====== Administration réseau du BTS SIO avec Active Directory ====== ===== Cahier des charges de l’organisation du BTS SIO ===== ==== Architecture du réseau ==== Le réseau du BTS SIO est composé d’un serveur Windows 2008R2 gérant un domaine Active Directory unique. Les stations de travail fonctionnement avec le système d’exploitation Windows 7 ou Windows 8.1. ==== Gestion des ressources disque et imprimantes ==== L’ensemble des **dossiers** des **étudiants** et des **enseignants** est centralisé sur le serveur du réseau **FILESERV** afin : * de les rendre accessibles depuis n’importe quelle station du réseau, * de centraliser la sauvegarde des données. Les **impressions** sont gérées par le serveur du réseau **DC-BTSSIO**. ==== Les étudiants du BTS SIO ==== Les étudiants doivent disposer de différents dossiers : * d’un dossier **Personnel** dont ils ont la responsabilité (mise à jour et gestion des permissions), * d’un dossier **Echanges** en mise à jour pour permettre de communiquer des documents entre eux et avec l’enseignant. Ponctuellement et sur l’initiative de leur enseignant, ils y disposeront de dossiers pour des travaux de groupe et sur lesquels ils pourront gérer des permissions d’accès. * d’un dossier **Ressources** pour récupérer des documents mis à leur disposition sans pouvoir les supprimer, les modifier ou en rajouter. * d’un dossier **Progs** pour récupérer logiciels mis à leur disposition sans pouvoir les supprimer, les modifier ou en rajouter. Les étudiants doivent avoir un environnement de travail leur permettant : * de disposer d’un **bureau personnalisé** disponible sur n’importe quel poste du réseau, * de **lecteurs réseaux** prédéfinis leur offrant un accès rapide aux dossiers **Personnel**, **Echanges**, **Ressources** et **Programmes (Progs)**. Ces dossiers doivent être accessibles durant **tout leur cursus** de formation (2 année de formation en BTS SIO). Les étudiants doivent donc pouvoir définir dans un cadre limité d’activités de groupe : * des comptes utilisateurs et des groupes d’utilisateurs, * des permissions d’accès sur des dossiers situés dans le dossier Echanges. ==== Les enseignants du BTS IG : ==== Les enseignants doivent disposer de différents dossiers : * d’un dossier **Personnel** dont ils ont la responsabilité, * d’un dossier **Profs** pour permettre aux enseignants de communiquer des documents entre eux. Les enseignants doivent pouvoir accéder : * aux dossiers **échanges** des étudiants en mise à jour et pour gérer les permissions d’accès, * aux dossiers **ressources** des étudiants en mise à jour. Les enseignants doivent donc pouvoir définir : * des comptes utilisateurs et des groupes d’utilisateurs, * des permissions d’accès sur des dossiers situés dans le dossier **Echanges**. ==== L’administrateur du réseau du BTS SIO ==== L’administrateur est la personne disposant de **tous les droits d’administration** sur le réseau. Pour le bon fonctionnement du réseau et permettre d’atteindre les objectifs d’enseignement, une partie de ces droits doivent être délégués aux enseignants et aux étudiants selon une définition précise des responsabilités de chacun. ==== Les serveurs du BTS SIO ==== Le serveur **DC-BTSSIO** doit offrir les services suivants : * contrôleur du domaine du BTS SIO pour gérer Active Directory, * serveur de fichiers, * serveur d’impression. Le serveur **FILESERV** doit offrir les services suivants : * serveur de fichiers, Dans la suite de ce document, il est fait référence : * au domaine Active Directory 2000 gérant les utilisateurs et les ressources sous le nom de domaine **btssio.local**. * au serveur sous le nom de **DC-BTSSIO**. L’ensemble des dossiers nécessaires définit l’arborescence suivante sur le serveur Windows 2008R2 **FILESERV** : ^Dossier^Commentaires^Accès étudiants^Accès Enseignants^Accès administrateur^ |**E:\Progs**\|Contient des applications partagées|Lecture|Modifier|Contrôle total| |**E:\utilisateurs\**|Contient les dossiers personnels des utilisateurs (Etudiants et enseignants)|Modifier pour son dossier personnel uniquement|Modifier pour son dossier personnel uniquement|Contrôle total| |**E:\valadon\2014\_echanges\**|Permet l’échange de documents entre étudiants de la promotion 2014 du lycée Valadon et les enseignants|Modifier|Contrôle total|Contrôle total| |**E:\valadon\2014\_ressources\**|Permet aux enseignants de communiquer des documents aux