Windows Server 2003 Et Windows Server 2008

Published on May 2016 | Categories: Documents | Downloads: 107 | Comments: 0 | Views: 2329
of x
Download PDF   Embed   Report

Comments

Content

Copyright

© 2007

Micro Application 20-22, rue des Petits-Hôtels 75010 Paris

1ère Édition - Novembre 2007

Auteurs

Jean-Georges SAURY et Sylvain CAICOYA Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de MICRO APPLICATION est illicite (article L122-4 du code de la propriété intellectuelle). Cette représentation ou reproduction illicite, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles L335-2 et suivants du code de la propriété intellectuelle. Le code de la propriété intellectuelle n’autorise aux termes de l’article L122-5 que les reproductions strictement destinées à l’usage privé et non destinées à l’utilisation collective d’une part, et d’autre part, que les analyses et courtes citations dans un but d’exemple et d’illustration.

Avertissement aux utilisateurs

Les informations contenues dans cet ouvrage sont données à titre indicatif et n’ont aucun caractère exhaustif voire certain. A titre d’exemple non limitatif, cet ouvrage peut vous proposer une ou plusieurs adresses de sites Web qui ne seront plus d’actualité ou dont le contenu aura changé au moment où vous en prendrez connaissance. Aussi, ces informations ne sauraient engager la responsabilité de l’Editeur. La société MICRO APPLICATION ne pourra être tenue responsable de toute omission, erreur ou lacune qui aurait pu se glisser dans ce produit ainsi que des conséquences, quelles qu’elles soient, qui résulteraient des informations et indications fournies ainsi que de leur utilisation. ISBN : 978-2-7429-8448-0 Tous les produits cités dans cet ouvrage sont protégés, et les marques déposées par leurs titulaires de droits respectifs. Cet ouvrage n’est ni édité, ni produit par le(s) propriétaire(s) de(s) programme(s) sur le(s)quel(s) il porte. Couverture réalisée par Com’Back

MICRO APPLICATION 20-22, rue des Petits-Hôtels 75010 PARIS Tél. : 01 53 34 20 20 - Fax : 01 53 34 20 00 http://www.microapp.com

Support technique disponible sur www.microapp.com

Mister O’net, l’homme à la référence, vous montre le chemin !
Rendez-vous sur le site Internet de Micro Application www.microapp.com. Dans le module de recherche, sur la page d’accueil du site, retrouvez Mister O’net. Dans la zone de saisie, entrez la référence à 4 chiffres qu’il vous indique sur le présent livre. Vous accédez directement à la fiche produit de ce livre.

9448

Avant-propos
La collection Bible Micro Application a été conçue pour permettre aux utilisateurs avancés à experts d’approfondir leurs connaissances d’un thème précis. Exhaustifs, ces ouvrages permettent d’acquérir une connaissance intégrale du sujet étudié, à la fois en théorie et en pratique.

Conventions typographiques
Afin de faciliter la compréhension des techniques décrites, nous avons adopté les conventions typographiques suivantes :
j j j

gras : menu, commande, boîte de dialogue, bouton, onglet. italique : zone de texte, liste déroulante, case à cocher, bouton radio.
Police bâton : instruction, listing, texte à saisir.

✂ : indique un retour à la ligne dû aux contraintes de la mise en page. Au cours de votre lecture, vous rencontrerez les encadrés suivants :

Propose des trucs pratiques.

Met l’accent sur un point important qu’il ne faut négliger à aucun prix.

Vous recommande une technique ou une marche à suivre.

Vous indique le nom et l’emplacement des fichiers à télécharger.

Renvoi à un site où vous trouverez des infos complémentaires ou des outils à télécharger.

Il s’agit d’informations supplémentaires relatives au sujet traité.

Fait référence à un chapitre où vous trouverez des informations complémentaires.

Contenu en un clin d’œil
Partie A
Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12

Installation, déploiement et généralités
Étude de cas État des lieux de Windows Server en entreprise Windows Server 2003 Service Pack 2 et R2 L’installation et le déploiement de Windows Server 2003 L’installation de Windows Vista Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 Les services de déploiement Windows L’intégration de Windows Vista dans l’infrastructure Windows PowerShell La maintenance des serveurs Windows Server 2008

27
29 55 87 105 135 185 247 301 351 399 429 477

Partie B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17

Active Directory
Introduction à LDAP et Active Directory La planification d’un projet Active Directory La conception de l’infrastructure logique Active Directory La conception de la topologie de sites La conception et l’implémentation de la structure des unités d’organisation

509
511 535 545 563 593

Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22

L’implémentation des serveurs d’infrastructure Active Directory Les fonctions et les rôles dans Active Directory La maintenance d’Active Directory La sécurisation d’Active Directory Active Directory Application Mode et Active Directory Federation Services

613 661 695 715 733

Partie C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26

Sécurité
Introduction à la sécurité La conception de la sécurité des serveurs Évaluation de la sécurité La sécurisation des postes de travail

765
767 789 805 823

Partie D
Chapitre 27 Chapitre 28 Chapitre 29

Annexes
Annexe I - Liste alphabétique des commandes Annexe II - Les services et les ports réseau sous Windows Server 2003 Annexe III - Glossaire

859
861 927 967

Sommaire
Partie A Installation, déploiement et généralités 27

Chapitre 1 Étude de cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Le contexte : présentation de la société . . . . . . . . . . . . . . . . . . . . . . . . . 31
L’activité de la société . . . . . . . . . . . . . . . . . La situation géographique . . . . . . . . . . . . . . L’infrastructure informatique . . . . . . . . . . . . Le détail des sites . . . . . . . . . . . . . . . . . . . . Les dysfonctionnements de la situation actuelle Les enjeux de la direction . . . . . . . . . . . . . . Les sociétés partenaires . . . . . . . . . . . . . . . . La communication entre les sociétés . . . . . . . . Résumé du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 31 32 34 37 39 39 41 42

Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Réduire les coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Intégrer les trois sociétés dans une nouvelle organisation . . . . . . . . . . 43 Sécuriser l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

La mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Comment réduire les coûts à plusieurs niveaux ? . . . . . . . . . . . . . . . . 45 Comment créer une organisation unique et intégrer les deux sociétés partenaires ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Comment sécuriser l’infrastructure ? . . . . . . . . . . . . . . . . . . . . . . . . 52

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Chapitre 2 État des lieux de Windows Server en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Les différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Standard Edition . Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition Windows Server 2003 Web Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 58 58 58

Sommaire

Comparaison des caractéristiques des différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ? . . 62
Les nouveaux outils et les anciennes tâches . . . . . . . . . . . . . . . . . . . . 62 Les dossiers et les utilitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Le Panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . 65
Les améliorations apportées à Active Directory . . . . . Les améliorations du côté de TCP/IP . . . . . . . . . . . . Les changements mineurs . . . . . . . . . . . . . . . . . . Les petits plus de la version 2003 et les Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 68 68 69

Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . 71
Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 73

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Chapitre 3 Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Les mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scalable Networking Pack (SNP) . . . . . . . . . . . . . . . . . . . . . . La bibliothèque XmlLite . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de déploiement Windows WDS (Windows Deployment Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Management Console 3.0 (MMC 3.0) . . . . . . . . . . . . Wireless Protected Access 2 (WPA2) . . . . . . . . . . . . . . . . . . . . La version améliorée de l’outil CACLS . . . . . . . . . . . . . . . . . . . Les fonctions existantes améliorées . . . . . . . . . . . . . . . . . . . . . . . . . 91 . . . . . 91 . . . . . 93 . . . . . . . . . . . . . . . . . . . . . . . . . 94 96 96 97 98

Qu’apporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . 99
Une gestion simplifiée des serveurs dans les agences et les succursales . . 99 La gestion améliorée des identités et des accès . . . . . . . . . . . . . . . . . 100 Les coûts de gestion du stockage réduits . . . . . . . . . . . . . . . . . . . . . 101 Une plateforme web enrichie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Une virtualisation de serveur à moindre coût . . . . . . . . . . . . . . . . . . 102

Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . 102
La version majeure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Sommaire

La version mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Les Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Chapitre 4 L’installation et le déploiement de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 105 Considérations sur l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Les prérequis . . . . . . . . . . . . . . . . . . Vérifier la compatibilité du système . . . Nouvelle installation ou mise à niveau ? Le double amorçage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 108 109 110

Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
L’installation manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 L’installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . . . . 133 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Chapitre 5 L’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Que faire ? Avec quelle version . . . . . . . Windows Vista Starter Edition . . . . . . . . Windows Vista Édition Familiale Basique . Windows Vista Édition Familiale Premium Windows Vista Professionnel . . . . . . . . Windows Vista Entreprise . . . . . . . . . . . Windows Vista Édition Intégrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 138 139 139 140 141 141

Valider la configuration matérielle minimale recommandée . . . . . . . . . . . 142
Vista Édition Familiale Basique . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Vista Édition Familiale Premium, Professionnel, Entreprise et Intégrale . 142

Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . 143
L’activation et la licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Transférer les fichiers et les paramètres via le réseau . . . . . . . . . . . . . 152 Transférer les fichiers et les paramètres à l’aide d’un support amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Transférer les fichiers et les paramètres: à l’aide d’un CD ou d’un DVD . 165

Sommaire

Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 167
Choisir une version de mise à jour . . . . . . . . . . . . . Vérifier la compatibilité matérielle . . . . . . . . . . . . . Installer le Framework .NET . . . . . . . . . . . . . . . . . Installer MSXML . . . . . . . . . . . . . . . . . . . . . . . . . Installer le Conseiller de mise à niveau Windows Vista Utiliser le Conseiller de mise à niveau Windows Vista . Sauvegarder les données importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 169 169 170 170 173 179

Mettre à jour le système d’exploitation vers Windows Vista . . . . . . . . . . . . 181 Dépanner la mise à niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . 182 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 . . . . . . . . . . . . 185 Le processus d’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . 187
Introduction à l’installation de Windows Vista . . . . . . . . . . . . . . . Les méthodes d’exécution du programme d’installation Windows . . . Les passes de configuration du programme d’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les méthodes conseillées pour l’installation de Windows Vista . . . . . . 187 . . 193 . . 201 . . 206

L’Assistant Gestion d’installation . . . . . . . . . . . L’architecture de l’Assistant Gestion d’installation L’interface graphique . . . . . . . . . . . . . . . . . Créer un fichier de réponses . . . . . . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .
. . . . . . . . . . . .

208 208 211 212
214 215 218 219 221 223 224 226 227 227 229 232

Le fichier autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . . . . Le fichier Corp_autounattend_sample . . . . . . . . . . . . . . . . . . . . . . Attribuer des fichiers Unattend à des images . . . . . . . . . . . . . . . . . . Quelques points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . Présentation des partages de distribution et des jeux de configuration Introduction à Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . Implémenter Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . Les options d’extinction . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . Réinitialiser l’activation de Windows Vista . . . . . . . . . . . . . Utiliser des fichiers de réponses en conjonction avec Sysprep Les fichiers journaux de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Sommaire

Les limitations de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Introduction à WIN PE . . . . . . . . . . . Les versions de Windows PE . . . . . . . Win PE 2.0 . . . . . . . . . . . . . . . . . . L’utilisation de Win PE . . . . . . . . . . . Les limitations de Win PE . . . . . . . . . Les outils . . . . . . . . . . . . . . . . . . . Personnaliser un Win PE non préparé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 234 235 240 240 241 241

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 . . . . . . . . . . . . 247 Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Présentation d’ImageX . L’architecture d’ImageX La commande ImageX . Capturer une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 252 254 263

Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
La commande Imagex /apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

Personnaliser l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Le fichier Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Le fonctionnement d’Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Implémenter Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

La maintenance de l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Ajouter une image dans une image . . . . . . . . . . . . . . . . . . . . . . . Le Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . . . . La commande Pkgmgr.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ajouter des pilotes à une image de Windows hors connexion . . . . . . Activer ou désactiver les fonctionnalités Windows lorsque le système d’exploitation est hors connexion . . . . . . . . . . . . . . . . . . . . . . . Installer ou supprimer des packages hors connexion à l’aide du Gestionnaire de package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installer un pack de langues dans une image hors connexion . . . . . . Les limitations du Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . 284 285 287 289

. . 293 . . 295 . . 296 . . 298

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

Sommaire

Chapitre 8 Les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . Le fonctionnement des services de déploiement Windows . . . . . . . Installer les services de déploiement Windows . . . . . . . . . . . . . . Les modes de fonctionnement des services de déploiement Windows

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

301 303 305 309

Le mode hérité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode mixte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode natif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Configurer les services de déploiement Windows . . . . . . . . . . . . . . . . . . 310 Configurer DHCP pour les services de déploiement Windows . . . . . . . . . . . 312
L’option DHCP 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Le port 67 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Ajouter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Exporter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . 318 Supprimer une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . 319

Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Créer des groupes d’images . . . . . Ajouter une image d’installation . . Supprimer une image d’installation Exporter une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 322 323 325 326 326 328 329 331

La stratégie de noms de clients et l’emplacement de compte . . . . . . . . . . . 326
L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation . Spécifier la stratégie de noms de clients et l’unité d’organisation lors de l’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation . . . . Définir la stratégie de noms d’ordinateurs . . . . . . . . . . . . . . . . . . . . Effectuer toutes les actions d’ajout à un domaine lors du premier démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . . . . . . . 332 WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Configurer l’option 60 en ligne de commandes . . . . . . . . . Configurer le port 67 en ligne de commandes . . . . . . . . . . Ajouter une image de démarrage en ligne de commandes . . Supprimer une image de démarrage en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 336 336 337

Sommaire

Obtenir des informations sur le serveur de déploiement en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Démarrer le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . 346 Arrêter le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . . . 347

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Chapitre 9 L’intégration de Windows Vista dans l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . 351 L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . 353
Changer rapidement d’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . 362
Les fichiers ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Les stratégies de groupe locales multiples . . . . . . . . . . . . . . . . . . . . 379

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Gérer les réseaux filaires IEEE 802.3 . . . . . . . . . . . . . . . . . . . . . . . 383 Gérer les réseaux sans fil IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . 387 Gérer Bitlocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Chapitre 10 Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . Présentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Exécuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 401 402 403 404 410

Les pipelines d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

L’interaction et les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
La stratégie d’exécution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

Utiliser Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
L’importance de l’aide . . . . . . . . . . . . . Utiliser des applets de commande . . . . . Mettre en forme la sortie des commandes Utiliser des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 418 419 420

Naviguer dans Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Naviguer dans le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 424

Sommaire

Naviguer dans le Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Naviguer dans le magasin de certificats . . . . . . . . . . . . . . . . . . . . . . 426

PowerShell et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Chapitre 11 La maintenance des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . 431
Utiliser les appartenances de groupe pour administrer un serveur La commande Exécuter en tant que . . . . . . . . . . . . . . . . . . . . . L’outil Gestion de l’ordinateur . . . . . . . . . . . . . . . . . . . . . . . . Le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pourquoi analyser les performances ? . . . . . . . . . . . . . . Établir une ligne de base . . . . . . . . . . . . . . . . . . . . . . . Choisir entre analyse programmée et analyse en temps réel Les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les compteurs de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 433 439 443 451 452 453 462 468 471

Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . 451

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Chapitre 12 Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 Les prérequis à l’installation de Windows Server 2008 . . . . . . . . . . . . . . . 479 Qu’est-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . 480
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 481

Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Les services par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Les tâches de configuration initiales . . . . . . . . . . . . . . . . . . . . . . . . 489 La console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . 490 Les assistants Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492

Les rôles et les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493 Les améliorations liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Les fonctionnalités de sécurité avancée du pare-feu Windows . . . . . . . 501 La protection : NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Le chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 504

Sommaire

Enterprise PKI . . . . . . . . . . . . . . . . . . . . . . . La cryptographie nouvelle génération (CNG) . . . RODC (contrôleurs de domaine en lecture seule) L’isolement de serveur et de domaine . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

504 505 505 506

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507

Partie B

Active Directory

509

Chapitre 13 Introduction à LDAP et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 Généralités sur l’annuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Qu’est-ce qu’un annuaire ? . . . . . . . . . . . . Un peu d’histoire sur le protocole . . . . . . . LDAP version 2 et version 3 . . . . . . . . . . . Le standard LDAP v3 . . . . . . . . . . . . . . . . La conformité LDAP de Windows Server 2003 La compatibilité LDAP et InetOrgPerson . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 514 515 516 519 521 523 524 528 529

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Les avantages d’Active Directory . . . . . . . . . . . . . . . . . . La structure logique d’Active Directory . . . . . . . . . . . . . Le partitionnement de la base de données Active Directory La structure physique d’Active Directory . . . . . . . . . . . .

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 Chapitre 14 La planification d’un projet Active Directory . . . . . . . . . . . . . . . . . Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de conception d’Active Directory . . . . . . . . Le processus de planification d’un projet Active Directory . Les définitions communes dans un projet Active Directory .
Définition du service d’annuaire . . . . . . . . . . . . . . Définition du schéma . . . . . . . . . . . . . . . . . . . . . . Définition du catalogue global . . . . . . . . . . . . . . . . Définition d’un nom unique et d’un nom unique relatif

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

. . . . .
. . . .

535 537 538 539 541
541 542 543 544

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544

Sommaire

Chapitre 15 La conception de l’infrastructure logique Active Directory . . . . . . . . . . . . . . . . . . . . 545 Du projet d’entreprise à la conception d’Active Directory . . . . . . . . . . . . . 547 Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Le modèle de forêt basé sur l’organisation . . . . . . . . . . . . . . . . . . . . 548 Le modèle de forêt basé sur les ressources . . . . . . . . . . . . . . . . . . . . 549 Le modèle de forêt à accès restreint . . . . . . . . . . . . . . . . . . . . . . . . 550

Principe de conception des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 Les modèles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Le modèle de domaine unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552 Le modèle de domaine régional . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 Le modèle de domaine basé sur les entités de l’entreprise . . . . . . . . . . 554

Choisir le domaine racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Le domaine racine d’une forêt dans un modèle de domaine unique . Le domaine racine d’une forêt dans un modèle de domaine régional ou basé sur les entités de l’entreprise . . . . . . . . . . . . . . . . . . . . Les avantages du domaine racine vide . . . . . . . . . . . . . . . . . . . . Les avantages d’un domaine régional ou d’entité en tant que racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 . . . 557 . . . 559 . . . 559

Conception de domaine et sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 559 Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 560 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 Chapitre 16 La conception de la topologie de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563 Les mécanismes de conception : définitions . . . . . . . . . . . . . . . . . . . . . 565
Les fonctionnalités liées aux sites . . . . . . . . . . . . . . . . . . . . . . . . . 566 Les concepts de réplication d’Active Directory . . . . . . . . . . . . . . . . . . 569

Collecter les informations sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . 580 Prévoir l’emplacement des contrôleurs de domaine . . . . . . . . . . . . . . . . 581
Prévoir l’emplacement des contrôleurs de domaine racine de la forêt Prévoir l’emplacement des contrôleurs de domaine régionaux . . . . . Prévoir l’emplacement des serveurs de catalogue global . . . . . . . . . Déterminer l’emplacement des rôles maîtres d’opération . . . . . . . . . . . . . . . . 582 582 584 585

Concevoir des sites . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . Concevoir les ponts de liaison de sites En résumé . . . . . . . . . . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

587 588 590 591

Sommaire

Chapitre 17 La conception et l’implémentation de la structure des unités d’organisation . . . . . . . . . 593 Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
La collecte des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 Les modèles administratifs informatiques . . . . . . . . . . . . . . . . . . . . 597

Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modèle basé sur l’emplacement . . . . . . . . . . . . . . . . . . . . . . Le modèle basé sur l’organisation . . . . . . . . . . . . . . . . . . . . . . Le modèle basé sur la fonction . . . . . . . . . . . . . . . . . . . . . . . . Le modèle hybride basé sur l’emplacement, puis sur l’organisation Le modèle hybride basé sur l’organisation, puis sur l’emplacement Les outils de création . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les outils de service d’annuaire . . . . . . . . . . . . . . . . . . . . . . . L’outil Ldifde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L’outil de scripts Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 599 599 600 601

Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . . 601
. . . . 601 . . . . . . . . . . . . . . . . 602 603 609 610

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611 Chapitre 18 L’implémentation des serveurs d’infrastructure Active Directory . . . . . . . . . . . . . . . . 613 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Déterminer les contraintes matérielles pour les contrôleurs de domaine . 616 Les conditions requises pour l’installation d’Active Directory . . . . . . . 618

Déployer le domaine racine de la forêt puzzmania.com . . . . . . . . . . . . . . 619
Le processus d’installation d’Active Directory . . . . . . . . . . . . . . Installer le premier contrôleur de domaine . . . . . . . . . . . . . . . L’installation détaillée d’Active Directory . . . . . . . . . . . . . . . . . Vérifier le premier contrôleur de domaine . . . . . . . . . . . . . . . . Configurer le serveur de temps . . . . . . . . . . . . . . . . . . . . . . . Vérifier la résolution de noms récursive sur le premier contrôleur de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 622 623 630 637

. . . . 640

Après l’installation du premier contrôleur de domaine . . . . . . . . . . . . . . . 641
Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . 642 Modifier le nom d’un contrôleur de domaine . . . . . . . . . . . . . . . . . . 645 Supprimer un contrôleur de domaine dans Active Directory . . . . . . . . 646

Sommaire

Déployer le deuxième contrôleur de domaine sur le même site . . . . . . . . . 649
Installer un contrôleur de domaine via le réseau . . . . . . . . . . . . . . Installer un contrôleur de domaine à partir d’un fichier de réponses . Vérifier le deuxième contrôleur de domaine . . . . . . . . . . . . . . . . . Reconfigurer le service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer le vieillissement et le nettoyage pour le DNS . . . . . . . . . . . . . . . . . . . . . . 649 651 651 652 653

Déployer les domaines enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658 Chapitre 19 Les fonctions et les rôles dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 661 Configurer les rôles maîtres d’opération . . . . . . . . . . . . . . . . . . . . . . . . 663
Les rôles maîtres au niveau de la forêt . . . . . . . . . . . . . . . . . . . . . . 663 Les rôles maîtres au niveau du domaine . . . . . . . . . . . . . . . . . . . . . 664 Le transfert des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667

Configurer le catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674 Élever les niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681 Les relations d’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Les différentes approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 Le fonctionnement des approbations . . . . . . . . . . . . . . . . . . . . . . . 688

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 Chapitre 20 La maintenance d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695 Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Choisir une restauration non autoritaire . . . . . . . . . . . . . . . . . . . . . 701 Choisir une restauration autoritaire . . . . . . . . . . . . . . . . . . . . . . . . 703

Défragmenter et déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . 704
Défragmenter Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704 Déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705

Prendre les rôles maîtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Prendre le rôle maître de schéma . . . . . . . . . . . . . . . . Prendre le rôle maître d’attribution de noms de domaine Prendre le rôle maître des ID relatifs . . . . . . . . . . . . . Prendre le rôle maître d’émulateur PDC . . . . . . . . . . . Prendre le rôle maître d’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707 708 709 710 711

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712

Sommaire

Chapitre 21 La sécurisation d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . L’importance de la sécurité Active Directory . . . . . . . . . . . . Identifier les types de menaces pour la sécurité Active Directory Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . Sélectionner une structure Active Directory sécurisée . . . . . . Sécuriser les comptes d’administration des services . . . . . . . Limiter l’exposition des comptes d’administration des services . Sécuriser les méthodes d’administration des données . . . . . . Protéger les serveurs DNS et les données DNS . . . . . . . . . . . Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

715 717 717 719 720 720 721 723 728 731 732

Chapitre 22 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . 733 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . 735
Les principes d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implémenter ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La maintenance d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchroniser les données entre Active Directory et une instance ADAM Les principales fonctionnalités d’ADFS . L’extension d’Active Directory à Internet Les rôles des serveurs ADFS . . . . . . . . Configuration requise pour ADFS . . . . . Implémenter des composants ADFS . . . La terminologie ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735 740 750 752 754 755 755 757 760 762

Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . 754

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764

Partie C

Sécurité

765

Chapitre 23 Introduction à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767 Qu’est ce que la défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . 769 La couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
Corruption possible de la couche physique . . . . . . . . . . . . . . . . . . . 771

Sommaire

Défense de la couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

La couche Périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Corruption possible de la couche Périmètre . . . . . . . . . . . . . . . . . . . 774 Défense de la couche Périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

La couche réseau interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
Corruption possible de la couche réseau . . . . . . . . . . . . . . . . . . . . . 776 Défense de la couche réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

La couche hôte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
Corruption possible de la couche hôte . . . . . . . . . . . . . . . . . . . . . . 779 Défense de la couche hôte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779

La couche application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
Corruption possible de la couche application . . . . . . . . . . . . . . . . . . 781 Défense de la couche application . . . . . . . . . . . . . . . . . . . . . . . . . . 781

La couche Données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
Corruption possible de la couche Données . . . . . . . . . . . . . . . . . . . 783 Défense de la couche Données . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783

Les notions fondamentales liées à la sécurité . . . . . . . . . . . . . . . . . . . . . 784 Les dix commandements de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . 786 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787 Chapitre 24 La conception de la sécurité des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789 Les problématiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Les serveurs assurant plusieurs rôles. . . . . . . . . . . . . . . Des ressources limitées pour la mise en œuvre de solutions de sécurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La menace interne ou accidentelle . . . . . . . . . . . . . . . . . Le manque de compétences en matière de sécurité . . . . . . Les possibilités d’accès physique . . . . . . . . . . . . . . . . . . Les conséquences juridiques . . . . . . . . . . . . . . . . . . . . . L’utilisation de systèmes anciens . . . . . . . . . . . . . . . . . . . . . . . . . . 791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 791 791 792 792 792

Les concessions en matière de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 792
Sécurité et facilité d’emploi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792 Un faible coût . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793

La sécurité de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Sécuriser les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793 Quelques recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794

Sommaire

La sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Planifier la sécurité . . . . . . . . . . . . . . . Établir des frontières de sécurité . . . . . . Renforcer la stratégie de domaine . . . . . Établir une hiérarchie basée sur les rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 797 798 798

Protéger les serveurs membres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
Le modèle de sécurité Member Server Baseline . . . . . . . . . . . . . . . . . 799

Protéger les serveurs pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . 800
Renforcer la protection des serveurs d’infrastructure . . . . . . . . . Renforcer la protection des serveurs de fichiers . . . . . . . . . . . . . Renforcer la protection des serveurs d’impression . . . . . . . . . . . Renforcer la protection des serveurs IIS . . . . . . . . . . . . . . . . . . Les méthodes conseillées pour renforcer la protection des serveurs pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800 801 801 801

. . . 803

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803 Chapitre 25 Évaluation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . Pourquoi réaliser des évaluations de la sécurité ? Planification de l’évaluation de sécurité . . . . . . Le concept de défense en profondeur . . . . . . . Définition du cadre de l’évaluation de sécurité . . Les objectifs de l’évaluation de sécurité . . . . . . Les types d’évaluations de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805 807 808 810 811 812 813

L’analyse des vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814 Le test de pénétration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815

L’audit de sécurité informatique . . . . . . . . . . Publier les résultats de l’évaluation de sécurité . Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

816 818 818 821

Chapitre 26 La sécurisation des postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823 Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . 825 La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Windows Defender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826

Sommaire

Le Centre de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832 Le pare-feu personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835 Le contrôle des comptes utilisateurs (UAC) . . . . . . . . . . . . . . . . . . . 846

L’antivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
Déploiement des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . 848 Mise à jour des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . . 849

Implémenter la sécurité des postes de travail à l’aide d’Active Directory . . . . 849
Utiliser des modèles de sécurité pour sécuriser les postes de travail . Utiliser des modèles d’administration . . . . . . . . . . . . . . . . . . . . . Vue d’ensemble des paramètres de sécurité des stratégies de groupe Configuration recommandée des options de sécurité pour les postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Appliquer les modèles de sécurité et les modèles d’administration . . Les méthodes conseillées pour sécuriser les postes de travail à l’aide d’une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850 . . 851 . . 852 . . 853 . . 855 . . 856

En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857

Partie D

Annexes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

859
861 863 866 867 877 885 886 890 893 895 896 906 913 916 922

Chapitre 27 Annexe I - Liste alphabétique des commandes . A ..................... B ..................... C ..................... D ..................... E ..................... F ..................... G ..................... L ..................... M..................... N ..................... P ..................... R ..................... S ..................... T .....................

