Console MMC pour Administrer à Distance Windows Server
Comment créer une console MMC (Microsoft Management Console) avec Windows Server ? Une MMC est une console permettant d’administrer dans une seule fenêtre différents services. Nous verrons comment administrer à distance, depuis un poste Windows nos utilisateurs Active Directory.
Dans la suite de cet article, nous aurons ainsi dans la même fenêtre la possibilité de gérer nos utilisateurs du domaine. Mais nous aurions aussi pu gérer le le serveur lui-même ou bien d’autres éléments.
De plus, cette console sera créée sur une machine cliente et non sur le serveur lui-même. Je pourrais ainsi gérer, depuis un poste client Windows sur mon domaine, une multitude de paramètres et dans une seule fenêtre.
Les étapes pour créer la console d’administration MMC :
- 1 – Guide Vidéo Complet pour créer une console MMC d’administration
- 2 – Créer une délégation de contrôle
- 3 – Créer le partage pour la console MMC
- 4 – Créer la console MMC pour l’administration à distance
Qu’est-ce qu’une console MMC ?
La console Microsoft Management Console (MMC) est un conteneur qui peut stocker et gérer des snap-ins. Ces derniers sont des outils administratifs utilisés pour gérer des composants logiciels, des services et des systèmes.
Pourquoi créer une console MMC (Microsoft Management Console) pour Active Directory ?
Créer une console MMC personnalisée pour Active Directory permet aux administrateurs de centraliser la gestion des utilisateurs, des groupes et des ordinateurs. Cela facilite l’accès aux outils nécessaires et rend les tâches administratives plus efficaces.
1 – Guide Vidéo Complet pour créer une console MMC d’administration
Pour ceux qui ne sont pas fan du contenu écrit, vous trouverez ci-dessous une vidéo qui est un guide complet sur la mise en place et la configuration d’une console MMC d’administration.
2 – Créer une délégation de contrôle
La première chose que nous allons devoir faire est d’accéder à l’outil de gestion des Utilisateurs et ordinateurs Active Directory sur notre serveur Windows Server pour créer une délégation de contrôle sur l’objet que nous souhaitons administrer dans la console MMC.
Dans mon cas, il s’agira des utilisateurs Active Directory de mon site de Nantes, et je souhaite que ce soit un utilisateur de mon service IT du site de Nantes qui puisse faire l’administration. Il faut donc avoir installé un serveur Active Directory et créé des utilisateurs.
Pour cela, je vais faire un clic droit sur le site de « Nantes » qui correspond à l’Unité d’Organisation (UO) que nous avons créé dans un autre article, puis « Délégation de contrôle ».
Une nouvelle fenêtre s’ouvre, il s’agit de l’assistant Délégation de contrôle qui comme son nom l’indique va nous aider dans la création de la délégation de contrôle. Il suffit de cliquer sur « suivant »
Maintenant, nous allons devoir indiquer le / les utilisateur(s) ou les groupes Active Directory à qui nous allons donner la délégation de contrôle. Autrement dit, à qui nous allons donner des droits pour contrôler l’objet (notre Unité D’Organisation dans notre cas).
Il faut cliquer sur le bouton « Ajouter ».
je vais rechercher un utilisateur (ou un groupe) en cliquant sur le bouton « Avancé » puis avec le bouton « Rechercher » de la nouvelle fenêtre qui apparaît.
Dans la liste qui apparaît, j’ai l’utilisateur Thierry Fao qui est un utilisateur du groupe IT du site de Nantes, c’est lui que je souhaite ajouter pour utilisateur la console MMC par la suite, je vais le sélectionner et l’ajouter en cliquant sur « OK ».
Une fois l’ajout effectué, on peut voir l’utilisateur Thierry Fao qui est désormais sélectionné. On va à l’étape suivante.
On doit indiquer les tâches que l’on souhaite déléguer à notre utilisateur. Pour cette démonstration, je vais lui donner l’ensemble des tâches courantes, mais j’aurais pu lui en donner que certaines.
Cela permet donc d’affiner la gestion des droits de délégation pour donner uniquement ce dont on a besoin et donc utiliser le principe des moindres privilèges. Je valide en cliquant sur suivant.
