• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008
 

Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008

on

  • 63,880 views

 

Statistics

Views

Total Views
63,880
Views on SlideShare
63,604
Embed Views
276

Actions

Likes
14
Downloads
2,328
Comments
7

7 Embeds 276

http://www.slideshare.net 142
http://almadrassat.blogspot.com 117
http://d.courbiere.free.fr 6
http://www.slideee.com 4
http://static.slideshare.net 3
http://www.ismontessori.edu.pe 3
http://webcache.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

17 of 7 previous next Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008 Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008 Presentation Transcript

    • Microsoft Windows 2003 Server Réalisé par Laurent HOSTEN Date : 6 mars 2008 Version : 1.0 GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 1/75 06/03/08
    • Module « Microsoft Windows 2003 Server » (GMSI 2007.1) Sommaire   1.  Qu’est ce qu’un système d’exploitation ? ............................................ 4  2.  Qu’est ce que le multitâche ? ........................................................... 5  3.  Le multithreading et multiprocessing ................................................. 6  Présentation de Microsoft Windows 2003 Server ............................................ 7  1.  Architecture ................................................................................... 7  2.  Clients – Serveurs .......................................................................... 7  3.  La gamme Windows 2003 Server ...................................................... 8  Installation de Windows 2003 Server ......................................................... 10  1.  Configuration minimum ................................................................. 10  2.  Installation manuelle..................................................................... 10  3.  Installation contrôlée ou automatisée .............................................. 14  4.  Installation par duplication de disque .............................................. 15  5.  Intégration au domaine ................................................................. 16  6.  Services d’installation à distance (RIS) ............................................ 16  Présentation d’Active Directory .................................................................. 22  1.  Présentation ................................................................................ 22  2.  Installation .................................................................................. 25  3.  Désinstallation d’Active Directory .................................................... 28  4.  Choix d’un mode d’un domaine ....................................................... 28  5.  Rôle des contrôleurs de domaines ................................................... 29  Les outils d’administration ........................................................................ 32  1.  Présentation ................................................................................ 32  2.  Les outils d'administration courants ................................................ 32  3.  Les outils d'administration spécifiques ............................................. 36  4.  Les solutions d'administration à distance.......................................... 38  5.  Personnalisation des consoles d'administration ................................. 41  Gestion des utilisateurs, des groupes et des ordinateurs ............................... 44  1.  Gestion sur un ordinateur local ....................................................... 44  GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 2/75 06/03/08
    • 2.  Gestion dans un domaine .............................................................. 51  3.  Gestion des comptes d'ordinateur dans un domaine .......................... 73  GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 3/75 06/03/08
    • Notions de base Afin de comprendre le fonctionnement d’un système d’exploitation Microsoft, nous allons tout d’abord aborder quelques définitions et descriptions de fonctionnement. 1. Qu’est ce qu’un système d’exploitation ? Pour que l’on puisse utiliser une application (ou logiciel), l’ordinateur doit exécuter différentes tâches. Il sera nécessaire de gérer les interactions entre le processeur, la mémoire et les différents périphériques. C’est le système d’exploitation qui va assurer la liaison entre l’utilisateur, le matériel et l’application. Ainsi, lorsqu'un programme désire accéder à une ressource matérielle, il ne lui est pas nécessaire d'envoyer des informations spécifiques au périphérique, il lui suffit d'envoyer les informations au système d'exploitation, qui se charge de les transmettre au périphérique concerné via son pilote. En l'absence de pilotes il faudrait que chaque programme reconnaisse et prenne en compte la communication avec chaque type de périphérique. Le système d’exploitation doit gérer différentes tâches : Gestion du processeur : le système d'exploitation est chargé de gérer l'allocation du processeur entre les différents programmes grâce à un algorithme d'ordonnancement. Gestion de la mémoire vive : le système d'exploitation est chargé de gérer l'espace mémoire alloué à chaque application et, le cas échéant, à chaque usager. En cas d'insuffisance de mémoire physique, le système d'exploitation peut créer une zone mémoire sur le disque dur, appelée mémoire virtuelle. La mémoire virtuelle permet de faire fonctionner des applications nécessitant plus de mémoire qu'il n'y a de mémoire vive disponible sur le système. En contrepartie cette mémoire est beaucoup plus lente. Gestion des entrées/sorties : le système d'exploitation permet d'unifier et de contrôler l'accès des programmes aux ressources matérielles par l'intermédiaire des pilotes (appelés également gestionnaires de périphériques ou gestionnaires d'entrée/sortie). Gestion de l'exécution des applications : le système d'exploitation est chargé de la bonne exécution des applications en leur affectant les ressources nécessaires à leur bon fonctionnement. Il permet à ce titre de «tuer» une application ne répondant plus correctement. Gestion des droits : le système d'exploitation est chargé de la sécurité liée à l'exécution des programmes en garantissant que les ressources ne sont utilisées que par les programmes et utilisateurs possédant les droits adéquats. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 4/75 06/03/08
    • Gestion des fichiers : le système d'exploitation gère la lecture et l'écriture dans le système de fichiers et les droits d'accès aux fichiers par les utilisateurs et les applications. Gestion des informations : le système d'exploitation fournit un certain nombre d'indicateurs permettant de diagnostiquer le bon fonctionnement de la machine. Afin de clôturer la définition concernant les systèmes d’exploitation, nous finirons avec les trois composants principaux qui le définissent. Nous avons en premier lieu le noyau (kernel). C’est la partie fondamentale d'un système d'exploitation, il est le gestionnaire de ressources de la machine, qui permet aux éléments matériels et logiciels de fonctionner ensemble. Pour ces raisons, il est le premier logiciel chargé en mémoire (hors gestionnaire de boot). Nous trouvons ensuite l’interpréteur de commande. Un interpréteur de commandes (le quot;shellquot;, la coquille qui entoure le quot;noyauquot; du système) est un programme qui sert d'intermédiaire entre l'utilisateur et le système d'exploitation. Sa tâche essentielle est l'exécution de programmes. Pour cela, il effectue: La lecture d'une ligne Sa compréhension comme une demande d'exécution d'un programme avec d'éventuels paramètres. Le lancement de ce programme avec passage des paramètres D’éventuelles redirections d'entrées-sorties Les exécutions de scripts (fichiers de commandes) Et pour finir, nous avons le système de fichiers. Un système de fichiers est la méthode utilisée pour stocker de l'information sur un disque dur (arborescence). Des systèmes d'exploitation différents utiliseront des systèmes de fichiers différents, rendant ainsi difficile le partage d'information. Les principaux systèmes de fichiers utilisés sont FAT16 et FAT32 pour Win98 et NTFS pour Win XP. 2. Qu’est ce que le multitâche ? Le multitâche est la capacité pour un système d’exploitation à gérer plusieurs programmes simultanément en leur attribuant tour à tour un pourcentage de temps processeur pour que ces programmes puissent s’exécuter. Nous distinguons deux types de multitâche : Le multitâche coopératif Le multitâche préemptif 2.1 Le multitâche coopératif Dans cette configuration, chaque application qui s’exécute sur le système d’exploitation dispose du processeur puis le libère, permettant aux applications suivantes d’utiliser à leur tour le processeur. Le problème que GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 5/75 06/03/08
    • nous rencontrons avec ce type de système est la dépendance des applications les unes par rapport aux autres. Si une application boucle sur elle-même, plus aucune application ne peut s’exécuter et nous allons avoir une défaillance du système d’exploitation. Nous trouvions ce genre d’implémentation dans les systèmes Windows 16 bits tel que Windows 3.1x ou Windows 95 avant l’OSR2. 2.2 Le multitâche préemptif Dans cette configuration, chaque application dispose du processeur pendant un laps de temps déterminé à l’avance ou jusqu’à ce qu’une autre application ait une priorité supérieure à l’application en cours. L’ordonnancement (attribution d’un temps processeur pour une application) est fait par le système d’exploitation. Contrairement au multitâche coopératif, si une application se bloque, le système d’exploitation ne lui alloue plus de temps processeur et sera mise de côté. Le système restera donc stable. 3. Le multithreading et multiprocessing Un « thread » est une unité d’exécution et donc un bout du programme. Le multithreading est le fait que dans une même application, nous pouvons exécuter plusieurs tâches en même temps. Par exemple, dans un traitement de texte, l’application affiche le texte que vous tapez tout en lui appliquant la mise en page souhaitée. En ce qui concerne le multiprocessing, c’est la capacité du système d’exploitation à faire travailler différents processeurs à la gestion du système et au bon fonctionnement des applications. Il existe deux types de multiprocessing : Le multiprocessing asymétrique et le multiprocessing symétrique. Dans le premier cas, l’utilisation des processeurs est dissociée. Un processeur s’occupera uniquement du fonctionnement du système d’exploitation alors que le second processeur sera réservé pour les applications. Le multiprocessing symétrique, lui, met à disposition les différents processeurs pour le système et pour les applications. Cependant, le système d’exploitation a constamment un temps processeur alloué. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 6/75 06/03/08
    • Présentation de Microsoft Windows 2003 Server 1. Architecture Windows 2003 est un système d’exploitation 32 bits, qui utilise le multitâche préemptif et multithread ainsi que les architectures SMP. Windows 2003 est un composé de système d’exploitation en couches et de systèmes client/serveur à base de micronoyaux. Le regroupement de ces deux technologies permis de distinguer deux parties dans Windows 2003, appelées mode exécutif (ou mode noyau) et mode utilisateur (ou mode applicatif). Au sein du noyau, on retrouve la couche d’abstraction matérielle (Hardware Abstraction Layer) chargée des échanges avec le matériel. Les applications 16 bits sont supportées dans un sous système NTVDM Comme pour Windows XP, Windows Server 2003 existe également avec un noyau 64 bits, réservé aux machines disposant disposant de ce type d’architecture, telles que l’Itanium d’Intel. Windows 2003 prend en charge l’architecture EMA (Entreprise Memory Architecture) qui permet aux applications de bénéficier d’un maximum de 32 Go de mémoire. Cela s’avère fortement intéressant pour les serveurs de base de données manipulant énormément de données. En effet, la manipulation des données s’effectue plus rapidement en RAM que sur disque. Pour bénéficier de cette architecture, il faut que votre matériel la prenne en charge. De plus, les applications doivent être développées de manière spécifique. SQL Server peur par exemple utiliser ce fonctionnement. Le mode noyau est doté d’un module Plug and Play permettant de diminuer le temps de configuration du matériel. Notons aussi la présence, dans ce mode noyau, d’un module de gestion d’énergie fonctionnant sur la technologie OnNow/ACPI qui permet de diminuer l’énergie utilisée par les ordinateurs. Les fonctionnalités de Windows 2003 autorisant le logiciel à fonctionner en cluster sont dues à l’amélioration du noyau. En ce qui concerne le mode noyau, il a été développe en UNICODE qui va permettre de supporter toute application, quelle que soit la langue utilisée. 2. Clients – Serveurs Sur les systèmes d’exploitation réseau, les échanges s’effectuent entre plusieurs machines qui dialoguent entre elles grâces à des protocoles de communications communs. Lorsqu’ils sont utilisés pour désigner une machine, les termes « Client » et « Serveur » définissent le rôle principal de celle-ci. En réalité, chaque machine Windows offre des services de type réseau, auxquels se connectent des clients. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 7/75 06/03/08
    • En effet, si une machine A souhaite visualiser des fichiers de la machine B, la machine B offrira un service de fichier à la machine A. La machine B propose donc un service « serveur » alors que la machine A fera office de client. 3. La gamme Windows 2003 Server Il existe différentes versions du système d’exploitation Windows 2003 Server : 32 bits et 64 bits, ainsi que des versions incorporées : Windows Server 2003, Web Edition Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition 3.1 Windows Server 2003, Web Edition Pour positionner Windows Server 2003 sur le marché des serveurs web, Microsoft a publié cette version simplifiée du système d’exploitation, conçue pour assurer les services web. Cette édition prend en charge 2 Go de RAM et les multiprocesseurs symétriques jusqu’à deux processeurs. Il autorise un nombre illimité de connexions web anonymes, mais se limite à 10 connexions SMB (Server Message Block), qui sont des connexions qui servent à publier du contenu. Le serveur ne peut pas fait office de passerelle, ne peut pas faire serveur DHCP et ne peut être serveur de fax. Bien qu’il soit possible d’utiliser les services d’administration à distance, il ne peut être serveur TSE. Il peut appartenir à un domaine mais ne peut en aucun cas être le contrôleur de domaine. La version du moteur de base de données Microsoft SQL Server qu’il embarque peut prendre en charge 25 connexions concurrentes. 3.2 Windows Server 2003, Standard Edition Cette édition est un serveur capable de fournir les services suivants : Services d’annuaire Serveur de fichiers Serveur d’impression Serveur d’application… Comparé à Windows 2000, il comporte des fonctionnalités étendues avec MSDE (Microsoft Desktop Engine), le moteur de base de données Microsoft SQL Server), une version de SQL Server qui prend en charge cinq connexion concurrentes à des bases de données pouvant atteindre chacun 2 Go. Il offre également un serveur POP3 (Post Office Protocol version 3) gratuit et prêt à l’emploi qui, combiné au service SMTP (Simple Mail Transfer Protocol), permet au serveur de fonctionner comme serveur de GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 8/75 06/03/08
    • messagerie autonome : et enfin un gestionnaire d’équilibrage de la charge réseau (NLB, Network Load Balancing), outil intéressant qui n’était précédemment inclus que dans la version Advanced Server de Windows 2000. Windows Server 2003 Standard Edition prend en charge 4 Go de ram et les multiprocesseurs symétriques jusqu’à quatre processeurs. 3.3 Windows Server 2003, Enterprise Edition Cette édition est conçue pour les entreprises moyennes à grandes. Ses fonctionnalités lui permettent de prendre en charge huit processeurs, 32 Go de ram et d’assurer un service de cluster. Il est préparé pour la montée en charge vers les ordinateurs Intel 64 bits Itanium, pour lesquels il peut être configuré en 64 Go de RAM et prendre en charge les multiprocesseurs symétriques jusqu’à huit processeurs. Voici quelques fonctionnalités qui permettent d’établir la distinction entre les éditions « standard » et « Enterprise » : La prise en charge de MMS, qui autorise l’intégration de plusieurs annuaires, banques de données et fichiers via Active Directory L’ajout de mémoire à chaud, qui permet d’ajouter de la mémoire sur les matériels pris en charge, sans temps d’interruption ni redémarrage. Le gestionnaire de ressources système Windows (WSRM), qui prend en charge l’affectation de ressources processeur et mémoire en fonction des applications. 3.4 Windows Server 2003, Datacenter Edition Datacenter Edition n’est disponible qu’en OEM dans le cadre d’un ensemble incluant un serveur haut de gamme. Il apporte une évolution pratiquement sans limite, avec la prise en charge, sur les plateformes 32 bits, des multiprocesseurs symétriques à quatre processeurs avec 64 Go de RAM, et sur les plateformes 64 bits, des multiprocesseurs symétriques à 64 processeurs avec 512 Go de RAM. Il existe également une version à 128 processeurs qui prend en charge deux partitions SMP (symétrique multiprocessor) pour 64 processeurs. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 9/75 06/03/08
    • Installation de Windows 2003 Server 1. Configuration minimum L’installation de Microsoft Windows 2003 Server peut être effectuée de plusieurs façons. Quelle que soit la méthode choisie, il est nécessaire de procéder à une série de tâches dites de pré-installation. Il est tout d’abord nécessaire de vérifier la compatibilité matérielle avec Windows 2003 Server. Nous nous servirons pour cela de la HCL que nous pouvons trouver sur le site de Microsoft. Si vous êtes sur un ordinateur qui exécute déjà un système d’exploitation, vous pourrez utiliser la commande « I386winnt32 /checkupgradeonly » à partir du cd de Windows 2003. La configuration minimale requise pour l’installation de Microsoft Windows Server 2003 est mentionnée dans le tableau suivant : Edition Windows Matériel Minimum Conseillé Server 2003 Web Server Edition Processeur (x86) 133 MHz 550 MHz Mémoire vive 128 Mo 256 Mo Espace Disque 2 Go Standard Edition Processeur (x86) 133 MHz 550 MHz Mémoire vive 128 Mo 256 Mo Espace Disque 2 Go Entreprise Edition Processeur (x86) 233 MHz 733 MHz Mémoire vive 128 Mo 256 Mo Espace disque 2 Go Datacenter Edition Processeur (x86) 400 MHz 733 MHz Mémoire vive 512 Mo 1 Go Espace Disque 2 Go 2. Installation manuelle Pendant la phase d’installation, il est possible de modifier l’organisation de vos partitions de disque et d’effectuer certaines opérations telles que la suppression ou création de partitions. Il est fortement conseillé d’installer le système sur une partition d’au moins 2 Go. 2.1 Partitionnement des disques Il est possible d’installer le préchargeur (secteur de démarrage 2003) et le chargeur, NTLDR, sur une première partition, la partition système, puis d’installer le reste des fichiers sur une partition distincte, la partition d’amorçage. Sur un système Windows NT, la partition système est la partition principale (active). La partition d’amorçage, celle qui contient tous les fichiers dont le GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 10/75 06/03/08
    • noyau Windows 2003 (NTOSKRNL.EXE) peut être installée sur une seconde partition principale ou un lecteur logique d’une partition étendue. La partition système ne nécessite pas une taille très importante. 10 Mo suffisent amplement dans la plupart des cas. Elle pourra rester en FAT, afin de supporter un amorçage multiple, ce qui permet de simplifier le dépannage lors d’un problème de démarrage. Les fichiers vitaux contenus sur cette partition pourront être dupliqués sur une disquette de démarrage. Ceci permet de disposer d’une disquette de secours en cas de problème simple d’amorçage du système, ainsi que d’une copie de ces fichiers. Dans les cas les plus critiques, la console de récupération permettra d’accéder au système Windows 2003 pour effecteur notamment une réparation. La partition « démarrer », qui contient les fichiers systèmes dont le noyau de Windows 2003, devra faire un minimum de 2 Go. Celle-ci tiendra compte de l’évolution du système dont l’ajout des nombreuses DLL volumineuses dans le sous répertoire système32 du répertoire d’installation. N’oubliez pas non plus un espace pour le fichier d’échange et l’éventuel répertoire de spoule d’impression. Cette partition pourra être convertie en NTFS pour d’évidentes raisons de sécurité. 2.2 Choix du système de fichiers Windows Server 2003 supporte les systèmes de fichiers FAT, FAT32 et NTFS a. Système de fichiers FAT/ FAT32 Si l’on souhaite conserver la possibilité de démarrer sous l’ancien système d’exploitation tel que MS-DOS, Windows 95 ou Windows 98, il faut conserver un système de fichiers qui soit connu des systèmes composant le multiboot. FAT et FAT32 ne permettent pas d’obtenir un niveau de sécurité sur les fichiers et répertoires. Le système de fichiers FAT ne supporte pas les partitions supérieures à 2 GO. FAT 32 est une évolution de FAT qui permet de dépasser cette limite. Il sera possible de convertir ces partitions au format NTFS sans perte de données. b. Système de fichier NTFS C’est le système recommandé pour Windows 2003 Server. Il accroit la sécurité en permettant de la contrôler au niveau des répertoires et des fichiers, gère la compression de disques ou de fichiers, permet de contrôler l’emploi des disques par les utilisateurs en appliquant des quotas ainsi que d’encrypter les données. Si vous prévoyez de configurer votre serveur en tant que contrôleur de domaine, il est impératif d’avoir au moins une partition formatée en NTFS pour stocker le volume système partagé. On optera pour NTFS sous Windows 2000/2003 dans les cas suivants : Windows 2003 est le seul système installé GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 11/75 06/03/08