Sommaire

Chapitre 28 Annexe II - Les services et les ports réseau sous Windows Server 2003 . . . . . . . . . . . . 927 Les ports des services système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Active Directory (autorité de sécurité locale) . . . . . . . . . . . . . Le service de la passerelle de la couche Application . . . . . . . . . Le service d’état ASP.NET . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L’Explorateur d’ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Système de fichiers distribués (DFS) . . . . . . . . . . . . . . . . . Le Serveur de suivi de lien distribué . . . . . . . . . . . . . . . . . . . Le Coordinateur de transactions distribuées . . . . . . . . . . . . . Le Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Journal des événements . . . . . . . . . . . . . . . . . . . . . . . . . Les clients Microsoft Exchange Server et Outlook . . . . . . . . . . Le service de télécopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . La réplication de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur de fichiers pour Macintosh . . . . . . . . . . . . . . . . . . Le service de publication FTP . . . . . . . . . . . . . . . . . . . . . . . HTTP SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service d’authentification Internet . . . . . . . . . . . . . . . . . . Le service Pare-feu de connexion Internet/Partage de connexion Internet (ICF/ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Centre de distribution de clés Kerberos . . . . . . . . . . . . . . . L’enregistrement de licences . . . . . . . . . . . . . . . . . . . . . . . . Le service Message Queuing (MSMQ) . . . . . . . . . . . . . . . . . . L’Affichage des messages . . . . . . . . . . . . . . . . . . . . . . . . . . Les piles MTA Microsoft Exchange . . . . . . . . . . . . . . . . . . . . Le Gestionnaire des opérations Microsoft 2000 . . . . . . . . . . . Le service POP3 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQLSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQL$UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . L’Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . Le Partage de Bureau à distance NetMeeting . . . . . . . . . . . . . . Network News Transfer Protocol (NNTP) . . . . . . . . . . . . . . . . Le service Journaux et alertes de performance . . . . . . . . . . . . Le Spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 930 931 931 931 932 932 933 933 934 934 934 935 936 937 937 937 938 938 939 939 940 940 941 941 941 942 942 943 943 943 944 944 944

Sommaire

L’Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . L’Appel de procédure distante (RPC) . . . . . . . . . . . . . . . . . . . Le Localisateur d’appels de procédure distante (RPC) . . . . . . . . La Notification de stockage étendu . . . . . . . . . . . . . . . . . . . . . Le Serveur de stockage étendu . . . . . . . . . . . . . . . . . . . . . . . . Le Routage et accès distant . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service SharePoint Portal Server . . . . . . . . . . . . . . . . . . . . Le service Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . Les services TCP/IP simples . . . . . . . . . . . . . . . . . . . . . . . . . L’Agent de contrôle à distance SMS . . . . . . . . . . . . . . . . . . . . . Le service SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service d’interruption SNMP . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Analysis Server . . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Server : prise en charge des clients OLAP de niveau inférieur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de découvertes SSDP . . . . . . . . . . . . . . . . . . . . . . . Microsoft Systems Management Server 2.0 . . . . . . . . . . . . . . . . Le Serveur d’impression TCP/IP . . . . . . . . . . . . . . . . . . . . . . . Le service Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . La Gestion de licences Terminal Server . . . . . . . . . . . . . . . . . . L’Annuaire de session des services Terminal Server . . . . . . . . . . Le service Trivial FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . L’Hôte périphérique Plug-and-Play universel . . . . . . . . . . . . . . Windows Internet Name Service (WINS) . . . . . . . . . . . . . . . . . Les services Windows Media . . . . . . . . . . . . . . . . . . . . . . . . . Le service de temps Windows . . . . . . . . . . . . . . . . . . . . . . . . Le service de publication World Wide Web . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

945 945 946 946 946 946 947 948 948 948 949 949 950 950 951 951 951 952 952 952 953 953 954 954 955 955 956 956

Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . 965 Chapitre 29 Annexe III - Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967 Chapitre 30 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999

Préface
Nous vous remercions d’avoir choisi la Bible Windows Server 2003 Windows Server 2008 afin de développer vos compétences dans le domaine des infrastructures Microsoft. Nous avons souhaité que cet ouvrage vous serve de guide aussi bien dans la conception de votre infrastructure que dans l’implémentation étape par étape des fonctionnalités techniques. Il vous aidera à faire face aux problématiques de tous les jours. Pour cela, l’ouvrage s’articule autour d’une étude de cas, une société fictive, qui sert de point de départ à l’exposition des problématiques et permet d’élaborer la conception de la solution, puis l’implémentation technique. Même si nous avons souhaité nous concentrer uniquement sur les infrastructures Microsoft, nous avons aussi voulu donner une dimension bien réelle aux problématiques d’entreprise en montrant que, de nos jours, la satisfaction de l’utilisateur final passe par un savant équilibre entre les fonctionnalités des systèmes d’exploitation pour serveurs et les fonctionnalités des systèmes d’exploitation pour clients et qu’une nouvelle version de Windows ne chasse pas l’autre immédiatement. En effet, Windows Vista arrive dans un contexte où le parc informatique est déjà composé de Windows XP et/ou Windows 2000, et Windows Server 2008 arrive également dans un contexte où le parc informatique est déjà composé de Windows Server 2003, Windows 2000 Server, voire Windows NT 4.0 Server. Au travers de la conception et de l’implémentation des serveurs Windows Server 2003, nous avons souhaité vous sensibiliser à cet état de fait et voulu que vous ayez en mains tous les arguments qui vous permettront de faire les choix structurants dans votre contexte. C’est pourquoi vous trouverez, par exemple, des chapitres traitant tout autant du déploiement de Windows Server 2003 que du déploiement de Windows Vista, de la sécurisation des serveurs comme de la sécurisation des stations de travail ou que des problématiques comme la gestion des identités et des services réseaux. En raison de la masse d’informations que cela représente, la Bible Windows Server 2003 Windows Server 2008 est composée de deux tomes. Le tome I développe les thèmes suivants :
j j j

l’installation, le déploiement et les généralités des systèmes d’exploitation ; la conception, l’implémentation, la maintenance et la sécurité d’Active Directory ; la sécurité des serveurs, des stations de travail, du réseau et des données.

Le tome II développe les thèmes suivants :

25

j j j

les problématiques d’entreprise comme l’authentification forte, la haute disponibilité ou l’intégration de Windows Server 2008 ; la conception, l’implémentation, l’administration des services réseau ; l’administration l’administration. centralisée de l’infrastructure, les outils améliorant

Tous les chapitres sont en rapport avec l’étude de cas, mais cela ne vous empêchera pas d’utiliser ces livres pour un sujet précis selon vos besoins. Bonne lecture à tous !

26

Partie

A
Installation, déploiement et généralités

Partie

A
Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12

Installation, déploiement et généralités
Étude de cas . . . . . . . . . . . . . . . . . . État des lieux de Windows Server en entreprise . . . . . Windows Server 2003 Service Pack 2 et R2 . . . . . . 29 55 87

L’installation et le déploiement de Windows Server 2003 . 105 L’installation de Windows Vista . . . . . . . . . . . 135 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 . . . . . . . . . . . . . . 185 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 . . . . . . . . . . . . . . 247 Les services de déploiement Windows . . . . . . . . 301 L’intégration de Windows Vista dans l’infrastructure . . . 351 Windows PowerShell . . . . . . . . . . . . . . . 399 La maintenance des serveurs . . . . . . . . . . . . 429 Windows Server 2008 . . . . . . . . . . . . . . 477

Chapitre 1

Étude de cas
1.1 1.2 1.3 1.4 Le contexte : présentation de la société Les objectifs . . . . . . . . . . . . . . . . . La mise en œuvre . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 42 44 54

Le contexte : présentation de la société

Q

uoi de mieux qu’une mise en situation afin d’expliquer les fonctionnalités de Windows Server 2003 R2 et de montrer toute l’étendue des possibilités du système d’exploitation serveur de Microsoft ! C’est par cette affirmation que nous est venue l’idée de présenter tous les concepts techniques au travers de la réalité des besoins quotidiens d’une entreprise (bien que celle-ci soit inventée de toutes pièces pour les besoins de l’ouvrage). Nous espérons que ce mode de fonctionnement vous permettra d’établir la relation entre le besoin d’entreprise et l’implémentation d’une fonctionnalité technique et que vous aborderez l’ouvrage soit par rapport à une situation que vous vivez dans votre travail quotidien, soit par rapport à un concept technique que vous souhaitez approfondir. Ce premier chapitre vous présente Puzzmania, une société à taille humaine, qui ressemble à tant d’autres dans le domaine de l’informatique et qui a les problématiques d’un grand nombre de sociétés en France de nos jours. Ce chapitre de référence détaille également les noms des serveurs, le plan de nommage, le plan d’adressage utilisé tout au long de l’ouvrage. Pour avoir l’opportunité d’introduire la conception d’Active Directory dans cet ouvrage, nous allons partir du postulat de base que Puzzmania est architecturée autour de domaines Windows NT 4.0, sachant que la plupart des entreprises en France ont toutes (ou presque) migré tout leur parc vers Active Directory. Cela va vous permettre de voir tous les aspects de la conception et, par anticipation, vous donner les bonnes pratiques de réflexion en cas de migration, puisque la migration vers Windows Server 2008 sera bientôt d’actualité.

1. Étude de cas

1.1.

Le contexte : présentation de la société

L’activité de la société
Puzzmania est une société de conception et de fabrication de puzzles, composée de 300 personnes réparties autour de trois sites géographiques : Paris, Toulouse et Nice. Elle enregistre de bons résultats grâce à une gamme de produits complète (pour tous les âges et tous les niveaux) et connaît depuis peu un essor considérable en étant la seule à proposer des puzzles 3D grâce à une technique d’impression holographique des pièces unique au monde.

La situation géographique
La société est articulée autour de trois sites géographiques :
j

le site de Paris, qui regroupe la direction, le marketing, les finances, les ressources humaines ; 31

Chapitre 1

Étude de cas

j

le site de Toulouse, qui regroupe l’usine de production et d’acheminement des puzzles dits classiques ; le site de Nice, qui regroupe le laboratoire à l’origine du développement de la technique d’impression 3D unique au monde, ainsi que la production et l’acheminement de ces puzzles.

1. Étude de cas

j

L’infrastructure informatique
Le système d’information de Puzzmania est à l’image de la société : il a été bâti il y a quelques années et il connaît maintenant une forte croissance. Puzzmania est composée de trois domaines NT 4.0 indépendants, un sur chaque site géographique, avec des relations d’approbation bidirectionnelles entre les sites. Au fil des différents projets informatiques, dus à l’essor des puzzles 3D, des serveurs Windows 2000 Server et Windows Server 2003 ont été ajoutés afin d’apporter de la robustesse et des fonctionnalités, mais sans impact sur l’infrastructure. Le but principal était de relier les sites, de communiquer, de répondre au besoin coûte que coûte. Chaque site dispose de son propre service informatique (de l’administration au support des utilisateurs). Les utilisateurs sont administrateurs de leurs propres stations de travail : ils utilisent des applications bureautiques (style Office), graphiques ou maison, selon leurs activités.

Plan d’adressage IP
La société utilise exclusivement le protocole TCP/IP comme protocole de communication sur son réseau. Voici comment a été pensé le plan d’adressage IP (serveurs, équipements actifs, stations de travail…) en tenant compte des trois sites géographiques, basé sur une étendue d’adresses IP de classe B. Une règle appliquée au troisième et quatrième octet de l’adresse IP offre un moyen mnémotechnique sympathique qui permet d’avoir en tête rapidement la relation entre l’adresse IP et le type de matériel. Dans certains cas, on peut également faire une correspondance entre l’adresse IP et le nom du serveur, par exemple, bien qu’aucun plan de nommage officiel n’ait été écrit.
Tableau 1.1 : Règle d’attribution des adresses IP 1er octet 2e octet 172 50 3e octet X = localisation Y = catégorie 4e octet Adresse IP ZZZ = de 1 172.50.XY.ZZZ à 254

Le masque de sous-réseau, quant à lui, sera le même sur tous les sites : 255.255.240.0. Il est calculé selon le besoin en adresses. 32

Le contexte : présentation de la société

En fonction du masque de sous-réseau et de l’étendue des adresses IP disponibles, il est décidé de découper l’étendue en plusieurs sous-réseaux ; en outre, il est convenu que chaque site géographique dispose de son propre sous-réseau, le tout correctement routé à travers les sites.
Tableau 1.2 : Liste des sous-réseaux affectés aux sites géographiques de Paris, Toulouse

1. Étude de cas

et Nice
Site géographique Paris Toulouse Numéro de sousréseau 1 2 Adresse du sousréseau 172.50.0.0 172.50.16.0 Adresses IP des machines De 172.50.0.1 à 172.50.15.254 De 172.50.16.1 à 172.50.31.254 De 172.50.32.1 à 172.50.47.254 Adresse de broadcast 172.50.15.255 172.50.31.255

Nice

3

172.50.32.0

172.50.47.255

Un tel découpage représente un total de 16 sous-réseaux disponibles de 4094 machines chacun.

Définition du troisième octet
Selon la règle d’attribution des adresses IP, la variable X désigne le site géographique sur lequel se trouve le serveur ou la station de travail.
Tableau 1.3 : Définition de la variable X du troisième octet du plan d’adressage IP Valeur X 1 2 4 Localisation Paris Toulouse Nice

La variable Y désigne le type d’équipement.
Tableau 1.4 : Définition de la variable Y du troisième octet du plan d’adressage IP Valeur Y 0 1 2 3 Catégorie d’équipements Équipements actifs du réseau (routeurs…) Serveurs Serveurs Imprimantes

33

Chapitre 1

Étude de cas

Valeur Y

Catégorie d’équipements Stations de travail Stations de travail

1. Étude de cas

4 5

Il faut noter que le fait d’intégrer une variable Y dans la règle d’attribution des adresses IP limite encore plus le champ des possibles au sein d’un même sous-réseau. En effet, il va falloir segmenter une plage d’adresses IP qui est déjà segmentée elle-même.

Définition du quatrième octet
La variable ZZZ définit l’étendue des valeurs disponibles pouvant être affectées à une adresse IP, soit une étendue de 1 à 254. Il est quand même défini que les valeurs de 1 à 9 sont réservées aux contrôleurs de domaine répartis sur les sites géographiques. Exemple : l’adresse IP 172.50.10.254 fait référence à un routeur situé à Paris. L’adresse IP 172.50.41.6 fait référence à un contrôleur principal de domaine (CPD) situé à Nice.

Le détail des sites
Paris
j j j

Nombre d’utilisateurs : 120. Nombre de stations de travail : 140. Nombre de serveurs : 10.

Liste des serveurs d’infrastructure
Tableau 1.5 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Paris
Nom du serveur PADC01 Adresse IP 172.50.11.1 Système d’exploitation Windows NT 4.0 Server Fonction Contrôleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrôleur secondaire de domaine (CSD), serveur secondaire DNS, serveur secondaire WINS partenaire de réplication Contrôleur secondaire de domaine pour le domaine TLSPUZZ

PADC02

172.50.11.2

Windows NT 4.0 Server

TLDC06

172.50.11.6

Windows NT 4.0 Server

34

Le contexte : présentation de la société

Nom du serveur NCEDC08 PABUR01 PAPRINT01 PAMAIL01 PAAV01 PAWEB01 PAWEB02

Adresse IP 172.50.11.8 172.50.11.10 172.50.11.11 172.50.11.12 172.50.11.13 172.50.11.15 172.50.11.16

Système d’exploitation Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Web Edition Windows Server 2003 Web Edition

Fonction Contrôleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur d’impression Serveur de messagerie Serveur antivirus Serveur web Serveur web

1. Étude de cas

Cas d’entreprise La liste des serveurs montre la mixité des versions des systèmes d’exploitation utilisées. En guise de serveurs web, par exemple, on a installé Windows Server 2003 afin d’utiliser les fonctionnalités d’IIS 6. On remarque également que le site de Paris contient un CSD de chacun des autres domaines. En outre, dans la mesure du possible, les noms de serveur sont représentatifs, bien qu’il n’y ait pas de plan de nommage officiel, mais cela n’est pas le cas à tous les coups. Le serveur DHCP du site, PADC01, distribue des adresses IP comprises dans une étendue allant de 172.50.14.1 à 172.50.14.254 et de 172.50.15.1 à 172.50.15 .254. Elles sont distribuées aux stations de travail localisées au même endroit.

Toulouse
j j j

Nombre d’utilisateurs : 100. Nombre de stations : 90. Nombre de serveurs : 11.

35

Chapitre 1

Étude de cas

Liste des serveurs d’infrastructure
1. Étude de cas
Tableau 1.6 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de

Toulouse
Nom du serveur TLDC03 Adresse IP 172.50.21.3 Système d’exploitation Windows NT 4.0 Server Fonction Contrôleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrôleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de réplication Contrôleur secondaire de domaine pour le domaine PARPUZZ Contrôleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur d’impression Serveur de messagerie Serveur antivirus Serveur de base de données Serveur applicatif Serveur applicatif

TLDC04

172.50.21.4

Windows NT 4.0 Server

PADC03 NCEDC09 TLSBUR01 TLSPRINT01 TLSMAIL01 TLSAV01 TLSBDD01 TLSAPP01 TLSAPP02

172.50.21.3 172.50.21.9 172.50.21.10 172.50.21.11 172.50.21.12 172.50.21.13 172.50.21.14 172.50.21.15 172.50.21.16

Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition

Cas d’entreprise Si on compare les listes des serveurs d’infrastructure de Paris et de Toulouse, on retrouve des doublons dans les rôles de serveur induits par le fait que le domaine TLSPUZZ est indépendant du domaine de Paris. Cette remarque vaut pour tous les sites. On constate également des différences dans la règle de nommage des serveurs par rapport au site de Paris, sûrement dues à la précipitation (par exemple, le site de Toulouse est mentionné sur deux ou trois caractères). Le serveur DHCP du site, TLDC03, distribue des adresses IP comprises dans une étendue allant de 172.50.24.1 à 172.50.24.254 et de 172.50.25.1 à 172.50.25 .254. Elles sont distribuées aux stations de travail localisées au même endroit.

36

Le contexte : présentation de la société

Nice
j j j

Nombre d’utilisateurs : 80. Nombre de stations : 90. Nombre de serveurs : 9.

1. Étude de cas

Liste des serveurs d’infrastructure
Tableau 1.7 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Nice
Nom du serveur NCDC06 Adresse IP 172.50.41.6 Système d’exploitation Windows NT 4.0 Server Fonction Contrôleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrôleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de réplication Contrôleur secondaire de domaine pour le domaine PARPUZZ Contrôleur secondaire de domaine pour le domaine TLSPUZZ Serveur de fichiers Serveur d’impression Serveur de messagerie Serveur antivirus Serveur de base de données Serveur applicatif en cluster Serveur applicatif en cluster

NCEDC07

172.50.41.7

Windows NT 4.0 Server

PADC04 TLDC05 NCEBUR01 NCEPRINT01 NCEMAIL01 NCEAV01 NCEBDD01 NCAPPA NCEAPPB

172.50.41.4 172.50.41.5 172.50.41.10 172.50.41.11 172.50.41.12 172.50.41.13 172.50.41.14 172.50.41.15 172.50.41.16

Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition

Le serveur DHCP du site, NCDC06, distribue des adresses IP comprises dans une étendue allant de 172.50.44.1 à 172.50.44.254 et de 172.50.45.1 à 172.50.45 .254. Elles sont distribuées aux stations de travail localisées au même endroit.

Les dysfonctionnements de la situation actuelle
Puzzmania est composée de trois domaines Windows NT 4.0 Server indépendants, avec des relations d’approbation bidirectionnelles entre les sites. Cette architecture se

37

Chapitre 1

Étude de cas

focalise sur la communication entre les sites géographiques. Elle n’est pas la plus sécurisée qui soit, ni la plus simple à administrer d’ailleurs. 1. Étude de cas Notons les points de dysfonctionnements suivants…

La non-uniformité des processus
Aujourd’hui, chaque site possède sa propre méthode de travail, ses choix de systèmes d’exploitation et de logiciels. Pour ne citer qu’un seul exemple de cette complexité, chaque site possède aujourd’hui un antivirus différent. Il reste très difficile, voire souvent impossible, de mettre en place des solutions globales au niveau de l’organisation de Puzzmania.

Les problèmes de coûts importants
L’organisation de Puzzmania regroupe, sur l’ensemble de ses trois sites, une diversité de serveurs et de stations de travail importante. La gamme de serveurs s’étend de Windows NT 4.0 Server pour les serveurs d’infrastructure, à Windows 2000 Server pour les serveurs de base de données et de fichiers, en passant par différentes éditions de Windows Server 2003 pour des serveurs applicatifs et web. La gamme des stations de travail est à l’égale de la gamme des serveurs puisque l’on y retrouve des clients installés au fil des livraisons matérielles. Des coûts importants sont recensés au niveau du centre d’appels de la société. Les techniciens sont obligés de connaître plusieurs systèmes d’exploitation clients tels que Windows NT 4.0 Workstation, Windows 2000 Professionnel, Windows XP Professionnel et maintenant Windows Vista Professionnel, ainsi que diverses applications, souvent dupliquées quand elles ne sont pas triplées.

Les problèmes de réactivité
L’entreprise souffre de problèmes de réactivité à plusieurs niveaux. Vu la diversité des versions des systèmes d’exploitation des stations de travail et des serveurs, la qualification des logiciels se voit multipliée par trois. Prenons l’exemple de la suite bureautique Office. Selon la version d’Office utilisée sur chaque site, il faut tester son bon fonctionnement, aussi bien sous Windows NT 4.0 Workstation que Windows 2000 Professionnel, Windows XP Professionnel et Windows Vista Professionnel (car la migration du parc vers Windows Vista est ou sera d’actualité). En outre, lorsqu’un problème Office est détecté sur une plateforme ou qu’un Service Pack sort afin d’améliorer la sécurité ou apporter des fonctionnalités, il faut le temps de le tester et de le déployer sans impact sur les autres plateformes.

38

Le contexte : présentation de la société

Le problème de gestion du parc informatique trop complexe
L’entreprise ne possède pas une méthode d’installation industrialisée pour les systèmes d’exploitation clients et serveurs. La mise en service de stations de travail ou de serveurs se fait manuellement, ce qui touche considérablement la mise en production et le coût des machines. 1. Étude de cas

La sécurité du système d’information
Le maintien d’anciennes versions de systèmes d’exploitation apporte son lot de problèmes de sécurité. Exemple : l’obligation de maintenir des protocoles de communication non sécurisés. Le fait que tous les utilisateurs soient administrateurs de leur station de travail augmente les risques : installation d’applications non conformes, utilisation de périphériques externes (sans compter l’impact sur la gestion du parc et le centre d’appels). De plus, Puzzmania ne possède pas de système centralisé de mise à jour de correctifs.

Les enjeux de la direction
Afin d’optimiser ses performances, la direction décide de n’avoir plus qu’un seul site de production et d’acheminement (Toulouse), tout en tirant parti et en communiquant au mieux (c’est-à-dire de façon sécurisée) avec le laboratoire de Nice. Elle décide également de la nécessité de consolider et d’homogénéiser l’infrastructure informatique pour alléger les coûts. Afin d’élargir ses compétences, la direction décide de racheter deux sociétés.

Les sociétés partenaires
Smart Com
Smart Com est une très petite société située à Londres, spécialisée dans le développement des activités commerciales vers l’international. Le but de ce rachat est d’en faire une antenne commerciale pour gagner de nouveaux marchés. Son infrastructure informatique est constituée d’un seul domaine Windows NT 4.0 Server englobant tous les services de la société : 4 serveurs pour 15 stations de travail. Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la valeur 5.

