19344620-Windows-Server-2003
Content
WINDOWS SERVER 2003
I - INTRODUCTION
Système d'exploitation à vocation professionnelle issu de Windows 2000 (et antérieurement de Windows NT 4.0, 3.51, 3.5 et 3.1). Développé par Microsoft Corporation depuis le début des années 90 initialement par une ancienne équipe de Digital Equipment Corporation (DEC). Commercialisation de Windows 2003 en 2003! Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows 2000. Solution présentée à des attentes telles que:
robustesse, sécurisation, fonctionnalités serveur, gestion du poste client, administration distante, technologies d'infrastructure réseau, …
Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les environnements systèmes professionnels. A sa sortie, attaque directe contre Novell IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les Unix ouverts de type Linux ou FreeBSD. Existence de versions dédiées "poste clients" destinées à être utilisées en association aux systèmes "serveur". Système serveur Système poste client Windows NT 4.0 Serveur Windows NT 3.51 ou 4.0 Workstation Windows 2000 ou 2003 Serveur Windows 2000 ou XP Professionnel Caractéristiques principales Présenté comme très largement compatible avec les développements antécédents réalisés pour Windows. -> Préservation des investissements en logiciel et en formation (y compris pour les formations d'administrateurs). -> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que Windows 2000 en ressources matérielles (voire même moins pour certains services). -> Drivers logiciels et matériels identiques à ceux de Windows 2000.
1
Windows Server 2003 Practice
Système d'exploitation réseau. -> Intégration poussée des fonctionnalités réseau au sein du noyau. Gestion de la sécurité à deux titres :
sûreté de fonctionnement (robustesse), sécurité vis à vis du contrôle de l'utilisation de la machine (actions, intrusions, ...).
Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus seulement système d'exploitation départemental (gestion de groupes de travail) ou poste de travail. Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel. Exemples:
administration centralisée, vrai multitâche, partage de ressources, …
Quelques caractéristiques de Windows 2003 Serveur Qualités
Administrabilité Sécurité vis à vis des intrusions Robustesse Maintenance de la part de Microsoft Système en version 32 bits et 64 bits Système multi-tâche et multi-threadé Support des ordinateurs multiprocesseurs Support des standards du marché Système d'entreprise Défauts
Nécessité d'un administrateur désigné Incompatibilité de certains logiciels (DOS, Win95, Win98) Système non multi-session Reboots Système entièrement propriété de Microsoft Corporation
Implantation constatée Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son prédécesseur immédiat), Linux et Novell IntranetWare. C'est un produit qui a reçu bon accueil:
Large implantation sur les petits serveurs de groupes de travail (en concurrence avec Linux). Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et les systèmes propriétaires).
Plusieurs versions de Windows 2003 Serveur:
2
Windows Server 2003 Practice
En version 32 bits:
Windows 2003 Server Web Edition
Pas de gestion d'un parc de machines (Domaine). Serveur Internet De 1 à 2 processeurs, jusqu'à 2 Go de mémoire. N'existe pas en version x64. N'existe pas en version Itanium.
Windows 2003 Server Standard
Gestion d'un parc de machines (Domaine). Priorité aux activités liées au réseau par rapport aux activités purement locales. Serveurs de fichiers et d'imprimantes Serveur Internet De 1 à 4 processeurs, jusqu'à 4 Go de mémoire. Jusqu'à 32 Go de mémoire en version x64. N'existe pas en version Itanium.
Windows 2003 Enterprise
Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de fonctionnement (clustering). Serveurs Internet et d'applications De 1 à 16 processeurs, jusqu'à 64 Go de mémoire. Jusqu'à 1 To de mémoire en version x64 et Itanium.
Windows 2003 Datacenter
Fonctionnalités de l'Advanced Server. Serveurs Internet et d'applications 16 ou 32 processeurs, 64 à 128 Go de mémoire. En version R2 (voir plus loin), jusqu'à 64 processeurs. Jusqu'à 1 To de mémoire en version x64 et Itanium. Version "poste client": Windows XP Professionnel En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP Professionnel. Il en reprend le noyau et est plus une évolution qu'une révolution. Microsoft a aussi commercialisé une version "personnelle" de Windows XP : Windows XP Home Edition. Celle-ci est principalement allégée des possibilités d'administration centralisée et de sécurisation. Nouvelle release de Windows 2003 en 2006: Windows 2003 R2
Mise à jour logicielle Ajout de fonctionnalités
Prochaine version serveur: Windows ? en ? Microsoft annonce un nouveau système professionnel pour 2007: "Vista".
3
Windows Server 2003 Practice
II - ELÉMENTS D'ARCHITECTURE, RÉSEAU INTERNET
Internet : Réseau mondial d'inter-connexion de réseaux. Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement le cas. Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets. Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la machine cible et est émis sur le réseau à destination de cette machine. Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la perte est détectée et le paquet est envoyé de nouveau. Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par une infrastructure logicielle. Infrastructure matérielle Sous-réseau Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec toute autre machine. Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des commutateurs (switchs). Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes les machines qui lui sont directement connectées. Une machine cible conservera et exploitera les paquets qui lui sont destinés et oubliera les autres. Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur l'ensemble des machines connectée est la bande passante du concentrateur (généralement 10 ou 100 Mbits/s). La capacité de transfert est donc partagée entre les machines connectées et est limitée à celle du concentrateur.
Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à laquelle il est destiné. -> Une machine ne reçoit que les seuls paquets qui lui sont destinés. Chaque machine possède une bande passante potentielle vers les autres machines qui lui
4
Windows Server 2003 Practice
sont connectées égale à celle de son interface réseau (10, 100 ou 1000 Mbits/s). La bande passante globale du sous-réseau est toutefois limitée par la vitesse de commutation du fond de panier du commutateur (matrice de commutation).
Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur lesquels viennent se connecter en étoile les machines. Inter-connexion des sous-réseaux Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets entre les sous-réseaux qui contiennent les machines source et cible. Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique qui après configuration semble agir comme un commutateur.
Dans les cas plus complexes (réseaux d'entreprise, Internet), un seul routeur ne permet pas l'inter-connexion de l'ensemble des sous-réseaux. Plusieurs routeurs reliés entre eux consécutivement sont alors utilisés sur le chemin des paquets.
5
Windows Server 2003 Practice
Pour des raisons de pérennité de fonctionnement, le réseau de routeurs, au lieu d'être construit en étoile, pourra être construit en graphe. Plusieurs chemins pourront exister pour aller d'un sous-réseau à un autre sous-réseau. Pour un même message, les paquets pourront transiter par des chemins différents et même arriver dans un ordre différent de celui de départ. Le matériel actif se contente d'assurer le transfert de l'information. Ce seront les machines qui reconstitueront la cohérence des messages à l'arrivée.
Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du réseau fédérateur permettant ainsi de résoudre le problème du choix et de l'optimisation des liens de transit.
Windows Server 2003 Practice
6
Infrastructure logicielle L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou plusieurs protocoles de communication (i.e. langage de communication d'informations entre ordinateurs). Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de l'Internet et tend à se généraliser. La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement "routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sousréseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau Internet. L'infrastructure logicielle comprend pour chaque protocole:
Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels du réseau (concentrateurs, commutateurs, routeurs, ...) (non abordés ici). Les logiciels de configuration, de gestion et d'audit du fonctionnement local des machines permettant en particulier de donner un nom à chaque machine pour autoriser les communications machine source <-> machine cible. Les services réseau implantés pour utiliser ou faciliter l'utilisation du protocole.
NetBEUI NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage. Les machines sont désignées par des noms alphanumériques sur 15 caractères. Toutes les machines placées sur le même concentrateur, sur le même commutateur ou liées par une suite de concentrateurs commutateur peuvent communiquer directement entre elles. Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB (Server Message Block) et Lan Manager proposent les services:
de gestion d'utilisateurs, de gestion de répertoires partagés, de gestion d'imprimantes partagées, ...
NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de Windows et sous Linux (Samba). Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en œuvre un processus d'exploration du réseau à la recherche des machines qui y sont présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable, chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les machines de son sous-réseau) destiné à susciter une réponse contenant le nom de la machine répondant. Si n machines génèrent un broadcast entraînant n réponses, on
7
Windows Server 2003 Practice
obtient de l'ordre de n2 messages échangés régulièrement. -> à partir d'un certain nombre de machines, une part importante du trafic du réseau (voire près de 100%) peut être consacrée à ce processus d'exploration. Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine souhaitant connaître la liste des machines du réseau. TCP/IP Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés au routage. Paramètres généraux:
Adresse IP : Une machine est nommée de manière unique sur son réseau par son "adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23 Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et 255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec lesquelles elle peut communiquer sans routage). Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux machines et le masque sont égaux alors les deux machines font partie du même sous-réseau TCP/IP. Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164 et I2 = 172.20.128.213. En binaire, le masque devient M = 11111111.11111111.11111111.10000000 et les adresses I1 = 10101100.00010100.10000000.10100100 et I2 = 10101100.00010100.10000000.11010101 Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe & désigne le "et binaire". M & I1 = 10101100.00010100.10000000.10000000 M & I2 = 10101100.00010100.10000000.10000000 (M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau. Elles pourront communiquer directement si elles sont interconnectées par un concentrateur ou un commutateur. Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de bits à 0. Les masques de sous-réseau classiques sont : 255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe C), 255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et de 128 à 255), 255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de 64 à 127, de 128 à 191 et de 192 à 255), 255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C), 255.255.255.240 -> 16 adresses (16 sous-réseaux sur une classe C),
Windows Server 2003 Practice
8
255.255.255.248 -> 8 adresses (32 sous-réseaux sur une classe C), 255.255.255.252 -> 4 adresses (64 sous-réseaux sur une classe C). Définition des différentes classes IP
Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront envoyés tous les paquets non destinés à une machine du même sous-réseau que la machine source. Un routeur ou un ordinateur assurant le routage sera installé à cette adresse pour les réceptionner et les transmettre.
Paramètres de configuration DNS La technique de dénomination par adresse IP est pratique pour les ordinateurs car facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus. Convention de dénomination supplémentaire: Désignation de chaque machine par un ou plusieurs noms IP alphanumériques. Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une organisation arborescente. Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la machine, puis les différentes parties du nom de domaine du plus particulier au plus général. Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sousdomaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr). Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:
localement sur chaque machine au moyen de "fichiers hosts", Globalement sur un ensemble de machines reliées en réseau au moyen d'un serveur DNS (Domain Name Server) qui gère la liste associée à un domaine et peut être interrogé via une connexion réseau normalisée. La configuration TCP/IP de la machine cliente inclut alors une référence à ce serveur.
Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les machines entre eux, soit au contraire pour répliquer les bases de données de machines et avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de charge pour les domaine très consultés. Un serveur DNS aura les tâches suivantes:
Gérer sa base de données de noms Résoudre un nom pour les machines qui le lui demandent quand il connaît le nom (il appartient au domaine qu'il gère). Répondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas défini dans le domaine qu'il gère). Propager la demande de résolution vers le ou les serveurs DNS du sous-domaine concerné s'il s'agit d'un nom associé à l'un de ses sous-domaines.
Windows Server 2003 Practice
9
Propager la demande de résolution vers le serveur ou les serveurs DNS de son domaine maître si le nom n'appartient pas à un de ses sous-domaines.
Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est donné sur le DNS dont elle dépend. Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine, les suffixes sont testés les uns après les autres comme domaines implicites. DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP correspondant au nom IP ou réciproque.
Paramètres de configuration WINS Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est impossible de l'utiliser pour des réseaux comportant un nombre important de machines. Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le routage. Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service (WINS) est l'une des solutions possibles. WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions nom TCP/IP <-> adresse IP. Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:
L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent automatiquement sur ce serveur). Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms d'utilisateurs, des noms de machines, ... Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de données et offrir ainsi des redondances et des possibilités d'administration plus élaborées. ... WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion. WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une résolution WINS doit être réalisée et que le serveur primaire ne donne pas de réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association souhaitée.
Filtrage IP Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du point de vue des paquets sortants que du point de vue des paquets entrants. Ces fonctions de filtrage pourront généralement être configurées soit en fonction de l'adresse IP du client, soit en fonction du port TCP/IP utilisé par l'ordinateur client. DHCP
10
Windows Server 2003 Practice
Tous ces paramètres nécessaires à l'infrastructure TCP/IP pourront être renseignés soit directement sur l'ordinateur hôte, soit sur un serveur DHCP (Dynamic Host Configuration Protocol) qui sera contacté par l'intermédiaire du réseau par l'hôte au moment de son démarrage. L'intérêt de l'utilisation de DHCP réside dans les points suivants:
La configuration des postes clients est centralisée. L'affectation des paramètres pourra être réalisée dynamiquement ou statiquement. Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un pool restreint d'adresses IP permettant d'accéder à Internet et affecter ces adresses aux seules machines en fonctionnement. ...
De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via une base de données unique, d'assurer la cohérence des informations transmises. C'est le cas sous Windows 2000. Commandes TCP/IP texte ipconfig La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes réseau présentes dans la machine. la syntaxe est ipconfig pour obtenir un résumé et ipconfig -all pour obtenir une description complète.
ipconfig
11
Windows Server 2003 Practice
ipconfig -all
ping La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe est ping nom_IP ou ping adresse_IP
ping nslookup La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est nslookup nom_IP ou nslookup adresse_IP
12
Windows Server 2003 Practice
nslookup Tracert La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés pour joindre une autre machine. La syntaxe est tracert nom_IP ou tracert adresse_IP
Tracert
III - CONCEPTS ET PLANIFICATION
La gestion de la sécurité Windows 2003: Système d'exploitation sécurisé. Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des utilisateurs.
13
Windows Server 2003 Practice
Action ou ressource refusée ou accordée en fonction de l'utilisateur. Possibilités multiples de sécurisation:
autorisation d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir), interdiction d'utiliser d'autres applications que celles dûment autorisées, interdiction d'installer des applications, interdiction de modifier l'environnement de travail, restrictions d'accès aux ressources (fichiers, imprimantes, …), audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur, accès à des ressources,...), …
Droit ou privilège: Autorisation d'exécuter une action système. Exemples: Créer des comptes, installer un pilote d'imprimante, partager un répertoire, arrêter le système, ... Autorisation: Autorisation d'accès à une ressource. Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application, ... Tous les objets du système sont soumis à autorisations via des ACLs. Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,... Un utilisateur possède tous les droits : l'"Administrateur". Il est nommé "root" sous UNIX. La gestion du réseau NOS (Network Operating System): Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau. -> connexion et communication facile entre ces machines. Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):
Ethernet épais, fin et double paires torsadées, Phonenet, Fibre optique, Infrarouge, Bluetooth, Wifi, Modem, ...
Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des éditeurs tiers):
NetBEUI, TCP/IP,
Windows Server 2003 Practice
14
IPX/SPX, DLC, Appletalk, ATM, TokenRing, FDDI, …
Nombre important de services réseau tant du point de vue serveur que du point de vue client:
SMB, Lan Manager, DNS, WWW, FTP, Telnet, SMTP, NNTP, NTP, Proxy, DHCP, WINS, ADS, ...
-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole natif de Windows 2003: TCP/IP. NetBEUI Avantages Inconvénients
Rapide Peu gourmand en ressource système Pas de routage Pas compatible avec Internet Protocole assez bavard sur le réseau
TCP/IP Avantages Inconvénients
Rapide Peu gourmand en ressource système Routage Compatible avec Internet
Windows Server 2003 Practice
15
Possiblement complexe à paramétrer Protocole des "pirates"
Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans même que NetBEUI soit installé. Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre encore un nombre important de caractéristiques:
dénomination des machines, explorateur réseau, ...
Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom. Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP même si la base de Windows NT et 9x reste NetBEUI. Sécurité gérée au niveau du réseau. Le partage de ressources Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante. Ressources partageables:
les répertoires et les fichiers qu'ils contiennent, les imprimantes, dans une certaine mesure, les applications (Exécution d'une application sur une machine distante avec transmission du résultat d'exécution sur la machine locale) (possibilité d'utiliser le service Terminal Server pour configurer un serveur de terminaux Windows, équivalent fonctionnel à un serveur X).
Sécurité au niveau des ressources partagées. Active Directory Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines. AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS. Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à un fonctionnement pérenne. Intérêt d'AD:
Windows 2003 avec AD supporte des domaines de d'utilisateurs alors que, dans la pratique, Windows dizaines de milliers. Windows 2003 avec AD supporte des domaines de machines alors que, dans la pratique, Windows NT
Windows Server 2003 Practice
plusieurs millions de comptes NT 4.0 était limité à quelques plusieurs dizaines de milliers de était limité à quelques centaines.
16
Unité Organisationnelle La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation arborescente. L'extensibilité d'Active Directory Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes. Kerberos Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la sécurité. Deux points importants sont à signaler:
L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors d'une communication d'informations, de vérifier l'authenticité de leurs identités respectives pour éviter les usurpations d'identité. L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait confiance à C. -> En particulier, cette loi est vérifiée pour les approbations entre "Domaines Windows 2003".
Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour l'authentification avec des machine sous système d'exploitation de version antérieure ou des machines indépendantes (hors domaine, voir plus loin). La notion de domaine Windows 2003 Domaine: Unité d'administration sous Windows 2003. Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité associée. Active Directory permet une organisation différente de la classique et très rigide organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0. Ce sont la souplesse de la gestion par base de données et les possibilités d'extension héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles possibilités. Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows 2003 alors que sous NT, ce sont les domaines. La notion de domaine au sens Windows NT 4.0 disparaît donc avec Windows 2003 avec un emploi beaucoup plus souple.
17
Windows Server 2003 Practice
Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server). La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active Directory et est répliquée automatiquement entre eux. Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base d'utilisateurs et de groupes d'utilisateurs. Contrairement au modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal" auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un domaine Windows 2003 contient 1 ou plusieurs contrôleurs de domaine placés au même niveau hiérarchique. Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne l'arrêt de toute possibilité d'administration du domaine: comptes d'utilisateur et machines. Dans le modèle Windows 2003, ce n'est plus le cas car les tâches d'administration peuvent être continuées. Définition possible de plusieurs domaines sur le même réseau. ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP. Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et permettent l'administration centralisée de leurs machines. En revanche, les domaines TCP/IP n'incluent pas cette notion d'administration système centralisée. Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes d'utilisateurs. Approbation Il est possible d'établir des relations d'approbation entre domaines permettant aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine. Elles pourront être créées:
implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées automatiquement, explicitement auquel cas elles sont unidirectionnelles et créées explicitement par l'administrateur.
Arborescence de domaines: Structure de domaines hiérarchisée sur le mode arborescent par des relations d'approbation implicites. La base est constituée du domaine racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine racine.
18
Windows Server 2003 Practice
Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt est la première arborescence à avoir joint la forêt. Tous les domaines racines des arborescences de la forêt possèdent implicitement une relation d'approbation bidirectionnelle avec la racine de la forêt.
Eléments interconnectables au sein un domaine (1) Avec ouverture de session de travail
Un ou plusieurs contrôleurs de domaine (sous Windows 2003 ou 2000 Server et Active Directory) sans hiérarchie particulière. Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server, on parle alors de "Serveur membre". Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.
Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au sein d'AD sur chacun des DC. Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur le réseau. (2) Sans ouverture de session sur l'un des DCs Etablissement possible de connexions simples avec d'autres machines sous Windows 2003, 2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation reconnaissant les protocoles installés sur la machine serveur et assurant les services de connexion des serveurs du domaine. Fourniture d'un login et d'un mot de passe. Accès limité aux ressources partagées accessibles à l'utilisateur authentifié.
19
Windows Server 2003 Practice
Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:
domaine\utilisateur pour un nom d'utilisateur, \\serveur\ressource pour l'accès à une ressource partagée.
(3) Autres possibilités Toute machine en accès via un service sans authentification explicite (WWW, FTP anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...). Les contrôleurs de domaine Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de sécurité associée. Authentification des ouvertures de session et des accès aux ressources partagées qu'ils proposent. Administration des utilisateurs. Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs. Les machines Windows XP ou 2000 Professionnel Machines clientes simple du domaine. Pas de stockage d'une copie de la base de données des utilisateurs. Soumission des ouvertures de session à un DC. Pas de rôle d'administration. Les machines Windows 2003 ou 2000 Server en serveurs simples Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue de la base de données des utilisateurs mais possédant les capacités de Windows Server du point de vue des services réseau autres que ceux de gestion des domaines. Exemples:
Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de domaine. Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on ne souhaite pas être contrôleur de domaine.
Les autres systèmes Toute machine quel que soit son système d'exploitation. Condition nécessaire pour l'établissement d'une connexion:
Reconnaître d'un des protocoles du serveur de domaine. Être capable d'émettre un nom de login ainsi que le mot de passe associé (Protocole d'authentification reconnu par les contrôleurs du domaine).
Windows Server 2003 Practice
20
Être capable de gérer la partie cliente du service auquel l'accès est réalisé.
-> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de connexion sans avoir pour autant ouvert de session. DDNS, WINS et DHCP Une implantation Windows 2003 nécessitera fréquemment le déploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003 l'utilisent obligatoirement. L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows 2003 construit (généralement équivalent à un domaine TCP/IP). Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution de noms.. L'utilisation de WINS n'est réellement intéressante que lorsque plusieurs sous-réseaux TCP/IP différents doivent communiquer entre eux via routage et donc constituer un seul et même domaine de nom et que, de plus, la convention de nom simplifiée de NetBEUI doit pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de machines anciennes, utilisation souhaitée du voisinage réseau, ...) qui n'autorise pas le routage. La connexion entre ces sous-réseaux est établie physiquement et logiquement au moyen de routeurs dédiés au protocole TCP/IP. Le problème se pose alors de faire "se trouver" respectivement les machines lorsque qu'un ordinateur situé sur un sous-réseau doit "parler" avec une machine d'un autre sous-réseau. Au sein et sans sortir des différents sous-réseaux, le problème ne se pose pas car il est géré nativement par l'interface NetBEUI. Pour les communications entre sous-réseaux, l'information transitera et sera routée au sein de "paquets" TCP/IP. WINS apporte un service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et les nom NetBIEU. Les machines seront configurées pour interroger un serveur WINS si elles ont besoin d'une résolution de nom. Au démarrage, toute machine configurée pour utiliser éventuellement un serveur WINS s'enregistre dans sa base de manière à la renseigner. Sous Windows 2003, tout comme avec DDNS, une base de données WINS est stockée au sein d'Active Directory si le serveur WINS est contrôleur de domaine et est donc distribuée sur les contrôleurs. Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils échangent leurs bases de données. L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion des paramètres TCP/IP des machines d'un domaine. Les utilisateurs et les groupes d'utilisateurs Les utilisateurs Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine Windows 2003 ou accéder à une ressource partagée par une machine Windows 2003.
21
Windows Server 2003 Practice
Stockage dans la base de donnée des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:
nom d'utilisateur complet nom d'utilisateur principal (UPN, User Principal Name) nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC) mot de passe les restrictions apportées aux actions qui lui sont autorisées …
Exemple de nom: John Smith comme nom complet, [email protected] comme nom principal (ATTENTION, le nom principal est formaté comme une adresse électronique) et w2k3\smith comme nom équivalent NT en convention UNC. Les groupes Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de privilèges et de autorisations. Un utilisateur peut appartenir à plusieurs groupes. -> Possibilité de gestion hiérarchisée des comptes des utilisateurs. -> Facilité de gestion. Deux types de groupe:
Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution. Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à l'attribution d'autorisations ou de droits.
Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:
Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine de l'arborescence de domaine ou de la forêt. Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des comptes du domaine dans lequel le groupe est défini et peuvent recevoir des autorisations dans n'importe quel domaine de la forêt. Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines Serveur contrôleur ou membre.
Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du domaine de définition et des domaines approuvant le domaine de définition. Un seul type de groupe peut être défini sur une machine Windows XP ou 2000 Professionnal ou 2000 ou 2003 Serveur en serveur simple:
les groupes locaux.
Windows Server 2003 Practice
22
Sur ces machines, quand elles appartiennent à un domaine, réception des groupes globaux et universels du domaine d'un des contrôleurs de domaine. Après l'installation initiale d'un Windows Deux comptes d’utilisateur locaux:
un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP Professionnal, désactivé sous Windows 2000 ou 2003 Serveur un compte "administrateur" d'administration local
Différents groupes intégrés locaux:
Administrateurs Invités Utilisateurs Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration non relatifs aux domaines) Opérateurs de sauvegarde Réplicateurs
Différents groupes spéciaux (ne possédant pas de membre):
Créateur/propriétaire (propriétaires des objets) Système (activités liées au système d'exploitation) Réseau (activités d'utilisateurs provenant du réseau) Anonymous logon (utilisateur non authentifié) Utilisateur authentifié (utilisateur authentifié) Batch (processus batch) Dialup (utilisateur via un accès dial-up) Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un domaine approuvé) Interactif (utilisateur qui accède à une ressource en se connectant localement à l'ordinateur proposant cette ressource) Service (un service)
Après l'installation de Windows 2000 ou 2003 Serveur en contrôleur de domaine Deux comptes d’utilisateur:
un compte "invité" du domaine un compte "administrateur" d'administration du domaine
Groupes intégrés créés au sein d'Active Directory:
Administrateurs (domaine local) Invités (domaine local) Utilisateurs (domaine local) Opérateurs de compte (domaine local) (gestion des comptes et des groupes d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration) Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs du réseau) Opérateurs d’impression (domaine local) (gestion du bon fonctionnement des activités liées aux imprimantes) Duplicateurs (domaine local) (gestion des activités de réplication de répertoires)
Windows Server 2003 Practice
23
Admins du domaine (global) Invités du domaine (global) Utilisa. du domaine (global) Ordinateurs du domaine (global) Contrôleurs du domaine (global) Éditeurs de certificats (global) Administrateurs de l'entreprise (universel ou global) Administrateurs de stratégie de groupe (universel ou global) Administrateurs du schéma (universel ou global)
Sur les Windows membres simples d'un domaine Groupes et utilisateurs issus du domaine:
les comptes o "invité" du domaine o "administrateur" d'administration du domaine les groupes o Admins du domaine (global) o Invités du domaine (global) o Utilisa. du domaine (global) o ...
Sur ces machines, existence préservée et utilisation possible des comptes et groupes locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des comptes et groupes locaux. Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par l’administrateur système ou toute personne possédant les privilèges administrateur, admins du domaine ou opérateur de comptes. Contenu précis d’un compte d’utilisateur d'un domaine Informations pouvant être renseignées lors de la création ou bien à tout autre moment après la création:
Nom d'utilisateur complet Nom d'utilisateur principal (UPN, User Principal Name) Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC) Mot de passe Adresse électronique Numéros de téléphone Horaires d’accès Stations de travail autorisées pour l'accès Adresse postale Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers personnels ne sont pas détruits) Répertoire de base (généralement, le répertoire personnel) (répertoire local ou réseau) Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session, mais pas lors du simple accès à une ressource partagée) Profil (localisation des fichiers de configuration de l'utilisateur) Place de l'utilisateur dans son organisation Groupes auxquels appartient l'utilisateur Informations de configuration Remote Access Service
Windows Server 2003 Practice
24
Informations de configuration de l'utilisateur pour les services Terminal Server
SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows 2003. Exemple: S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant été utilisé ne le sera jamais plus. Les stratégies de groupes Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux ordinateurs d'un domaine. Les possibilités offertes par les stratégies de groupes sont très larges:
gestion de l'interface graphique, gestion des applications utilisables par les utilisateurs, installation d'applications, gestion des mises à jour, droits des utilisateurs, configuration automatique des applications, ...
Les profils Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du registre pour le paramètrage des applications) définissant l'environnement de travail d'un utilisateur. Par exemple, pour chaque utilisateur:
son son son son
menu démarrer, bureau, dossier "Mes documents", registre (fichier NTUser.dat): o ses connexions réseaux, ses montages d'imprimante réseau, o ses variables d'environnement (path, set, ...), o ses définitions de couleurs, de police de caractères,... o ses paramétrages logiciels, o ...
...
Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le répertoire "Documents and Settings", généralement dans un répertoire portant le nom de l'utilisateur. "Default User": Profil par défaut géré par le système et attribué par copie à chaque utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client. "All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées communes du Menu démarrer, le bureau commun et la partie du registre commune à tous
25
Windows Server 2003 Practice
les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par l'administrateur. Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui. Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte. -> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine (accessible à toutes les machines du domaine).
Lors de la connexion, téléchargement automatique du profil sur le poste client dans le répertoire "Documents and settings". Utilisation du profil (avec ou sans modification) sur le poste client. Lors de la déconnexion, déchargement automatique du profil du poste client vers le serveur. Conservation éventuelle du profil local en cache sur le poste client. Sinon, effacement.
La sécurité: Les privilèges (droits) Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur permettant d'exécuter une action système. Privilège attribué à un groupe -> Automatiquement attribué à l’ensemble de ses membres. A l'installation du système d'exploitation, attribution par le programme d'installation de privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés. Via les stratégies de groupes, les administrateurs pourront changer les privilèges des groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent. Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé. La sécurité: les autorisations Autorisation: Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.
Accès sécurisé Accès sécurisé Accès sécurisé Accés sécurisé d'ACLs..
pour les fichiers et répertoires créés dans une partition NTFS. pour les imprimantes. aux ressources réseau (fichiers, imprimantes, ...). à tous les objets du système d'exploitation soumis à l'attribution
Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il possède généralement tous les droits sur cet objet). Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs). Autorisations pouvant être attribuées par l'administrateur (simplifié):
26
Windows Server 2003 Practice
Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers qu'il contient ou qu'il contiendra lors de leur création):
Aucun accès Lister Lire Ajouter Ajouter et lire Modifier Contrôle total Accès spécial à un répertoire… Accès spécial à un fichier…
Pour les fichiers
Aucun accès Lire Modifier Contrôle total Accès spécial
Accès spéciaux:
Lire Écrire Exécuter Effacer Changer les permissions Prendre possession
Contrôle total: toutes les permissions précédentes sont attribuées. NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses propres autorisations. A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés -> sécurité minimale. Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité des objets. Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions du répertoire dans lequel il est placé (le créateur en est le propriétaire). Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de sécurité. La sécurité: L'audit Audit: Conservation d'une trace des événements détectés sur une machine. A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements.
27
Windows Server 2003 Practice
Evénements pouvant être audités:
Système (audit des activités du système d'exploitation) Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources) Application (audit des applications et des services) Active Directory (spécifique aux DC) DNS (spécifique aux serveurs DNS) Réplication de fichiers (spécifique aux machines réplicatrices)
-> Autant de journaux différents. Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software. Journal sécurité: Audit des activités des utilisateurs. Événements pouvant être audités dans le journal sécurité:
Les ouvertures et fermeture de session Les accès aux fichiers et objets L'utilisation de ses droits par un utilisateur La gestion des utilisateurs et des groupes Les modifications de la stratégie de sécurité Les démarrages et arrêts du système Le suivi de processus
Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory, DNS et Réplication de fichiers. La gestion des partitions et des systèmes de fichiers Introduction du système de fichiers NTFS avec Windows NT 4.0. Nécessaire à la gestion de la sécurité d'accès aux fichiers, à l'implantation de la compression à la volée et à l'encryptage des données. Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité -> disques RAID). Gestion du système de fichiers FAT32 (Windows 98). Gestion du système de fichiers FAT16. Gestion des noms longs.
IV - INSTALLATION (TYPE SALLE TP)
L'installation de Windows 2003 Serveur débute par l'installation du système d'exploitation lui-même (avec service pack et updates nécessaires). Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit déjà implantés au sein du système et donc directement utilisables après configuration, soit non installés et donc nécessiteront l'installation de composants systèmes supplémentaires
28
Windows Server 2003 Practice
qui eux aussi devront être configurés. La configuration d'une machine en contrôleur de domaine est un exemple typique de ce genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est pas disponible par ailleurs. Choix du système de fichier de la partition d'installation Support de trois systèmes de fichiers reconnus:
FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité sur les fichiers, plus gourmand en espace, plus rapide FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows 98, pas de sécurité sur les fichiers NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers, moins gourmand en espace, moins rapide
(1) Installation de Windows 2003 Server Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant (DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000). Problème : accès aux fichiers d'installation. Deux solutions :
Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur CD, lecteur réseau) de la machine d'installation fonctionnant sur un système d'exploitation préexistant. Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine disposant d'un lecteur CD bootable.
Première phase: Lancement du programme d'installation
WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98 WINNT32.EXE (32 bits) sous Windows NT ou 2000. Lancement direct avec l'utilisation d'un CD bootable
But :
création (s'elle n'existe pas encore) de la partition d'installation, préparation de l'installation par recopie des fichiers d'installation sur le disque dur de votre machine dans un répertoire temporaire, création d'un mini-NT bootable sur la partition d'installation.
Deuxième phase Redémarrage de l'ordinateur Travail en mode texte. Renseignements concernant principalement le matériel présent sur la machine d'installation.
29
Windows Server 2003 Practice
Installation de Windows 2003 Server -> ENTRÉE -> Installer Windows maintenant. Installation de Windows 2003 Server -> ENTRÉE -> Détection automatique des périphériques de mémoire de masse. Installation de Windows 2003 Server -> ENTRÉE -> Pas d'autre périphérique. En cas de matériel spécifique, on peut charger des pilotes logiciels spéciaux. Examen du contrat de licence puis F8. Installation de Windows 2003 Server -> N (s'il existe déjà un système) ou ENTRÉE (sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilité d'effectuer une mise à jour si un système préexistait. Installation dans la partition désirée. Utilisation d'une partition existante. Possibilité de créer une partition s'il n'en existe pas. Choix du type de système de fichier (NTFS, FAT) pour cette partition à formater ou non si elle existait déjà.. Installer dans le répertoire \WINDOWS. ENTRÉE pour redémarrer la machine.
Troisième phase Redémarrage en mode graphique. Collecte des informations concernant la machine
Donner vos coordonnées (nom et organisation). Indiquer le mode de licence client. Toute connexion avec un utilisateur requière l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux modes de licence client (Microsoft considère que les utilisateurs sont honnêtes et ont acheté un nombre suffisant de licences client) : o par serveur : On indique le nombre de licences disponibles sur le serveur et donc le nombre maximum de connexions simultanées sur ce serveur. C'est le mode de gestion des licences le plus simple, il s'accommode bien d'un site pourvu d'un seul domaine et d'un seul serveur. o par siège : Les licences sont associées aux utilisateurs. A chacun d'eux correspond une licence. Ce mode de gestion de licence est utilisé dans les environnements poly-serveurs ou poly-domaines. Donner le nom de votre machine. 15 caractères alphanumériques au maximum, pas d'espace, pas d'accent, pas de ponctuation. Donner le mot de passe de l'administrateur.
Configuration du réseau
Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée, installer le pilote trouvé sur la disquette ou le CD fourni avec la carte. Demander l'installation du seul protocole TCP/IP.
Configuration du protocole réseau TCP/IP
On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP allouées de manière définitive. Configuration des paramètres du protocole TCP/IP. o Adresse IP : xxx.xxx.xxx.xxx o Masque de sous-réseau : yyy.yyy.yyy.yyy o Gateway : zzz.zzz.zzz.zzz.zzz o Nom de domaine : abcd.xyz o Serveur DNS : aaa.aaa.aaa.aaa
Windows Server 2003 Practice
30
Terminer l'installation.
Fuseau horaire : Paris Installer la carte graphique détectée.
Dernière phase de l'installation Redémarrer la machine Après démarrage et ouverture de session administrateur, le gestionnaire de serveur est lancé automatiquement proposant la réalisation des tâches suivant habituellement l'installation initiale.
Les aspects concernés sont:
l'installation et la gestion d'Active Directory Service la gestion de services de partage de fichiers la gestion de services de partage d'imprimantes la gestion de services Internet (ou Intranet) ... INSTALLATION ACTIVE DIRECTORY
Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour la gestion d'annuaires. Il est utilisé pour toutes les tâches d'administration demandant une forte implantation réseau et en particulier pour la création de domaines. De base, ADS n'est pas installé sous Windows 2003. Au cours de son installation, un domaine devra être défini. La machine d'installation pourra prendre différents rôles:
31
Windows Server 2003 Practice
premier contrôleur d'un nouveau domaine dans une nouvelle forêt, premier contrôleur d'un domaine enfant d'un domaine existant, premier contrôleur d'un nouveau domaine dans une forêt existante, contrôleur supplémentaire au sein d'un domaine existant.
