAT pour Windows-8.1 et Windows-10 dans le répertoire RSAT et on vérifie.

[[email protected] ~]# ls -ls /var/lib/nethserver/ibay/RSAT

total 163748
69212 -rw-rw----+ 1 root domain [email protected] 70872826  2 nov.  13:37 Windows8.1-KB2693643-x64.msu
94536 -rw-rw----+ 1 root domain [email protected] 96800972 14 déc.  11:15 WindowsTH-RSAT_WS2016-x64.msu
[[email protected] ~]#

Création d'un mappage ciblé

Clac sur ad.micronator-dev.org → Créer un objet GPO dans ce domaine et le lier ici…


Map R vers RSAT pour le groupe Domain admins → OK.

Au retour, clac sur Map R vers RSAT pour le groupe Domain admins → Modifier…

Configuration uti­lisateur → Pré­férences → Para­mè­tres Windows → Mappages de lecteurs → Nouveau → Lecteur mappé.



- Onglet Général.
- On entre les informations de­man­dées.

- Onglet Commun.
- Cocher Ciblage au niveau de l'é­lément.
- Ciblage…

Nouvel élément → Groupe de sécurité.

Recherche/vérification Domain Admins → OK.


Appliquer.

OK.

Onglet Étendu et on vérifie.

On met à jour les stratégies de groupe.

C:\Users\admin> gpupdate /force

Mise à jour de la stratégie...

La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.

C:\Users\admin>


Avec l'Explorateur Windows, l'utilisateur admin voit notre nouveau disque RSAT (R:).

Après avoir double-cliquer l'icône du disque RSAT, on voit que le répertoire contient nos deux fichiers d'installation de RSAT pour Windows-8.1 et Windows-10.

Instantané VirtualBox

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Nos mappages ciblés fonctionnent correctement.


Profils itinérants

Les profils itinérants, qu'est-ce que c'est?

Référence: http://www.labo-microsoft.org/articles/win/profil-redirection-quotas/0/.

Il peut arriver qu'un utilisateur se serve de plusieurs ordinateurs avec le même compte utilisateur. Lorsqu'il va utiliser un certain ordinateur, il va hériter d'un environnement différent de celui présent sur un autre ordinateur. Dans ce cas, il pourrait être intéressant pour cet utilisateur d'avoir un profil itinérant. En effet, le fait d'utiliser ce type de compte va permettre à votre utilisateur de conserver ses documents, ses paramètres et son environnement de travail, quel que soit l'ordinateur sur lequel il ouvre une session. Les profils itinérants stockent leurs informations sur un serveur. Concrètement, vous retrouverez les dossiers ci-contre dans le répertoire stockant le profil itinérant sur le Serveur NethServer.

Ainsi, avec la présence de ces dossiers, vous pourrez avoir tous vos Favoris Internet Explorer, la liste des derniers documents que vous avez utilisés, tous les modèles que vous avez créés pour la suite LibreOffice, les témoins (cookies) utilisés par Internet Explorer ainsi que les mots de passe utilisés pour les sites web, l'apparence de votre bureau (Arrière-plan, menu démarrer classique/normal, raccourcis dans le menu Démarrer, …) et les paramètres de certaines applications telle qu'Adobe Reader.

Dans une entreprise, un utilisateur peut être amené à s'authentifier sur différentes machines tout en voulant profiter d'un environnement identique sur chacune de celles-ci. Il peut être intéressant, dans ce cas, d'implémenter des profils itinérants puisque le fait de stocker le contenu d'un profil sur un serveur vous apporte également certains avantages. Vous pourrez notamment effectuer des sauvegardes de ces profils afin d'éviter toute perte de documents, vérifier la présence de virus, mais surtout, vous aurez une gestion centralisée de vos profils utilisateurs. Les profils itinérants prouvent encore une fois leur utilité lorsque vous devez réinstaller une machine. Une fois la machine réinstallée, lors de sa première ouverture de session, l'utilisateur va retrouver l'intégralité de son environnement de travail.