39

Chapitre 1

Étude de cas

Tableau 1.8 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique

1. Étude de cas

Numéro de sousréseau 4

Adresse du sousréseau 172.50.48.0

Adresses IP des machines

Adresse de broadcast

Londres

De 172.50.63.255 172.50.48.1 à 172.50.63.254

Le nommage des serveurs est, quant à lui, propre à Smart Com.

Liste des serveurs d’infrastructure
Tableau 1.9 : Liste des serveurs d’infrastructure de Smart Com présents sur le site de

Londres
Nom du serveur SMART−DC01 Adresse IP 172.50.51.1 Système d’exploitation Windows NT 4.0 Server Fonction Contrôleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrôleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de réplication Serveur de fichiers et serveur antivirus Serveur de base de données et serveur applicatif

SMART−DC02

172.50.51.2

Windows NT 4.0 Server

SMART−BUR01 SMART−BDD01

172.50.51.10 172.50.51.11

Windows 2000 Server Windows 2000 Server

Le serveur DHCP du site, SMART−DC01, distribue des adresses IP comprises dans une étendue allant de 172.50.54.1 à 172.50.54.254 et de 172.50.55.1 à 172.50.55 .254. Elles sont distribuées aux stations de travail localisées au même endroit.

Créadesign
Créadesign est une petite société high-tech située à Nice, spécialisée dans l’infographie. Le but de ce rachat est de renforcer le développement autour de la technique qui fait le succès de l’entreprise. La société est constituée d’un domaine unique Active Directory Windows Server 2003 comprenant sept serveurs et cinquante postes. Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la valeur 7. 40

Le contexte : présentation de la société

Tableau 1.10 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique Nice Numéro de sousréseau 5 Adresse du sousréseau 172.50.64.0 Adresses IP des machines Adresse de broadcast

1. Étude de cas

De 172.50.79.255 172.50.64.1 à 172.50.79.254

Le nommage des serveurs est, quant à lui, propre à Créadesign.

Liste des serveurs d’infrastructure
Tableau 1.11 : Liste des serveurs d’infrastructure de Créadesign présents sur le site de

Nice
Nom du serveur crea−dc1 Adresse IP 172.50.71.1 Système d’exploitation Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Fonction Contrôleur de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrôleur de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de réplication Serveur de fichiers Serveur antivirus Serveur applicatif et de base de données en cluster Serveur applicatif et de base de données en cluster Serveur web

crea−dc2

172.50.71.2

crea−bur1 crea−av1 crea−bda crea−bdb crea−web1

172.50.71.10 172.50.71.11 172.50.71.12 172.50.71.13 172.50.71.14

Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Web Edition

Le serveur DHCP du site, crea−dc1, distribue des adresses IP comprises dans une étendue allant de 172.50.74.1 à 172.50.74.254 et de 172.50.75.1 à 172.50.75 .254. Elles sont distribuées aux stations de travail localisées au même endroit.

La communication entre les sociétés
Une fois l’annonce faite par la direction du rachat de Smart Com et de Créadesign, la première étape, d’un point de vue informatique, est d’établir le contact entre les trois sociétés. Pour ce faire, il faut créer de nouvelles relations d’approbation entre les

41

Chapitre 1

Étude de cas

domaines, mais également configurer les serveurs WINS comme partenaires de réplication afin de convertir les noms NetBIOS en adresses IP. 1. Étude de cas

Résumé du contexte
Puzzmania est une entreprise de taille moyenne, fonctionnant sous une architecture Windows NT 4.0 Server, et repartie sur trois sites. Chaque site est autonome dans le choix de ses machines et de ses logiciels, et dispose approximativement d’une dizaine de serveurs, allant de Windows NT 4.0 Server à Windows Server 2003 Enterprise Edition, et d’une centaine de postes utilisateurs, allant de Windows NT 4.0 Workstation à Windows XP professionnel. Chaque site possède son propre domaine et communique avec les autres domaines de l’entreprise à l’aide de relations d’approbation bidirectionnelles, et parfois de comptes dupliqués pour l’administration. Puzzmania travaille aujourd’hui essentiellement avec deux partenaires :
j

Créadesign, pour la partie recherche et développement de nouveaux produits. Cette société évolue dans une forêt Active Directory Windows Server 2003 regroupant quelques serveurs et une cinquantaine d’utilisateurs. Créadesign possède une forte expérience informatique dans les nouvelles technologies. Smart Com, pour la partie communication. Cette société de petite taille dispose d’une petite structure informatique d’une quinzaine de personnes et de quatre serveurs.

j

Pour que tous les sites puissent partager l’information, on est obligé de créer des relations d’approbation dans tous les sens, ce qui a comme conséquence d’augmenter les risques d’intrusion et de complexifier l’administration (placer les droits sur les serveurs de fichiers est un vrai casse-tête !). On s’aperçoit également que la mixité des systèmes d’exploitation au niveau des fondements de l’infrastructure complique également le problème.

1.2.

Les objectifs

Vu les stratégies de développement mises en œuvre par la direction et compte tenu des contraintes techniques dues à l’arrêt programmé du support de Windows NT 4.0 Server, la décision est prise de restructurer le système d’information autour de Windows Server 2003. Windows Server 2003 est le système d’exploitation serveur Microsoft de référence (en attendant Windows Server 2008, son successeur). Puzzmania compte profiter des nouveautés apportées par Windows Server 2003 R2 (sorti en 2005), des améliorations de sécurité, de stabilité et de performances apportées par le Service Pack 2 ainsi que des fonctionnalités d’anticipation à l’arrivée de Windows Vista dans l’infrastructure réseau et système, apportées également par le Service Pack 2. 42

Les objectifs

Trois grands axes de travail sont retenus… 1. Étude de cas

Réduire les coûts
Vaste travail ! La première étape consiste à concevoir une nouvelle infrastructure qui sera la base d’un travail de fond sur la réduction des coûts. Une plus grande disponibilité de l’infrastructure, des serveurs et des stations de travail va participer également à la réduction des coûts. Tout doit être mis en œuvre pour simplifier l’accès aux données, mettre en place toutes les options et les services qui vont accroître la productivité de l’utilisateur. Une autre étape importante porte sur l’industrialisation des installations des stations de travail et des serveurs, l’uniformité des choix logiciels et l’allégement de la charge de travail du centre d’appels. En effet, en utilisant tout le potentiel de l’infrastructure Windows Server 2003, il sera possible d’automatiser l’installation des serveurs et des stations de travail, et également d’appliquer des stratégies de groupe qui définiront les droits des utilisateurs (par exemple, les logiciels qu’ils ont le droit d’utiliser). Dans le contexte de Puzzmania, le but est d’avoir une plateforme matérielle et logicielle commune à tous les sites. Cela permettra d’être plus réactif lors de la sortie d’une nouvelle version d’Office par exemple. En outre, la charge de travail du centre d’appels sera allégée, non seulement parce que les compétences demandées aux techniciens de support seront plus clairement exprimées, mais aussi parce que l’environnement de travail de l’utilisateur sera contrôlé.

Intégrer les trois sociétés dans une nouvelle organisation
Concevoir le nouveau système d’information, c’est un peu comme bâtir une maison : il faut toujours commencer par les fondations. Plus les fondations seront solides, plus il sera facile de répondre aux besoins présents et futurs. Il ne faut pas perdre de vue que l’infrastructure informatique doit répondre à une problématique d’entreprise. En ce qui concerne Smart Com et Créadesign, informatiquement parlant, il est possible de travailler de plusieurs façons : soit on les considère comme des partenaires communiquant avec Puzzmania, soit on les absorbe dans l’infrastructure de Puzzmania. En faisant le parallèle avec les enjeux de la direction, on s’aperçoit que l’objectif est bien de les absorber dans la nouvelle infrastructure tout en conservant leurs spécificités : Smart Com doit devenir une antenne commerciale et Créadesign doit se rapprocher du site de Nice et doit être sécurisée.

43

Chapitre 1

Étude de cas

Sécuriser l’infrastructure
1. Étude de cas À l’heure actuelle, il est clair que les infrastructures informatiques doivent être les plus sécurisées possibles. La sécurité doit être implémentée sur plusieurs niveaux fonctionnels.
j j

Sécurité du matériel d’infrastructure : les serveurs qui vont jouer un rôle important dans l’infrastructure devront être sécurisés dans une salle prévue à cet effet. Sécurité des processus : prenons l’exemple des sauvegardes et des restaurations d’Active Directory. Il faut savoir comment les réaliser. Tout prend un sens quand on sait quel processus il faut suivre pour mettre la sauvegarde en lieu sûr afin d’éviter un désastre. Sécurité des flux : certaines communications de l’entreprise doivent être protégées. Il s’agit d’isoler l’activité de recherche et de développement du site de Nice de Puzzmania et de Créadesign et de crypter les données sensibles. Sécurité des systèmes d’exploitation : tout doit être mis en œuvre pour avoir une politique antivirale et de mise à jour des correctifs de sécurité la plus homogène et la plus efficace possible.

j

j

1.3.

La mise en œuvre

Pour atteindre les différents objectifs, on porte le choix sur des logiciels tournant sous Windows Server 2003 pour la partie serveur : selon les besoins, soit Windows Server 2003 sera installé, soit Windows Server 2003 R2 ; le Service Pack 2 sera installé sur tous les serveurs. En ce qui concerne le poste de travail, les ordinateurs déjà présents et aux capacités limitées seront sous Windows XP Professionnel. Les nouveaux ordinateurs seront sous Windows Vista Professionnel. Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel ont été choisis car ce sont les systèmes d’exploitation qui répondent le mieux à l’ensemble des demandes de la direction. Ils présentent toutes les qualités d’un système d’exploitation mature, robuste et sécurisé. L’équipe informatique a recensé l’ensemble des demandes de la direction et dégagé les trois objectifs exposés précédemment :
j j j

une réduction de coûts à plusieurs niveaux ; la mise en place d’une organisation unique avec l’intégration des deux sociétés partenaires ; la sécurité.

44

La mise en œuvre

Comment réduire les coûts à plusieurs niveaux ?
Une réduction de coûts importante a été demandée par la direction. Cette réduction, pour être conséquente, devra s’appliquer sur les points suivants :
j j j j j j j

1. Étude de cas

la maîtrise du nombre des serveurs d’infrastructure ; la gestion des coûts liés aux stations de travail et aux serveurs ; la réorganisation des sites ; la stabilité des stations de travail des utilisateurs ; la gestion des coûts liés aux utilisateurs ; la réduction du nombre coups de téléphone au centre d’appels ; la réduction des interventions des techniciens sur les sites.

Maîtriser le nombre des serveurs d’infrastructure
Une étude va être réalisée sur la conception de la structure d’annuaire. Elle comportera une réflexion autour des points suivants :
j j j

la structure logique ; la topologie de site ; la planification de la capacité des contrôleurs de domaine.

À partir de cette étude, il sera possible de déterminer le nombre de sites ayant besoin de serveurs d’infrastructure et les sites qui deviendront des succursales sans serveur d’infrastructure. La charge des contrôleurs de domaine sera calculée. Le nombre de serveurs et les configurations de chaque machine au niveau de la puissance et du stockage en seront déduits.

Gérer les coûts liés aux stations de travail et aux serveurs
Pour pouvoir réduire le coût des serveurs et stations de travail, il sera important de limiter le nombre d’interventions et le temps passé sur chaque machine. Pour cela, deux actions de base vont être mises en place :
j j

Les serveurs seront installés à partir de techniques dites silencieuses, avec des fichiers de réponses. Les stations de travail seront industrialisées avec l’installation des Service Packs et autres, selon la technique de slipstream. Les postes utilisateurs seront préconfigurés avec les logiciels nécessaires au fonctionnement de la station de travail de base.

45

Chapitre 1

Étude de cas

Réorganiser les sites
1. Étude de cas

Figure 1.1 : Le futur plan des sites

L’entreprise sera réorganisée de la façon suivante : trois sites et une succursale. Chacun des trois sites possédera des serveurs d’infrastructure du domaine auquel il appartient. Les serveurs d’infrastructure auront les rôles de service réseau, tels que DNS, WINS, DHCP, Active Directory et serveur de catalogue global.

Stabiliser les stations de travail utilisateurs
Pour ne plus avoir de problèmes de stabilité sur les stations de travail, les utilisateurs ne seront plus administrateurs de leur station. Il faudra donc utiliser la politique du moindre privilège. Pour garantir la bonne utilisation des postes, on publiera les logiciels de base, ce qui aura comme intérêt de se remettre en place automatiquement en cas de suppression volontaire ou involontaire de la part de l’utilisateur. On utilisera des modèles de sécurité pour appliquer des paramètres de sécurité cohérents sur l’ensemble des stations de travail de l’organisation. On créera des stratégies de groupe en fonction des besoins des services (ressources humaines, finances…) et des contraintes de domaine et de site, pour assurer la meilleure utilisation des postes selon les besoins spécifiques, et uniquement les besoins.

46

La mise en œuvre

Gérer les coûts liés aux utilisateurs
Pour limiter l’utilisation des serveurs de fichiers, on appliquera des quotas pour maîtriser les dépenses dues à l’achat d’espace disque. L’action d’un utilisateur sur un poste se limitera uniquement aux besoins de son périmètre. Il sera important de limiter, voire d’empêcher l’installation de logiciels exotiques (non nécessaires à l’entreprise), qui sont facteurs de réinstallation des postes et de surplus de coups de téléphone au centre d’appels (help desk). 1. Étude de cas

Réduire le nombre de coups de téléphone au centre d’appels
La mise en place de clichés instantanés permettra aux utilisateurs de gérer eux-mêmes les sauvegardes des différentes versions de leurs fichiers. Par une interface très simple, ils pourront restaurer des versions antérieures et ainsi diminuer le nombre de coups de téléphone au centre d’appels. L’étude des stratégies de compte en fonction des besoins de chaque domaine contribuera également à l’effort de réduction de la charge d’appels.

Réduire les interventions des techniciens sur les sites
On déploiera les logiciels par l’intermédiaire de la technologie IntelliMirror. Pour réduire les coûts liés aux interventions des techniciens sur les sites, on mettra en place un modèle de poste standard.

Comment créer une organisation unique et intégrer les deux sociétés partenaires ?
Mettre en place une architecture autour d’une organisation unique
Le choix retenu a été la mise en œuvre d’un annuaire Active Directory basé sur un modèle de forêt unique. Cette solution permet d’exploiter les avantages de l’annuaire Active Directory autour du nom puzzmania.com. Le fait de rassembler l’organisation de l’entreprise sous une forme de forêt unique ne ferme pas les portes sur les possibilités d’isoler une partie de l’entreprise ayant des besoins spécifiques, en matière de sécurité par exemple. L’annuaire Active Directory permet d’exploiter de nouvelles fonctionnalités telles que la prise en compte des notions de site, d’unité organisationnelle, de groupe universel. On pourra appliquer des stratégies de groupe aux utilisateurs et aux ordinateurs en fonction de critères multiples.

47

Chapitre 1

Étude de cas

1. Étude de cas

Figure 1.2 : Nouvelle organisation de domaines

Redéfinir l’organisation logique de l’entreprise tenant compte des demandes de sécurité et de l’intégration des deux partenaires
L’entreprise Puzzmania et les sociétés Smart Com et Créadesign ont été réorganisées en trois domaines. Les domaines de SmartCom et Créadesign ont disparu. Le premier domaine, puzzmania.com, est la racine de la forêt. Il est vide. Il ne possède que des contrôleurs de domaine configurés comme serveurs de catalogue global, ainsi que les cinq rôles maîtres. Le deuxième domaine, corp.puzzmania.com, regroupe la majeure partie des utilisateurs et des ressources. L’ancien domaine Smart Com est intégré dans ce domaine. Le troisième domaine, rd.puzzmania.com, répond à des besoins de sécurité spécifiques, qui ne peuvent être assurés dans le cadre d’un domaine unique : flux cryptés, mise en place de certificats, modèles de sécurité, etc. Par cette réorganisation, l’entreprise va réduire considérablement le trafic réseau et les relations d’approbation au travers du réseau. Elle conservera une certaine indépendance au niveau de l’administration, tout en intégrant les deux sociétés partenaires au sein d’une organisation unique. La succursale de Londres passe à dix utilisateurs : elle ne possédera ni contrôleur de domaine ni serveur d’infrastructure.

Mettre en place un plan d’adressage IP et un plan de nommage commun
Cette réorganisation est l’occasion rêvée de remettre à plat le plan d’adressage IP et le plan de nommage afin d’harmoniser et de simplifier l’utilisation du réseau au travers des 48

La mise en œuvre

différents sites, de clarifier les rôles des serveurs et d’anticiper le futur : pourquoi pas le rachat de nouvelles sociétés ! 1. Étude de cas

Plan d’adressage IP
Une règle assez similaire à la règle existante chez Puzzmania est mise en place. Elle permettra de conserver les habitudes prises par les administrateurs. Elle joue sur les distinctions simplifiées du troisième et du quatrième octet. Le deuxième octet, quant à lui, change et prend la valeur 100.
Tableau 1.12 : Nouvelle règle d’attribution des adresses IP
1er octet 172 2e octet 100 3e octet X = localisation 4e octet ZZZ = de 1 à 254 Adresse IP 172.100.Xxx.ZZZ

Le masque de sous-réseau, quant à lui, sera le même sur tous les sites, c’est-à-dire 255.255.240.0. En fonction du nombre d’adresses IP souhaitées et du nombre de sites géographiques, il est convenu de découper l’étendue d’adresses IP en 16 sous-réseaux afin de prévoir l’éventualité d’une future croissance et d’affecter un sous-réseau par site géographique, à l’exception du site de Nice, qui disposera d’un sous-réseau supplémentaire afin de sécuriser au mieux le domaine rd.puzzmania.com. Seuls 5 sous-réseaux seront utilisés pour l’instant.
Tableau 1.13 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,

Toulouse, Londres et Nice R&D
Site géographique Nice Toulouse Paris Londres Nice R&D Numéro de sous-réseau 1 2 3 4 5 Adresse du sousréseau 172.100.0.0 172.100.16.0 172.100.32.0 172.100.48.0 172.100.64.0 Adresses IP des machines De 172.100.0.1 à 172.100.15.254 De 172.100.16.1 à 172.100.31.254 De 172.100.32.1 à 172.100.47.254 De 172.100.48.1 à 172.100.63.254 De 172.100.64.1 à 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255

Un tel découpage représente un total de seize sous-réseaux disponibles de 4094 machines chacun.

49

Chapitre 1

Étude de cas

Définition du troisième octet
1. Étude de cas Selon la nouvelle règle d’attribution des adresses IP, la variable X désigne le site géographique sur lequel se trouve le serveur ou la station de travail. Dans le nouveau plan d’adressage IP, la localisation des sites est déterminée tout simplement par l’étendue disponible du troisième octet au sein du sous-réseau.
Tableau 1.14 : Définition de la variable X du troisième octet du nouveau plan

d’adressage IP
Valeur X comprise entre 0 et 15 16 et 31 32 et 47 48 et 63 64 et 79 Localisation Nice Toulouse Paris Londres Nice R&D

Définition du quatrième octet
La variable ZZZ définit l’étendue des valeurs disponibles pouvant être affectées à une adresse IP, soit une étendue de 1 à 254. Les valeurs de 1 à 9 sont réservées aux contrôleurs de domaine répartis sur les sites géographiques. Exemple : l’adresse IP 172.100.1.1 fait référence à un serveur ayant le rôle de contrôleur de domaine pour puzzmania.com situé à Nice.

Plan de nommage
En complément du plan d’adressage IP, comme il est possible de déterminer le site d’une machine en fonction de son adresse IP, pourquoi ne pas trouver une règle de nommage qui permettrait d’en déterminer également le rôle et une partie de l’adresse IP ? Reprenons l’exemple du contrôleur de domaine pour puzzmania.com situé à Nice. Son adresse IP est 172.100.1.1, son nom sera SNCERCDC01. Pour expliquer comment le déterminer, il faut découper le nom en quatre sous-parties, S−NCE−RC−DC01, et établir la correspondance selon des variables W−XXX−YY−ZZZZ :

50

La mise en œuvre

Tableau 1.15 : Nouvelle règle d’attribution des noms de serveur
Variable W Catégorie d’équipements S = serveur I = imprimante W = station de travail T = téléphonie R = équipement actif réseau Variable XXX Site géographique NCE = Nice TLS = Toulouse PAR = Paris LON = Londres Variable YY Domaine RC = puzzmania .com CP = corp .puzzmania.com RD = rd.puzzmania .com Variable ZZZZ

1. Étude de cas

Rôle de l’ordinateur sur 2 caractères Numéro sur 2 caractères DC01 = contrôleur de domaine numéro 1

Comme la distinction entre le domaine de recherche et le reste de l’activité se fait par la variable YY = RD, il n’est pas besoin d’avoir de valeur particulière pour la variable XXX autre que NCE pour représenter le site géographique de Nice. Les valeurs de la variable ZZZZ sont laissées à la libre appréciation de l’administrateur selon le rôle du serveur ou de la station de travail. On peut imaginer les caractères suivants pour des serveurs : AV pour antivirus, BD pour base de données, FS pour serveur de fichiers (en anglais, File Server), etc., sachant que de nouvelles applications peuvent sortir, engendrant de nouveaux caractères. On peut également imaginer la première lettre du prénom et la première lettre du nom pour la station de travail d’un utilisateur donné. L’énumération de toutes les possibilités est impossible. Ce qu’il faut retenir, c’est qu’il est possible de rapprocher, de cette façon, le nom d’un ordinateur et son adresse IP. Par exemple, STLSCPBD01, qui est un serveur de base de données du domaine corp.puzzmania.com situé sur le site de Toulouse, a l’adresse IP 172.100.22.14. On ne peut évidemment pas retrouver l’adresse IP complète par le nom à cause des deux derniers octets, mais on peut s’en rapprocher. Voici les noms, les adresses IP et la localisation des contrôleurs de domaine qui constitueront la forêt puzzmania.com.
Tableau 1.16 : Liste des contrôleurs de domaine de la forêt puzzmania.com
Nom d’ordinateur SNCERCDC01 SNCERCDC02 SNCECPDC01 Adresse IP 172.100.1.1 172.100.1.2 172.100.11.1 Adresse de sousréseau 172.100.0.0 172.100.0.0 172.100.0.0 Domaine puzzmania.com puzzmania.com Site géographique Nice Nice

corp.puzzmania Nice .com

51

Chapitre 1

Étude de cas

Nom d’ordinateur

Adresse IP 172.100.22.1 172.100.33.1 172.100.66.1 172.100.66.2

Adresse de sousréseau 172.100.16.0 172.100.32.0 172.100.64.0 172.100.64.0

Domaine

Site géographique

1. Étude de cas

STLSCPDC01 SPARCPDC01 SNCERDDC01 SNCERDDC02

corp.puzzmania Toulouse .com corp.puzzmania Paris .com rd.puzzmania .com rd.puzzmania .com Nice Nice

Comment sécuriser l’infrastructure ?
Puisque les réseaux sont constamment menacés par des attaques provenant de sources différentes, la direction souhaite se prémunir. En ce sens, elle a demandé la mise en place d’un plan de sécurité à tous les niveaux de l’entreprise avec les exigences suivantes :
j j j j j j j

tenir compte du coût initial et continu de la sécurité ; considérer les exigences légales qui affectent la mise en œuvre de la sécurité ; mesurer l’impact des décisions de sécurité sur les utilisateurs finaux ; mesurer les risques en se fondant sur la probabilité et la criticité de la menace ; maintenir l’interopérabilité ; répondre aux besoins d’évolutivité ; sécuriser le service de R&D.

Pour ce faire, il est nécessaire d’étudier les solutions les moins onéreuses et de regarder les technologies de sécurité apportées par Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel (et les Service Pack 2 de Windows Server 2003 et Windows XP) pouvant répondre au mieux au plan de sécurité.

Tenir compte du coût initial et continu de la sécurité
Pour répondre au mieux à cette demande, on définira une phase de conception en introduction du plan de sécurité. Cette phase de conception s’orientera autour des points suivants :
j j j

la conception de la sécurité pour la gestion du réseau ; la conception d’une infrastructure de mise à jour des dispositifs de sécurité ; la conception d’un système de clients sécurisé.

52

La mise en œuvre

Ces phases de conception vont permettre d’analyser tous les facteurs qui, s’ils ne sont pas identifiés, risquent d’augmenter le coût de la sécurité, et de rechercher les technologies de sécurité qui, si elles ne sont pas employées, feront échouer le projet.

1. Étude de cas

Considérer les exigences légales qui affectent la mise en œuvre de la sécurité
Pour intégrer les dispositions légales au sein de l’entreprise, il est important de demander au service juridique de l’entreprise de vérifier le plan de sécurité. Il s’agit entre autres de réaliser un certain nombre de démarches auprès des organismes gouvernementaux et des associations qui peuvent être des sources de conseils en matière de sécurité.

Mesurer l’impact des décisions de sécurité sur les utilisateurs finaux
Il faudra mesurer l’impact des décisions de sécurité sur l’utilisateur final. Prenons comme exemple la stratégie de compte : une stratégie de mot de passe trop lourde, par exemple 15 caractères + l’utilisation de la complexité stratégie de complexité de mot de passe, forcerait l’utilisateur à conserver son mot de passe sur un papier, près de son ordinateur. Une stratégie de verrouillage de comptes mal adaptée apportera un surplus important de coups de téléphone au centre d’appels.

Mesurer les risques en se fondant sur la probabilité et la criticité de la menace
Il est important de pouvoir mesurer les probabilités d’attaques, les moyens mis en œuvre face à une menace ainsi que les réponses à ces menaces, afin d’en estimer les coûts. Prenons le cas de la probabilité d’une menace. Si on définit une échelle des probabilités allant de 1 à 9 – 9 étant la probabilité la plus importante qu’une menace se produise – et si on définit une échelle du niveau de criticité allant de 1 à 9 – 9 étant la criticité la plus élevée –, une menace avec une probabilité de 2 et une criticité de 8 sur cette échelle devra être prise en compte selon certaines considérations.