Deux méthodes sont possibles pour installer Active Directory:
Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour un nouveau domaine dans une nouvelle forêt.. Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler tous les aspects de l'installation.
L'assistant "Gérer votre serveur"
Ajouter ou supprimer un rôle
Configuration par défaut pour un premier serveur. Si "Configuration personnalisée" est choisi, bascule sur dcpromo. ATTENTION, reboot réalisé automatiquement en cours d'installation.
32
Windows Server 2003 Practice
33
Windows Server 2003 Practice
Choix du nom du nouveau domaine (au format nom TCP/IP)
Choix du nom compatible NetBEUI
34
Windows Server 2003 Practice
Choix d'un éventuel redirecteur DNS
35
Windows Server 2003 Practice
Confirmation -> Démarrage de l'installation
36
Windows Server 2003 Practice
Reboot automatique Réouverture de session (le mot de passe de l'administrateur du domaine est le mot de passe de l'ancien administrateur local)
37
Windows Server 2003 Practice
Reprise de l'installation
38
Windows Server 2003 Practice
Fin de l'installation
Contenu du journal "Configuration de votre serveur"
39
Windows Server 2003 Practice
Utilisation de l'utilitaire dcpromo Quelques définitions importantes Contrôleur de domaine Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs, l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt. Contrôleur de domaine supplémentaire Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique. Domaine enfant Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine. Arborescence de domaine Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms. Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt. Forêt Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d'attribut (schéma), les mêmes informations relatives au site et à la réplication (configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives. Installation d'un nouveau domaine dans une nouvelle forêt
40
Windows Server 2003 Practice
Début de l'installation d'Active Directory Service
Choix du type de contrôleur de domaine : un nouveau contrôleur ou un contrôleur supplémentaire. Ici, un contrôleur de domaine pour un nouveau domaine
41
Windows Server 2003 Practice
Choix du type de domaine créé: Nouveau domaine dans une nouvelle forêt. nouveau domaine enfant dans une arborescence de domaines existante dans une forêt existante, nouveau domaine dans une nouvelle arborescence de domaine au sein d'une forêt existante Ici, un nouveau domaine dans une nouvelle forêt
Choix du nom du domaine créé (nom complet)
42
Windows Server 2003 Practice
Choix du nom du domaine NetBIOS pour compatibilité avec les versions antérieures de Windows
Emplacements de stockage des informations ADS
43
Windows Server 2003 Practice
Alerte relative à l'absence d'un serveur DNS compatible pour ce domaine -> Installation de la machine en serveur DNS.
44
Windows Server 2003 Practice
Toujours pour compatibilité avec les anciennes versions de Windows
Définition du mot de passe administrateur pour le redémarrage en mode restauration ADS
45
Windows Server 2003 Practice
Résumé de l'installation demandée
Début de l'installation
Installation en cours
Début d'installation du service DNS
46
Windows Server 2003 Practice
Fin d'installation de DNS
47
Windows Server 2003 Practice
Fin d'installation d'ADS
Redémarrage de la machine Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univfcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré. Suite : Configuration minimale du service DNS Installation d'un contrôleur supplémentaire pour un domaine existant
Reprise de dcpromo avec choix d'un serveur supplémentaire
48
Windows Server 2003 Practice
Authentification avec un compte administrateur du domaine d'insertion
Choix du domaine d'insertion
49
Windows Server 2003 Practice
Choix de la localisation des fichiers et répertoires Active Directory
Choix de la localisation du volume Système d'Active Directory
50
Windows Server 2003 Practice
Choix du mot de passe de restauration des services d'annuaire
Résumé de l'installation choisie puis installation
51
Windows Server 2003 Practice
Les maîtres d'opérations Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même niveau du point de vue des charges d'administration et donc à l'indifférenciation des contrôleurs -> 5 opérations à maître unique:
Contrôleur du schéma Maître d'attribution de noms de domaine Maître RID (ID relatives) Maître de l'émulateur PDC Maître d'infrastructure
Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine fonctionne correctement. Ces rôles peuvent être transférés entre contrôleurs.
Contrôleur du schéma: Outils d'administration "Schéma Active Directory" Maître d'attribution de noms de domaine: Outils d'administration "Domaines et approbations Active Directory" Maître RID: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Maître de l'émulateur PDC: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Maître d'infrastructure: Outils d'administration "Utilisateurs et ordinateurs Active Directory"
52
Windows Server 2003 Practice
V - DNS et DDNS
Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour l'implantation de serveurs DNS. Après installation d'ADS et de DDNS, un certain nombre de nouveaux outils d'administration sont disponibles dont l'administrateur DNS.
53
Windows Server 2003 Practice
Le gestionnaire DNS Les tâches à réaliser via cet outil sont:
la configuration de la résolution directe nom IP -> adresse IP, la configuration de la résolution inverse adresse IP -> nom IP, l'intégration au sein du domaine univ-fcomte.fr par référenciation du où des serveurs DNS de ce domaine qui seront contactés lorsqu'une résolution ne peut être conclue localement.
En outre, le serveur de domaine telemaque, défini pour le domaine w2k3.univ-fcomte.fr, devra être déclaré auprès de l'administrateur du domaine univ-fcomte.fr pour délégation vers lui des requêtes qui concernent ses machines.
Un seul serveur DNS dont le nom est TELEMAQUE Définition de zones de recherche directes pour les résolution nom IP -> adresse IP et de zones de recherche inverses pour les résolutions adresse IP -> nom IP
54
Windows Server 2003 Practice
Menu contextuel associé au serveur TELEMAQUE
Une zone de recherche directe définie pour le domaine w2k3.univ-fcomte.fr, mais pas de zone inverse Zone directe _msdsc.w2k3.univ-fcomte.fr créée automatiquement et nécessaire pour que ce serveur DNS soit utilisable pour un domaine Windows 2003 Evénements DNS enregistrés dans le journal "Observateur d'événements"
55
Windows Server 2003 Practice
Menu contextuel associé aux clefs "zones de recherche directes" et "zones de recherche inverses" Configuration de w2k3.univ-fcomte.fr en zone directe
Menu contextuel associé à un domaine TCP/IP en zone de recherche directe
Déclaration d'une nouvelle machine (hôte) avec demande de création automatique du pointeur PTR associé
56
Windows Server 2003 Practice
et autorisation du changement de l'adresse associée à ce nom par DDNS
Warning car la zone inversée n'existe actuellement pas!
Si la zone inverse existait.
Résultat
57
Windows Server 2003 Practice
Déclaration d'un nouvel alias
Etat après configuration Configuration de la classe 172.20.128.xxx en zone inverse
58
Windows Server 2003 Practice
Existence actuelle d'aucune zône inversée
Lancement de l'assistant de création de zone inverse
59
Windows Server 2003 Practice
Création d'une zône principale intégrée à Active Directory
Choix de l'étendue de réplication de cette zône
60
Windows Server 2003 Practice
Définition de l'ID réseau de cette zone
Choix du mode de mise à jour dynamique
61
Windows Server 2003 Practice
Fin de l'assistant de création de zone inverse
DNS avec zone de recherche inverse
62
Windows Server 2003 Practice
Menu contextuel associé à une zone de recherche inverse
Création d'un nouveau pointeur de zone de recherche inverse
63
Windows Server 2003 Practice
Lors de la création d'un hôte de zone de recherche directe, création simultanée du pointeur associé en zone de recherche inverse
Configuration d'un serveur DNS redirecteur
64
Windows Server 2003 Practice
Onglet Redirecteurs dans les propriétés du serveur DNS TELEMAQUE Reconfiguration des paramètres TCP/IP
Reconfiguration des paramètres TCP/IP pour intégrer le 172.20.128.115 comme DNS principal et w2k3.univ-fcomte.fr comme premier suffixe DNS Etat du DNS après configuration complète
Zone de recherche directe
65
Windows Server 2003 Practice
Zone de recherche inverse Tests (nslookup) S'assurer que TCP/IP est correctement configuré sur la machine de test (voir ci-avant).
Commande nslookup exécutée dans une invite de commande
66
Windows Server 2003 Practice
tests nom IP -> adresse IP réussis pour des noms du domaine
tests nom IP -> adresse IP ratés pour des noms du domaine
test nom IP -> adresse IP réussi pour un alias du domaine
67
Windows Server 2003 Practice
test nom IP -> adresse IP pour un nom quelconque (noter le message "Reponse ne faisant pas autorite" qui s'explique par le fait que le notre DNS et son redirecteur ne s'authentifient pas)
tests nom IP -> adresse IP réussis pour des noms complets
tests nom IP -> adresse IP ratés pour des noms complets
tests adresse IP -> nom IP réussis pour des adresses renseignées dans les zones inversées du serveur
68
Windows Server 2003 Practice
test adresse IP -> nom IP raté pour des adresses renseignées dans les zones inversées du serveur
test adresse IP -> nom IP réussi pour des adresses quelconques
Éléments d'utilisation L'ouverture de session La combinaison de touches Ctrl - Alt - Suppr donne accès à la fenêtre d'ouverture de session. Le nom d'utilisateur et le mot de passe associé doivent être indiqué. Il est aussi nécessaire de choisir le domaine de connexion (celui du compte) parmi ceux proposés. La fermeture de session Quelle que soit la tâche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accès à une fenêtre permettant d'initier la procédure de fermeture de session. Le bureau Windows 2003 et ses composants Il constitue l'environnement de travail et reprend la métaphore du bureau (type Macintosh). Il est composé en version de base du logiciel Internet Explorer 6.0 qui assure les fonctions d'interface utilisateur et de navigateur Internet.
69
Windows Server 2003 Practice
Composants principaux :
une barre donnant accès au menu démarrer, à des icônes d'applications lançables, aux icônes des applications lancées réduites ou non, ...,
des icônes cliquables qui représentent des raccourcis vers des composants du système (l'utilisateur peut créer sur le bureau ses propres raccourcis donnant accès à des documents ou des applications),
70
Windows Server 2003 Practice
Menu contextuel associé au poste de travail
les fenêtres des applications lancées et non réduites.
Le menu démarrer Il permet le lancement des applications installées.
71
Windows Server 2003 Practice
Présence d'un groupe d'outils dédiés à l'administration de la machine.
Il peut être configuré par l'utilisateur pour contenir des icônes personnelles (Démarrer -> Paramètres-> Barre des tâches et menu démarrer).
72
Windows Server 2003 Practice
73
Windows Server 2003 Practice
Description contenue dans le répertoire D:\Documents and Settings\utilisateur pour les différents utilisateurs.
74
Windows Server 2003 Practice
Le poste de travail Il donne accès à une visualisation sous forme d'icônes des unités, des répertoires et des fichiers présents ou accessibles sur l'ordinateur local. Les unités sont affectées d'une lettre de lecteur. Elles peuvent être de type :
lecteur de disquette, disque dur, lecteur de CD Rom, répertoire réseau, disque amovible, ...
Le poste de travail donne aussi accès au panneau de configuration, aux documents de l'utilisateur, aux favoris réseau de l'utilisateur et à l'accès réseau à distance.
L'icône "Favoris réseau" Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses ressources disponibles sur le réseau proposées par ces machines:
imprimantes, répertoires partagés, utilisateurs, ...
Elle permet aussi de configurer des raccourcis réseau.
75
Windows Server 2003 Practice
Favoris enregistrés
76
Windows Server 2003 Practice
Tout le réseau
Le réseau Microsoft Windows (deux domaines ou workgroups détectés W2K3 et Odyssee)
Machines du domaine W2K3
77
Windows Server 2003 Practice
La base de données Active Directory disponible sur la machine telemaque.w2k3.univfcomte.fr Le gestionnaire de tâches Obtenu à partir de la combinaison de touches Ctrl – Alt – Suppr. Il est composé de cinq onglets qui décrivent l'état du système du point de vue des tâches en cours d'exécution. (1) Description des applications lancées par l'utilisateur en session
78
Windows Server 2003 Practice
Menu contextuel associé à une application Noter la possibilité d'arrêter (quit) une application Noter la possibilité de sélectionner le processus correspondant à une application (voir onglet suivant) (2) Liste des processus en cours d'exécution (tous les processus)
79
Windows Server 2003 Practice
Menu contextuel associé à un processus Noter la possibilité de terminer un processus (kill) si les autorisations le permettent Noter la possibilité de définir la priorité d'un processus (avec prudence) Noter la possibilité de définir sur quel processeur un processus s'exécute (3) Utilisation de la mémoire et du C.P.U.
Noter la présence de deux historiques d'utilisation de processeur (2 processeurs virtuels sur un pentium IV hyperthreadé) (4) Utilisation du réseau
80
Windows Server 2003 Practice
(5) Utilisateurs en cours
81
Windows Server 2003 Practice
Menu contextuel associé à un utilisateur Noter la possibilité de fermer la session d'un utilisateur Les fichiers système Système stocké dans les répertoires \Winnt de l'unité system:
\Winnt\Repair : fichiers de réparation \Winnt\System : fichiers système (compatibilité Windows 3.11, 95, 98) \Winnt\System32 : fichiers système 32 bits \Winnt\System32\config : une partie du registre \Winnt\System32\Dhcp : configuration et informations DHCP \Winnt\System32\Dns : configuration et informations DNS \Winnt\System32\Wins : configuration et informations WINS
Profils des utilisateurs sous \Documents and Settings Installation des applications sous \Program files Fichiers publiés sous IIS sous \Inetpub ou éventuellement ailleurs Contenu des poubelles dans \Recycler sur chaque unité (la poubelle de chaque utilisateur est le répertoire portant comme nom le SID de l'utilisateur)
Il peut être utile de créer un répertoire temporaire \temp Registre (Registry) : Base de données décrivant la configuration du système. Attention aux permissions sur l'ensemble de ces répertoires. Les programmes d'installation les configurent de manière peut restrictive. Il est difficile de supprimer quelque chose de véritablement important sans être administrateur. En revanche, il est possible d'ajouter ou de remplacer. LIMITER L'ACCES A LA CONSOLE.
82
Windows Server 2003 Practice
VI - ADMINISTRATION
Informations preliminaries Sites Internets http://www.microsoft.com : Site Microsoft http://www.windowsupdate.com : Site Microsoft pour la mise à jour des systèmes d'exploitation http://www.microsoftupdate.com : Site Microsoft pour la mise à jour des systèmes d'exploitation et logiciels applicatifs Livres Microsoft Windows 2003 Resource Kit (environ 300€, 6 livres + 1 CD) :
Planification et déploiement Administration des serveurs Architecture TCP/IP Internet Information Services Interopérabilité des réseaux Systèmes distribués Utilitaires logiciels: o scopy o addusers o pviewer ADMINISTRATION (LE PANNEAU DE CONFIGURATION)
Le panneau de configuration Il permet une partie de la configuration de l’ordinateur. Il est dédié aux paramétrages du matériel et des logiciels installés localement.
L'affichage IL réalise la configuration de l'affichage au sens:
thème du bureau, motif ou image d'arrière plan du bureau, écran de veille, couleurs, iconographie, résolution, nombre de couleurs, vitesse de balayage, type de carte graphique et configuration de son pilote logiciel.
Windows Server 2003 Practice
83
Thème du bureau
84
Windows Server 2003 Practice
Image ou motif d'arrière plan Personnalisation du bureau par Active Desktop
Economiseur d'écran
85
Windows Server 2003 Practice
Look pour l'affichage
Résolution, nombre de plan de couleurs
86
Windows Server 2003 Practice
87
Windows Server 2003 Practice
Bouton "Avancé" à partir de l'onglet paramètres: Configuration plus précise des paramètres d'affichage (taille des polices utilisées, résolutions gérées par la carte graphique, fréquence de rafraichissement du moniteur, ...)
Ajout de matériel
88
Windows Server 2003 Practice
Windows 2003 gère le plug'n'play. -> Les cartes d'extension et les périphériques matériels sont automatiquement reconnus et installés (ou retirées). Problème: Les périphériques trop anciens ou trop récents peuvent ne pas être reconnus. Problème: L'installation de nouveaux pilotes peut être nécessaire. Problème: Le plug'n'play peut ne pas fonctionner correctement. Problème: Un matériel peut ne pas fonctionner correctement. Le panneau "Ajout/Suppression de matériel" permet de résoudre ces problèmes.
89
Windows Server 2003 Practice
Test de la configuration matérielle de l'ordinateur
90
Windows Server 2003 Practice
Tout est normal
Un pilote logiciel pose problème
91
Windows Server 2003 Practice
Fin de l'assistant et bascule vers l'assistant de mise à jour du matériel (pilotes)
92
Windows Server 2003 Practice
93
Windows Server 2003 Practice
Pas de solution sans CD de pilote
Ajout/Suppression de programmes Il permet l'installation et la suppression de logiciels et de composants système sur l'ordinateur.
94
Windows Server 2003 Practice
Modification/désinstallation de programmes Affichage ou non des mises à jour
Installation de nouveaux programmes
95
Windows Server 2003 Practice
Installation/désinstallation de composants du système d'exploitation
Composants système (services) disponibles
Autres services de fichiers et d'impression en réseau
96
Windows Server 2003 Practice
Services de mise en réseau
Serveur d'applications
Services Internet disponibles
Options d'alimentation Il permet la gestion de l'énergie consommée par la machine et la gestion d'un onduleur.
97
Windows Server 2003 Practice
Configuration de paramètres de gestion et d'économie d'énergie
Configuration de paramètres avancés d'interface
98
Windows Server 2003 Practice
Configuration de la mise en veille prolongée
99
Windows Server 2003 Practice
Configuration de la gestion d'un onduleur détection des coupures de courant, arrêt automatique de la machine en cas de panne de courant prolongée, envoi d'alertes administratives Panneau de configuration généralement rendu inutile par le logiciel fournit par le fabriquant d'onduleurs.
Options des dossiers Configuration des options d'affichage et d'utilisation de Internet Expolorer en tant qu'interface utilisateur.
Paramètres généraux
100
Windows Server 2003 Practice
Paramètres d'affichage
101
Windows Server 2003 Practice
Types de fichier associés aux extensions
102
Windows Server 2003 Practice
Paramètres d'utilisation des fichiers hors connexion
Options Internet Configuration des paramètres relatifs à l'accès à Internet au moyen de Internet Explorer et des logiciels qui se configurent sur les paramètres de Internet Explorer.
103
Windows Server 2003 Practice
Page de démarrage, paramètres de cache et de gestion de l'historique des navigations
Bouton "Paramètres" de l'onglet "Général": mode de vérification, localisation disque, taille et contenu pour le cache
104
Windows Server 2003 Practice
Onglet "Connexions": Paramètres de la connexion
Bouton "Paramètres réseau" de l'onglet "Connexion": Configuration d'un serveur proxy
Bouton "Avancée...": Configuration port par port et exclusions
105
Windows Server 2003 Practice
Applications associées aux différents services Internet
106
Windows Server 2003 Practice
107
Windows Server 2003 Practice
Paramètres avancés. Il peuvent être différents d'un système à un autre.
Date/Heure Configuration de la date, de l'heure de la machine, du passage automatique à l'heure d'été et du fuseau horaire si la référence horaire GMT est nécessaire.
108
Windows Server 2003 Practice
Imprimantes Configuration des Imprimantes (voir plus loin)
La gestion des licences sur Windows 2003 Server Ce panneau permet le choix du mode de gestion des licences d'accès client ainsi que l'ajout ou la suppression de licences d'accès client dans le mode par serveur. Par Siège Le mode de licence "Par siège" est la meilleure option si les clients utilisent fréquemment plusieurs serveurs sur le réseau. Le mode de licence Par siège permet à tous les ordinateurs du réseau d'accéder à tous les serveurs d'un réseau. Il n'y a aucune limite quant au nombre de connexions simultanées, quel que soit le serveur. Par siège est le mode de licence normal pour un produit serveur installé sur plusieurs serveurs d'un réseau. Par Serveur Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est installé sur un seul serveur accessible à tout moment par tout au plus un sousensemble des utilisateurs. Les connexions simultanées Par serveur à un serveur spécifique sont allouées sur une base premier arrivé, premier servi et limitées au nombre de licences d'accès client allouées au serveur. Cela peut s'avérer économique pour un réseau doté d'un seul serveur ou pour un produit serveur accessible sur un serveur par un seul département ou groupe d'une organisation. Une unique conversion en licence Par siège est autorisée.
109
Windows Server 2003 Practice
Mode de gestion des licences pour la machine locale.
Ajour de nouvelles licences "Par serveur"
Suppression de licences "Par serveur"
Mises à jour automatiques Il permet de choisir le mode de gestion des mises à jour automatiques du système sur le site http://www.windowsupdate.com.
110
Windows Server 2003 Practice
Trois possibilités d'actions si actif: rien d'automatique, téléchargement automatique mais installation à la demande, tout automatique
Sons et multimédia Configuration des sons et des périphériques Multimédia utilisés par le système.
Configuration du volume
111
Windows Server 2003 Practice
Configuration des sons en réponse à des événements
Choix des pilotes audio
112
Windows Server 2003 Practice
Choix des pilotes utilisés pour la gestion de la voix
Pilotes installés
113
Windows Server 2003 Practice
Connexions réseau Il assure les opérations de configuration des paramètres réseau et/ou d'accès à distance (modem).
114
Windows Server 2003 Practice
Nouvelle connexion
Connexion au réseau local
115
Windows Server 2003 Practice
Propriétés de la connexion locale: Composants clients installés Services installés, Protocoles installés,... Possibilité d'avoir un écho de cette fenêtre dans la barre des tâches.
Installation de nouveaux composants réseau (clients, services ou protocole)
116
Windows Server 2003 Practice
Clients
Services
117
Windows Server 2003 Practice
Protocoles
Propriétés du protocole TCP/IP: Adresse IP et paramètres de base
118
Windows Server 2003 Practice
Propriétés du protocole TCP/IP: Paramètres IP complets
Propriétés du protocole TCP/IP: Configuration DNS
119
Windows Server 2003 Practice
Propriétés du protocole TCP/IP: Configuration WINS
Propriétés du protocole TCP/IP: Options de sécurité
120
Windows Server 2003 Practice
Option de sécurité TCP/IP: Filtrage
Possibilité de configurer plusieurs adresses IP ou passerelles par défaut sur la même interface
121
Windows Server 2003 Practice
Outils d'administration
Autres outils d'administration locale mais aussi outils plus particulièrement dédiés à l'administration des domaines (Voir plus loin)
122
Windows Server 2003 Practice
Propriétés du système
Paramètres généraux (système d'exploitation, références de l'installateur, type de machine)
123
Windows Server 2003 Practice
Identification réseau par un nom de machine et une appartenance à un domaine ou un groupe de travail. Suivant le statut de la machine, tous les changements sont possibles ou non Configuration matérielle du système
Configuration avancée Configuration avancée -> Performances -> Effets visuels
124
Windows Server 2003 Practice
Configuration avancée -> Performances -> Avancé
Configuration avancée -> Performances -> Avancé -> Mémoire virtuelle
125
Windows Server 2003 Practice
Options de performances
126
Windows Server 2003 Practice
Profils des utilisateurs
Démarrage et récupération
127
Windows Server 2003 Practice
Variables d'environnement
Rapport d'erreurs
128
Windows Server 2003 Practice
Mise à jour automatiques
Utilisation à distance
129
Windows Server 2003 Practice
Tâches planifiées Programmation de tâches (récurrentes ou non)
Fenêtre tâches planifiées
Création d'une nouvelle tâche
130
Windows Server 2003 Practice
Choix du programme à exécuter
Choix de l'instant d'exécution Paramètrage des différentes options horaires
131
Windows Server 2003 Practice
Choix de l'utilisateur exécutant le programme
Création de la tâche planifiée
132
Windows Server 2003 Practice
Résultat
Propriétés d'une tâche
Propriétés d'une tâche: Configuration horaire
133
Windows Server 2003 Practice
Propriétés d'une tâche: Modalités de fonctionnement Propriétés d'une tâche: Sécurité
Propriétés d'une tâche planifiée hebdomadaire
Propriétés avancées d'une tâche planifiée hebdomadaire
134
Windows Server 2003 Practice
Résultat
Menu contextuel associé à une tâche planifiée
Résultat de la désactivation via l'utilisation des propriétés Compatibilité avec la commande AT
135
Windows Server 2003 Practice
Configuration de l'utilisateur exécutant les commandes de la commande AT
Via invite de commande, création et affichage des commandes de la commande AT
Les commandes de la commande AT apparaissent dans les tâches planifiées, mais toute modification les transforme en une commande classique.
136
Windows Server 2003 Practice
Programmation au moyen de la commande schtasks
Liste des tâches planifiées
Programmation d'une tâche planifiée
Résultat
137
Windows Server 2003 Practice
Noms et mots de passe utilisateurs
Pare-feu Windows
Autres panneaux de configuration
Clavier Souris Options de modems Options d'accessibilité Options de jeu Scanneurs et appareils photo Options régionales Polices Panneaux installés par les applications (Java Plug-in, QuickTime, HP JetAdmin, Symantec LiveUpdate, Recherche Accélérée, ODBC,...) ... Administration (L'explorateur et ses fonctions)
L’explorateur Windows 2003 L'explorateur Windows 2003 est l'outil de visualisation et de configuration des unités déclarées sur la machine ("montées"): unités locales et unités réseau. Les fonctionnalités assurées par l'explorateur sont constamment améliorées par Microsoft et les éditeurs tiers. Son interface est celle d'Internet Explorer (en version 6 pour Windows 2003 et suivant les mises à jour effectuées après installation initiale). Il permet la gestion de fichiers classique, mais son rôle va beaucoup plus loin :
le parcours des répertoires montés sur une machine, le montage et démontage de répertoires réseau, l'affectation d'autorisations aux utilisateurs pour les unités, les répertoires et les fichiers locaux et réseau via une opération de montage, le partage de répertoires sur le réseau et la configuration de la sécurité pour l'accès réseau à ces répertoires, la configuration de l'audit sur les fichiers, les répertoires et les unités, l'appropriation des unités, répertoires et fichiers, ...
138
Windows Server 2003 Practice
Ces quatre dernières opérations sont accessibles via l'option propriétés demandée sur un objet soit par les menus soit par un clic du bouton droit de la souris.
139
Windows Server 2003 Practice
140
Windows Server 2003 Practice
Propriétés d’une unité Un certain nombre d'onglets qui peuvent varier en fonction du type de système de fichiers monté sur l'unité.
Général: Caractéristiques générales pour une partition FAT
141
Windows Server 2003 Practice
Général: Caractéristiques générales pour une partition NTFS
142
Windows Server 2003 Practice
Outils: Vérification, sauvegarde et défragmentation
Matériel: Périphériques de stockage présents sur le système
143
Windows Server 2003 Practice
Partage: Partage sur le réseau pour la création d'une ressource réseau (voir plus loin)
Sécurité: Configuration de la sécurité (utilisable si l'unité est formatée en NTFS)
144
Windows Server 2003 Practice
Clichés instantanés: Configuration et utilisation
Quota: Configuration de quotas d'espace disque disponible aux utilisateurs sur cette unité
145
Windows Server 2003 Practice
Exécution automatique pour les lecteurs amovibles Configuration des autorisations sur une unité Attribuées aux groupes d'utilisateurs ou aux utilisateurs
pour les répertoires contenus (récursivement ou non), pour les fichiers contenus
pour peu que l'unité soit formattée en NTFS.
146
Windows Server 2003 Practice
Fenêtre générique de gestion de la sécurité
147
Windows Server 2003 Practice
Accès aux options avancées de gestion de la sécurité: Autorisations (Permissions), Audit, Propriétaire
148
Windows Server 2003 Practice
Choix de un ou plusieurs utilisateurs ou groupes d'utilisateurs
149
Windows Server 2003 Practice
Fenêtres de recherche avancée et de choix des types d'objets recherchés
Affectation des autorisations
150
Windows Server 2003 Practice
Portée de l'affectation d'autorisations
Autorisations possibles sur les unités Audit de l'accès à une unité
151
Windows Server 2003 Practice
Vérous d'audit possibles
Résultat
152
Windows Server 2003 Practice
Propriétaire et appropriation d'une unité
Autorisations effectives sur une unité Lorsque beaucoup d'autorisations sont placées sur une unité, il peut être difficile de savoir les autorisations effectives dont disposera un utilisateur ou un groupe d'utilisateurs. En effet, celui-ci peut appartenir à plusieurs groupes référencés et obtiendra l'autorisation la plus "permissive" parmi toutes celles qui lui réfèrent. L'onglet "Autorisations effectives" résoud ce problème car il permet de visualiser les autorisations qui s'appliquent à une unité pour un utuilisateur ou un groupe d'utilisateurs partculier.
153
Windows Server 2003 Practice
Propriétés d’un répertoire
154
Windows Server 2003 Practice
Général: Propriétés générales
Partage: Configuration d'un répertoire partagé pour la création d'une ressource réseau (voir plus loin)
155
Windows Server 2003 Practice
Sécurité: Permissions sur le répertoire (ici, elles sont héritées du répertoire parent)
Personnaliser: Configuration des paramètres d'affichage Configuration des permissions sur un répertoire Possibilités identiques aux permissions sur une unité.
156
Windows Server 2003 Practice
Sécurités avancées
Permissions héritées du répertoire parent
157
Windows Server 2003 Practice
Autorisations possibles sur les répertoires Configuration de l'audit sur un répertoire Possibilités identiques à l'audit sur une unité. Propriétés d’un fichier
Général: Caractéristiques générales
158
Windows Server 2003 Practice
Sécurité: Paramétres de sécurité
159
Windows Server 2003 Practice
Résumé: Résumé du fichier (si disponible)
Résumé -> Avancé: Résumé avancé du fichier (si disponible) Configuration des autorisations sur un fichier
160
Windows Server 2003 Practice
Sécurités avancées
Affectation d’autorisations (en grisé car hérité)
Autorisations possibles sur les fichiers
161
Windows Server 2003 Practice
Après affectation de permissions au groupe Utilisateurs authentifiés Configuration de l'audit sur un fichier Possibilités identiques à l'audit sur un répertoire.
Partage d’une unité ou d'un répertoire Cette opération propose une unité ou un répertoire en accès aux autres machines du réseau:
L'administrateur devra choisir un nom de ressource partagée.
Windows Server 2003 Practice
162
En outre, elle permet la configuration de la sécurité d'accès à la ressource par l'intermédiaire d'autorisations aux utilisateurs ou aux groupes d'utilisateurs:
L'administrateur devra attribuer ces autorisations d'accès via le réseau.
Ces autorisations "doublonnent" avec celles des fichiers et répertoires auxquelles un partage donne accés. La raison de existence de ce doublon est qu'un partage peut être créé sur une unité formattée en FAT et que les autorisations associées au partage permettront d'apporter la sécurité à son accés. Il s"agit aussi d'un héritage de LanManager.
Répertoire non partagé
163
Windows Server 2003 Practice
Partage réalisé avec pour nom PartageTest. La ressource réseau a le nom \\TELEMAQUE\Utilisateurs. TELEMAQUE est le nom du serveur. Il peut aussi être désigné par telemaque.w2k3.univ-fcomte.fr
Icones des unités et répertoires partagés
164
Windows Server 2003 Practice
Autorisations pour le partage (accès via le réseau)
165
Windows Server 2003 Practice
Partage par défaut des unités locales et autorisations sur ce partage
Création d'un nouveau partage lorsqu'un partage existe déja
Création d'un partage masqué (son nom se termine par un caractère $, il est non visualisé sur le réseau) Montage d’un répertoire réseau Cette opération déclare sur une machine une nouvelle unité et lui attribue une lettre de lecteur parmi celles disponibles. Cette unité sera en réalité un répertoire ou une unité d'une autre machine, partagé par cette machine et utilisé comme une unité locale.
166
Windows Server 2003 Practice
Fenêtre de connexion
Choix de la lettre de lecteur attribuée en local
167
Windows Server 2003 Practice
Choix du chemin d'accès réseau (en convention UNC) par recherche ou en le tapant directement
168
Windows Server 2003 Practice
Choix de l'utilisateur se connectant (en convention UNC), et indication de son mot de passe Convention UNC pour un nom de ressource réseau:
\\machine_serveur\nom_ressource
Convention UNC pour un nom d'utilisateur:
nom_utilisateur si on accède à une machine de son domaine de connexion, nom_domaine\nom_utilisateur si on accède à une machine d'un autre domaine.
Fenêtre juste avant validation
169
Windows Server 2003 Practice
Poste de travail avec une unité réseau montée
Icones d'une unité réseau Démontage d’un répertoire réseau Cette fonction permet de supprimer une unité réseau d'une machine sans, bien entendu, la détruire sur la machine source (suppression d'une déclaration).
170
Windows Server 2003 Practice
Opérations diverses de l'explorateur
Recherche multi-critères
Recherche générale
Localisation recherche
171
Windows Server 2003 Practice
Options de recherche
172
Windows Server 2003 Practice
Préférences de recherche
Formatage (unité, disquette, disque extractible, ...)
Fenêtre de formatage
Systèmes de fichiers connus (partition)
173
Windows Server 2003 Practice
Tailles des unités d'allocation sur le disque
Warning formatage
Formatage en cours
Formatage terminé
Compression à la volée
Windows Server 2003 Practice
174
Demande de la compression à la volée via les propriétés d'une unité (cela marche aussi pour les répertoires ou les fichiers)
Compression récursive ou non
Résultat de la compression d'un fichier gain de presque 79% sur ce fichier
175
Windows Server 2003 Practice
ADMINISTRATION (LA MICROSOFT MANAGEMENT CONSOLE, LA MMC) La Microsoft Management Console (MMC) est le programme via lequel une grande partie des tâches d'administration de Windows 2003 sont réalisées. Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC, permettant de réaliser telle ou telle configuration dédiée à telle ou telle fonctionnalité. Les divers outils d'administration sont implantés via ces snap-in, procurant une uniformité de leurs interfaces utilisateur. L'exécutable correspondant est MMC.EXE. Il est installé au sein du système d'exploitation. Lancé seul, il ouvre une MMC vide.
Lancement MMC
Une MMC vide
176
Windows Server 2003 Practice
Le snap-in "gestionnaire d'ordinateur" La zone gauche donne accès à l'arborescence des éléments de configuration du snap-in. La zone de droite permet de réaliser la configuration souhaitée sur l'élément sélectionné.
Le menu Fichier
177
Windows Server 2003 Practice
Ajout d'un Composant logiciel enfichable (snap-in)
Bouton Ajouter pour choisir le composant souhaité
Choix du type de composant
178
Windows Server 2003 Practice
Liste des composants
179
Windows Server 2003 Practice
Choix de la localisation gérée par le composant (ici, un ordinateur du domaine)
180
Windows Server 2003 Practice
Autre choix de localisation gérée par le composant (ici, une parmi les stratégies de sécurité du domaine)
181
Windows Server 2003 Practice
Nouveau contenu de la MMC
182
Windows Server 2003 Practice
Résultats dans la MMC
Une MMC avec plusieurs composants différents ouverts sur plusieurs localisations
183
Windows Server 2003 Practice
Sauvegarde d'une console
Enregistrer
Résultat dans le poste de travail
184
Windows Server 2003 Practice
ADMINISTRATION (LA GESTION DES UTILISATEURS, L'APPROBATION ENTRE DOMAINES)
La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des ordinateurs d'un domaine (il leur est attribué un compte):
création, destruction, propriétés, ...
Interface générale
Groupes créés à l'installation
185
Windows Server 2003 Practice
Utilisateurs et groupes d'utilisateurs du domaine
Contrôleurs de domaine du domaine (PENELOPE a été ajouté en contrôleur supplémentaire)
Ordinateurs du domaine Menus contextuels associés aux clés ADS
Utilisateurs et Ordinateurs Active Directory
186
Windows Server 2003 Practice
Domaine
Builtin
Users
187
Windows Server 2003 Practice
Création d’un nouvel utilisateur Défini par son nom (unique).