Quelques recommandations

Avant de vous lancer dans la configuration de profils itinérants, il pourrait être intéressant de suivre des recommandations et avertissements concernant ce type de profil. En effet, pour fonctionner correctement, les profils itinérants ont besoin d'un environnement spécifique. Voyons ensemble certains points importants:

  • Installez les mêmes applications sur tous vos ordinateurs: faites en sorte que la version de l'application soit la même sur toutes les machines, que le chemin vers cette application soit le même au niveau de l'arborescence de répertoires et au niveau de la lettre du disque dur.
  • Si vos utilisateurs sont susceptibles de changer de version de Windows (Windows NT4, 2000 ou XP), faites en sorte que les chemins du profil soient les mêmes sur toutes les machines. En effet, sous Windows NT4, on retrouvera un chemin de profil de type %windir%\Profiles, tandis que sous Windows XP, 2000, on retrouvera un chemin de type %systemdrive%\Documents and Settings. Ce type de localisation pourrait poser des problèmes si vos utilisateurs changent constamment de version de Windows.
  • Vous pouvez également utiliser la redirection de répertoire pour ceux susceptibles d'être volumineux, par exemple le dossier Mes Documents ou encore le Bureau, afin de gagner en temps de chargement. En effet, avec la redirection de répertoire, le système de synchronisation est différent et se charge beaucoup plus rapidement. Ainsi, si vous redirigez ces répertoires, vos ouvertures de session seront beaucoup plus rapides.
  • N'utilisez pas le système de chiffrage Encrypted File System (EFS) avec vos comptes itinérants. L'utilisation de ce système désactiverait le caractère itinérant du profil.
  • De la même manière, ne stockez pas les profils sur un disque qui utilise la compression NTFS. Ceci n'est qu'une recommandation puisque la compression NTFS ne bloque pas les profils itinérants. Seulement, le contenu est souvent copié et mis à jour sur le serveur, ce qui, dans le cas où la compression est activée, augmenterait le taux de fragmentation des fichiers.
  • Attention aux quotas de disque! Si vous mettez un quota de disque trop petit pour les utilisateurs, ils ne pourront pas créer leur profil. De plus, lors de la synchronisation, un profil temporaire est créé. S'il manque d'espace pour le créer, la synchronisation échouera.
  • Pour éviter les problèmes de synchronisation lors des ouvertures/fermetures de sessions, assurez-vous d'avoir désactivé les fichiers hors-connexion. Si ceux-ci ne sont pas désactivés, vous pourriez avoir des problèmes de synchronisation entre le profil et les fichiers hors connexion.

Encore une fois, les différents points ci-dessus ne sont, pour certains, que des recommandations. Vous n'êtes pas obligé de les suivre à la lettre.

Choix du contenu et de l'emplacement du profil

Nous allons utilisé les profils complets, sans redirection pour le répertoire Documents. Les profils seront stockés sur le Serveur NethServer, non pas dans une i-bay, mais dans un répertoire dédié à cette fin.

Chaque utilisateur, désirant un profil itinérant, devra en faire la demande et sera ajouté à ceux déjà en place.

Versions du profil itinérant Windows

Selon la version du système d'exploitation, Windows utilise des dossiers de profil différents pour un même utilisateur afin de prendre en charge les fonctionnalités spécifiques à la version de Windows. Les profils de la version 2 et suivantes ajoutent le suffixe .V* au dossier du profil de l'utilisateur.

Les versions de profil Windows ci-contre existent.

Prérequis pour Windows-8.x

Mise à jour de la station

Il faut absolument mettre à jour la station Windows-8.x et ajouter une nouvelle clé à son Registre afin de pouvoir utiliser la bonne version de profil.

Paramètre UseProfilePathExtensionVersion

https://support.microsoft.com/en-us/help/2890783/incompatibility-between-windows-8-1-roaming-user-profiles-and-those-in

Après avoir appliqué les mises à jour, vous devez créer une clé de Registre avant de redémarrer l'ordinateur.

Une modification incorrecte du Registre peut gravement endommager votre système. Avant d'apporter des modifications au Registre, vous devez sauvegarder toutes les données importantes sur l'ordinateur.

HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters


Clac sur Démarrer → Exécuter → regedit → [OK].

HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters.


Clac sur Parameters → Nouveau → Valeur DWORD 32 bits.

UseProfilePathExtensionVersion → [Entrée].