Maintenir l’interopérabilité
Appliquer une sécurité importante dans l’entreprise ne signifie pas que l’activité doit s’arrêter. Que l’on ne puisse plus communiquer, échanger des données ou encore piloter des applications n’est pas forcément le signe d’un réseau sécurisé. Au contraire, il faut pouvoir garantir les échanges de données en cryptant les informations, en s’assurant de la compatibilité de certains protocoles avec les autres systèmes, en veillant à l’aspect fonctionnel de l’infrastructure.

53

Chapitre 1

Étude de cas

1. Étude de cas

Les performances des machines doivent être prises en compte également : en effet, l’utilisation excessive d’un protocole de cryptage peut empêcher un ordinateur de communiquer dans un temps imparti.

Répondre aux besoins d’évolutivité
L’implémentation de la sécurité à tous les niveaux ne doit pas être une contrainte dans le cadre de futures migrations, le jour où Puzzmania achètera une autre société. Il ne faut pas que l’infrastructure devienne une voie de garage dans laquelle il n’est plus possible d’évoluer.

Sécuriser le service de R&D
Ce service étant celui qui génère la valeur ajoutée de la société, il faudra particulièrement le sécuriser, tant au niveau des matériels, qu’au niveau de l’infrastructure (définition d’un domaine dédié) et de la transmission des données.

1.4.

En résumé

Nous avons voulu que cette étude de cas soit suffisamment générique et ouverte pour que chaque administrateur y retrouve les informations dont il a besoin : soit par rapport à une situation à laquelle il est confronté, soit par rapport à une fonctionnalité technique. Nous souhaitons que tous les concepts techniques abordés par la suite trouvent un sens dans une réalité quotidienne et vous permettent d’anticiper les phases de migration : avec Windows Server 2003 et Windows Server 2008, avec Windows XP et Windows Vista.

54

Chapitre 2

État des lieux de Windows Server en entreprise
2.1 2.2 2.3 2.4 2.5 Les différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . . Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 62 65 71 85

Les différentes versions de Windows Server 2003

Q

ue de chemin parcouru par Windows en entreprise depuis dix ans ! Depuis Windows NT 3.51, puis Windows NT 4.0 qui a fait décoller ce que l’on appelle la "technologie NT" au sein de l’entreprise, force est de constater que la part de marché de la branche serveur des produits Microsoft est en hausse constante. Les entreprises se sont vite aperçues que Windows Server était adapté à la gestion des infrastructures de comptes et de ressources. Petit à petit, grâce à l’étendue des possibilités des produits, Windows Server est devenu une référence dans l’entreprise, non seulement pour gérer l’infrastructure, mais aussi pour fournir une multitude de services (impression, base de données, messagerie, travail en collaboration, supervision, et bien d’autres). Dans les grandes sociétés, il permet de gérer des milliers de comptes ; dans les petites, il permet d’avoir un serveur à tout faire pas trop dur à installer et à administrer. Aussi, quand Microsoft a introduit Windows 2000 et changé la façon de gérer les comptes et les ressources en sortant Active Directory, l’impact a été très grand pour les entreprises. De longs projets, parfois complexes, ont vu le jour et certaines entreprises ont préféré attendre avant de migrer, convaincues de l’inéluctabilité de la migration. C’est pourquoi, même de nos jours, plusieurs années après la mise à disposition d’Active Directory, les migrations sont encore courantes dans l’industrie. Windows Server 2003 est arrivé à point, avec son lot de nouveautés, afin de compléter le processus. Comme Windows Server 2003 s’appuie sur les dix ans d’histoire de Windows NT et des serveurs Windows qui lui ont succédé, il offre une interopérabilité complète avec les serveurs Windows 2000 Server et Windows NT Server, à condition que l’on respecte certaines procédures. C’est pourquoi les entreprises peuvent immédiatement installer de nouveaux serveurs exécutant Windows Server 2003, même si elles n’ont pas encore déployé Active Directory. Elles bénéficieront immédiatement des améliorations en matière d’administration, de fiabilité, de sécurité, de performances et d’intégration des services web XML par exemple.

2. État des lieux de Windows Server en entreprise

2.1.

Les différentes versions de Windows Server 2003

Windows Server 2003 offre une gamme de solutions destinées à répondre aux divers besoins des organisations de toutes tailles. Aussi, les scénarios d’utilisation et les besoins en termes de puissance, de disponibilité et d’évolutivité, constitueront les critères de choix entre les différentes éditions de Windows Server 2003. Adresse Windows Server 2003
www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp

Windows Server 2003 Standard Edition
Windows Server 2003 Standard Edition est un système d’exploitation serveur réseau polyvalent. Il répond aux besoins des petites et moyennes organisations et des services 57

Chapitre 2

État des lieux de Windows Server en entreprise

2. État des lieux de Windows Server en entreprise

départementaux ou groupes de travail. Windows Server 2003 Standard Edition permet le partage de fichiers et d’imprimantes, une connectivité Internet sécurisée, le déploiement centralisé d’applications de bureautique, une collaboration performante entre les employés, les partenaires et les clients. Il permet la mise en œuvre d’une infrastructure d’entreprise (services réseau et de communications, sécurité, annuaire, gestion de parc). Il prend en charge le support de systèmes multiprocesseurs symétriques jusqu’à quatre processeurs et un maximum de 4 Go de mémoire vive.

Windows Server 2003 Enterprise Edition
Windows Server 2003 Enterprise Edition constitue un serveur de choix pour les moyennes et grandes entreprises. Il permet la mise en œuvre d’une infrastructure d’entreprise (services réseau et de communications, sécurité, annuaire, gestion de parc), l’exploitation d’applications métier ou tournées vers Internet, comme les services web et le commerce électronique. Windows Server 2003 Enterprise Edition permet la montée en charge sur des serveurs (jusqu’à huit processeurs), et existe en deux versions destinées au support des plateformes Intel 32 bits et 64 bits. Il prend en charge jusqu’à 32 Go de mémoire RAM sur plateforme 32 bits et 64 Go de mémoire RAM sur plateforme 64 bits. Point d’entrée pour la consolidation des services d’infrastructure et des serveurs d’applications, Windows Server 2003 Enterprise Edition bénéficie d’outils de contrôle des ressources (processeurs et mémoires) associées aux applications. La mise en œuvre de solutions de haute disponibilité s’appuiera sur le service de clusters (jusqu’à huit nœuds) et le service de répartition de charge réseau.

Windows Server 2003 Datacenter Edition
Destiné à la mise en œuvre d’applications critiques et volumineuses, Windows Server 2003 Datacenter Edition répond aux besoins des plus grosses bases de données, systèmes transactionnels et applications métier spécifiques. Windows Server 2003 Datacenter Edition représente le système d’exploitation serveur le plus puissant et le plus fonctionnel jamais conçu par Microsoft. Son architecture robuste permet la mise en œuvre de solutions de base de données critiques et de logiciels de planification de ressources d’entreprise (ERP). Il permet le traitement de volumes importants de transactions en temps réel et constitue une excellente plateforme pour la consolidation de serveurs, y compris pour la consolidation d’applications hétérogènes. Il prend en charge jusqu’à 32 processeurs et 64 Go de mémoire sur les serveurs 32 bits et jusqu’à 64 processeurs et 512 Go de mémoire RAM sur les serveurs à base de processeurs 64 bits Intel Itanium. De quoi satisfaire les plus gros besoins en ressources !

Windows Server 2003 Web Edition
Spécifiquement conçu et optimisé pour la mise en œuvre de solutions web, Windows Server 2003 Web Edition est un nouveau produit dans l’ensemble des serveurs web. Il peut être utilisé aussi bien par les fournisseurs de services Internet que par les organisations qui ont choisi d’héberger elles-mêmes leurs serveurs web. Il est optimisé 58

Les différentes versions de Windows Server 2003

pour offrir aux entreprises une plateforme complète et robuste de services et d’hébergement web, facile à déployer et à gérer. Grâce à la technologie ASP .NET de Microsoft, qui fait partie du Framework .NET, Windows Server 2003 Web Edition apporte aux développeurs une plateforme de création et de déploiement rapide de services et d’applications web XML. 2. État des lieux de Windows Server en entreprise

Comparaison des caractéristiques des différentes versions de Windows Server 2003
Le tableau suivant compare les caractéristiques des différentes versions de Windows Server 2003. Il vous aidera dans le choix des versions à installer en fonction de vos besoins. Légende utilisée…
j j j

T : caractéristique totalement prise en charge ; P = caractéristique partiellement prise en charge ; - = caractéristique non prise en charge.

Tableau 2.1 : Comparaison des caractéristiques de Windows Server 2003 Caractéristique Standard Edition T T T T T T T T T T Enterprise Edition T T T T T T T T T T T Datacenter Edition T T T T T T T T T Web Edition

Services d’application .NET Framework .NET IIS6.0 ASP. NET Service UDDI Équilibrage de la charge réseau Service cluster Réseau privé virtuel (VPN) Service d’authentification Internet (IAS) Pont réseau Partage de connexion Internet (ICS) IPv6 T T T T P T

Technologie de clusters

Communications et services réseau

59

Chapitre 2

État des lieux de Windows Server en entreprise

Caractéristique Service d’annuaire Active Directory

Standard Edition T -

Enterprise Edition T T

Datacenter Edition T T

Web Edition

P -

2. État des lieux de Windows Server en entreprise

Prise en charge de MMS (Metadirectory Services) Système de fichiers distribué (DFS) Système de fichiers cryptés (EFS) Restauration de clichés instantanés Transport de clichés instantanés Stockage amovible Stockage à distance Service de télécopie Service pour Macintosh Services pour Unix Virtual Disk Service (VDS) Virtual Shadow Copy Service (VSS) Service de gestion IntelliMirror Jeu de stratégie résultant (RSoP) Ligne de commande Windows Management Instruction (WMI) Installation du système d’exploitation à distance Service d’installation à distance (RIS) Windows System Resource Manager (WSRM)

Services de fichiers et d’impression T T T T T T T T T T T T T T T T T T T T T T T T T T T T T T T P T T T T T T

T T T

T T T

T T T

P P T

T T -

T T T

T T T

T -

60

Les différentes versions de Windows Server 2003

Caractéristique Services multimédias Services Windows Media Évolutivité Prise en charge 64 bits pour les processeurs Ajout de la mémoire à chaud Accès non uniforme à la mémoire (NUMA) Programme Datacenter Services de sécurité Pare-feu Internet Services de certificats, infrastructure de clés publiques et cartes à puces Bureau à distance pour l’administration Terminal Server Annuaire de session Terminal Server

Standard Edition P T T P

Enterprise Edition T T T T T T

Datacenter Edition T T T T T T

Web Edition

-

2. État des lieux de Windows Server en entreprise

T P

Services Terminal Server T T T T T T T T T -

Configuration requise
Même si les configurations minimales ne sont pas vraiment réalistes pour faire tourner en production un environnement Windows Server 2003, il reste toujours intéressant de les connaître. Elles sont présentées dans le tableau suivant. Elles peuvent vous être utiles par exemple en environnement de test ou de lab., sur des machines virtuelles.
Tableau 2.2 : Configurations requises
Critère Standard Edition Enterprise Edition 133 MHz (x86) 733 MHz (Itanium) Datacenter Edition 133 MHz (x86) 733 MHz (Itanium) Web Edition 133 MHz Fréquence d’horloge 133 MHz minimale du processeur

61

Chapitre 2

État des lieux de Windows Server en entreprise

Critère

Standard Edition

Enterprise Edition 733 MHz 128 Mo 256 Mo 32 Go (x86) 64 Go (Itanium) Jusqu’à 8 1,5 Go (x86) 2 Go (Itanium)

Datacenter Edition 733 MHz 512 Mo 1 Go 64 Go (x86) 512 Go (Itanium) 8 au minimum 64 au maximum 1,5 Go (x86) 2 Go (Itanium)

Web Edition 550 MHz 128 Mo 256 Mo 2 Go Jusqu’à 2 1,5 Go

Fréquence d’horloge 550 MHz recommandée RAM minimale RAM recommandée 128 Mo 256 Mo 4 Go Jusqu’à 4 1,5 Go

2. État des lieux de Windows Server en entreprise

RAM maximale Nombre de processeurs Espace disque requis pour l’installation

2.2.

De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ?

Lors du processus de migration de Windows NT 4.0 vers Windows Server 2003, vous allez, pendant un laps de temps plus ou moins long, devoir faire cohabiter des serveurs sous Windows NT 4.0 et des serveurs sous Windows Server 2003. Vous serez obligé d’utiliser les mêmes fonctionnalités, dossiers et utilitaires proposés par les deux systèmes d’exploitation, mais accessibles différemment. En ce sens, mieux vaut disposer de fiches mnémotechniques.

Les nouveaux outils et les anciennes tâches
Tableau 2.3 : Outils d’administration de Windows NT 4.0 et Windows Server 2003
Outils version Windows NT 4.0 Server Administration du service d’accès distant Administration du client réseau Administrateur de disques Analyseur de performances Assistant d’administration Diagnostics Windows NT Équivalence sous Windows Server 2003 Routage et accès distant Utilisez \I386\Adminpak.msi pour installer les outils d’administration de Windows Server 2003 sur les stations de travail Gestion de l’ordinateur/Stockage/Gestion des disques Performances Gérer un serveur Tous les programmes/Accessoires/Outils système/Informations système

62

De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ?

Outils version Windows NT 4.0 Server Éditeur de stratégie système Gestion des services Internet Gestion de licences Gestion des sauvegardes Gestion de serveur

Équivalence sous Windows Server 2003 Accessible depuis Utilisateurs et ordinateurs Active Directory et d’autres consoles Gestionnaire des services Internet Gestionnaire des licences Accessoires/Outils système/Utilitaire de sauvegarde Gestion de l’ordinateur/Outils système/Dossiers partagés Utilisateurs et ordinateurs Active Directory (pour ajouter un ordinateur à un domaine) Sites et services Active Directory (pour forcer manuellement la réplication de l’annuaire entre des contrôleurs de domaine) Gestion de l’ordinateur/Outils système/Utilisateurs et groupes locaux (pour gérer les comptes locaux sur les serveurs autonomes dans les groupes de travail) Stratégie de sécurité locale (pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratégie d’audit et les droits des utilisateurs sur les serveurs autonomes dans les groupes de travail) Utilisateurs et ordinateurs Active Directory (pour gérer les comptes de domaine et pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratégie d’audit et les droits des utilisateurs au travers de la stratégie de groupe) Domaines et approbations (pour gérer les approbations) DHCP WINS DNS Observateur réseau Observateur d’événements Pas d’équivalence

2. État des lieux de Windows Server en entreprise

Gestion des utilisateurs

Gestion des utilisateurs pour le domaine

Gestionnaire DHCP Gestionnaire WINS Gestionnaire DNS Moniteur réseau Observateur d’événements Outils de migration pour Netware

Les dossiers et les utilitaires
Tableau 2.4 : Dossiers spéciaux de Windows NT 4.0 Server et Windows Server 2003
Dossier et utilitaire version Windows NT 4.0 Server Poste de travail Voisinage réseau C:\winnt (dossier système) Équivalence sous Windows Server 2003 Poste de travail Favoris réseau C:\windows

63

Chapitre 2

État des lieux de Windows Server en entreprise

Dossier et utilitaire version Windows NT 4.0 Server C:\winnt\profiles (emplacement où les profils d’utilisateurs locaux sont stockés) L’emplacement par défaut où les applications enregistrent leurs fichiers varie sous Windows NT Démarrer/Rechercher Démarrer/Aide Démarrer/Programmes/Invite de commande Démarrer/Programmes/Explorateur Windows NT Démarrer/Paramètres/Active Desktop

Équivalence sous Windows Server 2003 C:\documents and settings (sauf en cas de mise à niveau depuis NT, auquel cas l’emplacement originel est conservé) Dossier Mes documents pour les applications conformes (sauf en cas de mise à niveau depuis NT, auquel cas l’emplacement originel est conservé) Démarrer/Rechercher Démarrer/Aide et support Démarrer/Invite de commandes Démarrer/Explorateur Windows Clic droit sur le Bureau, Active Desktop

2. État des lieux de Windows Server en entreprise

Démarrer/Paramètres/Options des dossiers Panneau de configuration/Options des dossiers Accessoires/Accès réseau à distance Accessoires/Telnet Panneau de configuration/Connexions réseau Commande Telnet

Le Panneau de configuration
Tableau 2.5 : Panneau de configuration de Windows NT 4.0 et Windows Server 2003
Panneau de configuration sous Windows NT 4.0 Alim. de secours Cartes SCSI Console Internet Modems ODBC Paramètres régionaux Périphériques Périphériques de bandes Équivalence sous Windows Server 2003 Options d’alimentation/Onduleur Gestion de l’ordinateur/Outils système/Gestionnaire de périphériques Invite de commandes, clic droit sur le menu de contrôle, Par défaut Options Internet Options de modems et téléphonie Outils d’administration/Sources de données (ODBC) Options régionales et linguistiques Gestion de l’ordinateur/Outils système/Gestionnaire de périphériques Gestion de l’ordinateur/Outils système/Gestionnaire de périphériques

64

De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?

Panneau de configuration sous Windows NT 4.0 Ports Réseau/Identification

Équivalence sous Windows Server 2003 Gestion de l’ordinateur/Outils système/Gestionnaire de périphériques Système/Nom de l’ordinateur

2. État des lieux de Windows Server en entreprise

Réseau/Services/Protocoles Connexions réseau/Connexion au réseau local/Propriétés /Cartes Réseau/Liaisons Tous les programmes/Accessoires/Communications/Connexions réseau/Avancé/Paramètres avancés Gestion de l’ordinateur/Outils système/Dossiers partagés Outils d’administration/Services Système/Général Système/Avancé/Profil des utilisateurs/Paramètres Système/Avancé/Performances/Paramètres Système/Avancé/Variable d’environnement Système/Avancé/Démarrage et récupération Système/Matériel/Profils matériels Options de modems et téléphonie/Règles de numérotation

Serveur Services Système/Général Système/Profils utilisateurs Système/Performances Système/Environnement Système/Arrêt/Démarrage Système/Profils matériels Téléphonie

2.3.

De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?

D’aucuns pourraient penser que rien n’a changé de Windows 2000 Server à Windows Server 2003. Pour comprendre que cela est faux, il suffirait juste de parler de GPMC (stratégies de groupe) ou tout simplement d’expliquer que, aujourd’hui, plus de 90 % du système peut être administré en ligne de commande. Cette section a pour objectif de présenter les principales améliorations et nouveautés apportées à Windows Server 2003. Elle a aussi pour but d’aider les administrateurs de Windows 2000 Server à anticiper le passage à Windows Server 2003 en mettant en avant les différences importantes entre les deux systèmes d’exploitation. Le nombre d’améliorations étant trop important pour être abordé dans ce seul chapitre, nous n’en traiterons qu’une partie, en nous focalisant sur trois pôles :
j j j

les améliorations apportées à Active Directory ; les améliorations du côté de TCP/IP ; les changements mineurs.

65

Chapitre 2

État des lieux de Windows Server en entreprise

Même si Windows Server 2003 ne représente pas un changement aussi important comparativement au passage entre Windows NT 4.0 Server et Windows 2000, il répond bien souvent par ses améliorations aux interrogations et aux besoins des administrateurs travaillant sous Windows 2000 Server.

2. État des lieux de Windows Server en entreprise

Les améliorations apportées à Active Directory
Si l’on voulait dresser un récapitulatif par thèmes des nouvelles fonctionnalités et des améliorations apportées à Active Directory, on constaterait que, au niveau intégration et productivité, performances et évolutivité, ou encore administration, configuration et amélioration de la sécurité, plus de 60 améliorations significatives mériteraient d’être développées dans ce chapitre. Autant dire qu’on pourrait y consacrer la moitié de ce livre ! Pour cette raison, vous ne trouverez qu’un récapitulatif des fonctions en adéquation avec le contexte de l’étude de cas Puzzmania. Pour le reste des améliorations, vous pouvez consulter les divers sites Microsoft traitant de Windows Server 2003.
j

Les domaines peuvent être maintenant renommés à l’aide d’outils gratuits téléchargeables sur le site de Microsoft à l’adresse www.microsoft.com/ windowsserver2003/downloads/domainrename.mspx. Cet outil reste tout de même à utiliser avec précaution, notamment sur le domaine racine. Les serveurs de catalogue global ne sont plus obligatoires sur chaque site pour prendre en charge l’ouverture de session. Dans le cas d’une entreprise possédant une ou plusieurs succursales ou sur des sites géographiques distants reliés à faible bande passante, tel Puzzmania, Windows Server 2003 améliore le processus d’ouverture de session de telle sorte que les sites géographiques distants n’ont plus besoin d’accéder au serveur central du catalogue global chaque fois qu’un utilisateur souhaite se connecter. Il n’est donc plus nécessaire de déployer un serveur de catalogue global sur chaque site. Attention toutefois aux applications utilisant le catalogue global, tel Exchange, car cela peut générer un trafic sur le lien réseau distant, qui peut s’avérer important et donc avoir un impact sur la production. Depuis Windows Server 2003, les contrôleurs de domaine placent régulièrement dans un cache les informations d’appartenance à un groupe universel. Toujours du côté du trafic réseau, on note une amélioration dans la réplication de l’appartenance au groupe. Une fois la forêt promue en mode natif Windows Server 2003, l’appartenance au groupe est modifiée au niveau des membres individuels plutôt qu’au niveau global. Cela diminue la charge de bande passante sur le réseau lors de la réplication. La compression du trafic de réplication peut être désactivée entre les sites sélectionnés. Même si cela ne nous concerne pas dans notre étude de cas, le générateur de topologie intersite (ISTG, Inter-Site Topologie Generator) dispose d’un algorithme amélioré qui accepte des forêts contenant un nombre de sites beaucoup plus élevé que celui accepté sous Windows 2000 Server.

j

j

j j

66

De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?

j

Les objets utilisateurs dans les annuaires LDAP, qui emploient la classe inetOrgPerson définie dans la RFC 2798 (comme ceux développés par Netscape et Novell), sont désormais utilisables dans Active Directory. L’authentification PassPort est maintenant accessible à Internet Information Services 6.0 et permet aux objets utilisateurs Active Directory d’être mis en correspondance avec leur identification PassPort (si elle existe). 2. État des lieux de Windows Server en entreprise Un nouvel Assistant Configurer votre serveur simplifie la mise en œuvre d’Active Directory et propose des paramètres prédéfinis, tels les rôles qui définissent la fonction des serveurs. Comme vous le verrez lors de l’implémentation des serveurs d’infrastructure, les zones DNS et les serveurs peuvent être créés et automatiquement configurés lors de l’installation d’un serveur de la famille Windows Server 2003. Au lieu de répliquer une copie complète de la base de données Active Directory via le réseau, il est possible de créer un réplica à partir des fichiers existants d’un contrôleur de domaine ou d’un serveur de catalogue global. Les fichiers de sauvegarde, créés par l’utilitaire de sauvegarde d’Active Directory, sont gravés sur support CD ou DVD et le réplica peut alors s’effectuer à partir du support (cette pratique reste intéressante si l’on a un nombre élevé d’utilisateurs et qu’il existe quelques agences avec des bandes passantes à faible débit). Le modèle actuel des niveaux fonctionnels de domaine et de forêt remplace le modèle Windows 2000 Server précèdent (modes mixte/natif) et fournit une interopérabilité entre les contrôleurs de domaine Windows NT 4.0, 2000 et 2003. Les classes et attributs de schéma qui ne sont plus nécessaires peuvent être maintenant redéfinis. Tout administrateur aura pour souvenir la rétrogradation d’un contrôleur de domaine qui se passe mal, avec tout ce que cela comporte. Désormais, la commande dcpromo facilite l’opération. La partition applicative autorise un contrôle plus avancé sur la manière dont les informations de l’annuaire sont répliquées (les informations du DNS y sont maintenant stockées). L’authentification entre forêts permet aux utilisateurs d’une forêt d’accéder aux ressources présentes dans une autre forêt. La notion d’approbation de royaume fait aussi son apparition pour les approbations Kerberos. Un important travail a été réalisé sur les stratégies de groupe, tant sur les outils que sur les nouveaux paramètres. Windows Server 2003 inclut plus de 150 nouveaux paramètres de stratégie, qui permettent de personnaliser et de contrôler le comportement du système d’exploitation vis-à-vis des groupes d’utilisateurs. Les nouvelles fonctions couvrent les points présentés dans ce qui suit.

j

j

j

j

j

j j

j

j

j

67

Chapitre 2

État des lieux de Windows Server en entreprise

Les améliorations du côté de TCP/IP
Voici les nouveautés et améliorations sur la partie TCP/IP…
j

2. État des lieux de Windows Server en entreprise

Les services IIS ont totalement été revus, mais ils ne sont plus installés par défaut pour plus de sécurité. Le traitement du trafic web se fait maintenant en mode noyau. Nous pourrions aussi citer l’amélioration de l’isolation des processus, le verrouillage du serveur par défaut ou bien des nouvelles fonctionnalités de gestion. Mais pour rendre justice à cette nouvelle version du serveur web, il faudrait y consacrer un ouvrage complet. Toutefois, il existe sur le site web de Microsoft, la publication d’un kit de ressources techniques complet, en libre téléchargement à l’adresse
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/iis/default.mspx.

j

Le protocole TCP/IP ne peut plus être supprimé. Mais une nouvelle commande,
netsh, permet, en ligne de commande, de reconfigurer la pile TCP/IP avec ses

valeurs par défaut sans devoir redémarrer le système (cette commande, très puissante, sera décrite dans la partie réseau de l’ouvrage). Il est désormais inutile de supprimer la pile du protocole puis de la réinstaller.
j

Autodétermination des métriques de routage en fonction de la vitesse de l’interface réseau de l’ordinateur : le protocole est capable de calculer lui-même la métrique de chaque route en fonction de la configuration TCP/IP et de la vitesse de l’interface. La taille de la fenêtre de réception TCP/IP est déterminée en fonction de l’adaptateur réseau de la machine. Cette taille de fenêtre conditionne le nombre maximal d’octets qui peuvent être reçus avant l’envoi d’accusés de réception. La pile de protocole IPv6 est prise en charge. La procédure pour rejoindre un domaine a été améliorée de sorte qu’il est possible de détecter un DNS mal configuré. Nouveauté de Windows Server 2003 sur le DNS toujours : les zones de stub et la redirection conditionnelle. Qu’est-ce qu’une zone de stub ? C’est la copie d’une zone contenant uniquement les enregistrements de ressources nécessaires à l’authentification des serveurs DNS faisant autorité pour ladite zone. La fonction de redirection conditionnelle inclut un mécanisme de redirection en fonction du nom d’hôte. Le service DNS permet l’enregistrement d’un journal de débogage. Il enregistre automatiquement les ressources NS et prend en charge la technique de Round Robin pour tous les enregistrements RR (Record Ressources).

j

j j j

j

Les changements mineurs
Les améliorations suivantes sont peut-être moins importantes en termes d’administration quotidienne, mais elles restent vraiment utiles dans certaines situations.

