Mes
Projets.

Contexte

Mise en place d'une infrastructure Windows Server 2022 en environnement virtualisé. Le projet couvre l'installation d'un contrôleur de domaine Active Directory (AD DS), la configuration des services réseau (DNS, DHCP), la création d'une PKI interne et le déploiement de quatre GPO sur des unités d'organisation distinctes.

Environnement : VM AD-1 (Windows Server 2022 — 10.2.0.201) et VM PC-DSI-01 (Windows 11 client, joint au domaine qscarpa.lan).

Arborescence Active Directory

• DC=qscarpa,DC=lan — racine du domaine
• OU=SOCIETE — unité d'organisation racine
• OU=DSI — Direction des Systèmes d'Information, subdivisée en OU=Utilisateurs et OU=Ordinateurs
• OU=DJ — Direction Juridique
• OU=DT — Direction Technique

Un groupe de sécurité est créé dans chaque OU de direction (ex : gr-DSI, gr-direction-financiere). L'ajout d'un utilisateur au groupe lui confère automatiquement tous les accès et GPO associés.

Configuration réseau du serveur

• Adresse IP statique : 10.2.0.201 / 255.255.255.0
• Passerelle : 10.2.0.254 — DNS préféré : 10.2.0.201 (lui-même)
• Zone DNS directe : qscarpa.lan — Zone inverse : 0.2.10.in-addr.arpa
• Plage DHCP : 10.2.0.200 – 10.2.0.210
• Niveau fonctionnel forêt / domaine : Windows Server 2016

GPO 1 — Restriction du Gestionnaire de tâches

Désactivation de l'accès au Gestionnaire de tâches pour les utilisateurs de l'OU Direction Financière. Chemin : Configuration utilisateur > Stratégies > Modèles d'administration > Système > Options Ctrl+Alt+Suppr > Supprimer le Gestionnaire de tâches : Activé. Vérification via gpupdate /force puis gpresult /r.

GPO 2 — Auto-enrollment (certificats numériques)

Automatisation de la distribution des certificats numériques (chiffrement e-mails, authentification Wi-Fi/VPN) sans intervention manuelle. Deux chemins configurés :

• Ordinateur : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique > Client des services de certificats - Inscription automatique
• Utilisateur : même chemin sous Configuration utilisateur

GPO 3 — Signature numérique SMB (SMB Signing)

Sécurisation des flux réseau entre clients et serveurs pour prévenir les attaques Man-in-the-Middle. Portée : Configuration Ordinateur. Vérification par gpresult /r /scope computer.

GPO 4 — Personnalisation de la barre des tâches (Windows 11)

Alignement de la barre des tâches à gauche pour tous les utilisateurs de l'OU DSI. GPO nommée GPO-BarreDesTaches-DSI, liée sur l'OU DSI via la GPMC. Méthode : Préférence de Registre.

• Ruche : HKEY_CURRENT_USER
• Clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
• Valeur : TaskbarAl — Type : REG_DWORD — Donnée : 0 (gauche)

Application forcée via gpupdate /force. Rapport détaillé généré avec gpresult /h C:\gpresult.html.

Contexte et vision

Conception, déploiement et maintenance d'une infrastructure d'intelligence artificielle locale et souveraine. En s'inspirant de solutions industrielles centralisées (projet "Watt" d'EDF), l'objectif est d'automatiser la gestion documentaire et le traitement des flux de communication en garantissant que l'intégralité des données reste sur l'infrastructure locale.

L'approche repose sur une architecture Privacy-by-design et intègre un processus systématique de validation humaine (Human in the Loop) pour les extractions critiques.

Objectifs opérationnels

• Ingestion intelligente — Centralisation, numérisation automatique et OCRisation des documents (PDF, scans) et des flux d'e-mails entrants.
• Recherche augmentée (RAG) — Moteur de recherche sémantique permettant d'interroger la base de connaissances documentaire en langage naturel.
• Automatisation métier — Scénarios d'orchestration pour transformer des documents non structurés en données exploitables.

Gouvernance tournante

Le rôle de Chef de Projet est réattribué chaque semaine de manière circulaire entre les trois membres, garantissant agilité et montée en compétences globale de l'équipe.