Données de la valeur: 1 → OK.


Fichier → Quitter.

Après avoir configuré l'entrée de Registre UseProfilePathExtensionVersion, vous devez redémarrer l'ordinateur. Ensuite, Windows 8.1 crée un profil utilisateur et ajoute le suffixe “.v4” au nom du dossier de profil pour le différencier de la version 2 du profil dans Windows 7 et de la version 3 du profil dans Windows 8. Les ordinateurs Windows 8.1 qui ont le correctif cumulatif 2887595 installé et l'entrée de Registre UseProfilePathExtensionVersion configurée utilise la version 4 du profil.

Création du répertoire de stockage des profils

Sur le Serveur NethServer, on crée le répertoire de stockage des profils itinérants.

[[email protected] ~]# mkdir /var/lib/nethserver/profils

[[email protected] ~]#

On ajuste le propriétaire.

[[email protected] ~]# chown "[email protected]" /var/lib/nethserver/profils

[[email protected] ~]#

On ajuste le groupe.

[[email protected] ~]# chgrp "domain [email protected]" /var/lib/nethserver/profils

[[email protected] ~]#

On ajuste les droits.

[r[email protected] ~]# chmod 777 /var/lib/nethserver/profils

[[email protected] ~]#

On vérifie.

[[email protected] ~]# ls -alsd  /var/lib/nethserver/profils

0 drwxrwxrwx 2 [email protected] domain [email protected] 6 18 déc.  19:50 /var/lib/nethserver/profils
[[email protected] ~]#

Gabarit personnalisé

On crée un gabarit personnalisé pour l'ajout d'un greffon de configuration au serveur SAMBA.

[[email protected] ~]# mkdir -p /etc/e-smith/templates-custom/etc/samba/smb.conf

[[email protected] ~]#

On créé le greffon lui-même.

Prendre tout le contenu de l'encadré pour la commande.

cat > /etc/e-smith/templates-custom/etc/samba/smb.conf/71profils <<'EOT'
[profils]
comment = Répertoire de stockage des profils
browsable = no
path = /var/lib/nethserver/profils
read only = no
store dos attributes = Yes
create mask = 0600
directory mask = 0700
profile acls = yes
csc policy = disable
EOT

On vérifie.

[[email protected] ~]# cat /etc/e-smith/templates-custom/etc/samba/smb.conf/71profils

[profils]
comment = Répertoire de stockage des profils
browsable = no
path = /var/lib/nethserver/profils
read only = no
store dos attributes = Yes
create mask = 0600
directory mask = 0700
profile acls = yes
csc policy = disable
[[email protected] ~]#

Il n'y a pas de ligne vide avant [profils]; nous en avons inséré une pour faciliter la copie de la commande.

On signale le changement afin d'intégrer le greffon.

[[email protected] ~]# signal-eventnethserver-samba-update

[[email protected] ~]#

Sauvegarde du répertoire des profils

Pour un répertoire à inclure dans la sauvegarde des sonnées, il faut que le chemin spécifié se termine par un /.
On vérifie si le nom du répertoire /var/lib/nethserver/profils/ est déjà inclus dans le fichier d'inclusion de la sauvegarde des données /etc/backup-data.d/custom.include, sinon on l'insère.

Prendre tout le contenu de l'encadré pour la commande.

NouvelleInclusion="/var/lib/nethserver/profils/"
if grep -Fxq "$NouvelleInclusion" /etc/backup-data.d/custom.include
then
    # L'entrée a été trouvée dans custom.include
    echo -e "\nLe fichier custom.include contient déjà l'entrée:\n$NouvelleInclusion \n"
else
    # L'entrée n'a pas été trouvée dans custom.include
    echo -e "$NouvelleInclusion" >> /etc/backup-data.d/custom.include
    echo -e "\nL'entrée: $NouvelleInclusion a été ajoutée\n"
fi

On vérifie.

[[email protected] ~]# cat /etc/backup-data.d/custom.include | grep /var/lib/nethserver/profils/

/var/lib/nethserver/profils/
[[email protected] ~]#

Ci-dessus, il n'y a pas de ligne vide avant /var/lib/nethserver/profils/. Nous en avons insérée une afin de faciliter la copie de la commande.