68

De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?

j

Par défaut, les écrans de veille sont maintenant protégés par mot de passe. Cette amélioration est simple mais importante en matière de sécurité dans le contexte d’une salle informatique avec, parfois, des accès plus ou moins restreints. Toujours côté sécurité, lors de l’installation de Windows Server 2003, il est demandé un mot de passe fort pour le compte administrateur par défaut. Cette option est facultative. 2. État des lieux de Windows Server en entreprise La sécurité est renforcée aussi sur le service Telnet. Il est maintenant désactivé au lieu d’être configuré pour un démarrage manuel, comme sous Windows 2000 Server. La base de données DHCP peut être sauvegardée alors que le service est en cours d’exécution. Un pare-feu minimal est disponible. Il a été grandement amélioré depuis le Service Pack 1. L’adresse IP et le numéro de port d’une source sont présents automatiquement dans tous les événements d’audit d’ouverture de sessions. Les paramètres du client DNS peuvent être configurés à l’aide des stratégies de groupe. Un serveur de messagerie POP3 fait son apparition. Il peut venir en complément du composant SMTP du serveur IIS. Cette nouveauté reste mineure dans le sens où la plupart des entreprises utilisent un serveur de messagerie dédié type Exchange.

j

j

j j j j j

Les petits plus de la version 2003 et les Feature Packs
Microsoft a ajouté, via des Feature Packs, de nouvelles fonctionnalités à Windows Server 2003 depuis sa sortie en avril 2003 et prévoit de poursuivre ses efforts d’innovation. En fait, lorsque cela s’avère nécessaire, Microsoft fournit des extensions appelées Feature Packs. Ces services additionnels sont généralement des composants importants de Windows Server 2003 et sont donc officiellement pris en charge. L’ensemble des fonctionnalités commentées ici peut être téléchargé à l’adresse www.microsoft.com /windowsserver2003/downloads/featurepacks/default.mspx. Voici la liste des fonctionnalités additionnelles qui sont d’ores et déjà téléchargeables sur le site de Microsoft…

Active Directory Application Mode (ADAM)
Pour les organisations qui nécessitent une grande flexibilité, pour les applications intégrées dans un système d’annuaire, ADAM est serveur d’annuaire au standard LDAP v2 et v3. Pour plus d’informations concernant ADAM, rendez-vous à l’adresse www.microsoft.com/windowsserver2003/adam/default.mspx.

69

Chapitre 2

État des lieux de Windows Server en entreprise

Automated Deployment Services (ADS)
Disponible en téléchargement pour Windows Server 2003 Enterprise, ce module inclut un ensemble d’outils de clonage qui permet d’automatiser le déploiement de systèmes d’exploitation Microsoft. Pour plus d’informations sur ADS 1.0, rendez-vous à l’adresse www.microsoft.com/windowsserver2003/techinfo/overview/adsbenefits.mspx. 2. État des lieux de Windows Server en entreprise

File Replication Services (FRS) Monitoring Tools
Il s’agit d’un ensemble d’outils assurant les grandes opérations de gestion du système de réplication de fichiers FRS. FRS est utilisé dans le cadre de l’accès au volume système SYSVOL et aussi pour la synchronisation des partages du système de fichiers DFS. Ce pack contient des outils, comme Ultrasound et Sonar, capables de surveiller le service DFS, ou encore FRSDiag. Pour plus d’informations sur FRS, rendez-vous à l’adresse www.microsoft.com/windowsserver2003/technologies/storage/dfs/tshootfrs.mspx. Pour une présentation multimédia sur FRS, consultez le lien www.microsoft.com
/windowsserver2003/evaluation/frs/viewer.htm.

Group Policy Management Console (GPMC)
La nouvelle GPMC simplifie l’administration des stratégies de groupe en permettant de mieux comprendre, de déployer et d’administrer l’implémentation des GPO. Pour plus d’informations sur la GPMC, rendez-vous à l’adresse www.microsoft.com/technet /prodtechnol/windowsserver2003/technologies/featured/gp/default.mspx.

Identity Integration
Identity Integration Feature Pack for Microsoft Windows Server Active Directory permet la gestion des identités et coordonne les propriétés des objets utilisateurs entre l’annuaire Active Directory et les différentes implémentations d’ADAM, de Microsoft Exchange 2000 Server et d’Exchange Server 2003. Il permet ainsi de voir un utilisateur donné ou une ressource donnée en une seule vue logique.

ISCSI Support
Ce module permet la prise en charge de l’interface iSCSI en fournissant une solution économique pour la mise en œuvre de réseaux de stockage IP (sur SAN et NAS).

Windows SharePoint Services
Les services WSS permettent d’envisager une nouvelle vision du système de stockage. Outre le stockage, WSS permet la mise en place d’une solution de collaboration pour les groupes d’utilisateurs et les équipes devant travailler ensemble sur des documents, des tâches, des contacts, des événements et d’autres informations pertinentes.

70

Windows Server 2003 Service Pack 2 et R2

Services for Unix
Les services pour Unix 3.5 permettent d’atteindre un haut niveau d’interopérabilité avec les environnements Unix. Ce pack comprend un serveur NFS et NIS ainsi que de nombreux outils pour aider les clients à faire migrer leurs applications d’Unix vers Windows. 2. État des lieux de Windows Server en entreprise

Windows Rights Management Services (RMS)
RMS est un élément clé de la stratégie de sécurité. En effet, il permet de mettre en œuvre un très haut niveau de protection pour les applications RMS-aware. L’objectif est de protéger les documents et les données critiques de l’entreprise contre tout accès non autorisé.

2.4.

Windows Server 2003 Service Pack 2 et R2

Tout le monde est maintenant habitué à la notion de Service Pack. Personne n’est plus surpris par la sortie et la mise à disposition d’un Service Pack pour Windows (quelle que soit la version). L’information est rapidement connue de tous. C’est donc avec une certaine logique que Microsoft a mis à disposition le Service Pack 1 de Windows Server 2003 en 2005, puis le Service Pack 2 en 2007. Vous trouverez la liste des principales améliorations ci-après. Par contre, qu’est-ce que R2 ? Ou plutôt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version améliorée de Windows Server 2003. C’est en quelque sorte un ajout de fonctionnalités à Windows Server 2003. D’ailleurs, le produit est constitué de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalités. Pour autant, ce n’est pas un Service Pack car Windows Server 2003 R2 est soumis à licence. Il est à noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les autres, le sont sous forme de Feature Packs.

Les nouveautés du Service Pack 1
Si vous souhaitez obtenir une bonne vue d’ensemble ou des informations détaillées sur le Service Pack 1 de Windows Server 2003, consultez www.microsoft.com/france/windows/ windowsserver2003/downloads/servicepacks/sp1/overview.mspx. Ce site présente plusieurs articles avec des questions-réponses ainsi que de la documentation en français. 71

Chapitre 2

État des lieux de Windows Server en entreprise

Rendez-vous également à l’adresse : www.microsoft.com/downloads/details.aspx?FamilyId= C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en. Vous pourrez télécharger un document très complet sur le SP1 puisqu’il représente à lui seul 300 pages. Par contre, ce site et la documentation qu’il propose sont en anglais. Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la sécurité, la fiabilité et l’efficacité. Parmi les principales améliorations, citons les éléments suivants :
j

2. État des lieux de Windows Server en entreprise

Prise en charge de la fonction "Ne pas exécuter" incluse dans le matériel. Windows Server 2003 SP1 permet à Windows Server 2003 d’utiliser les fonctionnalités intégrées dans les processeurs d’Intel et d’AMD afin d’empêcher l’exécution de code malveillant à partir de zones de la mémoire qui ne sont pas attribuées à du code. Cette disposition élimine une large part des attaques actuelles. Audit de la métabase Internet Information Services (IIS) 6.0. La métabase est un magasin de stockage XML hiérarchique qui contient les informations de configuration d’IIS 6.0. L’audit de ce magasin permet aux administrateurs réseau de voir qui a accédé à la métabase lorsqu’elle a été corrompue. Paramètres par défaut plus puissants et réduction des privilèges sur les services. Les services tels que RPC et DCOM font partie intégrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnées. En exigeant une authentification plus forte lors de l’appel de ces services, Windows Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent ces services, même si elles sont elles-mêmes peu ou pas sécurisées. Ajout de composants Network Access Quarantine Control. Windows Server 2003 SP1 contient à présent les composants RQS.exe et RQC.exe, qui simplifient le déploiement de Network Access Quarantine Control (contrôle de la mise en quarantaine pour l’accès au réseau). Pour plus d’informations sur ce sujet, rendez-vous à l’adresse www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.

j

j

j

Contrairement à d’autres Service Packs, SP1 ajoute de nouvelles fonctionnalités puissantes à Windows Server 2003. Voici les principales :
j

Pare-feu Windows. Également intégré dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il s’agit d’un pare-feu logiciel destiné à protéger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrôle à l’échelle du réseau via la stratégie de groupe. Mises à jour de sécurité post-installation (PSSU). Les serveurs sont vulnérables entre le moment de l’installation et l’application des dernières mises à jour de sécurité. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes après l’installation, jusqu’à ce que Windows Update soit exécuté pour installer les dernières mises à jour de sécurité sur le nouvel ordinateur.

j

72

Windows Server 2003 Service Pack 2 et R2

Cette fonctionnalité oriente également les administrateurs vers la mise à jour automatique au moment de la première connexion.
j

Assistant Configuration de la sécurité (SCW). Il pose des questions à l’administrateur sur les rôles que doit tenir le serveur, puis il bloque les ports inutiles à ces fonctions. Ainsi, de nombreuses voies d’attaques possibles sont fermées. Support de TLS dans Terminal Services. C’est la grande nouveauté sur TSE, qui permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et d’utiliser TLS comme une méthode de chiffrement pour les communications entre le client et le serveur. 2. État des lieux de Windows Server en entreprise

j

Les nouveautés du Service Pack 2
Le Service Pack 2 (SP2) donne accès en un seul package aux dernières mises à jour, améliorations et fonctionnalités disponibles pour Windows Server 2003. Ses composants renforcent la sécurité, la fiabilité et les performances de Windows Server 2003 et Windows Server 2003 R2. Et Microsoft profite de l’opportunité offerte par la sortie du SP2 pour ajouter de nouvelles fonctionnalités à Windows Server 2003.

Les mises à jour
L’administration des mises à jour constitue un véritable défi pour la sécurité des ordinateurs. Malgré cela, les mises à jour doivent être appliquées car elles jouent un rôle vital dans la sécurisation du parc informatique de l’entreprise en anticipant sur les attaques et en bloquant les vulnérabilités. La fréquence des mises à jour est cruciale pour résoudre les problèmes de sécurité dès qu’ils sont découverts. En regroupant toutes les mises à jour dans SP2, Microsoft apporte en un seul package l’ensemble des protections les plus récentes pour Windows Server 2003. En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2 installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que certaines fonctions ou améliorations importantes réclamées par les clients. Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.

Scalable Networking Pack (SNP)
Les entreprises connaissent un développement rapide du trafic sur leurs réseaux interne et externe. Cette croissance du trafic est due, au moins en partie, aux applications métier en réseau et aux solutions de sauvegarde et de stockage sur le réseau. À cela s’ajoutent les applications multimédias comme la visioconférence et les présentations audio et vidéo.

73

Chapitre 2

État des lieux de Windows Server en entreprise

Le déploiement d’Ethernet, puis du Gigabit Ethernet étend la bande passante disponible afin de faire face à cette demande, mais plus le réseau présente un débit important, plus la charge sur les serveurs s’accroît. La prise en charge des réseaux rapides implique par conséquent la mise en place de serveurs puissants. Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack), un pack de réseau capable de monter en charge et qui aide à faire face à la montée du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui visent à éliminer les goulets d’étranglement du système d’exploitation associés au traitement des paquets. Voici les améliorations apportées par ce package :
j

2. État des lieux de Windows Server en entreprise

TCP Chimney Offload (allégement de la pile TCP). TCP Chimney Offload transfère de façon automatique le traitement du trafic TCP (Transmission Control Protocol) avec état à un adaptateur réseau spécialisé qui met en œuvre un moteur de déchargement TCP (TOE, TCP Offload Engine). Pour les connexions à longue durée de vie mettant en œuvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour d’autres applications sollicitant fortement le réseau, TCP Chimney Offload réduit largement la charge du processeur en délégant à l’adaptateur réseau le traitement des paquets du réseau, y compris la fragmentation et le réassemblage des paquets. En utilisant TCP Chimney Offload, vous allégez le processeur qui peut se concentrer sur d’autres tâches comme permettre davantage de sessions utilisateurs ou traiter les requêtes des applications en réduisant la latence. Cette fonction était auparavant proposée par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Montée en charge en fonction du trafic reçu. Cette technique permet de répartir le trafic entrant (paquets reçus) entre plusieurs processeurs en exploitant de nouvelles améliorations matérielles des interfaces réseau. Elle peut répartir dynamiquement la charge du trafic entrant en fonction de la charge du système ou des conditions de fonctionnement du réseau. Toute application recevant de nombreux paquets et fonctionnant sur un système multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bénéficier de la mise en place de ce dispositif. NetDMA. NetDMA autorise une gestion plus efficace de la mémoire en permettant un accès direct à la mémoire (DMA) sur les serveurs équipés de la technologie idoine comme l’I/OAT (I/O Acceleration Technology) d’Intel.

j

j

Le Scalable Networking Pack (SNP) de Microsoft Windows Server 2003 SP2 permet de mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la topologie réseau, de changer les configurations des serveurs ou de passer du temps à modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropriées en fonction des besoins, sans devoir changer de fournisseur de matériel.

74

Windows Server 2003 Service Pack 2 et R2

Informations supplémentaires sur SNP
www.microsoft.com/snp

XmlLite
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes performances, fondées sur XML, capables d’une large interopérabilité avec d’autres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilité d’utilisation, les performances et le respect des standards. XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++. Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j

2. État des lieux de Windows Server en entreprise

XmlLite (natif) ; MSXML (SAX2, natif) ; System.XML.XmlReader (géré).

Les implémentations DOM (Document Object Model) suivantes intègrent des analyseurs :
j j

MSXML (DOM) ; System.XML (XmlDocument).

XML peut servir comme format d’enregistrement de documents, comme dans la dernière version de Word, et aussi pour encoder les données pour des appels de méthodes de conversion de paramètres (marshaling) d’une machine à une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des données du serveur web vers le navigateur. Les serveurs de bases de données répondent aux requêtes en XML, ces réponses étant ensuite traitées par d’autres applications. XML étant un format très souple, vous pouvez l’utiliser dans de nombreux scénarios qui se répartissent en deux catégories principales :
j

Certains scénarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir s’il s’agit de documents XML valides ou non. Dans ces scénarios, la vérification de la validité est importante. Généralement, les développeurs utilisent des schémas XSD ou des DTD (Document Type Definition) pour vérifier la validité. La performance s’en trouve réduite, mais l’application peut ainsi être sûre qu’elle reçoit un document XML valide. Ce scénario s’applique à toutes les applications qui enregistrent ou chargent des documents.

75

Chapitre 2

État des lieux de Windows Server en entreprise

j

2. État des lieux de Windows Server en entreprise

Certains logiciels emploient XML comme un magasin de données ou un moyen de communiquer. Dans ce cas, le développeur sait que le document est valide car une autre partie de l’application (sous le contrôle du même programmeur ou du même éditeur) a produit le code XML. La validité du document n’est donc plus un problème. Par exemple, nous sommes dans cette situation lorsque le logiciel s’exécute sur une ferme de serveurs, et XML sert à communiquer entre serveurs et processus. Un autre exemple pourrait être fourni par une application complexe qui enregistre et relit de gros volumes d’informations. Le développeur contrôle totalement le format du document XML.

Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML.

Les services de déploiement Windows WDS (Windows Deployment Services)
Windows Server 2003 SP2 inclut une version profondément remaniée de RIS (Remote Installation Services, "services d’installation à distance"), désormais nommée Services de déploiement Windows ou WDS, qui aide les entreprises à préparer l’arrivée de Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging).

Si vous souhaitez obtenir plus d’informations sur RIS, consultez le chapitre Installer et Déployer Windows Server 2003. Quant à WDS, nous y reviendrons en détail dans le chapitre Service de déploiement spécialement dédié à cet outil. Windows Deployment Services améliore RIS sur plusieurs points :
j j j j

prise en charge native de Windows PE comme système d’exploitation d’amorçage ; prise en charge native du format de fichier WIM (Windows Imaging) ; composant serveur PXE extensible et plus performant ; nouveau menu d’amorçage client pour choisir le système d’exploitation.

WDS réduit le coût total de possession et la complexité des déploiements en apportant une solution de bout en bout pour déployer des systèmes d’exploitation Windows sur des ordinateurs sans systèmes d’exploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003.

76

Windows Server 2003 Service Pack 2 et R2

Pour décrire le niveau de fonctionnalité associé à chaque configuration possible de WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories, connues sous le nom de "modes serveurs".
j

Le mode compatible WDS est fonctionnellement équivalent à RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera présent comme système d’exploitation d’amorçage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.

2. État des lieux de Windows Server en entreprise

Tableau 2.6 : Le mode compatible WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS

j

Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage OSChooser et Windows PE sont disponibles. Dans ce mode, l’accès aux anciens types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est possible d’exploiter le nouveau format WIM via une image d’amorçage Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.

Tableau 2.7 : Le mode mixte WDS Fonctionnalité Environnements d’amorçage Types d’images Outils d’administration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS

j

Le mode natif WDS correspond à un serveur WDS et à des images d’amorçage uniquement de type Windows PE. Dans ce mode, OSChooser disparaît et les images WIM sont les seules à être prises en charge pour un déploiement sur les clients. L’administration du serveur s’effectue via les outils WDS. Le mode natif WDS s’applique à Windows Server 2003 et à Windows Server 2008. Pour Windows Server 2008, il s’agit du seul mode serveur WDS pris en charge.

77

Chapitre 2

État des lieux de Windows Server en entreprise

Tableau 2.8 : Le mode natif WDS Fonctionnalité Environnement d’amorçage Type d’image Outil d’administration Valeur Windows PE WIM Administration WDS

2. État des lieux de Windows Server en entreprise

Ces différents modes permettent une transition en douceur entre les fonctionnalités RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows Server 2008. Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS. À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande /forceNative).

Microsoft Management Console 3.0 (MMC 3.0)
Microsoft Management Console 3.0 (MMC 3.0) simplifie l’administration quotidienne de Windows par des menus, des barres d’outils, une navigation et des flux de tâches qui unifient les différents outils. Les outils MMC servent à administrer les réseaux, les ordinateurs, les services, les applications et d’autres composants système. La console MMC n’effectue pas par elle-même des tâches d’administration, mais héberge des composants Microsoft et tiers qui le font. MMC 3.0 abaisse le coût de l’administration des applications Windows en fournissant une console de centralisation, simple à utiliser et cohérente. Pour les administrateurs, cette console, dans sa version 3.0, améliore les performances, la fiabilité et la découverte dans le contexte d’actions sensibles. Pour les développeurs, elle réduit le coût du développement de composants logiciels enfichables en nécessitant moins de code et moins de temps passé à la conception. MMC 3.0 représente un cadre de travail pour écrire des composants logiciels enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de programmation .NET simplifie le développement de ces composants. La réalisation d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.

Wireless Protected Access 2 (WPA2)
Microsoft a diffusé la mise à jour Wireless Protected Access 2 pour Windows XP Service Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalité 78

Windows Server 2003 Service Pack 2 et R2

principalement pour les éditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP, attention à la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour améliorer la sécurité des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics sécurisés équipés d’un accès Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11 d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires du standard IEEE 802.11i, supplémentaires par rapport à WPA. La mise en œuvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractéristiques suivantes du standard WPA2 de l’IEEE :
j j

2. État des lieux de Windows Server en entreprise

WPA2 Enterprise qui utilise l’authentification IEEE 802.1X et WPA2 Personal via une clé prépartagée (PSK). Chiffrement avancé qui utilise le protocole CCMP (CM-CBC-MAC, Counter Mode-Cipher Block Chaining-Message Authentication Code) afin de renforcer la confidentialité des données, l’authentification de l’origine des données et l’intégrité des données pour les transmissions sans fil. Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans fil mettent en cache les résultats des authentifications 802.1X. Par conséquent, l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point d’accès sans fil auprès duquel il s’est authentifié précédemment. Utilisation optionnelle de la préauthentification. Lors d’une préauthentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres points d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier point d’accès.

j

j

La version améliorée de l’outil CACLS
ICACLS est une mise à jour de l’outil CACLS dans Windows Server 2003 SP2 que vous pouvez utiliser pour réinitialiser les listes de contrôle d’accès (ACL) sur les fichiers à partir de la Console de récupération. Cet outil sert aussi à sauvegarder des ACL. Contrairement à CACLS, ICACLS propage correctement les créations et les modifications vers des ACL héritées. En tapant icacls /? en ligne de commande, vous obtiendrez des informations supplémentaires sur l’utilisation de ICACLS.

Les fonctions existantes améliorées
Enfin, le SP2 améliore certaines fonctionnalités existantes de Windows Server 2003 avec le SP1. Voici une liste des améliorations apportées…

79

Chapitre 2

État des lieux de Windows Server en entreprise

Tableau 2.9 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows

Server 2003
Modification Authentification par port de pare-feu Description Une authentification par port sécurise le trafic entre l’environnement extranet et des ressources internes qui sont protégées par une isolation de domaine IPSec. L’installation du SP2 active cette fonctionnalité par défaut. Le SP2 améliore les performances de SQL Server 2005 lorsque le serveur est soumis à de fortes charges. L’installation du SP2 active cette amélioration par défaut.

2. État des lieux de Windows Server en entreprise

Amélioration des performances pour SQL Server

Options de découverte améliorées dans MSConfig propose désormais un onglet supplémentaire qui constitue MSConfig un point de lancement unique pour des outils de support qui faciliteront la découverte de diagnostics. L’installation du SP2 active cette amélioration par défaut. Meilleure administration du filtre lPSec Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un scénario d’isolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines à 2. Il supprime aussi le besoin d’une maintenance permanente des filtres due à des modifications de l’infrastructure. L’installation du SP2 active cette amélioration par défaut. Le SP2 améliore les performances lorsque le taux d’accès APIC (Advanced Processor lnterrupt Control) est élevé. Windows Server 2003 fonctionnant comme système d’exploitation multiprocesseur hébergé dans le cadre d’une virtualisation de Windows. Pour la file d’attente des messages, la limite de stockage par défaut est passée à 1 Go. Il est possible de relever cette limite dans la console MMC, via l’onglet Général des Propriétés de la file d’attente des messages. De nouvelles options ont été ajoutées aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles génèrent des balises XML lorsque les tests sont exécutés avec l’option /test:dns. Ce nouveau mécanisme de sortie permet d’analyser plus facilement les fichiers journaux verbeux produits par les tests DNS. Un nouvel événement a été créé pour couvrir certaines situations dans lesquelles le compte du service Cluster devient trop limité par la stratégie appliquée au domaine. Ce nouvel événement porte le numéro 1239. Son texte descriptif inclut des informations de dépannage.

Améliorations des performances dans le cadre de la virtualisation de Windows

Stockage par défaut plus vaste pour la file d’attente des messages

Améliorations des tests DNS DCDIAG

De nouveaux événements pour les comptes du service Cluster

80

Windows Server 2003 Service Pack 2 et R2

Qu’apporte Windows Server 2003 R2 ?
Windows Server 2003 R2, qui est une version de Windows Server à part entière, basée sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalités. En voici quelques-unes, parmi les plus intéressantes…
j

Gestion et déploiement des serveurs d’agences : − sauvegarde et administration centralisée des services de partage de fichiers et d’impression ; − haute disponibilité ; − gestion du hardware à distance.

2. État des lieux de Windows Server en entreprise

j

Active Directory Federation Services : − authentification unique web ; − interopérabilité avec les offres SSO (Single Sign On) web.

j

Gestion du stockage : − gestion plus simple des SAN ; − File Server Migration Toolkit ; − gestion des ressources de stockage.

j

Intégration de packs de fonctionnalités Windows Server 2003 : − Windows Share Point Services ; − Active Directory Application Mode (ADAM) ; − Services pour Unix ; − iSCSI Initiator.

Windows Server 2003 R2 étend les fonctionnalités du système d’exploitation Windows Server 2003 en proposant un moyen plus efficace de gérer et de contrôler l’accès aux ressources locales et distantes, tout en s’intégrant facilement dans l’environnement existant. La version R2 est dotée d’une plateforme hautement sécurisée et capable de monter en charge, permettant la mise en œuvre de nouveaux scénarios : gestion simplifiée des serveurs d’agences et de succursales, administration améliorée des identités et des accès et gestion plus efficace du stockage…

Une gestion simplifiée des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilité et l’efficacité des serveurs de succursales tout en évitant les difficultés généralement inhérentes aux solutions serveurs pour les agences et les succursales, telles que les problèmes de connectivité et les coûts de gestion.