étudiants de Valadon de la promotion 2014|Lecture|Modifier|Contrôle total| |**E:\valadon\_profs\**|Permet aux enseignants de communiquer entre eux des documents relatifs aux étudiants de Valadon de la promotion 2014|Aucun|Modifier|Contrôle total| |**E:\profils\**|Permet de sauvegarder le profil des utilisateurs (Etudiants et enseignants)|Modifier pour son profil uniquement|Modifier pour son profil uniquement|Contrôle total| Idem pour chaque promotion ===== Mise en œuvre de l’organisation du BTS SIO ===== ==== Création de l’arborescence de dossiers ==== Lors de la création des comptes utilisateurs, une partie des dossiers sera créée automatiquement : * les **dossiers personnels** des étudiants et des enseignants, * les dossiers contenant les **profils**. Tous les autres dossiers doivent être créés **manuellement**. __Outil à utiliser__ : L’**Explorateur Windows** __Résultats à obtenir__ : {{ :reseau:ad:configserveur:adminad_01.png |}} ==== Définition des partages ==== Pour que ces dossiers soient accessibles depuis n’importe quel poste du réseau, il faut : * les **partager** sur le serveur **Fileserv**, * leurs attribuer des autorisations de partage. Sur le serveur Windows 2008R2, il est possible de définir 2 types de permissions : * les **autorisations de partage** disponible uniquement sur les dossiers partagés, * les **autorisations NTFS** disponibles sur tous les dossiers et fichiers du moment que la partition du disque est formatée avec le système de fichier **NTFS**. Les permissions NTFS permettent de gérer très précisément les accès et sont donc privilégiées. Cependant comme il est nécessaire de préciser des permissions de partage lors de la création d’un partage, ces permissions de partage seront les plus large possibles (**Contrôle total**). Dans une deuxième étape, le contrôle des accès sera précisé avec des autorisations NTFS. __Outils à utiliser__ : L’**Explorateur Windows** ou la console **Gestion de l’ordinateur**. __Résultats à obtenir__ : Les dossiers **progs**, **valadon**, **jamot**, **profil** et **utilisateurs** sont partagés avec l'autorisation **Contrôle Total** pour le groupe **Tout le monde** et le groupe **Administrateurs**. Les **scripts d’ouverture de session** seront ensuite utilisés pour créer sur le bureau de chaque utilisateur des **lecteurs réseaux** vers ces ressources, directement ou dans les sous-dossiers. * cliquez-droit sur le dossier pour accéder aux propriétés du dossier puis à l’onglet partage ; {{ :reseau:ad:configserveur:adminad_02.png |}} * cliquez sur le bouton **Partage avancé ...** puis sur le bouton **Autorisations**. Cochez la case **Partager ce dossier**. Par défaut le nom de partage reprend le nom du dossier. * Cliquez sur le bouton **Autorisations** pour définir l'autorisations **Contrôle total** pour le groupe **Tout le monde**. {{ :reseau:ad:configserveur:adminad_03.png |}} ==== Création des comptes d’utilisateurs et des groupes du domaine ==== L’identification de chaque utilisateur doit permettre de préciser pour chacun les autorisations (permissions) dont il dispose sur les ressources. Il faut définir : * des **comptes d’utilisateurs** pour chaque étudiant et pour chaque enseignant, * des **groupes d’étendue globale** pour gérer les promotions d’étudiants et les enseignants, * des groupes de **domaine local** pour attribuer des autorisations sur les ressources. Afin de pouvoir définir des stratégies de groupe (GPO) différentes, les comptes et groupes des étudiants et des enseignants sont créés dans des unités d’organisation différentes. Les groupes d'utilisateurs sont placé dans une OU spécifique. __Outils utilisé__ : La console **Utilisateurs et ordinateurs Active Directory**. __Résultats obtenus__ : Les différents utilisateurs sont regroupés dans des Unités d’organisation (OU) différentes : * Dans chaque OU, la création d’un groupe global permettra d’attribuer collectivement des autorisations pour les utilisateurs de l’OU. * Dans l’unité d’organisation précrée Builtin, les groupes de domaine local seront créés pour gérer les autorisations d’accès aux ressources. Lors de la création des comptes, les caractéristiques du profil sont précisées pour : * créer automatiquement le répertoire personnel, * créer automatiquement le répertoire du profil errant, * indiquer un script d’ouverture de session permettant de définir des lecteurs réseaux. Liste des modèles de compte d’utilisateur