Windows server
Windows Server est un système d'exploitation conçu pour gérer des réseaux, des applications et des services. Il inclut des rôles essentiels comme ADDS (Active Directory Domain Services), qui centralise la gestion des utilisateurs et des ressources réseau. Le service DHCP (Dynamic Host Configuration Protocol) automatise l'attribution des adresses IP, simplifiant la gestion des connexions. DNS (Domain Name System) traduit les noms de domaine en adresses IP, facilitant la navigation et la gestion des ressources en local. De plus, Windows Server utilise aussi les Group Policy Objects (GPO) pour automatiser et standardiser les configurations et les politiques de sécurité sur tous les ordinateurs du réseau.
- Installation de Windows server 2019 / 2022
- Création d'un serveur DHCP sous windows server 2019
- Création d’un serveur DNS sous Windows serveur 2019
- Sommaire :
- a) Ajout du rôle DNS
- b) Configuration du DNS
- c) Zone directe
- d) Zone inversée
- e) Création d’un nom de domaine local
- f) Mise en place de l’ip du serveur DNS sur un client
- g) Test du nom de domaine créée
- Installation et configuration du rôle ADDS sur Windows server 2019 / 2022
- Mise en place de GPO
Installation de Windows server 2019 / 2022
Nous allons dans un premier temps différencier les versions de Windows Server pour choisir celle qui répond le mieux à nos besoins. Dans un deuxième temps nous installerons Windows Server en suivant les instructions à l'écran. Enfin, configurons les paramètres initiaux pour mettre notre serveur en service.
1. Différenciation des versions
Windows server se décline en deux version, Standard et Datacenter.
Voici un tableau qui résume quelque différence :
|
Fonctionnalité |
Windows Server Datacenter |
Windows Server Standard |
|
Virtualisation |
Machines virtuelles illimitées |
2 machines virtuelles physiques |
|
Conteneurs |
Prise en charge illimitée des conteneurs Hyper-V |
Prise en charge des conteneurs Hyper-V limité |
|
Stockage |
Fonctionnalités de stockage de base et avancées : Storage Spaces Direct -ReFS - SAN Clustering |
Fonctionnalités de stockage de base : SMB 3.0 - DFS |
|
Réseau |
Fonctionnalités réseau avancées : SDN – NLB - QoS |
Fonctionnalités réseau de base : DHCP – DNS - VPN |
|
Haute disponibilité |
Prise en charge complète du clustering failover et de la récupération après sinistre |
Prise en charge limitée du clustering failover |
|
Mémoire |
Prise en charge de jusqu'à 24 To de RAM |
Prise en charge de jusqu'à 4 To de RAM |
|
Processeurs |
Prise en charge de jusqu'à 64 processeurs physiques |
Prise en charge de jusqu'à 2 processeurs physiques |
|
Licences |
CAL requises pour chaque utilisateur ou appareil |
CAL requises pour chaque utilisateur ou appareil |
|
Prix |
Plus cher |
Moins cher |
Explication détaillée des différences :
Virtualisation :
Datacenter : Permet d'exécuter un nombre illimité de machines virtuelles sur un seul serveur physique, ce qui est idéal pour les environnements virtualisés à grande échelle.
Standard : Limité à 2 machines virtuelles physiques, ce qui le rend moins adapté aux environnements virtualisés complexes.
Conteneurs :
Datacenter : Prend en charge un nombre illimité de conteneurs Hyper-V, offrant une flexibilité et une isolation accrues pour les applications.
Standard : Prend également en charge les conteneurs Hyper-V, mais avec des limitations potentielles en termes de nombre et de scalabilité.
Stockage :
Datacenter : Offre des fonctionnalités de stockage avancées comme Storage Spaces Direct, ReFS et SAN Clustering pour une gestion et une protection des données améliorées.
Standard : Dispose de fonctionnalités de stockage de base comme SMB 3.0, DFS, mais ne propose pas les options avancées de Datacenter.
Réseau :
Datacenter : Inclut des fonctionnalités réseau avancées comme SDN, NLB et QoS pour une configuration et une gestion réseau plus granulaires.
Standard : Fournit des fonctionnalités réseau de base comme DHCP, DNS et VPN, suffisantes pour les besoins réseau simples.
Haute disponibilité :
Datacenter : Offre une prise en charge complète du clustering failover et de la récupération après sinistre pour assurer la continuité des opérations en cas de panne.
Standard : Propose une prise en charge limitée du clustering failover, ce qui le rend moins adapté aux environnements critiques.