81

Chapitre 2

État des lieux de Windows Server en entreprise

Tableau 2.10 : Avantage de la gestion simplifiée des serveurs dans les agences et les

succursales
Avantage Gestion simplifiée des serveurs dans les agences et les succursales Description Extension de la connectivité et la fiabilité aux agences et aux succursales tout en contrôlant le coût total de possession des infrastructures informatiques. Administration mieux centralisée. Fournit des outils d’administration centralisée pour les fonctions liées aux fichiers et à l’impression. Réduction de l’administration à distance. Minimise l’administration locale et la sauvegarde sur site. Réseau étendu plus efficace. Accélère la réplication des données sur les réseaux étendus.

2. État des lieux de Windows Server en entreprise

Une gestion améliorée des identités et des accès
Windows Server 2003 R2 inclut Active Directory Federation Services (ADFS), qui permet aux administrateurs de faire face aux problèmes posés par la gestion des identités. Les organisations peuvent en effet partager les informations relatives à l’identité d’un utilisateur de manière plus sécurisée, et par-delà les limites de sécurité. Windows Server 2003 R2 fournit en outre une fonction de synchronisation des mots de passe Unix. Il est ainsi plus facile d’intégrer les serveurs exécutant Windows et Unix du fait de la simplification du processus de gestion des mots de passe sécurisés.

Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre ADAM et ADFS.

Tableau 2.11 : Avantage de la gestion améliorée des identités et des accès
Avantage Gestion améliorée des identités et des accès Description Ajoutez de la valeur aux déploiements Active Directory en vue de faciliter les accès sécurisés au-delà des limites de l’organisation et des plateformes. Les entreprises sont ainsi en mesure de gérer une même identité dans des applications partenaires, Web et Unix. Efficacité accrue pour l’utilisateur. Moins de mots de passe pour l’accès aux applications internes ou hébergées chez des partenaires, grâce à l’authentification unique sur extranet et à la fédération des identités. Plus grande efficacité pour les administrateurs système. Administration centralisée de l’accès aux applications sur les extranets, réduction des changements de mots de passe et délégation possible de la gestion des utilisateurs à des partenaires de confiance. Meilleure sécurité. Blocage automatique de l’accès à l’extranet par le biais de la désactivation du compte Active Directory d’un utilisateur. Meilleure mise en conformité. Consignation des accès utilisateurs aux applications partenaires dans les domaines de sécurité externes.

82

Windows Server 2003 Service Pack 2 et R2

Avantage

Description Meilleure interopérabilité des systèmes hétérogènes. Authentification web unique entre les plateformes et fédération des identités. Les outils et les spécifications de l’interopérabilité des services web permettent de gérer et de mettre à jour dynamiquement les comptes et les mots de passe utilisateurs sur les systèmes Windows et Unix à l’aide du service NIS (Network Information Service). À cela s’ajoute la synchronisation automatique des mots de passe entre les systèmes d’exploitation Windows et Unix.

2. État des lieux de Windows Server en entreprise

Des coûts de gestion du stockage réduits
Windows Server 2003 R2 est doté de nouveaux outils qui fournissent une vue centralisée du stockage. Cette version comprend également des fonctions simplifiées de planification, de mise en place et de gestion du stockage ainsi que des outils améliorés de contrôle et de génération de rapports.
Tableau 2.12 : Avantage de la gestion du stockage
Avantage Coûts de gestion du stockage réduits Description Meilleur contrôle de la configuration du stockage et réduction des coûts de gestion grâce à des fonctions de gestion avancées. Meilleure utilisation du stockage. Des rapports détaillés vous informent sur l’utilisation du stockage. Meilleure administration des quotas. Contrôle l’utilisation de l’espace disque à l’aide de quotas sur les répertoires. Meilleur filtrage des fichiers. Restriction des types de fichiers autorisés sur les serveurs grâce au filtrage des fichiers. Configuration SAN simplifiée. Configuration et dimensionnement aisés de réseaux SAN.

Une plateforme web riche
Windows Server 2003 R2 permet aux entreprises d’étendre leur infrastructure sur le Web tout en réduisant les coûts de développement et de gestion grâce à Windows SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.

83

Chapitre 2

État des lieux de Windows Server en entreprise

Tableau 2.13 : Avantage de la plateforme web Avantage Plateforme web riche Description Plateforme web plus performante. Les toutes dernières technologies 64 bits et .NET permettent de doubler les performances du Web. Windows SharePoint Services constitue une solution de collaboration rentable pouvant être déployée, configurée et gérée très rapidement. Avec ASP.NET, développez rapidement des services et des applications web riches à l’aide de .NET Framework. IIS 6.0 offre un serveur web haute performance plus sécurisé. La prise en charge de la technologie 64 bits améliore les performances pour un coût réduit.

2. État des lieux de Windows Server en entreprise

La virtualisation de serveur à moindre coût
Windows Server 2003 R2 Enterprise Edition permet d’exécuter jusqu’à quatre instances virtuelles de Windows Server 2003 R2 sur une même partition matérielle ou un même serveur physique sous licence, ce qui entraîne une réduction notable du coût de la virtualisation de serveur.
Tableau 2.14 : Avantage de la virtualisation de serveur Avantage Virtualisation de serveur à moindre coût Description Virtualisation à valeur ajoutée. Windows Server 2003 R2 Enterprise Edition ajoute de la valeur à la virtualisation de serveur. La nouvelle stratégie de licence permet désormais aux utilisateurs d’exécuter jusqu’à quatre instances virtuelles de Windows Server 2003 R2 Enterprise Edition sur une seule partition matérielle ou un seul serveur physique sous licence.

Nouveau cycle de produits Windows Server
Microsoft essaie maintenant de définir un cycle d’évolution des prochaines versions de Windows Server de telle sorte que les clients puissent planifier et budgétiser ces évolutions. La règle est de fournir une version majeure de Windows Server tous les quatre ans environ, puis une mise à niveau tous les deux ans après chaque version majeure.

Version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matériels, de nouveaux modèles de

84

En résumé

programmation et des évolutions fondamentales dans les domaines de la sécurité et de la stabilité. Ces changements majeurs peuvent bien entendu générer des incompatibilités entre le nouveau système et les matériels et logiciels existants.

Version mise à jour
Les versions mises à jour incluent la précédente version majeure ainsi que le dernier Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles. Comme une version mise à jour est basée sur la précédente version majeure, les clients peuvent l’incorporer dans leur environnement de production sans autres tests supplémentaires que ceux que pourrait nécessiter un simple Service Pack. Toutes les fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait, elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les clients n’ont pas à certifier ou à tester à nouveau leurs applications. 2. État des lieux de Windows Server en entreprise

Service Packs
Les Service Packs incorporent toutes les corrections de type critique et non critique ainsi que les dernières demandes de correction qui les concernent, émises par les clients. Les Service Packs sont testés de manière intensive par Microsoft et par les clients et partenaires participant à un programme de bêta test. Ils peuvent ainsi inclure des améliorations importantes de la sécurité, comme le Security Configuration Wizard, inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois nécessaire de modifier certains programmes pour prendre en charge les nouveaux standards de l’industrie ou des fonctionnalités demandées par les clients. Ces changements sont soigneusement évalués et testés avant d’être finalement inclus dans un Service Pack. Afin de permettre les extensions et les évolutions d’architecture, Microsoft maintient un niveau de compatibilité entre les Service Packs en réalisant des tests intensifs sur les applications et ces différents Service Packs. En règle générale, les problèmes de compatibilité concernent les applications qui utilisent de manière inappropriée des appels système, des interfaces internes ou des fonctions spécifiques.

2.5.

En résumé

Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003, du Service Pack 1, du Service Pack 2 et de Windows Server 2003 R2. Maintenant que vous avez déchiré l’emballage et sorti le CD-Rom du boîtier, il est temps de passer à l’installation du produit, dans le cadre d’une entreprise, en l’occurrence Puzzmania.

85

Chapitre 3

Windows Server 2003 Service Pack 2 et R2
3.1 3.2 3.3 3.4 3.5 Les nouveautés du Service Pack 1 . . . . . . . . Les nouveautés du Service Pack 2 . . . . . . . . Qu’apporte Windows Server 2003 R2 ? . . . . . Un nouveau cycle de produits Windows Server En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . 91 . 99 . 102 . 103

Les nouveautés du Service Pack 1

T

out le monde est maintenant habitué à la notion de Service Pack. Personne n’est plus surpris par la sortie et la mise à disposition d’un Service Pack pour Windows (quelle que soit la version). L’information est rapidement connue de tous. C’est donc avec une certaine logique que Microsoft a mis à disposition le Service Pack 1 de Windows Server 2003 en 2005 puis le Service Pack 2 en 2007. Vous trouverez la liste des principales améliorations ci-après. Par contre, qu’est-ce que R2 ? Ou plutôt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version améliorée de Windows Server 2003. C’est en quelque sorte un ajout de fonctionnalités à Windows Server 2003. D’ailleurs, le produit est constitué de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalités. Pour autant, ce n’est pas un Service Pack car Windows Server 2003 R2 est soumis à licence. Il est à noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les autres, le sont sous forme de Feature Packs.

3. Windows Server 2003 Service Pack 2 et R2

3.1.

Les nouveautés du Service Pack 1
SP1 sur le site de Microsoft Si vous souhaitez obtenir une bonne vue d’ensemble ou alors des informations détaillées sur le Service Pack 1 de Windows Server 2003, consultez :
j

www.microsoft.com/france/windows/windowsserver2003/downloads /servicepacks/sp1/overview.mspx.

Ce site présente plusieurs articles avec des questions-réponses ainsi que de la documentation en français. Rendez-vous également à l’adresse :
j

www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2 -B1B6-3659B92B2CDE&displaylang=en.

Vous pourrez télécharger un document très complet sur le SP1 puisqu’il représente à lui seul 300 pages. Par contre, ce site et la documentation qu’il propose sont en anglais. Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la

89

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

sécurité, la fiabilité et l’efficacité. Parmi les principales améliorations, citons les éléments suivants…
j

Prise en charge de la fonction "Ne pas exécuter" incluse dans le matériel : Windows Server 2003 SP1 permet à Windows Server 2003 d’utiliser les fonctionnalités intégrées dans les processeurs d’Intel et d’AMD afin d’empêcher l’exécution de code malveillant à partir de zones de la mémoire qui ne sont pas attribuées à du code. Cette disposition élimine une large part des attaques actuelles. Audit de la métabase IIS 6.0 (Internet Information Services) : la métabase est un magasin de stockage XML hiérarchique qui contient les informations de configuration d’IIS 6.0. L’audit de ce magasin permet aux administrateurs réseau de voir qui a accédé à la métabase lorsqu’elle a été corrompue. Paramètres par défaut plus puissants et réduction des privilèges sur les services : les services tels que RPC et DCOM font partie intégrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnées. En exigeant une authentification plus forte lors de l’appel de ces services, Windows Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent ces services, même si elles sont elles-mêmes peu ou pas sécurisées. Ajout de composants Network Access Quarantine Control : Windows Server 2003 SP1 contient à présent les composants RQS.exe et RQC.exe, qui simplifient le déploiement de Network Access Quarantine Control (contrôle de la mise en quarantaine pour l’accès au réseau). Pour plus d’informations sur ce sujet, rendez-vous à l’adresse www.microsoft.com/windowsserver2003/techinfo/overview /quarantine.mspx.

j

3. Windows Server 2003 Service Pack 2 et R2

j

j

Contrairement à d’autres Services Packs, SP1 ajoute de nouvelles fonctionnalités puissantes à Windows Server 2003. Voici les principales…
j

Pare-feu Windows : également intégré dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il s’agit d’un pare-feu logiciel destiné à protéger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrôle à l’échelle du réseau via la stratégie de groupe. Mises à jour de sécurité post-installation (PSSU) : les serveurs sont vulnérables entre le moment de l’installation et l’application des dernières mises à jour de sécurité. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes après l’installation, jusqu’à ce que Windows Update soit exécuté pour installer les dernières mises à jour de sécurité sur le nouvel ordinateur. Cette fonctionnalité oriente également les administrateurs vers la mise à jour automatique au moment de la première connexion. Assistant Configuration de la sécurité (SCW) : il pose des questions à l’administrateur sur les rôles que doit tenir le serveur, puis il bloque les ports inutiles à ces fonctions. Ainsi, de nombreuses voies d’attaques possibles sont fermées.

j

j

90

Les nouveautés du Service Pack 2

j

Support de TLS dans Terminal Services : c’est la grande nouveauté sur TSE, qui permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et d’utiliser TLS comme une méthode de chiffrement pour les communications entre le client et le serveur.

3.2.

Les nouveautés du Service Pack 2
3. Windows Server 2003 Service Pack 2 et R2

Le Service Pack 2 (SP2) donne accès en un seul package aux dernières mises à jour, améliorations et fonctionnalités disponibles pour Windows Server 2003. Ses composants renforcent la sécurité, la fiabilité et les performances de Windows Server 2003 et Windows Server 2003 R2. Et Microsoft profite de l’opportunité offerte par la sortie du SP2 pour ajouter de nouvelles fonctionnalités à Windows Server 2003.

Les mises à jour
L’administration des mises à jour constitue un véritable défi pour la sécurité des ordinateurs. Mais malgré cela, les mises à jour doivent être appliquées car elles jouent un rôle vital dans la sécurisation du parc informatique de l’entreprise en anticipant sur les attaques et en bloquant les vulnérabilités. La fréquence des mises à jour est cruciale pour résoudre les problèmes de sécurité dès qu’ils sont découverts. En regroupant toutes les mises à jour dans SP2, Microsoft apporte en un seul package l’ensemble des protections les plus récentes pour Windows Server 2003. En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2 installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que certaines fonctions ou améliorations importantes réclamées par les clients. Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.

Scalable Networking Pack (SNP)
Les entreprises connaissent un développement rapide du trafic sur leurs réseaux interne et externe. Cette croissance du trafic est due, au moins en partie, aux applications métier en réseau et aux solutions de sauvegarde et de stockage sur le réseau. À cela s’ajoutent les applications multimédias comme la visioconférence et les présentations audio et vidéo. Le déploiement d’Ethernet, puis du Gigabit Ethernet étend la bande passante disponible afin de faire face à cette demande mais plus le réseau présente un débit important, plus la charge sur les serveurs s’accroît. La prise en charge des réseaux rapides implique par conséquent la mise en place de serveurs puissants.

91

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack, un pack de réseau capable de monter en charge) qui aide à faire face à la montée du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui visent à éliminer les goulets d’étranglement du système d’exploitation associés au traitement des paquets. Voici les améliorations apportées par ce package…
j

TCP Chimney Offload (allégement de la pile TCP) : TCP Chimney Offload transfère de façon automatique le traitement du trafic TCP (Transmission Control Protocol) avec état à un adaptateur réseau spécialisé qui met en œuvre un moteur de déchargement TCP (TOE, TCP Offload Engine). Pour les connexions à longue durée de vie mettant en œuvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour d’autres applications sollicitant fortement le réseau, TCP Chimney Offload réduit largement la charge du processeur en délégant à l’adaptateur réseau le traitement des paquets du réseau, y compris la fragmentation et le réassemblage des paquets. En utilisant TCP Chimney Offload, vous allégez le processeur qui peut se concentrer à d’autres tâches comme permettre davantage de sessions utilisateurs ou traiter les requêtes des applications en réduisant la latence. Cette fonction était auparavant proposée par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Montée en charge en fonction du trafic reçu : cette technique permet de répartir le trafic entrant (paquets reçus) entre plusieurs processeurs en exploitant de nouvelles améliorations matérielles des interfaces réseau. Elle peut répartir dynamiquement la charge du trafic entrant en fonction de la charge du système ou des conditions de fonctionnement du réseau. Toute application recevant de nombreux paquets et fonctionnant sur un système multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bénéficier de la mise en place de ce dispositif. NetDMA : ce composant autorise une gestion plus efficace de la mémoire en permettant un accès direct à la mémoire (DMA) sur les serveurs équipés de la technologie idoine comme l’I/OAT (I/O Acceleration Technology) d’Intel.

3. Windows Server 2003 Service Pack 2 et R2

j

j

Le SNP (Scalable Networking Pack) de Microsoft Windows Server 2003 SP2 permet de mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la topologie réseau, de changer les configurations des serveurs, ou de passer du temps à modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropriées en fonction des besoins, sans devoir changer de fournisseur de matériel. Informations supplémentaires sur SNP
www.microsoft.com/snp

92

Les nouveautés du Service Pack 2

La bibliothèque XmlLite
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes performances, fondées sur XML, capables d’une large interopérabilité avec d’autres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilité d’utilisation, les performances et le respect des standards. XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++. 3. Windows Server 2003 Service Pack 2 et R2 Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j

XmlLite (natif) ; MSXML (SAX2) (natif) ; System.XML.XmlReader (géré).

Les implémentations DOM (Document Object Model) suivantes intègrent des analyseurs :
j j

MSXML (DOM) ; System.XML (XmlDocument).

XML peut servir comme format d’enregistrement de documents, comme dans la dernière version de Word, et aussi pour encoder les données pour des appels de méthodes de marshaling (conversion de paramètres) d’une machine à une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des données du serveur Web vers le navigateur. Les serveurs de bases de données répondent aux requêtes en XML, ces réponses étant ensuite traitées par d’autres applications. XML étant un format très souple, vous pouvez l’utiliser dans de nombreux scénarios qui se répartissent en deux catégories principales :
j

Certains scénarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir s’il s’agit de documents XML valides ou non. Dans ces scénarios, la vérification de la validité est importante. Généralement, les développeurs utilisent des schémas XSD ou des DTD (Document Type Definition) pour vérifier la validité. La performance s’en trouve réduite mais l’application peut ainsi être sûre qu’elle reçoit un document XML valide. Ce scénario s’applique à toutes les applications qui enregistrent ou chargent des documents. Certains logiciels emploient XML comme un magasin de données ou un moyen de communiquer. Dans ce cas, le développeur sait que le document est valide car une autre partie de l’application (sous le contrôle du même programmeur ou du même éditeur) a produit le code XML. La validité du document n’est donc plus un problème. Par exemple, nous sommes dans cette situation lorsque le logiciel s’exécute sur une ferme de serveurs, et XML sert à communiquer entre serveurs et 93

j

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

processus. Un autre exemple pourrait être fourni par une application complexe qui enregistre et relit de gros volumes d’informations. Le développeur contrôle totalement le format du document XML. Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML. 3. Windows Server 2003 Service Pack 2 et R2

Les services de déploiement Windows WDS (Windows Deployment Services)
Windows Server 2003 SP2 inclut une version profondément remaniée de RIS (Remote Installation Services, "services d’installation à distance"), désormais nommée Services de déploiement Windows ou WDS, qui aide les entreprises à préparer l’arrivée de Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging).

Si vous souhaitez obtenir plus d’informations sur RIS, consultez le chapitre L’installation et le déploiement de Windows Server 2003. Quant à WDS, nous y reviendrons en détail dans le chapitre Le service de déploiement spécialement dédié à cet outil. Windows Deployment Services améliore RIS sur plusieurs points :
j j j j

une prise en charge native de Windows PE comme système d’exploitation d’amorçage ; une prise en charge native du format de fichier WIM (Windows Imaging) ; un composant serveur PXE extensible et plus performant ; un nouveau menu d’amorçage client pour choisir le système d’exploitation.

WDS réduit le coût total de possession et la complexité des déploiements en apportant une solution de bout en bout pour déployer des systèmes d’exploitation Windows sur des ordinateurs sans systèmes d’exploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Pour décrire le niveau de fonctionnalité associé à chaque configuration possible de WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories, connues sous le nom de "modes serveurs".

94

Les nouveautés du Service Pack 2

j

Le mode compatible WDS est fonctionnellement équivalent à RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera présent comme système d’exploitation d’amorçage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.

Tableau 3.1 : Le mode compatible WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS

3. Windows Server 2003 Service Pack 2 et R2

j

Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage, OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est possible d’exploiter le nouveau format WIM via une image d’amorçage Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.

Tableau 3.2 : Le mode mixte WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS

j

Le mode natif WDS correspond à un serveur WDS et à des images d’amorçage uniquement de type Windows PE. Dans ce mode, OSChooser disparaît et les images WIM sont les seules à être prises en charge pour un déploiement sur les clients. L’administration du serveur s’effectue via les outils WDS. Le mode natif WDS s’applique à Windows Server 2003 et à Windows Server 2008. Pour Windows Server 2008, il s’agit du seul mode serveur WDS pris en charge.

95

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

Tableau 3.3 : Le mode natif WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur Windows PE WIM Administration WDS

3. Windows Server 2003 Service Pack 2 et R2

Ces différents modes permettent une transition en douceur entre les fonctionnalités RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows Server 2008. Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS, mais fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS. À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande /forceNative).

Microsoft Management Console 3.0 (MMC 3.0)
Microsoft Management Console 3.0 (MMC 3.0) simplifie l’administration quotidienne de Windows par des menus, des barres d’outils, une navigation et des flux de tâches qui unifient les différents outils. Les outils MMC servent à administrer les réseaux, les ordinateurs, les services, les applications et d’autres composants système. La console MMC n’effectue pas par elle-même des tâches d’administration mais héberge des composants Microsoft et tiers qui le font. MMC 3.0 abaisse le coût de l’administration des applications Windows en fournissant une console de centralisation, simple à utiliser et cohérente. Pour les administrateurs, cette console, dans sa version 3.0, améliore les performances, la fiabilité et la découverte dans le contexte d’actions sensibles. Pour les développeurs, elle réduit le coût du développement de composants logiciels enfichables en nécessitant moins de code et moins de temps passé à la conception. MMC 3.0 représente un cadre de travail pour écrire des composants logiciels enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de programmation .NET simplifie le développement de ces composants. La réalisation d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.

Wireless Protected Access 2 (WPA2)
Microsoft a diffusé la mise à jour Wireless Protected Access 2 pour Windows XP Service Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalité 96

Les nouveautés du Service Pack 2

principalement pour les éditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP. Attention à la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour améliorer la sécurité des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics sécurisés équipés d’un accès Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11 d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires du standard IEEE 802.11i, supplémentaires par rapport à WPA. La mise en œuvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractéristiques suivantes du standard WPA2 de l’IEEE :
j j

3. Windows Server 2003 Service Pack 2 et R2

WPA2 Enterprise utilise l’authentification IEEE 802.1X et WPA2 Personal via une clé prépartagée (PSK). Le chiffrement avancé utilise le protocole CCMP (CM-CBC-MAC, Counter Mode – Cipher Block Chaining – Message Authentication Code) afin de renforcer la confidentialité des données, l’authentification de l’origine des données et l’intégrité des données pour les transmissions sans fil. Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans fil mettent en cache les résultats des authentifications 802.1X. Par conséquent, l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point d’accès sans fil auprès duquel il s’est déjà authentifié précédemment. Utilisation optionnelle de la pré-authentification. Lors d’une pré-authentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres points d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier point d’accès.

j

j

La version améliorée de l’outil CACLS
ICACLS est une mise à jour de l’outil CACLS dans Windows Server 2003 SP2 que vous pouvez utiliser pour réinitialiser les listes de contrôle d’accès (ACL) sur les fichiers à partir de la Console de récupération. Cet outil sert aussi à sauvegarder des ACL. Contrairement à CACLS, ICACLS propage correctement les créations et les modifications vers des ACL héritées. En tapant icacls /? en ligne de commande, vous obtiendrez des informations supplémentaires sur l’utilisation de ICACLS.

97

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

Les fonctions existantes améliorées
Enfin, le SP2 améliore certaines fonctionnalités existantes de Windows Server 2003 avec le SP1. Voici une liste des améliorations apportées :
Tableau 3.4 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows

Server 2003
Modification Description Une authentification par port sécurise le trafic entre l’environnement extranet et des ressources internes qui sont protégées par une isolation de domaine IPSec. L’installation du SP2 active cette fonctionnalité par défaut. Authentification par port de pare-feu

3. Windows Server 2003 Service Pack 2 et R2

Amélioration des performances Le SP2 améliore les performances de SQL Server 2005 lorsque le pour SQL Server serveur est soumis à de fortes charges. L’installation du SP2 active cette amélioration par défaut. Options de découverte améliorées dans MSConfig MSConfig propose désormais un onglet supplémentaire qui constitue un point de lancement unique pour des outils de support qui faciliteront la découverte de diagnostics. L’installation du SP2 active cette amélioration par défaut. Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un scénario d’isolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines à deux. Il supprime aussi le besoin d’une maintenance permanente des filtres due à des modifications de l’infrastructure. L’installation du SP2 active cette amélioration par défaut.

Meilleure administration du filtre lPSec

Le SP2 améliore les performances lorsque le taux d’accès APIC Améliorations des performances dans le cadre de (Advanced Processor lnterrupt Control) est élevé. Windows Server 2003 fonctionnant comme système d’exploitation la virtualisation de Windows multiprocesseur hébergé dans le cadre d’une virtualisation de Windows. Stockage par défaut plus vaste pour la file d’attente des messages Améliorations des tests DNS DCDIAG Pour la file d’attente des messages, la limite de stockage par défaut est passée à 1 Go. Il est possible de relever cette limite dans la console MMC, via l’onglet Général des propriétés de la file d’attente des messages. De nouvelles options ont été ajoutées aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles génèrent des balises XML lorsque les tests sont exécutés avec l’option /test:dns. Ce nouveau mécanisme de sortie permet d’analyser plus facilement les fichiers journaux verbeux produits par les tests DNS.

De nouveaux événements pour Un nouvel événement a été créé pour couvrir certaines situations les comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limité par la stratégie appliquée au domaine. Ce nouvel événement porte le numéro 1239. Son texte descriptif inclut des informations de dépannage.