Cinématique des flux — cycle de vie d'un document

• Réception — Un nouveau document ou e-mail avec pièce jointe est déposé sur le serveur de fichiers collaboratif (Baptiste).
• Ingestion — Le document est automatiquement ingéré, analysé et OCRisé par Paperless via le volume de dépôt synchronisé (Quentin).
• Traitement IA — L'orchestrateur n8n détecte le nouveau document et sollicite l'API Ollama pour en extraire les métadonnées clés (dates, montants, nature du document).
• Human in the Loop — n8n génère automatiquement un e-mail de vérification. Une fois validé par l'opérateur, les données sont transmises à la base de connaissances.

Stack technique

• Ollama — Moteur d'inférence local, modèles mistral:7b et nomic-embed-text, 100% CPU.
• Open WebUI — Portail unique : chat conversationnel et gestion du RAG sur les documents indexés.
• n8n — Orchestration des workflows, interconnexion e-mails / fichiers / base de données / IA.
• Paperless-ngx — Archivage, étiquetage et OCR multilingue (fra+eng).
• PostgreSQL + pgvector — Persistance et stockage des embeddings (vecteurs de recherche).
• Redis — Broker de messages asynchrones requis par Paperless.
• Kanboard — Suivi des jalons et structuration des tickets projet (Alienis).

Évolutions prévues

• Intégration d'un GPU (type RTX 4080) pour les requêtes IA les plus intensives
• Mise en place d'un serveur de réplication pour la haute disponibilité

Contexte

Mise en place d'un point d'accès Wi-Fi (hotspot natif Windows) avec filtrage DNS par liste blanche, destiné à contrôler l'accès internet des appareils élèves lors de sessions d'examen. La solution est 100% logicielle, sans routeur dédié, et fonctionne sur n'importe quel PC Windows 10/11.

Architecture : les appareils élèves se connectent au hotspot et reçoivent automatiquement Acrylic DNS comme résolveur via Open DHCP Server. Seuls les domaines explicitement autorisés (Wikipedia, Google.fr) sont résolus — tout le reste retourne 0.0.0.0 (bloqué).

Phase 1 — Installation (à faire une seule fois)

• Acrylic DNS Proxy — Installé en tant que service Windows, agit comme résolveur DNS local sur 127.0.0.1:53.
• AcrylicConfiguration.ini — DNS amont : 8.8.8.8. Écoute sur 0.0.0.0. Section [AllowedAddressesSection] restreint les clients autorisés à 192.168.137.* et 127.0.0.1.
• AcrylicHosts.txt (liste blanche) — Seuls Wikipedia et Google.fr sont résolus. La dernière règle 0.0.0.0 * bloque tout le reste.
• Open DHCP Server — Distribue les IP sur 192.168.137.2–254 avec DNS=192.168.137.1, forçant Acrylic sur tous les appareils sans manipulation côté élève.

Phase 2 — Configuration réseau (permanente)

• Interface Wi-Fi : DNS forcé sur 8.8.8.8 (accès total pour le PC hôte)
• Interface hotspot (Connexion réseau local* 2) : DNS forcé sur 127.0.0.1 (Acrylic)
• Métriques : Wi-Fi = 10 (prioritaire), hotspot = 100 — évite tout conflit de routage
• Règles pare-feu : ouverture du port UDP/TCP 53 en entrant pour Acrylic via New-NetFirewallRule

Phase 3 — Procédure par session (à répéter)

• Activer le hotspot Windows EN PREMIER — l'interface 192.168.137.1 doit exister avant le démarrage d'Acrylic
• Dans PowerShell administrateur : Stop-Service AcrylicDNSProxySvc -Force, attendre 2s, puis Start-Service AcrylicDNSProxySvc et Start-Service OpenDHCPServer
• Vérification : nslookup youtube.com 192.168.137.1 doit retourner 0.0.0.0 (bloqué) et nslookup wikipedia.org 192.168.137.1 doit retourner l'IP réelle (accessible)

Point d'attention

Les IP de Google peuvent changer. Vérifier avec Resolve-DnsName google.fr avant chaque session d'examen et mettre à jour AcrylicHosts.txt si nécessaire.