    • Utilisation des services de fichiers ou d’impression ou Macintosh Vous souhaitez disposer d’une sécurité locale Gestion des partitions de grande taille Un audit du système de fichiers est requis Gestion de la compression des fichiers Conservation des équivalences de permissions lors de la migration des fichiers Novell vers Windows Gestion des quotas de disques Cryptage des données (EFS) Installation d’Active Directory 2.3 Mode de licence Pendant la phase d’installation, il vous sera demandé de choisir le mode de licence. Vous pourrez choisir entre le mode de licence par serveur ou par siège. a. Licences par serveur Le nombre de licences par serveur nécessaire pour un serveur particulier correspond donc au nombre maximal de clients différents qui pourront se connecter en même temps sur ce serveur. Lorsque le nombre maximal de connexions est atteint, un message d’erreur s’affiche et la nouvelle connexion est refusée. Un message est alors consigné dans l’observateur d’évènements. Il est possible de faire évoluer le nombre de licences par serveur, à partir du Panneau de configuration – Licences b. Licences par poste ou utilisateur (par siège) Dans ce mode de licence, le siège ou client spécifique est sujet à licence. Cette licence correspond à un droit de connexion, elle ne constitue pas un apport de logiciels spécifiques pour permettre l’interconnexion des systèmes. Dans ce cas, les serveurs ne disposent d’aucune restriction particulière en termes de connexions maximales concomitantes, à condition que chaque client dispose d’un siège reconnu. Il est possible de passer à tout moment du mode de licences par serveur en mode par poste ou utilisateur. Cette action est irréversible. 2.4 Planification du domaine Durant l’installation, vous devrez choisir si votre serveur Windows 2003 intégrera un domaine ou un groupe de travail. Pour intégrer un groupe de travail, vous devez simplement entrer le nom du groupe de travail. Si vous désirez intégrer un domaine lors de l’installation, vous devez connaître certains paramètres : GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 12/75 06/03/08
    • Le nom du domaine (DNS) que vous intégrez Pour qu’un ordinateur puisse joindre un domaine, il faut que ce dernier possède un compte d’ordinateur unique dans le domaine. Si ce compte machine n’a pas été créé avant l’installation, vous pouvez le créer lors de l’installation. Pour cela, il vous faut employer un compte utilisateur ayant suffisamment de droits pour intégrer un ordinateur dans un domaine. Un serveur jouant le rôle de contrôleur de domaine ainsi qu’un serveur sur lequel le service DNS est installé et configuré. Si vous intégrez votre serveur dans un domaine, il deviendra alors serveur membre. S’il est dans un groupe de travail, nous parlerons de serveur autonome. Vous pouvez lors de l’installation de Windows 2003 Server faire de votre ordinateur un serveur membre ou autonome. Si vous souhaitez qu’il joue le rôle de contrôleur de domaine, il faudra alors installer Active Directory après l’installation, via l’assistant DCPROMO. 2.5 Installation à partir d’un CD-ROM Vous pouvez exécuter l’installation de Windows 2003 server à partir du CD-ROM. Pour cela : Soit vous posséder un OS : il suffit d’insérer le CD et exécuter le setup.exe (si pas d’autorun). Soit configuré le BIOS de votre machine pour démarrer sur le CD. Le programme d’installation de Windows 2003 se lance automatiquement après chargement des pilotes de périphériques. Soit vous disposez des disquettes d’installation afin d’initialiser la séquence d’amorçage et vous démarrez l’ordinateur à partir de ces disquettes, le reste de l’installation se poursuivra ensuite à partir du CD. a. En mode texte Les différentes étapes sont les suivantes : Le programme setup charge un système 32 bits minimal de Windows 2003 Server en mémoire Si vous disposez de périphériques SCSI ou RAID particuliers, pressez F6 pour charger les pilotes Acceptation du contrat de licence avec la touche F8 Choix du partitionnement et du système de fichiers Vous ne disposerez du formatage rapide que sur une partition existante. Après formatage puis copie des fichiers, l’ordinateur redémarre. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 13/75 06/03/08
    • b. En mode graphique Lors de la partie en mode graphique, nous devrons fournir un certain nombre d’indications : Paramètres régionaux et divers Nom et organisation Mode de licence Nom de l’ordinateur et mot de passe pour le compte admin local. Composants que vous voulez installer (voir annexe) Vous noterez que par souci de sécurité et de performance, Windows 2003 installe très peu de composants par défaut. b1 : Installation de la gestion du réseau : Windows 2003 va initialement détecter les cartes réseaux. Une fois cela réalisé, il vous demande si vous souhaitez installer les composants réseau de façon automatique ou personnalisée. Si vous choisissez les réglages par défaut, les composants suivants seront installés : Clients pour les réseaux Microsoft : cela permet à votre ordinateur d’accéder aux ressources réseau. Partage de fichiers et d’imprimantes pour les réseaux Microsoft. Protocole TCP/IP standard configuré en obtention d’adresse automatique. Dans ce mode, Windows 2003 essaie e trouver un serveur DHCP sur votre réseau pour obtenir automatiquement une adresse IP. En choisissant une installation personnalisée, vous pourrez modifier ces composants et spécifier entre autre une configuration d’adressage IP statique. L’étape suivante sera de choisir entre intégrer un groupe de travail ou un domaine. Le nom du groupe de travail par défaut est : WORKGROUP 3. Installation contrôlée ou automatisée Cette méthode a un intérêt si vous souhaitez installer Windows 2003 Server sur plusieurs ordinateurs ou vous affranchir du CD-ROM. Pour cela, copiez-le contenu du répertoire i386 du CD-Rom dans un partage réseau. Dès lors, il suffit de mettre en place une gestion de réseau minimum sur la machine à installer (par exemple un client réseau 3.0 sous DOS) afin de se connecter à cette ressource et lancer l’installation par la commande WINNT.EXE. Vous pouvez aussi utiliser la commande WINNT32.EXE si vous souhaitez procédez à l’installation à partir d’un système d’exploitation 32 bits (démarrage à partir des disquettes d’installation). 3.1 Commutateurs du programme d’installation GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 14/75 06/03/08
    • Lorsqu’ils sont exécutés manuellement, les programmes WINNT et WINNT32 supportent des paramètres en ligne de commande qui permettent de personnaliser l’installation de Windows 2003. 3.2 Création d’un fichier de réponse L’installation de Windows 2003 peut être automatisée, pour ne pas avoir à répondre à toutes les étapes de la partie d’installation en mode texte et de la partie d’installation en mode graphique. Pour cela on créera un fichier de réponse. Afin de ne pas décliner ce fichier de réponse pour chaque variante d’installation, il est possible d’associer un fichier .UDF qui contiendra les spécificités de chaque installation. En cas de conflit, les valeurs mentionnées dans le fichier UDF sont prioritaires vis-à-vis du fichier de réponse. Lorsque la valeur n’est trouvée dans aucun des fichiers, le programme d’installation affiche un écran pour la saisie du paramètre. L’utilitaire « Setup Manager » est un utilitaire graphique qui permet de créer les fichiers de réponse ainsi que les fichiers UDF. Cet utilitaire fait partie du fichier DEPLOY.CAB que l’on trouve sur le CD de Windows 2003. 4. Installation par duplication de disque Pour déployer Windows 2003 sur un grand nombre de postes, la méthode paraissant la plus efficace est la duplication de disque. Toutefois, cette technique, couramment appelée clonage, est particulièrement adaptée aux postes de travail tels que Windows 2000 ou XP, mais peu recommandée pour un serveur. Cette méthode de déploiement consiste à créer une image du disque d’un ordinateur sur lequel Windows 2003 est installé et configuré (ordinateur de référence), puis à restaurer cette image physique sur un autre ordinateur. Bien que l’on gagne du temps au niveau de l’installation, nous pouvons par la suite rencontrer des problèmes. Ainsi les identifiants de sécurité uniques ne sont pas régénérés et peuvent engendrer des dysfonctionnements aléatoires. Il est donc impératif de respecter cette unicité en utilisant un programme spécifique (fourni avec le produit de duplication de disque) ou un produit tiers tel que NEWSID de « Sysinternals ». Avec le package DEPLOY.CAB, Microsoft fournit SYSPREP.EXE afin de respecter la génération des identifiants uniques et certaines opérations du processus d’installation, tout en conservant le bénéfice de la duplication de disque. Le cycle à entreprendre est le suivant : Installation de Windows 2003 sur un ordinateur de référence Installation des applications sur cet ordinateur Exécution de l’utilitaire SYSPREP.EXE afin de supprimer tous les paramètres de configuration propres à un ordinateur. L’exécution de SYSPREP s’arrête et redémarrer l’ordinateur de référence. Avant de redémarrer le système, vous devrez procéder au GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 15/75 06/03/08
    • clonage proprement dit, en exécutant votre outil qui va générer l’image du disque. La restauration de l’image sur les ordinateurs cible s’effectue à l’aide de votre outil de duplication de disque 5. Intégration au domaine Les installations manuelles ou automatisées de Windows Server 2003 permettent de joindre l’ordinateur à un domaine pendant la phase d’installation. Afin de dissocier d’éventuelles difficultés liées à cette opération, il est souhaitable de procéder à une première installation dans un groupe de travail quelconque ou WORKGROUP par défaut. Une fois l’installation réalisée et la configuration réseau vérifier, vous pouvez à tout moment intégrer votre serveur autonome vers un domaine afin qu’il devienne serveur membre. Vous pourrez réaliser cette opération sous l’onglet « nom de l’ordinateur » et en cliquant sur le bouton « Modifier ». S’il s’agit d’un domaine NetBIOS (contrôleur de domaine antérieur à Windows 2000), entre le nom simple du domaine tel que CESI. S’il s’agit d’un domaine Active Directory (contrôleur principal sous Windows 2000 ou Windows 2003), entre le nom DNS complet du domaine tel que cesi.fr. Vérifiez également que l’option « Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées » est cochée afin que le nom complet du poste soit modifié en conséquence. Pour joindre un serveur autonome à un domaine, il est nécessaire de créer un compte d’ordinateur dans le domaine en question. Deux voies sont alors possibles : A partir du serveur, un compte d’utilisateur du domaine autorisé à ajouter un ordinateur dans le domaine, c'est-à-dire à créer un compte d’ordinateur dans le domaine A partir d’un contrôleur de domaine, en créant manuellement le compte d’ordinateur via la console appropriée (Utilisateurs et Ordinateurs Active Directory). A la prochaine ouverture de session, vous aurez le choix entre utiliser un compte d’utilisateur déclaré sur le domaine ou utiliser un compte local de votre ordinateur. 6. Services d’installation à distance (RIS) 6.1 Présentation Les services d’installation à distance RIS (Remote Installation Service) permettent de déployer un système d’exploitation sur tout ou partie des postes de l’entreprise sans qu’il soit nécessaire d’intervenir physiquement sur chaque ordinateur. Cette technique de déploiement sur un ensemble de services réseau et serveurs requiert des postes clients compatibles PXE GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 16/75 06/03/08
    • (Preboot eXtension Environnement). Les images nécessaires à l’installation des postes clients sont stockées sur un ou plusieurs serveurs spécialisés (Serveur RIS) membres ou contrôleurs d’un domaine : à savoir, les installations automatisées via un fichier de réponse et/ou les images de duplication de disque. Le serveur RIS stocke les images en volume NTFS et propose un écran d’accueil aux clients qui le sollicitent. Il est ainsi possible de choisir l’image d’une nouvelle installation et/ou d’effectuer certaines tâches de pré installation via des outils spécifiques tels qu’une mise à jour du BIOS. Vous pouvez déployer des images pour Windows 2000 et XP Professionnel. Notez que vous pouvez recourir aux stratégies de groupe pour compléter l’installation des applications et le paramétrage des postes. 6.2 Installation du serveur RIS Avant de procéder à l’installation du serveur RIS, vous devez effectuer certaines vérifications : Le serveur envisagé pour cette fonction doit être membre ou contrôleur d’un domaine Active Directory. Du fait de la présence d’Active Directory, un service DNS est nécessairement fonctionnel sur le réseau. Un service d’allocation dynamique d’adresses (DHCP) doit être présent sur le réseau de déploiement des postes. (Les serveurs DHCP sur Windows 2000/2003 doivent être autorisés dans Active Directory via la console DHCP. Le serveur RIS doit également être autorisé de la même manière bien qu’il n’assure pas nécessairement de service DHCP). Pour installer les services RIS, utilisez la fonction « Ajout/suppression des programmes » du panneau de configuration, puis « Ajouter ou supprimer des composants Windows ». Cochez ensuite la case « Services d’installation à distance » puis cliquez sur le bouton « Suivant ». A partir du menu « Démarrer » - Exécuter ou d’une invite de commande, exécutez le programme RISetup.exe (situé dans %Windir%system32) afin de configurer le serveur. Cliquez sur le bouton « suivant » pour passer l’écran d’accueil puis entrez le chemin d’accès destiné au stockage des images d’installation des postes. Ce dossier est partagé sous le nom REMINST et doit impérativement respecter les contraintes suivantes : Etre sur un volume ou une partition NTFS Ne pas être celui du système ni celui de la partition d’amorçage L’espace minimum disponible sur ce volume doit être de 2 Go Le nom du dossier par défaut est « RemoteInstall ». Cliquez sur le bouton « Suivant » une fois le nom de dossier saisi. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 17/75 06/03/08
    • Par défaut, le service RIS ne répondra pas aux requêtes des clients afin que vous puissiez vérifier les paramètres après ces opérations, puis activer cette fonctionnalité a posteriori. Ne cochez donc aucune case « Prise en charge des clients » puis cliquez sur le bouton « Suivant ». Le serveur RIS doit disposer d’au moins une image de CD-Rom et vous devez, à ce stade, indiquer une lettre d’unité contenant une distribution de Windows Serer 2003, XP ou 2000 professionnel, puis cliquer sur le bout « Suivant » pour poursuivre l’installation Entrez ensuite un sous-dossier (du dossier précédent) pour le stockage de cette distribution, cliquez sur le bouton « Suivant » puis précisez une description plus claire identifiant cette copie (vous pouvez également ajouter un texte d’aide complémentaire). Ces informations seront visibles à partir de l’écran d’installation des postes. Cliquez sur le bouton « Suivant », vérifiez vos paramètres puis cliquez sur le bouton « Terminer » pour démarrer la copie et achever l’installation des services RIS. Suite à l’installation des services d’installation à distance, plusieurs services ont été automatiquement ajoutés et activés : La couche de négociation des informations de démarrage ou Boot Information Négociation Layer (BINL) Il s’agit du service chargé de répondre aux requêtes des clients et d’interroger Active Directory pour savoir si l’ordinateur dispose de droits suffisants. Il permet également d’attribuer les paramètres adaptés aux clients pendant leur phase d’installation. Le service Trivial File Transfer Protocole ou TFTPD (daemon) Ce servie en mode non connecté (rapide) permet aux clients de télécharger des fichiers spécifiques. Il leur offre notamment la possibilité de rapatrier l’assistant d’installation du client (Client Installation Wizard ou CIW) ainsi que toutes les boites de dialogue contenus dans l’assistant. Stockage d’Instance simple ou Single Instance Store (SIS) Il s’agit du service chargé de réduire la quantité d’espace disque sur les volumes utilisés par les images d’installation RIS. Lorsque vous installez RIS en tant que composant optionnel, vous devez mentionner un lecteur ainsi qu’un répertoire d’installation : il s’agit du volume RIS. Les services SIS se lient automatiquement au volume RIS, et effectuent un suivi pour savoir si des fichiers dupliqués ont été placés sur ce volume. En cas de doublon, SIS crée un lien vers le fichier, économisant ainsi de l’espace disque. 6.3 Mise en œuvre A ce stade, le serveur RIS est pratiquement opérationnel ; vous devez cependant effectuer les étapes suivantes afin qu’il puisse prendre en charge les postes clients et que les installateurs puissent joindre correctement le domaine : GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 18/75 06/03/08
    • a. Autoriser le serveur Bien que le serveur RIS n’assure pas nécessairement une fonction de serveur DHCP, vous devez l’autoriser au sein de la console DHCP. Pour cela, lancez la console DHCP à partir des outils d’administration, sélectionnez la racine de la console DHCP puis utilisez le menu « Action – Gérer les serveurs autorisés. Cliquez sur le bouton « Autoriser », saisissez le nom ou l’adresse IP du serveur RIS puis cliquez sur le bouton OK. b. Répondre aux postes clients Pendant la phase d’installation du serveur RIS et afin de pouvoir définir ou vérifier sereinement les paramètres, l’option « Répondre aux clients… » a été désactivée. De ce fait, aucun client n’est pris en charge et vous devrez activer cette option pour que le serveur RIS puisse proposer les écrans d’installation et images qu’il héberge. Pour cela, utilisez la console « Utilisateur et ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier. Utilisez le menu « Action – Propriétés » ou le menu contextuel, puis activez l’onglet « Installation à distance ». Cochez la case « Répondre aux ordinateurs clients à la demande d’un service » puis cliquez sur le bouton « OK ». Vous pouvez également cocher la case « Ne pas répondre aux ordinateurs clients inconnus » mais dans ce cas, les comptes d’ordinateurs devront être préalablement créés dans Active Directory. Cette technique, appelée Pre-Staging, est plus contraignante sur le plan de l’administration mais permet de ne pas déléguer d’autorisation et d’équilibrer la charge lorsque plusieurs serveurs RIS sont disponibles sur le réseau. c. Création des comptes d’ordinateurs Par défaut, lorsqu’un ordinateur devient membre d’un domaine Active Directory, son compte d’ordinateur est généré dans le conteneur « Computers ». Les services d’installation à distance peuvent cependant créer ces comptes d’ordinateurs directement dans un autre emplacement et utiliser des règles de format de nom. Pour modifier l’emplacement et/ou le format des noms de compte d’ordinateur, utilisez la console « Utilisateurs et ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier. Utilisez le menu « Action – Propriétés » ou le menu contextuel, activez l’ongle « Installation à distance » puis cliquez sur le bouton « Paramètres avancés ». Par défaut, le nom de compte d’ordinateur est égal au nom d’utilisateur qui effectue l’installation à distance (un incrément est automatiquement ajouté en cas de doublon). Vous pouvez sélectionner d’autres formats dans la liste déroulante ou utiliser le bouton « Personnaliser » pour définir vos propres formats de noms. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 19/75 06/03/08
    • Choisissez ensuite l’emplacement dans lequel le compte d’ordinateur sera créé : Emplacement par défaut du service d’annuaire « Computers ». Même emplacement que celui du compte d’utilisateur qui effectue l’installation Emplacement spécifique dans la structure d’Active Directory. L’utilisateur d’un conteneur spécifique aux installations à distance est plus pratique à administrer. d. Délégation d’autorisation A l’instar d’une installation classique, lorsqu’un poste est déployé via les services d’installation à distance, la personne qui effectue cette opération doit disposer des privilèges nécessaires à la création du compte d’ordinateur dans la structure Active Directory (jonction d’un ordinateur à un domaine). Si l’installateur n’est pas administrateur du domaine, vous devez définir un groupe ou un utilisateur auquel vous allez déléguer cette autorisation. Pour cela, utilisez le menu « Action – Délégation de contrôle » ou le menu contextuel, puis cliquez sur le bouton « Suivant ». Cliquez sur le bouton « Ajouter » pour sélectionner le groupe ou l’utilisateur auquel vous souhaitez octroyer ce privilège puis cliquez sur le bouton « Suivant ». Cochez l’option « Joindre un ordinateur au domaine ». Cliquez ensuite sur les boutons « suivants » puis « Terminer » Si l’affichage des fonctionnalités avancées est activé, vous pouvez également utiliser le menu « Action – Propriétés » ou le menu contextuel disponible après avoir sélectionné le conteneur. Après avoir sélectionné l’onglet « Sécurité », utilisez le bouton « Paramètres avancés » pour octroyer ces autorisations spéciales aux groupes ou utilisateurs de votre choix. 6.4 Les images de poste Si vous avez respecté les procédures précédentes, le serveur RIS ne dispose que d’une seule image de CD-ROM ajoutée pendant la phase d’installation, à laquelle est associé un fichier de réponse standard « ristndrd.sif ». Vous pouvez donc utiliser le gestionnaire d’installation (setupmgr) pour modifier les paramètres de ce fichier ou associer un nouveau fichier de réponse. a. Les images de type CD-Rom Comme évoqué précédemment dans ce chapitre, l’association d’un fichier de réponse permet d’automatiser l’installation. Les services RIS utilisent cette même technique lors de l’ajout d’une nouvelle image CD-Rom. Vous pouvez, si vous le désirez, associer plusieurs fichiers de réponse à une même distribution afin de décliner plusieurs configurations de poste. Pour ajouter une nouvelle distribution ou associer un nouveau fichier de réponse sur une distribution existante, utilisez la console GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 20/75 06/03/08
    • « Utilisateurs et Ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier. Utilisez le menu « Action – Propriétés » ou le menu contextuel, activez l’onglet installation à distance » puis activez l’onglet « images ». L’ensemble des images présentes sur le serveur est alors affiché afin d’ajouter, supprimer ou modifier ces distributions. Cliquez ensuite sur le bouton « Ajouter » pour démarrer l’assistant. b. Les images de type Riprep Cette solution permet de définir non seulement l’installation du système d’exploitation mais également des applications ainsi que l’environnement du poste. Les services d’installation à distance proposent en standard, une technique dérivée offrant un résultat et des avantages identiques à ces produits. Ainsi, à l’instar de la duplication de disque, ces images sont générées à partir d’un poste de référence sur lequel vous installez et configurez les applications et paramètres désirés. Une fois cette opération achevée et vérifiée, vous devez « banaliser » le poste de référence vis-à-vis de ces identifiants de sécurité (SID). Contrairement aux techniques de duplication de disque, vous n’utiliserez pas SYSPREP. L’outil spécialisé RIPREP se chargera de cette opération de retrait des identifiants de sécurité et réalisera la duplication de disque vers le serveur RIS. Pour créer une image de type Riprep, exécutez la commande suivante à partir du poste de référence, une fois la configuration de celui-ci terminée : ServeurRISReminstadmini386riprep.exe GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 21/75 06/03/08
    • Présentation d’Active Directory 1. Présentation Le système d’annuaire de Windows 2003 n’a pas subi de modification majeure. Il s’agit donc d’une introduction aux services d’annuaire Active Directory nécessaires à une première mise en œuvre de Windows Server 2003 dans ce type d’architecture. 1.1 Précisions sur les domaines NetBIOS En premier lieu, il convient de rappeler que la notion de domaine apparue avec Windows NT utilisait les mécanismes de résolution de nom NetBIOS, au même titre que les groupes de travail Microsoft. Dans ce type de réseau, les machines comme le nom du domaine, sont identifiés par un nom de 15 caractères au maximum, sans espace. Le 16e caractère du nom NetBIOS est utilisé pour identifier le type de service qui est offert par la machine. Ainsi, le mécanisme de résolution NetBIOS permet d’identifier un contrôleur de domaine par le biais d’une diffusion générale (broadcast), d’un service WINS, ou encore du fichier LMHOSTS. Ce type de domaine contient uniquement des objets de type utilisateur, groupe ou ordinateur et ne comprend qu’un seul niveau. Le domaine est maintenu par la présence d’un contrôleur principal (Primary Domain Controller) et d’éventuels contrôleurs de domaine principal (Backup Domain Controller). La base de données pour ces domaines est de type SAM (Security Account Manager) et elle est « limitée » à 40 000 objets. Le mécanisme d’authentification utilise le protocole NTLM. La notion de relation d’approbation est une possibilité de communication interdomaine unidirectionnelle et qui s’appuie sur un compte déclaré au niveau du domaine d’origine (approuvé) et sur le domaine de destination (approuvant). Les utilisateurs d’un domaine A peuvent accéder ainsi aux ressources situées dans un domaine B. Pour que les utilisateurs du domaine B puissent accéder aux ressources du domaine A, une autre relation d’approbation (dans l’autre sens) doit être déclarée. On pourrait évoquer la bidirectionnalité, qui en fait, met en œuvre deux relations d’approbation. 1.2 Définition et concepts de base sur Active Directory Active Directory n’est plus dépendant du protocole NetBIOS et utilise le standard TCP/IP. Sa structure est définie au sein d’un schéma composé d’objets et d’attributs évolutifs. La base d’annuaire Active Directory peut contenir plusieurs millions d’objets. a. La forêt La forêt représente un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives. Elle est caractérisée par la présence d’un domaine dit « Racine » équivalent au premier domaine installé dans la forêt. Il s’agit d’un point de référence pour tous les autres domaines de la forêt. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 22/75 06/03/08
    • b. Les arborescences Les arborescences de domaine dépendent de leur nom. Lorsqu’un domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescence ; sinon il s’agit d’un domaine enfant. c. Les domaines Le domaine est une entité de sécurité proche du concept de domaine NT4, mais il supporte une structure hiérarchisée et peut contenir toutes sortes d’objets. Les noms de domaine utilisés dans Active Directory s’appuient sur une architecture DNS (Domain Name Service). Précisons quelques détails fondamentaux : Pour les clients Windows 2000 ou supérieurs, la résolution des noms de domaine est assuré par les services DNS. Il est donc impératif de renseigner un serveur DNS (connaissant le domaine Active Directory) dans la configuration du protocole TCP/IP du poste. Les services DNS nécessaires à Active Directory doivent supporter les enregistrements SRV afin de localiser les ressources. Bien que cela soit facultatif, il est fortement conseillé d’autoriser les mises à jour dynamiques au niveau de la zone DNS du domaine. Ainsi, lors du démarrage du service NETLOGON, les contrôleurs de domaine peuvent vérifier et créer, le cas échéant, les enregistrements SRV idoines. Durant la phase d’installation d’Active Directory, le processus tente de localiser un serveur DNS afin d’héberger la zone correspondant au domaine. Si aucun serveur DNS valide n’est détecté, le processus d’installation d’Active Directory vous propose d’installer les services DNS sur le contrôleur de domaine, afin qu’il héberge sa propre zone. Afin d’assurer la compatibilité avec les clients (membres d’un domaine) antérieurs à Windows 2000, Active Directory supporte également un nom NetBIOS de domaine. Voici quelques exemples dans le tableau ci-dessous : Domaine DNS Domaine NetBIOS cesi.fr CESI commercial.cesi.fr COMMERCIAL aix.cesi.com AIX d. Les unités organisationnelles Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine dans le but de l’organiser pour : Organiser les différents objets Déléguer le contrôle d’une partie du domaine Appliquer des stratégies communes (stratégies de groupe) GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 23/75 06/03/08
    • Ne confondez pas les conteneurs de type système avec les Unités Organisationnelles proches par leur représentation. Les caractéristiques et le comportement des conteneurs système sont particuliers, ils ne peuvent pas être manipulés avec les interfaces standards. Contrairement aux conteneurs système, les Unités Organisationnelles sont à disposition des administrateurs et peuvent être imbriquées entre elles. Cela signifie qu’il est possible de créer des Unités Organisationnelles tous les niveaux d’un domaine (sauf dans un conteneur système). Les stratégies de groupe et la délégation de contrôle ne sont pas disponibles au niveau des conteneurs système. Afin de définir et lier les stratégies de groupe au niveau du domaine ou des unités organisationnelles (onglet stratégie de groupe) , vous utiliserez la console « Utilisateurs et ordinateurs Active Directory ». Conseils et objectifs Etudiez votre organisation d’entreprise afin de définir les configurations et les besoins communs (utilisateurs, postes, serveurs, applications). Evitez une structure hiérarchique comprenant plus de trois niveaux Créer des stratégies de groupe simples et cohérentes dans un premier temps Liez les stratégies de groupe uniquement aux niveaux souhaités et testez les effets avant de généraliser. Déléguez le contrôle au niveau d’une Unité Organisationnelle. Dans tous les cas, documentez vos actions, afin qu’une autre personne puisse comprendre facilement le fonctionnement de l’architecture. e. Les sites Les concepts évoqués précédemment décrivent la structure logique d’Active Directory. Hébergé par un ensemble de contrôleurs de domaine, chacun d’entre eux échange et réplique les modifications dans leur base de données respective (%windir%NTDSNTDS.DIT) Afin de contrôler ce trafic, Active Directory utilise une structure physique. Cette fonctionnalité permet de maîtriser les échanges entre les contrôleurs de domaines, selon leur implantation physique, et introduit la notion de site. On peut donc distinguer la réplication « intrasite » pour qualifier les échanges entre les contrôleurs de domaine d’un même site et la réplication « intersite » (plusieurs sites) contrôlée par les liens de sites. Les liaisons de sites servent à définir le coût du lien, une fréquence de réplication et éventuellement des créneaux horaires, ceci pour chacune des connexions possibles avec un site. Les sites s’appuient sur le plan d’adressage TCP/IP et sont composés d’un ou plusieurs sous-réseaux IP. Un site contient toujours un contrôleur de GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 24/75 06/03/08
    • domaine au minimum, quel que soit le nombre de sous-réseaux qui composent le site. L’appartenance d’une machine à un site est déterminée par son adresse IP. En revanche, les contrôleurs de domaine doivent être positionnés (déplacés manuellement) en fonction des modifications d’adressage TCP/IP. Une architecture Active Directory contient toujours au moins un site (Premier_site_par_défaut) indépendamment du nombre de domaines. Ainsi, on peut combiner librement : Plusieurs domaines sur un ou plusieurs site(s) Un seul domaine sur un ou plusieurs site(s) Pour mettre en place une architecture de ce type, utilisez la console « Sites et services d’Active Directory ». 1.3 Comportement selon le type de domaine Plusieurs cas de figure peuvent se présenter : Un serveur Windows Server 2003 peut être membre d’un domaine NT4 et utilisera donc les mécanismes de résolution de nom NetBIOS pour trouver les contrôleurs de domaine. Un serveur Windows Server 2003 peut être membre d’un domaine Active Directory et utilisera les mécanismes de résolution de nom DNS (enregistrements SRV) pour trouver les contrôleurs de domaine. Un serveur Windows Server 2003 peut être contrôleur de domaine lui-même. Il supporte alors les clients NetBIOS et les clients DNS. Cela signifie qu’il existe deux noms pour un même domaine. Les postes antérieurs à Windows 2000 joignent le domaine au nom NetBIOS (nom court comme par exemple « CESI ») alors que les postes Windows 2000 ou supérieur, doivent utiliser le nom DNS du domaine (cesi.fr) 2. Installation L’installation d’Active Directory s’effectue à partir d’un serveur Windows 2003 membre ou autonome. Une fois la base d’annuaire installée, votre serveur deviendra un contrôleur de domaine. Active Directory sera un fichier de base de données appelé NTDS.DIT situé sous l’emplacement par défaut %systemroot%ntds. Il est possible de modifier ce chemin lors de l’installation d’Active Directory. L’installation d’Active Directory nécessite une partition NTFS pour stocker le répertoire système partagé (SYSVOL) car le suivi des modifications dupliquées de la base d’annuaire s’effectue par des numéros de version séquentiels pris en charge par le système NTFS. Pour installer Active Directory, vous devez exécuter la commande DCPROMO.EXE. La base de comptes (base SAM) de votre serveur sera copiée dans la base d’annuaire avant d’être détruite de votre serveur. Vous GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 25/75 06/03/08
    • ne perdrez donc pas les informations de comptes lors de la migration de vos contrôleurs de domaine NT vers Windows 2003. Si vous exécutez la commande « dcpromo » sur un contrôleur de domaine Windows 2003, vous rétrogradez alors votre contrôleur au titre de serveur membre ou autonome. Vous obtiendrez une base SAM vierge. Pour installer Active Directory, vous devez posséder un ordinateur fonctionnant sur l’une des versions de Windows 2003 permettant de le faire, une partition formatée en NTFS, le protocole TCP/IP ainsi qu’un service DNS installé et configuré. 2.1 Création d’un nouveau domaine ou domaine racine La première fois que vous installez AD, vous allez créer un nouveau domaine dans une nouvelle forêt. Après avoir exécuter « dcpromo », suivez les étapes suivantes : Sélectionnez contrôleur de domaine pour un nouveau domaine Sélectionnez Créer une nouvelle arborescence de domaine Sélectionnez Créer une nouvelle forêt d’arborescence de domaine Entrez le nom DNS Entrez le nom NetBIOS Indiquez le chemin pour stocker les informations concernant AD. Par défaut, il vous est proposé %systemroot%NTDS pour le stockage de la base de données ainsi que pour les journaux de log. Pour optimiser les performances de votre serveur, vous pouvez placer sur des disques différents la base de données et les journaux de log. Entrez le chemin pour le dossier « volume système » (sysvol). Ce dossier doit obligatoirement se situer sur une partition NTFS. Il contient la définition des stratégies de groupes, les scripts et des informations de réplication. Windows 2003 essaye de détecter un serveur DNS gérant la zone portant le nom de domaine que vous venez d’indiquer. Ce DNS doit supporter les enregistrements dynamiques. Si aucun serveur DNS gérant votre zone n’est configuré, le processus d’installation d’AD vous propose d’installer le service DNS et de le configurer. Sélectionnez « Autorisations compatibles uniquement avec les systèmes d’exploitation serveurs Windows 2000 ou Windows Server 2003 ». Si vous sélectionnez l’option Autorisations compatibles avec les systèmes d’exploitation serveurs antérieurs à Windows 2000, le groupe «Tout le monde » aura alors la permission de lire tous les attributs de tous les objets Active Directory. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 26/75 06/03/08
    • Spécifiez ensuite un mode de passe pour le mode de restauration de la base d’annuaire. Ce mot de passe peut être modifié avec l’utilitaire NTDSUTIL.exe 2.2 Ajout d’un contrôleur de domaine à un domaine existant Une fois le domaine créé, vous pouvez ajouter de nouveaux contrôleurs de domaine dans ce dernier. Il est fortement recommandé de disposer de deux contrôleurs de domaine au minimum pour assurer la tolérance de pannes ainsi que l’équilibrage de charge. Vérifiez la configuration TCP/IP et particulièrement le client DNS qui doit référencer un serveur connaissant la zone DNS correspondant au domaine Active Directory : Exécutez dcpromo.exe Sélectionnez « contrôleur de domaine supplémentaire pour un domaine déjà existant ». Indiquez le domaine, le nom et le mot de passe d’un compte ayant suffisamment de droits pour ajouter un contrôleur au domaine. Indiquez ensuite le nom DNS du domaine pour lequel votre serveur sera contrôleur. Entrez le chemin pour la base de données d’annuaire Entrez le chemin pour le volume système partagé Indiquez le mot de passe de restauration. La duplication de la base d’annuaire Active Directory commence. 2.3 Ajout d’un domaine enfant La création d’un domaine enfant s’effectue après avoir créé un domaine racine ou un domaine parent. Par exemple, nous allons créer un domaine gestion.cesi.fr, enfant du domaine cesi.fr : Exécutez dcpromo.exe Sélectionnez « Contrôleur de domaine pour un nouveau domaine » Sélectionnez « Créer un nouveau domaine enfant dans une arborescence de domaine existante ». Indiquez le nom, le mot de passe ainsi que le domaine d’un compte faisant partie du groupe Administrateurs de l’entreprise. Indiquez le nom DNS du domaine parent Indiquez le nom NetBIOS pour votre nouveau domaine Précisez le chemin pour la base de données d’annuaire GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 27/75 06/03/08
    • Entrez le chemin pour le volume système partagé Spécifiez si vous utilisez ou non des services fonctionnant sur de systèmes NT 4.0. 2.4 Ajout d’une arborescence dans une forêt existante L’ajout d’une arborescence dans une forêt existante va servir à créer un nouvel espace de nom contigu. Par exemple, vous venez de fusionner avec une société qui possède un nom de domaine DNS enregistré sur Internet. Votre société souhaite garder son espace de nom qui, lui aussi, est enregistré. Dans ce cas, il sera intéressant de créer une nouvelle arborescence dans la forêt. Les trois paramètres qui changeront sont les suivants : Sélectionnez « Contrôleur de domaine pour un nouveau domaine » Sélectionnez « Créer une nouvelle arborescence de domaine » Sélectionnez « Placer cette nouvelle arborescence de domaine dans une forêt existante ». 3. Désinstallation d’Active Directory Pour désinstaller Active Directory de votre serveur, exécutez de nouveau la commande « dcpromo.exe ». Si vous désinstallez AD sur un contrôler de domaine jouant le rôle catalogue global, assurez-vous de disposer d’une autre serveur jouant ce rôle dans la forêt ou sur le site, sauf si vous souhaitez supprimer complètement Active Directory. 4. Choix d’un mode d’un domaine Lors de l’installation d’un domaine, il est, par défaut, configuré en tant que mode mixte Windows 2000. Un tel mode permet la cohabitation dans un domaine Windows 2003 de contrôleurs de domaine fonctionnant sous Windows 2000, 20003 et Windows NT. Ceci est très intéressant lors de la migration de vos serveurs vers Windows 2003. Une fois la migration effectué et réussie, vous pouvez passer votre domaine en mode natif Windows 2000 ou Windows 2003. Ces modes permettent d’utiliser des fonctionnalités d’Active Directory qui ne sont pas valables en mode mixte ou intérim (imbrication de groupes globaux dans d’autres groupes globaux, groupes de sécurité universels, nouveau nom pour un contrôleur de domaine…). GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 28/75 06/03/08
    • Ci-dessous un récapitulatif des modes d’un domaine : Mode de domaine Contrôleurs supportés Windows NT 4.0 Windows 2000 Mixte Windows 2000 Windows 2003 Windows 2000 Windows 2000 Natif Windows 2003 Windows NT 4.0 Windows 2003 Intérim Windows 2003 Windows 2003 Windows 2003 4.1 Mode fonctionnel d’un domaine Pour visualiser ou modifier le mode fonctionnel d’un domaine, vous pouvez utiliser la console « Utilisateurs et ordinateurs AD » ou la console « Domaine et approbations AD ». Sélectionnez le nom du domaine, puis utilisez le menu « Action – Augmenter le niveau fonctionnel du domaine » ou le menu contextuel. Sélectionnez le mode désiré dans la liste déroulante puis cliquez sur le bouton « changer de mode ». Un message vous rappelle que l’opération est irréversible. 4.2 Mode fonctionnel de la forêt Pour visualiser ou modifier le mode fonctionnel de la forêt, vous devez utiliser la console « Domaine et approbations Active Directory ». Sélectionnez la racine de la console, puis utilisez le menu « Action – Augmenter le niveau fonctionnel de la forêt » ou le menu contextuel. 5. Rôle des contrôleurs de domaines 5.1 Maîtres d’opération Dans un domaine Windows 2003, tous les contrôleurs de domaine sont identiques. La base d’annuaire est dupliquée et distribuée sur chaque contrôleur de domaine. Il s’agit donc d’une réplication multimaître. Cependant, certaines actions ne peuvent pas être effectuées en multimaître. Pour cette raison, certains contrôleurs de domaine jouent des rôles bien spécifiques. On appelle ces contrôleurs de domaine des maîtres d’opération (ou FSMO pour Flexible Single Master Operation). GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 29/75 06/03/08
    • On distingue cinq rôles : Maître de schéma Maître d’infrastructure Emulateur de contrôleur principal de domaine Maître de nommage de domaine Maître d’identificateur relatif (RID pour Relative Identifier) Certains de ces rôles doivent être uniques dans la forêt. C’est le cas du maître de schéma et du maître de nommage de domaine. Dans chaque domaine d’une forêt, il ne doit y avoir qu’un seul et unique maître d’identificateur relatif ainsi qu’un seul émulateur de contrôleur principal de domaine. Chaque domaine doit disposer aussi d’un maître d’infrastructure. Le maître de schéma maintient les mises à jour et modifications apportées au schéma. Le maître de nommage contrôle l’ajout et la suppression de domaine dans la forêt Ces deux rôles sont joués par le premier contrôler de domaine installé dans la forêt. Le maître d’identificateur relatif permet de distribuer des pools d’identificateurs relatifs aux contrôleurs qui en font la demande (c'est-à- dire une fois qu’ils ont épuisé leur stock). Lors de la création d’objets, les contrôleurs de domaine affectent un numéro unique de sécurité à ces objets. Ce SID est composé d’un identificateur de sécurité unique par domaine, suivi d’un identificateur relatif unique pour chaque objet du domaine. Le maître émulateur de contrôleur principal de domaine est unique par domaine et joue le rôle de PDC pour les clients Windows NT. Ce maître d’opération procède donc aux changements de mot de passe et duplique les mies à jour vers les contrôleurs secondaires de domaine dans le cas où le domaine Windows 2003 est en mode mixte avec une cohabitation entre des contrôleurs de domaine Windows 2003 et des contrôleurs secondaires de domaine Windows NT. En mode natif, lorsqu’un contrôleur de domaine effectue un changement de mot de passe, il envoie immédiatement l’information au contrôleur jouant le rôle d’émulateur de contrôleur principal de domaine. Lors d’un échec de tentative d’ouverture de session dû à un mot de passe erroné, le contrôleur ayant essayé de valider l’ouverture de session va envoyer la requête au maître émulateur de contrôleur principal de domaine avant de refuser la connexion. Le maître d’infrastructure est responsable de la cohérence des informations sur le nom des objets Active Directory en fonction de leur SID. En effet, lors d’un changement de nom de compte, il peut se produire un certains temps avant que, dans tous les domaines de la forêt, l’information soit mise à jour. Le maître d’infrastructure maintient donc une GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 30/75 06/03/08
    • référence entre les noms d’utilisateur ou de groupe et l’adhésion aux groupes auxquels ils appartiennent. Vous pouvez connaître quels rôles jouent les contrôleurs de domaine. Pour cela, ouvrez la console « Domaines et approbations AD » puis effectuez un clic droit sur « Domaines et approbation AD ». Cliquez ensuite sur « Maître d’opération » 5.2 Serveur de catalogue global Un serveur de catalogue global est un contrôleur de domaine possédant un catalogue dans lequel sont référencés les attributs les plus utilisés de tous les objets d’Active Directory. La base de données AD est divisée en trois parties qui sont la partition de schéma, la partition de configuration et la partition de domaine. Seules les informations du schéma et les informations de configuration sont dupliquées entre domaines. Comme les informations des objets d’un domaine ne sont pas dupliquées vers les autres domaines, le serveur de catalogue global va être utilisé pour effectuer des recherches à l’échelle de la forêt. Si vous recherchez un objet dans la forêt, vous allez interroger un serveur de catalogue global qui sera à même de vous renvoyer le résultat de votre requête. Entre domaines, les seules informations sur les objets qui sont dupliquées sont celles contenues dans le catalogue global. Il est donc intéressant de disposer d’au moins un serveur de catalogue global par domaine. Les serveurs de catalogue global possèdent un répliqua de catalogue de chacun des autres domaines. Par défaut, un seul serveur de catalogue global est créé sur le premier serveur de la forêt sur lequel AD a été installé. Vous pouvez ajouter de nouveaux serveurs de catalogue global. Pour cela : Ouvrez la console « Sites et services AD » Développez « Sites » Développez le dossier « Serveurs », puis le serveur en question. Effectuez ensuite un clic droit sur le connecteur NTDS Settings et cliquez sur propriétés. Cochez la case « Catalogue Global ». Les serveurs de catalogue global servent non seulement à effectuer des recherches au sein d’une forêt, mais ils sont aussi utiles dans le processus d’ouverture de session. En effet, lors de l’ouverture de session, le contrôleur ayant reçu la requête va consulter un serveur de catalogue global pour obtenir des informations sur l’appartenance à des groupes universels afin de créer le jeton d’accès. Il est fortement conseillé de disposer d’un serveur de catalogue global de chaque côté de « liaisons lentes ». GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 31/75 06/03/08
    • Les outils d’administration 1. Présentation Les outils d'administration sont utilisés dans le but de gérer un ordinateur local ou distant, et les services qu'il peut proposer. Ils sont principalement disponibles dans le Panneau de configuration ou directement dans le menu Démarrer. Nombre de ces outils sont basés sur des consoles personnalisées de type MMC (Microsoft Management Console). Certains de ces outils sont installés en standard, alors que d'autres apparaissent en fonction des composants installés et du rôle de l'ordinateur (DNS, DHCP, etc.). II est également possible d'ajouter ses propres outils grâce aux facultés des consoles MMC. Nous pouvons constater que le nombre et le type des outils d'administration disponibles peuvent varier considérablement selon les services installés sur un serveur. Une description exhaustive serait trop fastidieuse et nous porterons donc l’attention sur les outils les plus courants. 2. Les outils d'administration courants 2.1 Les assistants Avant de présenter les consoles, évoquons les assistants présents dans la rubrique des outils d'administration. a. Assistant Configurer votre serveur Cet assistant est destiné à vous guider étape par étape dans le processus d’installation d'un serveur. Après détection et installation des périphériques réseau, l'assistant vous proposera d'installer une configuration standard ou personnalisée, en fonction des rôles prévus sur le serveur. b. Assistant Gérer votre serveur Cet assistant s'appuie en fait sur le centre d'aide et de support. Ainsi, vous accédez aux explications et informations sur un sujet du serveur, tout en pouvant exécuter l’outil ou lancer les tâches appropriées via une liaison d'hypertexte. c. Assistants Microsoft .NET Framework 1.1 Cet assistant permet d'accéder aux outils de configuration de la plate- forme de développement .NET (Microsoft .NET Framework). Cette plate- forme est désormais intégrée dans Windows Server 2003 afin de supporter nativement l'architecture applicative utilisant cette technologie. 2.2 Gestion de l'ordinateur II s'agit sans nul doute de l'outil le plus usité puisqu'il regroupe un ensemble de fonctionnalités très pratiques que nous allons décrire. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 32/75 06/03/08
    • La console de gestion de l’ordinateur est disponible dans les outils d'administration ou dans le menu contextuel Gérer de l'icône du Poste de travail. Elle est basée sur le composant logiciel enfichable compmgmt.msc. Vous devez disposer des privilèges d'administrateur local pour pleinement utiliser cet outil. Nous pouvons constater la richesse de cette console organisée en trois rubriques : a. Outils système Observateur d'événements Permet d'accéder à l'ensemble des journaux d'événements (liste d'avertissements et erreurs) de l'ordinateur. Cet élément est également accessible au niveau des outils d'administration. Dossiers partagés Permet de visualiser, créer ou supprimer des répertoires partagés ainsi que les sessions en cours et les fichiers ouverts. Utilisateurs et groupes locaux Permet de gérer les comptes d'utilisateurs et groupes locaux de la machine. Si l’ordinateur est un contrôleur de domaine, cet élément est masqué car la console est remplacée par Utilisateurs et ordinateurs d'Active Directory. Journaux et alertes de performance Permet de définir des alertes sur des objets afin de consigner les événements dans des journaux. Cet élément est également accessible au niveau des outils d'administration. Gestionnaire de périphériques Permet de contrôler l'ensemble des périphériques et pilotes de matériel sur la machine. b. Stockage Stockage amovible Permet de gérer les médias et bibliothèques de médias amovibles tels que les CD-Rom ou bandes magnétiques, afin de les intégrer dans un système de sauvegarde (cf. NTBACKUP). Défragmenteur de disque Permet de réorganiser physiquement les segments de fichiers clairsemés sur une partition. Gestion des disques Permet de visualiser et modifier la structure des partitions et volumes des disques de l'ordinateur. c. Services et applications Téléphonie Permet de gérer les fournisseurs de services de téléphonie (TAPI, H323, etc.). Ces fournisseurs sont accessibles lors de l'installation ou la GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 33/75 06/03/08
    • configuration d'un système de numérotation tel un modem ou un téléphone IP. Selon le type de fournisseur, vous pouvez contrôler les utilisateurs du service et les paramètres de celui-ci. L'installation du matériel de téléphonie doit être réalisée via le gestionnaire de périphériques. Services Permet de gérer l'ensemble des services installés sur l'ordinateur. Contrôle WMI Permet de configurer et contrôler l'architecture WMI (Windows Management Instrumentation). Grâce à cette technologie, vous pouvez développer vos propres applications ou scripts WSH (Windows Scripting Host) afin de contrôler localement ou à distance les ressources matérielles et logicielles d'un ordinateur Windows 2000/2003 ou XP. Services d'indexation Permet de gérer ou d'interroger les catalogues issus de l'indexation des fichiers. L'indexation sert à diminuer les temps de recherche et de localisation d'un fichier donné. Cette inscription au catalogue peut également être activée par l'ajout de l'attribut avancé Autoriser Indexation dans les propriétés d'un fichier ou d'un répertoire. Application(s) Cette rubrique n'existe pas en tant que telle mais la console place à ce niveau, les outils d'administration des applications Windows installées. Ainsi vous pouvez accéder facilement à la gestion des Services Internet (IIS), DNS DHCP, WINS, etc. en fonction des installations. Lorsque vous démarrez cette console Gestion de l'ordinateur, vous êtes en mesure d'administrer l'ordinateur sur lequel la console s'exécute (remarquez la mention (Local) à la racine de la console). Cependant, vous pouvez également utiliser cette console pour administrer à distance un ordinateur Windows 2000/2003 ou XP. Pour ce faire, sélectionnez la racine de la console « Gestion de l'ordinateur (Local) » puis le menu « Action » « se connecter à un autre ordinateur » (ou utilisez le menu contextuel). Si vous disposez des privilèges d'administrateur local sur le poste distant, vous pouvez contrôler et agir sur tous les éléments de ce dernier, à l'exception de la gestion des périphériques qui reste en lecture seulement. Cette console est également appelée dans l'utilisation d'autres outils comme la console Utilisateurs et ordinateurs d'Active Directory, lorsque vous sollicitez le menu contextuel d'un objet de type Ordinateur. 2.3 Services Cet outil s'appuie sur la console Services.msc et a déjà été mentionné dans la console Gestion de l'ordinateur. Il est directement disponible dans les outils d'administration car il constitue un moyen simple et efficace pour contrôler les Services installés sur l'ordinateur. En effet, l'ensemble des services installés est représenté dans une liste commentée qui permet de s'assurer rapidement de la présence ou de l'absence de l'un d'entre eux. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 34/75 06/03/08
    • L'onglet Étendu affiche les actions disponibles et un commentaire sur le service sélectionné, à gauche de la liste des services. L'onglet Standard affiche simplement la liste classique des services. De la même manière que pour la console Gestion de l'ordinateur, vous pouvez utiliser cette console pour manipuler à distance les services de n'importe quel ordinateur du réseau. Pour cela, sélectionnez la racine de la console Services puis le menu Action - Se connecter à un autre ordinateur (ou utilisez le menu contextuel). L'administration des services proprement dite se fait par le menu Action ou plus rapidement par le menu contextuel. Les actions possibles sur un service dépendent de son état, de son type ou encore de vos privilèges sur le système. Un service peut donc prendre plusieurs états selon l'option choisie : Démarrer : Permet de démarrer le service sélectionné avec ses dépendances. Un échec de démarrage de service peut donc être indirectement lié à l'une de ses dépendances. Arrêter : Permet de stopper le service. Si d'autres services dépendent de celui ci, ils s'arrêteront aussi. Par contre, si le service que l'on souhaite arrêter dépend d'autres services, le système vous propose d'arrêter ou non ces derniers. Suspendre : Met le service en pause sans arrêter les services qui dépendent de lui. Reprendre : Permet de réactiver un service préalablement mis en pause. Redémarrer : Permet d'effectuer une réinitialisation (arrêt puis démarrage) du service ainsi que de toutes ses dépendances. L'accès aux propriétés d'un service permet de déterminer ses caractéristiques et son comportement. Après sélection du service désiré, le menu Action – Propriétés, l’utilisation du menu contextuel ou simplement un double clic sur le nom ouvrent la boite de dialogue Propriétés qui dispose des quatre onglets suivants : Général Cet onglet affiche le nom et une description de l'utilité du service ainsi que le chemin complet et les paramètres de l'exécutable. Ces informations sont en lecture seulement, sauf pour les paramètres de démarrage de certains services. Vous pouvez modifier le type de démarrage du service dans la liste déroulante : Automatique : Le service est lancé systématiquement à chaque démarrage de l'ordinateur. Manuel : Le service est lancé à la demande (par un utilisateur, une application ou les besoins du système). Désactivé : Le service n'est jamais lancé. Le statut du service est indiqué et vous pouvez le contrôler par les boutons Démarrer, Arrêter, Suspendre et Reprendre. Ces boutons sont GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 35/75 06/03/08
    • équivalents aux options du menu Action ou du menu contextuel du service (à l'exception de l'option Redémarrer absente dans les propriétés). Connexion Cet onglet permet de spécifier avec quel compte d'utilisateur et donc quels privilèges, le service va démarrer. Par défaut, les services utilisent le compte système local mais vous pouvez le modifier par un compte d'utilisateur de votre choix. Vous pouvez également activer ou désactiver le service pour un profil matériel donné. Cette action est intéressante lorsqu'un service requiert un périphérique qui est désactivé dans un profil (exemple : carte réseau d'un ordinateur portable). Récupération Cet onglet permet de définir l'action à entreprendre si le service connaît une défaillance. Les options possibles sont : ne rien faire, redémarrer le service, exécuter un programme ou redémarrer l'ordinateur. Vous avez la possibilité de définir des actions différentes s'il s'agit de la première défaillance, de la deuxième ou des défaillances suivantes du service. A ceci est ajouté un compteur de défaillances que vous pouvez réinitialiser automatiquement après un certain nombre de jours. Dépendances Cet onglet permet de contrôler les liaisons vis-à-vis des autres services. En effet, un service peut être autonome (pas de dépendance), dépendre d'un autre service ou assurer le support d'un service dépendant. Avant d'agir sur l'état d'un service, vous devez utiliser cet onglet pour vérifier les liaisons. 2.4 Observateur d'événements Cet outil d'administration permet d'accéder à l'ensemble des journaux d'événements (liste d'avertissements et erreurs) de l'ordinateur (eventvwr.msc). Cet élément est également accessible au niveau de la rubrique système de la console Gestion de l'ordinateur. Les outils d'administration (ou consoles) peuvent être directement appelés à partir du menu Démarrer - Exécuter suivi du nom du composant logiciel enfichable, sans oublier l'extension .MSC (ils utiliseront les réglages par défaut). 3. Les outils d'administration spécifiques En fonction de la version du système et des composants installés sur votre serveur, certains outils d'administration supplémentaires peuvent être ajoutés. L'utilisation de certains outils nécessite des connaissances spécifiques. Par défaut, sur Windows Server 2003 Enterprise Edition, les outils suivants sont installés : Gestionnaire d’équilibrage de charge réseau (NLB : Network Load Balancing). Cet outil permet de gérer la répartition de charge réseau au sein d'un groupe de machines appelé Cluster. Agissant au niveau GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 36/75 06/03/08
    • de la couche IP, cette console permet de définir l'adressage IP, le masque et le nom de la machine virtuelle (cluster) puis d'ajouter au moins deux machines physiques dans cette composition. Administrateur du Cluster. Cet outil, disponible uniquement sur les versions Enterprise et DataCenter de Windows Server 2003, permet de définir les machines (noeuds), les paramètres et l'appartenance à un groupe de machines appelé Cluster. Le cluster est une solution à tolérance de panne, constituée d'un ensemble de serveurs (machines physiques) appelés Noeuds. Cet ensemble est considéré, par les machines clientes, comme un seul serveur logique. Ainsi lorsqu'un des noeuds est indisponible, l'autre continue d'assurer les services de manière transparente pour les clients. Gestionnaire des services Terminal Server. Cet outil permet d'administrer les sessions ouvertes sur un serveur de terminaux Windows (TSE). Comme la plupart des outils, cette console permet l'administration distante de n'importe quel serveur de terminaux Windows du réseau. Gestionnaire des licences Terminal Server. Cet outil, à ne pas confondre avec l'outil Licences, permet de gérer les licences nécessaires aux clients du service Terminal Server. Configuration des services Terminal Server (tscc.msc). Cet outil permet de contrôler les paramètres de sessions Terminal Server basées sur le protocole RDP 5.1. Bureaux à distance (tsmmc.msc). Cet outil permet de définir les paramètres de connexion et d'affichage de chaque poste client, afin d'ouvrir une session à distance. Le Bureau à distance de Windows XP ou un Terminal Server doivent être activé sur les postes clients. Système de fichiers distribues (dfsgui.msc). Cet outil permet de déclarer et gérer des ressources partagées avec DFS (Distributed File System). Ce type d'architecture de fichiers distribués rend ces derniers indépendants de leur emplacement physique et peut intégrer une réplication des données pour la tolérance de panne. Autorités de certification (certsrv.msc). Cet outil permet d'administrer une autorité de certification d'entreprise ou autonome. Les services de certificat doivent être installés sur le serveur pour pouvoir utiliser cet outil. Une autorité de certification est une entité habilitée à délivrer des certificats de clé publique aux clients qui en font la demande. Ces certificats sont utilisés pour l'authentification ou le cryptage des données ou des accès. Avant d'utiliser cet outil, vous devez connaître les concepts des infrastructures de clés publiques. Services de composants (comexp.msc). Cet outil gère la base de composants COM, COM+. DCOM. Cette console intègre également les trois consoles : Utilisateurs et ordinateur d'Active Directory, Observateur d'événements et Services. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 37/75 06/03/08
    • Sources de données ODBC. Cet outil permet de déclarer ou supprimer des sources de données ODBC avec des noms de sources de données (DSN, Data Source Names) de niveau système ou utilisateur. Ces connexions ODBC sont utilisées lors des échanges entre bases de données hétérogènes. Cet outil permet également d'installer les pilotes ODBC nécessaires aux conversions de format. Routage et accès distant (rrasmgmt.msc). Cet outil permet de configurer les interfaces de routage et l'accès. A la première exécution de cette console, vous êtes invité à configurer et à activer les fonctions de routage et d'accès distant sur le serveur. Configuration du Framework NET 1.1 Microsoft Cette console permet de configurer les éléments relatifs à la plate-forme d'exécution .NET de Microsoft (.NET Framework) dont les concepts sont particulièrement destinés aux développeurs d'applications.NET. Cet outil permet, entre autres fonctions, de définir les stratégies de sécurité d'accès au code, les montages applicatifs dII.NET (assemblies), et les procédures stockées (Remoting Services). Licences. Cet outil permet de connaître l'état des affectations ou libérer des licences allouées aux clients, mais également d'ajouter ou de supprimer des licences. Les outils d'administration suivants sont installés sur les serveurs qui assurent un rôle de contrôleur de domaine ou suite à l'installation des outils d'administration à distance. Utilisateurs et ordinateurs d'Active Directory (Dsa.msc) Cet outil permet de gérer les objets d'un domaine Active Directory et en particulier les utilisateurs, les ordinateurs et les Unités d'organisation. Cette console est probablement l’une des plus usitées dans la gestion d'un domaine Sites et services d'Active Directory (Dssite.msc). Cet outil permet de gérer les sites d'Active Directory. Cette console permet d'administrer les sites et tous les éléments qui s’y rapportent : liens de site, sous- réseaux IP, réplications, objets de connexion, emplacements des contrôleurs de domaine, serveurs tête de pont. Elle est également utilisée pour définir les serveurs de Catalogue Global. Utilisez cette console pour modifier ou créer une stratégie de groupe au niveau d'un site. Domaines et approbations d'Active Directory (Domain.msc). Cet outil, permet d'administrer les relations d'approbation entre les domaines d'une forêt. Utilisez cette console pour vérifier les relations existantes dans une forêt ou définir des relations d'approbation externes entre forêts. 4. Les solutions d'administration à distance 4.1 Les outils d'administration à distance GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 38/75 06/03/08
    • Comme nous l’avons évoqué précédemment, l'administration des ordinateurs fonctionnant sous Windows 2000/2003 ou XP s'effectue par des consoles MMC (Microsoft Management Console). Lorsque vous installez Windows Server 2003, une série de consoles sont disponibles en fonction des services installés, ce qui vous permet de gérer votre machine locale ou un ordinateur à distance. Pour un contrôleur de domaine, un serveur DNS ou un serveur particulier, vous ne disposez pas localement de la console appropriée pour administrer à distance cet ordinateur. Vous pouvez donc recourir à l'installation d'une console personnalisée si le composant logiciel requis est enregistré, ou installer sur votre serveur les outils d’administration à distance. À partir d'un serveur ou d'une station membre ou autonome fonctionnant sous Windows 2000/2003 ou XP, vous pourrez administrer les contrôleurs de domaine ou serveurs sans être physiquement présent face à ces machines. Pour installer les outils d'administration à distance, utilisez le Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. Sélectionnez ensuite Ajouter de nouveaux programmes, puis cliquez sur CD-Rom ou disquette. Sous le répertoire i386 du CD-Rom de Windows Server 2003, installez Adminpak.msi. Vous pouvez également lancer directement l'installation à partir du fichier .MSI. Windows Installer installe alors les outils d'administration sur votre ordinateur et les ajoutes dans le menu Démarrer - Outils d'administration. Après l'installation, un grand nombre d'outils supplémentaires sont disponibles dans la rubrique des outils d'administration. Pour désinstaller ces derniers, utilisez le menu Ajout/Suppression de programmes du Panneau de configuration. 4.2 Le Bureau à distance Le recours au Bureau à distance utilise des services de type Terminal Server et constitue une alternative à l'installation des outils d'administration sur un ordinateur. En effet, il n'est pas possible d'installer ces outils sur un système autre que Windows 2000/2003 ou Windows XP et lorsqu'il s'agit d'un besoin ponctuel d'administration, il est dommage d'installer ce genre de solution sur le poste. Dans le cas où votre machine n'est pas sous un système compatible avec ces outils, ou lorsque vous ne souhaitez pas les installer, vous pouvez utiliser un client de type Terminal Server, afin d'ouvrir une session à distance et administrer ainsi le serveur, sans être physiquement présent face à cette machine. a. Ordinateur distant (à administrer) Avec Windows 2003, pour bénéficier de cette possibilité d'administration à distance, vous devez activer le Bureau à distance sur le serveur (fonction disponible également sous Windows XP). GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 39/75 06/03/08
    • Lorsque les services de Terminal Server sont déjà installés sur une machine Windows Server 2003, vous n'avez pas besoin d’activer le Bureau à distance sur le serveur. Pour cela, ouvrez la fenêtre des propriétés du Poste de travail (propriétés système), puis sélectionnez l'onglet Utilisation à distance. Par défaut, les administrateurs locaux auront un accès total mais vous pouvez cependant modifier les membres du groupes Bureau distance. Avec Windows 2000 Server, vous pouviez installer les services de Terminal Server en mode Administration à distance, car ce mode n'est pas soumis aux licences et autorise, par défaut, l'accès aux administrateurs uniquement. b. Ordinateur local (d'administration) Vous devez disposer d'un client d'émulation de Terminal Server Windows utilisant le protocole RDP (Remote Desktop Protocol). Ce client est installé par défaut sur Windows Server 2003 et Windows XP dans le menu Démarrer- Accessoires – Communications - Connexion Bureau à distance. Pour les autres systèmes, vous pouvez utiliser le client Terminal Server Windows généralement disponible sur le serveur TSE, ou installer le client Bureau à distance de Windows 2003/XP. Ce dernier est situé dans le répertoire SUPPORTOOLSMSRDPCLl.exe du CD-Rom de Windows Server 2003 ou XP. Grâce à ce client, vous pouvez définir et mémoriser vos préférences de connexion et d’affichage sur un ordinateur. Les configurations sauvegardées portent l'extension .RDP. Windows Server 2003 propose également la console Bureaux à distance située dans les outils d'administration standard. Cet outil est très proche du client précédent mais se présente comme un fédérateur de configurations multiples. En effet, contrairement au client de connexion Bureau à distance qui ne peut gérer qu'une seule configuration, la console Bureaux à distance propose une liste de configurations mémorisées. Les noms et mots de passe de chaque ordinateur déclaré dans cette console peuvent être mémorisés, ainsi que les propriétés d'affichage et la redirection des ressources disque. Le niveau de détail est cependant moins développé que sur le client de configuration simple Bureau à distance. L'option Se connecter la console permet d'ouvrir une session à distance, semblable à celle qui serait réalisée lors d'une ouverture de session locale sur la machine. Une autre solution consiste à employer le navigateur Internet Explorer en tant qu'émulateur de terminal Windows. En effet, si les services IIS (Internet Information Services) sont installés et opérationnels sur le serveur que vous voulez contrôler à distance, vous pouvez utiliser Internet Explorer en précisant l'adresse IP ou le nom du serveur à atteindre, suivi de /TSWEB dans la Barre d'adresse du navigateur, comme suit : http://10.0.2.200/TSWEB Lors du premier lancement, vous devez accepter l'avertissement de sécurité qui procède à l'installation d'un contrôle ActiveX. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 40/75 06/03/08
    • Si vous avez installé la sécurité renforcée d'Internet Explorer, vous devez préalablement ajouter l'adresse URL du serveur à distance dans la liste des sites autorisés. Attention, même si le partage du Bureau à distance est activé, cette fonctionnalité n'est pas activée par défaut sur Windows Server 2003. Vous pouvez cependant rajouter à partir du Panneau de configuration : Ajout/Suppression de programmes puis en sélectionnant l'option Ajout/Suppression de composants Windows – serveur d'application - Services Internet (IIS) - Service World Wide Web – Connexion Web du bureau distant. c. Mode console Les fonctionnalités de Bureau à distance sont très utiles pour administrer vos serveurs Windows 2003 depuis n'importe quel point du réseau. Cependant un problème majeur existe dans ce mode de fonctionnement. En effet, si une application génère un message sur la console locale du serveur, vous ne pouvez le visualiser que si vous êtes connecté localement sur celui-ci. Les services Terminal Server de Windows 2003 permettent maintenant de se connecter à la console de votre serveur via une connexion Bureau à distance. Pour cela, utilisez le commutateur /console lors de la connexion à votre serveur. Ainsi, via la commande Exécuter, tapez mstsc.exe /v:nomduserveur /console. Vous pouvez également vous connecter à la console d'un serveur en spécifiant le commutateur dans le champ Ordinateur de la fenêtre Connexion Bureau à distance. Chaque ordinateur ne dispose que d'une seule session de console, ainsi lorsque vous vous connectez en mode console sur un serveur, aucun autre utilisateur ne peut utiliser l'ordinateur localement. 5. Personnalisation des consoles d'administration Bien que Windows 2003 propose toute une série d'outils, il peut être intéressant de créer ses propres consoles personnalisées. Par exemple, imaginez que vous avez en charge la gestion des serveurs DNS et DHCP de votre réseau. Vous pouvez installer et utiliser les outils standards ou concevoir une console MMC personnalisée dans laquelle vous ajouterez les composants permettant de gérer en même temps, le DNS et le DHCP. Vous pouvez également intégrer le composant permettant de gérer les services dans cette console, ceci dans le but de stopper ou de redémarrer les services DNS et DHCP, si le besoin s'en fait ressentir. Ainsi, vous bénéficiez d'une console unique (au lieu de trois dans cet exemple), plus pratique à utiliser. Une console personnalisée est enregistrée dans un fichier possédant l'extension .mmc, à l’intérieur de laquelle on ajoute des composants logiciels enfichables dans une structure arborescente. Un composant logiciel enfichable est un composant de gestion d'application qui doit être inscrit au niveau de la base des composants du système. Les composants inscrits apparaissent dans la liste lors de l'ajout de ces derniers dans la console. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 41/75 06/03/08
    • Pour créer une MMC personnalisée, exécutez le programme mmc.exe : Une console vierge apparaît, dans laquelle il est possible d'ajouter des composants enfichables via le menu Fichier – Ajouter/Supprimer un composant logiciel enfichable ou [Ctrl] M. Une console personnalisée peut contenir plusieurs composants identiques ou différents. De ce fait, à chaque fois que vous cliquez sur le bouton Ajouter, le composant est de nouveau ajouté. Une fois la console créée, il faudra l’enregistrer pour pouvoir la réutiliser. On peut créer autant de consoles MMC que l'on souhaite, et ajouter autant de composants enfichables que l'on veut dans chaque console. Par défaut les consoles sont enregistrées dans le dossier Outils d'administration du menu démarrer de l’utilisateur qui crée la console. Pensez à copier ou à déplacer le raccourci afin qu'elle soit éventuellement disponible pour les autres utilisateurs du poste. Terminologie Prenons l'exemple de la MMC suivante : On parlera de composants enfichables ou snap-in pour Gestion de l'ordinateur. Un composant enfichable peut posséder une ou plusieurs extensions. Dans l'exemple présenté ci-dessus le composant enfichable Gestion de l'ordinateur a comme extensions Observateur d'événements, Gestionnaire de périphériques ... Une extension est considérée comme un composant enfichable rattaché à son snap-in parent. Certains composants enfichables peuvent être à la fois snap-in et extension. C'est le cas par exemple de l'observateur d'événements. Lorsque vous créez votre propre MMC, vous pouvez faire en sorte qu'une extension devienne composant enfichable pour la console que vous GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 42/75 06/03/08
    • concevez. Pour cela, exécutez une MMC puis ajoutez un composant enfichable. Faites un clic droit sur l'extension qui va devenir snap-in pour votre console puis cliquez sur Nouvelle fenêtre à partir d'ici. Vous n'avez plus qu'à enregistrer votre console. II peut paraître intéressant de vouloir ajouter un composant enfichable tout en supprimant de ce dernier quelques extensions. Ceci est possible lorsque vous ajoutez le composant, en cliquant sur l'onglet Extensions. Décochez l’option Ajouter toutes les extensions puis décochez les cases correspondant aux extensions que vous ne souhaitez pas afficher. Si vous créez des consoles personnalisées dans le but de les distribuer à des utilisateurs ayant des pouvoirs d'administration limités, vous pouvez concevoir vos consoles pour qu'elles soient ou non modifiables par les utilisateurs. Par défaut, lorsque vous créez une console, elle est en Mode auteur, c'est- à-dire que vous autorisez l'accès total à toutes les fonctionnalités de la MMC. Les utilisateurs peuvent donc ajouter ou supprimer des composants enfichables, créer des fenêtres, afficher toutes les parties de l'arborescence de la console ainsi qu'enregistrer toutes ces modifications. Pour changer de mode, cliquez sur le menu Console, puis sur Options. Quatre modes sont disponibles : Mode auteur Permet de modifier la console (Ajout/suppression de composants enfichables, Modification des extensions, Création de nouvelles fenêtres...). Mode utilisateur - accès total Permet aux utilisateurs de se déplacer dans la console, créer de nouvelles fenêtres, ouvrir de nouvelles fenêtres mais sans pouvoir les enregistrer, ni même ajouter ou supprimer des composants enfichables. Mode utilisateur - accès limité, fenêtre multiple Permet aux utilisateurs d'afficher plusieurs fenêtres dans la console sans pouvoir en créer d'autres. Dans ce mode, les utilisateurs ne peuvent ni ajouter, ni supprimer des composants enfichables. Mode utilisateur - accès limité, fenêtre unique Identique au mode précédent mais les utilisateurs n'ont pas le droit d'afficher plusieurs fenêtres. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 43/75 06/03/08
    • Gestion des utilisateurs, des groupes et des ordinateurs Pour administrer les comptes d'utilisateurs et les groupes, deux consoles différentes sont utilisées : Gestion de l'ordinateur pour gérer les comptes d'utilisateurs et groupes locaux d'un serveur membre, autonome ou d’une station professionnelle. Utilisateurs et ordinateurs Active Directory pour gérer les comptes d'utilisateurs et groupes d'un domaine. 1. Gestion sur un ordinateur local 1.1 Les utilisateurs Un compte d'utilisateur local est un compte qui va servir pour ouvrir une session locale sur l'ordinateur. Avec ce type de compte, il n'est possible d'accéder qu'à des ressources locales à la machine. Ces comptes sont stockés dans la base de comptes de l'ordinateur local, c'est-à-dire la base SAM. Elle est stockée sous le répertoire %systemroot%system32config. Une telle base de comptes n'est présente que sur des serveurs membres ou autonomes ainsi que sur les stations de travail. Sur un contrôleur de domaine, les comptes et groupes sont stockés dans Active Directory. Si un utilisateur connecté en local sur son ordinateur veut accéder à des ressources situées sur un autre ordinateur, il doit alors disposer d'un compte sur cette autre machine. a. Comptes prédéfinis Suite à l'installation de Windows Server 2003, les comptes d'utilisateurs suivants sont créés : - Administrateur (Administrator) ; - Invité (Guest). Administrateur C'est la personne qui dispose du niveau de privilège le plus élevé sur l'ordinateur et peut gérer la configuration du système avec, entre autres tâches : - la gestion des stratégies de sécurité ; - la gestion des comptes d'utilisateurs et des comptes de groupes ; - la modification de la configuration logicielle du système d'exploitation ; - la création de dossiers, l'installation de fichiers sur le disque dur ; - l’installation et la configuration d'imprimantes ; GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 44/75 06/03/08
    • - l’administration du partage des ressources imprimante et fichier ; - l’organisation des données sur les disques logiques/physiques (formatage, partitionnement...) ; - la sauvegarde et la restauration des données. Le compte Administrateur ne pourra pas être supprimé mais pourra être renommé ou désactivé. Renommer l'Administrateur est une action conseillée dans la mesure où il est plus difficile de trouver le mot de passe d'un compte lorsqu'on ne connaît pas le nom du compte. Vous pouvez également opter pour la désactivation de ce compte, en ayant préalablement créé un utilisateur équivalent. Invité Comme son nom l'indique, ce compte est utilisé par des utilisateurs occasionnels, ou peu expérimentés. II fournit à l'utilisateur Invité un minimum de droits sur le système pour des raisons de sécurité. Ce compte est désactivé par défaut et ne possède pas de mot de passe. II peut être renommé. L'activation de ce compte constitue une faille importante dans la sécurité du système. b. Création d'un compte d'utilisateur La création d'un compte d’utilisateur local se fait par l'extension Utilisateurs et groupes locaux de la console Gestion de l'ordinateur. Nom d'utilisateur II s'agit du nom saisi par l'utilisateur pour ouvrir une session localement. Ce champ est obligatoire et ne peut dépasser 20 caractères. Nom complet C'est le nom complet de l'utilisateur, employé à des fins administratives. II n'a aucune influence sur l'ouverture de session. Description Permet d'indiquer la fonction de l'utilisateur, sa situation géographique ... C'est un commentaire facultatif mais comme le champ nom détaillé, il peut être utilisé pour un tri alphabétique dans les colonnes d'affichage. Mot de passe et Confirmer le mot de passe A la création du compte, l'administrateur peut définir un mot de passe qu'il devra communiquer à l'utilisateur. Les mots de passe ne sont jamais visibles, même par un administrateur. L'utilisateur doit changer le mot de passe à la prochaine ouverture de session Si cette option est cochée, l'utilisateur devra choisir son mot de passe dès qu'il ouvrira pour la première fois une session. Ensuite, il n'aura plus à le faire ; il utilisera le mot de passe qu'il a saisi. Ceci permet à l'administrateur de laisser le choix du mot de passe aux utilisateurs. L'administrateur n'a aucun moyen, dans ce cas, de connaître le mot de passe des utilisateurs. II peut cependant réinitialiser le mot de passe et en définir un de son choix. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 45/75 06/03/08
    • Lorsque cette option est cochée, les deux options suivantes sont indisponibles car incompatibles. L'utilisateur ne peut pas changer de mot de passe Cette option peut être utilisée pour figer certains mots de passe, comme celui du compte invité ou ceux de comptes utilisés par plusieurs personnes. Cette option aide l'administrateur à gérer les mots de passe utilisateur. Le mot de passe n'expire jamais Utilisez cette option si vous ne souhaitez pas faire expirer le mot de passe. Cette option peut s'avérer utile si le compte est utilisé par une application ou un service. Par défaut, les mots de passe expirent après 42 jours. Cette règle est définie dans la stratégie de sécurité locale ou celle du domaine. Le compte est désactivé Cochez cette option pour que personne ne puisse utiliser ce compte (par exemple, lorsqu'un utilisateur sensible s'absente pour une longue période). Lorsqu'un compte est désactivé, une croix apparaît sur son icône. c. Modification d'un compte d'utilisateur Une fois qu'un compte local est créé, il apparaît dans la liste des utilisateurs de la console Gestion de l'ordinateur sous la rubrique Utilisateurs. Les caractéristiques définies pour chaque utilisateur peuvent être modifiées ultérieurement. Pour cela, sélectionnez l'utilisateur puis utilisez le menu Action - Propriétés, également disponible dans le menu contextuel. Remarquez la nouvelle option qui apparaît grisée : Le compte est verrouillé. Cette case deviendra active si vous avez mis en place une stratégie de compte qui spécifie de désactiver le compte après un trop grand nombre de tentatives infructueuses d'ouverture de session. Dans les propriétés de l'utilisateur local, plusieurs onglets sont accessibles: L’onglet « Général » permet de revoir ou modifier les paramètres précédemment définis. L’onglet « Membre de » permet de connaître le(s) groupe(s) dont l'utilisateur fait partie. Si Vous souhaitez intégrer l'utilisateur dans un nouveau groupe, Cliquez sur Ajouter puis entrez le nom de groupe voulu (ou plusieurs noms séparés par une virgule). Attention à l’emplacement qui indique la base de sécurité contenant le groupe. Si l’ordinateur est membre d’un domaine, c’est le nom du domaine qui est proposé par défaut. Vous pouvez également utiliser le bouton Vérifier les noms pour associer le chemin complet du groupe ORDINATEURGroupe, mais le nom Groupe saisi doit être exact. Vous devrez utiliser le bouton Avancé pour parcourir la base et trouver le groupe de votre choix. L’onglet Profil permet de spécifier le chemin pointant sur le profil de l’utilisateur. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 46/75 06/03/08
    • L’onglet Environnement permet de définir le comportement du compte lors d’une connexion vers un serveur de terminal Windows. L’onglet Sessions permet de définir les limites de session lors d’une connexion vers un serveur de terminal Windows. L’onglet Profil de services Terminal Server permet de spécifier le chemin du profil et le répertoire de travail de l’utilisateur, utilisé lors d’une ouverture de session sur un serveur de terminal Windows. L’onglet Contrôle à distance permet d’indiquer si la session de l’utilisateur est observée et/ou contrôlée à distance via les services de terminal Windows. L’onglet Appel entrant permet de paramétrer la façon dont ce compte sera traité lors des accès au réseau à distance ou VPN (entre autres paramètres intéressants, notez qu’il est possible d’associer une adresse IP et des itinéraires statiques, proposes aux accès distants de l’utilisateur). La fenêtre des propriétés ne permet pas de définir le mot de passe ou de renommer le compte d’utilisateur. Pour renommer, supprimer un compte d’utilisateur ou encore modifier son mot de passe, vous devez sélectionner le compte d’utilisateur, puis utiliser le menu Action – Renommer, Action – Supprimer ou Action – Définir le mot de passe. Ces actions sont également disponibles directement, via le menu contextuel du compte d’utilisateur. Lorsque vous renommez un compte d'utilisateur, vous ne perdez pas toutes les informations rattachées à ce compte (appartenance aux groupes, permissions...). En effet, lorsque vous manipulez un compte d'utilisateur, vous utilisez le nom de login de cet utilisateur. Or, Windows 2003 associe à ce nom un numéro d'identification de sécurité (SID). Ce numéro, unique, est de la forme : S-1-5-21-527237240-2111687655-1957994488-500 Le fait de renommer un compte modifie le nom de connexion (login) ; par contre le SID ne change pas. Lorsque vous affectez des permissions pour un compte d’utilisateur, c'est au SID associé au compte que les permissions sont attribuées. Si vous supprimez un compte et que vous en créerez un nouveau portant le même nom, il s'agira d'un nouveau compte associé à un nouveau SID. De ce fait, vous ne récupérerez pas les permissions du compte précédent. 1.2 Les groupes a. Présentation Les groupes sont utilisés pour simplifier l'administration. Ils contiennent un ensemble de comptes d'utilisateurs possédant des besoins identiques en terme d'administration. Ainsi, un administrateur pourra simplement donner des permissions au groupe plutôt que de les donner individuellement à chaque utilisateur. Lors des attributions de droits, prenez l'habitude de GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 47/75 06/03/08
    • créer systématiquement des groupes, même s'ils ne contiennent qu'un seul utilisateur dans un premier temps. Les permissions et droits assignés à un groupe sont répercutés sur tous les utilisateurs de ce même groupe. De la même manière, un utilisateur cumule les droits ou restrictions des groupes auxquels il appartient. Comme pour les comptes d'utilisateurs, les groupes utilisent un identifiant de sécurité unique SID, généré au moment de la création du groupe (ou réservé pour les groupes prédéfinis et identités spéciales). Ces identifiants entrent dans la composition du jeton d'accès de l'utilisateur en fonction des groupes auxquels il appartient. Un groupe pourra donc être renommé mais jamais supprimé, sous peine de ne plus contenir aucun membre car l'identifiant de sécurité aura changé. Un utilisateur peut faire partie de plusieurs groupes mais appartient toujours à un groupe au minimum. Dans la base de comptes locale d'un serveur membre/autonome ou d'une station de travail, un seul type de groupe peut être créé : les groupes locaux. Les privilèges du compte local Administrateur de l’ordinateur sont simplement obtenus par l'appartenance au groupe local Administrateurs. De ce fait, tout compte ajouté dans le groupe Administrateurs bénéficiera des privilèges nécessaires à l'administration de l'ordinateur. b. Groupes prédéfinis Lors de l'installation de Windows Server 2003, (serveurs membres/autonomes), un certain nombre de groupes prédéfinis sont créés. Ces groupes possèdent des droits pour effectuer un certain nombre de tâches sur la machine locale : sauvegardes, administration des ressources. II s'agit des groupes : Administrateurs Les membres de ce groupe peuvent effectuer toutes les tâches administratives de l'ordinateur. Par défaut, seul le compte d'utilisateur Administrateur fait partie de ce groupe. Toutefois, lorsque vous intégrez une station ou un serveur dans un domaine, le groupe global Administrateurs du domaine est automatiquement intégré au groupe local Administrateurs de votre station ou serveur ; ceci afin que les administrateurs du domaine puissent gérer toutes les stations et serveurs membres de leur domaine. Grâce à cette imbrication de groupes, tous les administrateurs du domaine peuvent administrer cet ordinateur au même titre que l'administrateur local de la machine. Duplicateurs Ce groupe est principalement utilisé par les services de réplication de fichier (FRS), employés notamment pour la synchronisation de l'annuaire sur les contrôleurs de domaine ou les systèmes de fichiers distribués (DFS). GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 48/75 06/03/08
    • Invités Comme son nom l'indique, ce groupe est utilisé pour des accès occasionnels. II fournit aux utilisateurs de ce groupe un minimum de droit système pour des raisons de sécurité. Par défaut, le compte invité est automatiquement intégré à ce groupe. Opérateurs d'impression Les membres de ce groupe peuvent gérer, créer, partager des imprimantes. Ils peuvent également installer/supprimer les pilotes d'imprimante. Ce groupe n'a aucun membre par défaut. Opérateurs de configuration réseau Les membres de ce groupe peuvent modifier tous les paramètres réseau de l'ordinateur, renouveler ou libérer une adresse IP dynamique, activer/désactiver une interface ou créer une connexion d'accès distant, etc. Ce groupe n'a aucun membre par défaut. Opérateurs de sauvegardes Les membres de ce groupe peuvent utiliser le gestionnaire de sauvegarde Windows Server 2003 pour effectuer des sauvegardes et des restaurations de données. Ce groupe n'à aucun membre par défaut. Utilisateurs Tous les comptes d'utilisateurs que vous créer font partie de ce groupe par défaut. Ils ne peuvent effectuer que des tâches que vous avez spécifiées et n'ont accès qu'aux ressources auxquelles vous avez attribué des permissions. Lorsque votre serveur rejoint un domaine, le groupe Utilisateurs du domaine est automatiquement intégré à ce groupe local Utilisateurs. II permet ainsi à tout utilisateur du domaine d'employer : l'ordinateur au même titre que les utilisateurs locaux. Utilisateurs avec pouvoir Les membres de ce groupe peuvent partager des ressources, créer et modifier des comptes d'utilisateurs locaux. Ils peuvent ainsi effectuer des tâches administratives sans pour autant exercer un contrôle total sur la machine. Utilisateurs des journaux de performances Les membres de ce groupe peuvent définir ou modifier les compteurs, alertes et journaux de performances, afin de surveiller ou diagnostiquer un dysfonctionnement de l'ordinateur local ou à distance. Ils peuvent également utiliser le moniteur système au même titre que les membres du groupe suivant. Par défaut, le groupe système Service Réseau est membre de ce groupe. Utilisateurs de l'Analyseur de performances Les membres de ce groupe peuvent utiliser le moniteur système situé dans 'analyseur de performances localement ou à distance. Ils ne peuvent cependant pas modifier les journaux de performances. Ce groupe n'a aucun membre par défaut. Utilisateurs du bureau à distance GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 49/75 06/03/08
    • Les membres de ce groupe peuvent ouvrir une session de type Terminal Server sur l'ordinateur si la fonctionnalité du bureau à distance est activée. Les membres peuvent être également gérés par la configuration du bureau à distance (propriétés du système). Ce groupe n'a aucun membre par défaut. En fonction des services installés (DHCP, IIS...), certains autres groupes ou utilisateurs locaux peuvent être prédéfinis. En plus de ces groupes prédéfinis, on peut noter l'existence d'entités spéciales qualifiées également de groupes système. La qualité de membre de ces groupes ne peut pas être modifiée et fait référence à l'état de votre système à un instant donné. Tout le monde Comprend tous les utilisateurs, ceux que vous avez créés, le compte invité ainsi que tous les utilisateurs des autres domaines. Attention, car lorsque vous partagez une ressource, ce groupe dispose par défaut de la permission contrôle total Utilisateurs authentifiés Comprend tout utilisateur possédant un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des permissions à ce groupe plutôt qu'au groupe Tout le monde. Créateur propriétaire Toute personne ayant créé ou pris possession d'une ressource fait partie de ce groupe pour la ressource concernée. Le propriétaire d'une ressource dispose des pleins pouvoirs sur cette dernière. Réseau Toute personne accédant, via le réseau, à une ressource de l'ordinateur. Interactif Tous les utilisateurs qui ont ouvert une session localement (dans le cas où vous utiliseriez Terminal Server, ce groupe comprend tous les utilisateurs ayant ouvert une session sur le serveur de terminal.) c. Création d'un groupe Comme pour la création des utilisateurs locaux, la création des groupes locaux s’effectue à partir de la console Gestion de l'ordinateur. Donnez au groupe un nom représentatif, éventuellement une description Cliquez sur le bouton Ajouter afin de définir les adhérents de ce groupe. Cette déclaration n'est pas obligatoire lors de la création ; un groupe peut ne contenir aucun membre et son contenu peut être modifié à tout moment. Comme lors de l'ajout de groupe pour un compte d'utilisateur, cette action ouvre la fenêtre de sélection qui permet de saisir directement les noms des membres, de vérifier les noms ou encore d'accéder à la fenêtre avancée pour rechercher les comptes. Vérifiez donc attentivement l’emplacement indiqué dans cette boîte de dialogue. Sur un serveur autonome, un groupe local ne peut contenir que des utilisateurs locaux. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 50/75 06/03/08
    • Sur un serveur membre, un groupe local peut contenir des utilisateurs locaux ou de domaine, ou encore des groupes globaux de domaine. 2. Gestion dans un domaine Chaque personne utilisant le réseau doit posséder un compte d'utilisateur de domaine pour se connecter au domaine et ainsi avoir accès aux ressources réseau. Ces comptes d'utilisateurs sont créés dans la base d'annuaire de Windows 2003. Lorsqu'un utilisateur se connecte au domaine, les informations d'ouverture de session sont envoyées à un contrôleur de domaine qui les compare avec celles de la base d'annuaire Active Directory. Une fois l'ouverture de session validée, l'utilisateur a accès à toutes les ressources réseau pour lesquelles il possède les permissions. Lorsque vous transformez le serveur Windows 2003 en contrôleur de domaine (installation d'Active Directory), les informations de groupes et d'utilisateurs contenues dans la base SAM sont transposées dans la base d'annuaire Active Directory. 2.1 Structure de base d'un domaine Avant de procéder à la création de groupe et de compte d'utilisateur dans un domaine Active Directory, il convient d'en présenter la structure par défaut. Comme vous pouvez le supposer, l'administration des utilisateurs, des groupes et des ordinateurs d'un domaine est assurée par la console « Utilisateurs et ordinateurs d'Active Directory » (Dsa.msc) : à la première exécution de cette console, vous pouvez constater la présence d'une structure hiérarchique prédéfinie que nous allons détailler brièvement. Nous porterons donc l’attention sur la racine de cette console, représentée par le nom du domaine. Tout le domaine Active Directory disposera au minimum de cette structure (sous réserve de modification du schéma). Par défaut, certains éléments sont masqués et peuvent être visualisés à partir du menu Affichage –Fonctionnalités avancées. Bultin Il s’agit d’un conteneur système qui contient l’ensemble des groupes locaux prédéfinis. Vous pouvez créer de nouveaux utilisateurs, ordinateurs ou groupes dans ce conteneur mais il n’est pas possible de supprimer ou déplacer les groupes d’origine. Computers Comme Son nom le laisse supposer, ce conteneur système héberge par défaut tous les comptes d’ordinateurs membres du domaine à l’exception des contrôleurs de domaine. Il est bien sûr conseillé de ne pas laisser ces comptes dans ce conteneur mais de les déplacer dans des unités organisationnelles plus représentatives. Domain Controllers Il s’agit d’une unité organisationnelle qui contient par défaut les comptes d’ordinateurs de l’ensemble des contrôleurs d’un même domaine. Bien que cela soit déconseillé, les comptes d’ordinateurs peuvent être déplacés et de GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 51/75 06/03/08
    • nouvelles unités organisationnelles créées. Il est important de remarquer qu’une stratégie de groupe s’applique à ce nouveau et définit ainsi la sécurité inhérente à tous les contrôleurs du domaine. ForeignSecurityPrincipal Ce conteneur système héberge les références de sécurité (SID) utilisées par les relations d'approbation avec des domaines internes et externes à la forêt. Ce sont des objets fictifs de substitution (placeholder), chargés d'identifier les utilisateurs ou groupes des domaines externes approuvés. LostAndFound Ce conteneur système est normalement vide puisqu'il ne contient que des objets orphelins. II ne s'agit pas d'une corbeille pour des objets supprimés, mais d'un lieu de stockage des objets qui n'ont plus de parent. Par exemple, lorsque vous créez un utilisateur dans une unité organisationnelle, alors que celle-ci est supprimée sur un autre contrôleur, lors de la réplication, le compte d'utilisateur orphelin n'est pas détruit mais stocké dans ce conteneur. NTDS Quotas Ce conteneur système est destiné à comptabiliser le nombre d'objets détenu par une entité de sécurité. A l'instar des quotas de disque, les quotas d'annuaire se basent sur le propriétaire de l'objet. Utilisez les commandes DSMOD QUOTAS ou DSADD QUOTAS ... pour modifier ou ajouter une entrée de quotas NTDS. Program Data Ce conteneur système accueille les partitions d'applications et peut contenir toutes sortes d'objets. Les partitions d'applications sont une spécificité de Windows Server 2003 et s'ajoutent aux partitions de schémas, de configurations et de domaines déjà présentes sur un contrôleur de domaine. La portée de réplication d'une partition d'application peut être configurée afin d'être hébergée sur les contrôleurs de domaine de votre choix. Les partitions d'applications sont créées par I'application elle-même. Vous pouvez par exemple utiliser la console DNS pour Créer des partitions de l'annuaire d'applications par défaut, à partir du menu contextuel du serveur. System Comme son nom le laisse supposer, ce conteneur système héberge de nombreux objets nécessaires au système tels que les liaisons de stratégies de groupe, les zones DNS intégrées, la configuration DFS, les stratégies de sécurité IP ... Users Ce conteneur système héberge par défaut les groupes et comptes d'utilisateurs (ainsi que ceux issus d'une migration, ou de la promotion d'un contrôleur de domaine). II est bien sûr conseillé de ne pas laisser ces GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 52/75 06/03/08
    • comptes dans ce conteneur mais de les déplacer dans des unités organisationnelles plus représentatives. En résumé, l'administrateur d'un domaine sera principalement concerné : par sa propre structure constituée essentiellement d'unités organisationnelles, d'utilisateurs, de groupes, d'ordinateurs, d'imprimantes et de dossiers publiés ; par les conteneurs Users et Computers, afin de déplacer les objets dans sa propre structure ; ponctuellement par la modification de la stratégie de groupe du domaine ou celle des contrôleurs et du domaine, et plus généralement par les propres stratégies de groupe qu'il aura définies dans sa structure. Les conteneurs système peuvent contenir des utilisateurs, des groupes, des ordinateurs ou d'autres objets de ce type. Toutefois, les unités organisationnelles sont préférables, du fait de leur plus grande souplesse d'utilisation et des possibilités liées aux stratégies de groupe. 2.2 Gestion des utilisateurs d'un domaine a. Comptes prédéfinis Comme nous l'avons évoqué pour la base locale, il existe plusieurs comptes et groupes prédéfinis dans la base Active Directory. Parmi ces utilisateurs et groupes présents on devra distinguer les comptes locaux, éventuellement issus de la base locale originale, de ceux créés pour les besoins du domaine. Comme pour une base locale, nous retrouvons les comptes Administrateur et Invité (qui conservent les statuts et mots de passe d'avant la promotion) présents pour satisfaire les même besoins que ceux d'une machine locale. Avant de détailler la notion de groupe, il est intéressant de remarquer que le compte Administrateur d'origine appartient dorénavant à plusieurs groupes (à condition qu’il s'agisse d'un contrôleur pour un nouveau domaine, car les contrôleurs supplémentaires perdent leur base locale au profit d'une duplication à partir des autres contrôleurs du domaine) : - le groupe Administrateurs, pour les besoins d'administration locaux du contrôleur de domaine ; - le groupe Admins du domaine, pour les besoins d'administration de toutes les machines membres du domaine. S'il s'agit du premier contrôleur de domaine de la forêt, l'administrateur appartient en plus aux groupes suivants : - groupe Admins de l'entreprise, pour les besoins d'administration de toute la forêt (un privilège suprême) ; - groupe Admins du schéma, pour les besoins de modification du schéma d’Active Directory (concerne toute la forêt). GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 53/75 06/03/08
    • b. Création d'un compte d'utilisateur Préalablement à la création d'utilisateurs, il peut être intéressant de définir une convention de nomenclature permettant d'identifier chaque utilisateur, et surtout de faire en sorte que chaque nom d'ouverture de session soit unique dans le domaine. Par exemple, on peut employer la première lettre du prénom suivie du nom de l'utilisateur. En cas de doublons, on ajoutera, par exemple, la deuxième lettre du prénom. Un utilisateur se nommant Pierre DURANT et ayant comme collègue Paul DURANT, pourrait avoir comme nom d'ouverture de session pidurant et son collègue padurant. La création des comptes d'utilisateurs d'un domaine s'effectue donc par la console Utilisateurs et ordinateurs Active Directory. Cet objet utilisateur peut être créé dans n'importe quel conteneur. Pour cela, sélectionnez l'unité d'organisation ou le conteneur système dans lequel vous désirez créer le compte, puis utilisez le menu contextuel ou le menu Action – Nouveau - Utilisateur. Prénom, Initiales, Nom Ces champs permettent de renseigner respectivement les prénoms, initiales et nom de famille de l'utilisateur. Ces champs sont facultatifs et leur contenu est automatiquement recopié dans le champ Nom complet. Nom complet Ce nom est obligatoire et doit être unique dans l'unité d'organisation dans laquelle vous créez le compte d'utilisateur. II ne doit pas excéder 64 caractères. Si vous avez renseigné les champs précédents, il contient par défaut les champs PRENOM + INITIALES + NOM mais vous pouvez le modifier indépendamment de ceux-ci. Nom d'ouverture de session de l'utilisateur II s'agit du nom que l'utilisateur va employer pour s'authentifier auprès d'un contrôleur de domaine. II doit être unique dans le domaine et conçu a partir de votre convention de nomenclature. Ce nom d'ouverture de session est suivi du nom de domaine. Sur cet exemple, l'utilisateur pourra donc ouvrir une session en tant que pidurant@eni.fr. Attention, le nom de domaine par défaut correspond au domaine racine et pas nécessairement au domaine courant. Utilisez la liste déroulante pour le domaine. Si vous souhaitez que les utilisateurs ouvrent une session avec leur nom de messagerie (adresse e-mail) et que celui-ci ne correspond pas au nom de domaine Active Directory, vous devrez ajouter un suffixe UPN à partir de la console Domaines et approbations d’Active Directory. Ce suffixe apparaîtra dans la liste déroulante au même titre que les autres domaines de l'arborescence. Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) Nom de connexion que les utilisateurs disposant d'une version antérieure à Windows 2000 (Windows 95. 98. NT) devront utiliser pour se connecter. Ce nom ne doit pas dépasser 20 caractères. Par défaut, le champ précédent est recopié mais vous pouvez choisir un nom complètement différent. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 54/75 06/03/08
    • Mot de passe et Confirmer le mot de passe L'administrateur peut fournir un mot de passe à l'utilisateur. L'utilisateur doit changer le mot de passe à la prochaine ouverture de session Si cette option est cochée (par défaut), l'utilisateur devra choisir son mot de passe dès qu'il ouvrira pour la première fois une session. Ensuite, il n'aura plus à le faire jusqu'à l'expiration du mot de passe et il utilisera le mot de passe qu'il a saisie. Ceci permet à l'administrateur de laisser le choix du mot de passe aux utilisateurs. L'administrateur n'a aucun moyen, dans ce cas, de connaître le mot de passe d'un utilisateur ; il peut simplement le réinitialiser. L'utilisateur ne peut pas changer de mot de passe Cette option peut être utilisée pour figer certains mots de passe comme celui du compte invité ou ceux des comptes utilisés par plusieurs personnes. Cette option oblige l’administrateur (ou une personne à qui on délègue cette tâche) à gérer les mots de passe des utilisateurs. Le mot de passe n'expire jamais Utilisez cette option si vous souhaitez que le mot de passe ne soit pas remis en cause par la stratégie de sécurité du domaine. Cette option peut s'avérer utile si le compte est utilisé par une application ou un service. Le compte est désactivé Cochez cette option pour que personne ne puisse utiliser ce compte, par exemple lorsqu'un utilisateur part en vacances. Lorsqu'un compte est désactivé, une croix apparaît sur son icône. c. Propriétés des comptes d'utilisateurs Pour définir ou modifier les caractéristiques d'un compte d'utilisateur, sélectionnez l'objet puis utilisez le menu Action - Propriétés ou le menu contextuel. Les onglets Général et Adresse définissent des propriétés personnelles concernant l'utilisateur : son adresse, ses numéros de téléphone ... Ces informations vont être stockées dans la base d'annuaire, dans le but de rechercher très facilement des utilisateurs. Une fois le contact localisé, il est possible d'effectuer un certain nombre d'actions : lui envoyer un message électronique, ouvrir sa page Internet, éditer ses propriétés pour connaître son numéro de téléphone, etc. Dans l'onglet Compte, contrairement aux propriétés personnelles, les propriétés de compte n'apportent pas de renseignements sur l'utilisateur, mais des paramètres de comportement du compte (restrictions d'horaires, expiration du compte...). Vous pouvez également rechercher des objets à partir de la commande en ligne DSQUERY. La partie supérieure permet de modifier les noms d'ouverture de session entrés lors de la création du compte. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 55/75 06/03/08
    • Restrictions horaires Pour des raisons de sécurité, il peut être souhaitable de définir des horaires pendant lesquels un utilisateur sera autorisé à ouvrir une session. Pour cela, cliquez sur le bouton Horaires d'accès. Sélectionnez les plages horaires souhaitées puis utilisez les boutons radio Ouverture de session autorisée et Ouverture de session refusée selon vos besoins. Restrictions d'accès Pour restreindre l'accès des utilisateurs à certaines stations, utilisez le bouton Se connecter à puis ajoutez les noms des ordinateurs à partir desquels l'utilisateur est autorisé à ouvrir une session. Vous devez entrer les noms exacts des machines (NetBIOS ou Nom DNS) car cette boite de dialogue ne présente pas de lien ou de contrôle avec les comptes d'ordinateurs. Options de compte Ce cadre permet de modifier les paramètres entrés lors de la création du compte, comme : - Le mot de passe n'expire jamais. - L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. - L'utilisateur ne peut pas changer de mot de passe. - Le compte est désactivé. D'autres options supplémentaires sont disponibles : Une carte à puce est nécessaire pour ouvrir une session interactive Windows 2003 permet de se faire authentifier par carte à puce si votre matériel est équipé d'un lecteur de cartes. Le compte est sensible et ne peut pas être délégué Personne ne pourra utiliser la délégation de contrôle sur ce compte. Le compte est approuvé pour la délégation Utilisez cette option afin de donner la permission à l'utilisateur de déléguer des tâches administratives à d'autres utilisateurs. Enregistrer le mot de passe en utilisant un cryptage réversible Utilisez cette option si vous avez des utilisateurs travaillant sur des machines Apple sur le réseau Windows 2003 Utiliser les types de cryptage DES pour ce compte Cochez cette case si vous souhaitez utiliser le cryptage DES (Data Encryption Standard). DES prend en charge les méthodes de cryptage telles que IPSec, MPPE. La pré-authentification kerberos n'est pas nécessaire GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 56/75 06/03/08
    • Utilisez cette option si le compte d'utilisateur emploie une autre version du protocole Kerberos (Protocole d'authentification par défaut sur les domaines Windows 2000 et 2003). Expiration de compte Pour faire expirer un compte à une date précise (par exemple lorsqu'un utilisateur, tel un stagiaire, a besoin d'un compte pour une durée prédéfinie), procédez de la manière suivante : Sous la rubrique Date d'expiration, sélectionnez l'option Fin puis ouvrez la liste déroulante pour faire apparaître un calendrier à partir duquel vous pouvez sélectionner la date d'expiration. Les comptes créés pour une occasion particulière puis quot;oubliésquot; avec le temps constituent autant de failles de sécurité potentielles que cette option permet facilement d’éviter. Lorsqu'un compte d'utilisateur expire, il passe à l'état désactivé. d. Copie d'un compte d'utilisateur Lorsque vous devez créer plusieurs comptes d'utilisateurs disposant des mêmes caractéristiques, une solution simple consiste à créer un compte modèle disposant de toutes les caractéristiques communes, puis d'en faire une copie. Lors d'une copie de compte, les paramètres suivants sont conservés : - les restrictions horaires ; - les options de comptes suivantes : -l'utilisateur doit changer de mot de passe à la prochaine ouverture de session ; - l'utilisateur ne peut pas changer de mot de passe ; - le mot de passe n'expire jamais ; - le compte est désactivé. - les restrictions d'accès ; - la date d'expiration ; - les options de profil et de dossier de base (dans ce cas, utilisez la variable %username% à la place d'un nom explicite) ; - l'appartenance aux groupes. Pour réaliser une copie de compte, sélectionnez le compte d'utilisateur à copier, puis utilisez le menu Action - Copier ou le menu contextuel. e. Modification d'un compte Réinitialisation du mot de passe Dans le cas où un utilisateur oublie son mot de passe, il faut réinitialiser ce dernier, après vérification de l'identité de l'utilisateur. Pour cela, sélectionnez le compte d'utilisateur puis employez le menu Action - Réinitialiser le mot de passe ou le menu contextuel. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 57/75 06/03/08
    • Déplacement de l'objet utilisateur Comme la structure hiérarchique d'unité d'organisation n'est pas figée, il peut être utile de déplacer un compte d'utilisateur (comme tout autre objet), d'un conteneur vers un autre. Pour cela, sélectionnez le compte d'utilisateur puis glissez l'objet sur le conteneur de destination. Vous pouvez également utiliser la méthode de Windows 2000, en sollicitant le menu Action - Déplacer ou le menu contextuel. Sélectionnez ensuite le conteneur de destination, puis cliquez sur OK. Notez que vous pouvez modifier plusieurs comptes d'utilisateurs en maintenant les touches [Maj] ou [Ctrl] enfoncées pendant la sélection. Ceci permet d'agir plus facilement sur un ensemble d'utilisateurs plutôt que de recommencer ces actions pour chacun d'entre eux. La sélection multiple d'utilisateurs permet de : - ajouter ces utilisateurs dans un groupe ; - activer/désactiver ces comptes d'utilisateurs ; - déplacer ces comptes vers un autre conteneur ; - envoyer un message à ces utilisateurs ; - couper (dans le but d'un déplacement) ; - supprimer ces utilisateurs ; - accéder aux propriétés communes de ces utilisateurs. 2.3 Gestion des groupes a. Types de groupes Comme nous l'avons précisé précédemment, les groupes sont utilisés pour gérer les comptes d'utilisateurs dans le but d'accéder à des ressources, tout ceci dans un souci de simplification de l'administration. Comme pour les comptes d'utilisateurs, les groupes emploient un identifiant de sécurité unique SID, généré au moment de la création du groupe (ou réservé pour les groupes pr6définis et identités spéciales). Ces identifiants entrent dans la composition du jeton d'accès de l'utilisateur, en fonction des groupes auxquels il appartient. Active Directory supporte plusieurs types et étendues de groupes que nous allons présenter ici. Deux types de groupes sont disponibles : - Les groupes de sécurité, utilisés pour gérer la sécurité des ressources du ou des domaines. - Les groupes de distribution, utilisés par exemple pour envoyer des messages électroniques à l'ensemble des utilisateurs de ces groupes. Ces groupes ne sont pas utilisables pour la sécurité. Ils peuvent cependant être requis par des applications de messagerie qui ne peuvent pas interpréter les groupes de sécurité contenus dans Active Directory, ou pour séparer ces listes des notions de sécurité. Des applications comme Exchange 2000 peuvent exploiter les deux types de groupes. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 58/75 06/03/08
    • Ces deux types de groupes possèdent une étendue qui spécifie les personnes qui peuvent en faire partie (compte d'utilisateur, de groupe ou d'ordinateur) ainsi que l'endroit à partir duquel ils sont utilisables. Ces types d'étendues de groupes sont au nombre de trois : Domaine local pour appliquer des permissions. Globale pour organiser les comptes d'utilisateurs. Universelle pour regrouper des utilisateurs de n'importe quel domaine et leur assigner des permissions dans n'importe quel domaine. Le contenu de ces groupes varie selon le mode de configuration du domaine : mode natif ou mode mixte. Mode de domaine Contrôleurs Etendues Mixte Windows 2000 Windows NT 4.0 Globale Windows 2000 Domaine Local Windows 2003 Natif Windows 2000 Windows 2000 Global Windows 2003 Domaine Local Universelle Intérim Windows 2003 Windows NT 4.0 Globale Windows 2003 Domaine Local Windows 2003 Windows 2003 Globale Domaine Local Universelle En mode mixte ou intérim : - Un groupe domaine local peut contenir des utilisateurs et des groupes globaux de n'importe quel domaine. - Un groupe global contient des utilisateurs du même domaine que le sien. - Les groupes (de sécurité) universels n'existent pas en mode mixte. En mode natif Windows 2000 ou Windows 2003 : - un groupe domaine local peut contenir des comptes d'utilisateurs, des groupes globaux et groupes universels d'un domaine quelconque de la foret ainsi que des groupes locaux de domaine de son propre domaine. - Un groupe global peut contenir des comptes d'utilisateurs et des groupes globaux du même domaine. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 59/75 06/03/08
    • - Un groupe universel peut contenir des comptes d'utilisateurs, des groupes globaux et des groupes universels d'un domaine quelconque de la forêt. Les groupes locaux de domaine peuvent obtenir des permissions du domaine dans lequel ils existent. Les groupes globaux et universels bénéficient d'autorisations dans tous les domaines de la forêt. b. Méthodologies d'utilisation des groupes Dans une architecture à domaine unique, les étendues de groupe sont moins importantes puisque qu'il n'existe pas de contrainte interdomaine. Toutefois, il est souhaitable de s'astreindre à de bonnes habitudes, car une architecture n'est jamais figée et peut nécessiter une évolution à plus ou moins long terme. De plus, les méthodes et les conventions de nom pour les groupes doivent être cohérentes et définies pour l'entreprise et toute l'équipe technique, et non par chaque administrateur. Afin de choisir les étendues de groupe les plus adaptées à vos besoins, nous allons présenter quelques méthodes d'implémentation basées sur des règles mnémotechniques. Ainsi nous désignerons chaque élément par un symbole : A (Account) Compte d'utilisateur L (Domain Local Group) Groupe Local G (Global Group) Groupe Global DL (Domain Local Group) Groupe Local de domaine U (Universal Group) Groupe Universel P (Permissions) Droits et autorisations Méthode A, G, P Cette méthode consiste à inclure les comptes d'utilisateurs dans un groupe global puis à affecter les autorisations et privilèges sur ce groupe global. Avantages La simplicité de mise en oeuvre de cette méthode est adaptée à une architecture de domaine unique. Elle est retenue en particulier lorsque le nombre d'utilisateurs et les contraintes d'autorisations sont faibles. En revanche, l'absence d'imbrication de groupe et l'utilisation d'un seul type de groupe simplifient la gestion et la détermination des droits effectifs. Un choix judicieux des noms de groupes est essentiel dans ce type de gestion. Inconvénients GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 60/75 06/03/08
    • Cette méthode risque de compliquer la gestion dans une architecture de domaines multiples. En effet, lorsque plusieurs domaines nécessitent les mêmes autorisations, vous devez gérer individuellement les privilèges de chaque groupe global. De plus, cette gestion peut dégrader les performances. En effet, à chaque fois qu'un utilisateur accède à une ressource d'un serveur, ce dernier doit vérifier les appartenances de groupe global car celles-ci ne sont pas mises en cache par le serveur. Méthode A, DL, P Cette méthode consiste à inclure les comptes d'utilisateurs dans un groupe local de domaine puis à affecter les autorisations et privilèges sur ce groupe local de domaine. Avantages Bien que cette méthode soit peu recommandée, elle reste adaptée dans une architecture de domaine unique comprenant peu d'utilisateurs et qui n'est pas vouée à évoluer vers une forêt multidomaine. Les appartenances aux groupes locaux de domaine sont mémorisées par les serveurs, mais un nombre important de membres peut dégrader rapidement les performances. Comme pour la méthode précédente, la simplicité d'un seul type de groupe et l'absence d'imbrication facilitent les diagnostics et la détermination des droits effectifs. Inconvénients L'une des principales contraintes de ce genre de gestion est le manque de flexibilité et d'évolution de l'architecture. En effet, vous ne pouvez pas affecter des autorisations sur le groupe en dehors du domaine. De plus, vous ne pourrez pas utiliser ces groupes pour gérer les ressources partagées par des serveurs membres sous Windows NT4.0. Méthode A, G, DL, P Cette méthode consiste à inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe local de domaine, puis à affecter les autorisations et privilèges sur ce groupe local de domaine. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 61/75 06/03/08
    • Avantages Cette méthode s'adapte à toutes les architectures de domaine (mono ou multidomaine). Elle doit permettre de réduire les temps d'administration, car les autorisations sont gérées exclusivement par les groupes locaux de domaine alors que les utilisateurs appartiennent uniquement aux groupes globaux. De plus, cette méthode est applicable quel que soit le mode fonctionnel du domaine. Inconvénients La complexité d'une telle méthode peut rendre la gestion pour les administrateurs et la détermination des droits effectifs d'un utilisateur plus délicates. De plus, ce type de gestion n'est pas évident à initialiser et à maintenir. Cela doit donc faire l'objet d'une étude mûrement réfléchie et bien documentée. Cette méthode reste toutefois limitée aux très grosses structures qui gèrent de nombreux utilisateurs. Elle sert également à mutualiser les définitions des besoins. Méthode A, G, U, DL, P Cette méthode consiste à inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe universel, ce groupe universel dans un groupe local de domaine puis à affecter les autorisations et privilèges sur ce groupe local de domaine. Une variante de cette méthode pourrait reposer sur l'imbrication de groupes globaux. On obtiendrait une logique de type : A, G, G, DL, P ou A, G, G, U, DL, P. Avantages Cette méthode s'adapte à toutes les architectures de domaine (mono ou multidomaine). Elle doit permettre de réduire les temps d'administration, pour les mêmes raisons que la méthode précédente. De plus, elle permet de mutualiser des besoins déjà définis dans un groupe global, par l'imbrication de celui-ci dans un groupe global ou universel fédérateur. La figure ci-après illustre un exemple qui peut apparaître complexe mais démontre l'intérêt d'une telle méthode. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 62/75 06/03/08
    • Plusieurs utilisateurs de domaines A et B sont intégrés dans un groupe global pour définir les personnes du secrétariat comptable. De la même manière plusieurs utilisateurs des domaines A et B sont intégrés dans un groupe global en qualité d'experts comptables. Ces deux groupes globaux pourraient être intégrés dans le groupe local du domaine B pour autoriser l'accès à la ressource des données comptables. Dans cet exemple, le groupe universel des comptables de l'entreprise regroupe les services secrétariat comptable et experts-comptables dans un groupe unique. L'appartenance du groupe universel au groupe local du domaine B autorise l'accès à la ressource des données comptables. Inconvénients La complexité d'une telle méthode peut rendre la gestion pour les administrateurs et la détermination des droits effectifs d'un utilisateur plus délicates. De plus, ce type de gestion n'est pas évident à initialiser et à maintenir. Cela doit donc faire l'objet d'une étude mûrement réfléchie et bien documentée. Cette méthode requiert l'imbrication de groupe ou l'utilisation des groupes universels. Elle est donc réservée aux domaines OU forêt en mode fonctionnel natif Windows 2000 ou Windows 2003. De plus, les appartenances aux groupes universels sont gérées par le(s) serveur(s) de catalogue global. Cela implique que ces derniers soient en nombre suffisant et peut engendrer des temps de latence importants, selon la topologie des liaisons et le nombre de sites. Un serveur de catalogue global est un contrôleur de domaine qui héberge une copie partielle des objets de tous les domaines de la forêt, en plus de la réplique complète des objets de son propre domaine. La fonction de catalogue global est activée dans la console Sites et services d'Active Directory, sous la rubrique NDTS Settings du serveur en question. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 63/75 06/03/08
    • Avec Windows 2003, l'appartenance aux groupes universels est mise en cache par les serveurs membres. Ceci améliore sensiblement les performances par rapport à Windows 2000. Méthode A, G, L, P Cette méthode consiste à inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe local, puis à affecter les autorisations et privilèges sur ce groupe local. IIs'agit ici de la méthode utilisée par défaut lorsqu'un ordinateur devient membre d'un domaine. En effet, dans ce cas le groupe global Admins du domaine est ajouté au groupe local Administrateurs de l'ordinateur membre, et le groupe global Utilisateurs du domaine est ajouté au groupe local Utilisateurs de l'ordinateur membre. Avantages Avec cette méthode, les groupes locaux sont définis (ou prédéfinis) par machine et les autorisations sur les ressources locales sont affectées sur ces groupes. Si l'on considère qu'une ressource est liée à une machine (ce n'est pas le cas des systèmes distribués), on peut admettre que c'est un choix approprié. De plus, cette méthode est applicable quel que soit le mode fonctionnel des domaines ou de la forêt. Cette méthode présente surtout l'avantage d'être compatible avec les ordinateurs NT4 et peut être retenue pour conserver les acquis et les habitudes de gestion après une migration de domaine NT4 vers Windows 2003. Inconvénients Une des limites de cette méthode est qu'il n'est pas possible de définir des autorisations en dehors de la machine locale. Cela signifie que chaque groupe local et ses membres sont gérés sur chaque ordinateur partageant des ressources. De ce fait, la gestion des groupes définissant l’accès aux ressources est décentralisée car ils ne sont pas intégrés dans Active Directory. Cette méthode est à privilégier tant que le nombre d'utilisateurs et de serveurs de ressources reste faible. Quelle que soit votre méthodologie, n'oubliez jamais d'affecter les privilèges à un groupe, quel qu'il soif, mais en aucun cas directement au niveau d'un d'utilisateur. c. Groupes prédéfinis Rappelons que tous les ordinateurs fonctionnant sous Windows NT, 2000 ou 2003 disposent d'un certain nombre de groupes locaux prédéfinis et créés lors de l'installation d'origine du système. Lors de la promotion d'un contrôleur Windows 2003 pour un nouveau domaine, les groupes locaux GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 64/75 06/03/08
    • existant sont transposés en groupes globaux de domaine et plusieurs groupes globaux et locaux de domaine sont également générés. Les groupes globaux prédéfinis sont présents dans le conteneur Users par défaut : Administrateurs de l'entreprise Les personnes membres de ce groupe disposent de droits d'administrateur sur toute la forêt (et non plus limités au domaine). De plus, ils peuvent modifier le schéma et la topologie des sites Active Directory. Par défaut, le compte administrateur du premier contrôleur de domaine de la forêt fait partie de ce groupe. En raison des privilèges ultimes octroyés à ce groupe, limitez l'appartenance à quelques utilisateurs de confiance. Dans de nombreux cas l'appartenance au groupe Admins du domaine du domaine racine est suffisante Ce groupe global est modifié en groupe universel lorsque le domaine est en mode Windows 2000 ou 2003. Administrateurs du schéma Les personnes membres de ce groupe disposent de modification du schéma d'Active Directory. Cela signifie qu’ils peuvent ajouter ou supprimer toute classe ou attribut d’objet. L’appartenance à ce groupe est nécessaire lorsqu’une personne ou une application doit modifier le schéma (cf. Exchange 2000). Ce groupe global est modifié en groupe universel lorsque le domaine est en mode natif Windows 2000 ou 2003. Admins du domaine Le compte Administrateur fait partie de ce groupe, lui-même intégré au groupe local de domaine Administrateurs. En fait, le compte d'utilisateur Administrateur ne possède pas de droit particulier en tant que compte. C'est le fait de l'intégrer dans ce groupe global qui lui donne les droits, par le biais du groupe local de domaine Administrateurs. Contrôleurs du domaine Tous les comptes d'ordinateurs des contrôleurs du domaine font partie de ce groupe. II permet de gérer les besoins spécifiques aux contrôleurs du domaine, ceux-ci étant généralement différents des besoins des autres ordinateurs membres. DnsUpdateProxy Les membres de ce groupe ont le droit d'inscrire ou modifier un enregistrement dans les zones DNS intégrées Active Directory, si ces dernières n'acceptent que les mises à jour sécurisées. Vous pouvez par exemple ajouter le compte d'un serveur DHCP pour qu'il bénéficie de ces privilèges. Invités du domaine Le compte d'utilisateur Invité est automatiquement intégré à ce groupe. De plus, ce groupe global est lui aussi automatiquement intégré dans le groupe local de domaine Invités. Ordinateurs du domaine GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 65/75 06/03/08
    • Tous les comptes d'ordinateurs qui joignent le domaine font partie de ce groupe. Vous pouvez par exemple intégrer un groupe local de domaine afin que les ordinateurs puissent accéder à certaines ressources, indépendamment des utilisateurs. Propriétaires créateurs de la stratégie de groupe ~ Le compte Administrateur est automatiquement intégré à ce groupe. Il regroupe les créateurs/propriétaires des stratégies de groupe afin de permettre la modification de celles-ci et couvrir des besoins spécifiques. Les membres de ce groupe ne peuvent cependant pas modifier les stratégies de groupe au niveau des sites. Utilisa. du domaine Tous les comptes d'utilisateurs que vous créez font, par défaut, partie de ce groupe. Ce compte est automatiquement intégré au groupe local du domaine Utilisateurs. Ses membres ne peuvent effectuer que les tâches spécifiées et n'ont accès qu'aux ressources dont les permissions sont attribuées au niveau du groupe local de domaine Utilisateurs. Les groupes locaux du domaine prédéfinis sont présents dans le conteneur Builtin par défaut : Accès compatible pré-Windows 2000 Ce groupe permet d'assurer la compatibilité avec les versions antérieures à Windows 2000, en offrant un accès en lecture sur le domaine. Le niveau de compatibilité pour les versions antérieures à Windows 2000, déterminé lors de l'installation du domaine ajoute les entités spéciales Tout le monde et Anonymous Logon à ce groupe, afin d’offrir un accès en lecture sur certains attributs et autoriser les ouvertures de session anonymes. Par défaut, pour les nouveaux domaines en mode comptabilité Windows 2000 et 2003, seul le groupe spécial Utilisateurs authentifiés appartient à ce groupe. Administrateurs Les membres de ce groupe peuvent administrer les contrôleurs de domaine ainsi que toute station ayant intégré le domaine. Par défaut, le groupe global admins du domaine ainsi que le compte Administrateur font partie de ce groupe local. Duplicateurs Les membres de ce groupe peuvent gérer le système de réplication de fichier utilisé particulièrement par les contrôleurs de domaine (File Replication Service). Générateurs d'approbation de forêt entrante Les membres de ce groupe peuvent créer et gérer les relations d'approbation entrantes vers les domaines de la forêt. Groupe d'accès d'autorisation Windows Les membres de ce groupe ont accès à l'attribut tokenGroupsGlobalAndUniversal sur les objets utilisateur. Ils peuvent ainsi consulter les appartenances de groupes pour les comptes d'utilisateurs. L'emploi et le but de ce groupe, sont proches de ceux du GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 66/75 06/03/08
    • groupe Accès compatible pré-Windows 2000. Par défaut, l’entité spéciale Enterprise Domain Controlers est membre de ce groupe. Invités Le groupe global Invité du domaine ainsi que le compte d’utilisateur Invité sont intégrés dans ce groupe. Les membres de ce dernier disposent de peu de droits. Opérateurs de comptes Les membres de ce groupe peuvent administrer les comptes d'utilisateurs et groupes (ajouter, supprimer et modifier). Ils ne peuvent cependant pas accéder au compte Administrateur ni aux autres membres du groupe Opérateurs de comptes. Opérateurs de configuration réseau Les membres de ce groupe peuvent modifier les paramètres réseau des ordinateurs : renouveler ou libérer une adresse IP dynamique, activer/désactiver une interface ou créer une connexion d'accès distant, etc. Opérateurs de sauvegarde Les membres de ce groupe peuvent effectuer des sauvegardes et des restaurations sur tout contrôleur de domaine. Opérateurs de serveur Les membres de ce groupe peuvent partager des ressources ainsi qu'effectuer des sauvegardes et des restaurations sur les serveurs du domaine. Opérateurs d'impression Les membres de ce groupe peuvent gérer les imprimantes réseau des contrôleurs de domaine. Par défaut, les différents groupes opérateurs ne disposent pas de membres. Ajoutez des comptes d'utilisateurs dans ceux-ci pour attribuer des droits spécifiques à vos utilisateurs. Si un utilisateur est désigné pour effectuer les sauvegardes, intégrez-le dans le groupe opérateurs de sauvegarde plutôt que dans le groupe administrateur. Pour maîtriser la sécurité, il est préférable de limiter les droits d'un utilisateur à ses fonctions. Serveurs de licences des services Terminal Server Les membres de ce groupe peuvent gérer les attributions de licences Terminal Server. Utilisateurs Legroupe global Utilisateurs du domaine est intégré dans ce groupe. Ce dernier peut être utilisé pour affecter des droits et permissions à toute personne disposant d'un compte dans le domaine. Utilisateurs des journaux de performances GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 67/75 06/03/08
    • Les membres de ce groupe peuvent définir ou modifier les compteurs, alertes et journaux de performances, afin de surveiller ou diagnostiquer un dysfonctionnement de l'ordinateur local ou à distance. Ils peuvent également utiliser le moniteur système au même titre que les membres du groupe suivant. Par défaut, le groupe système Service réseau est membre de ce groupe. Utilisateurs du moniteur de performances Les membres de ce groupe peuvent utiliser le moniteur système situé dans l'analyseur de performances, localement ou à distance. Ils ne peuvent cependant pas modifier les journaux de performances. Ce groupe n'a aucun membre par défaut. Utilisateurs du Bureau à distance Les membres de ce groupe peuvent ouvrir une session de type Terminal Server sur l'ordinateur si la fonctionnalité du Bureau à distance est activée. Les membres peuvent être également gérés par la configuration du Bureau à distance (propriétés du système). Ce groupe n’a aucun membre par défaut. On Peut également remarquer la présence de groupes locaux de domaine dans, le conteneur Users. Ces groupes sont issus de la migration de la base locale d'origine groupes et/ou ajoutés pour les besoins de certains services ou applications. Cert Publishers Les membres de ce groupe peuvent publier des certificats dans Active Directory. DnsAdmins Les membres de ce groupe peuvent administrer les services DNS de l'ordinateur. Administrateurs DHCP Les utilisateurs membres de ce groupe peuvent administrer les services DHCP de l'ordinateur. Serveurs RAS et IAS Les serveurs membres de ce groupe peuvent accéder aux propriétés d'accès distant des utilisateurs. Utilisateurs DHCP Les membres de ce groupe peuvent accéder aux services DHCP de l'ordinateur en consultation uniquement. Utilisateurs WlNS Les membres de ce groupe peuvent accéder aux services WlNS de l'ordinateur en consultation uniquement. Rappelons qu'en plus des groupes précédemment évoqués, il existe sur tout ordinateur fonctionnant sous Windows 2000 ou 2003, des groupes système (ou identités spéciales). La qualité de membre de ces groupes ne peut pas être modifiée, elle fait référence à l'état de votre système à un GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 68/75 06/03/08
    • instant donné. La liste suivante présente quelques-uns de ces groupes spéciaux, sans exhaustivité. Interactif (Interactive) Comprend tous les utilisateurs qui ont ouvert une session localement. (Dans le cas où vous utilisez Terminal Server ou le Bureau à distance, ce groupe comprend également tous les utilisateurs ayant ouvert une session à distance sur le serveur en mode Terminal Windows.) Identificateur de sécurité (S-1-5-4) Ouverture de session anonyme (Anonymous Logon) Représente tous les utilisateurs ou services qui n'emploient aucune authentification particulière. Avec Windows 2003, ce groupe n'est plus intégré par défaut au groupe Tout le monde. Identificateur de sécurité (S-1 -5-7) Tout le monde (Everyone) Comprend tous les utilisateurs, ceux que vous avez créés, le compte invité ainsi que tous les utilisateurs des autres domaines. Attention, car lorsque vous partagez une ressource, ce groupe dispose par défaut de la permission contrôle total. Toutefois, avec Windows 2003, et par mesure de sécurité, le groupe Ouverture de session anonyme n'est plus intégré par défaut au groupe Tout le monde. Utilisateurs authentifiés (Authenticated Users) Comprend tout utilisateur possédant un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des permissions à ce groupe plutôt qu'au groupe Tout le monde. Ce groupe intègre le compte Invité si Un mot de passe lui est associé. Créateur propriétaire (Creator owner) Toute personne ayant créé ou pris possession d'une ressource fait indirectement partie de ce groupe pour la ressource concernée. Le propriétaire d'une ressource dispose ainsi des pleins pouvoirs sur cette dernière. En réalité, il s'agit d'un groupe de substitution (placeholder) qui sera inscrit dans la liste de contrôle d'accès à la ressource, à la place du compte du propriétaire. En cas d'héritage, c'est l'identifiant du compte propriétaire d'origine qui est placé dans la liste de contrôle d'accès à la ressource. Service Réseau (Network Service) Comprend toute personne accédant via le réseau à une ressource locale de l'ordinateur. Attention le groupe Interactif ne fait pas partie de ce groupe. Il identifie un accès réseau sur une ressource et bob une ouverture de session. Appel Entrant (Dialup) Comprend toute personne accédant au système via une connexion distante. Ce groupe est particulièrement intéressant pour contrôler l'accès des utilisateurs sur vos connexions entrantes. Batch (Batch) GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 69/75 06/03/08
    • Comprend tout utilisateur qui sollicite la file d'attente des tâches planifiées. Les comptes associés aux programmes lancés par le planificateur de tâches appartiennent à ce groupe. Identificateur de sécurité (S-1-5-3) Contrôleurs de domaine d'Entreprise (Enterprise Dornain Controllers) Comprend tous les contrôleurs de domaine de la forêt qui utilisent Active Directory. Identificateur de sécurité (S-1-5-9) Autre organisation (Other Organization) Permet de contrôler les accès d'utilisateurs provenant de domaines ou forêt externes lorsqu'ils sollicitent un service du système. Identificateur de sécurité (S-1-5-1 000) Soi-même (Self ou Principal Self) Lorsque ce groupe est ajouté dans la liste de contrôle d'accès d'une ressource, les autorisations octroyées à celui-ci sont transposées (placeholder) vers l'identifiant associé à l'objet utilisateur, groupe ou ordinateur qui accède à la ressource. Service (Service ou Local Service) Comprend tous les identifiants principaux de sécurité qui sollicitent ou exécutent un processus du système en tant que service. Identificateur de sécurité (S-1-5-6) Système (System ou Local System) Ce n'est pas un groupe mais le compte du système local. De nombreuses ressources ou fonctionnalités de l'ordinateur ne sont accessibles que via ce compte (Clé du registre, Dossiers spéciaux, etc.). Il est fortement déconseillé de retirer ce compte des listes de contrôle dans lesquelles il est inscrit par défaut. Utilisateurs de Terminal Server (Terminal Server Users) Comprend tous les utilisateurs connectés aux services Terminai Server et Bureau à distance. Ce groupe est inclus dans le groupe Interactif. d. Création de groupes Pour créer des groupes au niveau d'un domaine, vous devez utiliser la console Utilisateurs et ordinateurs Active Directory. Le composant Utilisateurs et groupes n'apparaît plus dans la console Gestion de l'ordinateur sur un contrôleur de domaine. Vous pouvez spécifier un nom différent pour une utilisation de ce groupe sur une machine antérieure à Windows 2000 (c'est le seul nom répliqué vers les contrôleurs secondaires de domaine NT4.0, en mode mixte ou intérim). Ce nom est obligatoire, quel que soit le mode fonctionnel du domaine. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 70/75 06/03/08
    • Si le domaine est en mode natif Windows 2000 ou Windows 2003, vous pouvez modifier à tout moment le type de groupe. Vous pouvez aussi modifier son étendue : - Passer d'un groupe global à un groupe universel suppose que le groupe global ne soit pas membre d'un autre groupe global. En effet, un groupe global ne peut contenir un groupe universel. - Passer d'un groupe local de domaine à un groupe universel suppose que le groupe local ne contienne pas d'autres groupes locaux, car un groupe universel ne contenir de groupes locaux. L’onglet Membres permet de visualiser, d'ajouter ou de supprimer des comptes d'utilisateurs ou d'ordinateurs a ce groupe. Vous pouvez aussi ajouter un utilisateur dans un groupe en passant par les propriétés de l'utilisateur, puis en utilisant l'onglet « Membre de ». L’onglet Membre de permet d'afficher la liste des groupes dont il fait partie. Par ce biais VOUS pouvez aussi insérer le groupe dans un autre groupe. L’onglet Géré par permet d’indiquer la personne ou le groupe chargés de gérer le groupe. Un utilisateur peut donc, grâce à cet onglet, connaître par exemple le numéro de téléphone de la personne responsable du groupe, et ainsi la contacter en cas de problème. Pour connaître le(s) groupe(s) d'appartenance d'un utilisateur, vous pouvez également utiliser l'outil DSGET en ligne de commande : DSGET USER NomUtilisateur - memberof e. Actions sur un groupe Rechercher un groupe Si vous disposez de beaucoup de groupes dans une structure complexe d'unités organisationnelles, il peut être intéressant de rechercher un groupe particulier dans toute la base Active Directory, dans le but de l'administrer. Vous pouvez également utiliser les requêtes enregistrées dans la rubrique Requêtes sauvegardées. Suppression d’un groupe La suppression d'un groupe n'entraîne pas la suppression des comptes membres de celui-ci (heureusement). Les droits et permissions associés à ce groupe sont supprimés. Dès que vous créez un groupe, un identifiant de sécurité (SID) lui est associe. Ce SID est unique et ne peut être réutilisé. Par conséquent, si vous supprimez un groupe et que vous en créez un autre possédant le même nom, un nouveau SID sera associé à ce groupe. Les Permissions de l'ancien groupe ne seront donc pas appliquées au nouveau groupe. Renommer un groupe Lorsque vous renommez un groupe, vous changez le nom du groupe mais le SID associé reste le même. Les membres de ce groupe sont conservés et peuvent donc continuer à utiliser les ressources pour lesquelles ils possèdent les permissions du groupe. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 71/75 06/03/08
    • Pour renommer un groupe, sélectionnez le groupe en question puis utilisez le menu Action - Renommer ou le menu contextuel. Vous pouvez également employer la touche [F2] ou cliquer de nouveau sur la sélection puis modifier le nom affiché. Dans ce cas, une fenêtre s'ouvre pour modifier éventuellement le nom NetBIOS du groupe. 2.4 Profils d'utilisateurs et répertoire de base a. Profils d'utilisateurs Profils d'utilisateurs locaux Un profil d'utilisateur local est un fichier stocké localement dans un dossier portant le nom d'ouverture de session de l'utilisateur. Il est stocké sous le répertoire Documents and Settings. Lorsqu’aucun profil itinérant n'existe pour un utilisateur sur un serveur, un nouveau dossier du nom de l'utilisateur est créé localement par duplication du modèle de profil Default User. L'environnement de l'utilisateur est alors construit en ajoutant les informations contenues dans All Users. Tous les changements réalisés par l'utilisateur sont enregistrés sous le nouveau profil de l'utilisateur, le profil initial Default User restant inchangé. Dans chaque dossier, on retrouve l’environnement de l'utilisateur. Le fichier de profil s'appelle ntuser.dat. Grâce à cette notion de profil, un utilisateur retrouve son environnement (couleurs du fond d'écran, personnalisation du menu Démarrer) à chaque ouverture de session. Si un utilisateur dispose d'un même nom de compte pour se connecter en local et un domaine, deux dossiers différents sont créés. En réalité, lors de l'ouverture session, le système tente de créer un dossier portant le nom de l'utilisateur. Si un dossier de même nom existe déjà, le système ajoute le nom du fournisseur de sécurité (domaine ou machine locale) en tant qu'extension. Le profil de l'utilisateur est lié à son dossier au moment de la création. Pour associer un autre profil à un utilisateur existant, vous devez procéder à une copie du dossier existant vers celui de l'utilisateur choisi. Pour cela, utilisez le bouton Copier vers disponible dans la gestion des profils utilisateur des propriétés du système. De la même manière, lorsque le lien entre le profil et le fournisseur de sécurité n’est pas possible (compte supprimé ou problème de connexion), le nom indique Compte inconnu. Profils d'utilisateurs itinérants Dans la notion de profil local, l'utilisateur retrouvera son environnement uniquement s'il ouvre une session sur la machine où il a configuré son environnement. Dans bon nombre de réseaux, les utilisateurs se déplacent de poste en poste. II paraît alors intéressant de pouvoir récupérer son profil, quelle que soit la machine à partir de laquelle on se connecte. Ceci est possible en configurant des profils itinérants. Lorsqu'un utilisateur ouvre une session, le système télécharge automatiquement son profil itinérant. Avant cela, le système compare ce dernier avec le profil se trouvant éventuellement sur la machine à partir de laquelle l'utilisateur essaie d'ouvrir une session. Seules les modifications GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 72/75 06/03/08
    • apportées au profil seront téléchargées, afin d'accélérer le processus d'ouverture de session. Cette fenêtre est accessible via les propriétés du Poste de travail ou I'icône Système du Panneau de configuration. Sélectionnez ensuite l'onglet Avancé puis le bouton Paramètres dans le cadre Profil des utilisateurs. Par cette fenêtre, vous pouvez copier un profil utilisateur vers un autre afin de remplacer ce dernier, ou encore copier un profil utilisateur dans le modèle de profil par défaut. Pour cela, cliquez sur le bouton Copier dans pour faire apparaître la fenêtre suivante : Entrez le chemin vers lequel vous souhaitez copier ce profil, puis pensez à indiquer qui a le droit d'utiliser ce profil (Autorisé à utiliser). Pour modifier le type d'un profil itinérant en profil local (et non l'inverse), cliquez sur le bouton Modifier le type. b. Répertoire de base Le répertoire de base d'un utilisateur est son dossier d'accueil. Ce répertoire de base peut être un chemin local ou un chemin réseau. L'intérêt d'un chemin réseau est qu'un utilisateur pourra enregistrer ses données dans son répertoire de base, quelle que soit la station sur laquelle il a ouvert une session. De plus, les opérations de sauvegarde seront facilitées. Si vous utilisez une partition NTFS pour héberger les répertoires de base, il est alors possible d'utiliser la variable %username% pour créer automatiquement le répertoire de base de l'utilisateur, en s'appuyant sur son nom d'ouverture de session. De plus, l’utilisateur aura un accès exclusif à son répertoire de base. Les permissions NTFS sont automatiquement positionnées lors de la création du répertoire. Dans cet exemple, nous avons créé sur le serveur Aragorn, un répertoire nommé Home, partagé en contrôle total pour le groupe Tout le monde. La variable %username% créera automatiquement le répertoire propre à l'utilisateur sous le répertoire Home. Ainsi, si Home a été créé sur une partition NTFS, seul l'utilisateur aura accès à son propre répertoire de base. Dans l'affichage des propriétés, la variable %username% est remplacée par le nom de l'utilisateur mais elle est cependant mémorisée et sera automatiquement adaptée lors d'une copie de compte d'utilisateur. 3. Gestion des comptes d'ordinateur dans un domaine Tout comme les utilisateurs, les ordinateurs doivent aussi avoir un compte créé dans Active Directory. Ce compte est utilisé pour publier certaines informations (comme l'emplacement d'une imprimante partagée) mais aussi pour la sécurité. Les ordinateurs fonctionnant sous un système de la famille Windows 9X (95-98- Millennium Edition et son remplaçant XP Home), n'ont pas de fonctionnalités de sécurité comme les stations NT, 2000, 2003 ou XP Professional et ne nécessitent donc pas de comptes d'ordinateurs. 3.1 Canal sécurisé de communication GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 73/75 06/03/08
    • Quand un ordinateur NT-2000-2003-XP se connecte sur le réseau, le service NetLogon crée un canal sécurisé de communication avec le service NetLogon du contrôleur de domaine. Ce canal est créé lorsque les deux éléments ont réussi à s'authentifier mutuellement. Cette authentification s'effectue grâce aux comptes d'ordinateurs. Une fois ce canal établi, la session de communication entre les deux machines peut commencer. Le canai est sécurisé par l’intermédiaire d'un mot de passe, stocké avec le compte d’ordinateur dans Active Directory. Sous Windows 2003, ce mot de passe est changé tous les 30 jours par défaut. Si celui-ci ne correspond pas à la version stockée sur l'ordinateur local, il n'y a pas d'authentification possible et il faut alors réinitialiser manuellement le compte d'ordinateur. 3.2 Gestion des comptes d'ordinateur a. Ajout d'un compte d'ordinateur Les comptes d'ordinateurs peuvent être ajoutés de façon automatique à l'installation de la station ou du serveur, ou manuellement dans Active Directory. Par défaut, les comptes d'ordinateurs sont créés dans le conteneur Computers pour les ordinateurs membres, et dans I'OU Domain Controllers pour les contrôleurs de domaine. Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur le conteneur ou I'OU dans lequel vous voulez créer un compte d'ordinateur. Dans le menu contextuel, sélectionnez Nouveau - Ordinateur. Entrez le nom de l'ordinateur. b. Ajout d'un ordinateur a un groupe Les ordinateurs, comme les utilisateurs et les groupes, peuvent être membres d'un groupe. Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, sélectionnez Propriétés. Dans l'onglet Membre de, sélectionnez Ajouter. Ajoutez le groupe voulu. c. Déplacement d'un compte d'ordinateur Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, sélectionnez Déplacer. Dans la fenêtre Déplacer, sélectionnez le conteneur ou l'OU de destination. d. Réinitialisation d'un compte d'ordinateur Réinitialiser un compte d’ordinateur coupe toute connexion avec le contrôleur de domaine. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 74/75 06/03/08
    • Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, sélectionnez Réinitialiser le compte. e. Désactivation d'un compte d'ordinateur Désactiver un compte d'ordinateur coupe toute connexion avec le contrôleur de domaine, ce qui empêchera toute authentification sur le domaine. Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, sélectionnez Désactiver le compte. Pour réactiver le compte : Dans la console Utilisateurs et ordinateurs Active Directory, réalisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, sélectionnez Activer le compte. GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 75/75 06/03/08