Activation des profils itinérants

Si ce n'est déjà fait, l'utilisateur admin se logue à la station WIN-181.


Double-cliquer l'icône.

Outils → Utilisateurs et ordinateurs Active Directory.


Users → double-cliquer admin.

- Onglet Profil:
- \\tchana\Profils\%USERNAME
- Appliquer.



OK.



Fichier → Quitter.

L'utilisateur admin possède maintenant un profil itinérant.

Répertoire des profils

Clac sur Démarrer → Système → Paramètres système avancés → onglet Paramètres système avancés → cadre Profil des utilisateurs → Paramètres…

Explorateur Windows
\\tchana\Profils
Le répertoire est vide.


Utilisateur admin

Premier login d'admin

L'utilisateur admin se délogue et se relogue sur la station WIN-181.

L'utilisateur admin possède un profil itinérant.

Le répertoire du profil a été créé, mais il est vide.

Deuxième login d'admin

L'utilisateur admin se délogue et se relogue.

L'utilisateur admin possède toujours un profil itinérant.

Le répertoire du profil a été créé, mais il est vide.

Modification dans le profil de l'utilisateur admin en ajoutant un nouveau lien à Favoris.

Clac sur Favoris → Ajouter l'emplacement actuel dans les favoris.


Le nouveau lien a été ajouté.

L'utilisateur admin se délogue

Lors de la déconnexion de ce login, une copie des fichiers du profil local ont été copiés vers le profil itinérant sur le Serveur NethServer. Il n'y a eu que quelques mises à jour durant le deuxième login et l'ajout d'un nouveau lien dans Favoris.

Troisième login d'admin

L'utilisateur admin se logue une troisième fois.



La grandeur du répertoire du profil a légèrement augmenté.

Sur le Serveur NethServer, les fichiers du profil local, incluant le nouveau lien, y ont été téléversés lors de la déconnexion du deuxième login d'admin.

Lors du troisième login, les fichiers du profil de l'utilisateur admin ont été téléchargés, depuis le répertoire de stockage des profils du Serveur NethServer, vers le répertoire local de l'utilisateur admin sur la station.

Premier login d'admin sur la station WIN-182

L'utilisateur admin se logue pour la première fois sur la station WIN-182 depuis qu'il possède un profil itinérant.

Directement, le premier login indique déjà qu'il utilise un profil itinérant.

Le répertoire du profil itinérant a été mis à jour à la déconnexion du troisième login sur WIN-181.

Au premier login de l'utilisateur admin sur la station WIN-182, tous les fichiers/répertoires contenus dans son profil itinérant sur le Serveur NethServer (ci-dessous à gauche) ont été copiés dans le profil local sur la station WIN-182 (ci-dessous à droite).


Profil itinérant pour l'utilisateur toto

Préparation

Si ce n'est déjà fait, admin installe RSAT sur la station WIN-182, lance Utilisateurs et ordinateurs Active Directory et édite le Chemin du profil de l'utilisateur toto pour en faire un utilisateur possédant un profil itinérant.



Double-cliquer toto.

Onglet Profil:
\\tchana\Profils\%USERNAME
Appliquer.



OK.

L'utilisateur toto possède maintenant un profil itinérant.

Premier login de toto

L'utilisateur toto se logue sur la station WIN-181.


Présentement, le profil de l'utili­sateur toto est Local.

Aucun nouveau fichier n'a été créé dans le répertoire des profils sur le Serveur NethServer.


Le répertoire de son profil Local n'a pas été modifié.

Test de sécurité

Si l'utilisateur toto tente d'entrer dans le répertoire admin.V4, il reçoit une Erreur Réseau.

Deuxième login de toto

L'utilisateur toto se dé-logue et se relogue sur la station WIN-181.



Maintenant, il possède un profil iti­nérant.


Sur le Serveur NethServer, le réper­toire du profil itinérant a été créé, mais il est vide.


Le répertoire Local du profil n'a pas été modifié.

À la fermeture de cette session, le répertoire du profil Local va être téléversé vers le répertoire de stockage des profils du Serveur NethServer.

Sécurité

On vérifie si l'utilisateur toto peut voir le contenu du répertoire admin.V4 de l'utilisateur admin.