C’est la fin de l’assistant de délégation de contrôle, on peut vérifier les éléments que l’on a mis en place et cliquer sur « Terminer ».
2.1 – Vérifier les droits de l’utilisateur
Une fois que nous avons ajouté notre utilisateur pour la délégation de contrôle, nous pouvons vérifier ses droits.
Les droits générés pour un jeu de stratégie résultant (RSOP, pour Resultant Set of Policy en anglais) pour un utilisateur Active Directory (AD) décrivent les politiques de groupe qui sont appliquées à un utilisateur ou à une machine dans un environnement Active Directory.
Ces politiques de groupe peuvent être appliquées à différents niveaux, tels que le site, le domaine ou l’unité d’organisation (OU), et elles permettent de gérer de manière centralisée les configurations de sécurité et les paramètres de l’utilisateur ou de l’ordinateur dans un réseau AD.
3 – Créer le partage pour la console MMC
Maintenant, nous allons devoir créer un dossier de partage dans lequel nous allons ajouter notre console MMC. Ce que je vais faire, c’est que je vais créer un dossier sur le « Bureau » de mon Windows Server.
Ensuite, je vais faire un clic droit dessus et je vais aller dans « Propriétés » pour modifier les options de partage. Je vais aller dans l’onglet partage puis sur le bouton « Partage avancé ».
Dans la nouvelle fenêtre, je vais cocher « Partager ce dossier » et je vais donner le nom du partage. Je vais indiquer « mmc$ » et je vais ajouter le signe « $ » à la fin pour que ce soit un partage masqué sur le réseau.
Ensuite, je vais aller dans « autorisations » pour déterminer ces dernières.
Au niveau des autorisations, je vais enlever les différents utilisateurs par défaut et je vais ajouter mon utilisateur, Thierry Fao. Je lui accorde les droits de lecture pour le moment, il n’a pas besoin de plus, il aura juste besoin de pouvoir « lire » la console MMC pour l’ouvrir et l’utiliser. Il n’a pas besoin de la modifier.
3.1 – Droit de sécurité du dossier de partage
Ensuite, je vais aller dans l’onglet « Sécurité » du dossier de partage, je vais ajouter mon utilisateur Thierry Fao. Je vais lui donner la modification et l’écriture, même si je ne suis pas obligé.
Mon utilisateur est présent, mais j’aurais également pu faire un petit tri dans ces derniers. Je vais cliquer sur « OK » pour valider.
4 – Créer la console MMC pour l’administration à distance
Maintenant, il va être temps de créer la console MMC pour l’administration à distance . Pour cale, je vais aller ouvrir la fenêtre exécuter. Puis je vais indiquer MMC dans le champ « ouvrir ».
Une nouvelle fenêtre va s’ouvrir, c’est ma console MMC qui vient d’être créée. On peut commencer à administrer notre console d’administration. On va aller dans fichiers, puis on va aller dans « Ajouter/Supprimer un composant logiciel enfichable » pour pouvoir voir les différents éléments qu’on va avoir le droit d’ajouter dans cette fameuse console.
4.1 – Administrer Active Directory de Windows Server à distance
Au début de cet article, notre objectif était pouvoir permettre à notre utilisateur de gérer les utilisateurs et ordinateurs active directory. Dans la fenêtre de gauche, au niveau des composants logiciels enfichables disponibles, je vais sélectionner les utilisateurs et ordinateurs active Directory, puis je vais cliquer sur le bouton « ajouter » et comme on peut le voir, cela ajoute le composant dans la fenêtre de droite.
À noter, dans la fenêtre de gauche, vous avez pu voir qu’on avait d’autres éléments et on a la possibilité d’administrer tous ces éléments.
Au niveau de la console, on peut voir qu’on a la hiérarchie de notre serveur Active Directory avec les différents objets depuis la racine numelion.local. L’objectif, ce sera de permettre à notre utilisateur de gérer uniquement l’Unité d’Organisation de Nantes.
Pour cela, on va faire un clic droit sur l’unité d’organisation de Nantes, puis on va cliquer sur « une nouvelle fenêtre à partir d’ici ».
Comme vous pouvez le voir désormais, on a une nouvelle fenêtre qui vient d’être ouverte et avec uniquement la possibilité de modifier les éléments qui font partie de l’Unité d’Organisation de Nantes. C’était notre objectif. On est entrain de créer une console d’administration à distance précise sur un élément qui est donc précis lui aussi.
Enfin, il ne nous reste plus qu’à enregistrer cette fameuse console MMC (Microsoft Management Console) qu’on vient de créer. Ce que je vais faire, c’est que je vais la positionner dans le dossier de partage « mmc » pour que mon utilisateur puisse la récupérer à travers le réseau sur un poste Windows.
Je vais la nommer « admin_mmc » et je vais enregistrer ma fameuse console d’administration à distance.
4.2 – Utiliser la console MMC sur le poste client
Maintenant, je vais me connecter sur un poste utilisateur et je vais à travers le réseau essayer de récupérer ma console d’administration MMC pour la lancer et commencer à administrer mes différents utilisateurs Active Directory à distance.
Je vais aller ici sur le réseau, je vais renseigner l’adresse IP de mon serveur Windows Active Directory (192.168.30.254) et le nom du dossier partagé qui est masqué avec le signe dollar (mmc$). Je retrouve bien ma console que je peux lancer.
Lorsque je lance cette console, j’ai un message m’indiquant que « MMC n’a pas pu créer le composant logiciel enfichable » et c’est normal, car on va avoir une petite manipulation à réaliser, il va falloir installer la fonctionnalité RSAT sur notre poste.
C’est quoi une fonctionnalité RSAT ?
Les outils d’administration de serveur distant (RSAT, Remote Server Administration Tools) sont un ensemble de logiciels de Microsoft qui permettent aux administrateurs de gérer les fonctionnalités et les rôles de Windows Server à partir d’un ordinateur distant.
4.3 – Installer la fonctionnalité RSAT
Pour pouvoir installer cette fonctionnalité, on doit être un utilisateur avec des privilèges sur le domaine. Je vais me connecter avec mon compte administrateur sur le poste où je souhaite utiliser la console d’administration et je vais ensuite avoir la possibilité d’installer des éléments sur le poste Windows.
Une fois que je suis connecté en administrateur, je vais aller dans la recherche Windows et je vais indiquer « fonctionnalités » et ensuite je vais cliquer sur « activer ou désactiver des fonctionnalités de Windows » pour que la fenêtre d’installation s’ouvre.
Dans cette nouvelle fenêtre, je vais cliquer sur « ajouter une fonctionnalité ». ce qui va ouvrir une nouvelle fenêtre également. Dans celle-ci, j’ai la possibilité de faire une recherche, donc je vais indiquer RSAT et on va voir que j’ai plusieurs éléments qui correspondent à RSAT.
Ce qui va m’intéresser c’est d’ajouter les outils « Active Directory Domain Server Services Directory et service LDS », donc je vais cocher et je vais cliquer sur installer.
Une fois que l’installation est terminée, je vais pouvoir quitter mon compte administrateur. On peut voir sur la capture ci-dessous que tout a bien été installé et je vais pouvoir commencer, normalement, à utiliser ma console d’administration MMC.
4.4 – Vérifier que l’on peut administrer Active Directory à distance
Je retourne au niveau de mon utilisateur Thierry Fao et je relancer ma console MMC exactement comme je l’ai fait précédemment lorsque ça n’avait pas fonctionné avec le message d’erreur.
Cette fois-ci, cela fonctionne, parce qu’on a la fonctionnalité RSAT qui est installée sur le poste et j’ai désormais accès à ma console d’administration MMC. Je constate que j’ai l’Unité d’Organisation de Nantes avec les différents services qui s’affiche.
Pour être sûr que cela fonctionne on va essayer d’ajouter un utilisateur dans l’Unité d’Organisation au niveau d’un service, On va créer un utilisateur dans le service RH, donc je vais faire un clic droit et nouvel utilisateur. Je vais indiquer un utilisateur qui s’appellerait Julien Morgan et je vais créer cet utilisateur Active Directory.
Comme on peut le voir, cela fonctionne. Mon utilisateur a été créé, j’ai la possibilité d’administrer des utilisateurs et ordinateurs Active Directory à distances sur l’Unité d’Organisation de Nantes, à partir de mon utilisateur Thierry Fao et donc depuis un poste à distance de mon serveur Windows.
1 Commentaire