Choix des paramètres de création: nom de login Windows 2000 (obligatoire), nom de login de compatibilité NetBIOS, nom détaillé
Choix des paramètres de création: mot de passe (obligatoire),
188
Windows Server 2003 Practice
obligation ou non de changer le mot de passe à la prochaine ouverture de session, interdiction ou non de changement de mot de passe, pas d'expiration du mot de passe même en cas de limite de validité temporelle, compte désactivé ou non Menu contextuel associé à un utilisateur
Changement du mot de passe d'un utilisateur
Réinitialisation du mot de passe Propriétés d’un utilisateur
189
Windows Server 2003 Practice
Paramètres généraux
Adresse postale
190
Windows Server 2003 Practice
Principales propriétés du compte
Options configurables
191
Windows Server 2003 Practice
Horaire d'accès
Stations d'accès
192
Windows Server 2003 Practice
Configuration du profil
193
Windows Server 2003 Practice
Numéros téléphoniques de l'utilisateur
Implantation hiérarchique de l'utilisateur dans son entreprise
Groupes d'appartenance de l'utilisateur
194
Windows Server 2003 Practice
Contrôle à distance des paramètres Terminal Server
195
Windows Server 2003 Practice
Profil utilisateur en cas d'utilisation de Terminal Server
Paramètres d'accès entrant RAS ou VPN
196
Windows Server 2003 Practice
Démarrage des services Terminal Server
Time out Terminal Server Création d’un groupe
197
Windows Server 2003 Practice
Création d'un nouveau groupe: défini par son nom (unique), défini sur le domaine local ou globalement, groupe de sécurité ou de distribution
Résultat
Menu contextuel associé à un groupe
198
Windows Server 2003 Practice
Propriétés générales d'un groupe
Propriétés d'un groupe: Membres
199
Windows Server 2003 Practice
Propriétés d'un groupe: Groupes dont il est membre
200
Windows Server 2003 Practice
Propriétés d'un groupe: Utilisateur gestionnaire
Ajout de l'utilisateur "Einstein" dans le groupe "Physiciens" Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur
201
Windows Server 2003 Practice
Création d'un répertoire destiné à héberger les répertoires de base et les profils itinérants
202
Windows Server 2003 Practice
203
Windows Server 2003 Practice
Partage de ce répertoire (sous le nom Users) et configuration des autorisations sur le répertoire et sur le partage
Résultat du partage
Configuration de l'utilisateur concerné dans l'onglet profil de ses propriétés au sein du gestionnaire des utilisateurs
204
Windows Server 2003 Practice
Possibilité d'utiliser la variable d'environnement %USERNAME% pour désigner un utilisateur
Le gestionnaire des utilisateurs crée lui-même le répertoire de base et lui affecte les permissions en limitant l'accès au seul administrateur et à l'utilisateur
205
Windows Server 2003 Practice
Montage automatique du répertoire de base en unité Z:
Configuration de l'unité Z: en unité implicite pour les programmes
Après la première ouverture puis fermeture de session, le profil de l'utilisateur est sauvegardé dans le répertoire profils.
206
Windows Server 2003 Practice
Le profil est obtenu par copie du profil "Default User" de la première machine cliente.
Accès restreint au seul utilisateur
Après fermeture de session, maintient "en cache" de l'ancien profil dans le répertoire "Documents and Settings" du poste client Affectation d'un script d'ouverture de session
207
Windows Server 2003 Practice
Configuration de l'utilisateur concerné dans l'onglet profil de ses propriétés au sein du gestionnaire des utilisateurs
Localisation des scripts dans le répertoire \WINNT\SYSVOL\domain\scripts
Contenu du script Begin.cmd
208
Windows Server 2003 Practice
Résultat à l'ouverture de session de l'utilisateur Création d’un nouvel ordinateur Défini par son nom (unique).
209
Windows Server 2003 Practice
Création de l'ordinateur Possibilité de le déclarer en tant que machine à système prè Windows 2000 ou non Possibilité de le déclarer en tant que controleur supplémentaire ou en tant que membre simple
210
Windows Server 2003 Practice
Résultat Création d’un groupe d'ordinateurs
Création d'un nouveau groupe "classique"
Ajout des ordinateurs ARGOS et ULYSSE
211
Windows Server 2003 Practice
Résultat Maitres d'opérations (opérations à maître unique) Via l'option "Maîtres d'opérations" sur une clé de domaine
Configuration du maître des ID relatives
Configuration du maître d'émulation PDC
212
Windows Server 2003 Practice
Configuration du maître d'infrastructure
L’approbation entre domaines Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les machines du domaine B comme s'il était connecté sur une machine de son propre domaine (connexions automatiques, profil itinérant, ...). L'établissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines. L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra approuver A. L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.
213
Windows Server 2003 Practice
Menu contextuel associé à la clé "Domaines et approbations Active Directory" Menu contextuel associé à un domaine référencé Propriétés d'un domaine référencé
214
Windows Server 2003 Practice
Après installation initiale, un domaine Windows 2000 est configuré en mode mixte, i.e. il interopère avec les domaines des versions antérieures de Windows
Autres domaines approuvés Autres domaines qui vous approucvent Pour l'instant, rien nul part
215
Windows Server 2003 Practice
Utilisateur gestionnaire Création d'une relation d'approbation Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).
S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de communication correctement configuré, résolution de noms fonctionnelle). Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO, configurer une autorisation d'approbation (attribution d'un mot de passe) pour le domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).
216
Windows Server 2003 Practice
Approbation préparée du coté Windows NT 4.0
Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univfcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication du mot de passe créé à cette intention).
217
Windows Server 2003 Practice
Aucune relation d'approbation établie
Lancement de l'assistant de création d'une nouvelle approbation
Indication du domaine cible
218
Windows Server 2003 Practice
Sens de l'approbation (bidirectionnelle, entrante ou sortante)
Niveau d'authentification
219
Windows Server 2003 Practice
Indication du mot de passe de la relation d'approbation
Confirmation de la création de la relation d'approbation
220
Windows Server 2003 Practice
Relation d'approbation créée -> Configuration Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.
Confirmation de l'approbation sortante
221
Windows Server 2003 Practice
Confirmation de l'approbation entrante
Approbation configurée et fonctionnelle dans les deux sens
222
Windows Server 2003 Practice
Information
Nouvel état des relations d'approbation Propriétés et validation d'une relation d'approbation
Propriétés générales
223
Windows Server 2003 Practice
Demande de validation
Validation effectuée
Authentification
224
Windows Server 2003 Practice
Utilisations d'une relation d'approbation
Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines
Affectation d'autorisations sur un répertoire
Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs
225
Windows Server 2003 Practice
Deux domaines reconnus comme emplacement
Recherche dans le domaine IUP_INFO
226
Windows Server 2003 Practice
Utilisation du bouton "Avancé..." pour visualiser les utilisateurs eu groupes d'utilisateurs possibles
Choix de l'administrateur du domaine IUP_INFO
227
Windows Server 2003 Practice
IUP_INFO\Administrateur dans la liste des autorisations Maitre d'opérations (Opération à maître unique) Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
Configuration du maître d'attribution des noms de domaine
228
Windows Server 2003 Practice
Administration (Les stratégies de groupe) Les stratégies de groupe Une stratégie de groupe est un ensemble d'éléments de configuration de Windows (sous différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation. Les stratégies sont organisées: - avec une gestion de priorité, - avec la possibilité de ne pas définir tel ou tel élément pour que cet élément soit pris en compte dans une stratégie moins prioritaire. Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrôleur de domaine. Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine. Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel. Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus prioritaire. Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut. Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel. Les outils d'administration proposent un raccourcis vers un sous-ensemble de chacune des stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés "stratégie de sécurité".
Les trois stratégies de sécurité du domaine
Stratégie de sécurité locale Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un sous-ensemble de la stratégie de groupe locale. Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des droits utilisateur, les agents de récupération pour les données cryptées et d'autres options de sécurité. La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows 2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est
229
Windows Server 2003 Practice
membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du domaine.
La colonne paramétres de sécurité indique la valeur appliquée sur la machine. L'icone indique que cette valeur est issue de la stratégie locale et est donc modifiable localement. L'icone indique une valeur issue d'une stratégie déployée sur le domaine et n'est donc pas modifiable localement car les stratégies de domaine sont prioritaires.
Stratégie de mot de passe Définition des paramètres de validité des comptes d'utilisateur: gestion d'un historique des mots de passe pour empêcher la frappe du même mot de passe à chaque changement, durée maximale d'un mot de passe avant changement obligatoire, durée minimale du mot de passe, complexité du mot de passe, longueur minimale des mots de passe, cryptage
230
Windows Server 2003 Practice
Historique de mémorisation des mots de passe (non modifiable localement)
Durée maximale d'un mot de passe (non modifiable localement)
231
Windows Server 2003 Practice
Complexité des mot de passe (non modifiable localement)
Longueur minimale du mot de passe (non modifiable localement)
Stratégie de verrouillage verrouillage des comptes en cas de tentatives de connexion infructueuses trop nombreuses
232
Windows Server 2003 Practice
Stratégie d'audit Lancement de l'audit sur certains événements: la gestion des utilisateurs et des groupes, l'ouverture et la fermeture de session, l'accès aux fichiers et objets, l'ouverture et la fermeture de session, l'utilisation de ses droits par un utilisateur, les arrêt et démarrage du système, l'utilisation de ses droits par un utilisateur, ...
233
Windows Server 2003 Practice
Stratégie locale après modification
Droits des utilisateurs Après l'installation du système, droits par défaut attribués aux groupes d'utilisateurs prédéfinis,
Windows Server 2003 Practice
234
leurs autorisant tel ou tel privilège. Extension ou restriction possible de ces droits
Utilisateurs autorisés à arrêter le système
235
Windows Server 2003 Practice
Changement de la liste des utilisateurs autorisés à ouvrir une session localement sur cette machine
236
Windows Server 2003 Practice
237
Windows Server 2003 Practice
Options de sécurité
Ne pas afficher le nom du dernier utilisateur ayant ouvert une session de travail
Stratégie de sécurité des contrôleurs de domaine Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.
Contenu de la stratégie des contrôleurs de domaine
238
Windows Server 2003 Practice
Stratégie Kerberos
Stratégie de sécurité du domaine Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sousensemble de la stratégie de groupe du domaine par défaut.
Contenu de la stratégie du domaine
Stratégie Kerberos Accès aux stratégies de groupe du domaine Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.
239
Windows Server 2003 Practice
Aucun composant présent. Demander ajouter
Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable. Choisir un composant de type "Editeur d'objets de stratégie de groupe"
240
Windows Server 2003 Practice
Demander Parcourir
241
Windows Server 2003 Practice
Ajout des deux stratégies par défaut du domaine
Pas de stratégie site
242
Windows Server 2003 Practice
Ajout de la stratégie locale
243
Windows Server 2003 Practice
Ajout des stratégies locales des autres machines du domaine penelope et ulysse
Onglet "Tous" pour un accès directe à toutes les stratégies accessibles
244
Windows Server 2003 Practice
Résultat des sélections
245
Windows Server 2003 Practice
Résultat dans la MMC Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"
Accès aux propriétés de l'entrée portant le nom d'un domaine
246
Windows Server 2003 Practice
Etat initial
247
Windows Server 2003 Practice
Création d'une stratégie
Etat après création de la stratégie "Test Policy". Stratégie la moins prioritaire
248
Windows Server 2003 Practice
Nouvel ordre des stratégies de groupe obtenu après configuration de la nouvelle stratégie en stratégie la plus prioritaire
Options de cette stratégie
Menu contextuel associé à une stratégie
249
Windows Server 2003 Practice
Propriétés générales d'une stratégie Désactivation possible des parties Ordinateur et/ou Utilisateur de cette stratégie
Liaisons sur cette stratégie entre sites, domaines et unité organisationnelles
250
Windows Server 2003 Practice
Sécurité de cette stratégie (valeurs initiales)
Filtre WMI de cette stratégie Pour qu'une stratégie s'applique à un utilisateur, un groupe d'utilisateurs ou un ordinateur, les sécurités doivent être placées en "Lire" et en "Appliquer la stratégie de groupe" sur ces entités et uniquement sur elles.
251
Windows Server 2003 Practice
252
Windows Server 2003 Practice
Suppression de l'entrée "Utilisateurs authentifiés" Ajout des utilisateurs Einstein et Bohr
253
Windows Server 2003 Practice
Préférable de travailler avec des groupes d'utilisateurs
254
Windows Server 2003 Practice
Suppression de l'entrée "Utilisateurs authentifiés" Ajout des ordinateurs ARGOS et ULYSSE
255
Windows Server 2003 Practice
Préférable de travailler avec des groupes d'ordinateurs
Ouverture de la stratégie dans la MMC via un double-clic Quelques manipulations utiles
Création d'une stratégie de groupe pour l'administrateur du domaine lui autorisant toutes les actions Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les machines Windows 2000 ou 2003 Server Limitation de la taille du profil des utilisateurs Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage Paramétrage de la stratégie de gestion des mots de passe
256
Windows Server 2003 Practice
Administration (La gestion des imprimantes)
La gestion des imprimantes , Installation d’une imprimante
Panneau de configuration Imprimantes
257
Windows Server 2003 Practice
258
Windows Server 2003 Practice
Propriétés du serveur
A la suite d’"Ajout d’imprimantes"
259
Windows Server 2003 Practice
Choix du type de connexion (directe via cable, réseau, ... ou sur un serveur d'impression)
260
Windows Server 2003 Practice
Désignation du port de connexion (physique (local), réseau, ...)
Choix du type d'imprimante (connu ou driver fourni sur disquette ou CD).
261
Windows Server 2003 Practice
Choix du nom local de l'imprimante.
Choix entre une imprimante partagée ou non partagée.
Demande de l'impression d'une page de test.
262
Windows Server 2003 Practice
Fin de l'installation
Installation d’une imprimante avec pilote sur support
263
Windows Server 2003 Practice
Choix d'un pilote sur disque fourni
Choix du pilote HP1200 Postscript
264
Windows Server 2003 Practice
Choix d'une imprimante Apple
Deux imprimantes installées Installation d’une imprimante sur port TCP/IP
265
Windows Server 2003 Practice
Dans la fenêtre de choix du port
266
Windows Server 2003 Practice
Désignation de l'imprimante par son adresse IP
267
Windows Server 2003 Practice
...
Panneau Imprimantes après installation Etat d'une imprimante
7 colonnes: Nom du document, état du document, propriétaire, nombre de pages, tailles traitée et totale, heure et date de soumission, port de connexion.
268
Windows Server 2003 Practice
Partage d'une imprimante
Menu contextuel associé à une imprimante Après sélection de l'imprimante concernée, on demande l'entrée "Partager".
Choix d'un nom de partage et référence de ce partage dans Active Directory L'imprimante est disponible en accès réseau.
Choix du nom de l'imprimante sur le réseau. Les pilotes sont automatiquement téléchargés du serveur vers les clients quand ceux-ci y accèdent. Si le client n'est pas une machine Windows 2000, l'installation
Windows Server 2003 Practice
269
préalable sur le serveur des pilotes adaptés au système client est nécessaire (bouton "Pilotes supplémentaires...") (disquette de pilote ou CD d'installation du système cible souvent nécessaire).
Avant et après installation
270
Windows Server 2003 Practice
Panneau Imprimantes après partage Connexion à une imprimante distante partagée
Choix d'une imprimante réseau lors de l'installation d'une nouvelle imprimante.
271
Windows Server 2003 Practice
Recherche de l'imprimante
Recherche de l'imprimante dans Active Directory
272
Windows Server 2003 Practice
Indication directe du nom de l'imprimante
Laisser le champ vide et cliquer sur suivant
Browsing sur le réseau
273
Windows Server 2003 Practice
Via le vosinage réseau
Imprimante réseau montée Propriétés d'une imprimante
274
Windows Server 2003 Practice
Propriétés générales
Partage
275
Windows Server 2003 Practice
Port de connexion
276
Windows Server 2003 Practice
Propriétés avancées
Sécurité
Sécurité avancée
277
Windows Server 2003 Practice
Autorisations possibles
278
Windows Server 2003 Practice
279
Windows Server 2003 Practice
Audit
Propriétaire
Paramètres du périphérique
280
Windows Server 2003 Practice
ADMINISTRATION (LA GESTION DE L'ORDINATEUR, LES SERVICES, L'OBSERVATEUR D'ÉVÉNEMENTS)
La gestion de l'ordinateur Le gestionnaire d'ordinateur prend en charge un certain nombre des options de configuration locales de l'ordinateur.
Trois entrées principales: Outils sytème, stockage et services et applications
281
Windows Server 2003 Practice
Observateur d'événements: Equivalent à l'outil de configuration "Observateur d'événements"
Dossiers partagés de l'ordinateur, leur utilisateurs et les fichiers ouverts
Gestion des périphériques matériels et des pilotes logiciels associés
Windows Server 2003 Practice
282
La défragmentation des unités
Gestion des disques
283
Windows Server 2003 Practice
Services
Configuration du service d'indexation
284
Windows Server 2003 Practice
Configuration des services Internet
285
Windows Server 2003 Practice
Configuration du service DNS
Les services Cet outil permet d'administrer les services (tâches de fond) fonctionnant localement sur l'ordinateur.
Fenêtre générale
Description de chaque service
286
Windows Server 2003 Practice
Etat de chaque service: état, type de démarrage, compte d'exécution
Menu contextuel associé à un service Option grisée si l'opération est impossible
Propriétés générales d'un service: Description, exécutable (avec chemin d'accès), type de démarrage, état de fonctionnement
287
Windows Server 2003 Practice
Propriété d'un service: Compte de démarrage
288
Windows Server 2003 Practice
Propriété d'un service: Action de récupération en cas de problème
289
Windows Server 2003 Practice
Propriété d'un service: Services dont il dépend, services qui dépendent de lui
L'observateur d'événements Il collecte les événements intervenant sur une machine:
application, sécurité, système, Directory Service (si contrôleur), DNS Server (si serveur DNS), réplication de fichiers (si contrôleur)
Trois classes d'événements:
les informations (icône bleue), les avertissements (icône jaune), les erreurs (icône rouge).
290
Windows Server 2003 Practice
Menu contextuel associé à l'observateur d'événements
291
Windows Server 2003 Practice
Menu contextuel associé à un journal
Menu contextuel associé à un événement
Journal application
292
Windows Server 2003 Practice
Journal sécurité
Journal système
Journal Diectory Service
293
Windows Server 2003 Practice
Journal DNS Server
Journal Service de réplication de fichiers Certains événements sont audités par défaut. Pour d'autres, il faut demander explicitement la détection
294
Windows Server 2003 Practice
Un événement Information du journal Application
Un événement Erreur du journal Système
295
Windows Server 2003 Practice
Propriété d'un journal: Taille maximale du journal, mode opératoire quand la taille maximale est atteinte
Propriété d'un journal: Filtrage de l'affichage sur le type, la source, la catégorie, l'ID, l'utilisateur, l'ordinateur, l'heure, ...
296
Windows Server 2003 Practice
Outils de gestion des disques Propriétés d'une unité
L'onglet "Outils" donne accès à trois outils de gestion des disques Vérification C'est cet outil qui réalisera l'opération CHKDSK (Check disk) pour vérifier la cohérence de la table d'allocation des fichiers sur une unité et éventuellement rechercher les secteurs défectueux. L'unité doit être disponible pour un usage exclusif faute de quoi la vérification devra être programmée pour une exécution au prochain démarrage du système.
297
Windows Server 2003 Practice
Sauvegarde et restauration Cet outil permet d'effectuer soit une sauvegarde, soit une restauration de tout ou partie d'une ou de plusieurs unités, soit encore de sauvegarder un système entier en vue d'en permettre la restauration à l'identique.
298
Windows Server 2003 Practice
Menu tâches Menu Outils
La sauvegarde
Interface de l'assistant de sauvegarde Sélection de l'ensemble des informations à sauvegarder Sélection du média de stockage (ici pas de média à bande installé -> uniquement fichier)
299
Windows Server 2003 Practice
Choix d'une sauvegarde complète de l'unité système
300
Windows Server 2003 Practice
Au démarrage de la sauvegarde, choix des options de sauvegarde
Après confirmation, examen de la bande présente dans le lecteur.
Calcul du nombre de fichiers et de leur taille totale
301
Windows Server 2003 Practice
Début sauvegarde
Sauvegarde en cours
302
Windows Server 2003 Practice
Sauvegarde de l'état du système
Sauvegarde terminée
303
Windows Server 2003 Practice
Rapport de sauvegarde La restauration
304
Windows Server 2003 Practice
Interface de l'assistant de restauration Visualisation et catalogue des bandes (aucune ici) et fichiers backup connus
Possibilité de charger d'autres bandes ou d'autres fichiers et d'en dresser le catalogue
305
Windows Server 2003 Practice
Choix des répertoires et/ou fichiers à restaurer (restauration partielle)
306
Windows Server 2003 Practice
Choix des répertoires et/ou fichiers à restaurer (restauration total y compris l'état du système)
Fenêtre de lancement de la restauration
Fenêtre de définition des options avancées de la restauration
307
Windows Server 2003 Practice
Début de la restauration
Restauration en cours
Restauration terminée
308
Windows Server 2003 Practice
Rapport de restauration
Trois options pour la localisation des fichiers restaurés A l'emplacement d'origine avec la même arborescence de répertoires
A un autre emplacement avec la même arborescence de répertoires
309
Windows Server 2003 Practice
A plat à un autre emplacement Planification
Planification d'une opération de sauvegarde
310
Windows Server 2003 Practice
Création d'une opération sous la forme d'une tâche planifiée
Choix de ce qui est sauvegardé
311
Windows Server 2003 Practice
Choix de l'emplacement de la sauvegarde
Choix du type de sauvegarde
312
Windows Server 2003 Practice
Options de sauvegarde
Options de sauvegarde
313
Windows Server 2003 Practice
314
Windows Server 2003 Practice
Planification
Acquittement final
315
Windows Server 2003 Practice
Résultat de la création de la tâche de sauvegarde planifiée
Résultat de la création de la tâche de sauvegarde dans le panneau "Tâches planifiées"
316
Windows Server 2003 Practice
Propriétés de cette tâche J:\WINDOWS\system32\ntbackup.exe backup "@J:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data\Sauvegarde.bks" /a /d "Jeu créé le 31/07/2006 à 17:09" /v:no /r:no /rs:no /hc:off /m normal /j "Sauvegarde" /l:s /f "D:\Backup01.bkf" Ligne de commande réellement exécutée Sauvegarde et restauration sur bande
317
Windows Server 2003 Practice
Installation à chaud d'un lecteur de bande 4mm DAT sur carte SCSI (ajout et retrait possible)
Apparition d'une entrée 4mm DDS dans l'interface de NTBackup
318
Windows Server 2003 Practice
Détection automatique des bandes introduites
Une bande importée contenant déjà des jeux de sauvegarde
Menu contextuel associé à une bande
319
Windows Server 2003 Practice
Catalogage de la bande
Bande cataloguée utilisable pour une restauration
320
Windows Server 2003 Practice
Effacement de la bande
Sélection pour une sauvegarde
Sauvegarde amorcée
321
Windows Server 2003 Practice
Sauvegarde en cours
322
Windows Server 2003 Practice
Sauvegarde terminée Défragmentation Cet outil permet d'effectuer une défragmentation d'une unité de manière à réorganiser les fichiers pour en rendre l'exploitation plus rapide.
323
Windows Server 2003 Practice
État initial
Phase d'analyse
324
Windows Server 2003 Practice
J: (partition système) est à défragmenter
325
Windows Server 2003 Practice
Défragmentation en cours
326
Windows Server 2003 Practice
327
Windows Server 2003 Practice
Défragmentation terminée avec affichage d'un rapport L'administration des disques L'administration des disques durs, lecteurs de CDRom et des disques amovibles (clés USB, ZIP, JAZZ, ...) de la machine locale recouvre les opérations suivantes:
gestion des disques, partitions et volumes, formatage, déclaration d’unités, …
Disque de base Disque physique auquel peuvent accéder MS-DOS et tous les systèmes d'exploitation Windows. Les disques de base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Si vous souhaitez créer des partitions fractionnées sur plusieurs disques, vous devez d'abord convertir le disque de base en disque dynamique grâce au composant Gestion des disques ou à l'utilitaire de ligne de commande Diskpart.exe. Disque dynamique Disque physique auquel seuls Windows 2000 et Windows XP. peuvent accéder. Les disques dynamiques fournissent des fonctionnalités que les disques de base n'offrent pas, telle que la prise en charge des volumes fractionnés sur plusieurs disques. Les disques dynamiques utilisent une base de données cachée pour conserver les informations relatives aux volumes dynamiques sur le disque et aux autres disques dynamiques de l'ordinateur. Vous pouvez convertir des disques de base en disques dynamiques grâce au composant Gestion de disques ou à l'utilitaire de ligne de commande DiskPart. Lors de la conversion d'un disque de base en disque dynamique, tous les volumes de base existants deviennent des volumes dynamiques. Partition Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des données. Sur les disques de base, les partitions sont appelées des volumes de base, qui peuvent être des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appelées des volumes dynamiques qui peuvent être simples, fractionnés, agrégés par bande, en miroir ou RAID-5. Partition principale Type de partition que vous pouvez créer sur les disques de base. Une partition principale est une partie de l'espace disque physique qui fonctionne comme un disque physiquement indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer jusqu'à quatre partitions principales ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu'à 128 partitions principales. Les partitions principales sont également appelées volumes.
328
Windows Server 2003 Practice
Partition étendue Type de partition que vous pouvez uniquement créer sur les disques d'enregistrement de démarrage principal (MBR, Master Boot Record) de base. Utilisez une partition étendue si vous souhaitez disposer de plus de quatre volumes sur votre disque MBR de base. Contrairement aux partitions principales, vous ne formatez pas une partition étendue avec un système de fichiers en lui attribuant ensuite une lettre de lecteur. Il faut à la place créer un ou plusieurs lecteurs logiques au sein de la partition étendue. Après avoir créé un lecteur logique, vous le formatez et lui assignez une lettre de lecteur. Les disques MBR de base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Partition active Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit être une partition principale d'un disque de base. Si vous utilisez exclusivement Windows, la partition active peut être la même que celle du volume système. Partition système Partition qui contient le système d'exploitation Windows et ses fichiers de prise en charge. La partition système peut être la même que la partition d'amorçage, mais pas nécessairement. Partition d'amorçage Partition qui contient des fichiers propres au matériel qui sont indispensables au chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition d'amorçage peut être la même que la partition système, mais pas nécessairement. Volume Zone de stockage d'un disque dur. Un volume est formaté conformément à un système de fichiers (notamment FAT ou NTFS) et se voit attribuer une lettre de lecteur. Vous pouvez aussi afficher le contenu d'un volume en cliquant sur son icône dans l'Explorateur Windows ou Poste de travail. Un disque dur peut comporter plusieurs volumes et les volumes peuvent s'étendre de manière fractionnée sur plusieurs disques. Volume de base Partition principale ou lecteur logique résidant sur un disque de base. Volume dynamique Volume qui réside sur un disque dynamique. Windows prend en charge cinq types de volumes dynamiques : simple, fractionné, agrégé par bandes, en miroir, et RAID-5. Un volume dynamique est formaté en utilisant un système de fichiers, tel que FAT ou NTFS. Une lettre de lecteur lui est attribuée. Volume actif Volume de démarrage de l'ordinateur. Le volume actif doit être un volume simple d'un disque dynamique. Vous ne pouvez pas activer un volume dynamique existant mais vous parvenez par compte à activer un disque de base contenant la partition active. Une fois le disque activé et devenu dynamique, la partition devient un volume simple actif.
329
Windows Server 2003 Practice
Volume système Volume qui contient le système d'exploitation Windows et ses fichiers de prise en charge. Le volume système peut être le même que le volume d'amorçage (mais pas nécessairement). Volume d'amorçage Volume contenant les fichiers spécifiques à la plate-forme matérielle qui sont requis pour charger Windows sur des ordinateurs de type x86 dotés d'un BIOS. Le volume d'amorçage peut être le même que le volume système (mais pas nécessairement). Volume simple Volume dynamique constitué de l'espace disque d'un seul disque dynamique. Un volume simple peut être constitué d'une seule région d'un disque ou de plusieurs régions du même disque, liées entre elles. Vous pouvez étendre un volume simple au sein du même disque ou sur des disques supplémentaires. Si vous étendez un volume simple sur plusieurs disques, il devient un volume fractionné. Vous pouvez créer des volumes simples uniquement sur des disques dynamiques. Les volumes simples ne sont pas tolérants aux pannes, mais vous pouvez les configurer de manière à créer des volumes en miroir. Volume fractionné Volume dynamique constitué d'espace disque réparti sur plusieurs disques physiques. Vous pouvez augmenter la taille d'un volume fractionné en l'étendant sur des disques dynamiques supplémentaires. Vous pouvez créer des volumes fractionnés uniquement sur des disques dynamiques. Les volumes fractionnés ne sont pas tolérants aux pannes et ne peuvent pas être mis en miroir. Volume en miroir Volume à tolérance de pannes qui duplique les données sur deux disques physiques. Un volume en miroir assure la redondance des données à l'aide de deux volumes identiques, qui sont appelés miroirs, pour dupliquer les informations contenues dans le volume. Le miroir se trouve toujours sur un disque différent. En cas de défaillance d'un des disques physiques, les données qu'il contient ne sont plus disponibles, mais le système continue de fonctionner sur le miroir du disque restant. Vous pouvez créer des volumes miroir uniquement sur des disques dynamiques. Volume agrégé par bandes Volume dont les données sont agrégées par bandes de façon intermittente sur deux disques physiques ou davantage. Vous ne pouvez créer des volumes agrégés par bandes que sur des disques dynamiques. Il n'est pas possible de créer des volumes agrégés par bandes étendus ou en miroir. Volume RAID-5 Volume à tolérance de pannes dont les données et la parité sont agrégées par bandes de façon intermittente sur trois disques physiques ou davantage. La parité est une valeur calculée qui permet de reconstituer des données après une défaillance. Si une partie d'un disque physique présente une défaillance, Windows restaure les données de la partie endommagée grâce aux données restantes et au contrôle de parité. Vous ne pouvez créer
330
Windows Server 2003 Practice
des volumes RAID-5 que sur des disques dynamiques et il n'est pas possible de créer des volumes RAID-5 étendus ou en miroir. La gestion des disques est assurée via la clef "Gestion des disques" de l'outil "Gestion de l'ordinateur".
Ici, les quatre disques durs sont des disques de base. C: est la partition d'amorçage et la partition système. La petite partition de 39 Mo contient les paramètres de configuration EISA (non accessibles) créée par le programme d'installation Compaq sur ce serveur de type ML330G2. W: est la lettre d'unité attribuée au lecteur de CD.
331
Windows Server 2003 Practice
Menus contextuels sur la clef Gestion des Disques "Analyser les disques de nouveau": Prise en compte toute modification hexogène apportée aux disques (mise en place ou retrait d'un disque hot-plug, cessation de fonctionnement, ...)
Graphique
332
Windows Server 2003 Practice
Volumes
Disques Affichages possibles Noter les codes couleurs pour les types de volume Noter les colonnes dans l'affichage des volume: lettre d'unité, type de partition, type de disque, système de fichiers, état, capacité totale, capacité restante, % libre, tolérant aux pannes?, % d'espace perdu Noter les colonnes dans l'affichage des disques: quel disque?, type de disque, capacité totale, capacité restante, disponibilité, type d'interface, type de partition Création d'une partition principale sur un disque de base Sélectionner une zone libre sur un disque de base (C:).
333
Windows Server 2003 Practice
Choix du type de partition
334
Windows Server 2003 Practice
Définition de la taille de la partition
Attribution d'une lettre pour création d'une nouvelle unité
335
Windows Server 2003 Practice
Formatage
Confirmation
336
Windows Server 2003 Practice
Formatage en cours
Résultat final Création d'une partition étendue sur un disque de base
337
Windows Server 2003 Practice
Choix du type de partition
Définition de la taille de la partition
Confirmation
338
Windows Server 2003 Practice
Résultat final Création d'un lecteur logique dans une partition étendue
Menu contextuel
339
Windows Server 2003 Practice
Choix du type de partition
Définition de la taille du lecteur logique
340
Windows Server 2003 Practice
Attribution d'une lettre pour création d'une nouvelle unité
Formatage
341
Windows Server 2003 Practice
Confirmation
342
Windows Server 2003 Practice
Résultat final Conversion disque de base -> disque dynamique Sélection des trois disques
Menu contextuel obtenu par clic droit sur un disque de base
Conversion préalable des 3 disques SCSI vides (pas de confirmation) Après conversion, ces disques sont toujours vides. La mise à niveau inverse vers le type "disque de base" est possible.
343
Windows Server 2003 Practice
Conversion du disque qui contient le système d'exploitation et d'autres partitions vides
Informations sur le disque mis à niveau
Warning
Warning
344
Windows Server 2003 Practice
Reboot obligatoire car la partition système à été convertie
345
Windows Server 2003 Practice
Résultat final Partitions principales et lecteurs logiques transformées en volumes simples Systèmes de fichiers inchangés Pas de modification quant au poste de travail La mise à niveau inverse de disque dynamique vers disque de base n'est pas possible pour les disques non vides.
Menu contextuel sur un disque dynamique Bug d'affichage?!, "Nouveau nom..." crée un nouveau volume Importation: Montage de disques provenant d'autres ordinateurs non montées automatiquement Réactivation: Remise en état de volumes redondant ayant été détectés comme présentant des problèmes
Menu contextuel sur une zone vide d'un disque dynamique Bug d'affichage?!, Nouveau nom... crée un nouveau volume Extension de volumes simples et fractionnés
346
Windows Server 2003 Practice
Extension impossible du volume système
Extension du volume D: sur un autre disque
Définition du disque et de la taille d'extension
347
Windows Server 2003 Practice
Confirmation
Résultat final Volume simple transformé en volume fractionné
348
Windows Server 2003 Practice
Résultat final après une nouvelle extension sur le disque originel Création d'un volume simple
349
Windows Server 2003 Practice
Choix du disque et de la taille du volume
350
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
351
Windows Server 2003 Practice
Confirmation
Formatage en cours
352
Windows Server 2003 Practice
Résultat final Création directe d'un volume fractionné
353
Windows Server 2003 Practice
Sélection des disques concernés et de la taille affectée sur chaque disque
Choix de la lettre d'unité affectée
354
Windows Server 2003 Practice
Formatage
Confirmation
355
Windows Server 2003 Practice
Formatage en cours
Résultat final
356
Windows Server 2003 Practice
Résultat final dans l'explorateur Mise en miroir d'un volume simple
Choix de l'autre disque sur lequel effectuer la mise en miroir du volume E:
357
Windows Server 2003 Practice
Synchronisation en cours du miroir
Résultat final Création directe d'un volume en miroir
358
Windows Server 2003 Practice
Choix des deux disques concernés et de la taille du miroir
Choix de la lettre d'unité affectée
359
Windows Server 2003 Practice
Formatage
Confirmation
360
Windows Server 2003 Practice
Synchronisation en cours du miroir
Résultat final
361
Windows Server 2003 Practice
Création d'un volume agrégé par bandes
Choix des disques (deux minimums) concernés et de la taille affectée (identique) sur chacun d'eux
362
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
363
Windows Server 2003 Practice
Confirmation
Formatage en cours
364
Windows Server 2003 Practice
Résultat final
365
Windows Server 2003 Practice
Résultat final dans l'explorateur Création d'un volume RAID-5 sur 3 disques
Choix des disques (trois minimum) concernés et de la taille affectée (identique) sur chacun d'eux Noter la taille totale du volume généré: 1/3 de perte d'espace
366
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
367
Windows Server 2003 Practice
Confirmation
Formatage en cours
368
Windows Server 2003 Practice
Résultat final Création d'un volume RAID-5 sur 4 disques
Choix des quatre disques concernés et de la taille affectée (identique) sur chacun d'eux Noter la taille totale du volume généré: 1/4 de perte d'espace
369
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
370
Windows Server 2003 Practice
Confirmation
371
Windows Server 2003 Practice
Résultat final
Résultat final dans l'explorateur Tolérance aux pannes (retrait et remise en ligne d'un disque) Le disque 3 est retiré serveur éteint puis la machine est remise en route.
Disparition du disque I: Maintient en utilisation de tous les autres disques
372
Windows Server 2003 Practice
Un événement "Erreur" et trois événements "Avertissement" dans le journal "Système"
Une erreur liée à l'impossibilité de démarrer le volume I:
373
Windows Server 2003 Practice
Trois avertissements liés à la disparition de la redondance sur les volumes H:, J: et K: tout en en laissant le contenu accessible
Disque 3 manquant Le volume en miroir et les deux volumes RAID-5 en échec de redondance mais utilisables
374
Windows Server 2003 Practice
Le disque 3 d'origine est replacé dans le serveur éteint puis la machine est remise en route.