Sur le Serveur NethServer, on se substitue à l'utilisateur toto.

[[email protected] ~]# su - toto

Dernière connexion : jeudi 12 décembre 2019 à 09:40:01 EST sur pts/0
[[email protected]@tchana ~]$ 

On affiche les droits du répertoire profils.

[[email protected]@tchana ~]$ ls -lsd /var/lib/nethserver/profils

0 drwxrwxrwx 4 [email protected] domain [email protected] 37 19 déc.  14:49 /var/lib/nethserver/profils
[[email protected]@tchana ~]$

Tout le monde possède tous les droits sur le répertoire profils.

On affiche les propriétaire:groupe et leurs droits sur les répertoires existants dans profils.

[[email protected]@tchana ~]$ ls -ls /var/lib/nethserver/profils/

total 12
8 drwxrwx---+ 14 [email protected] domain [email protected] 4096 19 déc.  14:37 admin.V4
4 drwxrwx---+  2 [email protected]  domain [email protected]dev.org  6 19 déc.  14:49 toto.V4
[[email protected]@tchana ~]$

Même s'ils sont tous les deux dans le même groupe domain users et que le groupe “semble” avoir tous les droits: rwx


… si l'utilisateur toto tente de voir le répertoire admin.V4 de l'utilisateur admin, il reçoit Permission non accordée

[[email protected]@tchana ~]$ ls -ls /var/lib/nethserver/profils/admin.V4/

ls: impossible d'ouvrir le répertoire /var/lib/nethserver/profils/admin.V4/: Permission non accordée
[[email protected]@tchana ~]$

On retourne à l'utilisateur root.

[[email protected]@tchana ~]$ exit

déconnexion
[[email protected] ~]#

On affiche les droits ACL sur le répertoire admin.V4.

[[email protected] ~]# getfacl /var/lib/nethserver/profils/admin.V4/

getfacl : suppression du premier « / » des noms de chemins absolus
# file: var/lib/nethserver/profils/admin.V4/
# owner: [email protected]
# group: domain\[email protected]
user::rwx
user:[email protected]:rwx
group::---
group:10006:rwx
group:domain\[email protected]:---
mask::rwx
other::---
default:user::rwx
default:user:[email protected]:rwx
default:group::---
default:group:10006:rwx
default:group:domain\[email protected]:---
default:mask::rwx
default:other::---

[[email protected] ~]#

Le groupe domain\[email protected]: n'a aucun droit “- - -” sur ce répertoire.

Les profils itinérants fonctionnent correctement.


Station Windows-10

Description

Nous allons utiliser une station de travail Windows-10 pour nous connecter au domaine AD.MICRONATOR-DEV.ORG.

Prérequis

Carte réseau

Sur la station WIN10-1, on s'assure de la bonne configuration de sa carte réseau.

Clac sur l'icône réseau → Ouvrir les paramètres réseau et internet.


Centre Réseau et partage.


Modifier les paramètres de la carte.

Double-cliquer Connexion au ré­seau local.


Détails…


On s'assure des paramètres de la carte.

Fermer toutes les fenêtres du Centre Réseau et partage.

Fichiers hosts

Serveur sur un réseau LOCAL

Vu que nous ne possédons pas de serveur DNS pour notre réseau LOCAL, il nous faut ajouter les entrées spécifiant les adresse IP de notre Serveur NethServer et celles du conteneur Active Directory dans le fichier: C:\Windows\System32\drivers\etc\hosts de la station à joindre au domaine afin qu'elle puisse contacter le serveur du domaine.

...
# Serveur NethServer VirtualBox
10.10.10.75 micronator-dev.org
10.10.10.75 www.micronator-dev.org
10.10.10.75 mail.micronator-dev.org
10.10.10.75 www.mail.micronator-dev.org

# POUR ACTIVE DIRECTORY
# 10.10.10.76 ad.micronator-dev.org
# 10.10.10.76 nsdc-tchana.ad.micronator-dev.org
# 10.10.10.76 adserver.ad.micronator-dev.org
...


Jonction de la station au domaine

Clac sur l'icône Démarrer → Système.


Informations système.


Paramètre système avancés.

