Tommy

Technicien Systèmes & Réseaux

Passionné par les infrastructures réseau et la cybersécurité, je conçois et sécurise des environnements informatiques fiables.

À propos Voir mes projets

Retour à la liste

Mise en place de l'infrastructure réseau et des services vitaux

Administration centralisée des utilisateurs et des postes (AD DS & GPO)

Contexte & Objectifs

Suite à la fusion du groupe Health NORTH, le système d'information devait être restructuré pour centraliser la gestion des 12 000 collaborateurs répartis dans les cliniques. La gestion locale des comptes utilisateurs (Workgroup) posait des problèmes de sécurité et de maintenance.

Objectif : Mettre en œuvre un domaine Active Directory unifié (guadeloupe.health-north.fr) pour centraliser les authentifications, automatiser la création des comptes utilisateurs, et standardiser la configuration des postes de travail via des Stratégies de Groupe (GPO) pour renforcer la sécurité (ANSSI).

Réalisation Technique

1. Architecture de l'Annuaire (AD DS)

Sur le serveur Windows Server 2022 (AD-SRV), j'ai promu le rôle de Contrôleur de Domaine. J'ai structuré l'annuaire en Unités d'Organisation (OU) fonctionnelles pour refléter l'organigramme et déléguer l'administration :

  • Création des OUs racines : Direction, Informatique, Laboratoire, Chirurgie.
  • Création des Groupes de Sécurité Globaux pour la gestion des droits d'accès aux fichiers.
Description image 1 Description image 2

2. Automatisation de la création des comptes

Pour éviter les erreurs manuelles lors de l'arrivée massive de collaborateurs, j'ai développé et exécuté un script PowerShell.

  • Importation des utilisateurs depuis un fichier CSV.
  • Génération automatique des logins (format p.nom) et des emails.
  • Placement automatique dans la bonne OU et ajout aux groupes de sécurité.
Description image 3

3. Gestion des environnements par GPO

J'ai configuré des Stratégies de Groupe (GPO) pour automatiser la configuration des postes clients :

  • Lecteurs Réseau : Montage automatique du lecteur Z: vers le partage de service (ex: \AD-SRV\Informatique) via les Préférences GPO (GPP).
  • Environnement : Déploiement des fonds d'écran corporatifs selon le service.

4. Durcissement de la sécurité (Hardening)

J'ai appliqué les recommandations de l'ANSSI via une GPO de sécurité dédiée, liée à la racine du domaine :

  • Mots de passe : Longueur minimale de 12 caractères, complexité exigée, historique des 5 derniers mots de passe.
  • Restrictions : Désactivation de l'accès à l'invite de commande (cmd.exe) et au Panneau de configuration pour les utilisateurs standards afin de limiter la surface d'attaque.
Description image 4 Description image 5

Résultat & Bilan

Tests de validation : J'ai connecté un poste client Windows 10 au domaine et ouvert une session avec un compte utilisateur test (e.joyce).

  • Le mot de passe faible a été refusé lors du changement.
  • Le lecteur réseau Z: est monté automatiquement.
  • L'accès à cmd.exe est bloqué ("L'administrateur a désactivé cette fonctionnalité").

Bilan : La compétence est validée. L'infrastructure d'annuaire permet une gestion centralisée et sécurisée des identités, réduisant la charge administrative et les risques de sécurité sur les postes de travail.