Intégration au domaine SAMBAEDU

Sur un poste intégré au domaine SAMBAEDU, les ouvertures de sessions se font avec un compte de l'annuaire LDAP.

MéthodeMarche à suivre

L'intégration d'un poste Windows au domaine SAMBAEDU nécessite une suite d'opérations et de réglages qui sont effectués automatiquement au lancement du script d'intégration.

  1. Se connecter en administrateur local du poste à intégrer.

  2. Le script d'intégration est situé à l'emplacement suivant : \\se3\netlogon\domscripts. Il faut au moins cibler directement le dossier netlogon pour y accéder, un \\se3 n'est pas suffisant.

  3. Lancer le script rejoinSE3.exe (et seulement celui là).

  4. Renseigner le nom netbios du poste. (C'est une procédure de réintégration qui permet de changer "proprement" le nom netbios d'un poste).

  5. Spécifier éventuellement un mot de passe pour l'utilisateur local Administrateur.

Après trois redémarrages le poste est intégré au domaine.

Si jamais l'intégration s'interrompt en cours (rare) : l'ouverture de session avec un compte du domaine n'est pas possible et le mot de passe de l'administrateur local du poste a été modifié... sans pour autant correspondre à celui de l'utilisateur adminse3 qui est connu !

Un mot de passe temporaire est utilisé lors de la procédure d'intégration : wawa. On peut l'utiliser pour reprendre la main sur le poste et se connecter avec le compte administrateur local.

ComplémentCas particulier des postes Windows 10 (OBSOLÈTE ! ! ! !)

L'intégration au domaine SAMBAEDU d'un poste Windows 10 requiert une manipulation supplémentaire avant de lancer le script rejoinSE3.exe. Il faut modifier la base de registre en fusionnant un fichier .reg disponible sur le serveur.

  1. Parcourir le réseau jusque dans le dossier \\se3\netlogon\domscripts.

  2. Copier le fichier Win10-Samba44.reg localement sur le poste à intégrer, sur le Bureau par exemple.

  3. Fusionner ce fichier de base de registre : Clic-droit -> Fusionner.

  4. Intégrer alors le poste en exécutant le fichier rejoinSE3.exe.

Conséquences sur le poste

Ouverture de session

Par défaut l'ouverture de session se fait par défaut sur le domaine SAMBAEDU.

Remarque : Si on souhaite cependant ouvrir une session locale (ne doit concerner à priori que l'administrateur), le nom de l'utilisateur local doit alors être précédé des caractères .\ (par exemple .\Administrateur comme illustré ci-contre).

Lorsqu'un utilisateur ouvre une session sur un poste intégré au domaine, une session est ouverte sur le serveur en même temps qu'une session locale sur le poste en tant que membre du groupe Utilisateurs.

Ouverture d'une session locale sur un poste intégré au domaineInformations[1]

Modification des utilisateurs et groupes locaux du poste

  • Un nouvel utilisateur local est créé : adminse3, disposant des droits d'administration sur le poste.

  • L'utilisateur admin de l'annuaire LDAP est ajouté au groupe local Administrateurs : se connecter en admin donne donc les droits d'administration locaux sur le poste.

Le mécanisme des profils

L'environnement de l'utilisateur "descend" sur le poste : lettres de lecteurs, raccourcis vers les programmes, restrictions sur le poste, etc... Le profil (paramètres, préférences) de l'utilisateur circule du serveur vers le poste lors de l'ouverture de session, puis du poste vers le serveur à la fermeture de session.

Pour limiter la quantité de données qui circulent sur le réseau le système scinde le profil. La partie itinérante de ce profil est limité au strict minimum. Le profil d'un utilisateur comprend donc :

  • Le contenu de K:\profil (fixe au cours de l'ouverture de session).

  • Le contenu de homes\profiles\utilisateur (profil XP), de homes\profiles\utilisateur.v2 (Windows 7) ou de homes\profiles\utilisateur.v6 (Windows 10) : profils itinérants.

Profil itinérant trop volumineux ou défaillant

Un temps d'ouverture de session excessivement long peut venir d'un profil itinérant trop volumineux ou défaillant, de même lorsque les ouvertures de sessions deviennent impossibles sur les postes en Windows 7. L'administrateur peut supprimer le profil itinérant de l'utilisateur dans X:\profiles\ ou en cliquant sur Régénérer le profil errant Windows après avoir recherché l'utilisateur concerné dans l'annuaire.

Profil personnel défaillant

Si un utilisateur ne peut plus travailler correctement avec Libre Office (ouverture, puis fermeture immédiate), par exemple, le problème vient à priori de sa configuration stockée dans son profil personnel.

Il est possible d'intervenir dans K:\profil\appdata pour corriger le problème (suppression, modification des paramètres, etc...).

ComplémentSortir un poste du domaine

On peut avoir besoin de sortir un poste du domaine SAMBAEDU (avant un clonage par exemple). Il suffit de basculer le poste dans un groupe de travail à la place du domaine SAMBAEDU :

Se connecter avec un compte administrateur du poste, puis clic-droit sur Ordinateur -> Propriétés -> Paramètres de nom -> Modifier les paramètres -> Modifier. On entre un nom de groupe de travail arbitraire.

Après un redémarrage, le poste est sorti du domaine.

Sortir un poste du domaine SAMBAEDUInformations[2]