Onglet Nom de l'ordinateur → Identité sur le réseau…

Cet ordinateur appartient à un réseau… → Suivant.

Ma société utilise un réseau comprenant un domaine → Suivant.


Suivant.

On entre les informations de­man­dées → Suivant.

On entre les informations de­man­dées → Suivant.

On entre les informations de­man­dées → OK.

On accepte les paramètres affichés → Sui­vant.


Administrateur → Suivant.


Terminer.

- OK.

- Redémarrer maintenant.


Premier login

L'utilisateur admin entre son mot de passe → [Entrée].

- Il lance l'Explorateur Windows.
- Tous les mappages des disques des stratégies s'affichent.


Anciens usagers locaux de Windows-10

Si les anciens usagers originaux du poste Windows-10 veulent se loguer localement ils doivent mettre un .\ (point et barre oblique inversé) avant leur nom d'usager. Pour l'ancien usager michelandre ce sera .\michelandre.

Dans le coin inférieur gauche, on clique Autre utilisateur, on entre .\michelandre → mot de passe → [Entrée].

Instantané VirtualBox

À ce stade-ci, on peut prendre un instantané des machines virtuelles afin de pouvoir y revenir en cas d'une future erreur de manipulation.

Serveur de production

Une fois que vous maîtrisez tous les aspects de: Active Directory, RSAT, Let's Encrypt, Self Service Password, Fail2ban et de BackupPC, vous pouvez créer un réseau de Production incluant un serveur Active Directory, un serveur de sauvegardes et un serveur de développement; ce qui est le but ultime que nous vous souhaitons.



Introduction à l'éditeur vi

Référence: http://www.iro.umontreal.ca/~dift3830/vi.html. (Dernière consultation, le 30 mai 2016. Novembre 2018, ce lien n'est plus fonctionnel.)

vi est un éditeur de texte très puissant. Sa convivialité par contre lui fait défaut. Ceci dit, il est toujours utile d'en connaître les rudiments, car son omniprésence est presque garantie sur les systèmes modernes.

La documentation de vi étant très abondante, on se limitera pour cette démo aux commandes les plus usuelles.

Tout d'abord l'invocation. On peut invoquer vi à partir du shell de plusieurs façons dont en voici quelques-unes:

  • vi: → ouvre vi avec un contenu vide.
  • vi nomdefichier: → ouvre un fichier et l'affiche à l'écran.
  • vi +nomdefichier: → ouvre un fichier et positionne le curseur à la fin de celui-ci.

Dès son invocation, vi se met en mode commande, dans ce mode il est possible d'entrer les commandes qui seront vues plus bas. Si on tape une commande susceptible de modifier un texte (insertion d'un caractère par exemple), vi bascule en mode édition; dans ce mode tout caractère tapé sera considéré comme faisant partie du texte, tandis que les caractères saisis en mode commande, seront eux interprétés comme étant des commandes et ne seront jamais rajoutés au texte.

Afin de basculer du mode édition au mode commande il suffit de presser la touche [Échap].

Nous allons commencer par invoquer vi à partir du shell en tapant:

vi

Ce qui devrait donner l'affichage ci-contre:

vi est déjà en mode commande, pour le faire passer en mode édition, on tape la commande i (insert) qui nous permet d'insérer du texte.

i

Après avoir tapé le texte suivant:

vi est un éditeur de texte très
 
utile pour la communauté des 
administrateurs.

On obtient l'affichage ci-contre.

Après cela, on pourrait passer en mode commande par simple pression sur la touche [Échap].

Une fois en mode commande, on voudrait par exemple, éliminer la ligne blanche qui se trouve juste après la première. Pour ce faire, on positionne le curseur a la hauteur de la 2e ligne et on tape dd.

Ceci aura pour effet de supprimer la ligne.

Si on est satisfait, il ne nous reste plus qu'à sauvegarder le document sous le nom texte1.txt à l'aide de la commande suivante:

:w texte1.txt

(Pour les sauvegardes ultérieures, il n'est pas nécessaire d'ajouter le nom du fichier).

Afin de quitter vi il suffit de taper la commande:

:q texte1.txt

Les commandes abondent dans vi, on n'en citera que quelques-unes.