Disque reconnu, agrégat par bandes remonté, mais volumes redondant non correctement réinstallés quoique encore utilisables -> Réactivation des disques
375
Windows Server 2003 Practice
Resynchronisation des volumes redondants
376
Windows Server 2003 Practice
Résultat final
377
Windows Server 2003 Practice
Événements enregistrés dans le journal Système
Début de resynchronisation
378
Windows Server 2003 Practice
Fin de resynchronisation Propriétés d'un disque
Propriétés d'ordre général
379
Windows Server 2003 Practice
Gestion du cache d'écriture associé au disque
Volumes présents sur ce disque exclusivement ou non
380
Windows Server 2003 Practice
Pilote associé au disque Menus contextuels associés aux volumes sur disque dynamique
Volume système
381
Windows Server 2003 Practice
Volume simple
Volume fractionné
Volume en miroir
382
Windows Server 2003 Practice
Volume agrégé par bandes
Volume RAID-5 Formatage d'une partition principale, d'un lecteur logique ou d'un volume Formatage FAT, FAT32 ou NTFS
Systèmes de fichiers
383
Windows Server 2003 Practice
Tailles d'unité d'allocation Affectation d'une lettre de lecteur
Menu contextuel sur un volume quelconque L'administrateur peut choisir la lettre de lecteur affectée à une unité.
Affectation d'une autre lettre d'unité
384
Windows Server 2003 Practice
Lettres possibles
Avant
Après Suppression d'une lettre de lecteur Une unité formatée pourra ne pas avoir de lettre de lecteur sans pour cela perdre son contenu. Celui-ci n'est visible ni par les utilisateurs, ni même par l'administrateur.
385
Windows Server 2003 Practice
Warning avant suppression
Résultat dans l'explorateur
Résultat dans le gestionnaire de disque
386
Windows Server 2003 Practice
Montage d'un volume en tant que répertoire Un volume peut être monté pour voir sa racine remplacer un répertoire particulier.
Création du répertoire cible
Ajout d'un chemin d'accès pour l'unité F:
387
Windows Server 2003 Practice
Résultat
Dans l'explorateur Montage multiple Un volume peut être monté plusieurs fois soit comme unité, soit comme répertoire au sein d'une arborescence de répertoires.
388
Windows Server 2003 Practice
Une lettre d'unité et deux montages dans un répertoire
Résultat
Deux accès dans l'explorateur
389
Windows Server 2003 Practice
Administration (La gestion des profils d'utilisateurs, le gestionnaire de licence, l'éditeur du registre) La gestion des profils d'utilisateurs Profil de l'utilisateur en cours de session stocké sous \Documents and Settings.
Outre ce profil, on trouve dans ce répertoire tous les profils d'autres utilisateurs qui n'auraient pas été supprimés, ainsi que les profils All Users et Default User. Profil d'un utilisateur composé de deux parties :
une partie commune à tous les utilisateurs (non modifiable) stockée dans le répertoire \Documents and Settings\All Users, une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un répertoire portant le non de l'utilisateur sous \Documents and Settings.
Existence d'un profil prédéfini à l'installation:
"Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en possédant encore aucun (Attribution réalisée par création d'une copie)
Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient. Profil errant (ou itinérant): 1. téléchargé sur le réseau vers le poste client depuis un serveur lors de l'ouverture de session d'un utilisateur, 2. installé sur le poste client, 3. utilisé sur le poste client (éventuellement modifié si l'utilisateur en possède le droit), 4. déchargé depuis le poste client vers le serveur à la fermeture de session. Profil local: Profil stocké uniquement localement Profil en cache: Profil errant resté sur un poste client après fermeture de session (éventuellement réutilisable sur ce même poste). Configuration possible d'une commande d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en cache. Attribution d'un profil personnel errant à un utilisateur U travaillant sur plusieurs machines:
390
Windows Server 2003 Practice
Partager un répertoire du serveur en contrôle total pour U. Indiquer explicitement au moyen du gestionnaire d'utilisateurs que U possède un profil situé sur cette ressource. Créer dans le répertoire partagé pour U un profil par copie d'un autre profil. Si cette copie n'est pas faite, lors de sa première ouverture de session, U se vera attribué par copie le profil Default User du poste client de connexion.
Sur une machine possèdant un administrateur local et héritant d'un administrateur de domaine, existence de deux profils Administrateur:
un pour l'administrateur du domaine, l'autre pour l'administrateur de la station.
Le profil d'un utilisateur
Profil de l'administrateur Bureau: Contenu du bureau Cookies: cookies de l'administrateur Favoris: favoris de l'administrateur Menu Démarrer: menu démarrer de l'administrateur NTUSER.dat: partie de registre de l'administrateur ...
391
Windows Server 2003 Practice
!!! Bureau d'un utilisateur contenu dans son profil Le profil All Users
Un bureau, des documents, des favoris, un menu démarrer, ..., mais il manque certains fichiers personnels (NTUser.dat) Les utilisateurs recoivent l'union de leur profil personnel et du profil "All Users". Ceci concerne en particulier le bureau, les documents, les favoris et le menu démarrer.
392
Windows Server 2003 Practice
Menu démarrer attribué à tous les utilisateurs
Menu démarrer spécifique à l'administrateur
Résultat
Outils d'administration spécifiques à l'administrateur
393
Windows Server 2003 Practice
Outils d'administration de "All users"
394
Windows Server 2003 Practice
395
Windows Server 2003 Practice
Outils d'administration via menu démarrer "Programmes", intégration des racourcis de l'administrateur Outils d'administration via panneau de configuration Le profil Default User
Un profil complet
396
Windows Server 2003 Practice
Le gestionnaire de licences Définitions (Documentation Microsoft) Mode de licence "Par périphérique ou Par utilisateur ": Mode de licence qui requiert une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque périphérique ou utilisateur qui a accès à un serveur exécutant Windows Server 2003, quel que soit le nombre de connexions simultanées. Le mode de licence "Par périphérique ou Par utilisateur" est la meilleure option si vos clients utilisent fréquemment plusieurs serveurs sur le réseau. Mode de licence "Par serveur": Mode de licence qui requiert une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque connexion simultanée qui a accès à un serveur exécutant Windows Server 2003. Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est installé sur un seul serveur accessible à tout moment par pas plus d'un sousensemble de vos utilisateurs. Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau de configuration "Licences":
gestion des licences centralisée pour l'ensemble d'un domaine: o création, o destruction, o historique des actions, o ..., gestion d'autres licences que les seules licences d'accès client Windows Serveur (produits Microsoft), obtention de statistiques d'utilisation, ...
Menus
397
Windows Server 2003 Practice
Historique des achats sur le domaine
Licences achetées et allouées au cours du temps sur ce domaine dans les deux modes de gestion
398
Windows Server 2003 Practice
Clients répertoriés sur le domaine
Explorateur de serveur pour accéder aux configurations particulières des serveurs de licences Propriétés demandées sur une licence logicielle gérée
399
Windows Server 2003 Practice
Clients répertoriés en mode de licence "Par périphérique ou Par utilisateur" sur cette machine pour les licences d'accès client
Historique des achats sur cette machine pour les licences d'accès client
Nombres de licences accès client achetées sur l'ensemble des machines du domaine et accès à ces machines
400
Windows Server 2003 Practice
Installation de nouvelles licences
Fenêtre de déclaration de nouvelles licences
Fenêtre de Warning associée à la déclaration de nouvelles licences
Résultat
401
Windows Server 2003 Practice
Suppression de licences
Choix du mode de licence sur un serveur Un serveur de licence est sélectionné.
402
Windows Server 2003 Practice
Le changement est possible uniquement dans le sens mode par siège vers mode par serveur Révocation d'un utilisateur dans le cas du mode de licence par siège
Dépassement du nombre de licences autorisées
403
Windows Server 2003 Practice
Dans l'onglet "Clients par siège" des propriétés du type de licence concerné, utilisation du bouton révocation pour récupérer la licence d'accès client
Acquitement
404
Windows Server 2003 Practice
Résultat
L'éditeur du registre L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée appelé "Registre". Les programmes Regedit.exe et Regedt32.exe sont les mêmes. Ils donnent un accès direct à ces données.
ATTENTION: Ces applications sont à utiliser de manière extrêmement prudente car les actions réalisées sont irréversibles.
405
Windows Server 2003 Practice
ATTENTION: Faute d'une configuration contraire, l'utilisation de ces outils est autorisée aux utilisateurs (dans la limite des autorisations placées sur les informations renseignées).
Pour une machine, organisation arborescente de l'information dans 5 arbres:
HKEY_LOCAL_MACHINE: Configuration globale de la machine HKEY_CURRENT_CONFIG: Configuration du profil matériel actuellement utilisé HKEY_USERS: Configuration des utilisateurs possédant un profil local HKEY_CURRENT_USER: Configuration de l'utilisateur en cours de session HKEY_CLASSES_ROOT: Configuration de l'environnement d'utilisation de la machine (associations extensions-applications, ...)
Il existe 5 types de valeur:
REG_BINARY: Donnée "champ d'octets" REG_DWORD: Donnée numérique sur 4 octets REG_EXPAND_SZ: Chaîne de longueur variable REG_MULTI_SZ: Chaîne multiple REG_SZ: Chaîne de longueur fixe
Les clés des arborescences sont affichées à gauche, les valeurs à droite. Les menus sont contextuels, variant en fonction des clefs ou valeurs sélectionnées. Les clés et valeurs peuvent être renommées. Les valeurs peuvent être modifiées (en particulier après création).
406
Windows Server 2003 Practice
Menu "Fichier": Ouverture/Fermeture du registre d'un ordinateur distant, sauvegarde de clefs ou de sous-arbres, restauration à partir de sauvegarde
Menu édition: ajout ou suppression de clés ou de valeurs, autorisations, recherches, ...
Menu contextuel associé à l'une des 5 clés majeures
407
Windows Server 2003 Practice
Menu contextuel associé à une clé
Menu contextuel associé à une valeur Modification d'une clé
Modification d'une clé de type chaine de caractères
408
Windows Server 2003 Practice
Modification d'une clé de type valeur binaire
Modification d'une clé de type valeur DWORD
Modification d'une clé de type chaines multiples
Windows Server 2003 Practice
409
Modification d'une clé de type chaine extensible
Sauvegarde/Restauration des clefs Regedit autorise la sauvegarde/restauration (exportation/importation) des clés du registre et des valeurs qu'elles contiennent dans des fichiers .reg.
Exportation d'une clé
410
Windows Server 2003 Practice
Fichier résultat
Avant restauration
Restauration
411
Windows Server 2003 Practice
Après restauration
Fichier .reg Les autorisations, l'audit, l'appropriation sur les clés Ne s'applique qu'aux clés et aux valeurs qu'elles contiennent et pas directement aux valeurs.
Autorisations sur une clé
412
Windows Server 2003 Practice
Autorisations avancées: Autorisations, audit, propriétaire
Autorisations possibles
413
Windows Server 2003 Practice
Audit
Vérous d'audit possibles
414
Windows Server 2003 Practice
Propriétaire
415
Windows Server 2003 Practice
Administration (L'administration à distance, l'administration Active Directory) L'administration à distance Joindre un ordinateur à un domaine L'administration distante nécessite le regroupement des ordinateurs en domaine. Les machines Windows XP Pro, 2000 Pro ne pourront intégrer un domaine qu'en tant que membre simple. Les opérations d'authentification qu'elles réaliseront seront sous-traitées à un contrôleur du domaine. Une machine Windows 2000 Server ou 2003 Serveur pourra être intégrée dans un domaine de deux manières:
En tant que serveur simple, elle est gérée comme une machine Windows membre simple mais peut posséder un certain nombre des fonctionnalités de Windows 2000 ou 2003 Serveur (IIS par exemple). En tant que contrôleur de domaine supplémentaire, elle fait fonctionner Active Directory Service pour stocker une copie de la base de donnée de gestion du domaine et est capable de réaliser des authentifications et toutes les tâches d'un contrôleur.
Joindre une machine membre simple à un domaine
Onglet "Identification" ou "Nom de l'ordinateur" du panneau de configuration "Système" Ulysse membre du Workgroup WK
416
Windows Server 2003 Practice
Modification.
Intégration de l'ordinateur ulysse au domaine Windows 2003 w2k3.univ-fcomte.fr
417
Windows Server 2003 Practice
Authentification de l'adjonction par un administrateur du domaine
Acquittement
Redémarrage
418
Windows Server 2003 Practice
Résultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Computers contient une machine de plus.
Menu contextuel associé au membre simple ulysse
Propriétés d'un membre simple: Paramètres généraux
419
Windows Server 2003 Practice
Propriétés d'un membre simple: Système d'exploitation
Propriétés d'un membre simple: Rôle au sein du domaine
420
Windows Server 2003 Practice
Propriétés d'un membre simple: Emplacement
Propriétés d'un membre simple: Utilisateur gestionnaire
421
Windows Server 2003 Practice
Propriétés d'un membre simple: Appel entrant Joindre un contrôleur supplémentaire à un domaine Voir le chapitre idoine dans la page WEB configuration Active Directory
Résultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Domain Controllers contient une machine de plus.
422
Windows Server 2003 Practice
Menu contextuel associé au controleur supplémentaire
Propriétés du controleur supplémentaire: Paramètres généraux
Propriétés du controleur supplémentaire: Système d'exploitation
423
Windows Server 2003 Practice
Propriétés du controleur supplémentaire: Rôle au sein du domaine
Propriétés du controleur supplémentaire: Emplacement
Windows Server 2003 Practice
424
Propriétés du controleur supplémentaire: Utilisateur gestionnaire
Propriétés du controleur supplémentaire: Appel entrant
425
Windows Server 2003 Practice
Administration à distance via la MMC Windows 2003 permet l'administration à distance sur les machines d'un domaine. Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité qu'offrent fréquemment les composants logiciels enfichables de la MMC de se connecter sur une machine distante pour l'administrer totalement ou partiellement comme s'il s'agissait de la machine locale.
Choix du composant logiciel enfichable à joindre
Composant "Dossiers partagés"
426
Windows Server 2003 Practice
Composant "Services"
Composant "Gestion des disques" Choix de l'hôte à joindre pour le composant
427
Windows Server 2003 Practice
Résultat dans la MMC
Accès à distance aux partages de penelope.w2k3.univ-fcomte.fr
428
Windows Server 2003 Practice
Accès à distance à la gestion des disques de ulysse.w2k3.univ-fcomte.fr
Accès à distance aux services de telemaque.w2k3.univ-fcomte.fr (présenté comme local car exécuté sur telemaque)
429
Windows Server 2003 Practice
Possibilité de créer des fichiers MSC pour accéder de nouveau aux composants cibles
Fichiers MSC déplaçables Snap In.msc exécuté depuis penelope ("Dossiers partagés" devenu local, "Services" devenu affecté à telemaque)
430
Windows Server 2003 Practice
Mêmes les machines non contrôleur de domaine peuvent être utilisées pour l'administration à distance pour peu que les composants logiciels enfichables nécessaires soient installés et que le compte utilisé possède les droits adéquats. L'installation de ces composants est réalisée via le programme adminpak.exe (et sa mise à jour WindowsServer2003KB304718-AdministrationToolsPack.exe) compatible Windows 2003, Windows 2000 et Windows XP (avec services pack).
Liste des composants logiciels enfichables
431
Windows Server 2003 Practice
Administration à distance via la ligne de commandes L'administration Active Directory La délégation de contrôle Les objets Active Directory peuvent voir leur contrôle délégué.
432
Windows Server 2003 Practice
433
Windows Server 2003 Practice
Administration (Les commandes au clavier) Commandes de gestion des fichiers attrib Gestion des attributs lecture seule, archive, système et masqué assignés aux fichiers ou aux répertoires cd (chdir) Gestion du dossier en cours comp Comparaison octet par octet du contenu de deux fichiers ou de groupes de fichiers copy Copie d'un ou plusieurs fichiers à partir d'un répertoire dans un autre del (erase) Suppression de fichiers dir Affichage de la liste des fichiers et des sous-répertoires d'un répertoire fc Comparaison de deux fichiers et affichage leurs différences find Recherche d'une chaîne de texte déterminée dans un ou plusieurs fichiers findstr Recherche de structures de texte dans des fichiers à l'aide d'expressions régulières md (mkdir) Création d'un répertoire ou sous-répertoire
Windows Server 2003 Practice
434
more Affichage un écran de sortie à la fois move Transfert d'un ou plusieurs fichiers d'un répertoire vers un autre rd (rmdir) Suppression d'un répertoire ren (rename) Modification du nom d'un fichier ou d'un groupe de fichiers replace Remplacement des fichiers du répertoire de destination par les fichiers du répertoire source portant le même nom tree Affichage graphique de l'arborescence des répertoires d'un chemin d'accès ou du disque placé dans un lecteur type Affichage du contenu d'un fichier texte where Recherche et affichage de tous les fichiers correspondant au paramètre donné (recherche effectuée dans le répertoire actif et dans la variable d'environnement PATH) xcopy Copie de fichiers et de répertoires, sous-répertoires compris
Commandes de gestion des partitions
chkdsk Création et affichage d'un rapport sur l'état d'un disque donné en fonction du système de fichiers chkntfs Affichage ou spécification de si la vérification automatique du système est programmée pour être exécutée sur un volume FAT, FAT32 ou NTFS au prochain démarrage de l'ordinateur compact Affichage et modification de la compression des fichiers ou des répertoires dans les partitions NTFS convert Convertion des volumes FAT et FAT32 en NTFS en conservant les fichiers et les dossiers existants intacts (conversion inverse impossible) defrag Localisation et regroupement des dossiers, des fichiers de données et des fichiers de démarrage fragmentés sur des volumes locaux diskpart Gestion des disques, partitions ou volumes (fonctionnement en interpréteur de commandes) format Formatage du disque du volume spécifié afin qu'il puisse recevoir des fichiers label Création, changement ou suppression du nom de volume d'un disque
Commandes de gestion des autorisations et de l'appropriation
cacls Affichage ou modification des listes DACL (Discretionary Access Control List) pour des fichiers spécifiés takeown Permet à un administrateur de s'autoriser l'accès à un fichier qui lui était précédemment refusé en s'en faisant le propriétaire
Windows Server 2003 Practice
435
La commande net
net accounts Mise à jour la base de données des comptes d'utilisateurs net computer Ajout ou suppression d'ordinateurs dans une base de données de domaine net file Affichage du noms de tous les fichiers partagés ouverts sur un serveur et, le cas échéant, du nombre de verrous sur chaque fichier. Fermeture des fichiers partagés individuels et suppression des verrous de fichier net group Ajout, affichage ou modification des groupes globaux dans des domaines net help Affichage de l'aide de la commande net net helpmsg Explication de la raison pour laquelle une erreur s'est produite et fourniture des informations pour la résolution du problème net localgroup Ajout, affichage ou modification des groupes locaux net print Affichage des informations sur une file d'attente d'impression ou une tâche d'impression spécifique, ou contrôle d'une tâche d'impression donnée net send Envoi de messages à d'autres utilisateurs, ordinateurs ou noms de messagerie sur le réseau net session Gestion des connexions à un serveur net share Gestion des ressources partagées net statistics Affichage du journal des statistiques des services "Station de travail" ou "Serveur" locaux ou bien des services en cours d'exécution pour lesquels des statistiques sont disponibles net time Synchronisation de l'horloge de l'ordinateur avec celle d'un autre ordinateur ou d'un domaine net use Connexion ou déconnexion d'un ordinateur à une ressource partagée, ou affichage des informations relatives aux connexions de l'ordinateur net user Ajout ou modification des comptes d'utilisateurs ou affichage des informations relatives aux comptes d'utilisateurs net view Affichage de la liste des domaines, des ordinateurs ou des ressources partagées par l'ordinateur spécifié
Les commandes at et schtasks
at Programmation de l'exécution de commandes et de programmes sur un ordinateur aux date et heure spécifiées (utilisation possible de la commande at si le service "Planning" est en cours d'exécution) schtasks Planification de l'exécution périodique ou à heure spécifique des commandes et des programmes Ajout et suppression des tâches de la planification
Windows Server 2003 Practice
436
Démarrage et interruption des tâches à la demande Affichage et de modification des tâches planifiées at : commande de planification des versions antérieures de Windows schtasks : remplacement de at et amélioration en particulier par la gestion des autorisations La commande sc Commandes de gestion des processus
runas Exécution des outils et des programmes avec des autorisations différentes de celles attribuées à l'ouverture de session shutdown Arrêt ou de redémarrage local ou à distance taskkill Suppression d'un ou plusieurs processus ou tâches tasklist Affichage de la liste des processus en cours d'exécution sur un ordinateur local ou distant
La commande ntbackup Sauvegarde de fichiers, répertoires, unités et systèmes Pas de restauration possible en ligne de commande La commande ntdsutil Outil de ligne de commande de gestion des domaines pour Active Directory:
maintenance de la base de données Active Directory, gestion et contrôle des opérations à maître unique, gestion et contrôle des SID, suppression des métadonnées provenant de contrôleurs de domaine ayant été supprimés du réseau sans procédure de désinstallation appropriée, ...
Utilisation réservée aux administrateurs expérimentés. La commande whoami Renvoi du nom de domaine, du nom d'ordinateur, du nom d'utilisateur, des noms de groupes, de l'identificateur d'ouverture de session et des privilèges de l'utilisateur actuellement connecté
437
Windows Server 2003 Practice
Résultat d'exécution de "whoami /all" Commandes de gestion du service d'annuaire
dsadd Ajout d'objets à l'annuaire dsget Affichage des propriétés des objets de l'annuaire dsmod Modification des attributs spécifiques d'un objet de l'annuaire dsquery Recherche d'objets dans l'annuaire correspondant à un critère de recherche dsmove Déplacement d'un objet de son emplacement actuel vers un nouvel emplacement parent dsrm Suppression d'un objet, de toute la sous-arborescence d'un objet de l'annuaire ou des deux
La commande systeminfo Affichage des informations relatives au système matériel et logiciel
Commandes TCP/IP
arp Affichage et modification des entrées du cache ARP (Address Resolution Protocol), qui contient une ou plusieurs tables permettant de stocker les adresses IP et leurs adresses physiques Ethernet ou Token Ring résolues
Windows Server 2003 Practice
438
finger Affichage d'informations sur un ou plusieurs utilisateurs sur un ordinateur distant spécifié (généralement un ordinateur sous UNIX) ftp Transfert de fichiers vers et depuis un ordinateur exécutant un service de serveur FTP (File Transfer Protocol) hostname Affichage du nom d'hôte inclus dans le nom complet de l'ordinateur ipconfig Affichage de toutes les valeurs actuelles de la configuration TCP/IP lpq Affichage de l'état d'une file d'attente d'impression sur un ordinateur exécutant LPD (Line Printer Daemon) lpr Envoi d'un fichier vers un ordinateur exécutant LPD (Line Printer Daemon) en vue de son impression nbtstat Affichage des statistiques du protocole NetBIOS sur TCP/IP (NetBT), des tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants ainsi que du cache de noms NetBIOS netstat Affichage des connexions TCP actives, des ports sur lesquels l'ordinateur procède à l'écoute, de la table de routage IP ainsi que des statistiques Ethernet, IPv4 (pour les protocoles IP, ICMP, TCP et UDP) et IPv6 (pour les protocoles IPv6, ICMPv6, TCP sur IPv6 et UDP sur IPv6) nslookup Réalisation de résolutions de noms et affichage d'informations permettant d'établir un diagnostic de l'infrastructure DNS (Domain Name System). ping Vérification de la connectivité de niveau IP avec un autre ordinateur TCP/IP par envoi de messages ICMP (Internet Control Message Protocol) de requête d'écho rcp Copie de fichiers depuis et vers un système exécutant rshd (service de shell distant) (pas d'implémentation de rshd sous les systèmes d'exploitation Windows) rexec Exécution de commandes sur un ordinateur distant non Windows fournissant le service (démon) Rexec route Affichage et modification des entrées dans la table de routage IP locale rsh Exécution de commandes sur des ordinateurs distants utilisant le service ou démon RSH tftp Transfert de fichiers depuis et vers un ordinateur distant (en général sous UNIX) exécutant le service ou le démon TFTP (Trivial File Transfer Protocol) tracert Détermination de l'itinéraire menant à une destination par la transmission de messages ICMP (Internet Control Message Protocol) ou ICMPv6 à la destination en augmentant de façon incrémentielle les valeurs des champs "Durée de vie" Affichage de la série d'interfaces de routeurs les plus proches des routeurs sur l'itinéraire situé entre un hôte source et une destination
439
Windows Server 2003 Practice
Fonctionnalités avancées RIS : Remote Installation Service RIS permet l'installation à distance de machines Windows 2003 Professionnel. C'est un moyen dédié à l'installation de parcs d'ordinateurs. DFS : Distributed File System DFS permet la construction d'un système de fichiers partagé lui-même constitué de répertoires partagés. EFS : Encrypted File System EFS propose l'encryptage à la volé des fichiers. Seuls les propriétaires auront accès au contenu du fichier. Celui-ci restera encrypté même après une copie. FRS : File Replication System FRS est le système de réplication de fichiers de Windows 2000 Server. Il permet de gérer automatiquement un répertoire répliqué sur plusieurs hôtes. TSS : Terminal Server Service TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur de terminal Windows (i.e. les postes clients exécutent un programme de connexion sur le serveur en mode terminal).
440
Windows Server 2003 Practice
Internet Information Server (IIS 6.0) Introduction IIS est un ensemble de services TCP/IP dédiés à l'Internet. Il comprend les services suivants:
Web, FTP, SMTP, NNTP,
et les outils d'administration associés. La version 6.0 de IIS est installée avec Windows 2003 Serveur (version 5.0 avec Windows 2000, version 4.0 avec Windows NT 4.0). Modification de Windows 2003 Server après l'installation de IIS 6.0
Création d'un répertoire \Inetpub dans lequel seront stockés dans différents répertoires (wwwroot pour le WEB, ftproot pour le FTP, mailroot pour le mail, ...) les fichiers des différents services gérés. Configuration des permissions sur ces répertoires. Création de deux comptes. Le compte IUSR_NomMachine est le compte qui sera utilisé pour désigner l'utilisateur anonymous et permettre la gestion des permissions pour ses accès. Installation de différents services et démarrage de ces services: o Service de publication World Wide Web: démon Web, o Service de publication FTP: démon FTP, o Simple Mail Transfer Protocol (SMTP): démon SMTP o Service d'administration IIS: Service nécessaire à l'administration de IIS y compris via le réseau, o ... Installation des outils d'administration de IIS et création des raccourcis correspondants dans les outils d'administration et au sein du gestionnaire d'ordinateur.
Configuration de IIS 6.0 L'administration de IIS 6.0 est réalisée via le Gestionnaire des services Internet, c'est à dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,
441
Windows Server 2003 Practice
Fenêtre du Gestionnaire des Services Internet
Menu contextuel du Gestionnaire des Services Internet
Menu contextuel associé à un serveur
Menu contextuel associé à la clé "sites FTP" d'un serveur
442
Windows Server 2003 Practice
Menu contextuel associé à la clé "sites Web" d'un serveur
Menu contextuel associé à un site FTP
Menu contextuel associé à un site Web doté des extensions Frontpage
443
Windows Server 2003 Practice
Les sites installés par défaut sont:
le site FTP par défaut si le service FTP est installé, le site WEB par défaut si le service Web est installé, le site WEB d'"Administration de Microsoft SharePoint" si les extensions Frontpage sont installées, le site WEB d'"Administration" si le site web d'administration à distance est installé.
D'autres sites pourront être installés.
Site FTP par défaut: Vide (ici arrêté)
Site Web par défaut: Site FrontPage (ici arrêté)
444
Windows Server 2003 Practice
Les services FTP Après sélection des propriétés d'un site FTP.
Attribution de l'adresse IP à laquelle sera associé le site FTP parmi toutes celles définies sur l'hôte et le port TCP sur lequel le site FTP est installé (port FTP standard: 21). Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai de déconnexion automatique en cas d'inactivité
445
Windows Server 2003 Practice
446
Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistrées (clients, fichiers téléchargés, quantités d'informations, ...) dans le journal de log du site FTP sous ..\WINDOWS\system32\LogFiles\MSFTPSVC1\exjjmmaa.log
Sessions en cours sur le site FTP et cloture éventuelle
Comptes de connexion anonyme et d'administration
447
Windows Server 2003 Practice
Messages de connexion et de déconnexion
448
Windows Server 2003 Practice
Répertoire de base: Soit un répertoire local, soit un répertoire réseau. Lecture seule ou lecture/écriture
449
Windows Server 2003 Practice
Sécurité d'accés implantée sur un répertoire en fonction de l'adresse ou d'une classe d'adresses Les services WEB
Attribution de l'adresse IP à laquelle sera associé le site Web parmi toutes celles définies sur l'hôteet le port TCP sur lequel le site Web est installé (port Web standard: 80). Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai de déconnexion automatique en cas d'inactivité
450
Windows Server 2003 Practice
451
Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistrées (clients, fichiers téléchargés, quantités d'informations, ...) dans le journal de log du site Web sous ..\WINDOWS\system32\LogFiles\W3SVC1\exjjmmaa.log
452
Windows Server 2003 Practice
Configuration avancée du site
Performances du site
453
Windows Server 2003 Practice
Filtres ISAPI
454
Windows Server 2003 Practice
455
Windows Server 2003 Practice
Répertoire de base: Soit un répertoire local, soit un répertoire réseau, soit une URL. Accès en lecture seule ou lecture/écriture. Journalisation et/ou indexation. Exploration
Documents de base lorsqu'aucun fichier explicite
456
Windows Server 2003 Practice
Messages d'erreur
Extensions serveur
457
Windows Server 2003 Practice
Paramètres de contrôle d'accès et types mime
Contrôle d'accès
458
Windows Server 2003 Practice
Les types MIME
459
Windows Server 2003 Practice
Sécurités d'accès au répertoire
460
Windows Server 2003 Practice
Filtrage IP sur des adresses, des classes d'adresse ou des noms de domaine
Authentification
461
Windows Server 2003 Practice
Extension du serveur BITS Création d'un nouveau site FTP Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même carte en possède plusieurs), soit par le port TCP sur lequel le site répond. Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre service sur le serveur.
462
Windows Server 2003 Practice
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site (parmi celles disponibles sur l'hôte) et du port TCP associé au site (Port FTP standard : 21)
463
Windows Server 2003 Practice
Chemin d'accès au répertoire local associé au site
Choix du mode d'isolation (ici, pas d'isolation, voir plus loin)
464
Windows Server 2003 Practice
Contrôle d'accès
Fin de la création L'isolation IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de l'ouverture d'une session FTP par un utilisateur. Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire, ses sous-répertoires réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.
Windows Server 2003 Practice
465
1. Répertoire de base: La racine du site. 2. Répertoire de base: Un répertoire particulier sous la racine du site. 3. Répertoire de base: Le répertoire de base tel que configuré dans Active Directory.
Création d'un site avec isolation des utilisateurs
466
Windows Server 2003 Practice
Oblibgation de créer l'arborescence de répertoires sur le shéma suivant:
"Répertoire de base"\LocalUser\Public pour les connexions anonymous "Répertoire de base"\UserDomain\UserName pour les connexions non anonymous
467
Windows Server 2003 Practice
Création d'un site avec isolation des utilisateurs en utilisant Active Directory
468
Windows Server 2003 Practice
Pour chaque utilisateur définition dans Active Directory des deux propriétés FTPRoot et FTPDir qui sont utilisées pour indiquer le répertoire de base de l'utilisateur. Deux instructions en ligne de commandes: iisftp /SetADProp Einstein FTPRoot I:\Utilisateurs\ iisftp /SetADProp Einstein FTPDir Einstein
469
Windows Server 2003 Practice
Dans les propriétés d'un tel site, disparition de l'onglet "Comptes de sécurité" car il n'y a plus de connexion anonyme et "Répertoire de base" car ces informations sont extraites de Active Directory Création d'un site sur une autre adresse IP
470
Windows Server 2003 Practice
Résultat des créations Connection sur ces sites au moyen de Internet Explorer
Connection au site par défaut
471
Windows Server 2003 Practice
Connection au site sur le port 2121
Anonymous
472
Windows Server 2003 Practice
Authentifié Connections anonymous et authentifiée au site sur le port 2122
Connection authentifiée au site sur le port 2123
473
Windows Server 2003 Practice
Connection au site sur l'adresse 172.20.129.116 (achille) Création d'un répertoire virtuel FTP Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur FTP au sein de l'arborescence des répertoires du site FTP. Le repertoire virtuel ne correspond pas à un répertoire existant physiquement à cette endroit dans l'arborescence de répertoires du répertoire de base du site et n'apparaitra pas dans un client FTP. Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire partagé d'un autre ordinateur.
Nom du répertoire virtuel sur le site FTP
474
Windows Server 2003 Practice
Répertoire local correspondant
475
Windows Server 2003 Practice
Contrôle d'accès
Création d'un répertoire virtuel (alias) FTP
Résultat dans le Gestionnaire des Services Internet
476
Windows Server 2003 Practice
Propriétés d'un répertoire virtuel FTP (noter la possibilité de configurer des restrictions d'accès spécifiques)
477
Windows Server 2003 Practice
Résultat dans Internet Explorer
Création d'un répertoire physique vide portant le même nom que le répertoire virtuel à la même place pour rendre visible son existence dans un client FTP (Le démon FTP bascule sur le répertoire virtuel et pas sur le répertoire vide)
478
Windows Server 2003 Practice
Création d'un nouveau site WEB Plusieurs sites WEB peuvent être ébergés sur le même serveur FTP. La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou qu'une carte possède plusieurs adresses IP), soit par le nom d'entête utilisé par le client WEB, soit par le port TCP sur lequel le site répond. Le port standard du WEB est le port 80. C'est celui qui est utilisé implicitement si aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre service sur le serveur.
479
Windows Server 2003 Practice
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site (parmi celles disponibles sur l'hôte) du port TCP associé au site (Port Web standard : 80 déjà utilisé pour le site par défaut, choix du port 8080) et du nom d'entête auquel répondra le site
Chemin d'accès au répertoire local associé au site
Windows Server 2003 Practice
480
Contrôle d'accès
Fin de la création
Résultat de la création
481
Windows Server 2003 Practice
Propriétés avancées du site Web créé
Message d'erreur en cas d'accès depuis Internet Explorer car l'exploration de répertoire est interdite et il n'y a pas de fichier par défaut à la racine
482
Windows Server 2003 Practice
Configuration de l'autorisation d'exploration
Résultat dans Internet Explorer
483
Windows Server 2003 Practice
Résultat dans Internet Explorer avec un fichier nommé Default.htm à la racine du répertoire de base Création de plusieurs serveurs Web virtuels sur un même serveur Création d'un site sur une adresse IP
484
Windows Server 2003 Practice
Création d'un site associé à un nom d'entête
485
Windows Server 2003 Practice
486
Windows Server 2003 Practice
Configuration complémentaire dans les propriétés avancées d'identification du site
Résultat dans le gestionnaire IIS
Site par défaut
487
Windows Server 2003 Practice
Site sur le port 8080
Site sur l'adresse 172.20.129.116 (achille dans le DNS)
Site sur l'entête diogene ou diogene.w2k3.univ-fcomte.fr (nom référencé dans le DNS) Résultats dans Internet Explorer réation d'un répertoire virtuel Web Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur WEB au sein de l'arborescence des répertoires physiques existant dans le répertoire de base. Cet "alias" peut correspondre à un répertoire de la machine locale, à un répertoire partagé sur un autre ordinateur ou une redirection vers un autre site WEB.