98

Qu’apporte Windows Server 2003 R2 ?

3.3.

Qu’apporte Windows Server 2003 R2 ?

Windows Server 2003 R2, qui est une version de Windows Server à part entière, basée sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalités. En voici quelques-unes, parmi les plus intéressantes…
j

La gestion et le déploiement des serveurs d’agences : − sauvegarde et administration centralisée des services de partage de fichiers et d’impression ; − haute disponibilité ; − gestion du hardware à distance. 3. Windows Server 2003 Service Pack 2 et R2

j

Active Directory Federation Services : − authentification unique web ; − interopérabilité avec les offres SSO (Single Sign On) web.

j

La gestion du stockage : − gestion plus simple des SAN ; − File Server Migration Toolkit ; − gestion des ressources de stockage.

j

L’intégration de packs de fonctionnalités Windows Server 2003 : − Windows Share Point Services ; − Active Directory Aplication Mode (ADAM) ; − services pour Unix ; − iSCSI Initiator.

Windows Server 2003 R2 étend les fonctionnalités du système d’exploitation Windows Server 2003 en proposant un moyen plus efficace de gérer et de contrôler l’accès aux ressources locales et distantes, tout en s’intégrant facilement dans l’environnement existant. La version R2 est dotée d’une plateforme hautement sécurisée et capable de monter en charge, permettant la mise en œuvre de nouveaux scénarios : gestion simplifiée des serveurs d’agences et de succursales, administration améliorée des identités et des accès et gestion plus efficace du stockage…

Une gestion simplifiée des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilité et l’efficacité des serveurs de succursales tout en évitant les difficultés généralement

99

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

inhérentes aux solutions serveur pour les agences et les succursales, telles que les problèmes de connectivité et les coûts de gestion.
Tableau 3.5 : Avantage de la gestion simplifiée des serveurs dans les agences et les

succursales
Avantage Description Gestion simplifiée des serveurs Extension de la connectivité et la fiabilité aux agences et aux succursales tout en contrôlant le coût total de possession des dans les agences et les infrastructures informatiques. Administration mieux centralisée. succursales Fournit des outils d’administration centralisée pour les fonctions liées aux fichiers et à l’impression. Réduction de l’administration à distance. Minimise l’administration locale et la sauvegarde sur site. Réseau étendu plus efficace. Accélère la réplication des données sur les réseaux étendus.

3. Windows Server 2003 Service Pack 2 et R2

La gestion améliorée des identités et des accès
Windows Server 2003 R2 inclut ADFS (Active Directory Federation Services), qui permet aux administrateurs de faire face aux problèmes posés par la gestion des identités. Les organisations peuvent en effet partager les informations relatives à l’identité d’un utilisateur de manière plus sécurisée, et par-delà les limites de sécurité. Windows Server 2003 R2 fournit en outre une fonction de synchronisation des mots de passe UNIX. Il est ainsi plus facile d’intégrer les serveurs exécutant Windows et UNIX du fait de la simplification du processus de gestion des mots de passe sécurisés.

Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre Active Directory Application Mode et Active Directory Federation Services.
Tableau 3.6 : Avantage de la Gestion améliorée des identités et des accès Avantage Description Gestion améliorée des identités Ajoutez de la valeur aux déploiements Active Directory en vue de et des accès faciliter les accès sécurisés au-delà des limites de l’organisation et des plateformes. Les entreprises sont ainsi en mesure de gérer une même identité dans des applications partenaires, web et Unix. Efficacité accrue pour l’utilisateur. Moins de mots de passe pour l’accès aux applications internes ou hébergées chez des partenaires, grâce à l’authentification unique sur extranet et à la fédération des identités.

100

Qu’apporte Windows Server 2003 R2 ?

Avantage

Description Plus grande efficacité pour les administrateurs système. Administration centralisée de l’accès aux applications sur les extranets, réduction des changements de mots de passe et délégation possible de la gestion des utilisateurs à des partenaires de confiance. Meilleure sécurité. Blocage automatique de l’accès à l’extranet par le biais de la désactivation du compte Active Directory d’un utilisateur. Meilleure mise en conformité. Consignation des accès utilisateurs aux applications partenaires dans les domaines de sécurité externes. Meilleure interopérabilité des systèmes hétérogènes. Authentification web unique entre les plateformes et fédération des identités. Les outils et les spécifications de l’interopérabilité des services web permettent de gérer et de mettre à jour dynamiquement les comptes et les mots de passe utilisateurs sur les systèmes Windows et Unix à l’aide du service NIS (Network Information Service). À cela s’ajoute la synchronisation automatique des mots de passe entre les systèmes d’exploitation Windows et Unix.

3. Windows Server 2003 Service Pack 2 et R2

Les coûts de gestion du stockage réduits
Windows Server 2003 R2 est doté de nouveaux outils qui fournissent une vue centralisée du stockage. Cette version comprend également des fonctions simplifiées de planification, de mise en place et de gestion du stockage ainsi que des outils améliorés de contrôle et de génération de rapports.
Tableau 3.7 : Avantage de la gestion du stockage Avantage Coûts de gestion du stockage réduits Description Meilleur contrôle de la configuration du stockage et réduction des coûts de gestion grâce à des fonctions de gestion avancées. Meilleure utilisation du stockage. Des rapports détaillés vous informent sur l’utilisation du stockage. Meilleure administration des quotas. Contrôle l’utilisation de l’espace disque à l’aide de quotas sur les répertoires. Meilleur filtrage des fichiers. Restriction des types de fichiers autorisés sur les serveurs grâce au filtrage des fichiers. Configuration SAN simplifiée. Configuration et dimensionnement aisés de réseaux SAN.

101

Chapitre 3

Windows Server 2003 Service Pack 2 et R2

Une plateforme web enrichie
Windows Server 2003 R2 permet aux entreprises d’étendre leur infrastructure sur le Web tout en réduisant les coûts de développement et de gestion grâce à Windows SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.
Tableau 3.8 : Avantage de la plateforme web Avantage Plateforme Web riche Description Plateforme web plus performante. Les toutes dernières technologies 64 bits et .NET permettent de doubler les performances du Web. Windows SharePoint Services constitue une solution de collaboration rentable pouvant être déployée, configurée et gérée très rapidement. Avec ASP.NET, développez rapidement des services et des applications web riches à l’aide de .NET Framework. IIS 6.0 offre un serveur web haute performance plus sécurisé. La prise en charge de la technologie 64 bits améliore les performances pour un coût réduit.

3. Windows Server 2003 Service Pack 2 et R2

Une virtualisation de serveur à moindre coût
Windows Server 2003 R2 Enterprise Edition permet d’exécuter jusqu’à quatre instances virtuelles de Windows Server 2003 R2 sur une même partition matérielle ou un même serveur physique sous licence, ce qui entraîne une réduction notable du coût de la virtualisation de serveur.
Tableau 3.9 : Avantage de la virtualisation de serveur Avantage Virtualisation de serveur à moindre coût Description Virtualisation à valeur ajoutée. Windows Server 2003 R2 Enterprise Edition ajoute de la valeur à la virtualisation de serveur. La nouvelle stratégie de licence permet désormais aux utilisateurs d’exécuter jusqu’à quatre instances virtuelles de Windows Server 2003 R2 Enterprise Edition sur une seule partition matérielle ou un seul serveur physique sous licence.

3.4.

Un nouveau cycle de produits Windows Server

Microsoft essaie maintenant de définir un cycle d’évolution des prochaines versions de Windows Server de telle sorte que les clients puissent planifier et budgétiser ces évolutions. La règle est de fournir une version majeure de Windows Server tous les 4 ans environ, puis une mise à niveau tous les 2 ans après chaque version majeure.

102

En résumé

La version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matériels, de nouveaux modèles de programmation et des évolutions fondamentales dans les domaines de la sécurité et de la stabilité. Ces changements majeurs peuvent bien entendu générer des incompatibilités entre le nouveau système et les matériels et logiciels existants.

La version mise à jour
3. Windows Server 2003 Service Pack 2 et R2 Les versions mises à jour incluent la précédente version majeure ainsi que le dernier Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles. Comme une version mise à jour est basée sur la précédente version majeure, les clients peuvent l’incorporer dans leur environnement de production sans tests supplémentaires autres que ceux qu’un simple Service Pack pourrait nécessiter. Toutes les fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait, elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les clients n’ont pas à certifier ou à tester de nouveau leurs applications.

Les Service Packs
Les Service Packs incorporent toutes corrections de type critique et non critique ainsi que les dernières demandes de corrections qui les concernent, émises par les clients. Les Service Packs sont testés de manière intensive par Microsoft et par les clients et partenaires participant à un programme de bêta test. Ils peuvent ainsi inclure des améliorations importantes de la sécurité, comme le Security Configuration Wizard, inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois nécessaire de modifier certains programmes pour prendre en charge les nouveaux standards de l’industrie ou des fonctionnalités demandées par les clients. Ces changements sont soigneusement évalués et testés avant d’être finalement inclus dans un Service Pack. Afin de permettre les extensions et évolutions d’architecture, Microsoft maintient un niveau de compatibilité entre les Service Packs en réalisant des tests intensifs sur les applications et ces différents Service Packs. En règle générale, les problèmes de compatibilité concernent les applications qui utilisent de manière inappropriée des appels système, des interfaces internes ou des fonctions spécifiques.

3.5.

En résumé

Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003 Service Pack 1 et 2, et de Windows Server 2003 R2. Maintenant que vous avez déchiré l’emballage et sorti le CD-Rom du boîtier, il est temps de passer à l’installation du produit, dans le cadre d’une entreprise, en l’occurrence de Puzzmania.

103

Chapitre 4

L’installation et le déploiement de Windows Server 2003
4.1 4.2 4.3 4.4 Considérations sur l’installation . . . . Installer Windows Server 2003 . . . . Résoudre les problèmes d’installation En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 . 111 . 133 . 134

Considérations sur l’installation

C

e chapitre décrit les méthodes d’installation de Windows Server 2003 appliquées à l’entreprise, qui simplifient la tâche d’installation du système d’exploitation et font gagner du temps. Ce sera ensuite à vous de trouver laquelle est la plus pertinente dans votre contexte de travail. De tous les systèmes d’exploitation de Microsoft, Windows Server 2003 a la procédure d’installation la plus simple et la plus intuitive. C’est à vous qu’il revient de veiller que l’installation réponde à vos exigences d’entreprise et à vos contraintes d’environnement.

4.1.

Considérations sur l’installation

Avant de réaliser l’installation proprement dite, vérifiez que vous disposez de la configuration minimale et découvrez les caractéristiques et les contraintes qu’il vous faut connaître. 4. L’installation et le déploiement de Windows Server 2003 La qualité et la stabilité du système d’exploitation installé sur votre équipement matériel serveur en dépendent.

Les prérequis
Windows Server 2003 arrive évidemment avec une liste de préconisations, de caractéristiques à respecter afin de faire tourner le système d’exploitation dans les meilleures conditions, notamment en ce qui concerne la puissance de processeur, la puissance de la mémoire vive (RAM) et l’espace disque minimal. Le tableau suivant reprend les paramètres minimaux et recommandés en fonction des différentes versions de Windows Server 2003 :
Tableau 4.1 : Configuration nécessaire au fonctionnement de Windows Server 2003
Configuration requise Vitesse minimale du processeur Windows Server 2003 Web Edition 133 MHz Windows Server 2003 Standard Edition 133 MHz Windows Server 2003 Enterprise Edition 133 MHz pour les serveurs x86 733 MHz pour les serveurs Itanium 733 MHz 128 Mo 256 Mo

Vitesse recommandée du processeur Quantité minimale de RAM Quantité minimale de RAM recommandée

550 MHz 128 Mo 256 Mo

550 MHz 128 Mo 256 Mo

107

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Configuration requise Quantité maximale de RAM prise en charge

Windows Server 2003 Web Edition 2 Go

Windows Server 2003 Standard Edition 4 Go

Windows Server 2003 Enterprise Edition 32 Go pour les serveurs x86 64 Go pour les serveurs Itanium Jusqu’à 8 processeurs

Prise en charge des systèmes multiprocesseurs Espace disque pour l’installation

Jusqu’à 2 processeurs

Jusqu’à 4 processeurs

1,5 Go

1,5 Go

1,5 Go pour les serveurs x86 2 Go pour les serveurs Itanium

4. L’installation et le déploiement de Windows Server 2003

Vérifier la compatibilité du système
L’une des considérations majeure à prendre en compte avant l’installation est de bien vérifier la compatibilité de tous les composants matériels avec le système d’exploitation. Microsoft tient à jour une liste des composants matériels qui sont certifiés compatibles avec les différentes versions de Windows (que ce soit pour les versions clientes ou serveurs). Il est très important de s’assurer que le serveur sur lequel vous allez installer Windows Server 2003 ne contient que des composants matériels compatibles. Malheureusement, on a souvent tendance, surtout dans les petites et moyennes entreprises, à négliger cet aspect. Pourquoi ? Tout simplement parce que la recherche de réduction du coût total de possession passe aussi par la recherche d’un fournisseur de matériel compétitif et bon marché. Cependant, dans certains cas, cette réduction de coût se fait au détriment de la stabilité du système d’exploitation, et le matériel est peu fiable. Faites attention que votre fournisseur de matériel affiche clairement la compatibilité du matériel avec le système d’exploitation (souvent par un logo). En outre, depuis l’apparition de la fonctionnalité Plug and Play, tout le monde a pris la mauvaise habitude de ne plus se soucier de ces préoccupations bassement matérielles. Les problèmes que vous rencontrerez si vous installez le système d’exploitation sur un équipement non compatible sont souvent aléatoires : par exemple, le système d’exploitation se fige ou des erreurs de type écran bleu apparaissent. L’origine de ces événements n’est pas évidente à identifier du premier coup et cette expérience risque de mettre vos nerfs à rude épreuve. Dans certains cas, l’équipe de support de Microsoft risque de refuser de vous aider si elle s’aperçoit que le système d’exploitation est installé sur du matériel non compatible. Pour toutes ces raisons, même si cela paraît une évidence, ne faites pas l’impasse sur la vérification de la compatibilité de votre équipement avec le système d’exploitation.

108

Considérations sur l’installation

Windows Hardware Compatibility List Vous trouverez la liste des composants matériels certifiés compatibles à l’adresse www.microsoft.com/whdc/hcl/default.mspx.

Nouvelle installation ou mise à niveau ?
Comme à l’accoutumée, il est possible de procéder soit à une nouvelle installation, soit à une mise à niveau du système d’exploitation existant.

Une nouvelle installation
Dans ce cas, vous démarrez l’installation de votre serveur sur une base saine, un disque dur formaté et propre sur lequel vous pouvez tailler et sélectionner la partition sur laquelle vous voulez installer le système d’exploitation. Vous évitez d’importer d’éventuels problèmes, de mauvais paramètres de configuration ou d’application, dus à une instance de système d’exploitation existante et que l’on migre. Au contraire, vous serez obligé, une fois le serveur installé, de procéder à l’installation et à la configuration complète de la ou les applications associées. C’est la méthode la plus recommandée pour les serveurs, notamment les serveurs d’infrastructure. Lorsque vous achetez un nouveau serveur chez votre fournisseur, il est souvent livré sans système d’exploitation installé, et vous devez passer par une nouvelle installation de Windows Server 2003. Le service informatique de Puzzmania n’utilise que cette méthode afin d’éliminer le doute en cas de problèmes durant cette phase. 4. L’installation et le déploiement de Windows Server 2003

Cette méthode est détaillée dans la section Installer Windows Server 2003 de ce chapitre.

La mise à niveau
Dans ce cas, vous utilisez un serveur déjà en production, donc configuré, sur lequel tourne une version antérieure à Windows Server 2003. Il s’agit de la faire migrer vers le nouveau système d’exploitation lors d’une opération de maintenance au cours de laquelle le service sera indisponible. En utilisant cette méthode, vous n’avez pas à réinstaller les applications de production. Vous gagnez donc du temps. Par contre, vous devez impérativement vous assurer que les applications sont compatibles avec le nouveau système d’exploitation avant de commencer la mise à niveau. Toutes les versions antérieures de Windows ne sont pas forcément compatibles pour être mises à niveau vers Windows Server 2003. Le tableau suivant vous en présente un récapitulatif :

109

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Tableau 4.2 : Mise à niveau vers Windows Server 2003
Système d’exploitation existant Windows NT 3.51 Mise à niveau possible Non, il faut au préalable mettre à niveau vers Windows NT 4.0 Server SP5 au minimum, mais gageons que vous n’en avez pas dans votre entreprise ! Oui, avec SP5 au minimum Oui Oui Non, il faut un système d’exploitation de la gamme serveur Non, il faut un système d’exploitation de la gamme serveur

Windows NT 4.0 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Professionnel Windows XP Professionnel

4. L’installation et le déploiement de Windows Server 2003

Test de compatibilité logicielle et matérielle Vous pouvez tester la compatibilité du serveur à mettre à niveau en insérant le CD-Rom de Windows Server 2003 et en exécutant la commande R:\i386\winnt32 /checkupgradeonly, où R est la lettre utilisée pour désigner le CD-Rom. Il est fortement conseillé, en entreprise, de n’utiliser la mise à niveau que lorsque vous connaissez parfaitement les impacts de l’application de production et que celle-ci n’a pas un rôle essentiel dans l’infrastructure ou dans la gestion des données vitales. Vous courez le risque, en cas de problèmes survenant après la mise à niveau, de ne pas pouvoir déterminer si la source des ennuis vient de la mise à niveau elle-même ou d’ailleurs, et donc de perdre le temps que vous auriez pu gagner en choisissant d’effectuer cette mise à niveau. Évidemment, pour ce type d’intervention, veillez à réaliser une sauvegarde complète avant la mise à niveau et assurez-vous du bon fonctionnement de la restauration.

Le double amorçage
Le double amorçage (également appelé multiboot ou dualboot) est la fonctionnalité qui permet d’installer, sur un même ordinateur, plusieurs instances (deux dans ce cas-là) de système d’exploitation (indépendamment des versions) et de choisir de démarrer sur l’un ou l’autre des systèmes d’exploitation disponibles. Lorsque vous installez Windows Server 2003 sur un serveur à des fins de production, pour fournir un service (contrôle du domaine, impression…), votre vœu est évidemment que ce service soit fourni au mieux et sans temps d’arrêt. Vous n’allez certainement pas installer un double amorçage Linux ou une version antérieure de Windows. Par contre, il peut être judicieux de penser au double amorçage à des fins de dépannage, voire de restauration de fichiers. En effet, en installant deux instances de Windows

110

Installer Windows Server 2003

Server 2003 sur le même serveur, il peut être intéressant d’utiliser une instance pour la production et une autre en cas de problèmes. Cette dernière permettra d’accéder aux fichiers si l’instance de production est complètement inutilisable et qu’aucun autre outil de récupération ne donne de résultats. On peut alors très vite faire basculer les données sur un autre serveur ou bien installer l’application nécessaire, et recommencer à travailler au plus vite. La seconde instance peut aussi être très utile s’il faut restaurer des données en cas de corruption de l’instance de production. En effet, certains logiciels de sauvegarde et de restauration demandent à ce qu’une autre instance de système d’exploitation soit installée pour pouvoir restaurer correctement. De plus, des problèmes référencés par Microsoft dans la base de connaissances ne trouvent de solution que par l’installation en parallèle d’une autre instance de Windows. Nous supposons donc que vous allez installer deux instances de Windows Server 2003 sur le même serveur. Vous avez le choix entre deux méthodes d’installation.
j

Installation sur la même partition : une fois que la première instance de Windows Server 2003 est installée (par défaut dans le répertoire C:\Windows), le programme détecte la seconde instance et vous propose de l’installer dans un répertoire portant un nom distinct. Il est fortement conseillé de lui donner un nom approprié, par exemple C:\Winbackup. Installation sur une partition différente : une fois que la première instance de Windows Server 2003 est installée (par défaut dans le répertoire C:\Windows), le programme détecte la seconde instance et vous propose de l’installer dans un répertoire portant un nom distinct. Sélectionnez une autre partition (ou créez-la) et donnez un nom approprié au répertoire d’installation, par exemple D:\Winbackup.

4. L’installation et le déploiement de Windows Server 2003

j

Bien que ce double amorçage avec deux instances de Windows Server 2003 ne soit pas une nécessité, vous pouvez toujours réfléchir à la possibilité de l’implémenter selon le niveau critique de l’application et l’espace disque dont vous disposez.

4.2.

Installer Windows Server 2003

Nous allons tout d’abord décrire une installation de Windows Server 2003 dite classique, en d’autres termes manuelle ou assistée. Ensuite, nous étudierons une installation dite automatique, en d’autres termes sans assistance.

L’installation manuelle
C’est la méthode d’installation la plus courante. Elle démarre lors du boot sur le CD-Rom d’origine. Si vous avez déjà installé des versions antérieures de Windows, vous ne serez pas surpris. Cette méthode est divisée en trois phases :
j

la préinstallation ; 111

Chapitre 4

L’installation et le déploiement de Windows Server 2003

j j

l’installation en mode texte ; l’installation en mode graphique.

L’installation du serveur SNCECPDC01, localisé à Nice, sera prise comme exemple. Il aura le rôle de contrôleur de domaine pour corp.puzzmania.com.

Phase 1 : la préinstallation
Cette phase consiste en fait à collecter les renseignements suivants afin de simplifier et d’accélérer l’installation du serveur…
j

Le nom de l’ordinateur : notez le nom de l’ordinateur, respectez la convention de nommage appliquée dans votre entreprise. Chaque nom doit être unique sur le réseau. Attribution d’un nom d’ordinateur Vous pouvez bien sûr attribuer un nom pouvant aller jusqu’à 63 caractères, mais pensez que les versions antérieures à Windows 2000 ne reconnaissent que les 15 premiers caractères. Bien que l’implémentation du service DNS de Microsoft permette d’employer certains caractères non standards sur Internet (tel le tiret de soulignement ou underscore), cela pourrait générer des problèmes si des serveurs DNS non Microsoft sont présents sur votre réseau. C’est pourquoi les recommandations sont d’utiliser les lettres minuscules (de a à z) et majuscules (de A à Z), les chiffres de 0 à 9 et le trait d’union.

4. L’installation et le déploiement de Windows Server 2003

j

Le nom du groupe de travail ou du domaine : notez dans quel domaine vous voulez installer votre ordinateur ou, si vous êtes en train de bâtir votre nouvelle infrastructure, vous pouvez l’installer dans un groupe de travail et, une fois l’installation terminée, lancer la procédure de création de domaine. Dans tous les cas, vous pouvez installer l’ordinateur dans un groupe de travail et rejoindre le domaine une fois l’installation terminée.

Pour plus d’informations sur la procédure de création de domaine, consultez le chapitre L’implémentation des serveurs d’infrastructure Active Directory. Différence entre domaine et groupe de travail Un domaine est un ensemble d’ordinateurs partageant la même base de données de sécurité afin de centraliser la sécurité et l’administration. Un groupe de travail est un ensemble d’ordinateurs dont les paramètres liés à la sécurité et à l’administration sont configurés indépendamment et localement.

112

Installer Windows Server 2003

j

L’adresse IP de l’ordinateur : notez l’adresse IP que vous attribuerez au serveur (elle sera déduite de la méthode et du plan d’adressage IP). Notez également le masque de sous-réseau. Vous remarquerez que le choix du protocole réseau n’est pas pris en compte bien qu’il soit possible de l’indiquer lors de l’installation. De nos jours, à l’évidence, TCP/IP est le protocole le plus utilisé. Les trois méthodes d’adressage IP durant l’installation Trois méthodes d’adressage IP sont disponibles durant l’installation. L’adressage APIPA (Automatic Private IP Addressing) : choisissez cette méthode si votre réseau est de petite taille et si vous n’avez pas de serveur DHCP. Une adresse IP provenant de l’espace d’adressage IP LINKLOCAL est automatiquement affectée au serveur. Cette adresse est toujours de la forme 169.254.xxx.xxx. Si le serveur détecte un serveur DHCP nouvellement installé sur le réseau, il fera automatiquement une demande d’attribution d’adresse. j Adressage IP dynamique : choisissez cette méthode si un ou plusieurs serveurs DHCP sont présents sur le réseau et que vous souhaitiez qu’ils distribuent des adresses IP aux serveurs. Selon votre besoin, déterminez que le service fourni par le serveur ne sera pas touché par le renouvellement d’adresse. j Adressage IP statique : c’est la méthode la plus utilisée sur des serveurs, souvent à cause de compatibilités applicatives et surtout pour ne pas que l’adresse IP puisse expirer et changer. Cela consiste à configurer manuellement les paramètres IP.
j

4. L’installation et le déploiement de Windows Server 2003

La phase de préinstallation de SNCECPDC01 se résume donc à ceci :
Tableau 4.3 : La phase de préinstallation de SNCECPDC01
Nom d’ordinateur SNCECPDC01 Groupe de travail ou domaine WORKGROUP (ce serveur est installé dans un groupe de travail afin de le convertir en contrôleur de domaine par la suite) Méthode d’adressage IP Adresse IP statique Adresse IP 172.100.11.1

Phase 2 : l’installation en mode texte
L’installation commence par une partie dite installation en mode texte, lorsque vous bootez sur le CD-Rom de Windows Server 2003 (cela sous-entend que votre serveur est bien configuré pour accepter le boot sur CD-Rom au démarrage).

113

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Lors du démarrage de la séquence d’installation, vous avez tout de suite la possibilité d’appuyer sur la touche [F6] afin d’insérer le pilote du contrôleur de disque dur si celui-ci est particulier (du style contrôleur SCSI récent, contrôleur Fibre Channel, contrôleur RAID SATA…). La plupart des nouveaux serveurs requièrent cette manipulation. Interrogez votre fournisseur de matériels afin d’obtenir la bonne version de pilote. L’étape suivante consiste à sélectionner le disque dur sur lequel vous souhaitez installer Windows Server 2003 et à créer la partition adéquate, puis à la formater.

