Upload
yassine-wannessi
View
227
Download
0
Embed Size (px)
Citation preview
8/9/2019 Administration Windows Server 2003
1/177
1
Enseignant: A. BenKhalifaA.U: 2014/2015
Ecole: ESTI
Module: Administration Windows Server 2003
8/9/2019 Administration Windows Server 2003
2/177
Plan
Introduction lenvironnement Windows Server 2003
Etapes dinstallation de Windows Server 2003
Prsentation du service dannuaire (Active Directory)
Configuration du service DNS
Gestion des comptes dutilisateur et dordinateur
Gestion dordinateur
Base de registre
Gestion daccs aux ressources
Stratgie de scurit (locale/groupe) 2
8/9/2019 Administration Windows Server 2003
3/177
Dfinitions
Windows Server 2003 est un systme dexploitation orient serveur dvelopp
par Microsoft.
Un serveur informatique est un dispositif informatique matriel ou logiciel qui
offre des services, diffrents clients. Les services les plus courants sont :
Le partage de fichiers
L'accs aux informations du World Wide Web
Le courrier lectronique
Le partage d'imprimantes Le stockage en base de donnes
Les serveurs sont utiliss par les entreprises, les institutions et les oprateurs de
tlcommunication. Ils sont courants dans les centres de traitement de donnes
et le rseau Internet Prsent le 24 avril 2003 comme le successeur de Windows Server 2000,
Windows Server 2003 est considr par Microsoft comme tant la pierre
angulaire de la ligne de produits serveurs professionnels Windows Server System.
Une version volue intitule Windows Server 2003 R2 a t finalise le 6
dcembre 2005. Son successeur, Windows Server 2008 est sorti le 4 fvrier 2008.3
8/9/2019 Administration Windows Server 2003
4/177
Evolutions de la famille Windows
Serveurs
Grand Public
Professionnel
Embarqu
1999 200
2/20032000
8/9/2019 Administration Windows Server 2003
5/177
La famille Windows Server 2003 R2
5
Windows Server 2003 Windows Server 2003 R2
8/9/2019 Administration Windows Server 2003
6/177
Gamme Windows Server 2003
Windows Server 2003Windows 2000
Serveur dapplications critiques qui ncessitent
les plus hauts niveau de performances et de
disponibilit (bases de donnes, progiciels de
gestion intgre, traitement en temps rel de
transactions en gros volume et consolidation
de serveurs )
Serveur dinfrastructure dentreprise et d
applications (DC, mise en cluster, services Web)
Pour les organisations moyennes et grandes
Destin aux petites entreprises et auxdpartements en tant que contrleurs dedomaine et serveurs membres
Spcifique pour le dveloppement et le
dploiement des services et applications Web.
Serveur tout en un
Pour les PME de moins de 50 postes
32 et
64 bits
32 et
64 bits
6
8/9/2019 Administration Windows Server 2003
7/177
Configurations minimales requises
Web Edition Standard
Edition
Enterprise
Edition
Datacenter
Edition
Processeurs >133 MHz
Max 2processeurs
>133 MHz
Max 4processeurs
>133 MHz
>733 MHz type
Itanium
Max 8processeurs
>400 MHz
>733 MHz type
Itanium
Max 64Processeurs
Mmoire
vive
Min 128Mo
Rec 256Mo
Max 2Go
Min 128Mo
Rec 256Mo
Max 4Go
Min 128Mo
Rec 256Mo
Max 32Go X86
Max 64Go
Itanium
Min 512Mo
Rec 1Go
Max 32Go X86
Max 512Go
Itanium
Disque dur 1,5 Go 1,5 Go 1,5 Go2 Go Itanium
1,5 Go
2 Go Itanium
Support 64
bits
Non Non Oui Oui
7
8/9/2019 Administration Windows Server 2003
8/177
Rles des serveurs
Contrleur de domaine
Serveur
de fichiers
Serveur d'impression
Serveur DNS
Serveur
d'applications
Serveur
Terminal
Server .8
8/9/2019 Administration Windows Server 2003
9/177
Un serveur peut jouer diffrents rles Contrleur de Domaine (Domain Controllerou DC) dans un domaine
avec Active Directory)
Serveur Membre (dans un domaine mais sans AD)
Serveur Autonome (hors domaine, en groupe de travail workgroup -
et donc sans AD) Serveur de fichiers
Serveur dimpression
Serveur DNS (Domain Name System)
Serveur dapplications
Serveur Terminal Server .
9
Rles des serveurs
8/9/2019 Administration Windows Server 2003
10/177
Administration Windows Server 2003
Administrationdes systmes dansWindows Server 2003
Grer les
utilisateurs,
les ordinateurs et
les groupes
Grer la
stratgie de
groupe
Grer lesressources
et la
scurit
Configurer
et grer le
systme DNS
Grer les serveurs
distants
Implmenter
SUS
Grer la
rcupration
d'urgence
Grer les services
Terminal Server
Grer IIS 6.0
10
8/9/2019 Administration Windows Server 2003
11/177
Liste des tches vrifier avant l'installation
Vrifiez que tous vos lments matriels figurent sur la liste HCL
Vrifiez que vos ordinateurs rpondent la configuration systme
minimale requise
Vrifiez que Windows 2003 est install sur un disque dur de 4 Go au
minimumSlectionnez le systme de fichiers pour la partition sur laquelle
vous allez installer Windows 2003
Slectionnez le mode de licence pour Windows 20003 Server
Dterminez le nom du domaine ou du groupe de travail
Vrifiez qu'un compte d'ordinateur existe dans le domaine auquel vous
adhrez ou que vous tes habilit en crer un pendant l'installation
Dfinissez un mot de passe pour le compte Administrateur de
l'ordinateur local
Slectionnez le systme d'exploitation Windows 2003 installer
11
8/9/2019 Administration Windows Server 2003
12/177
Installation de Windows 2003 Server partir d'un CD-ROM
Excution du programme d'installation
Excution de l'Assistant Installation
Installation des composants rseau
Configuration du serveur
12
8/9/2019 Administration Windows Server 2003
13/177
Excution du programme dInstallation
Dmarrez l'ordinateur partir du CD-ROM
Slectionnez l'option permettant d'installer
une nouvelle copie de Windows 2003
Lisez et acceptez le contrat de licence
Slectionnez la partition sur laquelle voussouhaitez installer Windows 2003
Slectionnez un systme de fichiers
Pour excuter le programme d'installation
13
8/9/2019 Administration Windows Server 2003
14/177
Excution de l'Assistant Installation
Modifiez les paramtres rgionaux
(si ncessaire)
Entrez votre nom et celui de votre socit
Choisissez un mode de licence
Entrez le nom de l'ordinateur et le mot de
passe du compte Administrateur local
Slectionnez les composants facultatifs de
Windows 2003
Pour excuter l'Assistant Installation
Slectionnez les paramtres de date, heure
et fuseau horaire
14
8/9/2019 Administration Windows Server 2003
15/177
8/9/2019 Administration Windows Server 2003
16/177
8/9/2019 Administration Windows Server 2003
17/177
17
8/9/2019 Administration Windows Server 2003
18/177
18
8/9/2019 Administration Windows Server 2003
19/177
19
8/9/2019 Administration Windows Server 2003
20/177
20
8/9/2019 Administration Windows Server 2003
21/177
21
8/9/2019 Administration Windows Server 2003
22/177
22
8/9/2019 Administration Windows Server 2003
23/177
23
8/9/2019 Administration Windows Server 2003
24/177
24
8/9/2019 Administration Windows Server 2003
25/177
25
8/9/2019 Administration Windows Server 2003
26/177
26
8/9/2019 Administration Windows Server 2003
27/177
27
8/9/2019 Administration Windows Server 2003
28/177
28
8/9/2019 Administration Windows Server 2003
29/177
29
8/9/2019 Administration Windows Server 2003
30/177
30
8/9/2019 Administration Windows Server 2003
31/177
31
8/9/2019 Administration Windows Server 2003
32/177
32
8/9/2019 Administration Windows Server 2003
33/177
8/9/2019 Administration Windows Server 2003
34/177
34
8/9/2019 Administration Windows Server 2003
35/177
35
8/9/2019 Administration Windows Server 2003
36/177
36
8/9/2019 Administration Windows Server 2003
37/177
37
8/9/2019 Administration Windows Server 2003
38/177
38
8/9/2019 Administration Windows Server 2003
39/177
39
8/9/2019 Administration Windows Server 2003
40/177
40
8/9/2019 Administration Windows Server 2003
41/177
41
8/9/2019 Administration Windows Server 2003
42/177
42
8/9/2019 Administration Windows Server 2003
43/177
43
8/9/2019 Administration Windows Server 2003
44/177
44
8/9/2019 Administration Windows Server 2003
45/177
45
Description des outils d'administration
8/9/2019 Administration Windows Server 2003
46/177
Description des outils d administration
Outils d'administration couramment utiliss : Gestion de l'ordinateur
Bureaux distance
DNS
Utilisateurs et ordinateurs Active Directory
Domaines et approbations Active Directory
Sites et services Active Directory
Les outils dadministration permettent la gestion des serveurs distance.