Mémoire et processeurs :
Datacenter : Prend en charge jusqu'à 24 To de RAM et 64 processeurs physiques, adaptés aux charges de travail gourmandes en ressources.
Standard : Limité à 4 To de RAM et 2 processeurs physiques, ce qui le rend moins adapté aux applications exigeantes.
Licences :
Datacenter : Nécessite des CAL (Client Access Licenses) pour chaque utilisateur ou appareil accédant au serveur.
Standard : Exige également des CAL pour chaque utilisateur ou appareil, avec le même mode de licence.
Prix :
Datacenter : Plus onéreux en raison de ses fonctionnalités étendues et de sa capacité de scalabilité.
Standard : Moins cher, mais avec des limitations fonctionnelles et une capacité de virtualisation réduite.
En résumé :
Windows Server Datacenter est conçu pour les environnements virtualisés à grande échelle, les applications critiques nécessitant une haute disponibilité, et les charges de travail gourmandes en ressources.
Windows Server Standard est adapté aux petites et moyennes entreprises ayant des besoins de virtualisation plus simples, des exigences de stockage moins complexes et des besoins réseau de base.
2. Installation de Windows Server
Donc maintenant nous allons passez à l’installation de Windows server 2019 (qui est valable avec 2022) :
Donc on choisit la langue :
Puis on fait « Installer maintenant » :
On choisit donc la version qu’on veut installer :
|
|
Ici on a le choix entre expérience de bureau ou rien.Expérience Windows c’est qu’on a une interface graphique.S’il n’y a rien d’écris, c’est que c’est en ligne de commande uniquement.Dans mon exemple je prends Datacenter (expérience de bureau) |
Puis on accepte les conditions de Microsoft.
On choisit personnalisé pour réaliser une installation de Windows à neuf :
Vous choisissez donc le disque dur où vous installerais Windows server :
Et puis il installe Windows :
Windows server va redémarré plusieurs fois puis vas avant de demandé un mot de passe pour le compte Administrateur :
Puis il vous redirigera ici vous ferais donc sur votre clavier en même temps « ctrl+Alt+Suppr » puis tapé votre mot de passe :
Vous arriverez donc ici et c’est que c’est bien configuré :
Création d'un serveur DHCP sous windows server 2019
Le serveur DHCP Windows Server automatise l'attribution d'adresses IP et de paramètres réseau aux périphériques, simplifiant la configuration et la gestion du réseau. Il élimine les conflits d'adresses IP, assure une connectivité fiable et prend en charge divers protocoles réseau (IPv4, IPv6, DHCPv6). Son intégration à Active Directory facilite la gestion des utilisateurs et des périphériques.
1. Mise en place du rôle
Dans un premier temps, on va dans « Gérer » puis « Ajouter des rôles et fonctionnalités » :
Une fois ici, vous faite suivant :
Ici on va sélectionner « installation basée sur un rôle ou fonctionnalité » :
On dit qu’on sélectionne un serveur du pool de serveur puis notre serveur :
Puis cherché « Services DHCP » vous faites « Ajouter des fonctionnalités » puis suivant :
Ici vous faite suivant puis re suivant :
Là il vous résume ce que le rôle DHCP fait :
Et donc vous faites installer :
Une fois finit il ne redémarre pas cependant il demande de finir la configuration DHCP dans le drapeau en haut à droite :
2. Configuration du rôle
|
|
Donc dans cette fenêtre on fait Suivant car il nous explique le but de la post-install.Cette assistant permet de configurer la façon d’on sera intégré à Windows server le service DHCP. |
Puis pour mon cas je le laisse être intégré dans Windows server car il y une AD.Le rattachement du serveur DHCP à un domaine AD DS rationalise l'administration, renforce la sécurité et facilite l'intégration transparente avec d'autres services de domaine comme le DNS et l'authentification. Bien que ce ne soit pas strictement obligatoire pour les fonctionnalités DHCP de base, le rattachement au domaine offre des avantages significatifs pour la gestion et la sécurisation des serveurs DHCP dans les environnements d'entreprise |
|
 |
Ici dans « gestionnaire de serveur » on voit DHCP donc on va dessus. |
Puis faite clic droit sur le serveur puis « Gestionnaire DHCP » |
|
Une fois dans « DHCP », faite « nouvelle étendue » :
Il va nous expliqué rapidement le but de cette assistant puis faite suivant :
On donne un nom à l’étendue :
Puis on donne une plage d’adresse IP :
|
|
Pour mon exemple je suis en /24 donc j’aurais un maximum de 254 distribuable de 3.1 à 3.254. Mais j’ai décidé d’une plage de 3.20 à 3.200 donc 180 IP adressable dans cette configuration. |
Ici on ne met aucune exclusion :
Et donc ici nous lui disons le temps qu’une adresse IP reste attaché à un hôte :
Et on configure au passage les options DHCP aux passages :
Donc il demande l’ip de notre routeur qui fais la passerelle pour aller sur internet. :
Dans mon cas c’est 192.168.1.1. J’ai donc mis l’Adresse IP puis Ajouter : |
|
Ici il y a déjà de présent le serveur DNS de google (8.8.8.8) et de la passerelle (192.168.1.1).
Mais si vous avez d’autre serveurs DNS, faite comme avant. Entré l’ip puis ajouter.
Puis ici on fait suivant sauf si vous avez un serveur WINS mais cela est l’ancêtre des serveurs DNS.
Ici on va donc activer l’étendu DHCP puis faire suivant et faite terminer :
Nous voyons donc que l’étendue est donc activée :
3. Test sur un client du DHCP
On peut donc voir sur deux clients que des adresses ip ont bien été distribués. Pour vérifier on va dans l’invite de commande alias CMD :
Donc on peut voir sur Windows 10 :
Ou Windows 11 qu’il fonctionne bien :
Et sous Windows server pareil. Allez dans votre étendu puis allez dans « Baux d’adresse » :
Création d’un serveur DNS sous Windows serveur 2019
Le serveur DNS (Domain Name System) traduit les noms de domaine lisibles par l'homme en adresses IP numériques et vice versa. Il permet donc aux ordinateurs de localiser et de communiquer entre eux. En d'autres termes, il fonctionne comme un annuaire téléphonique de l'internet, facilitant l'accès aux sites web en utilisant des noms de domaine faciles à mémoriser.
Avec Windows Server, nous pouvons configurer un serveur DNS en installant le rôle "DNS Server". Cela nous permet de gérer les enregistrements DNS pour notre réseau, comme les enregistrements A, MX, et CNAME, simplifiant ainsi la gestion des noms de domaine et des adresses IP pour nos ressources réseau.
Sommaire :
1-Création du serveur DNS :
a) Ajout du rôle DNS
b) Configuration du DNS
c) Zone directe
d) Zone inversée
e) Création d’un nom de domaine local
2-Test sur le client
f) Mise en place de l’ip du serveur DNS sur un client
g) Test du nom de domaine créée
a) Ajout du rôle DNS
a) Ajout du rôle DNS
Avant toute choses, cet exemple s’applique également à d’autre version de Windows server comme 2016 ou 2012 car le concept reste le même.
Dans mon cas je suis donc sous Windows server 2019 édition standard. Donc une fois Windows server démarré, vous devriez avoir la fenêtre « gestionnaire de serveur » qui s’ouvre :
Dans cette fenêtre, vous allez cliquer
sur « Gérer » puis faite « ajouter des
rôles et fonctionnalités ».
La fenêtre « Assistant Ajout de rôles et
de fonctionnalités » devrais donc
s’ouvrir :
Une fois ici vous ignoré les recommandations pour ce qu’on fait actuellement et faire simplement suivant.
On arrive donc à choisir les types d’installations. Pour l’ajout du rôle DNS, allez sur « Installation basée sur un rôle ou une fonctionnalité » puis faite suivant.
Une fois cela effectué, sélectionné votre serveur dans « pool de serveurs ». Pour ce que l’on fait, pas besoin de sélectionner l’option « disque dur virtuel ». Puis faite suivant.
Arrivé ici, vous devrez donc sélectionner Serveurs DNS.
Après avoir fait suivant ignorer « Sélectionner des fonctionnalités ». Cela est utile que si on cherche des choses bien précises.
Cette fenêtre va s’ouvrir. Elle résume ce qu’on a
sélectionné et se qui vas donc être ajouté à
nôtre Windows server. Faite « Ajouter des fonctionnalités ».
Donc arrivé ici, on confirme les ajouts. Dans le doute, je coche « Redémarrer automatiquement le serveur de destination, si nécessaire » vu que le serveur n’a rien derrière qui est en fonctionnement et comme ça on n’a pas besoin de le faire manuellement si un redémarrage est requis. Cependant vous n’êtes pas obligé de la cocher pour ajouter se rôle ou des rôles :
b) Configuration du DNS
b) Configuration du DNS
Pour le rôle DNS, Windows server n’est pas sensé redémarré. Donc dans « Gestionnaire de serveur », cliqué sur DNS. Dans la catégorie « SERVEURS », sélectionné vôtre Windows avec un clic droit puis « Gestionnaire DNS ».
Arrivé ici, faite un clic droit sur votre serveur et faite « Configurer un serveur DNS… » :
La fenêtre de
bienvenue dans
l’assistant de
configuration s’ouvre.
Vous faite suivant.
Donc ici, on a le choix entre 3
options.
Crée qu’une zone directe bien pour
une petite entreprise et simple a
géré.
Crée une zone directe et inversée,
donc création d’une zone directe et
d’une zone inversée. Une zone
inversée est plus performante qu’une
zone directe bien pour de grand
réseau et indispensable pour certain
périphérique réseau.
Et la troisième option configure
uniquement les indications de racine
pour votre serveur DNS. Les
indications de racine sont des
informations sur les serveurs DNS
racine qui permettent à votre serveur
DNS de résoudre les noms de
domaine complets (FQDN).
Donc pour la documentation je vais prendre la 3ème option. Si vous sélectionné la première option, vous devez donc vous arrêter au moment de la configuration de la zone inverse.
c) Zone directe
Donc pour la documentation je vais prendre la 3ème option. Si vous sélectionné la première option, vous devez donc vous arrêter au moment de la configuration de la zone inverse.
Donc on va prendre la première option qui est crée la zone directe maintenant.
Donc on fait zone principale car c’est un serveur DNS principal que nous créons.
Donc vous mettez le nom que vous voulez pour votre DNS. Dans mon exemple c’est criee.Poulgoazec mas vous pouvez très bien mettre :
Terra.hifi, Moji.fr, domaine.com, exemple.obligatoire
Une fois que vous avez cliquez sur suivant, il dira le nom du fichier DNS qu’il créa.
Puis on met pour des questions de sécurité, on ne met pas enregistrement automatique (dynamique).
d) Zone inversée
d) Zone inversée
Ensuite, nous créons la zone inverse. Vous sélectionné donc Oui :
Cette Zone inverse sera donc une Zone inverse principal :
Pour mon cas, c’est une zone inverse en IPv4. Si vous le souhaitais, vous pouvez faire en IPv6 mais je ne garantie pas que cela soit pareil :
On met l’ip réseau dans ID réseau. Pour mon cas, l’ip réseau est 192.168.36.0/24 :
Par exemple une ip réseau peux être 172.22.30.0/24 ou 172.36.0.0/16
Et il nous dit le nom qu’il donnera au fichier de la zone inverse :
Comme plus haut on n’autorise ni les mises à jour dynamiques ni rediriger les requêtes vers un autre serveur DNS :
Donc il va rechercher des indications de racines mais il ne va pas en trouver et une fois le message fermé c’est la fin de configuration :
e) Création d’un nom de domaine local
e) Création d’un nom de domaine local
Arrivé ici, vous faite votreserveur>zone de recherche direct>votrenomdns.exemple
Dans mon cas c’est criee.Poulgoazec
Vous faite clique droite sur votre nom de domaine et faut faire :
Nouvel hôte (A ou AAAA)
Donc vous mettais un nom comme vous voulez, dans mon cas c’est glpi. Après il montre le nom complet que ça fera. Et a la fin il faut mettre l’ip du serveur ou services sur le quel le nom de domaine dirigera.
Puis vous faite Ajouter un hôte
Donc dans mon cas si je tape glpi.criee.Poulgoazec cela redirigera vers 192.168.1.86 caché par glpi.criee.Poulgoazec.
f) Mise en place de l’ip du serveur DNS sur un client
f) Mise en place de l’ip du serveur DNS
Sur un autre système, pour mon cas Windows 10, allé dans « Panneau de configuration > Réseau et Internet> Centre Réseau et partage » :
Dans mon cas je clique sur Ethernet mais cela peut différer. Dans mon cas Ethernet est la carte par la quel internet arrive. Puis faite propriétés :
Vous devriez donc arriver sur Propriétés de Xxxxx pour moi ces « État de Ethernet ».
Arrivé ici, double cliqué sur « Protocole Internet version 4 (TCP/IPv4) » :
Mettez « Utiliser l’adresse de serveur DNS suivante : » et rajouté l’ip de votre serveur DNS. Pour mon cas c’est 192.168.36.109 et coché "Valider les paramètres en quittant".
g) Test du nom de domaine créée
g) Test du nom de domaine créée
Donc dans un navigateur j’ai écrit glpi.criee.Poulgoazec et cela fonctionne parfaitement bien :
Installation et configuration du rôle ADDS sur Windows server 2019 / 2022
Le rôle Active Directory Domain Services (AD DS) est essentiel pour la gestion centralisée de nos comptes utilisateurs et des ressources réseau dans un environnement Windows. Il nous permet de créer et de gérer des domaines, utilisateurs, groupes et objets. Grâce à AD DS, nous pouvons appliquer des Group Policy Objects (GPO), définissant et déployant des configurations et des politiques de sécurité à l'échelle de notre organisation. La centralisation des comptes utilisateurs et des permissions améliore notre sécurité et notre efficacité administrative. En somme, AD DS est crucial pour le contrôle d'accès, l'authentification, et la gestion des politiques réseau d'une entreprise.
1. Mise en place du rôle
Dans un premier temps, on va dans « Gérer » puis « Ajouter des rôles et fonctionnalités » :
Une fois ici, vous faite suivant :
Ici on va sélectionner « installation basée sur un rôle ou fonctionnalité » :
On dit qu’on sélectionne un serveur du pool de serveur puis notre serveur :
Puis cherché « Services AD DS » vous faites « Ajouter des fonctionnalités » puis suivant :
AD DS est un service d'annuaire centralisé pour la gestion des utilisateurs, des ordinateurs et des ressources dans un environnement Windows, assurant l'authentification, l'autorisation, les stratégies et l'infrastructure. |
|
Ici vous faite suivant puis re suivant :
Et ici vous faite installer. Il va l’installer et redémarré le serveur :
2. Configuration du rôle
Donc en haut à droite, au niveau du drapeau, cliqué dessus puis faite « promouvoir ce serveur en contrôleur de domaine » :
Donc ici on sélectionne « Ajouter une nouvelle forêt » puis vous donner un « nom de domaine racine » :
Dans mon exemple j’ai donné lerenard.eu mais vous pouvez très bien mettre criee.Poulgoazec ou maison.fr ou encore ruban.cadeau. |
|
Ici donc vous ne touché à rien et indiqué lui un mot de passe pour au cas où il y a un besoin de restauration des services d’annuaires.
Je vous conseille de mettre le même mot de passe que le compte Administrateur pour ne pas l’oublié car il ne sert pas énormément. Faite suivant :
Nous voyons que le rôle DNS lui sera ajouté au passage ce qui est crucial pour une AD Windows. Cela permet une simplification et une rapidité futur en d’ajout de service ou de GPO voir le plus crucial pour une AD l’ajout de poste utilisateur voire serveur secondaire.
Le niveau fonctionnel de la forêt/domaine permet de définir les fonctionnalités disponibles pour l’ad. Par exemple si on prend 2016 qui est le max actuellement dans 2019, il aura toutes les options disponibles. Mais à l’inverse, si on prend 2008 R8, on n’aura pas de fonctionnalité de 2012 et 2019.
Ici nous ne pouvons rien touché donc nous ne touchons à rien et on fait donc suivant :
Puis on met le nom NetBIOS.
Cela définit un nom plus court pour le nom de domaine :
Puis il propose si on veut déplacer des dossiers système ce que je ne fais pas :
Puis on fait suivant car il résume ce qu’il va faire puis on fait installer :
|
|
|
Ce devrait donc faire ça :
Puis il va redémarrer pour appliquer la modification :
Une fois redémarré et connecté vous devrais donc voir que le rôle ADDS est bien présent :
3. Test du rôle
Donc pour tester le rôle, on va relier un Windows 10 au domaine :
Allée dans « Panneau de configuration > Réseau et Internet> Centre Réseau et partage » :
Dans mon cas je clique sur Ethernet mais cela peut différer. Dans mon cas Ethernet est la carte par la quel internet arrive. Puis faite propriétés :
Devriez donc arriver sur Propriétés de Xxxxx pour moi ces « propriétés d’Ethernet ».
Arrivé ici, double cliqué sur « Protocole Internet version 4 (TCP/IPv4) » :
 |
Mettez « Utiliser l’adresse de serveur DNS suivante : » et rajouté l’IP de votre serveur DNS. Pour mon cas c’est 192.168.1.131. |
Puis allée dans « Panneau de configuration > Système. C’est sensé ouvrir « A propos de » :
Puis faite paramètres avancés du système :
Puis allez dans « Nom de l’ordinateur » puis « Modifier » et sélectionné « Domaine » : |
|
Il va donc demain le nom d’un compte qui est admin du domaine et son mot de passe. Dans mon cas Administrateur :
Si tous est bon, vous devriez avoir ça :
Fermé toute les pages et l’ordinateur devrais redémarrer. |
|
|
|
|
Une fois redémarré vous devriez être sur le domaine : |
|
Donc dans Windows server, dans « Centre d’administration Active Directory » dans Computers l’ordinateur devrais avoir remonté :
Mise en place de GPO
Une GPO (Group Policy Object) est une règle Windows utilisée pour configurer et contrôler les paramètres des utilisateurs et des ordinateurs. Dans ce chapitre, nous allons voir comment configuré dans un premier temps l'environnement pour les GPO puis dans un second temps crée des exemple de GPO avec un logiciel en .MSI et en .EXE, puis le déploiement de règle et pour finir la mise en place automatique de partage réseaux.
Sommaire
Sommaire :
1- Configuration avant GPO
a) Création d’un dossier
b) Partages
c) Mise en place des droits
2- Déploiement de .MSI
a)Mise en place des .MSI dans le dossier
b)Création de la GPO
c)Test
3- Déploiement de .EXE
a)Mise en place des .exe dans le dossier
b)Création du script
c)Création de la GPO
d)Test
4- Déploiement de règle
a)Création de la GPO
b)Test
5- Déploiement de répertoire réseaux
a)Création d'un dossier avec cota
b)Création d'un dossier sans cota
c)Création de la GPO
d)Test
1 - Configuration avant GPO
a) Création d’un dossier
Dans un premier temps, nous allons créer un dossier qui va contenir des logiciels pour leur déploiement. Vous pouvez faire le dossier n'importe où, mais il est recommandé de le faire à la racine d'un volume :
Ici je le fais à la racine de C: en le nommant $Logiciel (le $ permet de rendre invisible le dossier pour les utilisateur).
b) Partages
Puis je vais faire un clic droit dessus puis propriété pour pouvoir mettre en place le partage et les droits :
Nous allons aller dans l'onglet "Partage", puis cliquer sur "Partage avancé..." :
Nous n'allons rien toucher, puis faire "Appliquer", puis refermer :
Si c'est bien fait, vous allez voir "\\nom-de-votre-serveur\lepartage" et cela permettra de faire le déploiement d'application par la suite :
c) Mise en place des droits
On va aller dans "Sécurité", puis faire "Modifier". Une fois la fenêtre ouverte, on va faire "Ajouter...", on va rajouter "Ordinateurs du domaine" puis "OK" :
Une fois cela fait, on ne modifie rien et on fait "Appliquer", puis on fait "OK" et "Fermer".
2 - GPO avec .MSI
a) Mise en place des .MSI dans le dossier
Nous allons dans cette partie téléchargé des .MSI.MSI. Les.MSI sont très pratiques car ils sont pré-configurés avec des commandes qui aident à automatiser l'installation du logiciel.
Ici je vais prendre Firefox, Chrome et VLC (pour les chercher, je cherche sur google "nom du logiciel". msi)" :
b) Création de la GPO :
Pour créer la GPO, nous allons lancer "Gestion de stratégie de groupe", puis déplier chaque rubrique jusqu'à trouver notre domaine. Une fois le domaine trouvé, faites clic droit dessus et "Créer un objet GPO dans ce domaine, et le lier ici..." :
Vous lui donnez le nom que vous voulez, dans mon cas je la nomme logiciels pour l'exemple mais je vous conseille de faire un objet GPO pour chaque logiciel surtout en production :
Une fois l'objet créé, nous allons faire un clic droit dessus puis "Modifier".
Une fois dans "installations de logiciel", nous allons faire clic droit soit sur "installation de logiciel", soit dans la zone "Aucun élément à afficher dans cet aperçu", puis "Nouveau>Package":
Cela va donc ouvrir une fenêtre "Ouvrir". Dans cette fenêtre, dans la barre du haut centrale, vous mettez le chemin réseau du dossier, dans mon cas "\\WIN-SRV-DEMONS\Logiciel$", puis sélectionnez un logiciel :
Vous laissez "attribué" puis faites "OK" :
On devrait voir cela :
Puis on répète l'opération pour les deux autres logiciels.
c) Test
Pour le test, nous allons aller sur une machine cliente, reliée au domaine pour faire dans l'invite de commande "gpupdate /force" pour forcer la recherche de gpo. Puis une fois redémarré, nous allons faire "gpresult /r" pour voir si la stratégie est visible :
gpupdate /force :
Puis "gpresult /r"
Puis au bout d'un moment cela va redescendre tout seul :
3- Déploiement de .EXE
a)Mise en place des .exe dans le dossier
Pour cette partie, j'ai donc utilisé 7zip comme exemple, mais attention, ce n'est pas tous les exécutables qui peuvent fonctionner avec cette méthode. Par exemple, CrystalDiskInfo, qui permet de voir la vie des disques durs, ne peut être installé de cette façon.
J'ai donc téléchargé 7zip sur son site officiel, puis copier dans le dossier :
b)Création du script
Après la copie de 7zip, nous allons donc ouvrir "Windows PowerShell ISE" :
Une fois ouvert, nous allons donc y coller ça (bien sûr si vous installez un autre logiciel, modifiez cela pour le vôtre) :
### Variables
# Chemin vers le partage qui contient l'exécutable
$SharedFolder = "\\WIN-SRV-ML150-G\Logiciel$"
# Chemin vers le dossier temporaire local sur le poste
$LocalFolder = "C:\TEMP"
# Nom de l'exécutable
$ExeName = "7z2409-x64.exe"
# Argument(s) à associer à l'exécutable
$ExeArgument = "/S" # pour ordonné une installation silencieuse
# Version cible de l'exécutable (obtenue sur une installation manuelle)
$ExeVersion = "24.09"
# Chemin vers l'exécutable une fois l'installation terminée
$ExeInstallPath = "C:\Program Files\7-Zip\7zFM.exe"
# Le logiciel est-il déjà installé dans la bonne version ?
$InstalledVersion = (Get-ItemProperty -Path "C:\Program Files\7-Zip\7zFM.exe" -ErrorAction SilentlyContinue).VersionInfo.FileVersion
if(($InstalledVersion -eq $null) -or ($InstalledVersion -ne $null -and $InstalledVersion -ne $ExeVersion)){
# Si $InstalledVersion n'est pas null et que la version est différente : c'est qu'il faut faire une mise à jour
if($InstalledVersion -ne $null){
Write-Output "Le logiciel va être mis à jour : $InstalledVersion -> $ExeVersion"
}
# Si le chemin réseau vers l'exécutable est valide, on continue
if(Test-Path "$SharedFolder\$ExeName"){
# Créer le dossier temporaire en local et copier l'exécutable sur le poste
New-Item -ItemType Directory -Path "$LocalFolder" -ErrorAction SilentlyContinue
Copy-Item "$SharedFolder\$ExeName" "$LocalFolder" -Force
# Si l'on trouve bien l'exécutable en local, on lance l'installation
if(Test-Path "$LocalFolder\$ExeName"){
Start-Process -Wait -FilePath "$LocalFolder\$ExeName" -ArgumentList "$ExeArgument"
}
# On supprime l'exécutable à la fin de l'installation
Remove-Item "$LocalFolder\$ExeName"
}else{
Write-Warning "L'exécutable ($ExeName) est introuvable sur le partage !"
}
}else{
Write-Output "Le logiciel est déjà installé dans la bonne version !"
}Une fois cela copié, il faut l'enregistrer dans le dossier partagé, vous faites Ctrl+s ou Fichier > Enregistrer :
c)Création de la GPO
Comme pour les .MSI, nous allons crée une GPO que je vais noté celle fois si, 7zip.exe :
Puis nous allons aller dans "Configuration ordinateur > Paramètres Windows > Scripts (démarrage/arrêt) > Démarrage" et on double-clique sur "Démarrage". Une fois cela fait, on va dans l'onglet "Scripts PowerShell", on lui spécifie qu'il doit "Exécuter les scripts Windows PowerShell en premier" et on ajoute le script :
On fait donc "OK" puis "Appliqué :
Microsoft désactive par défaut les scripts pour des questions de sécurité, nous allons donc spécifier, dans la même GPO, l'activation de l'exécution des scripts :
Configuration ordinateur > Modèle d'administration > Composants Windows > Windows PowerShellUne fois arrivés ici, nous allons ouvrir "Activer l'exécution des scripts" et cocher "Activé", puis faire "appliqué".
Nous n'avons plus rien à faire sur Windows Server et on passe maintenant à un client Windows 10.
D)Test
Ce test va être simple, on va juste redémarrer Windows et cela devrait redescendre tout seul. Dans mon cas, 7zip est redescendu tout seul assez rapidement :
4- Déploiement de règle
a)Création de la GPO
Dans cette partie, je vais bloquer l'accès à "l'invite de commandes" et changer l'image de fond du bureau.
Comme toute création de GPO, nous allons dans "Gestion de stratégie de groupe", puis crée une GPO que je nomme ici "Règles" (je vous conseille vivement en production de faire une GPO = une utilisation) :
Puis nous allons rentrer dans la GPO. Pour changer des paramètres, c'est dans l'onglet "Configuration utilisateur".
Pour modifier la restriction de l'invite de commande, il faut aller dans "Configuration utilisateur>Stratégies>Modèles d'administrateur>Système", puis ouvrir "Désactiver l'accès à l'invite de commandes". Nous allons donc "Activer" cette règle puis faire "Appliquer" :
Maintenant, nous allons passer à la modification du fond d'écran. Nous allons donc aller dans "Configuration utilisateur>Stratégies>Modèles d'administration>Bureau>Bureau". Nous allons donc ouvrir "Papier peint du Bureau", puis indiquer un partage réseau qui contient l'image de votre choix. Dans mon cas j'ai créé un autre dossier avec les mêmes droits que le dossier Logiciel$ mais nommé Fond d'écran$.
Faites-appliquer puis nous allons passer au client,
b)Test
Une fois avoir redémarré ou démarré le client, nous pouvons constater que tout fonctionne :
5- Déploiement de répertoire réseaux
a)Création d'une GPO de lecteur partagé avec cota
Dans cette parti, nous allons crée une partage réseau avec cota. Ce partage sera "privé", c'est-à-dire que chaque utilisateur pourra mettre des documents ou autre sans que les autres les vois.
Pour ça, nous allons donc activé une option dans Windows Server, "Gestionnaire de ressources du serveur de fichiers" :
Une fois cela activé, nous allons créées le dossier qui va servir de base au partage, dans mon cas je l'ai nommé Utilisateur$ et que j'ai partagé en supprimant "Tout le monde" dans "Autorisation" et rajouté tous les droits à "Utilisateurs du domaine":
Une fois ce dossier créée, on ouvre "Gestionnaire de ressources du serveur de fichiers" :
Nous allons dans "Gestion de quota>Quotas" et clic droit et "Créer un quota". Ici je vais utilisé une une propriétés de modèle de quota déjà créer qui est de 2go. J'ai spécifier mon dossier en local dans un premier temps et dans un second temps le quota à appliqué puis "Créer" :
Nous passons maintenant à la création de la GPO et je vais la nommé dans mon cas "Partage privé" :
On arrive donc dans la GPO. Allez dans « Configuration Utilisateur>Préférences>Dossier » et faite clic droit « Nouveau>Dossiers» :
Nous allons donc mettre comme "Action" "Remplacer" puis comme "Chemin d'accès" le chemin réseau du dossier partagé suivie de "%LogonUser%" qui permet de crée un dossier automatiquement quand un utilisateur se connectera :
Et pour des questions de sécurité, nous allons allé dans l'onglet "Commun et coché "Exécuter dans le contexte de sécurité de l'utilisateur connecté" :
Faite appliqué puis on passe de Dossiers à Mappages de lecteur et faire clic droit "Nouveau>Lecteur mappé" :
Comme dis précédemment, dans "Action" on sélectionne "Remplacer" puis comme "Chemin d'accès" le chemin réseau du dossier partagé suivie de "%LogonUser%" qui permet de sélectionné automatiquement le dossier de l'utilisateur connecté. Puis dans mon cas j'ai donner comme nom à ce lecteur "Partage privé" qui aura comme lettre fixe Z:. Et pour finir, on coche "Afficher ce lecteur" et "Afficher tous les lecteurs" :
On fait appliqué.
b)Création d'une GPO de dossier sans cota
Dans cette second parti, nous allons crée une partage réseau sans cota. Ce partage sera "publique", c'est-à-dire que chaque utilisateur verra ce que tous le monde mets dans ce lecteur.
Nous allons créées le dossier qui va servir de base au partage, dans mon cas je l'ai nommé publique et partagé en autorisant tous à "Tout le monde":
Nous passons maintenant à la création de la GPO et je vais la nommé dans mon cas "Partage publique" :
On arrive donc dans la GPO. Allez dans « Configuration Utilisateur>Préférences>Paramètres WIndows>Mappages de lecteur" et faire clic droit "Nouveau>Lecteur mappé" :
Comme dis précédemment, dans "Action" on sélectionne "Remplacer" puis comme "Chemin d'accès" le chemin réseau du dossier partagé. Puis dans mon cas j'ai donner comme nom à ce lecteur "Partage privé" qui aura comme lettre fixe Y: (on ne peut pas donner Z: comme précédemment car cela créera un conflit de lettre) . Et pour finir, on coche "Afficher ce lecteur" et "Afficher tous les lecteurs" :
On fait appliqué.
c)Test
Pour ce test, j'effectue un simple gpupdate dans powershell :