488
Windows Server 2003 Practice
Nom du répertoire virtuel sur le site Web
489
Windows Server 2003 Practice
Répertoire local correspondant
Contrôle d'accès
490
Windows Server 2003 Practice
Création d'un répertoire virtuel (alias) Web
Résultat dans le Gestionnaire des Services Internet
Résultat dans Internet Explorer avec un fichier Default.htm
491
Windows Server 2003 Practice
Les types MIME Sauvegarde d'un serveur
Gestion de plusieurs sauvegardes
492
Windows Server 2003 Practice
Warning de restauration Redémarrage d'un serveur
Demande de redémarrage
Redémarrage en cours
493
Windows Server 2003 Practice
I - INTRODUCTION
Système d'exploitation à vocation professionnelle issu de Windows 2000 (et antérieurement de Windows NT 4.0, 3.51, 3.5 et 3.1). Développé par Microsoft Corporation depuis le début des années 90 initialement par une ancienne équipe de Digital Equipment Corporation (DEC). Commercialisation de Windows 2003 en 2003! Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows 2000. Solution présentée à des attentes telles que:
robustesse, sécurisation, fonctionnalités serveur, gestion du poste client, administration distante, technologies d'infrastructure réseau, …
Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les environnements systèmes professionnels. A sa sortie, attaque directe contre Novell IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les Unix ouverts de type Linux ou FreeBSD. Existence de versions dédiées "poste clients" destinées à être utilisées en association aux systèmes "serveur". Système serveur Système poste client Windows NT 4.0 Serveur Windows NT 3.51 ou 4.0 Workstation Windows 2000 ou 2003 Serveur Windows 2000 ou XP Professionnel Caractéristiques principales Présenté comme très largement compatible avec les développements antécédents réalisés pour Windows. -> Préservation des investissements en logiciel et en formation (y compris pour les formations d'administrateurs). -> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que Windows 2000 en ressources matérielles (voire même moins pour certains services). -> Drivers logiciels et matériels identiques à ceux de Windows 2000.
1
Windows Server 2003 Practice
Système d'exploitation réseau. -> Intégration poussée des fonctionnalités réseau au sein du noyau. Gestion de la sécurité à deux titres :
sûreté de fonctionnement (robustesse), sécurité vis à vis du contrôle de l'utilisation de la machine (actions, intrusions, ...).
Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus seulement système d'exploitation départemental (gestion de groupes de travail) ou poste de travail. Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel. Exemples:
administration centralisée, vrai multitâche, partage de ressources, …
Quelques caractéristiques de Windows 2003 Serveur Qualités
Administrabilité Sécurité vis à vis des intrusions Robustesse Maintenance de la part de Microsoft Système en version 32 bits et 64 bits Système multi-tâche et multi-threadé Support des ordinateurs multiprocesseurs Support des standards du marché Système d'entreprise Défauts
Nécessité d'un administrateur désigné Incompatibilité de certains logiciels (DOS, Win95, Win98) Système non multi-session Reboots Système entièrement propriété de Microsoft Corporation
Implantation constatée Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son prédécesseur immédiat), Linux et Novell IntranetWare. C'est un produit qui a reçu bon accueil:
Large implantation sur les petits serveurs de groupes de travail (en concurrence avec Linux). Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et les systèmes propriétaires).
Plusieurs versions de Windows 2003 Serveur:
2
Windows Server 2003 Practice
En version 32 bits:
Windows 2003 Server Web Edition
Pas de gestion d'un parc de machines (Domaine). Serveur Internet De 1 à 2 processeurs, jusqu'à 2 Go de mémoire. N'existe pas en version x64. N'existe pas en version Itanium.
Windows 2003 Server Standard
Gestion d'un parc de machines (Domaine). Priorité aux activités liées au réseau par rapport aux activités purement locales. Serveurs de fichiers et d'imprimantes Serveur Internet De 1 à 4 processeurs, jusqu'à 4 Go de mémoire. Jusqu'à 32 Go de mémoire en version x64. N'existe pas en version Itanium.
Windows 2003 Enterprise
Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de fonctionnement (clustering). Serveurs Internet et d'applications De 1 à 16 processeurs, jusqu'à 64 Go de mémoire. Jusqu'à 1 To de mémoire en version x64 et Itanium.
Windows 2003 Datacenter
Fonctionnalités de l'Advanced Server. Serveurs Internet et d'applications 16 ou 32 processeurs, 64 à 128 Go de mémoire. En version R2 (voir plus loin), jusqu'à 64 processeurs. Jusqu'à 1 To de mémoire en version x64 et Itanium. Version "poste client": Windows XP Professionnel En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP Professionnel. Il en reprend le noyau et est plus une évolution qu'une révolution. Microsoft a aussi commercialisé une version "personnelle" de Windows XP : Windows XP Home Edition. Celle-ci est principalement allégée des possibilités d'administration centralisée et de sécurisation. Nouvelle release de Windows 2003 en 2006: Windows 2003 R2
Mise à jour logicielle Ajout de fonctionnalités
Prochaine version serveur: Windows ? en ? Microsoft annonce un nouveau système professionnel pour 2007: "Vista".
3
Windows Server 2003 Practice
II - ELÉMENTS D'ARCHITECTURE, RÉSEAU INTERNET
Internet : Réseau mondial d'inter-connexion de réseaux. Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement le cas. Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets. Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la machine cible et est émis sur le réseau à destination de cette machine. Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la perte est détectée et le paquet est envoyé de nouveau. Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par une infrastructure logicielle. Infrastructure matérielle Sous-réseau Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec toute autre machine. Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des commutateurs (switchs). Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes les machines qui lui sont directement connectées. Une machine cible conservera et exploitera les paquets qui lui sont destinés et oubliera les autres. Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur l'ensemble des machines connectée est la bande passante du concentrateur (généralement 10 ou 100 Mbits/s). La capacité de transfert est donc partagée entre les machines connectées et est limitée à celle du concentrateur.
Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à laquelle il est destiné. -> Une machine ne reçoit que les seuls paquets qui lui sont destinés. Chaque machine possède une bande passante potentielle vers les autres machines qui lui
4
Windows Server 2003 Practice
sont connectées égale à celle de son interface réseau (10, 100 ou 1000 Mbits/s). La bande passante globale du sous-réseau est toutefois limitée par la vitesse de commutation du fond de panier du commutateur (matrice de commutation).
Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur lesquels viennent se connecter en étoile les machines. Inter-connexion des sous-réseaux Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets entre les sous-réseaux qui contiennent les machines source et cible. Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique qui après configuration semble agir comme un commutateur.
Dans les cas plus complexes (réseaux d'entreprise, Internet), un seul routeur ne permet pas l'inter-connexion de l'ensemble des sous-réseaux. Plusieurs routeurs reliés entre eux consécutivement sont alors utilisés sur le chemin des paquets.
5
Windows Server 2003 Practice
Pour des raisons de pérennité de fonctionnement, le réseau de routeurs, au lieu d'être construit en étoile, pourra être construit en graphe. Plusieurs chemins pourront exister pour aller d'un sous-réseau à un autre sous-réseau. Pour un même message, les paquets pourront transiter par des chemins différents et même arriver dans un ordre différent de celui de départ. Le matériel actif se contente d'assurer le transfert de l'information. Ce seront les machines qui reconstitueront la cohérence des messages à l'arrivée.
Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du réseau fédérateur permettant ainsi de résoudre le problème du choix et de l'optimisation des liens de transit.
Windows Server 2003 Practice
6
Infrastructure logicielle L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou plusieurs protocoles de communication (i.e. langage de communication d'informations entre ordinateurs). Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de l'Internet et tend à se généraliser. La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement "routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sousréseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau Internet. L'infrastructure logicielle comprend pour chaque protocole:
Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels du réseau (concentrateurs, commutateurs, routeurs, ...) (non abordés ici). Les logiciels de configuration, de gestion et d'audit du fonctionnement local des machines permettant en particulier de donner un nom à chaque machine pour autoriser les communications machine source <-> machine cible. Les services réseau implantés pour utiliser ou faciliter l'utilisation du protocole.
NetBEUI NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage. Les machines sont désignées par des noms alphanumériques sur 15 caractères. Toutes les machines placées sur le même concentrateur, sur le même commutateur ou liées par une suite de concentrateurs commutateur peuvent communiquer directement entre elles. Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB (Server Message Block) et Lan Manager proposent les services:
de gestion d'utilisateurs, de gestion de répertoires partagés, de gestion d'imprimantes partagées, ...
NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de Windows et sous Linux (Samba). Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en œuvre un processus d'exploration du réseau à la recherche des machines qui y sont présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable, chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les machines de son sous-réseau) destiné à susciter une réponse contenant le nom de la machine répondant. Si n machines génèrent un broadcast entraînant n réponses, on
7
Windows Server 2003 Practice
obtient de l'ordre de n2 messages échangés régulièrement. -> à partir d'un certain nombre de machines, une part importante du trafic du réseau (voire près de 100%) peut être consacrée à ce processus d'exploration. Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine souhaitant connaître la liste des machines du réseau. TCP/IP Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés au routage. Paramètres généraux:
Adresse IP : Une machine est nommée de manière unique sur son réseau par son "adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23 Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et 255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec lesquelles elle peut communiquer sans routage). Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux machines et le masque sont égaux alors les deux machines font partie du même sous-réseau TCP/IP. Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164 et I2 = 172.20.128.213. En binaire, le masque devient M = 11111111.11111111.11111111.10000000 et les adresses I1 = 10101100.00010100.10000000.10100100 et I2 = 10101100.00010100.10000000.11010101 Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe & désigne le "et binaire". M & I1 = 10101100.00010100.10000000.10000000 M & I2 = 10101100.00010100.10000000.10000000 (M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau. Elles pourront communiquer directement si elles sont interconnectées par un concentrateur ou un commutateur. Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de bits à 0. Les masques de sous-réseau classiques sont : 255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe C), 255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et de 128 à 255), 255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de 64 à 127, de 128 à 191 et de 192 à 255), 255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C), 255.255.255.240 -> 16 adresses (16 sous-réseaux sur une classe C),
Windows Server 2003 Practice
8
255.255.255.248 -> 8 adresses (32 sous-réseaux sur une classe C), 255.255.255.252 -> 4 adresses (64 sous-réseaux sur une classe C). Définition des différentes classes IP
Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront envoyés tous les paquets non destinés à une machine du même sous-réseau que la machine source. Un routeur ou un ordinateur assurant le routage sera installé à cette adresse pour les réceptionner et les transmettre.
Paramètres de configuration DNS La technique de dénomination par adresse IP est pratique pour les ordinateurs car facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus. Convention de dénomination supplémentaire: Désignation de chaque machine par un ou plusieurs noms IP alphanumériques. Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une organisation arborescente. Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la machine, puis les différentes parties du nom de domaine du plus particulier au plus général. Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sousdomaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr). Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:
localement sur chaque machine au moyen de "fichiers hosts", Globalement sur un ensemble de machines reliées en réseau au moyen d'un serveur DNS (Domain Name Server) qui gère la liste associée à un domaine et peut être interrogé via une connexion réseau normalisée. La configuration TCP/IP de la machine cliente inclut alors une référence à ce serveur.
Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les machines entre eux, soit au contraire pour répliquer les bases de données de machines et avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de charge pour les domaine très consultés. Un serveur DNS aura les tâches suivantes:
Gérer sa base de données de noms Résoudre un nom pour les machines qui le lui demandent quand il connaît le nom (il appartient au domaine qu'il gère). Répondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas défini dans le domaine qu'il gère). Propager la demande de résolution vers le ou les serveurs DNS du sous-domaine concerné s'il s'agit d'un nom associé à l'un de ses sous-domaines.
Windows Server 2003 Practice
9
Propager la demande de résolution vers le serveur ou les serveurs DNS de son domaine maître si le nom n'appartient pas à un de ses sous-domaines.
Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est donné sur le DNS dont elle dépend. Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine, les suffixes sont testés les uns après les autres comme domaines implicites. DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP correspondant au nom IP ou réciproque.
Paramètres de configuration WINS Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est impossible de l'utiliser pour des réseaux comportant un nombre important de machines. Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le routage. Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service (WINS) est l'une des solutions possibles. WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions nom TCP/IP <-> adresse IP. Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:
L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent automatiquement sur ce serveur). Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms d'utilisateurs, des noms de machines, ... Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de données et offrir ainsi des redondances et des possibilités d'administration plus élaborées. ... WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion. WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une résolution WINS doit être réalisée et que le serveur primaire ne donne pas de réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association souhaitée.
Filtrage IP Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du point de vue des paquets sortants que du point de vue des paquets entrants. Ces fonctions de filtrage pourront généralement être configurées soit en fonction de l'adresse IP du client, soit en fonction du port TCP/IP utilisé par l'ordinateur client. DHCP
10
Windows Server 2003 Practice
Tous ces paramètres nécessaires à l'infrastructure TCP/IP pourront être renseignés soit directement sur l'ordinateur hôte, soit sur un serveur DHCP (Dynamic Host Configuration Protocol) qui sera contacté par l'intermédiaire du réseau par l'hôte au moment de son démarrage. L'intérêt de l'utilisation de DHCP réside dans les points suivants:
La configuration des postes clients est centralisée. L'affectation des paramètres pourra être réalisée dynamiquement ou statiquement. Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un pool restreint d'adresses IP permettant d'accéder à Internet et affecter ces adresses aux seules machines en fonctionnement. ...
De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via une base de données unique, d'assurer la cohérence des informations transmises. C'est le cas sous Windows 2000. Commandes TCP/IP texte ipconfig La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes réseau présentes dans la machine. la syntaxe est ipconfig pour obtenir un résumé et ipconfig -all pour obtenir une description complète.
ipconfig
11
Windows Server 2003 Practice
ipconfig -all
ping La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe est ping nom_IP ou ping adresse_IP
ping nslookup La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est nslookup nom_IP ou nslookup adresse_IP
12
Windows Server 2003 Practice
nslookup Tracert La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés pour joindre une autre machine. La syntaxe est tracert nom_IP ou tracert adresse_IP
Tracert
III - CONCEPTS ET PLANIFICATION
La gestion de la sécurité Windows 2003: Système d'exploitation sécurisé. Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des utilisateurs.
13
Windows Server 2003 Practice
Action ou ressource refusée ou accordée en fonction de l'utilisateur. Possibilités multiples de sécurisation:
autorisation d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir), interdiction d'utiliser d'autres applications que celles dûment autorisées, interdiction d'installer des applications, interdiction de modifier l'environnement de travail, restrictions d'accès aux ressources (fichiers, imprimantes, …), audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur, accès à des ressources,...), …
Droit ou privilège: Autorisation d'exécuter une action système. Exemples: Créer des comptes, installer un pilote d'imprimante, partager un répertoire, arrêter le système, ... Autorisation: Autorisation d'accès à une ressource. Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application, ... Tous les objets du système sont soumis à autorisations via des ACLs. Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,... Un utilisateur possède tous les droits : l'"Administrateur". Il est nommé "root" sous UNIX. La gestion du réseau NOS (Network Operating System): Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau. -> connexion et communication facile entre ces machines. Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):
Ethernet épais, fin et double paires torsadées, Phonenet, Fibre optique, Infrarouge, Bluetooth, Wifi, Modem, ...
Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des éditeurs tiers):
NetBEUI, TCP/IP,
Windows Server 2003 Practice
14
IPX/SPX, DLC, Appletalk, ATM, TokenRing, FDDI, …
Nombre important de services réseau tant du point de vue serveur que du point de vue client:
SMB, Lan Manager, DNS, WWW, FTP, Telnet, SMTP, NNTP, NTP, Proxy, DHCP, WINS, ADS, ...
-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole natif de Windows 2003: TCP/IP. NetBEUI Avantages Inconvénients
Rapide Peu gourmand en ressource système Pas de routage Pas compatible avec Internet Protocole assez bavard sur le réseau
TCP/IP Avantages Inconvénients
Rapide Peu gourmand en ressource système Routage Compatible avec Internet
Windows Server 2003 Practice
15
Possiblement complexe à paramétrer Protocole des "pirates"
Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans même que NetBEUI soit installé. Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre encore un nombre important de caractéristiques:
dénomination des machines, explorateur réseau, ...
Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom. Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP même si la base de Windows NT et 9x reste NetBEUI. Sécurité gérée au niveau du réseau. Le partage de ressources Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante. Ressources partageables:
les répertoires et les fichiers qu'ils contiennent, les imprimantes, dans une certaine mesure, les applications (Exécution d'une application sur une machine distante avec transmission du résultat d'exécution sur la machine locale) (possibilité d'utiliser le service Terminal Server pour configurer un serveur de terminaux Windows, équivalent fonctionnel à un serveur X).
Sécurité au niveau des ressources partagées. Active Directory Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines. AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS. Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à un fonctionnement pérenne. Intérêt d'AD:
Windows 2003 avec AD supporte des domaines de d'utilisateurs alors que, dans la pratique, Windows dizaines de milliers. Windows 2003 avec AD supporte des domaines de machines alors que, dans la pratique, Windows NT
Windows Server 2003 Practice
plusieurs millions de comptes NT 4.0 était limité à quelques plusieurs dizaines de milliers de était limité à quelques centaines.
16
Unité Organisationnelle La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation arborescente. L'extensibilité d'Active Directory Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes. Kerberos Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la sécurité. Deux points importants sont à signaler:
L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors d'une communication d'informations, de vérifier l'authenticité de leurs identités respectives pour éviter les usurpations d'identité. L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait confiance à C. -> En particulier, cette loi est vérifiée pour les approbations entre "Domaines Windows 2003".
Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour l'authentification avec des machine sous système d'exploitation de version antérieure ou des machines indépendantes (hors domaine, voir plus loin). La notion de domaine Windows 2003 Domaine: Unité d'administration sous Windows 2003. Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité associée. Active Directory permet une organisation différente de la classique et très rigide organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0. Ce sont la souplesse de la gestion par base de données et les possibilités d'extension héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles possibilités. Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows 2003 alors que sous NT, ce sont les domaines. La notion de domaine au sens Windows NT 4.0 disparaît donc avec Windows 2003 avec un emploi beaucoup plus souple.
17
Windows Server 2003 Practice
Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server). La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active Directory et est répliquée automatiquement entre eux. Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base d'utilisateurs et de groupes d'utilisateurs. Contrairement au modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal" auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un domaine Windows 2003 contient 1 ou plusieurs contrôleurs de domaine placés au même niveau hiérarchique. Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne l'arrêt de toute possibilité d'administration du domaine: comptes d'utilisateur et machines. Dans le modèle Windows 2003, ce n'est plus le cas car les tâches d'administration peuvent être continuées. Définition possible de plusieurs domaines sur le même réseau. ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP. Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et permettent l'administration centralisée de leurs machines. En revanche, les domaines TCP/IP n'incluent pas cette notion d'administration système centralisée. Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes d'utilisateurs. Approbation Il est possible d'établir des relations d'approbation entre domaines permettant aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine. Elles pourront être créées:
implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées automatiquement, explicitement auquel cas elles sont unidirectionnelles et créées explicitement par l'administrateur.
Arborescence de domaines: Structure de domaines hiérarchisée sur le mode arborescent par des relations d'approbation implicites. La base est constituée du domaine racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine racine.
18
Windows Server 2003 Practice
Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt est la première arborescence à avoir joint la forêt. Tous les domaines racines des arborescences de la forêt possèdent implicitement une relation d'approbation bidirectionnelle avec la racine de la forêt.
Eléments interconnectables au sein un domaine (1) Avec ouverture de session de travail
Un ou plusieurs contrôleurs de domaine (sous Windows 2003 ou 2000 Server et Active Directory) sans hiérarchie particulière. Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server, on parle alors de "Serveur membre". Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.
Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au sein d'AD sur chacun des DC. Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur le réseau. (2) Sans ouverture de session sur l'un des DCs Etablissement possible de connexions simples avec d'autres machines sous Windows 2003, 2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation reconnaissant les protocoles installés sur la machine serveur et assurant les services de connexion des serveurs du domaine. Fourniture d'un login et d'un mot de passe. Accès limité aux ressources partagées accessibles à l'utilisateur authentifié.
19
Windows Server 2003 Practice
Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:
domaine\utilisateur pour un nom d'utilisateur, \\serveur\ressource pour l'accès à une ressource partagée.
(3) Autres possibilités Toute machine en accès via un service sans authentification explicite (WWW, FTP anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...). Les contrôleurs de domaine Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de sécurité associée. Authentification des ouvertures de session et des accès aux ressources partagées qu'ils proposent. Administration des utilisateurs. Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs. Les machines Windows XP ou 2000 Professionnel Machines clientes simple du domaine. Pas de stockage d'une copie de la base de données des utilisateurs. Soumission des ouvertures de session à un DC. Pas de rôle d'administration. Les machines Windows 2003 ou 2000 Server en serveurs simples Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue de la base de données des utilisateurs mais possédant les capacités de Windows Server du point de vue des services réseau autres que ceux de gestion des domaines. Exemples:
Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de domaine. Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on ne souhaite pas être contrôleur de domaine.
Les autres systèmes Toute machine quel que soit son système d'exploitation. Condition nécessaire pour l'établissement d'une connexion:
Reconnaître d'un des protocoles du serveur de domaine. Être capable d'émettre un nom de login ainsi que le mot de passe associé (Protocole d'authentification reconnu par les contrôleurs du domaine).
Windows Server 2003 Practice
20
Être capable de gérer la partie cliente du service auquel l'accès est réalisé.
-> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de connexion sans avoir pour autant ouvert de session. DDNS, WINS et DHCP Une implantation Windows 2003 nécessitera fréquemment le déploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003 l'utilisent obligatoirement. L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows 2003 construit (généralement équivalent à un domaine TCP/IP). Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution de noms.. L'utilisation de WINS n'est réellement intéressante que lorsque plusieurs sous-réseaux TCP/IP différents doivent communiquer entre eux via routage et donc constituer un seul et même domaine de nom et que, de plus, la convention de nom simplifiée de NetBEUI doit pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de machines anciennes, utilisation souhaitée du voisinage réseau, ...) qui n'autorise pas le routage. La connexion entre ces sous-réseaux est établie physiquement et logiquement au moyen de routeurs dédiés au protocole TCP/IP. Le problème se pose alors de faire "se trouver" respectivement les machines lorsque qu'un ordinateur situé sur un sous-réseau doit "parler" avec une machine d'un autre sous-réseau. Au sein et sans sortir des différents sous-réseaux, le problème ne se pose pas car il est géré nativement par l'interface NetBEUI. Pour les communications entre sous-réseaux, l'information transitera et sera routée au sein de "paquets" TCP/IP. WINS apporte un service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et les nom NetBIEU. Les machines seront configurées pour interroger un serveur WINS si elles ont besoin d'une résolution de nom. Au démarrage, toute machine configurée pour utiliser éventuellement un serveur WINS s'enregistre dans sa base de manière à la renseigner. Sous Windows 2003, tout comme avec DDNS, une base de données WINS est stockée au sein d'Active Directory si le serveur WINS est contrôleur de domaine et est donc distribuée sur les contrôleurs. Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils échangent leurs bases de données. L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion des paramètres TCP/IP des machines d'un domaine. Les utilisateurs et les groupes d'utilisateurs Les utilisateurs Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine Windows 2003 ou accéder à une ressource partagée par une machine Windows 2003.
21
Windows Server 2003 Practice
Stockage dans la base de donnée des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:
nom d'utilisateur complet nom d'utilisateur principal (UPN, User Principal Name) nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC) mot de passe les restrictions apportées aux actions qui lui sont autorisées …
Exemple de nom: John Smith comme nom complet, [email protected] comme nom principal (ATTENTION, le nom principal est formaté comme une adresse électronique) et w2k3\smith comme nom équivalent NT en convention UNC. Les groupes Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de privilèges et de autorisations. Un utilisateur peut appartenir à plusieurs groupes. -> Possibilité de gestion hiérarchisée des comptes des utilisateurs. -> Facilité de gestion. Deux types de groupe:
Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution. Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à l'attribution d'autorisations ou de droits.
Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:
Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine de l'arborescence de domaine ou de la forêt. Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des comptes du domaine dans lequel le groupe est défini et peuvent recevoir des autorisations dans n'importe quel domaine de la forêt. Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines Serveur contrôleur ou membre.
Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du domaine de définition et des domaines approuvant le domaine de définition. Un seul type de groupe peut être défini sur une machine Windows XP ou 2000 Professionnal ou 2000 ou 2003 Serveur en serveur simple:
les groupes locaux.
Windows Server 2003 Practice
22
Sur ces machines, quand elles appartiennent à un domaine, réception des groupes globaux et universels du domaine d'un des contrôleurs de domaine. Après l'installation initiale d'un Windows Deux comptes d’utilisateur locaux:
un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP Professionnal, désactivé sous Windows 2000 ou 2003 Serveur un compte "administrateur" d'administration local
Différents groupes intégrés locaux:
Administrateurs Invités Utilisateurs Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration non relatifs aux domaines) Opérateurs de sauvegarde Réplicateurs
Différents groupes spéciaux (ne possédant pas de membre):
Créateur/propriétaire (propriétaires des objets) Système (activités liées au système d'exploitation) Réseau (activités d'utilisateurs provenant du réseau) Anonymous logon (utilisateur non authentifié) Utilisateur authentifié (utilisateur authentifié) Batch (processus batch) Dialup (utilisateur via un accès dial-up) Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un domaine approuvé) Interactif (utilisateur qui accède à une ressource en se connectant localement à l'ordinateur proposant cette ressource) Service (un service)
Après l'installation de Windows 2000 ou 2003 Serveur en contrôleur de domaine Deux comptes d’utilisateur:
un compte "invité" du domaine un compte "administrateur" d'administration du domaine
Groupes intégrés créés au sein d'Active Directory:
Administrateurs (domaine local) Invités (domaine local) Utilisateurs (domaine local) Opérateurs de compte (domaine local) (gestion des comptes et des groupes d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration) Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs du réseau) Opérateurs d’impression (domaine local) (gestion du bon fonctionnement des activités liées aux imprimantes) Duplicateurs (domaine local) (gestion des activités de réplication de répertoires)
Windows Server 2003 Practice
23
Admins du domaine (global) Invités du domaine (global) Utilisa. du domaine (global) Ordinateurs du domaine (global) Contrôleurs du domaine (global) Éditeurs de certificats (global) Administrateurs de l'entreprise (universel ou global) Administrateurs de stratégie de groupe (universel ou global) Administrateurs du schéma (universel ou global)
Sur les Windows membres simples d'un domaine Groupes et utilisateurs issus du domaine:
les comptes o "invité" du domaine o "administrateur" d'administration du domaine les groupes o Admins du domaine (global) o Invités du domaine (global) o Utilisa. du domaine (global) o ...
Sur ces machines, existence préservée et utilisation possible des comptes et groupes locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des comptes et groupes locaux. Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par l’administrateur système ou toute personne possédant les privilèges administrateur, admins du domaine ou opérateur de comptes. Contenu précis d’un compte d’utilisateur d'un domaine Informations pouvant être renseignées lors de la création ou bien à tout autre moment après la création:
Nom d'utilisateur complet Nom d'utilisateur principal (UPN, User Principal Name) Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC) Mot de passe Adresse électronique Numéros de téléphone Horaires d’accès Stations de travail autorisées pour l'accès Adresse postale Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers personnels ne sont pas détruits) Répertoire de base (généralement, le répertoire personnel) (répertoire local ou réseau) Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session, mais pas lors du simple accès à une ressource partagée) Profil (localisation des fichiers de configuration de l'utilisateur) Place de l'utilisateur dans son organisation Groupes auxquels appartient l'utilisateur Informations de configuration Remote Access Service
Windows Server 2003 Practice
24
Informations de configuration de l'utilisateur pour les services Terminal Server
SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows 2003. Exemple: S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant été utilisé ne le sera jamais plus. Les stratégies de groupes Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux ordinateurs d'un domaine. Les possibilités offertes par les stratégies de groupes sont très larges:
gestion de l'interface graphique, gestion des applications utilisables par les utilisateurs, installation d'applications, gestion des mises à jour, droits des utilisateurs, configuration automatique des applications, ...
Les profils Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du registre pour le paramètrage des applications) définissant l'environnement de travail d'un utilisateur. Par exemple, pour chaque utilisateur:
son son son son
menu démarrer, bureau, dossier "Mes documents", registre (fichier NTUser.dat): o ses connexions réseaux, ses montages d'imprimante réseau, o ses variables d'environnement (path, set, ...), o ses définitions de couleurs, de police de caractères,... o ses paramétrages logiciels, o ...
...
Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le répertoire "Documents and Settings", généralement dans un répertoire portant le nom de l'utilisateur. "Default User": Profil par défaut géré par le système et attribué par copie à chaque utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client. "All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées communes du Menu démarrer, le bureau commun et la partie du registre commune à tous
25
Windows Server 2003 Practice
les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par l'administrateur. Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui. Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte. -> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine (accessible à toutes les machines du domaine).
Lors de la connexion, téléchargement automatique du profil sur le poste client dans le répertoire "Documents and settings". Utilisation du profil (avec ou sans modification) sur le poste client. Lors de la déconnexion, déchargement automatique du profil du poste client vers le serveur. Conservation éventuelle du profil local en cache sur le poste client. Sinon, effacement.
La sécurité: Les privilèges (droits) Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur permettant d'exécuter une action système. Privilège attribué à un groupe -> Automatiquement attribué à l’ensemble de ses membres. A l'installation du système d'exploitation, attribution par le programme d'installation de privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés. Via les stratégies de groupes, les administrateurs pourront changer les privilèges des groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent. Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé. La sécurité: les autorisations Autorisation: Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.
Accès sécurisé Accès sécurisé Accès sécurisé Accés sécurisé d'ACLs..
pour les fichiers et répertoires créés dans une partition NTFS. pour les imprimantes. aux ressources réseau (fichiers, imprimantes, ...). à tous les objets du système d'exploitation soumis à l'attribution
Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il possède généralement tous les droits sur cet objet). Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs). Autorisations pouvant être attribuées par l'administrateur (simplifié):
26
Windows Server 2003 Practice
Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers qu'il contient ou qu'il contiendra lors de leur création):
Aucun accès Lister Lire Ajouter Ajouter et lire Modifier Contrôle total Accès spécial à un répertoire… Accès spécial à un fichier…
Pour les fichiers
Aucun accès Lire Modifier Contrôle total Accès spécial
Accès spéciaux:
Lire Écrire Exécuter Effacer Changer les permissions Prendre possession
Contrôle total: toutes les permissions précédentes sont attribuées. NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses propres autorisations. A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés -> sécurité minimale. Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité des objets. Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions du répertoire dans lequel il est placé (le créateur en est le propriétaire). Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de sécurité. La sécurité: L'audit Audit: Conservation d'une trace des événements détectés sur une machine. A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements.
27
Windows Server 2003 Practice
Evénements pouvant être audités:
Système (audit des activités du système d'exploitation) Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources) Application (audit des applications et des services) Active Directory (spécifique aux DC) DNS (spécifique aux serveurs DNS) Réplication de fichiers (spécifique aux machines réplicatrices)
-> Autant de journaux différents. Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software. Journal sécurité: Audit des activités des utilisateurs. Événements pouvant être audités dans le journal sécurité:
Les ouvertures et fermeture de session Les accès aux fichiers et objets L'utilisation de ses droits par un utilisateur La gestion des utilisateurs et des groupes Les modifications de la stratégie de sécurité Les démarrages et arrêts du système Le suivi de processus
Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory, DNS et Réplication de fichiers. La gestion des partitions et des systèmes de fichiers Introduction du système de fichiers NTFS avec Windows NT 4.0. Nécessaire à la gestion de la sécurité d'accès aux fichiers, à l'implantation de la compression à la volée et à l'encryptage des données. Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité -> disques RAID). Gestion du système de fichiers FAT32 (Windows 98). Gestion du système de fichiers FAT16. Gestion des noms longs.
IV - INSTALLATION (TYPE SALLE TP)
L'installation de Windows 2003 Serveur débute par l'installation du système d'exploitation lui-même (avec service pack et updates nécessaires). Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit déjà implantés au sein du système et donc directement utilisables après configuration, soit non installés et donc nécessiteront l'installation de composants systèmes supplémentaires
28
Windows Server 2003 Practice
qui eux aussi devront être configurés. La configuration d'une machine en contrôleur de domaine est un exemple typique de ce genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est pas disponible par ailleurs. Choix du système de fichier de la partition d'installation Support de trois systèmes de fichiers reconnus:
FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité sur les fichiers, plus gourmand en espace, plus rapide FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows 98, pas de sécurité sur les fichiers NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers, moins gourmand en espace, moins rapide
(1) Installation de Windows 2003 Server Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant (DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000). Problème : accès aux fichiers d'installation. Deux solutions :
Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur CD, lecteur réseau) de la machine d'installation fonctionnant sur un système d'exploitation préexistant. Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine disposant d'un lecteur CD bootable.
Première phase: Lancement du programme d'installation
WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98 WINNT32.EXE (32 bits) sous Windows NT ou 2000. Lancement direct avec l'utilisation d'un CD bootable
But :
création (s'elle n'existe pas encore) de la partition d'installation, préparation de l'installation par recopie des fichiers d'installation sur le disque dur de votre machine dans un répertoire temporaire, création d'un mini-NT bootable sur la partition d'installation.
Deuxième phase Redémarrage de l'ordinateur Travail en mode texte. Renseignements concernant principalement le matériel présent sur la machine d'installation.
29
Windows Server 2003 Practice
Installation de Windows 2003 Server -> ENTRÉE -> Installer Windows maintenant. Installation de Windows 2003 Server -> ENTRÉE -> Détection automatique des périphériques de mémoire de masse. Installation de Windows 2003 Server -> ENTRÉE -> Pas d'autre périphérique. En cas de matériel spécifique, on peut charger des pilotes logiciels spéciaux. Examen du contrat de licence puis F8. Installation de Windows 2003 Server -> N (s'il existe déjà un système) ou ENTRÉE (sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilité d'effectuer une mise à jour si un système préexistait. Installation dans la partition désirée. Utilisation d'une partition existante. Possibilité de créer une partition s'il n'en existe pas. Choix du type de système de fichier (NTFS, FAT) pour cette partition à formater ou non si elle existait déjà.. Installer dans le répertoire \WINDOWS. ENTRÉE pour redémarrer la machine.
Troisième phase Redémarrage en mode graphique. Collecte des informations concernant la machine
Donner vos coordonnées (nom et organisation). Indiquer le mode de licence client. Toute connexion avec un utilisateur requière l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux modes de licence client (Microsoft considère que les utilisateurs sont honnêtes et ont acheté un nombre suffisant de licences client) : o par serveur : On indique le nombre de licences disponibles sur le serveur et donc le nombre maximum de connexions simultanées sur ce serveur. C'est le mode de gestion des licences le plus simple, il s'accommode bien d'un site pourvu d'un seul domaine et d'un seul serveur. o par siège : Les licences sont associées aux utilisateurs. A chacun d'eux correspond une licence. Ce mode de gestion de licence est utilisé dans les environnements poly-serveurs ou poly-domaines. Donner le nom de votre machine. 15 caractères alphanumériques au maximum, pas d'espace, pas d'accent, pas de ponctuation. Donner le mot de passe de l'administrateur.
Configuration du réseau
Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée, installer le pilote trouvé sur la disquette ou le CD fourni avec la carte. Demander l'installation du seul protocole TCP/IP.
Configuration du protocole réseau TCP/IP
On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP allouées de manière définitive. Configuration des paramètres du protocole TCP/IP. o Adresse IP : xxx.xxx.xxx.xxx o Masque de sous-réseau : yyy.yyy.yyy.yyy o Gateway : zzz.zzz.zzz.zzz.zzz o Nom de domaine : abcd.xyz o Serveur DNS : aaa.aaa.aaa.aaa
Windows Server 2003 Practice
30
Terminer l'installation.
Fuseau horaire : Paris Installer la carte graphique détectée.
Dernière phase de l'installation Redémarrer la machine Après démarrage et ouverture de session administrateur, le gestionnaire de serveur est lancé automatiquement proposant la réalisation des tâches suivant habituellement l'installation initiale.
Les aspects concernés sont:
l'installation et la gestion d'Active Directory Service la gestion de services de partage de fichiers la gestion de services de partage d'imprimantes la gestion de services Internet (ou Intranet) ... INSTALLATION ACTIVE DIRECTORY
Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour la gestion d'annuaires. Il est utilisé pour toutes les tâches d'administration demandant une forte implantation réseau et en particulier pour la création de domaines. De base, ADS n'est pas installé sous Windows 2003. Au cours de son installation, un domaine devra être défini. La machine d'installation pourra prendre différents rôles:
31
Windows Server 2003 Practice
premier contrôleur d'un nouveau domaine dans une nouvelle forêt, premier contrôleur d'un domaine enfant d'un domaine existant, premier contrôleur d'un nouveau domaine dans une forêt existante, contrôleur supplémentaire au sein d'un domaine existant.
Deux méthodes sont possibles pour installer Active Directory:
Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour un nouveau domaine dans une nouvelle forêt.. Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler tous les aspects de l'installation.