Ils peuvent tre installs sur nimporte quelle machine sous Windows
2003 par lintermdiaire de adminpak.msi qui se trouve dans le dossieri386 du CD ROM dinstallation du systme.
Installation des outils d'administration
8/9/2019 Administration Windows Server 2003
47/177
Installation des outils d administration
\i386\Adminpak.msi
.
8/9/2019 Administration Windows Server 2003
48/177
8/9/2019 Administration Windows Server 2003
49/177
Procdure de cration d'une console MMC personnalise
8/9/2019 Administration Windows Server 2003
50/177
Procdure de cration d une console MMC personnalise
.
Afin de pouvoir crer une MMCpersonnalise, il vous suffit de suivre la
procdure suivante :
Allez dans le menu Dmarrer / Excuter.
Tapez MMC, puis Entrer.
Dans le menu console, slectionnez
Ajouter/Supprimer un composant logiciel
enfichable.
Cliquez ensuite sur Ajouter et slectionnez le
composant que vous souhaitez ajouter
votre console
8/9/2019 Administration Windows Server 2003
51/177
ADS: Notions de base
8/9/2019 Administration Windows Server 2003
52/177
ADS: Notions de base
Active Directory (AD) est un service d'annuaire LDAP (Lightweight Directory
Access Protocol):
permet une gestion centralise des objets offre la possibilit dadministrer (ajouter, retirer et de localiser) les ressources facilement
dun point unique.
permet de grer le stockage des millions dobjets grce son moteur de base de
donnes (fichier NTDS.DIT) de type ESE (Extensible Storage Engine).
utilise DNS pour nommer et localiser des ressources La structure dActive Directory est hirarchique, elle se dcompose comme suit :
Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur
ou un compte utilisateur ou un groupe ou une imprimante.
Unit organisationnelle (OU) : un objet conteneur utilis pour organiser les objets au
sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs,des groupes, des ordinateurs, des imprimantes ainsi que dautres units
dorganisation. Les units dorganisation permettent dorganiser de faon logique les
objets de lannuaire (ex : reprsentation physique des objets ou reprsentation
logique). Les units dorganisation permettent aussi de faciliter la dlgation de
pouvoir selon lorganisation des objets.
52
ADS: Notions de base
8/9/2019 Administration Windows Server 2003
53/177
ADS: Notions de base
La structure dActive Directory est hirarchique, elle se dcompose
comme suit :
Domaine: Dans Active Directory, un domaine est lensemble d'objets ordinateur,utilisateur et groupe dfini par l'administrateur. Ces objets partagent une base de
donnes d'annuaire, des stratgies de scurit et des relations de scurit communes
avec d'autres domaines.
Un domaine est scuris, cest dire que laccs aux objets est limit par des ACL (Access
Control List). Les ACL contiennent les permissions, associes aux objets, qui
dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder.
Toutes les stratgies de scurit et les configurations ne se transmettent pas dun
domaine lautre
Arbre: cest un groupement ou un arrangement hirarchique dun ou plusieurs
domaines Windows 2003 qui partagent des espaces de noms contigus (par
exemple:administration.supinfo.com, comptabilit.supinfo.com, ettraining.supinfo.com). Tous les domaines dun mme arbre partagent le mme
schma commun et partagent un catalogue commun.
53
ADS: Notions de base
8/9/2019 Administration Windows Server 2003
54/177
ADS: Notions de base
La structure dActive Directory est hirarchique, elle se dcompose comme suit :
Foret: cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres
qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com).
Tous les arbres dune fort partagent le mme schma commun et le mme catalogue,mais ont des structures de noms diffrentes.
La fort reprsente un ensemble de domaine lis entre eux par des relations dapprobation
bidirectionnelles et transitives
Elle est caractrise par la prsence dun domaine dit Racine quivalent au premier domaine
install dans la fort.
Les domaines dune fort fonctionnent indpendamment les uns des autres, mais les forts
permettent la communication dun domaine lautre.
Sites: combinaison dune ou plusieurs IP de sous-rseaux connects par des liens
hauts dbits. Ils ne font pas partie dun espace de nommage dActive Directory, et ils
contiennent seulement les ordinateurs, les objets et les connexions ncessaires pour
configurer la rplication entre sites. Ils permettent dintgrer la topologie physique du
rseau dans Active Directory 54
ADS: Notions de base
8/9/2019 Administration Windows Server 2003
55/177
ADS: Notions de base
Contrleur principal de domaine (CPD): dans une fort Active Directory,
un contrleur de domaine est un serveur contenant une copie
inscriptible de la base de donnes Active Directory et contrlant l'accsaux ressources rseau.
Contrleur secondaire de domaine supplmentaire (CSD): Il sagit dun
contrleur de domaine qui reoit une copie en lecture seule de la base
de donnes de l'annuaire pour le domaine. Cette dernire contient
toutes les informations sur les comptes et les stratgies de scurit dudomaine. En cas de non disponibilit du CPD, un CSD (le premier qui
rpond) est promu CPD, Quand lancien CPD est a nouveau disponible, il
est automatiquement rtrograd en CSD
Relation dapprobation: On peut tablir des relations entre les
domaines : on parle de relation dapprobations. Si un domaine A
approuve un domaine B, les utilisateurs du domaine B sont autoriss
se loguer sur les stations du domaine A . On dit que le domaine A est
autoris approuver et que le domaine B est approuv. Une telle
relation peut tre rciproque 55
Terminologie Active Directory
8/9/2019 Administration Windows Server 2003
56/177
Fort
arbre
domaine
a.univ-lyon1.fr
1.a.univ-lyon1.fr
2.a.univ-lyon1.fr
z.1.a.univ-lyon1.fr y.1.a.univ-lyon1.fr
Relation dapprobationimplicite, bidirectionnelle et
transitive : permet aux utilisateurs du domaine
z.1.a.univ-lyon1.fr de se loguer sur les machines de
1.a.univ-lyon1.fr et inversement.
Conteneur ou Unit
Organisationnelle: Contient des
objets (utilisateurs, ordinateurs
ou groupe dutilisateurs) du
domaine pour lesquels on peut
appliquer des rgles spcifiques.
g y
56
ADS: Catalogue global
8/9/2019 Administration Windows Server 2003
57/177
Un catalogue global est un contrleur de domaine contenant une copie de tous les
objets Active Directory d'une fort. Il stocke une copie complte de tous les objets de
l'annuaire de son domaine hte, ainsi qu'une copie partielle de tous les objets des autresdomaines de la fort.
ADS: Catalogue global
57
Les copies partielles des objets de domaine qui sont prsentes dans le catalogue
global regroupent les attributs auxquels font appel les utilisateurs le plus frquemment
lors des oprations de recherche
Un catalogue global est cr automatiquement
sur le premier contrleur de domaine de la fort
Pour ajouter ou supprimer manuellement des
attributs d'objet dans le catalogue global, utilisez le
composant logiciel enfichable Schma Active
Directoryou Run->schmmgmt.msc
Pour activer/dsactiver le catalogue global, il faut
utiliser Sites et services Active Directoryou Run-
>dssite.msc
ADS: Les Utilisateurs
8/9/2019 Administration Windows Server 2003
58/177
Les Comptes dutilisateurs permettent aux utilisateurs daccder aux
ressources du rseau. Ils sont associs un mot de passe
fonctionnent dans un environnement dfini (machine locale ou domaine).
Un utilisateur disposant dun compte de domaine pourra sauthentifier
sur toutes les machines du domaine (sauf restriction explicite de
ladministrateur).
Un utilisateur disposant dun compte local ne pourra sauthentifier que
sur la machine o est dclar le compte.
Compte local : Les informations de comptes dutilisateurs sont stockes
localement sur les machines hbergeant les ressources rseau. Compte de domaine : Les informations de comptes sont centralises sur
un serveur, dans lannuaire des objets du rseau. Si une modification doit
tre apporte un compte, elle doit tre effectue uniquement sur le
serveur qui la diffusera lensemble du domaine.58
ADS: Les Utilisateurs
8/9/2019 Administration Windows Server 2003
59/177
Un login doit obligatoirement tre unique dans son domaine.
Il y a une nomenclature de cration de login Une fois le compte cr, il suffit de le placer dans lunit dorganisation
correspondant au dpartement de lutilisateur.
A la cration dun utilisateur, il est possible de spcifier un certain nombre
de proprits concernant la gestion des mots de passe :
Lutilisateur doit changer de mot de passe la prochaine ouverture de
session : cette option permet de dfinir un mot de passe temporaire lors de
la cration dun compte ou de la rinitialisation du mot de passe et dobliger
ensuite lutilisateur le modifier.
Lutilisateur ne peut pas changer de mot de passe : cette option permet debloquer la fonctionnalit de modification de mot de passe.
Le mot de passe nexpire jamais : particulirement utile pour les comptes de
service, cette option permet de sassurer que le compte en question ne soit
pas assujetti aux rgles de stratgie de compte.
Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer59
ADS: Les Groupes
8/9/2019 Administration Windows Server 2003
60/177
Les groupes permettent de simplifier la gestion de laccs des utilisateurs
aux ressources du rseau.
Les groupes permettent daffecter en une seule action une ressource unensemble dutilisateurs
Un utilisateur peut tre membre de plusieurs groupes.
Dans lAD, on peut trouver :
Les groupes de scurit: leurs membres sont susceptibles de se voir attribuerdes autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes
de distribution..
Les groupes de distribution: exploitables entre autres via un logiciel de
messagerie. Ils ne permettent pas daffecter des permissions sur des
ressources aux utilisateurs Les deux types de groupes dans Active Directory grent chacun 3 niveaux
dtendue.
Groupe tendue globale
Groupe tendue de domaine local
Groupe tendue universelle 60
ADS: Les Groupes globaux
8/9/2019 Administration Windows Server 2003
61/177
Mode mixte Mode natif
Membres Comptes dutilisateurs du
mme domaine
Comptes dutilisateurs et groupes
globaux du mme domaine
Membres de Membres de Groupes locaux
du mme domaine
Groupes locaux de domaines
Etendue Visibles dans leur domaine et dans tous les domaines approuvs
Autorisations Tous les domaines de la fort
61
ADS: Les Groupes domaines locaux
8/9/2019 Administration Windows Server 2003
62/177
Mode mixte Mode natif
Membres Comptes dutilisateurs de tout
domaine
Comptes dutilisateurs, groupes
globaux et groupes universels dun
domaine quelconque de la fort, et
groupes de domaine local du
mme domaine
Membres de Membres daucun groupe Groupes de domaine local du
mme domaine
Etendue Visibles dans leur propre domaine
Autorisations Le domaine dans lequel le groupe de domaine local existe
62
ADS: Les Groupes universels
8/9/2019 Administration Windows Server 2003
63/177
Mode mixte Mode natif
Membres Non utilisables Comptes dutilisateurs, groupes
globaux et autres groupes
universels dun domaine
quelconque de la fort.
Membres de Non utilisables Groupes de domaine local et
universels de tout domaine.
Etendue Visibles dans tous les domaines de la fort
Autorisations Tous les domaines de la fort
63
Stratgie d'utilisation des groupes
8/9/2019 Administration Windows Server 2003
64/177
64
A G DL P
A G G DL P
A G U DL P
A G G U DL P
With: A: Accounts
G: Global
DL: Domain Local
U: Universal P: Permissions
C G DL A
C G G DL A
C G U DL A
C G G U DL A
Avec: C: Comptes
G: Global
DL: Domaine Local
U: Universel A: Autorisations
Anglais Franais
ADS: Les Groupes par dfaut
8/9/2019 Administration Windows Server 2003
65/177
Les groupes par dfaut possdent des droits et des autorisations
prdfinis qui permettent de faciliter la mise en place dunenvironnement scuris.
Ainsi un certain nombre de rles courants sont directement applicables
en rendant membre du groupe par dfaut adquat lutilisateur qui lon
souhaite donner des droits ou autorisations.
Ces groupes et les droits qui leurs sont associs sont crs
automatiquement.
65
ADS: Les Groupes par dfaut
8/9/2019 Administration Windows Server 2003
66/177
Dans un serveur membre voici les rles et les proprits de certains
dentre eux :
AdministrateursPleins pouvoirs sur le serveur. Lorsquun serveur est ajout au
domaine, le groupe Admins du domaine est ajout ce groupe.
InvitsUn profil temporaire est cr pour lutilisateur que lon place dans ce
groupe.
Utilisateurs avec
pouvoir
Privilges d'administration non relatifs aux domaines:
Peut crer des comptes utilisateurs et les grer.
Peut crer des groupes locaux et les grer.
Peut crer des ressources partages.
Utilisateurs Peut lancer des applications, utiliser les imprimantes.
Oprateurs
dimpressionPeut grer les imprimantes et les files dattentes
66
ADS: Les Groupes par dfaut
8/9/2019 Administration Windows Server 2003
67/177
Dans Active directory les groupes par dfauts sont dans Builtin et Users
Oprateurs de
compteLes membres de ce groupe peuvent grer les comptes utilisateurs.
Oprateurs de
serveur
Les membres de ce groupe peuvent administrer les serveurs du
domaine.
Contrleurs de
domaine
Ce groupe contient tous les comptes dordinateurs des
contrleurs de domaine.
Invits du domaineLes membres de ce groupe vont bnficier dun profil
temporaire.
Utilisateurs du
domaine
Contient tous les utilisateurs du domaine. Tous les utilisateurs crs
du domaine sont membre de ce groupe
67
ADS: Les Groupes par dfaut
8/9/2019 Administration Windows Server 2003
68/177
Dans Active directory les groupes par dfauts sont dans Builtin et Users
Ordinateurs du
domaineCe groupe contient tous les ordinateurs du domaine
Administrateurs du
domaineCe groupe contient les utilisateurs administrateurs du domaine.
Administrateurs de
lentreprise
Ce groupe contient les administrateurs de lentreprise. Permet de
crer les relations dapprobations entre domaines.
Administrateurs du
schma
Ce groupe contient les utilisateurs capables de faire des
modifications sur le schma Active Directory.
68
ADS: Les Groupes par dfaut
8/9/2019 Administration Windows Server 2003
69/177
Les groupes systmes sont utiles dans le cas daffectations
dautorisations.
Anonymous Logon Reprsente les utilisateurs qui ne se sont pas authentifis.
Tout le monde Tous les utilisateurs se retrouvent automatiquement dans ce groupe.
Rseau Regroupe les utilisateurs connects via le rseau.
Utilisateurs
authentifis Regroupe les utilisateurs authentifis.
Crateur propritaire Reprsente lutilisateur qui est propritaire de lobjet.
69
Linstallation et la gestion de Active Directory
8/9/2019 Administration Windows Server 2003
70/177
Deux mthodes sont possibles pour installer Active Directory :
Utiliser l'utilitaire "Grer votre serveur" (Dmarrer>Tous lesprogrammes>Outils dadministration>Grer votre serveur) quisimplifie l'installation sans poser les questions les plus pointues.
Il installe et configure AD, DNS et DHCP pour un nouveaudomaine dans une nouvelle fort..
Utiliser l'assistant "dcpromo" (lanc en ligne de commande) quipermet de contrler tous les aspects de l'installation.
70
l'utilitaire "Grer votre serveur"
8/9/2019 Administration Windows Server 2003
71/177
Ajouter ou supprimer un rle.
Choix de la configuration pardfaut pour un premierserveur. Si "Configurationpersonnalise" est choisi,bascule sur dcpromo.
Choix du nom du
nouveau domaine.
Choix du nom
compatible NetBIOS.
Choix d'un ventuel
redirecteur DNS.
Confirmation
-> Dmarrage de l'installation
71
Lassistant dcpromo
http://raphaello.univ-fcomte.fr/_vti_bin/shtml.dll/W2K3/04-Installation/ActiveDirectory.htm/maphttp://raphaello.univ-fcomte.fr/_vti_bin/shtml.dll/W2K3/04-Installation/ActiveDirectory.htm/map8/9/2019 Administration Windows Server 2003
72/177
72
Lassistant dcpromo
8/9/2019 Administration Windows Server 2003
73/177
Choix du nom du domaine cr (nom complet)
Choix du nom du domaine NetBIOS pour compatibilit avec
les versions antrieures de Windows
Choix des emplacements de stockage des informations ADS
Dfinition du mot de passe administrateurpour le redmarrage en mode restauration ADS
Dbut de linstallation.
73
8/9/2019 Administration Windows Server 2003
74/177
Creating the first Windows Server 2003 Domain Controller in a domain
74
8/9/2019 Administration Windows Server 2003
75/177
Click Start -> Run
75
8/9/2019 Administration Windows Server 2003
76/177
Type "dcpromo" and click "OK"
76
8/9/2019 Administration Windows Server 2003
77/177
You will see the first window of the wizard. After this, click
"Next"
77
8/9/2019 Administration Windows Server 2003
78/177
8/9/2019 Administration Windows Server 2003
79/177
In this tutorial we will create a domain in a new forest, because it is
the first DC, so keep that option selected
79
8/9/2019 Administration Windows Server 2003
80/177
80
Now we have to think of a name for our domain.
Active Directory domains don't need to be "real" domains - they canbe anything you wish. So here we will create "visualwin.testdomain"
8/9/2019 Administration Windows Server 2003
81/177
Now in order to keep things simple, we will use the first part of our
domain ("visualwin"), which is the default selection, as the NetBIOS
name of the domain
81
8/9/2019 Administration Windows Server 2003
82/177
The next dialog suggests storing the AD database and log on
separate hard disks but for this tutorial we will just keep the defaults
82
8/9/2019 Administration Windows Server 2003
83/177
The SYSVOL folder is a public share.
Once again, we will keep the default selection but it can be changed
if you wish to use the space of another drive
83
8/9/2019 Administration Windows Server 2003
84/177
84
Now we will get a message that basically says that you will need a
DNS server in order for everything to work the way we want it (i.e.,
our "visualwin.testdomain" to be reachable). We will install the DNSserver on this machine as well, but it can be installed elsewhere. So
keep the default selection of "Install and configure", and click "Next"
8/9/2019 Administration Windows Server 2003
85/177
85
Because, after all, this is a Windows Server 2003 tutorial website,
we'll assume there are no pre-Windows 2000 servers that will be
accessing this domain, so keep the default of "Permissionscompatible only with Windows 2000 or Windows Server 2003
operating systems" and click "Next"
8/9/2019 Administration Windows Server 2003
86/177
The restore mode password is the single password that all
administrators hope to never use, however they should also never
forget it because this is the single password that might save a failedserver. Make sure it's easy to remember but difficult to guess
86
8/9/2019 Administration Windows Server 2003
87/177
Now we will see a summary of what will happen. Make sure it's allcorrect because changing it afterwards can prove to be difficult
87
8/9/2019 Administration Windows Server 2003
88/177
After the previous next was clicked, the actual process occurs. This
can take several minutes. It's likely that you will be prompted for
your Windows Server 2003 CD (for DNS) so have it handy
88
Rsultat de linstallation
8/9/2019 Administration Windows Server 2003
89/177
Aprs linstallation dActiveDirectory Service, un certainnombre doutilsd'administration sontdisponibles.
Aprs redmarrage, ADS esten fonctionnement pour lagestion de notre domaine.Le service DNS est lui aussien fonctionnement, mais il
n'est pas configur.
89
Configuration du service DNS
8/9/2019 Administration Windows Server 2003
90/177
Les tches raliser via le gestionnaire DNS sont:
Dfinition de zones de recherche directes pour les rsolutionnom IP -> adresse IP
Dfinition de zones de recherche inverses pour les rsolutions
adresse IP -> nom IP
90
Configuration de la zone directe
8/9/2019 Administration Windows Server 2003
91/177
Dclaration des nouvelles machines (htes) avec demande de
cration automatique du pointeur PTR associ.
91
8/9/2019 Administration Windows Server 2003
92/177
Reconfiguration des paramtres TCP/IP
8/9/2019 Administration Windows Server 2003
93/177
Reconfigurationdes paramtres
TCP/IP pour
intgrer le DNS
principal et nomdomaine choisi
comme premier
suffixe DNS
93
La gestion des utilisateurs, des groupes d'utilisateurs et desordinateurs du domaine
8/9/2019 Administration Windows Server 2003
94/177
Outil : utilisateurs et ordinateurs Active Directory.
Rundsa.msc
Cet outil ralise l'administration des utilisateurs, des groupesdutilisateurs et des ordinateurs d'un domaine (il leur est
attribu un compte).
94
La gestion des utilisateurs, des groupes d'utilisateurs et desordinateurs du domaine
8/9/2019 Administration Windows Server 2003
95/177
95
Utilisateurs et groupes dutilisateurs
du domaine
Groupes cres
linstallation
8/9/2019 Administration Windows Server 2003
96/177
Cration dun nouvel utilisateur
8/9/2019 Administration Windows Server 2003
97/177
97
8/9/2019 Administration Windows Server 2003
98/177
8/9/2019 Administration Windows Server 2003
99/177
Proprits dun utilisateur
8/9/2019 Administration Windows Server 2003
100/177
User02 User
User03 User
User04 User
User05 User
User06 User
User01 User
Use 01 Properties
Options d'ouverture de session
8/9/2019 Administration Windows Server 2003
101/177
Par dfaut
Copie de comptes d'utilisateur de domaine
8/9/2019 Administration Windows Server 2003
102/177
Copier un compte d'utilisateur de domaine pour simplifier leprocessus de cration d'un compte d'utilisateur de domaine
Compte
d'utilisateur
de domaine(Utilisateur2)
Utilisateur2Utilisateur1
Compte
d'utilisateur
de domaine(Utilisateur1)
Copie
Cration de modles de compte d'utilisateur
8/9/2019 Administration Windows Server 2003
103/177
Un modle de compte est un compte utilisateur gnrique contenant
Les informations communes tous les comptes ayant le mme rle dans
lentreprise. Une fois ce modle de compte cr (en utilisant la mme procdure que
nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration
dun nouveau compte correspondant au rle.
Ainsi le nouveau compte cr, hritera des proprits du modle.
Proprits maintenues lors de la copie du modle de compteLorsquun modle de compte est dupliqu, toutes les proprits ne sont pas copies.
La liste qui suit vous informe des proprits qui le sont : Onglet Adresse : Les informations sont copies, lexception de la proprit Adresse.
Onglet Compte : Les informations sont copies, lexception de la proprit Nom
douverture de session de lutilisateur qui est rcupr de lassistant de duplication de compte. Onglet Profil : Les informations sont copies, lexception des proprits Chemin du profil et
Dossier de base qui sont modifies pour reflter le changement de nom douverture de session.
Onglet Organisation : Les informations sont copies, lexception de la proprit Titre
Cration de modles de compte d'utilisateur
8/9/2019 Administration Windows Server 2003
104/177
Configurez un compte d'utilisateurcomme modle de compte
Crez un compte d'utilisateur encopiant le modle de compte
Profils d'utilisateur et rpertoire de base
8/9/2019 Administration Windows Server 2003
105/177
105
Profil dutilisateur : Le profil de lutilisateur, stock dans un rpertoire,contient tous les paramtres qui dfinissent lenvironnement utilisateur (bureau,
menu programmes, imprimantes, variables denvironnement, connexion rseau, fonddcran, rsolution dcran ). Il est compos de deux parties :
une partie commune tous les utilisateurs (non modifiable) stocke dans le
rpertoire \Documents and Settings\All Users,
une partie spcifique l'utilisateur (ventuellement modifiable) stocke dans un
rpertoire portant le nom de l'utilisateur sous \Documents and Settings.
Profil prdfini l'installation:
"Default User" (utilisateur par dfaut): Profil attribu tout utilisateur n'en
possdant encore aucun (Attribution ralise par cration d'une copie) profil
Le profil peut tre local (disponible sur une seule machine) ou errant (rseau ou
disponible sur toutes les machines du domaine).
Profil dutilisateur local: Profil stock uniquement localement. A chaquepremire ouverture de session dun utilisateur sur un ordinateur client du domaine,
un profil local est cr dans le dossier Documents and Settings ; ainsi lors de
louverture de session suivante lutilisateur retrouve la mme configuration du
bureau et ses fichiers de dossier My Documents . Ce type de profil nest viable
que si lutilisateur utilise toujours le mme ordinateur.
Profils d'utilisateur et rpertoire de base
8/9/2019 Administration Windows Server 2003
106/177
106
Profil dutilisateur itinrant (errant): La cration dun profil itinrantpermettra un utilisateur de retrouver un environnement de bureau identique et
personnalis sur tous les ordinateurs clients du domaine. Les informations
concernant les profils itinrants des utilisateurs seront stockes sur le contrleur
de domaine et charges travers le rseau chaque ouverture de session.
Remarque : pour rendre un profil obligatoire, cest a dire non modifiable, il suffit de
renommer le fichier ntuser.dat (contient tous les paramtres personnaliss de l'
utilisateur pour la plupart des logiciels installs sur l' ordinateur incluant Windowslui-mme et se trouve sous sous C:\Documents and Settings\) en
ntuser.man.
Rpertoire de base: Le rpertoire de base dun utilisateur est son dossierdacceuil. Ce rpertoire de base peut tre un chemin local ou un chemin rseau.
Un chemin rseau permet un utilisateur itinrant de centraliser ses donnes sur
le disque dur dun serveur de fichiers. Lutilisation de dossiers de base permet
lutilisateur daccder ses donnes depuis nimporte quel ordinateur du rseau,
tout en permettant de centraliser la sauvegarde et la gestion des fichiers
utilisateurs
Types de profils d'utilisateur
8/9/2019 Administration Windows Server 2003
107/177
Profil d'utilisateur par dfaut
Sert de base tous les profilsd'utilisateur
Profil d'utilisateur local
Cr la premire fois qu'unutilisateur ouvre une sessionsur un ordinateur
Stock sur le disque dur localde l'ordinateur
Profild'utilisateur
Affichage
Paramtresrgionaux
Souris
Profil d'utilisateuritinrant
Cr par l'administrateursystme
Stock sur un serveur
Profil d'utilisateurobligatoire
Cr par l'administrateursystme
Stock sur un serveur
Profil
Ordinateur clientWindows 2003
Ordinateur client
Windows 2003
Serveurde profils
Affichage
Paramtresrgionaux
Souris
Sons
Enregistrement
Ordinateur client
Windows 2003
Sons
Modification
107
Affectation d'un rpertoire de base et d'un profil itinrant unutilisateur
8/9/2019 Administration Windows Server 2003
108/177
Cration d'un rpertoire destin hberger les rpertoires de
base et les profils itinrants(Utilisateurs>Profils)
108
Affectation d'un rpertoire de base et d'un profil itinrant unutilisateur
8/9/2019 Administration Windows Server 2003
109/177
Partage de ce rpertoire (sous le nom Users) et configuration
des autorisations sur le rpertoire et sur le partage
109
Affectation d'un rpertoire de base et d'un profil itinrant unutilisateur
8/9/2019 Administration Windows Server 2003
110/177
Configuration de l'utilisateur concern dans l'onglet profil de
ses proprits au sein du gestionnaire des utilisateurs
110
Affectation d'un rpertoire de base et d'un profil itinrant unutilisateur
8/9/2019 Administration Windows Server 2003
111/177
Le gestionnaire des utilisateurs cre lui-mme le rpertoire de
base et lui affecte les permissions en limitant l'accs au seul
administrateur et l'utilisateur.
Montage automatique du rpertoire de base au niveau du
client.
111
Cration dun groupe
8/9/2019 Administration Windows Server 2003
112/177
Nom : unique
Etendue : sur le domaine local ou globalement
Type : groupe de scurit ou de distribution
112
Proprits dun groupe
8/9/2019 Administration Windows Server 2003
113/177
Paramtres gnraux,Membres,Groupes du domaine dont il
est membre,Utilisateur gestionnaire
113
Cration dun nouvel ordinateur
8/9/2019 Administration Windows Server 2003
114/177
Dfinir son nom (unique)
Possibilit de le dclarer en tant
que machine systme pr
Windows 2000 ou non
Possibilit de le dclarer en tant
que contrleur supplmentaire
ou en tant que membre simple
114
Joindre un ordinateur un domaine
8/9/2019 Administration Windows Server 2003
115/177
Onglet "Identification"
ou "Nom de
l'ordinateur"
du panneau de
configuration "Systme"
Ulysse membre du
Workgroup WK
115
Joindre un ordinateur un domaine
8/9/2019 Administration Windows Server 2003
116/177
116
Joindre un ordinateur un domaine
8/9/2019 Administration Windows Server 2003
117/177
117
Cration dun groupe d'ordinateurs
8/9/2019 Administration Windows Server 2003
118/177
Cration d'un nouveau groupe
118
Ajout des ordinateurs ce groupe
Gestion locale de lordinateur
8/9/2019 Administration Windows Server 2003
119/177
Outils:
"My computer"->Manage (Poste de travail->Grer)
Run->compmgmt.msc (Excuter->compmgmt.msc)
119
Le gestionnaire d'ordinateur prend en charge un certain nombre des options
de configuration locales de l'ordinateur
Trois entres principales:
Outils sytme, stockage et
services et applications
Gestion locale de lordinateur- Utilisateurs/groupes locaux
8/9/2019 Administration Windows Server 2003
120/177
120
Permet de grer les comptes dutilisateurs et groupes locaux de la machine. Si lordinateur est
un contrleur de domaine, cet lment est masqu car la console est remplace par Utilisateurs
et ordinateurs Active Directory.
Gestion locale de lordinateur- priphrique
8/9/2019 Administration Windows Server 2003
121/177
121
Permet de contrler lensemble de priphriques et pilotes de matriel sur la machine.
8/9/2019 Administration Windows Server 2003
122/177
Gestion locale de lordinateur- Services
8/9/2019 Administration Windows Server 2003
123/177
Cet outil sappuie sur la console Services et a dj t mentionn dans la
console Gestion de lordinateur
123
Base de registre
8/9/2019 Administration Windows Server 2003
124/177
L'ensemble des paramtres systme est sauvegard dans une base de
donnes scurise appel Registre .
124
Jusqu' Windows 2000, il y avait 2 utilitaires lgrementdiffrents regedit et regedt32 pour modifier la base de registre.
regedit tait plus convivial, alors que regedt32 permettait de faire des
modifications plus pointues.
Avec Windows XP, Microsoft a unifi les 2 utilitaires : dsormais, les 2
commandes appellent le mme outil.
ATTENTION: Ces deux utilitaires sont utiliser de manire
extrmement prudente car les actions ralises sont irrversibles
Base de registre
8/9/2019 Administration Windows Server 2003
125/177
125
Rpertoire de la base de registre:
Sous Windows Server 2003, Windows XP, Windows Server 2000 et NT, par dfaut,
c'est dans le rpertoire %SystemRoot%\System32\Config que sont stocks lesfichiers de ruche suivants : SAM (Security Account Manager), Security, Software,
System.
Les informations concernant un utilisateur sont stockes dans le rpertoire
correspondant la variable d'environnement %UserProfile%. Par exemple, pour
un utilisateur dont le login est "dupont", la valeur %UserProfile% sera par
dfaut "C:\Documents and settings\dupont". Il y a un fichier de
ruche NTUSER.DAT par utilisateur.
Le rpertoire %SystemRoot%\repair contient une sauvegarde de la base de
registre ; elle est utilise par Windows pour certains cas de figure.
Des fichiers journaux (extension .LOG) et des fichiers de sauvegarde
(extension .SAV) sont utiliss en interne par Windows pour pallier des coupures
de courant intempestives, ou toute autre forme d'arrt brutal
Base de registre
8/9/2019 Administration Windows Server 2003
126/177
La base de registre est organise de faon hirarchique. Elle se compose
de sous arbres avec les cls et les valeurs.
126
HKEY_LOCAL_MACHINE Contient les informations relatives lordinateur local : donnes sur le matriel et sur le systme
dexploitation (type de bus, la RAM, les pilotes de priphrique
HKEY_CLASSES_ROOT regroupe des paramtres spcifiques aux programmes comme les extensions de fichiers, icnes
spcifiques, menus contextuels, fichiers communs (dll par exemple), licence
HKEY_CURRENT_USER Contient le profil de lutilisateur en cours de session (variable denvironnement, bureau,
connexion rseau, les imprimantes )
HKEY_USERS Contient tous les profil utilisateurs chargs activement, y compris HKEY_USER, le profil par dfaut.