4. L’installation et le déploiement de Windows Server 2003

Figure 4.1 : Formatage de la partition d’installation

L’option de formatage rapide L’option de formatage rapide peut vous faire gagner du temps. Elle ne fait qu’écrire la table des entrées de fichier. Ne l’utilisez que sur des disques durs neufs ou contenant des données non confidentielles. Les différences entre FAT et NTFS ne seront pas exposées ici. De nos jours, en entreprise, seul le système de fichiers NTFS (New Technology File System) est un choix viable si vous voulez mettre en place un plan de sécurité pour votre infrastructure. Voici quelques fonctionnalités de NTFS qui le rendent indispensable :
j j j j j j

gestion de la sécurité locale ; gestion des volumes de grande taille (jusqu’à 16 To) ; prise en charge des technologies de tolérance de pannes (niveaux de RAID) ; prise en charge de l’audit du système de fichiers ; prise en charge de la compression des fichiers ; prise en charge des quotas disque ;

114

Installer Windows Server 2003

j j j j

prise en charge du cryptage des fichiers (EFS) ; prise en charge du montage de volumes dans des répertoires ; prise en charge du stockage à distance ; prise en charge d’Active Directory.

Pour le serveur SNCECPDC01, le choix sera donc NTFS. Une fois le choix effectué, la procédure d’installation se poursuit, formate la partition système, copie les fichiers nécessaires, puis redémarre le serveur. Débute alors la phase 3 : l’installation en mode graphique.

Phase 3 : l’installation en mode graphique
Dernière phase : vous devez fournir quelques informations afin que l’installation se termine.
j

4. L’installation et le déploiement de Windows Server 2003

Options régionales et linguistiques : ces options vous permettent de modifier l’affichage des nombres, des dates, des monnaies, des heures, et de configurer votre langue d’entrée et votre méthode de saisie de texte. Clé du produit : entrez la clé qui vous a été livrée avec le CD-Rom de Windows Server 2003. Programme de licence Si vous avez acheté le CD-Rom de Windows Server 2003 chez un détaillant ou dans un magasin spécialisé, vous serez obligé d’activer le produit soit par téléphone, soit par Internet une fois l’installation terminée. Si vous avez acheté le produit par l’intermédiaire du programme de licence en volume Open ou Select, aucune activation ne sera nécessaire. De plus, une même clé pourra servir à toutes les installations de l’entreprise, ce qui présente un intérêt certain dans le cas d’une installation automatisée par script.

j

j

Modes de licence : vous avez le choix entre deux modes, à savoir par serveur ou par périphérique (voir fig. 4.2). − Le mode de licence par serveur : dans ce mode, chaque serveur accepte un nombre défini de clients autorisés à se connecter simultanément en fonction du nombre de licences d’accès client (CAL) configuré. Si le nombre de clients tentant de se connecter au serveur dépasse le nombre de licences, la connexion est refusée. Il est possible de faire évoluer le nombre de licences une fois l’installation terminée, sélectionnez dans le Panneau de configuration le lien Licences. Ce mode de licence par serveur est conseillé dans les très petites entreprises maîtrisant leur nombre de connexions simultanées et ayant très peu de serveurs (un ou deux). C’est également le mode de licence le moins onéreux.

115

Chapitre 4

L’installation et le déploiement de Windows Server 2003

4. L’installation et le déploiement de Windows Server 2003

Figure 4.2 : Les modes de licence

− Le mode de licence par périphérique (ou siège) : dans ce mode, chaque utilisateur spécifique de l’entreprise est sujet à licence. Les serveurs ne disposent d’aucune restriction quant au nombre maximal de connexions simultanées. C’est le mode de licence le plus utilisé car, une fois que vous avez payé pour l’utilisateur, il peut se connecter à un nombre illimité de serveurs Windows. Notre société Puzzmania n’utilisera que ce mode pour tout son parc, et c’est donc le mode qui est choisi lors de l’installation de SNCECPDC01. Choix du mode de licence Si vous avez un doute dans le choix du mode de licence, sélectionnez le mode de licence par serveur. Vous pourrez passer en mode de licence par périphérique en choisissant dans le Panneau de configuration l’option Licences. Attention, cette opération est irréversible, et il n’est pas possible de passer du mode de licence par périphérique au mode de licence par serveur.
j

Nom d’ordinateur et mot de passe du compte local Administrateur : conformez-vous à votre plan de nommage et à la phase de préinstallation pour déduire le nom du serveur. Dans notre exemple, c’est SNCECPDC01. Entrez ensuite le mot de passe qui correspondra au compte local Administrateur. Pour des raisons de sécurité évidentes, surtout sur un serveur, choisissez-le le plus complexe possible. D’ailleurs, s’il n’est pas assez complexe, vous verrez apparaître la fenêtre suivante :

116

Installer Windows Server 2003

Figure 4.3 : Avertissement sur la faiblesse du mot de passe du compte local Administrateur

Lisez bien les recommandations de cette fenêtre et appliquez-les. Il est possible de continuer avec le mot de passe faible que vous avez saisi, mais c’est vivement déconseillé. 4. L’installation et le déploiement de Windows Server 2003
j

Paramètres de gestion du réseau : entrez les paramètres réseau que vous avez relevés dans la phase de préinstallation (méthode d’adressage IP et incorporation ou non à un domaine). Dans le cadre de l’installation de SNCECDPDC01, les renseignements indiqués dans le tableau de la phase de préinstallation seront utilisés.

Une fois toutes les informations du mode graphique de l’installation correctement indiquées, les fichiers nécessaires sont copiés sur le disque dur, l’installation est finalisée, les fichiers temporaires sont détruits, le serveur redémarre. Votre serveur est installé et prêt pour la suite : installation du SP1 (à moins que le CD-Rom en votre possession soit celui qui contient Windows Server 2003 et SP1), des derniers correctifs de sécurité, de l’antivirus, etc.

L’installation automatique
L’installation manuelle de Windows Server 2003 n’est pas compliquée. Quelques interactions avec le processus sont nécessaires durant les phases en mode texte et en mode graphique. Ce n’est pas des plus compliqué, certes, mais le processus est long et, en raison de ces interactions, monopolise l’attention d’un administrateur. En automatisant tout ou partie de cette installation, vous gagnez du temps et vous libérez un administrateur pour une autre tâche. Dans une petite entreprise, qui dit "gagner du temps", dit… Vous aurez deviné la suite. Trois méthodes d’automatisation sont disponibles sous Windows Server 2003 :
j j j

l’installation par script (ou fichier de réponses) ; le déploiement à l’aide de RIS (Remote Installation Service) ; l’utilisation d’un gestionnaire d’images et de l’utilitaire Sysprep.exe (System Preparation). 117

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Chaque méthode possède son propre champ d’application.
Tableau 4.4 : Champ d’application des méthodes d’automatisation de l’installation de

Windows Server 2003
Champ d’application Nouvelle installation Mise à niveau Équipements physiques différents Installation par image Système d’exploitation et applications installés en même temps Active Directory requis Installation par script (fichier de réponses) × × × × × × × × RIS × Sysprep ×

4. L’installation et le déploiement de Windows Server 2003

×

L’installation par script (fichier de réponses)
Vous pouvez éliminer les interactions nécessaires lors des phases d’installation en mode texte et en mode graphique en saisissant les différents paramètres (nom d’ordinateur, adresse IP…) dans un fichier de réponses (appelé unattend.txt). Cette méthode peut s’appliquer aussi bien à une nouvelle installation qu’à une mise à niveau, sur des serveurs ou des stations de travail, équipés de matériels physiques différents. Pour créer le fichier unattend.txt, vous devez utiliser l’Assistant Gestion d’installation qui se trouve sur le CD-Rom du SP1 de Windows Server 2003. 1. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers. 2. Ouvrez le répertoire support\tools et le fichier deploy.cab. Assistant Gestion d’installation et CD-Rom du SP1 de Windows Server 2003 Si vous ne possédez pas le CD-Rom du SP1 de Windows Server 2003 et que vous ayez récupéré l’exécutable du SP1 sur le site web de Microsoft, vous constaterez qu’en décompressant les fichiers, vous ne trouverez pas le répertoire support\tools. Vous devrez alors télécharger le package correspondant au fichier deploy.cab à l’adresse :
www.microsoft.com/downloads/details.aspx?FamilyID=a34edcf2-ebfd-4f99-bbc4 -e93154c332d6&DisplayLang=en.

118

Installer Windows Server 2003

3. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et choisissez Extraire. 4. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire. 5. Ouvrez le répertoire de destination et exécutez setupmgr.exe.
Figure 4.4 : Choix du type d’installation dans l’Assistant Gestion d’installation

4. L’installation et le déploiement de Windows Server 2003

6. Sélectionnez le type Installation sans assistance. Vous pouvez également créer un fichier de réponses pour les installations de type RIS et Sysprep qui seront détaillées ultérieurement. 7. Sélectionnez la version du système d’exploitation Windows qui sera installée à l’aide de ce fichier de réponses, puis le type d’interaction que vous souhaitez, ou plutôt le niveau d’automatisation du fichier de réponses, parmi les différentes propositions décrites dans la fenêtre suivante :
Figure 4.5 : Choix du type d’interaction dans l’Assistant Gestion d’installation

119

Chapitre 4

L’installation et le déploiement de Windows Server 2003

8. Sélectionnez ensuite l’emplacement des fichiers sources de Windows Server 2003 et validez le contrat de licence. S’ouvre alors une interface vous permettant de remplir les différents champs qui répondent aux interactions de l’installation et personnalisent la vôtre. En voici un exemple :

4. L’installation et le déploiement de Windows Server 2003

Figure 4.6 : Définition des paramètres d’interaction dans l’Assistant Gestion d’installation

Crypter le mot de passe du compte local Administrateur dans le fichier de réponses Avec Windows Server 2003, il est désormais possible de crypter le mot de passe du compte local Administrateur à l’intérieur du fichier de réponses grâce à une simple option à cocher. N’oubliez pas de le faire. Une fois que tous les champs sont remplis, votre fichier unattend.txt est généré dans le dossier partagé de distribution. Voici ce que nous obtenons pour le serveur SNCECPDC01 :
;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=Yes TargetPath=\WINDOWS

120

Installer Windows Server 2003

[GuiUnattended] AdminPassword=464993d6cb5eb807f0d412bd764ffe8173ecbccd10d1011b5b10daf955db377d EncryptedAdminPassword=Yes OEMSkipRegional=1 TimeZone=105 OemSkipWelcome=1 [UserData] ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX FullName="PUZZMANIA Service Informatique" OrgName="PUZZMANIA" ComputerName=SNCECPDC01 [Display] BitsPerPel=32 Xresolution=1024 YResolution=768 [LicenseFilePrintData] AutoMode=PerSeat [SetupMgr] DistFolder=C:\windist DistShare=windist [Identification] JoinDomain=PUZZMANIA DomainAdmin=Administrateur [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetClients] MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=Yes UseDomainNameDevolution=No EnableLMHosts=Yes

121

4. L’installation et le déploiement de Windows Server 2003

Chapitre 4

L’installation et le déploiement de Windows Server 2003

AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=172.100.112.1 SubnetMask=255.255.240.0 DefaultGateway=172.100.111.1 DNSServerSearchOrder=172.100.111.1,172.100.111.2 WINS=Yes WinsServerList=172.100.111.1,172.100.111.2 NetBIOSOptions=0

Vous pouvez également pousser l’automatisation encore plus loin en créant un fichier de réponses afin d’automatiser le processus de création de contrôleur de domaine. 4. L’installation et le déploiement de Windows Server 2003 9. Créez un fichier de réponses que vous appellerez unattenddcpromo.txt par exemple. Pour Puzzmania, et plus particulièrement pour le domaine corp.puzzmania.com, le contenu de ce fichier est le suivant :
[DCInstall] AllowAnonymousAccess = No AutoConfigDNS = Yes ChildName = corp.puzzmania.com ConfirmGc = Yes CreateOrJoin = Join CriticalReplicationOnly = Yes DatabasePath = D:\Data DisableCancelForDnsInstall = Yes DNSOnNetwork = Yes DomainNetBiosName = CORP IsLastDCInDomain = No LogPath = D:\Logs NewDomain = Child NewDomainDNSName = corp.puzzmania.com ParentDomainDNSName = puzzmania.com Password = XXXXXXXX RebootOnSuccess = NoAndNoPromptEither ReplicaDomainDNSName = puzzmania.com ReplicaOrNewDomain = Domain ReplicationSourcePath = %SYSTEMDRIVE%\Source SafeModeAdminPassword = XXXXXXXX SiteName = Nice Syskey = 12345 SysVolPath = %SYSTEMDRIVE%\Sysvol TreeOrChild = Child UserDomain = puzzmania.com UserName = Administrateur

10. Ensuite, exécutez la commande dcpromo /answer:unattenddcpromo.txt une fois que votre serveur est installé en tant que serveur autonome ou serveur membre.

122

Installer Windows Server 2003

Comme vous le savez, certains paramètres sont uniques sur le réseau comme le nom d’ordinateur. Cela veut dire que le fichier unattend.txt n’est pas réutilisable tel quel sur tous vos ordinateurs. Vous devez donc créer un fichier .udf en complément du fichier unattend.txt afin de lister toutes les différences apparaissant d’une installation à l’autre. Le fichier d’aide deploy.chm inclus dans deploy.cab vous sera précieux quant à la syntaxe à respecter. Enfin, pour l’exécution de votre installation automatisée, un fichier unattend.bat est généré en même temps que le fichier unattend.txt. À partir du serveur que vous voulez installer, vous devez atteindre le dossier de partage sur lequel se situe le fichier unattend .bat et exécuter ce dernier. La plupart des serveurs que vous installerez seront souvent sans système d’exploitation lorsque vous les démarrerez la première fois. Il vous faudra donc booter sur une disquette contenant un client réseau DOS afin de charger une gestion minimale de réseau, atteindre le fichier et le lancer. Voici un exemple où SNCECPFS01, un serveur de fichiers, distribue les fichiers sources pour l’installation : 4. L’installation et le déploiement de Windows Server 2003
@rem SetupMgrTag @echo off rem rem rem rem rem rem

Ceci est un EXEMPLE de script de commandes généré par l’Assistant Gestion d’installation. Si ce script est déplacé de l’emplacement dans lequel il a été créé, il peut être nécessaire de le modifier.

set AnswerFile=.\unattend.txt set SetupFiles=\\SNCECPFS01\windist\I386 \\SNCECPFS01\windist\I386\winnt32 /s:%SetupFiles% /unattend:%AnswerFile%

Cette méthode d’installation automatisée peut aussi bien déployer Windows Server 2003 sur les serveurs que Windows XP Professionnel sur les stations de travail. Or, comme elle ne sait pas installer les applications en même temps que le système d’exploitation, il est d’usage de ne l’utiliser que pour l’installation des serveurs.

Le déploiement à l’aide de RIS
Le service d’installation à distance RIS (Remote Installation Service) permet de déployer le système d’exploitation (client ou serveur) sur les ordinateurs de l’entreprise sans intervention de la part de l’administrateur. Cette méthode ne s’applique que dans le cadre d’une nouvelle installation et se fonde sur la technologie des images disques et/ou celle des fichiers de réponses. Une image d’un ordinateur de référence (cette image pouvant également contenir des applications) et/ou une image du CD-Rom de Windows sont prises, puis stockées sur le serveur RIS qui distribuera l’installation aux clients autorisés. Le processus sera détaillé par la suite. Cette méthode d’installation peut s’appliquer sur des serveurs ou des stations de travail 123

Chapitre 4

L’installation et le déploiement de Windows Server 2003

équipés de matériels physiques différents, à condition que vous utilisiez convenablement l’image disque et/ou les fichiers de réponses.

Des vérifications préalables
Vous devez faire un certain nombre de vérifications avant d’installer le serveur RIS et de bénéficier du déploiement automatisé des images :
j

Le futur serveur RIS doit être membre du domaine (ou contrôleur de domaine). Cela sous-entend que votre domaine et, donc, Active Directory et DNS doivent être présents sur le réseau. Un serveur DHCP doit être présent sur le réseau, et doit être autorisé, ainsi que le serveur RIS, dans Active Directory (même si le serveur RIS n’est pas serveur DHCP). Les ordinateurs clients doivent être compatibles PXE 1.0 ou 2.3 (Preboot eXecution Environment). Ils doivent posséder une carte réseau équipée d’une Rom PXE ou prise en charge par la disquette de démarrage. Nouveautés de RIS avec Windows Server 2003 SP1 Grâce au SP1 de Windows Server 2003, il est maintenant possible d’exécuter RIS sur une plateforme Windows Server 2003 SP1 x64. De plus, RIS assure aussi le déploiement des images x64 à l’aide de l’Assistant Installation des services d’installation à distance (Risetup.exe) et de l’Assistant Préparation d’une installation à distance (Riprep.exe), à partir d’un serveur Windows Server 2003 SP1, quelle que soit son architecture (x64, IA-64 et x86).

j

j

4. L’installation et le déploiement de Windows Server 2003

Installer le serveur RIS
Une fois que vous avez sélectionné le serveur membre qui fera office de serveur RIS (chez Puzzmania, ce sera SNCECPFS01 pour le domaine corp.puzzmania.com) et que les prérequis sont tous respectés, vous pouvez procéder à l’installation de RIS. 1. Ouvrez le Panneau de configuration, sélectionnez Ajout/Suppression de programmes, puis Ajouter ou supprimer des composants Windows. 2. Cochez la case Services d’Installation à distance, puis cliquez sur Suivant et enfin sur Terminer une fois que les fichiers sont copiés. Redémarrez le serveur. 3. Dans le menu Démarrer, sélectionnez Exécuter et lancez le programme Risetup.exe. La boîte de dialogue suivante apparaît alors en vous rappelant les prérequis.

124

Installer Windows Server 2003

Figure 4.7 : Assistant Installation des services d’installation à distance

4. L’installation et le déploiement de Windows Server 2003

4. Sélectionnez ensuite l’emplacement où sera créé le dossier d’installation et qui contiendra les images. Par défaut, le nom de ce dossier est RemoteInstall et il est partagé sous le nom de REMINST. Il doit impérativement se situer sur une partition NTFS, qui ne doit être ni la partition système ni la partition d’amorçage. Ce dossier doit également avoir un espace minimal disponible de 2 Go. 5. Dans la boîte de dialogue suivante, vous avez la possibilité de prendre en charge les ordinateurs clients. Il est conseillé de décocher toutes les options, en d’autres termes de ne pas prendre en charge les ordinateurs clients dans l’immédiat. Vous pourrez valider la prise en charge des ordinateurs clients une fois que votre serveur RIS sera totalement opérationnel. Cliquez sur Suivant. 6. Spécifiez l’emplacement des fichiers d’installation de Windows à partir du CD-Rom. Le serveur RIS a besoin d’au moins une image de CD-Rom qu’il sera possible de déployer. La version du système d’exploitation peut aussi bien être Windows Server 2003 que Windows XP Professionnel ou Windows 2000 Professionnel. 7. Entrez ensuite un nom de sous-dossier pour stocker les fichiers provenant de ce CD-Rom. Cliquez sur Suivant et faites une description plus détaillée de l’image du CD-Rom. Ces informations seront visibles sur l’écran de l’ordinateur qui installera cette image. 8. Cliquez sur Suivant, vérifiez vos paramètres, puis cliquez sur Terminer. La copie démarre et l’installation s’achève. De nouveaux services sont ajoutés à la suite de l’installation de RIS sur le serveur :
j

Boot Information Negociation Layer (BINL) : "couche de négociation des informations de démarrage", ou service d’installation à distance, c’est le service chargé de répondre aux requêtes des clients et d’interroger Active Directory pour savoir si l’ordinateur dispose des droits nécessaires. Il permet d’attribuer les paramètres adaptés aux clients. 125

Chapitre 4

L’installation et le déploiement de Windows Server 2003

j

Trivial File Transfer Protocol (TFTPD daemon) : "service trivial FTP", c’est le service qui permet aux clients de télécharger les fichiers et de rapatrier le Client Installation Wizard (CIW) ou "assistant d’installation du client" et toutes les boîtes de dialogue contenues dans ce dernier. Single Instant Store (SIS) : "stockage d’instance simple", c’est le service chargé de réduire l’espace disque des volumes utilisés par les images d’installation RIS. Ce service surveille l’apparition de plusieurs versions d’un même fichier sur le volume et, dans ce cas, crée un lien vers ledit fichier, économisant ainsi de l’espace disque.

j

Mettre en œuvre le serveur RIS
Une fois l’installation terminée, vous devez suivre quatre étapes afin de passer le serveur RIS en production :
j

Autoriser le serveur ; Activer la prise en charge des ordinateurs clients ; Créer les comptes d’ordinateur client ; Définir les autorisations des utilisateurs.

4. L’installation et le déploiement de Windows Server 2003

j j j

Autoriser le serveur
Bien que le serveur RIS ne soit pas un serveur DHCP, vous devez l’autoriser dans la console DHCP. 1. Ouvrez les Outils d’administration et lancez la console DHCP. 2. Sélectionnez la racine de la console DHCP, cliquez du bouton droit de la souris et choisissez Gérer les serveurs autorisés. 3. Cliquez sur Autoriser et saisissez le nom ou l’adresse IP du serveur RIS, puis validez.

Figure 4.8 : Autorisation du serveur RIS dans la console DHCP

126

Installer Windows Server 2003

Activer la prise en charge des ordinateurs clients
L’action qui n’a pas été réalisée à l’étape 5 de l’installation du serveur RIS peut être réalisée de la façon suivante : 1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence d’unités d’organisation (OU) jusqu’à trouver le compte d’ordinateur du serveur RIS. 2. Cliquez du bouton droit de la souris sur le compte d’ordinateur et sélectionnez Propriétés, puis allez sous l’onglet Installation à distance. 3. Cochez la case Répondre aux ordinateurs clients à la demande d’un service.
Figure 4.9 : Prise en charge des clients RIS

4. L’installation et le déploiement de Windows Server 2003 Vous pouvez également cocher la case Ne pas répondre aux ordinateurs clients inconnus, mais si vous le faites, vous devez avoir créé au préalable tous les comptes d’ordinateur client dans Active Directory. Cette technique, dite de prestaging, est plus contraignante, mais permet, d’une part, de ne pas déléguer à un utilisateur le droit de joindre un ordinateur au domaine et, d’autre part, d’équilibrer la charge lorsque plusieurs serveurs RIS sont présents sur le réseau. Vérifier le serveur RIS Vous avez la possibilité de lancer des tests de bon fonctionnement du serveur RIS en cliquant sur le bouton Vérifier le serveur (uniquement à partir du serveur RIS lui-même). 127

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Créer les comptes d’ordinateur client
1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence d’unités d’organisation (OU) jusqu’à trouver le compte d’ordinateur du serveur RIS. 2. Cliquez du bouton droit sur le compte d’ordinateur et sélectionnez Propriétés, puis allez sur l’onglet Installation à distance et cliquez sur le bouton Paramètres avancés. Vous avez alors la possibilité de personnaliser les futurs noms des ordinateurs clients en fonction de votre convention de nommage.
Figure 4.10 : Attribution des noms d’ordinateur client

4. L’installation et le déploiement de Windows Server 2003

Définir les autorisations des utilisateurs
Selon les options que vous avez choisies, vous serez peut-être amené à déléguer le droit de joindre un ordinateur au domaine aux personnes qui réalisent les installations. 1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, cliquez du bouton droit de la souris sur le nom de votre domaine, puis sur Déléguer le contrôle. 2. Dans l’Assistant Délégation de contrôle, cliquez sur Suivant, puis sur Ajouter. Saisissez le nom du groupe (ou utilisateur) auquel accorder le droit nécessaire et validez. 3. Activez la case à cocher Joindre un ordinateur au domaine, puis valisez. 4. Vérifiez en dernier lieu que le groupe ou l’utilisateur a le droit de lecture sur le répertoire de distribution d’images.

128

Installer Windows Server 2003

Pour plus d’informations sur tous les termes relatifs à Active Directory, reportez-vous au chapitre Introduction à LDAP et Active Directory.

Créer des images avec les outils RIS
Le serveur RIS prend en charge aussi bien les images basées sur le CD-Rom d’installation de Windows et un fichier de réponses (dont l’une est obligatoirement créée à l’installation du serveur RIS) que les images disque prises à partir d’un ordinateur de référence (comme celles créées avec des outils spécialisés, tel Symantec Ghost). Les images basées sur le CD-Rom d’installation de Windows et un fichier de réponses sont gérées par l’Assistant Installation des services d’installation à distance (Risetup.exe) et les images basées sur la technologie des images disques sont gérées par l’Assistant Préparation d’une installation à distance (Riprep.exe). Voyons comment créer ou ajouter des images des deux types au serveur RIS.

4. L’installation et le déploiement de Windows Server 2003

Les images de type CD-Rom (Risetup.exe)
1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence d’unités d’organisation (OU) jusqu’à trouver le compte d’ordinateur du serveur RIS. 2. Cliquez du bouton droit de la souris sur le compte d’ordinateur et sélectionnez Propriétés, puis allez sous l’onglet Installation à distance et cliquez sur le bouton Paramètres avancés. 3. Cliquez ensuite sur l’onglet Images, puis sur Ajouter. Suivez alors les instructions pour créer et stocker une nouvelle image.
Figure 4.11 : Assistant de création d’une nouvelle image

129

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Les images de type Riprep (Riprep.exe)
RIS propose en standard l’outil Riprep.exe, semblable aux outils de duplication de disque du marché. À partir d’un ordinateur maître sur lequel vous avez préalablement installé tous les correctifs de sécurité et toutes les applications nécessaires, lancez l’utilitaire Riprep.exe (se trouvant sur le serveur RIS) qui se chargera de créer une image propre, c’est-à-dire en retirant les identificateurs de sécurité uniques (SID), et de la copier sur le serveur RIS. