Skip to content

Laboratoire Active Directory: Agence CreativeHub

Objectifs PĂ©dagogiques

À la fin de ce laboratoire, les Ă©tudiants seront capables de:

  1. Comprendre la structure organisationnelle d'un Active Directory en explorant une hiérarchie d'OUs représentant une vraie entreprise
  2. Gérer les comptes utilisateurs et comprendre l'importance des attributs (email, titre, département)
  3. Utiliser les groupes de sécurité pour organiser les permissions et distinguer entre groupes d'utilisateurs et groupes d'administrateurs
  4. Configurer et appliquer des Stratégies de Groupe (GPOs) pour implémenter des politiques de sécurité adaptées à différents départements

Scénario Entreprise

CreativeHub est une petite agence de marketing digital et design située en Belgique, comptant 18 employés répartis dans 4 départements. L'agence offre des services complets de communication digitale à ses clients:

Contexte Business

  • Nom de l'entreprise: CreativeHub
  • Secteur: Marketing digital, design graphique, dĂ©veloppement web, production vidĂ©o
  • Taille: 18 employĂ©s permanents
  • Clients: PME belges et europĂ©ennes nĂ©cessitant des services de communication digitale

Structure DĂ©partementale

L'agence est organisée en 4 départements spécialisés:

1. Marketing (5 employés)

Responsable de la stratégie digitale, gestion des réseaux sociaux, SEO/SEM, et création de contenu pour les clients.

Employé Fonction
Camille Bernard Responsable Marketing Digital (Admin)
Amélie Dubois Community Manager
Bastien Martin Spécialiste SEO
Damien Petit Content Strategist
Élise Robert Social Media Analyst

2. Creative (5 employés)

L'équipe créative produit tous les visuels, vidéos et designs pour les campagnes clients.

Employé Fonction
Fabien Moreau Graphiste Senior (Admin)
Gabrielle Simon Directrice Artistique
Hugo Laurent Motion Designer
InÚs Lefebvre Vidéaste
Julien Roux Designer UX/UI

3. Client Services (4 employés)

Département gérant les relations clients, gestion de projets, et coordination entre les équipes techniques et créatives.

Employé Fonction
Karine Garnier Chef de Projet Senior (Admin)
Laurent Faure Account Manager
Manon Girard Chef de Projet Junior
Nicolas André Directeur des Opérations

Note de sécurité

Ce département manipule des données clients sensibles (contrats, budgets, informations stratégiques) nécessitant des mesures de sécurité renforcées.

4. IT Support (4 employés)

Équipe technique responsable du dĂ©veloppement web, maintenance de l'infrastructure IT, et support aux autres dĂ©partements.

Employé Fonction
Olivier Mercier DĂ©veloppeur Web Full-Stack (Admin)
Pauline Blanc Administratrice SystĂšmes
Quentin Guerin DĂ©veloppeur Front-End
Rachid Dupont Responsable IT

Besoins de Sécurité

  1. Protection des données clients: Le département Client Services gÚre des informations sensibles nécessitant des restrictions d'accÚs (blocage USB)
  2. ContrÎle des juniors: Les employés juniors (stagiaires, nouvelles recrues) ont besoin de restrictions pour éviter les modifications systÚme accidentelles
  3. Collaboration: Tous les départements doivent accéder à des ressources partagées (projets clients, bibliothÚque de ressources créatives)
  4. Gestion des permissions: Chaque département a besoin d'administrateurs locaux pour gérer leurs équipes

Structure Créée par le Script

Scripts disponibles

Arborescence des Unités Organisationnelles (OUs)

DC=maxtec,DC=be
└── OU=CreativeHub
    ├── OU=Marketing
    │   ├── OU=Users
    │   ├── OU=Computers
    │   └── OU=Groups
    ├── OU=Creative
    │   ├── OU=Users
    │   ├── OU=Computers
    │   └── OU=Groups
    ├── OU=ClientServices
    │   ├── OU=Users
    │   ├── OU=Computers
    │   └── OU=Groups
    └── OU=ITSupport
        ├── OU=Users
        ├── OU=Computers
        └── OU=Groups

Total: 1 OU racine + 4 OUs départementales + 12 sous-OUs = 17 Unités Organisationnelles

Utilisateurs

Le script crée 18 comptes utilisateurs avec les attributs suivants:

Nom Complet Login (SAM) Email DĂ©partement Titre/Poste Mot de passe
MARKETING
Amélie Dubois amelie amelie@maxtec.be Marketing Community Manager Password1!
Bastien Martin bastien bastien@maxtec.be Marketing Spécialiste SEO Password1!
Camille Bernard camille camille@maxtec.be Marketing Responsable Marketing Digital Password1!
Damien Petit damien damien@maxtec.be Marketing Content Strategist Password1!
Élise Robert elise elise@maxtec.be Marketing Social Media Analyst Password1!
CREATIVE
Fabien Moreau fabien fabien@maxtec.be Creative Graphiste Senior Password1!
Gabrielle Simon gabrielle gabrielle@maxtec.be Creative Directrice Artistique Password1!
Hugo Laurent hugo hugo@maxtec.be Creative Motion Designer Password1!
InÚs Lefebvre ines ines@maxtec.be Creative Vidéaste Password1!
Julien Roux julien julien@maxtec.be Creative Designer UX/UI Password1!
CLIENT SERVICES
Karine Garnier karine karine@maxtec.be ClientServices Chef de Projet Senior Password1!
Laurent Faure laurent laurent@maxtec.be ClientServices Account Manager Password1!
Manon Girard manon manon@maxtec.be ClientServices Chef de Projet Junior Password1!
Nicolas André nicolas nicolas@maxtec.be ClientServices Directeur des Opérations Password1!
IT SUPPORT
Olivier Mercier olivier olivier@maxtec.be ITSupport DĂ©veloppeur Web Full-Stack Password1!
Pauline Blanc pauline pauline@maxtec.be ITSupport Administratrice SystĂšmes Password1!
Quentin Guerin quentin quentin@maxtec.be ITSupport DĂ©veloppeur Front-End Password1!
Rachid Dupont rachid rachid@maxtec.be ITSupport Responsable IT Password1!

Propriétés des comptes

  • Sont activĂ©s par dĂ©faut
  • Utilisent le mot de passe: Password1!
  • N'exigent pas de changement de mot de passe Ă  la premiĂšre connexion (pour faciliter les tests)
  • Ont des adresses email au format prenom@maxtec.be

Groupes de Sécurité

Le script crée 8 groupes de sécurité globaux (Global Groups):

Nom du Groupe Type Emplacement Description Membres
GG-CreativeHub-Marketing-Users Global Security OU=Groups,OU=Marketing Tous les utilisateurs Marketing amelie, bastien, camille, damien, elise (5)
GG-CreativeHub-Marketing-Admin Global Security OU=Groups,OU=Marketing Administrateurs Marketing amelie (1er alphabétique)
GG-CreativeHub-Creative-Users Global Security OU=Groups,OU=Creative Tous les utilisateurs Creative fabien, gabrielle, hugo, ines, julien (5)
GG-CreativeHub-Creative-Admin Global Security OU=Groups,OU=Creative Administrateurs Creative fabien (1er alphabétique)
GG-CreativeHub-ClientServices-Users Global Security OU=Groups,OU=ClientServices Tous les utilisateurs Client Services karine, laurent, manon, nicolas (4)
GG-CreativeHub-ClientServices-Admin Global Security OU=Groups,OU=ClientServices Administrateurs Client Services karine (1er alphabétique)
GG-CreativeHub-ITSupport-Users Global Security OU=Groups,OU=ITSupport Tous les utilisateurs IT Support olivier, pauline, quentin, rachid (4)
GG-CreativeHub-ITSupport-Admin Global Security OU=Groups,OU=ITSupport Administrateurs IT Support olivier (1er alphabétique)

Convention de nommage

Format: GG-[Entreprise]-[DĂ©partement]-[RĂŽle]

  • GG = Global Group (groupe global)
  • Entreprise = CreativeHub
  • DĂ©partement = Marketing, Creative, ClientServices, ITSupport
  • RĂŽle = Users (tous les utilisateurs) ou Admin (administrateurs)

Logique d'appartenance automatique

  • TOUS les utilisateurs d'un dĂ©partement sont ajoutĂ©s au groupe -Users
  • Le PREMIER utilisateur par ordre alphabĂ©tique devient automatiquement membre du groupe -Admin

Stratégies de Groupe (GPOs)

Le script crée et configure 3 GPOs démontrant des cas d'usage courants en entreprise:

GPO 1: CreativeHub - Restrictions Utilisateurs Juniors

Objectif pédagogique: Protéger le systÚme contre les modifications accidentelles par des utilisateurs inexpérimentés

Configuration:

  • DĂ©sactive le Panneau de configuration (NoControlPanel=1)
    • ClĂ© de registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • DĂ©sactive l'invite de commandes (DisableCMD=2)
    • ClĂ© de registre: HKCU\Software\Policies\Microsoft\Windows\System

Liée à:

  • OU=Users,OU=Marketing,OU=CreativeHub,DC=maxtec,DC=be
  • OU=Users,OU=Creative,OU=CreativeHub,DC=maxtec,DC=be

Raison business

Les équipes Marketing et Creative ont souvent des stagiaires ou juniors qui ont besoin d'accéder aux applications métier (Adobe Creative Suite, outils marketing) mais ne doivent pas modifier les paramÚtres systÚme.

GPO 2: CreativeHub - Blocage USB Client Services

Objectif pédagogique: Protéger les données sensibles contre l'exfiltration via périphériques USB

Configuration:

  • Bloque la lecture depuis pĂ©riphĂ©riques USB (Deny_Read=1)
  • Bloque l'Ă©criture vers pĂ©riphĂ©riques USB (Deny_Write=1)
  • ClĂ© de registre: HKLM\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
  • GUID {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} = Removable Disks (disques amovibles)

Liée à:

  • OU=Users,OU=ClientServices,OU=CreativeHub,DC=maxtec,DC=be

Raison business

Le département Client Services manipule des contrats clients, informations budgétaires sensibles, et données stratégiques qui ne doivent jamais quitter l'infrastructure sécurisée de l'entreprise.

GPO 3: CreativeHub - Lecteurs Réseau Partagés

Objectif pédagogique: Faciliter l'accÚs aux ressources partagées via mappage de lecteurs réseau

Configuration:

  • GPO crĂ©Ă©e mais nĂ©cessite configuration manuelle via Group Policy Preferences
  • Lecteurs suggĂ©rĂ©s:
    • P: → \\SERVEUR\Projets (dossiers projets clients)
    • R: → \\SERVEUR\Ressources (bibliothĂšque d'assets crĂ©atifs, templates, logos clients)

Liée à:

  • OU=CreativeHub,DC=maxtec,DC=be (tous les dĂ©partements)

Raison business

Tous les employés doivent accéder facilement aux projets clients en cours et à la bibliothÚque de ressources créatives partagées (images, vidéos, templates).

Configuration manuelle requise

Le mappage de lecteurs réseau via GPO nécessite:

  1. Création des partages réseau sur le serveur de fichiers (à faire manuellement)
  2. Configuration via Group Policy Management Console (GPMC) → User Configuration → Preferences → Windows Settings → Drive Maps

Instructions d'Exécution

Étape 1: PrĂ©paration

  1. Connectez-vous au contrĂŽleur de domaine Windows Server 2022 en tant qu'Administrateur du domaine
  2. Ouvrez PowerShell ISE avec privilĂšges administratifs:
  3. Clic droit sur "Windows PowerShell ISE" → ExĂ©cuter en tant qu'administrateur
  4. Copiez le fichier CreativeHub_Setup.ps1 sur le serveur (par exemple dans C:\Labos\)

Étape 2: ExĂ©cution du Script

  1. Dans PowerShell ISE, ouvrez le fichier CreativeHub_Setup.ps1: 

    # Si le fichier est dans C:\Labos\
cd C:\Labos
.\CreativeHub_Setup.ps1

  2. Ou copiez-collez tout le contenu du script dans la fenĂȘtre de script PowerShell ISE

  3. Appuyez sur F5 pour exécuter le script

  4. Le script vous demandera confirmation avant chaque Ă©tape majeure:

  5. O = Continuer avec cette Ă©tape
  6. N = Sauter cette Ă©tape
  7. Q = Quitter le script complĂštement

Étape 3: Observation

Pendant l'exécution, observez la sortie console avec attention:

  • Texte vert = SuccĂšs (objet crĂ©Ă©)
  • Texte jaune = Avertissement (objet existe dĂ©jĂ , ou action nĂ©cessitant attention)
  • Texte rouge = Erreur
  • Texte cyan/bleu = Informations gĂ©nĂ©rales
  • Texte gris = DĂ©tails techniques

Le script affiche des messages détaillés pour chaque action, ce qui permet de comprendre ce qui se passe dans Active Directory.

Étape 4: VĂ©rification

À la fin de l'exĂ©cution, le script affiche un rĂ©capitulatif complet et exporte 3 fichiers CSV dans C:\Labos\:

  • CreativeHub_Utilisateurs.csv - Liste complĂšte des utilisateurs
  • CreativeHub_Groupes.csv - Liste des groupes avec leurs membres
  • CreativeHub_OUs.csv - Structure des UnitĂ©s Organisationnelles

Exercices Pratiques

AprÚs avoir exécuté le script, les étudiants peuvent approfondir leur apprentissage avec ces exercices pratiques guidés:

Exercices disponibles

Le laboratoire CreativeHub comprend 9 exercices progressifs avec scripts de vérification automatique:

Niveau DĂ©butant:

Niveau Intermédiaire:

Niveau Avancé:

DĂ©pannage

ProblĂšmes Courants et Solutions

SymptĂŽme Cause Probable Solution
"Access denied" ou "AccĂšs refusĂ©" PowerShell ISE non lancĂ© en tant qu'Administrateur Fermer PowerShell ISE, clic droit → "ExĂ©cuter en tant qu'administrateur", relancer le script
"Module ActiveDirectory not found" Module AD non chargé ou rÎle AD DS non installé Exécuter: Import-Module ActiveDirectory ou vérifier l'installation du rÎle AD DS
"OU already exists" pour toutes les OUs Script déjà exécuté précédemment C'est normal si vous relancez le script. Appuyez sur 'N' pour sauter les étapes déjà faites, ou exécutez CreativeHub_Cleanup.ps1 pour tout supprimer
GPOs créées mais paramÚtres non appliqués sur les clients Délai de rafraßchissement GPO pas encore écoulé Sur le client: exécuter gpupdate /force en tant qu'administrateur, puis redémarrer la session
"The specified domain does not exist" Domaine maxtec.be non trouvĂ© VĂ©rifier que vous ĂȘtes sur le contrĂŽleur de domaine et que le domaine est fonctionnel: Get-ADDomain
Utilisateurs crĂ©Ă©s mais pas dans les groupes Étape 5 du script sautĂ©e ou erreur Relancer le script et rĂ©pondre 'O' Ă  l'Ă©tape 5, ou ajouter manuellement avec Add-ADGroupMember
GPO liĂ©e mais ne s'applique pas Ă  un utilisateur Filtrage de sĂ©curitĂ© ou permissions insuffisantes VĂ©rifier dans GPMC: Onglet DĂ©lĂ©gation → S'assurer que "Utilisateurs authentifiĂ©s" a les permissions "Lecture" et "Appliquer la stratĂ©gie de groupe"
Impossible de se connecter avec un compte utilisateur sur un client Compte pas encore répliqué, ou client pas joint au domaine Attendre 5 minutes pour la réplication, vérifier que le client est bien joint au domaine: nltest /dsgetdc:maxtec.be

Commandes de Diagnostic

VĂ©rifier l'Ă©tat du domaine

# Informations sur le domaine
Get-ADDomain | Format-List

# VĂ©rifier le niveau fonctionnel
Get-ADDomain | Select-Object DomainMode, ForestMode

# Lister tous les contrĂŽleurs de domaine
Get-ADDomainController -Filter * | Select-Object Name, IPv4Address, OperatingSystem