HKEY_CURRENT_CONFIG Contient les informations sur le profil matriel utilis par lordinateur local au dmarrage (pilotes
charger, rsolution dcran)
On peut exporter toute la base ou une branche de la base de registres dans un
Base de registre
8/9/2019 Administration Windows Server 2003
127/177
On peut exporter toute la base ou une branche de la base de registres dans un
fichier .REG. Pour limporter, il suffit de double cliquer dessus, et davoir les
permissions de mise jour.
127
8/9/2019 Administration Windows Server 2003
128/177
estion daccs aux
r ssour s
128
Gestion daccs aux ressources - Introduction
L d l d d Wi d 2003 b i
8/9/2019 Administration Windows Server 2003
129/177
Le systme de contrle daccs dans Windows 2003 est bas sur trois composants
qui permettent la dfinition du contexte de scurit des lments du systme.
Ces trois lments sont : Les entits de scurit : Les entits de scurit peuvent tre un compte
utilisateur, dordinateur ou un groupe. Ils permettent daffecter laccs un
objet en le reprsentant dans le systme informatique.
Le SID - Security Identifier: Toutes les entits de scurit sont identifies
dans le systme par un numro unique appel SID. DACL - Discretionary Access Control List : associe chaque objet un contrle
daccs. Les DACL sont composes dACE (Access Control Entry) qui
dfinissent les accs lobjet.
Les ACE se composent de la faon suivante :
Le SID de lentit qui lon va donner ou refuser un accs.
Les informations sur laccs (ex : Lecture, Ecriture, )
Les informations dhritage.
Lindicateur de type dACE (Autoriser ou refuser).129
Description des autorisations
df l d' d l
8/9/2019 Administration Windows Server 2003
130/177
Les autorisations dfinissent le type d'accs accord un utilisateur, ungroupe ou un ordinateur sur un objet
Les autorisations sont appliques aux objets tels que les fichiers, lesdossiers, les fichiers partags et les imprimantes
Les autorisations sont attribues aux utilisateurs et aux groupes dans ActiveDirectory ou sur un ordinateur local
130
Description des autorisations standard et speciales
8/9/2019 Administration Windows Server 2003
131/177
Autorisations standard Autorisations spciales
131
Les ressources - Dossiers partags
Le partage dun dossier permet de rendre disponible lensemble de son contenu via le
8/9/2019 Administration Windows Server 2003
132/177
p g p p
rseau.
Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de
lautorisation Lecture .
Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du
nom. Pour pouvoir y accder, il sera obligatoire de spcifier le chemin UNC
(Universal Naming Convention) complet: \\nom_du_serveur\nom_du_partage$
Windows 2003 cre automatiquement des partages administratifs.
Les noms de ces partages se terminent avec un caractre $ qui permet de cacher lepartage lors de l'exploration par le rseau :
C$, D$, E$: Fournit un accs complet l'administrateur sur les lecteurs.
\\nom_ordinateur\C$
Admin$: Utilis pour la gestion d'une station travers le rseau. Il s'agit du rpertoire
%systemroot% (c:\windows)
IPC$: Ce partage sert pour la communication entre les processus. Il est utilis
notamment lors de l'administration distance d'une station ou mme lorsque on
consulte un rpertoire partag.
Print$: Est utilis pour l'administration distance des imprimantes
Seuls les membres du groupe Administrateurs peuvent accder ces partages en
accs Contrle Total. 132
Dossiers d'administration partags
8/9/2019 Administration Windows Server 2003
133/177
133
Les ressources - Dossiers partags
Chaque dossier partag peut tre protg par une autorisation qui va restreindre
8/9/2019 Administration Windows Server 2003
134/177
Chaque dossier partag peut tre protg par une autorisation qui va restreindre
son accs spcifiquement aux Utilisateurs, Groupes et Ordinateurs
Il existe trois niveaux dautorisations affectables :
Lecture : Permet dafficher les donnes et dexcuter les logiciels.
Modifier : Comprend toutes les proprits de lautorisation lecture avec la
possibilit de crer des fichiers et dossiers, modifier leurs contenus et supprimer
leurs contenus.
Contrle total : Comprend toutes les proprits de lautorisation Modifier avecla possibilit de modifier aux travers le rseau les autorisations NTFS des fichiers
et dossiers.
Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser
en sachant que les autorisations de refus sont prioritaires.
Pour affecter des autorisations de partage, vous avez deux solutions :
A laide de loutil dadministration Gestion de lordinateur et du composant
enfichable Dossiers Partags .
A laide de lexplorateur dans les proprits du dossier partag.
134
Les ressources - Dossiers partags
Afin quun client puisse accder un dossier partag plusieurs moyens sont
8/9/2019 Administration Windows Server 2003
135/177
Afin qu un client puisse accder un dossier partag, plusieurs moyens sont
disponibles :
Favoris rseau : Permet de crer des raccourcis vers les partages dsirs.
Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de
travail en lui attribuant une lettre.
Excuter : Permet daccder ponctuellement la ressource en spcifiant
simplement le chemin UNC daccs la ressource.
135
Procdure de publication d'un dossier partag
Un dossier partag publi est un objet Dossier partag dans Active Directory
8/9/2019 Administration Windows Server 2003
136/177
Un dossier partag publi est un objet Dossier partag dans Active Directory
Les clients peuvent rechercher facilement dans Active Directory les dossiers partags qui sont
publis
Les clients n'ont pas besoin de connatre le nom du serveur pour se connecter un dossier partag
136
Procdure de connexion un dossier partag
8/9/2019 Administration Windows Server 2003
137/177
137
Les ressources - Accs au fichiers et dossiers NTFS
NTFS (New Technology File System) est un systme de fichiers qui offre les avantages
8/9/2019 Administration Windows Server 2003
138/177
suivants :
Fiabilit : NTFS est un systme de fichiers journalis.
Scurit : Le systme NTFS prend en charge le cryptage de fichiers avec EFS(Encrypted File System). NTFS permet aussi lutilisation dautorisations NTFS qui
permettent de restreindre laccs aux donnes de la partition.
Gestion du stockage : NTFS permet la compression de donnes transparente pour
tous les fichiers stocks sur la partition. Il permet aussi limplmentation de la gestion
de quotas pour restreindre de faon logique lespace dont peut bnficier unutilisateur sur une partition.
Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les
utilisateurs, groupes ou ordinateurs sur les fichiers.
Contrle total : Dispose de toutes les autorisations de Modification avec la prise de
possession et la possibilit de modifier les autorisations du fichier.
Modification : Permet de modifier, supprimer, lire et crire les fichiers.
Lecture et excutions : Permet de lire les fichiers et dexcuter les applications.
Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le
propritaire.
Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire et ses
autorisations.
138
Les ressources - Accs au fichiers et dossiers NTFS
Les autorisations NTFS permettent de dfinir les actions que vont pouvoir
8/9/2019 Administration Windows Server 2003
139/177
effectuer les utilisateurs, groupes ou ordinateurs sur les dossiers.
Contrle total : Dispose de toutes les autorisations de Modification avec
la prise de possession et la possibilit de modifier les autorisations du
dossier.
Modification : Dispose de toutes les autorisations de Ecriture avec la
possibilit de supprimer le dossier.
Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter
les applications
Ecriture : Permet de crer des fichiers et sous-dossiers, de modifier ses
attributs et dafficher le propritaire.
Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propritaire
et autorisations du dossier. Affichage du contenu des dossiers : Affichage seul du contenu direct du
dossier.
Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les
dossiers139
8/9/2019 Administration Windows Server 2003
140/177
Les ressources - Hritage NTFS
Les autorisations sur un dossier parent sont hrites et propages tous les sous-
8/9/2019 Administration Windows Server 2003
141/177
Les autorisations sur un dossier parent sont hrites et propages tous les sous
dossiers, et les fichiers quil contient.
Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront aussi de ces
permissions.
Il est possible de bloquer cet hritage afin que les permissions ne soient pas propages
aux dossiers et aux fichiers contenus dans le dossier parent.
Plusieurs solutions dhritage partir dun dossier
Copier
Supprimer
Pour bloquer lhritage des permissions, afficher les proprits du dossier:
Onglet Scurit
Paramtres avancs
Dsactiver la case cocher Permettre aux autorisations hrites du parent de se
propager cet objet et aux objets enfants. Cela inclut les objets dont les entres sont
spcifiquement dfinies ici.
Dans la nouvelle fentre, cliquez sur :
Copiersi vous souhaitez garder les autorisations prcdemment hrites sur cet objet
Supprimerafin de supprimer les autorisations hrites et ne conserver que les
autorisations explicitement spcifies.
141
Identification des autorisations effectives sur les fichiers et lesdossiers NTFS
Lorsque vous accordez des autorisations un utilisateur, un groupe ou un
tili t il t f i diffi il d t l l
8/9/2019 Administration Windows Server 2003
142/177
utilisateur, il est parfois difficile de sy retrouver avec par exemple les groupes
auxquels un utilisateur peut appartenir et les autorisations hrites.
Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienneplusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce
cas, les autorisations se cumulent et il en rsulte lautorisations la plus forte (ex :
lecture + contrle total contrle total).
Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune
autorisation dessus. Cest une autorisation Refuser implicite. Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.
Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci
dans TOUS les cas (ex : contrle total + refuser lecture La lecture sera bien
refuse).
Le propritaire a la possibilit daffecter les autorisations quil dsire sur tous lesfichiers dont il est le propritaire mme si il na pas dautorisations contrle total
dessus.
Il est possible de vrifier les permissions effectives dun utilisateur laide de longlet
Autorisations effectives de la fentre de paramtres de scurit avanc.
Cumul des autorisations NTFS et desautorisations de partage
L tili t t j t i bi t i ti NTFS
8/9/2019 Administration Windows Server 2003
143/177
Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux
autorisations de partage, ses permissions effectives sobtiennent en combinant le
niveau maximum dautorisations indpendamment pour les autorisations NTFS etpour les autorisations de partage et une fois les deux autorisations dfinies, il
suffit de prendre la plus restrictive des deux.
Exemple :
Partage (lecture) + NTFS (contrle total) lecture
Inversement
Partage (contrle total) + NTFS (lecture) lecture
143
Fichiers hors connexion
Les fichiers hors connexion sont une fonction d'administration des documents qui
8/9/2019 Administration Windows Server 2003
144/177
permet l'utilisateur d'accder de manire cohrente aux fichiers en ligne et hors
connexion
Avantages de l'utilisation des fichiers hors connexion :
Prise en charge des utilisateurs itinrants
Synchronisation automatique
Avantages en termes de performances
Avantages de sauvegarde
Procedure de synchronisation de fichiers hors connexion :Dconnects du rseau
Windows Server 2003 synchronise les fichiers rseau avec une copie localementmise en cache des fichiers
L'utilisateur travaille avec la copie en cache localConnects au rseauWindows Server 2003 synchronise les fichiers hors connexion que l'utilisateur amodifis avec la version des fichiers sur le rseau
Si un fichier a t modifi dans les deux emplacements
L'utilisateur est invit choisir la version du fichier conserver ou renommer lefichier pour conserver les deux versions 144
Options de la mise en cache hors connexion des fichiers
Activer le service de fichier hors connexion sur votre machine cliente.
8/9/2019 Administration Windows Server 2003
145/177
145
Menu \ outils \ options des dossiers \ fichiers hors connexion puis cocher : Autoriser
lutilisation de fichiers hors connexion
Aller au rpertoire partag sur le rseau,
slectionner la ressource mettre en
cache avec un click droit. Afficher le
menu contextuel et slectionner:
Rendre disponible hors connexion.
8/9/2019 Administration Windows Server 2003
146/177
Prsentation des stratgies de groupe
Une stratgie de groupe (Group Policy Object) est un ensemble d'lments
8/9/2019 Administration Windows Server 2003
147/177
147
de configuration de Windows et de logiciels s'appliquant des ordinateurs,
des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou
d'interdire certaines actions ou de configurer des paramtres d'utilisation
Une stratgie de groupe peut sappliquer un ordinateur local, un site, un
domaine ou une unit dorganisation et peut tre assigne plusieurs fois
simultanment sur diffrents conteneurs. On peut lier plusieurs objets
Stratgie de groupe un site, domaine ou une unit d'organisation
Limplmentation des stratgies de groupes va permettre de centraliser la
gestion de lenvironnement des utilisateurs
Deux types de stratgieslocale: ne sapplique que sur lordinateur sur lequel elle est configure. Cest lobjet
de stratgie ayant le moins dautorit dans un environnement Active Directory
Stratgie de groupe AD: s'applique un site, un domaine ou une unit
d'organisation
Paramtres des stratgies de groupe
Modles dadministration: modification des proprits du bureau laide de
d f d d l b d
8/9/2019 Administration Windows Server 2003
148/177
148
modifications distantes de la base de registre
Dploiement de logiciels : automatisation complte de linstallation desprogrammes sur les postes clients en fonction du profil de lutilisateur
Application des paramtres de scurit : permet de modifier le contexte de
scurit de lenvironnement utilisateur
Redirection de dossiers: possibilit de rediriger certains rpertoiressensibles vers un serveur distant ou de bloquer la modification de leurs
contenus
Scripts: dmarrage/arrt d'ordinateur ou de session utilisateur
Structure des stratgies de groupe
Conteneur (Group Policy Container) : objet Active Directory
8/9/2019 Administration Windows Server 2003
149/177
149
Modle (Group Policy Template): dossier contenu dans
%systemroot%\SYSVOL\sysvol\\policies
GPO est identifie par le GUID (global unique Identifier)
GPO locale pour des machines individuelles: %systemroot%\System32\GroupPolicy
Paramtres de GPO pour Ordinateurs/Utilisateurs
Paramtres de stratgie de groupe pour les ordinateurs
8/9/2019 Administration Windows Server 2003
150/177
150
Dfinissent le comportement du systme d'exploitation et du bureau, la
configuration de la scurit, les scripts de dmarrage et d'arrt des ordinateurs, les
options d'application affectes par l'ordinateur et la configuration des applications
S'appliquent au dmarrage de lordinateur (initialisation du systme d'exploitation)
et lors du cycle de rafrachissement priodique
Paramtres de stratgie de groupe pour les utilisateurs
Dfinissent le comportement du systme d'exploitation, la configuration du bureau
et de la scurit, les options d'application affectes et publies, la configuration des
applications, les options de redirection des dossiers et les scripts d'ouverture et de
fermeture de sessions utilisateur
S'appliquent l'ouverture d'une session utilisateur sur l'ordinateur et lors du cycle
de rafrachissement priodique
Ces paramtres suivent l'utilisateur de machine en machine
Outils ddition des stratgies de groupe
Utilisateurs et ordinateurs Active Directory (dsa.msc): permet dditer les stratgies
associes au domaine et aux units dorganisation
8/9/2019 Administration Windows Server 2003
151/177
associes au domaine et aux units d organisation
Sites et services Active Directory (dssite.msc): permet dditer les stratgies associes
aux sitesEditeur dobjets de Stratgie de groupe (gpedit.msc): cest lditeur commun dobjets
des stratgies de groupe locales ou distantes
Stratgie de scurit locale : Permet dditer les stratgies locales des machines
Stratgie de scurit de domaine (dompol.msc): permet dditer les stratgies de
domaine
Stratgie de scurit de contrleur de domaine (dcpol.msc): permet dditer les
stratgies de contrleur de domaine
Gestion des stratgies de groupes (gpmc.msc) est un outil complmentaire pour faciliter
la gestion des GPO, celui-ci reprend les interfaces et fonctionnalits des outils Utilisateurs
et ordinateurs Active Directory et Sites et services Active Directory ainsi que des modules
dadministration des stratgies
151
Console gpedit
8/9/2019 Administration Windows Server 2003
152/177
152
Console de gestion des stratgies de groupe
8/9/2019 Administration Windows Server 2003
153/177
153
Stratgie de scurit de domaine
Utilise pour configurer les paramtres de scurit de domaine
8/9/2019 Administration Windows Server 2003
154/177
154
Utilise pour configurer les paramtres de scurit de domaine
Stratgie de scurit de contrleur de domaine
Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine
8/9/2019 Administration Windows Server 2003
155/177
155
Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine
Modles dadministration
Type Description Appliqu
8/9/2019 Administration Windows Server 2003
156/177
Type Description Appliqu
Composants
Windows
Controle de fonctionnalites dIE, netmeeting, gestionnaire de
taches, windows explorer
Utilisateur,
Ordinateur
Systme Ouverture/fermeture de session, quotas de disque, modification deregistre, application GPO, gestion de lalimentation
Utilisateur,
Ordinateur
Rseau Connexions reseau, fichiers hors connexion Utilisateur,Ordinateur
Imprimantes Controler limpression a partir dun navigateur web, publication desimprimantes dans AD Ordinateur
Menu Dmarrer
et
barre des tches
Les fonctionnalits auxquelles les utilisateurs peuvent accder
partir du menu Dmarrer et les options qui rendent le menu
Dmarrer en lecture seule
Utilisateur
Bureau Le bureau Active Desktop, y compris ce qui apparat sur les bureaux,et ce que les utilisateurs peuvent faire avec le dossier Mesdocuments
Utilisateur
Panneau de
configuration
Cacher tout ou partie du panneau de configuration, de restreindre
laccs certains composants (Ajout/Suppression de programmes,
Imprimantes , options rgionales et linguistiques)
Utilisateur
156
Etapes dapplication des paramtres de modles
dadministration
Les stratgies de groupe utilisent des fichiers de modle dadministration avec lesextensions .ADM ou .ADMX qui dcrivent les cls de registre modifies par
8/9/2019 Administration Windows Server 2003
157/177
157
extensions .ADM ou .ADMX qui dcrivent les cls de registre modifies parlapplication des stratgies de groupe.