Principales commandes de vi

CommandeEffets
i (insert)Insère un texte sur le curseur
IInsère au début de la ligne
a (append)Insère après le curseur
AInsère à la fin de la ligne
Les flèchespour les déplacements
Ctrl-F (forward)Défiler d'un écran vers le bas
Ctrl-B (backward)Défiler d'un écran vers le haut
nG (goto)va à la nième ligne dans le texte
GVa à la fin du texte
xEffacer le caractère courant
ddEffacer la ligne courante
DEffacer depuis la position du curseur jusqu'à la fin de la ligne
db (DeleteBegining)Effacer depuis la position courante jusqu'au début de la ligne
/chaînerechercher la chaîne 'chaîne' dans le texte, on peut taper 'n' pour voir les autres occurrences
:w fichiercopie le texte courant sur le disque sous le nom fichier
:wq (write & quit)écrit le fichier sur le disque et quitte vi.
:q!Quitter sans sauvegarder.
:set nuAffiche le numérotage des lignes.



Victoire totale, hissons la bannière de la victoire.


Crédits

© 2019 RF-232
Auteur: Michel-André.
Remerciement: Tous les contributeurs GNU/GPL.
Intégré par: Michel-André Robillard CLP
Contact: michelandre at micronator.org

Répertoire de ce document: E:\000_DocPourRF232_general\RF-232_NethServer-301\RF-232_Cours_NethServer-301-04_Partage_Jonctions-Stations_2019-12-26_17h24.odt.

Historique des modifications:

VersionDateCommentaireAuteur
0.0.12019-10-23Début.M.-A. Robillard


AVIS DE NON-RESPONSABILITÉ

Ce document est uniquement destiné à informer. Les informations, ainsi que les contenus et fonctionnalités de ce do­cument sont fournis sans engagement et peuvent être modifiés à tout moment. RF‑232 n'offre aucune garantie quant à l'actualité, la conformité, l'exhaustivité, la qualité et la durabilité des informations, contenus et fonctionnalités de ce document. L'accès et l'utilisation de ce document se font sous la seule responsabilité du lecteur ou de l'utilisateur.

RF‑232 ne peut être tenu pour responsable de dommages de quelque nature que ce soit, y compris des dommages di­rects ou indirects, ainsi que des dommages consécutifs résultant de l'accès ou de l'utilisation de ce document ou de son contenu.

Chaque internaute doit prendre toutes les mesures appropriées (mettre à jour régulièrement son logiciel antivirus, ne pas ouvrir des documents suspects de source douteuse ou non connue) de façon à protéger le contenu de son ordina­teur de la contamination d'éventuels virus circulant sur la Toile.

Toute reproduction interdite Vous reconnaissez et acceptez que tout le contenu de ce document, incluant mais sans s’y limiter, le texte et les images, sont protégés par le droit d’auteur, les marques de commerce, les marques de service, les brevets, les secrets industriels et les autres droits de propriété intellectuelle. Sauf autorisation expresse de RF-232, vous acceptez de ne pas vendre, délivrer une licence, louer, modifier, distribuer, copier, reproduire, transmettre, afficher publiquement, exécuter en public, publier, adapter, éditer ou créer d’oeuvres dérivées de ce document et de son contenu.

Avertissement

Bien que nous utilisions ici un vocabulaire issu des techniques informatiques, nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.

1)
FQDN: Dans le DNS, un Fully Qualified Domain Name (FQDN, ou nom de domaine complètement qualifié) est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.
Référence: https://fr.wikipedia.org/wiki/Fully_qualified_domain_name.

2)
station d'accueil FR • docking station EN. Socle pourvu de connecteurs d'extension, dans lequel on peut insérer un ordinateur portatif afin de pouvoir l'utiliser comme un ordinateur de bureau, avec des périphériques.
Note: La station d'accueil permet de raccorder l'ordinateur portatif aux périphériques d'un ordinateur de bureau comme la souris, le clavier et le moniteur.
Référence:http://www.granddictionnaire.com/ficheOqlf.aspx?Id_Fiche=8383565.

nethserver_301_cahier_04_ad_jonction_de_stations.txt · Dernière modification: 2019-12-26 19:37 par michelandre