L'assistant "Gérer votre serveur"
Ajouter ou supprimer un rôle
Configuration par défaut pour un premier serveur. Si "Configuration personnalisée" est choisi, bascule sur dcpromo. ATTENTION, reboot réalisé automatiquement en cours d'installation.
32
Windows Server 2003 Practice
33
Windows Server 2003 Practice
Choix du nom du nouveau domaine (au format nom TCP/IP)
Choix du nom compatible NetBEUI
34
Windows Server 2003 Practice
Choix d'un éventuel redirecteur DNS
35
Windows Server 2003 Practice
Confirmation -> Démarrage de l'installation
36
Windows Server 2003 Practice
Reboot automatique Réouverture de session (le mot de passe de l'administrateur du domaine est le mot de passe de l'ancien administrateur local)
37
Windows Server 2003 Practice
Reprise de l'installation
38
Windows Server 2003 Practice
Fin de l'installation
Contenu du journal "Configuration de votre serveur"
39
Windows Server 2003 Practice
Utilisation de l'utilitaire dcpromo Quelques définitions importantes Contrôleur de domaine Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs, l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt. Contrôleur de domaine supplémentaire Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique. Domaine enfant Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine. Arborescence de domaine Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms. Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt. Forêt Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d'attribut (schéma), les mêmes informations relatives au site et à la réplication (configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives. Installation d'un nouveau domaine dans une nouvelle forêt
40
Windows Server 2003 Practice
Début de l'installation d'Active Directory Service
Choix du type de contrôleur de domaine : un nouveau contrôleur ou un contrôleur supplémentaire. Ici, un contrôleur de domaine pour un nouveau domaine
41
Windows Server 2003 Practice
Choix du type de domaine créé: Nouveau domaine dans une nouvelle forêt. nouveau domaine enfant dans une arborescence de domaines existante dans une forêt existante, nouveau domaine dans une nouvelle arborescence de domaine au sein d'une forêt existante Ici, un nouveau domaine dans une nouvelle forêt
Choix du nom du domaine créé (nom complet)
42
Windows Server 2003 Practice
Choix du nom du domaine NetBIOS pour compatibilité avec les versions antérieures de Windows
Emplacements de stockage des informations ADS
43
Windows Server 2003 Practice
Alerte relative à l'absence d'un serveur DNS compatible pour ce domaine -> Installation de la machine en serveur DNS.
44
Windows Server 2003 Practice
Toujours pour compatibilité avec les anciennes versions de Windows
Définition du mot de passe administrateur pour le redémarrage en mode restauration ADS
45
Windows Server 2003 Practice
Résumé de l'installation demandée
Début de l'installation
Installation en cours
Début d'installation du service DNS
46
Windows Server 2003 Practice
Fin d'installation de DNS
47
Windows Server 2003 Practice
Fin d'installation d'ADS
Redémarrage de la machine Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univfcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré. Suite : Configuration minimale du service DNS Installation d'un contrôleur supplémentaire pour un domaine existant
Reprise de dcpromo avec choix d'un serveur supplémentaire
48
Windows Server 2003 Practice
Authentification avec un compte administrateur du domaine d'insertion
Choix du domaine d'insertion
49
Windows Server 2003 Practice
Choix de la localisation des fichiers et répertoires Active Directory
Choix de la localisation du volume Système d'Active Directory
50
Windows Server 2003 Practice
Choix du mot de passe de restauration des services d'annuaire
Résumé de l'installation choisie puis installation
51
Windows Server 2003 Practice
Les maîtres d'opérations Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même niveau du point de vue des charges d'administration et donc à l'indifférenciation des contrôleurs -> 5 opérations à maître unique:
Contrôleur du schéma Maître d'attribution de noms de domaine Maître RID (ID relatives) Maître de l'émulateur PDC Maître d'infrastructure
Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine fonctionne correctement. Ces rôles peuvent être transférés entre contrôleurs.
Contrôleur du schéma: Outils d'administration "Schéma Active Directory" Maître d'attribution de noms de domaine: Outils d'administration "Domaines et approbations Active Directory" Maître RID: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Maître de l'émulateur PDC: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Maître d'infrastructure: Outils d'administration "Utilisateurs et ordinateurs Active Directory"
52
Windows Server 2003 Practice
V - DNS et DDNS
Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour l'implantation de serveurs DNS. Après installation d'ADS et de DDNS, un certain nombre de nouveaux outils d'administration sont disponibles dont l'administrateur DNS.
53
Windows Server 2003 Practice
Le gestionnaire DNS Les tâches à réaliser via cet outil sont:
la configuration de la résolution directe nom IP -> adresse IP, la configuration de la résolution inverse adresse IP -> nom IP, l'intégration au sein du domaine univ-fcomte.fr par référenciation du où des serveurs DNS de ce domaine qui seront contactés lorsqu'une résolution ne peut être conclue localement.
En outre, le serveur de domaine telemaque, défini pour le domaine w2k3.univ-fcomte.fr, devra être déclaré auprès de l'administrateur du domaine univ-fcomte.fr pour délégation vers lui des requêtes qui concernent ses machines.
Un seul serveur DNS dont le nom est TELEMAQUE Définition de zones de recherche directes pour les résolution nom IP -> adresse IP et de zones de recherche inverses pour les résolutions adresse IP -> nom IP
54
Windows Server 2003 Practice
Menu contextuel associé au serveur TELEMAQUE
Une zone de recherche directe définie pour le domaine w2k3.univ-fcomte.fr, mais pas de zone inverse Zone directe _msdsc.w2k3.univ-fcomte.fr créée automatiquement et nécessaire pour que ce serveur DNS soit utilisable pour un domaine Windows 2003 Evénements DNS enregistrés dans le journal "Observateur d'événements"
55
Windows Server 2003 Practice
Menu contextuel associé aux clefs "zones de recherche directes" et "zones de recherche inverses" Configuration de w2k3.univ-fcomte.fr en zone directe
Menu contextuel associé à un domaine TCP/IP en zone de recherche directe
Déclaration d'une nouvelle machine (hôte) avec demande de création automatique du pointeur PTR associé
56
Windows Server 2003 Practice
et autorisation du changement de l'adresse associée à ce nom par DDNS
Warning car la zone inversée n'existe actuellement pas!
Si la zone inverse existait.
Résultat
57
Windows Server 2003 Practice
Déclaration d'un nouvel alias
Etat après configuration Configuration de la classe 172.20.128.xxx en zone inverse
58
Windows Server 2003 Practice
Existence actuelle d'aucune zône inversée
Lancement de l'assistant de création de zone inverse
59
Windows Server 2003 Practice
Création d'une zône principale intégrée à Active Directory
Choix de l'étendue de réplication de cette zône
60
Windows Server 2003 Practice
Définition de l'ID réseau de cette zone
Choix du mode de mise à jour dynamique
61
Windows Server 2003 Practice
Fin de l'assistant de création de zone inverse
DNS avec zone de recherche inverse
62
Windows Server 2003 Practice
Menu contextuel associé à une zone de recherche inverse
Création d'un nouveau pointeur de zone de recherche inverse
63
Windows Server 2003 Practice
Lors de la création d'un hôte de zone de recherche directe, création simultanée du pointeur associé en zone de recherche inverse
Configuration d'un serveur DNS redirecteur
64
Windows Server 2003 Practice
Onglet Redirecteurs dans les propriétés du serveur DNS TELEMAQUE Reconfiguration des paramètres TCP/IP
Reconfiguration des paramètres TCP/IP pour intégrer le 172.20.128.115 comme DNS principal et w2k3.univ-fcomte.fr comme premier suffixe DNS Etat du DNS après configuration complète
Zone de recherche directe
65
Windows Server 2003 Practice
Zone de recherche inverse Tests (nslookup) S'assurer que TCP/IP est correctement configuré sur la machine de test (voir ci-avant).
Commande nslookup exécutée dans une invite de commande
66
Windows Server 2003 Practice
tests nom IP -> adresse IP réussis pour des noms du domaine
tests nom IP -> adresse IP ratés pour des noms du domaine
test nom IP -> adresse IP réussi pour un alias du domaine
67
Windows Server 2003 Practice
test nom IP -> adresse IP pour un nom quelconque (noter le message "Reponse ne faisant pas autorite" qui s'explique par le fait que le notre DNS et son redirecteur ne s'authentifient pas)
tests nom IP -> adresse IP réussis pour des noms complets
tests nom IP -> adresse IP ratés pour des noms complets
tests adresse IP -> nom IP réussis pour des adresses renseignées dans les zones inversées du serveur
68
Windows Server 2003 Practice
test adresse IP -> nom IP raté pour des adresses renseignées dans les zones inversées du serveur
test adresse IP -> nom IP réussi pour des adresses quelconques
Éléments d'utilisation L'ouverture de session La combinaison de touches Ctrl - Alt - Suppr donne accès à la fenêtre d'ouverture de session. Le nom d'utilisateur et le mot de passe associé doivent être indiqué. Il est aussi nécessaire de choisir le domaine de connexion (celui du compte) parmi ceux proposés. La fermeture de session Quelle que soit la tâche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accès à une fenêtre permettant d'initier la procédure de fermeture de session. Le bureau Windows 2003 et ses composants Il constitue l'environnement de travail et reprend la métaphore du bureau (type Macintosh). Il est composé en version de base du logiciel Internet Explorer 6.0 qui assure les fonctions d'interface utilisateur et de navigateur Internet.
69
Windows Server 2003 Practice
Composants principaux :
une barre donnant accès au menu démarrer, à des icônes d'applications lançables, aux icônes des applications lancées réduites ou non, ...,
des icônes cliquables qui représentent des raccourcis vers des composants du système (l'utilisateur peut créer sur le bureau ses propres raccourcis donnant accès à des documents ou des applications),
70
Windows Server 2003 Practice
Menu contextuel associé au poste de travail
les fenêtres des applications lancées et non réduites.
Le menu démarrer Il permet le lancement des applications installées.
71
Windows Server 2003 Practice
Présence d'un groupe d'outils dédiés à l'administration de la machine.
Il peut être configuré par l'utilisateur pour contenir des icônes personnelles (Démarrer -> Paramètres-> Barre des tâches et menu démarrer).
72
Windows Server 2003 Practice
73
Windows Server 2003 Practice
Description contenue dans le répertoire D:\Documents and Settings\utilisateur pour les différents utilisateurs.
74
Windows Server 2003 Practice
Le poste de travail Il donne accès à une visualisation sous forme d'icônes des unités, des répertoires et des fichiers présents ou accessibles sur l'ordinateur local. Les unités sont affectées d'une lettre de lecteur. Elles peuvent être de type :
lecteur de disquette, disque dur, lecteur de CD Rom, répertoire réseau, disque amovible, ...
Le poste de travail donne aussi accès au panneau de configuration, aux documents de l'utilisateur, aux favoris réseau de l'utilisateur et à l'accès réseau à distance.
L'icône "Favoris réseau" Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses ressources disponibles sur le réseau proposées par ces machines:
imprimantes, répertoires partagés, utilisateurs, ...
Elle permet aussi de configurer des raccourcis réseau.
75
Windows Server 2003 Practice
Favoris enregistrés
76
Windows Server 2003 Practice
Tout le réseau
Le réseau Microsoft Windows (deux domaines ou workgroups détectés W2K3 et Odyssee)
Machines du domaine W2K3
77
Windows Server 2003 Practice
La base de données Active Directory disponible sur la machine telemaque.w2k3.univfcomte.fr Le gestionnaire de tâches Obtenu à partir de la combinaison de touches Ctrl – Alt – Suppr. Il est composé de cinq onglets qui décrivent l'état du système du point de vue des tâches en cours d'exécution. (1) Description des applications lancées par l'utilisateur en session
78
Windows Server 2003 Practice
Menu contextuel associé à une application Noter la possibilité d'arrêter (quit) une application Noter la possibilité de sélectionner le processus correspondant à une application (voir onglet suivant) (2) Liste des processus en cours d'exécution (tous les processus)
79
Windows Server 2003 Practice
Menu contextuel associé à un processus Noter la possibilité de terminer un processus (kill) si les autorisations le permettent Noter la possibilité de définir la priorité d'un processus (avec prudence) Noter la possibilité de définir sur quel processeur un processus s'exécute (3) Utilisation de la mémoire et du C.P.U.
Noter la présence de deux historiques d'utilisation de processeur (2 processeurs virtuels sur un pentium IV hyperthreadé) (4) Utilisation du réseau
80
Windows Server 2003 Practice
(5) Utilisateurs en cours
81
Windows Server 2003 Practice
Menu contextuel associé à un utilisateur Noter la possibilité de fermer la session d'un utilisateur Les fichiers système Système stocké dans les répertoires \Winnt de l'unité system:
\Winnt\Repair : fichiers de réparation \Winnt\System : fichiers système (compatibilité Windows 3.11, 95, 98) \Winnt\System32 : fichiers système 32 bits \Winnt\System32\config : une partie du registre \Winnt\System32\Dhcp : configuration et informations DHCP \Winnt\System32\Dns : configuration et informations DNS \Winnt\System32\Wins : configuration et informations WINS
Profils des utilisateurs sous \Documents and Settings Installation des applications sous \Program files Fichiers publiés sous IIS sous \Inetpub ou éventuellement ailleurs Contenu des poubelles dans \Recycler sur chaque unité (la poubelle de chaque utilisateur est le répertoire portant comme nom le SID de l'utilisateur)
Il peut être utile de créer un répertoire temporaire \temp Registre (Registry) : Base de données décrivant la configuration du système. Attention aux permissions sur l'ensemble de ces répertoires. Les programmes d'installation les configurent de manière peut restrictive. Il est difficile de supprimer quelque chose de véritablement important sans être administrateur. En revanche, il est possible d'ajouter ou de remplacer. LIMITER L'ACCES A LA CONSOLE.
82
Windows Server 2003 Practice
VI - ADMINISTRATION
Informations preliminaries Sites Internets http://www.microsoft.com : Site Microsoft http://www.windowsupdate.com : Site Microsoft pour la mise à jour des systèmes d'exploitation http://www.microsoftupdate.com : Site Microsoft pour la mise à jour des systèmes d'exploitation et logiciels applicatifs Livres Microsoft Windows 2003 Resource Kit (environ 300€, 6 livres + 1 CD) :
Planification et déploiement Administration des serveurs Architecture TCP/IP Internet Information Services Interopérabilité des réseaux Systèmes distribués Utilitaires logiciels: o scopy o addusers o pviewer ADMINISTRATION (LE PANNEAU DE CONFIGURATION)
Le panneau de configuration Il permet une partie de la configuration de l’ordinateur. Il est dédié aux paramétrages du matériel et des logiciels installés localement.
L'affichage IL réalise la configuration de l'affichage au sens:
thème du bureau, motif ou image d'arrière plan du bureau, écran de veille, couleurs, iconographie, résolution, nombre de couleurs, vitesse de balayage, type de carte graphique et configuration de son pilote logiciel.
Windows Server 2003 Practice
83
Thème du bureau
84
Windows Server 2003 Practice
Image ou motif d'arrière plan Personnalisation du bureau par Active Desktop
Economiseur d'écran
85
Windows Server 2003 Practice
Look pour l'affichage
Résolution, nombre de plan de couleurs
86
Windows Server 2003 Practice
87
Windows Server 2003 Practice
Bouton "Avancé" à partir de l'onglet paramètres: Configuration plus précise des paramètres d'affichage (taille des polices utilisées, résolutions gérées par la carte graphique, fréquence de rafraichissement du moniteur, ...)
Ajout de matériel
88
Windows Server 2003 Practice
Windows 2003 gère le plug'n'play. -> Les cartes d'extension et les périphériques matériels sont automatiquement reconnus et installés (ou retirées). Problème: Les périphériques trop anciens ou trop récents peuvent ne pas être reconnus. Problème: L'installation de nouveaux pilotes peut être nécessaire. Problème: Le plug'n'play peut ne pas fonctionner correctement. Problème: Un matériel peut ne pas fonctionner correctement. Le panneau "Ajout/Suppression de matériel" permet de résoudre ces problèmes.
89
Windows Server 2003 Practice
Test de la configuration matérielle de l'ordinateur
90
Windows Server 2003 Practice
Tout est normal
Un pilote logiciel pose problème
91
Windows Server 2003 Practice
Fin de l'assistant et bascule vers l'assistant de mise à jour du matériel (pilotes)
92
Windows Server 2003 Practice
93
Windows Server 2003 Practice
Pas de solution sans CD de pilote
Ajout/Suppression de programmes Il permet l'installation et la suppression de logiciels et de composants système sur l'ordinateur.
94
Windows Server 2003 Practice
Modification/désinstallation de programmes Affichage ou non des mises à jour
Installation de nouveaux programmes
95
Windows Server 2003 Practice
Installation/désinstallation de composants du système d'exploitation
Composants système (services) disponibles
Autres services de fichiers et d'impression en réseau
96
Windows Server 2003 Practice
Services de mise en réseau
Serveur d'applications
Services Internet disponibles
Options d'alimentation Il permet la gestion de l'énergie consommée par la machine et la gestion d'un onduleur.
97
Windows Server 2003 Practice
Configuration de paramètres de gestion et d'économie d'énergie
Configuration de paramètres avancés d'interface
98
Windows Server 2003 Practice
Configuration de la mise en veille prolongée
99
Windows Server 2003 Practice
Configuration de la gestion d'un onduleur détection des coupures de courant, arrêt automatique de la machine en cas de panne de courant prolongée, envoi d'alertes administratives Panneau de configuration généralement rendu inutile par le logiciel fournit par le fabriquant d'onduleurs.
Options des dossiers Configuration des options d'affichage et d'utilisation de Internet Expolorer en tant qu'interface utilisateur.
Paramètres généraux
100
Windows Server 2003 Practice
Paramètres d'affichage
101
Windows Server 2003 Practice
Types de fichier associés aux extensions
102
Windows Server 2003 Practice
Paramètres d'utilisation des fichiers hors connexion
Options Internet Configuration des paramètres relatifs à l'accès à Internet au moyen de Internet Explorer et des logiciels qui se configurent sur les paramètres de Internet Explorer.
103
Windows Server 2003 Practice
Page de démarrage, paramètres de cache et de gestion de l'historique des navigations
Bouton "Paramètres" de l'onglet "Général": mode de vérification, localisation disque, taille et contenu pour le cache
104
Windows Server 2003 Practice
Onglet "Connexions": Paramètres de la connexion
Bouton "Paramètres réseau" de l'onglet "Connexion": Configuration d'un serveur proxy
Bouton "Avancée...": Configuration port par port et exclusions
105
Windows Server 2003 Practice
Applications associées aux différents services Internet
106
Windows Server 2003 Practice
107
Windows Server 2003 Practice
Paramètres avancés. Il peuvent être différents d'un système à un autre.
Date/Heure Configuration de la date, de l'heure de la machine, du passage automatique à l'heure d'été et du fuseau horaire si la référence horaire GMT est nécessaire.
108
Windows Server 2003 Practice
Imprimantes Configuration des Imprimantes (voir plus loin)
La gestion des licences sur Windows 2003 Server Ce panneau permet le choix du mode de gestion des licences d'accès client ainsi que l'ajout ou la suppression de licences d'accès client dans le mode par serveur. Par Siège Le mode de licence "Par siège" est la meilleure option si les clients utilisent fréquemment plusieurs serveurs sur le réseau. Le mode de licence Par siège permet à tous les ordinateurs du réseau d'accéder à tous les serveurs d'un réseau. Il n'y a aucune limite quant au nombre de connexions simultanées, quel que soit le serveur. Par siège est le mode de licence normal pour un produit serveur installé sur plusieurs serveurs d'un réseau. Par Serveur Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est installé sur un seul serveur accessible à tout moment par tout au plus un sousensemble des utilisateurs. Les connexions simultanées Par serveur à un serveur spécifique sont allouées sur une base premier arrivé, premier servi et limitées au nombre de licences d'accès client allouées au serveur. Cela peut s'avérer économique pour un réseau doté d'un seul serveur ou pour un produit serveur accessible sur un serveur par un seul département ou groupe d'une organisation. Une unique conversion en licence Par siège est autorisée.
109
Windows Server 2003 Practice
Mode de gestion des licences pour la machine locale.
Ajour de nouvelles licences "Par serveur"
Suppression de licences "Par serveur"
Mises à jour automatiques Il permet de choisir le mode de gestion des mises à jour automatiques du système sur le site http://www.windowsupdate.com.
110
Windows Server 2003 Practice
Trois possibilités d'actions si actif: rien d'automatique, téléchargement automatique mais installation à la demande, tout automatique
Sons et multimédia Configuration des sons et des périphériques Multimédia utilisés par le système.
Configuration du volume
111
Windows Server 2003 Practice
Configuration des sons en réponse à des événements
Choix des pilotes audio
112
Windows Server 2003 Practice
Choix des pilotes utilisés pour la gestion de la voix
Pilotes installés
113
Windows Server 2003 Practice
Connexions réseau Il assure les opérations de configuration des paramètres réseau et/ou d'accès à distance (modem).
114
Windows Server 2003 Practice
Nouvelle connexion
Connexion au réseau local
115
Windows Server 2003 Practice
Propriétés de la connexion locale: Composants clients installés Services installés, Protocoles installés,... Possibilité d'avoir un écho de cette fenêtre dans la barre des tâches.
Installation de nouveaux composants réseau (clients, services ou protocole)
116
Windows Server 2003 Practice
Clients
Services
117
Windows Server 2003 Practice
Protocoles
Propriétés du protocole TCP/IP: Adresse IP et paramètres de base
118
Windows Server 2003 Practice
Propriétés du protocole TCP/IP: Paramètres IP complets
Propriétés du protocole TCP/IP: Configuration DNS
119
Windows Server 2003 Practice
Propriétés du protocole TCP/IP: Configuration WINS
Propriétés du protocole TCP/IP: Options de sécurité
120
Windows Server 2003 Practice
Option de sécurité TCP/IP: Filtrage
Possibilité de configurer plusieurs adresses IP ou passerelles par défaut sur la même interface
121
Windows Server 2003 Practice
Outils d'administration
Autres outils d'administration locale mais aussi outils plus particulièrement dédiés à l'administration des domaines (Voir plus loin)
122
Windows Server 2003 Practice
Propriétés du système
Paramètres généraux (système d'exploitation, références de l'installateur, type de machine)
123
Windows Server 2003 Practice
Identification réseau par un nom de machine et une appartenance à un domaine ou un groupe de travail. Suivant le statut de la machine, tous les changements sont possibles ou non Configuration matérielle du système
Configuration avancée Configuration avancée -> Performances -> Effets visuels
124
Windows Server 2003 Practice
Configuration avancée -> Performances -> Avancé
Configuration avancée -> Performances -> Avancé -> Mémoire virtuelle
125
Windows Server 2003 Practice
Options de performances
126
Windows Server 2003 Practice
Profils des utilisateurs
Démarrage et récupération
127
Windows Server 2003 Practice
Variables d'environnement
Rapport d'erreurs
128
Windows Server 2003 Practice
Mise à jour automatiques
Utilisation à distance
129
Windows Server 2003 Practice
Tâches planifiées Programmation de tâches (récurrentes ou non)
Fenêtre tâches planifiées
Création d'une nouvelle tâche
130
Windows Server 2003 Practice
Choix du programme à exécuter
Choix de l'instant d'exécution Paramètrage des différentes options horaires
131
Windows Server 2003 Practice
Choix de l'utilisateur exécutant le programme
Création de la tâche planifiée
132
Windows Server 2003 Practice
Résultat
Propriétés d'une tâche
Propriétés d'une tâche: Configuration horaire
133
Windows Server 2003 Practice
Propriétés d'une tâche: Modalités de fonctionnement Propriétés d'une tâche: Sécurité
Propriétés d'une tâche planifiée hebdomadaire
Propriétés avancées d'une tâche planifiée hebdomadaire
134
Windows Server 2003 Practice
Résultat
Menu contextuel associé à une tâche planifiée
Résultat de la désactivation via l'utilisation des propriétés Compatibilité avec la commande AT
135
Windows Server 2003 Practice
Configuration de l'utilisateur exécutant les commandes de la commande AT
Via invite de commande, création et affichage des commandes de la commande AT
Les commandes de la commande AT apparaissent dans les tâches planifiées, mais toute modification les transforme en une commande classique.
136
Windows Server 2003 Practice
Programmation au moyen de la commande schtasks
Liste des tâches planifiées
Programmation d'une tâche planifiée
Résultat
137
Windows Server 2003 Practice
Noms et mots de passe utilisateurs
Pare-feu Windows
Autres panneaux de configuration
Clavier Souris Options de modems Options d'accessibilité Options de jeu Scanneurs et appareils photo Options régionales Polices Panneaux installés par les applications (Java Plug-in, QuickTime, HP JetAdmin, Symantec LiveUpdate, Recherche Accélérée, ODBC,...) ... Administration (L'explorateur et ses fonctions)
L’explorateur Windows 2003 L'explorateur Windows 2003 est l'outil de visualisation et de configuration des unités déclarées sur la machine ("montées"): unités locales et unités réseau. Les fonctionnalités assurées par l'explorateur sont constamment améliorées par Microsoft et les éditeurs tiers. Son interface est celle d'Internet Explorer (en version 6 pour Windows 2003 et suivant les mises à jour effectuées après installation initiale). Il permet la gestion de fichiers classique, mais son rôle va beaucoup plus loin :
le parcours des répertoires montés sur une machine, le montage et démontage de répertoires réseau, l'affectation d'autorisations aux utilisateurs pour les unités, les répertoires et les fichiers locaux et réseau via une opération de montage, le partage de répertoires sur le réseau et la configuration de la sécurité pour l'accès réseau à ces répertoires, la configuration de l'audit sur les fichiers, les répertoires et les unités, l'appropriation des unités, répertoires et fichiers, ...
138
Windows Server 2003 Practice
Ces quatre dernières opérations sont accessibles via l'option propriétés demandée sur un objet soit par les menus soit par un clic du bouton droit de la souris.
139
Windows Server 2003 Practice
140
Windows Server 2003 Practice
Propriétés d’une unité Un certain nombre d'onglets qui peuvent varier en fonction du type de système de fichiers monté sur l'unité.
Général: Caractéristiques générales pour une partition FAT
141
Windows Server 2003 Practice
Général: Caractéristiques générales pour une partition NTFS
142
Windows Server 2003 Practice
Outils: Vérification, sauvegarde et défragmentation
Matériel: Périphériques de stockage présents sur le système
143
Windows Server 2003 Practice
Partage: Partage sur le réseau pour la création d'une ressource réseau (voir plus loin)
Sécurité: Configuration de la sécurité (utilisable si l'unité est formatée en NTFS)
144
Windows Server 2003 Practice
Clichés instantanés: Configuration et utilisation
Quota: Configuration de quotas d'espace disque disponible aux utilisateurs sur cette unité
145
Windows Server 2003 Practice
Exécution automatique pour les lecteurs amovibles Configuration des autorisations sur une unité Attribuées aux groupes d'utilisateurs ou aux utilisateurs
pour les répertoires contenus (récursivement ou non), pour les fichiers contenus
pour peu que l'unité soit formattée en NTFS.
146
Windows Server 2003 Practice
Fenêtre générique de gestion de la sécurité
147
Windows Server 2003 Practice
Accès aux options avancées de gestion de la sécurité: Autorisations (Permissions), Audit, Propriétaire
148
Windows Server 2003 Practice
Choix de un ou plusieurs utilisateurs ou groupes d'utilisateurs
149
Windows Server 2003 Practice
Fenêtres de recherche avancée et de choix des types d'objets recherchés
Affectation des autorisations
150
Windows Server 2003 Practice
Portée de l'affectation d'autorisations
Autorisations possibles sur les unités Audit de l'accès à une unité
151
Windows Server 2003 Practice
Vérous d'audit possibles
Résultat
152
Windows Server 2003 Practice
Propriétaire et appropriation d'une unité
Autorisations effectives sur une unité Lorsque beaucoup d'autorisations sont placées sur une unité, il peut être difficile de savoir les autorisations effectives dont disposera un utilisateur ou un groupe d'utilisateurs. En effet, celui-ci peut appartenir à plusieurs groupes référencés et obtiendra l'autorisation la plus "permissive" parmi toutes celles qui lui réfèrent. L'onglet "Autorisations effectives" résoud ce problème car il permet de visualiser les autorisations qui s'appliquent à une unité pour un utuilisateur ou un groupe d'utilisateurs partculier.
153
Windows Server 2003 Practice
Propriétés d’un répertoire
154
Windows Server 2003 Practice
Général: Propriétés générales
Partage: Configuration d'un répertoire partagé pour la création d'une ressource réseau (voir plus loin)
155
Windows Server 2003 Practice
Sécurité: Permissions sur le répertoire (ici, elles sont héritées du répertoire parent)
Personnaliser: Configuration des paramètres d'affichage Configuration des permissions sur un répertoire Possibilités identiques aux permissions sur une unité.
156
Windows Server 2003 Practice
Sécurités avancées
Permissions héritées du répertoire parent
157
Windows Server 2003 Practice
Autorisations possibles sur les répertoires Configuration de l'audit sur un répertoire Possibilités identiques à l'audit sur une unité. Propriétés d’un fichier
Général: Caractéristiques générales
158
Windows Server 2003 Practice
Sécurité: Paramétres de sécurité
159
Windows Server 2003 Practice
Résumé: Résumé du fichier (si disponible)
Résumé -> Avancé: Résumé avancé du fichier (si disponible) Configuration des autorisations sur un fichier
160
Windows Server 2003 Practice
Sécurités avancées
Affectation d’autorisations (en grisé car hérité)
Autorisations possibles sur les fichiers
161
Windows Server 2003 Practice
Après affectation de permissions au groupe Utilisateurs authentifiés Configuration de l'audit sur un fichier Possibilités identiques à l'audit sur un répertoire.
Partage d’une unité ou d'un répertoire Cette opération propose une unité ou un répertoire en accès aux autres machines du réseau:
L'administrateur devra choisir un nom de ressource partagée.
Windows Server 2003 Practice
162
En outre, elle permet la configuration de la sécurité d'accès à la ressource par l'intermédiaire d'autorisations aux utilisateurs ou aux groupes d'utilisateurs:
L'administrateur devra attribuer ces autorisations d'accès via le réseau.
Ces autorisations "doublonnent" avec celles des fichiers et répertoires auxquelles un partage donne accés. La raison de existence de ce doublon est qu'un partage peut être créé sur une unité formattée en FAT et que les autorisations associées au partage permettront d'apporter la sécurité à son accés. Il s"agit aussi d'un héritage de LanManager.
Répertoire non partagé
163
Windows Server 2003 Practice
Partage réalisé avec pour nom PartageTest. La ressource réseau a le nom \\TELEMAQUE\Utilisateurs. TELEMAQUE est le nom du serveur. Il peut aussi être désigné par telemaque.w2k3.univ-fcomte.fr
Icones des unités et répertoires partagés
164
Windows Server 2003 Practice
Autorisations pour le partage (accès via le réseau)
165
Windows Server 2003 Practice
Partage par défaut des unités locales et autorisations sur ce partage
Création d'un nouveau partage lorsqu'un partage existe déja
Création d'un partage masqué (son nom se termine par un caractère $, il est non visualisé sur le réseau) Montage d’un répertoire réseau Cette opération déclare sur une machine une nouvelle unité et lui attribue une lettre de lecteur parmi celles disponibles. Cette unité sera en réalité un répertoire ou une unité d'une autre machine, partagé par cette machine et utilisé comme une unité locale.
166
Windows Server 2003 Practice
Fenêtre de connexion
Choix de la lettre de lecteur attribuée en local
167
Windows Server 2003 Practice
Choix du chemin d'accès réseau (en convention UNC) par recherche ou en le tapant directement
168
Windows Server 2003 Practice
Choix de l'utilisateur se connectant (en convention UNC), et indication de son mot de passe Convention UNC pour un nom de ressource réseau:
\\machine_serveur\nom_ressource
Convention UNC pour un nom d'utilisateur:
nom_utilisateur si on accède à une machine de son domaine de connexion, nom_domaine\nom_utilisateur si on accède à une machine d'un autre domaine.
Fenêtre juste avant validation
169
Windows Server 2003 Practice
Poste de travail avec une unité réseau montée
Icones d'une unité réseau Démontage d’un répertoire réseau Cette fonction permet de supprimer une unité réseau d'une machine sans, bien entendu, la détruire sur la machine source (suppression d'une déclaration).
170
Windows Server 2003 Practice
Opérations diverses de l'explorateur
Recherche multi-critères
Recherche générale
Localisation recherche
171
Windows Server 2003 Practice
Options de recherche
172
Windows Server 2003 Practice
Préférences de recherche
Formatage (unité, disquette, disque extractible, ...)
Fenêtre de formatage
Systèmes de fichiers connus (partition)
173
Windows Server 2003 Practice
Tailles des unités d'allocation sur le disque
Warning formatage
Formatage en cours
Formatage terminé
Compression à la volée
Windows Server 2003 Practice
174
Demande de la compression à la volée via les propriétés d'une unité (cela marche aussi pour les répertoires ou les fichiers)
Compression récursive ou non
Résultat de la compression d'un fichier gain de presque 79% sur ce fichier
175
Windows Server 2003 Practice
ADMINISTRATION (LA MICROSOFT MANAGEMENT CONSOLE, LA MMC) La Microsoft Management Console (MMC) est le programme via lequel une grande partie des tâches d'administration de Windows 2003 sont réalisées. Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC, permettant de réaliser telle ou telle configuration dédiée à telle ou telle fonctionnalité. Les divers outils d'administration sont implantés via ces snap-in, procurant une uniformité de leurs interfaces utilisateur. L'exécutable correspondant est MMC.EXE. Il est installé au sein du système d'exploitation. Lancé seul, il ouvre une MMC vide.
Lancement MMC
Une MMC vide
176
Windows Server 2003 Practice
Le snap-in "gestionnaire d'ordinateur" La zone gauche donne accès à l'arborescence des éléments de configuration du snap-in. La zone de droite permet de réaliser la configuration souhaitée sur l'élément sélectionné.
Le menu Fichier
177
Windows Server 2003 Practice
Ajout d'un Composant logiciel enfichable (snap-in)
Bouton Ajouter pour choisir le composant souhaité
Choix du type de composant
178
Windows Server 2003 Practice
Liste des composants
179
Windows Server 2003 Practice
Choix de la localisation gérée par le composant (ici, un ordinateur du domaine)
180
Windows Server 2003 Practice
Autre choix de localisation gérée par le composant (ici, une parmi les stratégies de sécurité du domaine)
181
Windows Server 2003 Practice
Nouveau contenu de la MMC
182
Windows Server 2003 Practice
Résultats dans la MMC
Une MMC avec plusieurs composants différents ouverts sur plusieurs localisations
183
Windows Server 2003 Practice
Sauvegarde d'une console
Enregistrer
Résultat dans le poste de travail
184
Windows Server 2003 Practice
ADMINISTRATION (LA GESTION DES UTILISATEURS, L'APPROBATION ENTRE DOMAINES)
La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des ordinateurs d'un domaine (il leur est attribué un compte):
création, destruction, propriétés, ...
Interface générale
Groupes créés à l'installation
185
Windows Server 2003 Practice
Utilisateurs et groupes d'utilisateurs du domaine
Contrôleurs de domaine du domaine (PENELOPE a été ajouté en contrôleur supplémentaire)
Ordinateurs du domaine Menus contextuels associés aux clés ADS
Utilisateurs et Ordinateurs Active Directory
186
Windows Server 2003 Practice
Domaine
Builtin
Users
187
Windows Server 2003 Practice
Création d’un nouvel utilisateur Défini par son nom (unique).
Choix des paramètres de création: nom de login Windows 2000 (obligatoire), nom de login de compatibilité NetBIOS, nom détaillé
Choix des paramètres de création: mot de passe (obligatoire),
188
Windows Server 2003 Practice
obligation ou non de changer le mot de passe à la prochaine ouverture de session, interdiction ou non de changement de mot de passe, pas d'expiration du mot de passe même en cas de limite de validité temporelle, compte désactivé ou non Menu contextuel associé à un utilisateur
Changement du mot de passe d'un utilisateur
Réinitialisation du mot de passe Propriétés d’un utilisateur
189
Windows Server 2003 Practice
Paramètres généraux
Adresse postale
190
Windows Server 2003 Practice
Principales propriétés du compte
Options configurables
191
Windows Server 2003 Practice
Horaire d'accès
Stations d'accès
192
Windows Server 2003 Practice
Configuration du profil
193
Windows Server 2003 Practice
Numéros téléphoniques de l'utilisateur
Implantation hiérarchique de l'utilisateur dans son entreprise
Groupes d'appartenance de l'utilisateur
194
Windows Server 2003 Practice
Contrôle à distance des paramètres Terminal Server
195
Windows Server 2003 Practice
Profil utilisateur en cas d'utilisation de Terminal Server
Paramètres d'accès entrant RAS ou VPN
196
Windows Server 2003 Practice
Démarrage des services Terminal Server
Time out Terminal Server Création d’un groupe
197
Windows Server 2003 Practice
Création d'un nouveau groupe: défini par son nom (unique), défini sur le domaine local ou globalement, groupe de sécurité ou de distribution
Résultat
Menu contextuel associé à un groupe
198
Windows Server 2003 Practice
Propriétés générales d'un groupe
Propriétés d'un groupe: Membres
199
Windows Server 2003 Practice
Propriétés d'un groupe: Groupes dont il est membre
200
Windows Server 2003 Practice
Propriétés d'un groupe: Utilisateur gestionnaire
Ajout de l'utilisateur "Einstein" dans le groupe "Physiciens" Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur
201
Windows Server 2003 Practice
Création d'un répertoire destiné à héberger les répertoires de base et les profils itinérants
202
Windows Server 2003 Practice
203
Windows Server 2003 Practice
Partage de ce répertoire (sous le nom Users) et configuration des autorisations sur le répertoire et sur le partage
Résultat du partage
Configuration de l'utilisateur concerné dans l'onglet profil de ses propriétés au sein du gestionnaire des utilisateurs
204
Windows Server 2003 Practice
Possibilité d'utiliser la variable d'environnement %USERNAME% pour désigner un utilisateur
Le gestionnaire des utilisateurs crée lui-même le répertoire de base et lui affecte les permissions en limitant l'accès au seul administrateur et à l'utilisateur
205
Windows Server 2003 Practice
Montage automatique du répertoire de base en unité Z:
Configuration de l'unité Z: en unité implicite pour les programmes
Après la première ouverture puis fermeture de session, le profil de l'utilisateur est sauvegardé dans le répertoire profils.
206
Windows Server 2003 Practice
Le profil est obtenu par copie du profil "Default User" de la première machine cliente.
Accès restreint au seul utilisateur
Après fermeture de session, maintient "en cache" de l'ancien profil dans le répertoire "Documents and Settings" du poste client Affectation d'un script d'ouverture de session
207
Windows Server 2003 Practice
Configuration de l'utilisateur concerné dans l'onglet profil de ses propriétés au sein du gestionnaire des utilisateurs
Localisation des scripts dans le répertoire \WINNT\SYSVOL\domain\scripts
Contenu du script Begin.cmd
208
Windows Server 2003 Practice
Résultat à l'ouverture de session de l'utilisateur Création d’un nouvel ordinateur Défini par son nom (unique).
209
Windows Server 2003 Practice
Création de l'ordinateur Possibilité de le déclarer en tant que machine à système prè Windows 2000 ou non Possibilité de le déclarer en tant que controleur supplémentaire ou en tant que membre simple
210
Windows Server 2003 Practice
Résultat Création d’un groupe d'ordinateurs
Création d'un nouveau groupe "classique"
Ajout des ordinateurs ARGOS et ULYSSE
211
Windows Server 2003 Practice
Résultat Maitres d'opérations (opérations à maître unique) Via l'option "Maîtres d'opérations" sur une clé de domaine
Configuration du maître des ID relatives
Configuration du maître d'émulation PDC
212
Windows Server 2003 Practice
Configuration du maître d'infrastructure
L’approbation entre domaines Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les machines du domaine B comme s'il était connecté sur une machine de son propre domaine (connexions automatiques, profil itinérant, ...). L'établissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines. L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra approuver A. L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.
213
Windows Server 2003 Practice
Menu contextuel associé à la clé "Domaines et approbations Active Directory" Menu contextuel associé à un domaine référencé Propriétés d'un domaine référencé
214
Windows Server 2003 Practice
Après installation initiale, un domaine Windows 2000 est configuré en mode mixte, i.e. il interopère avec les domaines des versions antérieures de Windows
Autres domaines approuvés Autres domaines qui vous approucvent Pour l'instant, rien nul part
215
Windows Server 2003 Practice
Utilisateur gestionnaire Création d'une relation d'approbation Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).
S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de communication correctement configuré, résolution de noms fonctionnelle). Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO, configurer une autorisation d'approbation (attribution d'un mot de passe) pour le domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).
216
Windows Server 2003 Practice
Approbation préparée du coté Windows NT 4.0
Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univfcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication du mot de passe créé à cette intention).
217
Windows Server 2003 Practice
Aucune relation d'approbation établie
Lancement de l'assistant de création d'une nouvelle approbation
Indication du domaine cible
218
Windows Server 2003 Practice
Sens de l'approbation (bidirectionnelle, entrante ou sortante)
Niveau d'authentification
219
Windows Server 2003 Practice
Indication du mot de passe de la relation d'approbation
Confirmation de la création de la relation d'approbation
220
Windows Server 2003 Practice
Relation d'approbation créée -> Configuration Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.
Confirmation de l'approbation sortante
221
Windows Server 2003 Practice
Confirmation de l'approbation entrante
Approbation configurée et fonctionnelle dans les deux sens
222
Windows Server 2003 Practice
Information
Nouvel état des relations d'approbation Propriétés et validation d'une relation d'approbation
Propriétés générales
223
Windows Server 2003 Practice
Demande de validation
Validation effectuée
Authentification
224
Windows Server 2003 Practice
Utilisations d'une relation d'approbation
Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines
Affectation d'autorisations sur un répertoire
Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs
225
Windows Server 2003 Practice
Deux domaines reconnus comme emplacement
Recherche dans le domaine IUP_INFO
226
Windows Server 2003 Practice
Utilisation du bouton "Avancé..." pour visualiser les utilisateurs eu groupes d'utilisateurs possibles
Choix de l'administrateur du domaine IUP_INFO
227
Windows Server 2003 Practice
IUP_INFO\Administrateur dans la liste des autorisations Maitre d'opérations (Opération à maître unique) Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
Configuration du maître d'attribution des noms de domaine
228
Windows Server 2003 Practice
Administration (Les stratégies de groupe) Les stratégies de groupe Une stratégie de groupe est un ensemble d'éléments de configuration de Windows (sous différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation. Les stratégies sont organisées: - avec une gestion de priorité, - avec la possibilité de ne pas définir tel ou tel élément pour que cet élément soit pris en compte dans une stratégie moins prioritaire. Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000, 2003 ou XP non contrôleur de domaine. Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine. Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine concernant toutes les machines Windows 2000, 2003 ou XP Professionnel. Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus prioritaire. Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut. Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel. Les outils d'administration proposent un raccourcis vers un sous-ensemble de chacune des stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés "stratégie de sécurité".
Les trois stratégies de sécurité du domaine
Stratégie de sécurité locale Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un sous-ensemble de la stratégie de groupe locale. Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des droits utilisateur, les agents de récupération pour les données cryptées et d'autres options de sécurité. La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows 2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est
229
Windows Server 2003 Practice
membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du domaine.
La colonne paramétres de sécurité indique la valeur appliquée sur la machine. L'icone indique que cette valeur est issue de la stratégie locale et est donc modifiable localement. L'icone indique une valeur issue d'une stratégie déployée sur le domaine et n'est donc pas modifiable localement car les stratégies de domaine sont prioritaires.
Stratégie de mot de passe Définition des paramètres de validité des comptes d'utilisateur: gestion d'un historique des mots de passe pour empêcher la frappe du même mot de passe à chaque changement, durée maximale d'un mot de passe avant changement obligatoire, durée minimale du mot de passe, complexité du mot de passe, longueur minimale des mots de passe, cryptage
230
Windows Server 2003 Practice
Historique de mémorisation des mots de passe (non modifiable localement)
Durée maximale d'un mot de passe (non modifiable localement)
231
Windows Server 2003 Practice
Complexité des mot de passe (non modifiable localement)
Longueur minimale du mot de passe (non modifiable localement)
Stratégie de verrouillage verrouillage des comptes en cas de tentatives de connexion infructueuses trop nombreuses
232
Windows Server 2003 Practice
Stratégie d'audit Lancement de l'audit sur certains événements: la gestion des utilisateurs et des groupes, l'ouverture et la fermeture de session, l'accès aux fichiers et objets, l'ouverture et la fermeture de session, l'utilisation de ses droits par un utilisateur, les arrêt et démarrage du système, l'utilisation de ses droits par un utilisateur, ...
233
Windows Server 2003 Practice
Stratégie locale après modification
Droits des utilisateurs Après l'installation du système, droits par défaut attribués aux groupes d'utilisateurs prédéfinis,
Windows Server 2003 Practice
234
leurs autorisant tel ou tel privilège. Extension ou restriction possible de ces droits
Utilisateurs autorisés à arrêter le système
235
Windows Server 2003 Practice
Changement de la liste des utilisateurs autorisés à ouvrir une session localement sur cette machine
236
Windows Server 2003 Practice
237
Windows Server 2003 Practice
Options de sécurité
Ne pas afficher le nom du dernier utilisateur ayant ouvert une session de travail
Stratégie de sécurité des contrôleurs de domaine Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.
Contenu de la stratégie des contrôleurs de domaine
238
Windows Server 2003 Practice
Stratégie Kerberos
Stratégie de sécurité du domaine Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sousensemble de la stratégie de groupe du domaine par défaut.
Contenu de la stratégie du domaine
Stratégie Kerberos Accès aux stratégies de groupe du domaine Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.
239
Windows Server 2003 Practice
Aucun composant présent. Demander ajouter
Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable. Choisir un composant de type "Editeur d'objets de stratégie de groupe"
240
Windows Server 2003 Practice
Demander Parcourir
241
Windows Server 2003 Practice
Ajout des deux stratégies par défaut du domaine
Pas de stratégie site
242
Windows Server 2003 Practice
Ajout de la stratégie locale
243
Windows Server 2003 Practice
Ajout des stratégies locales des autres machines du domaine penelope et ulysse
Onglet "Tous" pour un accès directe à toutes les stratégies accessibles
244
Windows Server 2003 Practice
Résultat des sélections
245
Windows Server 2003 Practice
Résultat dans la MMC Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"
Accès aux propriétés de l'entrée portant le nom d'un domaine
246
Windows Server 2003 Practice
Etat initial
247
Windows Server 2003 Practice
Création d'une stratégie
Etat après création de la stratégie "Test Policy". Stratégie la moins prioritaire
248
Windows Server 2003 Practice
Nouvel ordre des stratégies de groupe obtenu après configuration de la nouvelle stratégie en stratégie la plus prioritaire
Options de cette stratégie
Menu contextuel associé à une stratégie
249
Windows Server 2003 Practice
Propriétés générales d'une stratégie Désactivation possible des parties Ordinateur et/ou Utilisateur de cette stratégie
Liaisons sur cette stratégie entre sites, domaines et unité organisationnelles
250
Windows Server 2003 Practice
Sécurité de cette stratégie (valeurs initiales)
Filtre WMI de cette stratégie Pour qu'une stratégie s'applique à un utilisateur, un groupe d'utilisateurs ou un ordinateur, les sécurités doivent être placées en "Lire" et en "Appliquer la stratégie de groupe" sur ces entités et uniquement sur elles.
251
Windows Server 2003 Practice
252
Windows Server 2003 Practice
Suppression de l'entrée "Utilisateurs authentifiés" Ajout des utilisateurs Einstein et Bohr
253
Windows Server 2003 Practice
Préférable de travailler avec des groupes d'utilisateurs
254
Windows Server 2003 Practice
Suppression de l'entrée "Utilisateurs authentifiés" Ajout des ordinateurs ARGOS et ULYSSE
255
Windows Server 2003 Practice
Préférable de travailler avec des groupes d'ordinateurs
Ouverture de la stratégie dans la MMC via un double-clic Quelques manipulations utiles
Création d'une stratégie de groupe pour l'administrateur du domaine lui autorisant toutes les actions Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les machines Windows 2000 ou 2003 Server Limitation de la taille du profil des utilisateurs Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage Paramétrage de la stratégie de gestion des mots de passe
256
Windows Server 2003 Practice
Administration (La gestion des imprimantes)
La gestion des imprimantes , Installation d’une imprimante
Panneau de configuration Imprimantes
257
Windows Server 2003 Practice
258
Windows Server 2003 Practice
Propriétés du serveur
A la suite d’"Ajout d’imprimantes"
259
Windows Server 2003 Practice
Choix du type de connexion (directe via cable, réseau, ... ou sur un serveur d'impression)
260
Windows Server 2003 Practice
Désignation du port de connexion (physique (local), réseau, ...)
Choix du type d'imprimante (connu ou driver fourni sur disquette ou CD).
261
Windows Server 2003 Practice
Choix du nom local de l'imprimante.
Choix entre une imprimante partagée ou non partagée.
Demande de l'impression d'une page de test.
262
Windows Server 2003 Practice
Fin de l'installation
Installation d’une imprimante avec pilote sur support
263
Windows Server 2003 Practice
Choix d'un pilote sur disque fourni
Choix du pilote HP1200 Postscript
264
Windows Server 2003 Practice
Choix d'une imprimante Apple
Deux imprimantes installées Installation d’une imprimante sur port TCP/IP
265
Windows Server 2003 Practice
Dans la fenêtre de choix du port
266
Windows Server 2003 Practice
Désignation de l'imprimante par son adresse IP
267
Windows Server 2003 Practice
...
Panneau Imprimantes après installation Etat d'une imprimante
7 colonnes: Nom du document, état du document, propriétaire, nombre de pages, tailles traitée et totale, heure et date de soumission, port de connexion.
268
Windows Server 2003 Practice
Partage d'une imprimante
Menu contextuel associé à une imprimante Après sélection de l'imprimante concernée, on demande l'entrée "Partager".
Choix d'un nom de partage et référence de ce partage dans Active Directory L'imprimante est disponible en accès réseau.
Choix du nom de l'imprimante sur le réseau. Les pilotes sont automatiquement téléchargés du serveur vers les clients quand ceux-ci y accèdent. Si le client n'est pas une machine Windows 2000, l'installation
Windows Server 2003 Practice
269
préalable sur le serveur des pilotes adaptés au système client est nécessaire (bouton "Pilotes supplémentaires...") (disquette de pilote ou CD d'installation du système cible souvent nécessaire).
Avant et après installation
270
Windows Server 2003 Practice
Panneau Imprimantes après partage Connexion à une imprimante distante partagée
Choix d'une imprimante réseau lors de l'installation d'une nouvelle imprimante.
271
Windows Server 2003 Practice
Recherche de l'imprimante
Recherche de l'imprimante dans Active Directory
272
Windows Server 2003 Practice
Indication directe du nom de l'imprimante
Laisser le champ vide et cliquer sur suivant
Browsing sur le réseau
273
Windows Server 2003 Practice
Via le vosinage réseau
Imprimante réseau montée Propriétés d'une imprimante
274
Windows Server 2003 Practice
Propriétés générales
Partage
275
Windows Server 2003 Practice
Port de connexion
276
Windows Server 2003 Practice
Propriétés avancées
Sécurité
Sécurité avancée
277
Windows Server 2003 Practice
Autorisations possibles
278
Windows Server 2003 Practice
279
Windows Server 2003 Practice
Audit
Propriétaire
Paramètres du périphérique
280
Windows Server 2003 Practice
ADMINISTRATION (LA GESTION DE L'ORDINATEUR, LES SERVICES, L'OBSERVATEUR D'ÉVÉNEMENTS)
La gestion de l'ordinateur Le gestionnaire d'ordinateur prend en charge un certain nombre des options de configuration locales de l'ordinateur.
Trois entrées principales: Outils sytème, stockage et services et applications
281
Windows Server 2003 Practice
Observateur d'événements: Equivalent à l'outil de configuration "Observateur d'événements"
Dossiers partagés de l'ordinateur, leur utilisateurs et les fichiers ouverts
Gestion des périphériques matériels et des pilotes logiciels associés
Windows Server 2003 Practice
282
La défragmentation des unités
Gestion des disques
283
Windows Server 2003 Practice
Services
Configuration du service d'indexation
284
Windows Server 2003 Practice
Configuration des services Internet
285
Windows Server 2003 Practice
Configuration du service DNS
Les services Cet outil permet d'administrer les services (tâches de fond) fonctionnant localement sur l'ordinateur.
Fenêtre générale
Description de chaque service
286
Windows Server 2003 Practice
Etat de chaque service: état, type de démarrage, compte d'exécution
Menu contextuel associé à un service Option grisée si l'opération est impossible
Propriétés générales d'un service: Description, exécutable (avec chemin d'accès), type de démarrage, état de fonctionnement
287
Windows Server 2003 Practice
Propriété d'un service: Compte de démarrage
288
Windows Server 2003 Practice
Propriété d'un service: Action de récupération en cas de problème
289
Windows Server 2003 Practice
Propriété d'un service: Services dont il dépend, services qui dépendent de lui
L'observateur d'événements Il collecte les événements intervenant sur une machine:
application, sécurité, système, Directory Service (si contrôleur), DNS Server (si serveur DNS), réplication de fichiers (si contrôleur)
Trois classes d'événements:
les informations (icône bleue), les avertissements (icône jaune), les erreurs (icône rouge).
290
Windows Server 2003 Practice
Menu contextuel associé à l'observateur d'événements
291
Windows Server 2003 Practice
Menu contextuel associé à un journal
Menu contextuel associé à un événement
Journal application
292
Windows Server 2003 Practice
Journal sécurité
Journal système
Journal Diectory Service
293
Windows Server 2003 Practice
Journal DNS Server
Journal Service de réplication de fichiers Certains événements sont audités par défaut. Pour d'autres, il faut demander explicitement la détection
294
Windows Server 2003 Practice
Un événement Information du journal Application
Un événement Erreur du journal Système
295
Windows Server 2003 Practice
Propriété d'un journal: Taille maximale du journal, mode opératoire quand la taille maximale est atteinte
Propriété d'un journal: Filtrage de l'affichage sur le type, la source, la catégorie, l'ID, l'utilisateur, l'ordinateur, l'heure, ...
296
Windows Server 2003 Practice
Outils de gestion des disques Propriétés d'une unité
L'onglet "Outils" donne accès à trois outils de gestion des disques Vérification C'est cet outil qui réalisera l'opération CHKDSK (Check disk) pour vérifier la cohérence de la table d'allocation des fichiers sur une unité et éventuellement rechercher les secteurs défectueux. L'unité doit être disponible pour un usage exclusif faute de quoi la vérification devra être programmée pour une exécution au prochain démarrage du système.
297
Windows Server 2003 Practice
Sauvegarde et restauration Cet outil permet d'effectuer soit une sauvegarde, soit une restauration de tout ou partie d'une ou de plusieurs unités, soit encore de sauvegarder un système entier en vue d'en permettre la restauration à l'identique.
298
Windows Server 2003 Practice
Menu tâches Menu Outils
La sauvegarde
Interface de l'assistant de sauvegarde Sélection de l'ensemble des informations à sauvegarder Sélection du média de stockage (ici pas de média à bande installé -> uniquement fichier)
299
Windows Server 2003 Practice
Choix d'une sauvegarde complète de l'unité système
300
Windows Server 2003 Practice
Au démarrage de la sauvegarde, choix des options de sauvegarde
Après confirmation, examen de la bande présente dans le lecteur.
Calcul du nombre de fichiers et de leur taille totale
301
Windows Server 2003 Practice
Début sauvegarde
Sauvegarde en cours
302
Windows Server 2003 Practice
Sauvegarde de l'état du système
Sauvegarde terminée
303
Windows Server 2003 Practice
Rapport de sauvegarde La restauration
304
Windows Server 2003 Practice
Interface de l'assistant de restauration Visualisation et catalogue des bandes (aucune ici) et fichiers backup connus
Possibilité de charger d'autres bandes ou d'autres fichiers et d'en dresser le catalogue
305
Windows Server 2003 Practice
Choix des répertoires et/ou fichiers à restaurer (restauration partielle)
306
Windows Server 2003 Practice
Choix des répertoires et/ou fichiers à restaurer (restauration total y compris l'état du système)
Fenêtre de lancement de la restauration
Fenêtre de définition des options avancées de la restauration
307
Windows Server 2003 Practice
Début de la restauration
Restauration en cours
Restauration terminée
308
Windows Server 2003 Practice
Rapport de restauration
Trois options pour la localisation des fichiers restaurés A l'emplacement d'origine avec la même arborescence de répertoires
A un autre emplacement avec la même arborescence de répertoires
309
Windows Server 2003 Practice
A plat à un autre emplacement Planification
Planification d'une opération de sauvegarde
310
Windows Server 2003 Practice
Création d'une opération sous la forme d'une tâche planifiée
Choix de ce qui est sauvegardé
311
Windows Server 2003 Practice
Choix de l'emplacement de la sauvegarde
Choix du type de sauvegarde
312
Windows Server 2003 Practice
Options de sauvegarde
Options de sauvegarde
313
Windows Server 2003 Practice
314
Windows Server 2003 Practice
Planification
Acquittement final
315
Windows Server 2003 Practice
Résultat de la création de la tâche de sauvegarde planifiée
Résultat de la création de la tâche de sauvegarde dans le panneau "Tâches planifiées"
316
Windows Server 2003 Practice
Propriétés de cette tâche J:\WINDOWS\system32\ntbackup.exe backup "@J:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data\Sauvegarde.bks" /a /d "Jeu créé le 31/07/2006 à 17:09" /v:no /r:no /rs:no /hc:off /m normal /j "Sauvegarde" /l:s /f "D:\Backup01.bkf" Ligne de commande réellement exécutée Sauvegarde et restauration sur bande
317
Windows Server 2003 Practice
Installation à chaud d'un lecteur de bande 4mm DAT sur carte SCSI (ajout et retrait possible)
Apparition d'une entrée 4mm DDS dans l'interface de NTBackup
318
Windows Server 2003 Practice
Détection automatique des bandes introduites
Une bande importée contenant déjà des jeux de sauvegarde
Menu contextuel associé à une bande
319
Windows Server 2003 Practice
Catalogage de la bande
Bande cataloguée utilisable pour une restauration
320
Windows Server 2003 Practice
Effacement de la bande
Sélection pour une sauvegarde
Sauvegarde amorcée
321
Windows Server 2003 Practice
Sauvegarde en cours
322
Windows Server 2003 Practice
Sauvegarde terminée Défragmentation Cet outil permet d'effectuer une défragmentation d'une unité de manière à réorganiser les fichiers pour en rendre l'exploitation plus rapide.
323
Windows Server 2003 Practice
État initial
Phase d'analyse
324
Windows Server 2003 Practice
J: (partition système) est à défragmenter
325
Windows Server 2003 Practice
Défragmentation en cours
326
Windows Server 2003 Practice
327
Windows Server 2003 Practice
Défragmentation terminée avec affichage d'un rapport L'administration des disques L'administration des disques durs, lecteurs de CDRom et des disques amovibles (clés USB, ZIP, JAZZ, ...) de la machine locale recouvre les opérations suivantes:
gestion des disques, partitions et volumes, formatage, déclaration d’unités, …
Disque de base Disque physique auquel peuvent accéder MS-DOS et tous les systèmes d'exploitation Windows. Les disques de base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Si vous souhaitez créer des partitions fractionnées sur plusieurs disques, vous devez d'abord convertir le disque de base en disque dynamique grâce au composant Gestion des disques ou à l'utilitaire de ligne de commande Diskpart.exe. Disque dynamique Disque physique auquel seuls Windows 2000 et Windows XP. peuvent accéder. Les disques dynamiques fournissent des fonctionnalités que les disques de base n'offrent pas, telle que la prise en charge des volumes fractionnés sur plusieurs disques. Les disques dynamiques utilisent une base de données cachée pour conserver les informations relatives aux volumes dynamiques sur le disque et aux autres disques dynamiques de l'ordinateur. Vous pouvez convertir des disques de base en disques dynamiques grâce au composant Gestion de disques ou à l'utilitaire de ligne de commande DiskPart. Lors de la conversion d'un disque de base en disque dynamique, tous les volumes de base existants deviennent des volumes dynamiques. Partition Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des données. Sur les disques de base, les partitions sont appelées des volumes de base, qui peuvent être des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appelées des volumes dynamiques qui peuvent être simples, fractionnés, agrégés par bande, en miroir ou RAID-5. Partition principale Type de partition que vous pouvez créer sur les disques de base. Une partition principale est une partie de l'espace disque physique qui fonctionne comme un disque physiquement indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer jusqu'à quatre partitions principales ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu'à 128 partitions principales. Les partitions principales sont également appelées volumes.
328
Windows Server 2003 Practice
Partition étendue Type de partition que vous pouvez uniquement créer sur les disques d'enregistrement de démarrage principal (MBR, Master Boot Record) de base. Utilisez une partition étendue si vous souhaitez disposer de plus de quatre volumes sur votre disque MBR de base. Contrairement aux partitions principales, vous ne formatez pas une partition étendue avec un système de fichiers en lui attribuant ensuite une lettre de lecteur. Il faut à la place créer un ou plusieurs lecteurs logiques au sein de la partition étendue. Après avoir créé un lecteur logique, vous le formatez et lui assignez une lettre de lecteur. Les disques MBR de base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Partition active Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit être une partition principale d'un disque de base. Si vous utilisez exclusivement Windows, la partition active peut être la même que celle du volume système. Partition système Partition qui contient le système d'exploitation Windows et ses fichiers de prise en charge. La partition système peut être la même que la partition d'amorçage, mais pas nécessairement. Partition d'amorçage Partition qui contient des fichiers propres au matériel qui sont indispensables au chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition d'amorçage peut être la même que la partition système, mais pas nécessairement. Volume Zone de stockage d'un disque dur. Un volume est formaté conformément à un système de fichiers (notamment FAT ou NTFS) et se voit attribuer une lettre de lecteur. Vous pouvez aussi afficher le contenu d'un volume en cliquant sur son icône dans l'Explorateur Windows ou Poste de travail. Un disque dur peut comporter plusieurs volumes et les volumes peuvent s'étendre de manière fractionnée sur plusieurs disques. Volume de base Partition principale ou lecteur logique résidant sur un disque de base. Volume dynamique Volume qui réside sur un disque dynamique. Windows prend en charge cinq types de volumes dynamiques : simple, fractionné, agrégé par bandes, en miroir, et RAID-5. Un volume dynamique est formaté en utilisant un système de fichiers, tel que FAT ou NTFS. Une lettre de lecteur lui est attribuée. Volume actif Volume de démarrage de l'ordinateur. Le volume actif doit être un volume simple d'un disque dynamique. Vous ne pouvez pas activer un volume dynamique existant mais vous parvenez par compte à activer un disque de base contenant la partition active. Une fois le disque activé et devenu dynamique, la partition devient un volume simple actif.
329
Windows Server 2003 Practice
Volume système Volume qui contient le système d'exploitation Windows et ses fichiers de prise en charge. Le volume système peut être le même que le volume d'amorçage (mais pas nécessairement). Volume d'amorçage Volume contenant les fichiers spécifiques à la plate-forme matérielle qui sont requis pour charger Windows sur des ordinateurs de type x86 dotés d'un BIOS. Le volume d'amorçage peut être le même que le volume système (mais pas nécessairement). Volume simple Volume dynamique constitué de l'espace disque d'un seul disque dynamique. Un volume simple peut être constitué d'une seule région d'un disque ou de plusieurs régions du même disque, liées entre elles. Vous pouvez étendre un volume simple au sein du même disque ou sur des disques supplémentaires. Si vous étendez un volume simple sur plusieurs disques, il devient un volume fractionné. Vous pouvez créer des volumes simples uniquement sur des disques dynamiques. Les volumes simples ne sont pas tolérants aux pannes, mais vous pouvez les configurer de manière à créer des volumes en miroir. Volume fractionné Volume dynamique constitué d'espace disque réparti sur plusieurs disques physiques. Vous pouvez augmenter la taille d'un volume fractionné en l'étendant sur des disques dynamiques supplémentaires. Vous pouvez créer des volumes fractionnés uniquement sur des disques dynamiques. Les volumes fractionnés ne sont pas tolérants aux pannes et ne peuvent pas être mis en miroir. Volume en miroir Volume à tolérance de pannes qui duplique les données sur deux disques physiques. Un volume en miroir assure la redondance des données à l'aide de deux volumes identiques, qui sont appelés miroirs, pour dupliquer les informations contenues dans le volume. Le miroir se trouve toujours sur un disque différent. En cas de défaillance d'un des disques physiques, les données qu'il contient ne sont plus disponibles, mais le système continue de fonctionner sur le miroir du disque restant. Vous pouvez créer des volumes miroir uniquement sur des disques dynamiques. Volume agrégé par bandes Volume dont les données sont agrégées par bandes de façon intermittente sur deux disques physiques ou davantage. Vous ne pouvez créer des volumes agrégés par bandes que sur des disques dynamiques. Il n'est pas possible de créer des volumes agrégés par bandes étendus ou en miroir. Volume RAID-5 Volume à tolérance de pannes dont les données et la parité sont agrégées par bandes de façon intermittente sur trois disques physiques ou davantage. La parité est une valeur calculée qui permet de reconstituer des données après une défaillance. Si une partie d'un disque physique présente une défaillance, Windows restaure les données de la partie endommagée grâce aux données restantes et au contrôle de parité. Vous ne pouvez créer
330
Windows Server 2003 Practice
des volumes RAID-5 que sur des disques dynamiques et il n'est pas possible de créer des volumes RAID-5 étendus ou en miroir. La gestion des disques est assurée via la clef "Gestion des disques" de l'outil "Gestion de l'ordinateur".
Ici, les quatre disques durs sont des disques de base. C: est la partition d'amorçage et la partition système. La petite partition de 39 Mo contient les paramètres de configuration EISA (non accessibles) créée par le programme d'installation Compaq sur ce serveur de type ML330G2. W: est la lettre d'unité attribuée au lecteur de CD.
331
Windows Server 2003 Practice
Menus contextuels sur la clef Gestion des Disques "Analyser les disques de nouveau": Prise en compte toute modification hexogène apportée aux disques (mise en place ou retrait d'un disque hot-plug, cessation de fonctionnement, ...)
Graphique
332
Windows Server 2003 Practice
Volumes
Disques Affichages possibles Noter les codes couleurs pour les types de volume Noter les colonnes dans l'affichage des volume: lettre d'unité, type de partition, type de disque, système de fichiers, état, capacité totale, capacité restante, % libre, tolérant aux pannes?, % d'espace perdu Noter les colonnes dans l'affichage des disques: quel disque?, type de disque, capacité totale, capacité restante, disponibilité, type d'interface, type de partition Création d'une partition principale sur un disque de base Sélectionner une zone libre sur un disque de base (C:).
333
Windows Server 2003 Practice
Choix du type de partition
334
Windows Server 2003 Practice
Définition de la taille de la partition
Attribution d'une lettre pour création d'une nouvelle unité
335
Windows Server 2003 Practice
Formatage
Confirmation
336
Windows Server 2003 Practice
Formatage en cours
Résultat final Création d'une partition étendue sur un disque de base
337
Windows Server 2003 Practice
Choix du type de partition
Définition de la taille de la partition
Confirmation
338
Windows Server 2003 Practice
Résultat final Création d'un lecteur logique dans une partition étendue
Menu contextuel
339
Windows Server 2003 Practice
Choix du type de partition
Définition de la taille du lecteur logique
340
Windows Server 2003 Practice
Attribution d'une lettre pour création d'une nouvelle unité
Formatage
341
Windows Server 2003 Practice
Confirmation
342
Windows Server 2003 Practice
Résultat final Conversion disque de base -> disque dynamique Sélection des trois disques
Menu contextuel obtenu par clic droit sur un disque de base
Conversion préalable des 3 disques SCSI vides (pas de confirmation) Après conversion, ces disques sont toujours vides. La mise à niveau inverse vers le type "disque de base" est possible.
343
Windows Server 2003 Practice
Conversion du disque qui contient le système d'exploitation et d'autres partitions vides
Informations sur le disque mis à niveau
Warning
Warning
344
Windows Server 2003 Practice
Reboot obligatoire car la partition système à été convertie
345
Windows Server 2003 Practice
Résultat final Partitions principales et lecteurs logiques transformées en volumes simples Systèmes de fichiers inchangés Pas de modification quant au poste de travail La mise à niveau inverse de disque dynamique vers disque de base n'est pas possible pour les disques non vides.
Menu contextuel sur un disque dynamique Bug d'affichage?!, "Nouveau nom..." crée un nouveau volume Importation: Montage de disques provenant d'autres ordinateurs non montées automatiquement Réactivation: Remise en état de volumes redondant ayant été détectés comme présentant des problèmes
Menu contextuel sur une zone vide d'un disque dynamique Bug d'affichage?!, Nouveau nom... crée un nouveau volume Extension de volumes simples et fractionnés
346
Windows Server 2003 Practice
Extension impossible du volume système
Extension du volume D: sur un autre disque
Définition du disque et de la taille d'extension
347
Windows Server 2003 Practice
Confirmation
Résultat final Volume simple transformé en volume fractionné
348
Windows Server 2003 Practice
Résultat final après une nouvelle extension sur le disque originel Création d'un volume simple
349
Windows Server 2003 Practice
Choix du disque et de la taille du volume
350
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
351
Windows Server 2003 Practice
Confirmation
Formatage en cours
352
Windows Server 2003 Practice
Résultat final Création directe d'un volume fractionné
353
Windows Server 2003 Practice
Sélection des disques concernés et de la taille affectée sur chaque disque
Choix de la lettre d'unité affectée
354
Windows Server 2003 Practice
Formatage
Confirmation
355
Windows Server 2003 Practice
Formatage en cours
Résultat final
356
Windows Server 2003 Practice
Résultat final dans l'explorateur Mise en miroir d'un volume simple
Choix de l'autre disque sur lequel effectuer la mise en miroir du volume E:
357
Windows Server 2003 Practice
Synchronisation en cours du miroir
Résultat final Création directe d'un volume en miroir
358
Windows Server 2003 Practice
Choix des deux disques concernés et de la taille du miroir
Choix de la lettre d'unité affectée
359
Windows Server 2003 Practice
Formatage
Confirmation
360
Windows Server 2003 Practice
Synchronisation en cours du miroir
Résultat final
361
Windows Server 2003 Practice
Création d'un volume agrégé par bandes
Choix des disques (deux minimums) concernés et de la taille affectée (identique) sur chacun d'eux
362
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
363
Windows Server 2003 Practice
Confirmation
Formatage en cours
364
Windows Server 2003 Practice
Résultat final
365
Windows Server 2003 Practice
Résultat final dans l'explorateur Création d'un volume RAID-5 sur 3 disques
Choix des disques (trois minimum) concernés et de la taille affectée (identique) sur chacun d'eux Noter la taille totale du volume généré: 1/3 de perte d'espace
366
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
367
Windows Server 2003 Practice
Confirmation
Formatage en cours
368
Windows Server 2003 Practice
Résultat final Création d'un volume RAID-5 sur 4 disques
Choix des quatre disques concernés et de la taille affectée (identique) sur chacun d'eux Noter la taille totale du volume généré: 1/4 de perte d'espace
369
Windows Server 2003 Practice
Choix de la lettre d'unité affectée
Formatage
370
Windows Server 2003 Practice
Confirmation
371
Windows Server 2003 Practice
Résultat final
Résultat final dans l'explorateur Tolérance aux pannes (retrait et remise en ligne d'un disque) Le disque 3 est retiré serveur éteint puis la machine est remise en route.
Disparition du disque I: Maintient en utilisation de tous les autres disques
372
Windows Server 2003 Practice
Un événement "Erreur" et trois événements "Avertissement" dans le journal "Système"
Une erreur liée à l'impossibilité de démarrer le volume I:
373
Windows Server 2003 Practice
Trois avertissements liés à la disparition de la redondance sur les volumes H:, J: et K: tout en en laissant le contenu accessible
Disque 3 manquant Le volume en miroir et les deux volumes RAID-5 en échec de redondance mais utilisables
374
Windows Server 2003 Practice
Le disque 3 d'origine est replacé dans le serveur éteint puis la machine est remise en route.
Disque reconnu, agrégat par bandes remonté, mais volumes redondant non correctement réinstallés quoique encore utilisables -> Réactivation des disques
375
Windows Server 2003 Practice
Resynchronisation des volumes redondants
376
Windows Server 2003 Practice
Résultat final
377
Windows Server 2003 Practice
Événements enregistrés dans le journal Système
Début de resynchronisation
378
Windows Server 2003 Practice
Fin de resynchronisation Propriétés d'un disque
Propriétés d'ordre général
379
Windows Server 2003 Practice
Gestion du cache d'écriture associé au disque
Volumes présents sur ce disque exclusivement ou non
380
Windows Server 2003 Practice
Pilote associé au disque Menus contextuels associés aux volumes sur disque dynamique
Volume système
381
Windows Server 2003 Practice
Volume simple
Volume fractionné
Volume en miroir
382
Windows Server 2003 Practice
Volume agrégé par bandes
Volume RAID-5 Formatage d'une partition principale, d'un lecteur logique ou d'un volume Formatage FAT, FAT32 ou NTFS
Systèmes de fichiers
383
Windows Server 2003 Practice
Tailles d'unité d'allocation Affectation d'une lettre de lecteur
Menu contextuel sur un volume quelconque L'administrateur peut choisir la lettre de lecteur affectée à une unité.
Affectation d'une autre lettre d'unité
384
Windows Server 2003 Practice
Lettres possibles
Avant
Après Suppression d'une lettre de lecteur Une unité formatée pourra ne pas avoir de lettre de lecteur sans pour cela perdre son contenu. Celui-ci n'est visible ni par les utilisateurs, ni même par l'administrateur.
385
Windows Server 2003 Practice
Warning avant suppression
Résultat dans l'explorateur
Résultat dans le gestionnaire de disque
386
Windows Server 2003 Practice
Montage d'un volume en tant que répertoire Un volume peut être monté pour voir sa racine remplacer un répertoire particulier.
Création du répertoire cible
Ajout d'un chemin d'accès pour l'unité F:
387
Windows Server 2003 Practice
Résultat
Dans l'explorateur Montage multiple Un volume peut être monté plusieurs fois soit comme unité, soit comme répertoire au sein d'une arborescence de répertoires.
388
Windows Server 2003 Practice
Une lettre d'unité et deux montages dans un répertoire
Résultat
Deux accès dans l'explorateur
389
Windows Server 2003 Practice
Administration (La gestion des profils d'utilisateurs, le gestionnaire de licence, l'éditeur du registre) La gestion des profils d'utilisateurs Profil de l'utilisateur en cours de session stocké sous \Documents and Settings.
Outre ce profil, on trouve dans ce répertoire tous les profils d'autres utilisateurs qui n'auraient pas été supprimés, ainsi que les profils All Users et Default User. Profil d'un utilisateur composé de deux parties :
une partie commune à tous les utilisateurs (non modifiable) stockée dans le répertoire \Documents and Settings\All Users, une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un répertoire portant le non de l'utilisateur sous \Documents and Settings.
Existence d'un profil prédéfini à l'installation:
"Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en possédant encore aucun (Attribution réalisée par création d'une copie)
Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient. Profil errant (ou itinérant): 1. téléchargé sur le réseau vers le poste client depuis un serveur lors de l'ouverture de session d'un utilisateur, 2. installé sur le poste client, 3. utilisé sur le poste client (éventuellement modifié si l'utilisateur en possède le droit), 4. déchargé depuis le poste client vers le serveur à la fermeture de session. Profil local: Profil stocké uniquement localement Profil en cache: Profil errant resté sur un poste client après fermeture de session (éventuellement réutilisable sur ce même poste). Configuration possible d'une commande d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en cache. Attribution d'un profil personnel errant à un utilisateur U travaillant sur plusieurs machines:
390
Windows Server 2003 Practice
Partager un répertoire du serveur en contrôle total pour U. Indiquer explicitement au moyen du gestionnaire d'utilisateurs que U possède un profil situé sur cette ressource. Créer dans le répertoire partagé pour U un profil par copie d'un autre profil. Si cette copie n'est pas faite, lors de sa première ouverture de session, U se vera attribué par copie le profil Default User du poste client de connexion.
Sur une machine possèdant un administrateur local et héritant d'un administrateur de domaine, existence de deux profils Administrateur:
un pour l'administrateur du domaine, l'autre pour l'administrateur de la station.
Le profil d'un utilisateur
Profil de l'administrateur Bureau: Contenu du bureau Cookies: cookies de l'administrateur Favoris: favoris de l'administrateur Menu Démarrer: menu démarrer de l'administrateur NTUSER.dat: partie de registre de l'administrateur ...
391
Windows Server 2003 Practice
!!! Bureau d'un utilisateur contenu dans son profil Le profil All Users
Un bureau, des documents, des favoris, un menu démarrer, ..., mais il manque certains fichiers personnels (NTUser.dat) Les utilisateurs recoivent l'union de leur profil personnel et du profil "All Users". Ceci concerne en particulier le bureau, les documents, les favoris et le menu démarrer.
392
Windows Server 2003 Practice
Menu démarrer attribué à tous les utilisateurs
Menu démarrer spécifique à l'administrateur
Résultat
Outils d'administration spécifiques à l'administrateur
393
Windows Server 2003 Practice
Outils d'administration de "All users"
394
Windows Server 2003 Practice
395
Windows Server 2003 Practice
Outils d'administration via menu démarrer "Programmes", intégration des racourcis de l'administrateur Outils d'administration via panneau de configuration Le profil Default User
Un profil complet
396
Windows Server 2003 Practice
Le gestionnaire de licences Définitions (Documentation Microsoft) Mode de licence "Par périphérique ou Par utilisateur ": Mode de licence qui requiert une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque périphérique ou utilisateur qui a accès à un serveur exécutant Windows Server 2003, quel que soit le nombre de connexions simultanées. Le mode de licence "Par périphérique ou Par utilisateur" est la meilleure option si vos clients utilisent fréquemment plusieurs serveurs sur le réseau. Mode de licence "Par serveur": Mode de licence qui requiert une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque connexion simultanée qui a accès à un serveur exécutant Windows Server 2003. Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est installé sur un seul serveur accessible à tout moment par pas plus d'un sousensemble de vos utilisateurs. Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau de configuration "Licences":
gestion des licences centralisée pour l'ensemble d'un domaine: o création, o destruction, o historique des actions, o ..., gestion d'autres licences que les seules licences d'accès client Windows Serveur (produits Microsoft), obtention de statistiques d'utilisation, ...
Menus
397
Windows Server 2003 Practice
Historique des achats sur le domaine
Licences achetées et allouées au cours du temps sur ce domaine dans les deux modes de gestion
398
Windows Server 2003 Practice
Clients répertoriés sur le domaine
Explorateur de serveur pour accéder aux configurations particulières des serveurs de licences Propriétés demandées sur une licence logicielle gérée
399
Windows Server 2003 Practice
Clients répertoriés en mode de licence "Par périphérique ou Par utilisateur" sur cette machine pour les licences d'accès client
Historique des achats sur cette machine pour les licences d'accès client
Nombres de licences accès client achetées sur l'ensemble des machines du domaine et accès à ces machines
400
Windows Server 2003 Practice
Installation de nouvelles licences
Fenêtre de déclaration de nouvelles licences
Fenêtre de Warning associée à la déclaration de nouvelles licences
Résultat
401
Windows Server 2003 Practice
Suppression de licences
Choix du mode de licence sur un serveur Un serveur de licence est sélectionné.
402
Windows Server 2003 Practice
Le changement est possible uniquement dans le sens mode par siège vers mode par serveur Révocation d'un utilisateur dans le cas du mode de licence par siège
Dépassement du nombre de licences autorisées
403
Windows Server 2003 Practice
Dans l'onglet "Clients par siège" des propriétés du type de licence concerné, utilisation du bouton révocation pour récupérer la licence d'accès client
Acquitement
404
Windows Server 2003 Practice
Résultat
L'éditeur du registre L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée appelé "Registre". Les programmes Regedit.exe et Regedt32.exe sont les mêmes. Ils donnent un accès direct à ces données.
ATTENTION: Ces applications sont à utiliser de manière extrêmement prudente car les actions réalisées sont irréversibles.
405
Windows Server 2003 Practice
ATTENTION: Faute d'une configuration contraire, l'utilisation de ces outils est autorisée aux utilisateurs (dans la limite des autorisations placées sur les informations renseignées).
Pour une machine, organisation arborescente de l'information dans 5 arbres:
HKEY_LOCAL_MACHINE: Configuration globale de la machine HKEY_CURRENT_CONFIG: Configuration du profil matériel actuellement utilisé HKEY_USERS: Configuration des utilisateurs possédant un profil local HKEY_CURRENT_USER: Configuration de l'utilisateur en cours de session HKEY_CLASSES_ROOT: Configuration de l'environnement d'utilisation de la machine (associations extensions-applications, ...)
Il existe 5 types de valeur:
REG_BINARY: Donnée "champ d'octets" REG_DWORD: Donnée numérique sur 4 octets REG_EXPAND_SZ: Chaîne de longueur variable REG_MULTI_SZ: Chaîne multiple REG_SZ: Chaîne de longueur fixe
Les clés des arborescences sont affichées à gauche, les valeurs à droite. Les menus sont contextuels, variant en fonction des clefs ou valeurs sélectionnées. Les clés et valeurs peuvent être renommées. Les valeurs peuvent être modifiées (en particulier après création).
406
Windows Server 2003 Practice
Menu "Fichier": Ouverture/Fermeture du registre d'un ordinateur distant, sauvegarde de clefs ou de sous-arbres, restauration à partir de sauvegarde
Menu édition: ajout ou suppression de clés ou de valeurs, autorisations, recherches, ...
Menu contextuel associé à l'une des 5 clés majeures
407
Windows Server 2003 Practice
Menu contextuel associé à une clé
Menu contextuel associé à une valeur Modification d'une clé
Modification d'une clé de type chaine de caractères
408
Windows Server 2003 Practice
Modification d'une clé de type valeur binaire
Modification d'une clé de type valeur DWORD
Modification d'une clé de type chaines multiples
Windows Server 2003 Practice
409
Modification d'une clé de type chaine extensible
Sauvegarde/Restauration des clefs Regedit autorise la sauvegarde/restauration (exportation/importation) des clés du registre et des valeurs qu'elles contiennent dans des fichiers .reg.
Exportation d'une clé
410
Windows Server 2003 Practice
Fichier résultat
Avant restauration
Restauration
411
Windows Server 2003 Practice
Après restauration
Fichier .reg Les autorisations, l'audit, l'appropriation sur les clés Ne s'applique qu'aux clés et aux valeurs qu'elles contiennent et pas directement aux valeurs.
Autorisations sur une clé
412
Windows Server 2003 Practice
Autorisations avancées: Autorisations, audit, propriétaire
Autorisations possibles
413
Windows Server 2003 Practice
Audit
Vérous d'audit possibles
414
Windows Server 2003 Practice
Propriétaire
415
Windows Server 2003 Practice
Administration (L'administration à distance, l'administration Active Directory) L'administration à distance Joindre un ordinateur à un domaine L'administration distante nécessite le regroupement des ordinateurs en domaine. Les machines Windows XP Pro, 2000 Pro ne pourront intégrer un domaine qu'en tant que membre simple. Les opérations d'authentification qu'elles réaliseront seront sous-traitées à un contrôleur du domaine. Une machine Windows 2000 Server ou 2003 Serveur pourra être intégrée dans un domaine de deux manières:
En tant que serveur simple, elle est gérée comme une machine Windows membre simple mais peut posséder un certain nombre des fonctionnalités de Windows 2000 ou 2003 Serveur (IIS par exemple). En tant que contrôleur de domaine supplémentaire, elle fait fonctionner Active Directory Service pour stocker une copie de la base de donnée de gestion du domaine et est capable de réaliser des authentifications et toutes les tâches d'un contrôleur.
Joindre une machine membre simple à un domaine
Onglet "Identification" ou "Nom de l'ordinateur" du panneau de configuration "Système" Ulysse membre du Workgroup WK
416
Windows Server 2003 Practice
Modification.
Intégration de l'ordinateur ulysse au domaine Windows 2003 w2k3.univ-fcomte.fr
417
Windows Server 2003 Practice
Authentification de l'adjonction par un administrateur du domaine
Acquittement
Redémarrage
418
Windows Server 2003 Practice
Résultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Computers contient une machine de plus.
Menu contextuel associé au membre simple ulysse
Propriétés d'un membre simple: Paramètres généraux
419
Windows Server 2003 Practice
Propriétés d'un membre simple: Système d'exploitation
Propriétés d'un membre simple: Rôle au sein du domaine
420
Windows Server 2003 Practice
Propriétés d'un membre simple: Emplacement
Propriétés d'un membre simple: Utilisateur gestionnaire
421
Windows Server 2003 Practice
Propriétés d'un membre simple: Appel entrant Joindre un contrôleur supplémentaire à un domaine Voir le chapitre idoine dans la page WEB configuration Active Directory
Résultat dans le gestionnaire des Utilisateurs et Ordinateurs Active Directory: Domain Controllers contient une machine de plus.
422
Windows Server 2003 Practice
Menu contextuel associé au controleur supplémentaire
Propriétés du controleur supplémentaire: Paramètres généraux
Propriétés du controleur supplémentaire: Système d'exploitation
423
Windows Server 2003 Practice
Propriétés du controleur supplémentaire: Rôle au sein du domaine
Propriétés du controleur supplémentaire: Emplacement
Windows Server 2003 Practice
424
Propriétés du controleur supplémentaire: Utilisateur gestionnaire
Propriétés du controleur supplémentaire: Appel entrant
425
Windows Server 2003 Practice
Administration à distance via la MMC Windows 2003 permet l'administration à distance sur les machines d'un domaine. Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité qu'offrent fréquemment les composants logiciels enfichables de la MMC de se connecter sur une machine distante pour l'administrer totalement ou partiellement comme s'il s'agissait de la machine locale.
Choix du composant logiciel enfichable à joindre
Composant "Dossiers partagés"
426
Windows Server 2003 Practice
Composant "Services"
Composant "Gestion des disques" Choix de l'hôte à joindre pour le composant
427
Windows Server 2003 Practice
Résultat dans la MMC
Accès à distance aux partages de penelope.w2k3.univ-fcomte.fr
428
Windows Server 2003 Practice
Accès à distance à la gestion des disques de ulysse.w2k3.univ-fcomte.fr
Accès à distance aux services de telemaque.w2k3.univ-fcomte.fr (présenté comme local car exécuté sur telemaque)
429
Windows Server 2003 Practice
Possibilité de créer des fichiers MSC pour accéder de nouveau aux composants cibles
Fichiers MSC déplaçables Snap In.msc exécuté depuis penelope ("Dossiers partagés" devenu local, "Services" devenu affecté à telemaque)
430
Windows Server 2003 Practice
Mêmes les machines non contrôleur de domaine peuvent être utilisées pour l'administration à distance pour peu que les composants logiciels enfichables nécessaires soient installés et que le compte utilisé possède les droits adéquats. L'installation de ces composants est réalisée via le programme adminpak.exe (et sa mise à jour WindowsServer2003KB304718-AdministrationToolsPack.exe) compatible Windows 2003, Windows 2000 et Windows XP (avec services pack).
Liste des composants logiciels enfichables
431
Windows Server 2003 Practice
Administration à distance via la ligne de commandes L'administration Active Directory La délégation de contrôle Les objets Active Directory peuvent voir leur contrôle délégué.
432
Windows Server 2003 Practice
433
Windows Server 2003 Practice
Administration (Les commandes au clavier) Commandes de gestion des fichiers attrib Gestion des attributs lecture seule, archive, système et masqué assignés aux fichiers ou aux répertoires cd (chdir) Gestion du dossier en cours comp Comparaison octet par octet du contenu de deux fichiers ou de groupes de fichiers copy Copie d'un ou plusieurs fichiers à partir d'un répertoire dans un autre del (erase) Suppression de fichiers dir Affichage de la liste des fichiers et des sous-répertoires d'un répertoire fc Comparaison de deux fichiers et affichage leurs différences find Recherche d'une chaîne de texte déterminée dans un ou plusieurs fichiers findstr Recherche de structures de texte dans des fichiers à l'aide d'expressions régulières md (mkdir) Création d'un répertoire ou sous-répertoire
Windows Server 2003 Practice
434
more Affichage un écran de sortie à la fois move Transfert d'un ou plusieurs fichiers d'un répertoire vers un autre rd (rmdir) Suppression d'un répertoire ren (rename) Modification du nom d'un fichier ou d'un groupe de fichiers replace Remplacement des fichiers du répertoire de destination par les fichiers du répertoire source portant le même nom tree Affichage graphique de l'arborescence des répertoires d'un chemin d'accès ou du disque placé dans un lecteur type Affichage du contenu d'un fichier texte where Recherche et affichage de tous les fichiers correspondant au paramètre donné (recherche effectuée dans le répertoire actif et dans la variable d'environnement PATH) xcopy Copie de fichiers et de répertoires, sous-répertoires compris
Commandes de gestion des partitions
chkdsk Création et affichage d'un rapport sur l'état d'un disque donné en fonction du système de fichiers chkntfs Affichage ou spécification de si la vérification automatique du système est programmée pour être exécutée sur un volume FAT, FAT32 ou NTFS au prochain démarrage de l'ordinateur compact Affichage et modification de la compression des fichiers ou des répertoires dans les partitions NTFS convert Convertion des volumes FAT et FAT32 en NTFS en conservant les fichiers et les dossiers existants intacts (conversion inverse impossible) defrag Localisation et regroupement des dossiers, des fichiers de données et des fichiers de démarrage fragmentés sur des volumes locaux diskpart Gestion des disques, partitions ou volumes (fonctionnement en interpréteur de commandes) format Formatage du disque du volume spécifié afin qu'il puisse recevoir des fichiers label Création, changement ou suppression du nom de volume d'un disque
Commandes de gestion des autorisations et de l'appropriation
cacls Affichage ou modification des listes DACL (Discretionary Access Control List) pour des fichiers spécifiés takeown Permet à un administrateur de s'autoriser l'accès à un fichier qui lui était précédemment refusé en s'en faisant le propriétaire
Windows Server 2003 Practice
435
La commande net
net accounts Mise à jour la base de données des comptes d'utilisateurs net computer Ajout ou suppression d'ordinateurs dans une base de données de domaine net file Affichage du noms de tous les fichiers partagés ouverts sur un serveur et, le cas échéant, du nombre de verrous sur chaque fichier. Fermeture des fichiers partagés individuels et suppression des verrous de fichier net group Ajout, affichage ou modification des groupes globaux dans des domaines net help Affichage de l'aide de la commande net net helpmsg Explication de la raison pour laquelle une erreur s'est produite et fourniture des informations pour la résolution du problème net localgroup Ajout, affichage ou modification des groupes locaux net print Affichage des informations sur une file d'attente d'impression ou une tâche d'impression spécifique, ou contrôle d'une tâche d'impression donnée net send Envoi de messages à d'autres utilisateurs, ordinateurs ou noms de messagerie sur le réseau net session Gestion des connexions à un serveur net share Gestion des ressources partagées net statistics Affichage du journal des statistiques des services "Station de travail" ou "Serveur" locaux ou bien des services en cours d'exécution pour lesquels des statistiques sont disponibles net time Synchronisation de l'horloge de l'ordinateur avec celle d'un autre ordinateur ou d'un domaine net use Connexion ou déconnexion d'un ordinateur à une ressource partagée, ou affichage des informations relatives aux connexions de l'ordinateur net user Ajout ou modification des comptes d'utilisateurs ou affichage des informations relatives aux comptes d'utilisateurs net view Affichage de la liste des domaines, des ordinateurs ou des ressources partagées par l'ordinateur spécifié
Les commandes at et schtasks
at Programmation de l'exécution de commandes et de programmes sur un ordinateur aux date et heure spécifiées (utilisation possible de la commande at si le service "Planning" est en cours d'exécution) schtasks Planification de l'exécution périodique ou à heure spécifique des commandes et des programmes Ajout et suppression des tâches de la planification
Windows Server 2003 Practice
436
Démarrage et interruption des tâches à la demande Affichage et de modification des tâches planifiées at : commande de planification des versions antérieures de Windows schtasks : remplacement de at et amélioration en particulier par la gestion des autorisations La commande sc Commandes de gestion des processus
runas Exécution des outils et des programmes avec des autorisations différentes de celles attribuées à l'ouverture de session shutdown Arrêt ou de redémarrage local ou à distance taskkill Suppression d'un ou plusieurs processus ou tâches tasklist Affichage de la liste des processus en cours d'exécution sur un ordinateur local ou distant
La commande ntbackup Sauvegarde de fichiers, répertoires, unités et systèmes Pas de restauration possible en ligne de commande La commande ntdsutil Outil de ligne de commande de gestion des domaines pour Active Directory:
maintenance de la base de données Active Directory, gestion et contrôle des opérations à maître unique, gestion et contrôle des SID, suppression des métadonnées provenant de contrôleurs de domaine ayant été supprimés du réseau sans procédure de désinstallation appropriée, ...
Utilisation réservée aux administrateurs expérimentés. La commande whoami Renvoi du nom de domaine, du nom d'ordinateur, du nom d'utilisateur, des noms de groupes, de l'identificateur d'ouverture de session et des privilèges de l'utilisateur actuellement connecté
437
Windows Server 2003 Practice
Résultat d'exécution de "whoami /all" Commandes de gestion du service d'annuaire
dsadd Ajout d'objets à l'annuaire dsget Affichage des propriétés des objets de l'annuaire dsmod Modification des attributs spécifiques d'un objet de l'annuaire dsquery Recherche d'objets dans l'annuaire correspondant à un critère de recherche dsmove Déplacement d'un objet de son emplacement actuel vers un nouvel emplacement parent dsrm Suppression d'un objet, de toute la sous-arborescence d'un objet de l'annuaire ou des deux
La commande systeminfo Affichage des informations relatives au système matériel et logiciel
Commandes TCP/IP
arp Affichage et modification des entrées du cache ARP (Address Resolution Protocol), qui contient une ou plusieurs tables permettant de stocker les adresses IP et leurs adresses physiques Ethernet ou Token Ring résolues
Windows Server 2003 Practice
438
finger Affichage d'informations sur un ou plusieurs utilisateurs sur un ordinateur distant spécifié (généralement un ordinateur sous UNIX) ftp Transfert de fichiers vers et depuis un ordinateur exécutant un service de serveur FTP (File Transfer Protocol) hostname Affichage du nom d'hôte inclus dans le nom complet de l'ordinateur ipconfig Affichage de toutes les valeurs actuelles de la configuration TCP/IP lpq Affichage de l'état d'une file d'attente d'impression sur un ordinateur exécutant LPD (Line Printer Daemon) lpr Envoi d'un fichier vers un ordinateur exécutant LPD (Line Printer Daemon) en vue de son impression nbtstat Affichage des statistiques du protocole NetBIOS sur TCP/IP (NetBT), des tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants ainsi que du cache de noms NetBIOS netstat Affichage des connexions TCP actives, des ports sur lesquels l'ordinateur procède à l'écoute, de la table de routage IP ainsi que des statistiques Ethernet, IPv4 (pour les protocoles IP, ICMP, TCP et UDP) et IPv6 (pour les protocoles IPv6, ICMPv6, TCP sur IPv6 et UDP sur IPv6) nslookup Réalisation de résolutions de noms et affichage d'informations permettant d'établir un diagnostic de l'infrastructure DNS (Domain Name System). ping Vérification de la connectivité de niveau IP avec un autre ordinateur TCP/IP par envoi de messages ICMP (Internet Control Message Protocol) de requête d'écho rcp Copie de fichiers depuis et vers un système exécutant rshd (service de shell distant) (pas d'implémentation de rshd sous les systèmes d'exploitation Windows) rexec Exécution de commandes sur un ordinateur distant non Windows fournissant le service (démon) Rexec route Affichage et modification des entrées dans la table de routage IP locale rsh Exécution de commandes sur des ordinateurs distants utilisant le service ou démon RSH tftp Transfert de fichiers depuis et vers un ordinateur distant (en général sous UNIX) exécutant le service ou le démon TFTP (Trivial File Transfer Protocol) tracert Détermination de l'itinéraire menant à une destination par la transmission de messages ICMP (Internet Control Message Protocol) ou ICMPv6 à la destination en augmentant de façon incrémentielle les valeurs des champs "Durée de vie" Affichage de la série d'interfaces de routeurs les plus proches des routeurs sur l'itinéraire situé entre un hôte source et une destination
439
Windows Server 2003 Practice
Fonctionnalités avancées RIS : Remote Installation Service RIS permet l'installation à distance de machines Windows 2003 Professionnel. C'est un moyen dédié à l'installation de parcs d'ordinateurs. DFS : Distributed File System DFS permet la construction d'un système de fichiers partagé lui-même constitué de répertoires partagés. EFS : Encrypted File System EFS propose l'encryptage à la volé des fichiers. Seuls les propriétaires auront accès au contenu du fichier. Celui-ci restera encrypté même après une copie. FRS : File Replication System FRS est le système de réplication de fichiers de Windows 2000 Server. Il permet de gérer automatiquement un répertoire répliqué sur plusieurs hôtes. TSS : Terminal Server Service TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur de terminal Windows (i.e. les postes clients exécutent un programme de connexion sur le serveur en mode terminal).
440
Windows Server 2003 Practice
Internet Information Server (IIS 6.0) Introduction IIS est un ensemble de services TCP/IP dédiés à l'Internet. Il comprend les services suivants:
Web, FTP, SMTP, NNTP,
et les outils d'administration associés. La version 6.0 de IIS est installée avec Windows 2003 Serveur (version 5.0 avec Windows 2000, version 4.0 avec Windows NT 4.0). Modification de Windows 2003 Server après l'installation de IIS 6.0
Création d'un répertoire \Inetpub dans lequel seront stockés dans différents répertoires (wwwroot pour le WEB, ftproot pour le FTP, mailroot pour le mail, ...) les fichiers des différents services gérés. Configuration des permissions sur ces répertoires. Création de deux comptes. Le compte IUSR_NomMachine est le compte qui sera utilisé pour désigner l'utilisateur anonymous et permettre la gestion des permissions pour ses accès. Installation de différents services et démarrage de ces services: o Service de publication World Wide Web: démon Web, o Service de publication FTP: démon FTP, o Simple Mail Transfer Protocol (SMTP): démon SMTP o Service d'administration IIS: Service nécessaire à l'administration de IIS y compris via le réseau, o ... Installation des outils d'administration de IIS et création des raccourcis correspondants dans les outils d'administration et au sein du gestionnaire d'ordinateur.
Configuration de IIS 6.0 L'administration de IIS 6.0 est réalisée via le Gestionnaire des services Internet, c'est à dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,
441
Windows Server 2003 Practice
Fenêtre du Gestionnaire des Services Internet
Menu contextuel du Gestionnaire des Services Internet
Menu contextuel associé à un serveur
Menu contextuel associé à la clé "sites FTP" d'un serveur
442
Windows Server 2003 Practice
Menu contextuel associé à la clé "sites Web" d'un serveur
Menu contextuel associé à un site FTP
Menu contextuel associé à un site Web doté des extensions Frontpage
443
Windows Server 2003 Practice
Les sites installés par défaut sont:
le site FTP par défaut si le service FTP est installé, le site WEB par défaut si le service Web est installé, le site WEB d'"Administration de Microsoft SharePoint" si les extensions Frontpage sont installées, le site WEB d'"Administration" si le site web d'administration à distance est installé.
D'autres sites pourront être installés.
Site FTP par défaut: Vide (ici arrêté)
Site Web par défaut: Site FrontPage (ici arrêté)
444
Windows Server 2003 Practice
Les services FTP Après sélection des propriétés d'un site FTP.
Attribution de l'adresse IP à laquelle sera associé le site FTP parmi toutes celles définies sur l'hôte et le port TCP sur lequel le site FTP est installé (port FTP standard: 21). Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai de déconnexion automatique en cas d'inactivité
445
Windows Server 2003 Practice
446
Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistrées (clients, fichiers téléchargés, quantités d'informations, ...) dans le journal de log du site FTP sous ..\WINDOWS\system32\LogFiles\MSFTPSVC1\exjjmmaa.log
Sessions en cours sur le site FTP et cloture éventuelle
Comptes de connexion anonyme et d'administration
447
Windows Server 2003 Practice
Messages de connexion et de déconnexion
448
Windows Server 2003 Practice
Répertoire de base: Soit un répertoire local, soit un répertoire réseau. Lecture seule ou lecture/écriture
449
Windows Server 2003 Practice
Sécurité d'accés implantée sur un répertoire en fonction de l'adresse ou d'une classe d'adresses Les services WEB
Attribution de l'adresse IP à laquelle sera associé le site Web parmi toutes celles définies sur l'hôteet le port TCP sur lequel le site Web est installé (port Web standard: 80). Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai de déconnexion automatique en cas d'inactivité
450
Windows Server 2003 Practice
451
Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation) et des informations enregistrées (clients, fichiers téléchargés, quantités d'informations, ...) dans le journal de log du site Web sous ..\WINDOWS\system32\LogFiles\W3SVC1\exjjmmaa.log
452
Windows Server 2003 Practice
Configuration avancée du site
Performances du site
453
Windows Server 2003 Practice
Filtres ISAPI
454
Windows Server 2003 Practice
455
Windows Server 2003 Practice
Répertoire de base: Soit un répertoire local, soit un répertoire réseau, soit une URL. Accès en lecture seule ou lecture/écriture. Journalisation et/ou indexation. Exploration
Documents de base lorsqu'aucun fichier explicite
456
Windows Server 2003 Practice
Messages d'erreur
Extensions serveur
457
Windows Server 2003 Practice
Paramètres de contrôle d'accès et types mime
Contrôle d'accès
458
Windows Server 2003 Practice
Les types MIME
459
Windows Server 2003 Practice
Sécurités d'accès au répertoire
460
Windows Server 2003 Practice
Filtrage IP sur des adresses, des classes d'adresse ou des noms de domaine
Authentification
461
Windows Server 2003 Practice
Extension du serveur BITS Création d'un nouveau site FTP Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même carte en possède plusieurs), soit par le port TCP sur lequel le site répond. Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre service sur le serveur.
462
Windows Server 2003 Practice
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site (parmi celles disponibles sur l'hôte) et du port TCP associé au site (Port FTP standard : 21)
463
Windows Server 2003 Practice
Chemin d'accès au répertoire local associé au site
Choix du mode d'isolation (ici, pas d'isolation, voir plus loin)
464
Windows Server 2003 Practice
Contrôle d'accès
Fin de la création L'isolation IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de l'ouverture d'une session FTP par un utilisateur. Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire, ses sous-répertoires réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.
Windows Server 2003 Practice
465
1. Répertoire de base: La racine du site. 2. Répertoire de base: Un répertoire particulier sous la racine du site. 3. Répertoire de base: Le répertoire de base tel que configuré dans Active Directory.
Création d'un site avec isolation des utilisateurs
466
Windows Server 2003 Practice
Oblibgation de créer l'arborescence de répertoires sur le shéma suivant:
"Répertoire de base"\LocalUser\Public pour les connexions anonymous "Répertoire de base"\UserDomain\UserName pour les connexions non anonymous
467
Windows Server 2003 Practice
Création d'un site avec isolation des utilisateurs en utilisant Active Directory
468
Windows Server 2003 Practice
Pour chaque utilisateur définition dans Active Directory des deux propriétés FTPRoot et FTPDir qui sont utilisées pour indiquer le répertoire de base de l'utilisateur. Deux instructions en ligne de commandes: iisftp /SetADProp Einstein FTPRoot I:\Utilisateurs\ iisftp /SetADProp Einstein FTPDir Einstein
469
Windows Server 2003 Practice
Dans les propriétés d'un tel site, disparition de l'onglet "Comptes de sécurité" car il n'y a plus de connexion anonyme et "Répertoire de base" car ces informations sont extraites de Active Directory Création d'un site sur une autre adresse IP
470
Windows Server 2003 Practice
Résultat des créations Connection sur ces sites au moyen de Internet Explorer
Connection au site par défaut
471
Windows Server 2003 Practice
Connection au site sur le port 2121
Anonymous
472
Windows Server 2003 Practice
Authentifié Connections anonymous et authentifiée au site sur le port 2122
Connection authentifiée au site sur le port 2123
473
Windows Server 2003 Practice
Connection au site sur l'adresse 172.20.129.116 (achille) Création d'un répertoire virtuel FTP Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur FTP au sein de l'arborescence des répertoires du site FTP. Le repertoire virtuel ne correspond pas à un répertoire existant physiquement à cette endroit dans l'arborescence de répertoires du répertoire de base du site et n'apparaitra pas dans un client FTP. Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire partagé d'un autre ordinateur.
Nom du répertoire virtuel sur le site FTP
474
Windows Server 2003 Practice
Répertoire local correspondant
475
Windows Server 2003 Practice
Contrôle d'accès
Création d'un répertoire virtuel (alias) FTP
Résultat dans le Gestionnaire des Services Internet
476
Windows Server 2003 Practice
Propriétés d'un répertoire virtuel FTP (noter la possibilité de configurer des restrictions d'accès spécifiques)
477
Windows Server 2003 Practice
Résultat dans Internet Explorer
Création d'un répertoire physique vide portant le même nom que le répertoire virtuel à la même place pour rendre visible son existence dans un client FTP (Le démon FTP bascule sur le répertoire virtuel et pas sur le répertoire vide)
478
Windows Server 2003 Practice
Création d'un nouveau site WEB Plusieurs sites WEB peuvent être ébergés sur le même serveur FTP. La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou qu'une carte possède plusieurs adresses IP), soit par le nom d'entête utilisé par le client WEB, soit par le port TCP sur lequel le site répond. Le port standard du WEB est le port 80. C'est celui qui est utilisé implicitement si aucun port n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre service sur le serveur.
479
Windows Server 2003 Practice
Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site (parmi celles disponibles sur l'hôte) du port TCP associé au site (Port Web standard : 80 déjà utilisé pour le site par défaut, choix du port 8080) et du nom d'entête auquel répondra le site
Chemin d'accès au répertoire local associé au site
Windows Server 2003 Practice
480
Contrôle d'accès
Fin de la création
Résultat de la création
481
Windows Server 2003 Practice
Propriétés avancées du site Web créé
Message d'erreur en cas d'accès depuis Internet Explorer car l'exploration de répertoire est interdite et il n'y a pas de fichier par défaut à la racine
482
Windows Server 2003 Practice
Configuration de l'autorisation d'exploration
Résultat dans Internet Explorer
483
Windows Server 2003 Practice
Résultat dans Internet Explorer avec un fichier nommé Default.htm à la racine du répertoire de base Création de plusieurs serveurs Web virtuels sur un même serveur Création d'un site sur une adresse IP
484
Windows Server 2003 Practice
Création d'un site associé à un nom d'entête
485
Windows Server 2003 Practice
486
Windows Server 2003 Practice
Configuration complémentaire dans les propriétés avancées d'identification du site
Résultat dans le gestionnaire IIS
Site par défaut
487
Windows Server 2003 Practice
Site sur le port 8080
Site sur l'adresse 172.20.129.116 (achille dans le DNS)
Site sur l'entête diogene ou diogene.w2k3.univ-fcomte.fr (nom référencé dans le DNS) Résultats dans Internet Explorer réation d'un répertoire virtuel Web Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur WEB au sein de l'arborescence des répertoires physiques existant dans le répertoire de base. Cet "alias" peut correspondre à un répertoire de la machine locale, à un répertoire partagé sur un autre ordinateur ou une redirection vers un autre site WEB.
488
Windows Server 2003 Practice
Nom du répertoire virtuel sur le site Web
489
Windows Server 2003 Practice
Répertoire local correspondant
Contrôle d'accès
490
Windows Server 2003 Practice
Création d'un répertoire virtuel (alias) Web
Résultat dans le Gestionnaire des Services Internet
Résultat dans Internet Explorer avec un fichier Default.htm
491
Windows Server 2003 Practice
Les types MIME Sauvegarde d'un serveur
Gestion de plusieurs sauvegardes
492
Windows Server 2003 Practice
Warning de restauration Redémarrage d'un serveur
Demande de redémarrage
Redémarrage en cours
493
Windows Server 2003 Practice
Sponsor Documents
Recommended
No recommend documents