Sur un ordinateur de travail, les modles dadministration sont stocks dans lesrpertoires %systemroot%\System32\GroupPolicy\ADM et %systemroot%\Inf, alorsque sur un contrleur de domaine Active Directory, pour chaque domaine et pourchaque stratgie de groupe, ils sont stocks dans un rpertoire individuel (Le grouppolicy template , ou GPT) au sein du rpertoire Sysvol.
Les fichiers .ADMX sont des fichiers bass sur le format XML et introduits parWindows Vista pour la gestion des stratgies de groupe.
Les paramtres de modle d'administration modifient les paramtres du Registrequi contrlent les environnements utilisateur
C dl difi t l l d R i t
Description des Modles dadministration
8/9/2019 Administration Windows Server 2003
158/177
Ces modles modifient les cls de Registre
HKEY_LOCAL_MACHINE pour les paramtres d'ordinateur
HKEY_CURRENT_USER pour les paramtres d'utilisateurExemple:
Menu Dmarrer et Barre des tchesSuppression du menu Documents dans le menu Dmarrer
Suppression des Connexions rseau et accs distant du menu Dmarrer
Suppression du menu Excuter dans le menu Dmarrer
Dsactivation de la fermeture de session dans le menu Dmarrer
Dsactivation de la commande Arrter
Panneau de configurationDsactivation du Panneau de configuration
Masque de certaines applications du Panneau de configuration
SystmeActivation des quotas de disque
Dsactivation des outils de modifications du Registre
Dsactivation de l'invite de commandes
Internet ExplorerDsactivation de la modification des paramtres de la page de dmarrage 158
Application: Supprimer Le menu Excuter du Menu Dmarrer
Etat initial: apparition du menu Excuter
8/9/2019 Administration Windows Server 2003
159/177
159
Application: Supprimer Le menu Excuter du Menu Dmarrer
8/9/2019 Administration Windows Server 2003
160/177
160
Application: Supprimer Le menu Excuter du Menu Dmarrer
8/9/2019 Administration Windows Server 2003
161/177
161
Etat Final: disparition du menu Excuter
paramtres de scurit
Stratgies de
compte
Configurent des stratgies pour les mots de passe (longueur, complexit, dure de vie) et les
comptes (modalits de verrouillage)
8/9/2019 Administration Windows Server 2003
162/177
Stratgies locales Configurent l'audit, les droits d'utilisateur et les options de scurit
Journal desvnements
Configure les paramtres des journaux des applications, des journaux systme et des journauxde scurit
Groupes restreints Configurent l'adhsion aux groupes sensibles en termes de scurit: Imposer des membres des groupes
Services systme Configurent les paramtres de scurit et de dmarrage des services (manuel, automatique oudsactiv) excuts sur un ordinateur
Registre Configure la scurit (autorisations d'accs et des paramtres d'audit) pour les cls du registre
Systme de fichiers Configure la scurit (autorisations d'accs et des paramtres d'audit) au niveau desautorisations NTFS des fichiers
Stratgies de
rseau sans fil
spcifient si les clients sont autoriss utiliser Windows pour configurer les paramtres de la
connexion rseau sans fil, s'il y a lieu d'activer l'authentification 802.1X pour les connexions
rseau sans fil, ainsi que les rseaux sans fil favoris auxquels les clients peuvent se connecter.
Stratgies de clpublique
Configurent les agents de rcupration de donnes cryptes, les racines de domaines, lesautorits de certification approuves, etc.
Stratgies de
restriction logicielle
Identifient les logiciels et contrlent leur capacit s'excuter: interdire le lancement de
certains programmes ou donner une liste exhaustive des programmes que l'on peut lancer
Stratgies IPSec Configurent la scurit IP sur un rseau
162
Attribution de scripts avec la stratgie de groupe
Grce une stratgie de groupe, il est possible daffecter des scripts aux
hi ili
8/9/2019 Administration Windows Server 2003
163/177
machines ou aux utilisateurs
Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou
larrt de lordinateur et les scripts affects aux utilisateurs seront excuts
louverture et la fermeture de la session.
Plusieurs langages sont supports avec les scripts batch (NET USE ), lesscripts WSH (Windows Script Host) ou des excutables.
Via les proprits dun compte utilisateur, il est possible de spcifier un
script douverture de session mais cette mthode est moins souple au
niveau administratif.
163
Scripts douverture ou fermeture (dconnexion) de session
8/9/2019 Administration Windows Server 2003
164/177
164
Scripts de dmarrage ou arrt de lordinateur
8/9/2019 Administration Windows Server 2003
165/177
165
Qu'est-ce que la redirection de dossiers ?
Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de
lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la
8/9/2019 Administration Windows Server 2003
166/177
l utilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la
scurit et la sauvegarde
Les documents sont stocks sur le serveur mais apparaissent comme stockslocalement
Les dossiers pouvant tre redirigs sont les suivants :
Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de
fichiers pour que son contenu soit disponible quelque soit lordinateur sur lequel
se connecte lutilisateur (ex : redirection vers le dossier de base de lutilisateur).Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous
les utilisateurs vers un contenu unique.
Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers
un contenu unique.
Application Data : Contient les prfrences applicatives de certaines applications
qui peuvent tre sauvegardes sur un serveur avec la rplication.
Il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers
diffrents selon lappartenance de lutilisateur un groupe.
La fonction de redirection de dossiers cre elle-mme automatiquement des
dossiers avec les autorisations adquates. 166
Comment rediriger les dossiers ?
Sur un contrleur de domaine, lancer GPMC (gpmc.msc)
8/9/2019 Administration Windows Server 2003
167/177
Slectionner une OU puis crer une nouvelle GPO (crer et lier une nouvelle
stratgie de groupe) appele GPO_VENTE
Cliquer sur Modifierpour modifier la GPO GPO_VENTE
Dvelopper Configuration utilisateur
Dvelopper Paramtres Windows
Choisir Redirection de dossiers
Cliquer droit sur Mes Documents, puis cliquer sur Proprits
Cliquer sur De base ou avanc
Dans la zone Emplacement du dossier cible , taper le chemin d'accs en tant que
:\\ servername\sharename\username167
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
168/177
168
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
169/177
169
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
170/177
170
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
171/177
171
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
172/177
172
Comment rediriger les dossiers ?
8/9/2019 Administration Windows Server 2003
173/177
173
Ordre dapplication des GPOs
Les conteneurs enfants hritent des paramtres de l'objet Stratgie de groupe des
conteneurs parents
8/9/2019 Administration Windows Server 2003
174/177
174
Domaine
OU
Site
locale
conteneurs parents
Blocage: on peut bloquer l'hritage
Filtrage: on peut empcher certains objets d'un conteneur de se voir appliquer lesparamtres des GPO. se fait via les autorisations de la GPO sur le conteneur
Resolution de conflits entre les parametres de GPO
Tous les paramtres dune stratgie de groupe sappliquent moins que certains
dentre eux nentrent en conflit
8/9/2019 Administration Windows Server 2003
175/177
175
Lorsque les paramtres de diffrents
objets stratgie de groupe dans lahirarchie Active Directory sont en conflit,
les paramtres de lobjet stratgie de
groupe du conteneur enfant sappliquent
Lorsque les paramtres des objets
stratgie de groupe lis un mme
conteneur entrent en conflit, les
paramtres de lobjet stratgie de groupeles plus hauts dans la liste sappliquent
Les paramtres dun ordinateur
sappliquent lorsquils sont en conflit avec
ceux dun utilisateur
Application dune strategie de groupe
8/9/2019 Administration Windows Server 2003
176/177
176
8/9/2019 Administration Windows Server 2003
177/177