VĂ©rifier les rĂŽles Active Directory

# Vérifier que le rÎle AD DS est installé
Get-WindowsFeature -Name AD-Domain-Services

# Vérifier les rÎles FSMO (maßtres d'opérations)
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster

VĂ©rifier les privilĂšges de l'utilisateur actuel

# Voir avec quel compte vous ĂȘtes connectĂ©
whoami

# Voir vos groupes (vĂ©rifier si vous ĂȘtes Admins du Domaine)
whoami /groups

# Vérifier les permissions sur une OU spécifique
(Get-Acl -Path "AD:\OU=CreativeHub,DC=maxtec,DC=be").Access | Format-Table IdentityReference, ActiveDirectoryRights

Vérifier la réplication AD

# Vérifier l'état de la réplication
repadmin /replsummary

# Forcer la réplication
repadmin /syncall /AdeP

Tester la connectivité réseau avec le domaine

# Tester la résolution DNS du domaine
nslookup maxtec.be

# Vérifier le contrÎleur de domaine utilisé
nltest /dsgetdc:maxtec.be

# Tester la connexion LDAP
Test-ComputerSecureChannel -Verbose

Fichiers Générés

Le laboratoire CreativeHub génÚre les fichiers suivants:

Fichier Emplacement Description Généré par
CreativeHub_Utilisateurs.csv C:\Labos\ Liste de tous les utilisateurs avec propriétés Script setup (étape 7)
CreativeHub_Groupes.csv C:\Labos\ Liste des groupes avec membres Script setup (Ă©tape 7)
CreativeHub_OUs.csv C:\Labos\ Structure des OUs Script setup (Ă©tape 7)
GPO_*.html C:\Labos\ Rapports HTML des GPOs (optionnel) Commandes de vérification
CreativeHub_Utilisateurs_Complet.csv C:\Labos\ Export enrichi utilisateurs (optionnel) Commandes de vérification
CreativeHub_Groupes_Rapport.csv C:\Labos\ Rapport détaillé groupes (optionnel) Commandes de vérification

Tous ces fichiers sont en encodage UTF-8 et peuvent ĂȘtre ouverts avec Excel, LibreOffice, ou tout Ă©diteur de texte.

Ressources Complémentaires

Documentation Officielle Microsoft

Guides Pratiques

Évolutions Possibles du Laboratoire

Pour approfondir ce laboratoire dans le futur, vous pourriez:

  1. Ajouter des partages réseau réels:
  2. Créer \\SERVEUR\Projets et \\SERVEUR\Ressources
  3. Configurer des permissions NTFS basées sur les groupes AD

  4. Compléter la GPO de mappage de lecteurs avec Drive Maps Preferences

  5. Implémenter une politique de mots de passe renforcée:

  6. Fine-Grained Password Policy pour exiger des mots de passe plus complexes pour les admins

  7. Historique des mots de passe, durée de vie maximale, etc.

  8. Ajouter des ordinateurs aux OUs Computers:

  9. Joindre des machines Windows 10/11 au domaine
  10. Les déplacer dans les bonnes OUs (par département)

  11. Créer des GPOs spécifiques aux ordinateurs (configuration logicielle, pare-feu, etc.)

  12. Créer des scripts de connexion (Logon Scripts):

  13. Scripts PowerShell qui s'exécutent à la connexion de l'utilisateur
  14. Mapper des imprimantes réseau selon le département

  15. Afficher un message de bienvenue personnalisé

  16. Implémenter des quotas de stockage:

  17. Configurer des quotas sur les dossiers personnels utilisateurs

  18. Utiliser File Server Resource Manager (FSRM)

  19. Audit et journalisation:

  20. Activer l'audit des connexions réussies/échouées
  21. Audit des modifications d'objets AD (création/suppression utilisateurs)

  22. Générer des rapports de sécurité

  23. Scénarios de panne et récupération:

  24. Simuler la corruption d'un compte utilisateur
  25. Restaurer un objet supprimé depuis la corbeille AD
  26. Gérer un compte verrouillé (lockout)

Ce laboratoire vous donne une expérience pratique réaliste de la gestion d'Active Directory dans un contexte d'entreprise moderne. Les compétences acquises ici sont directement transférables à l'administration de vrais environnements AD en production.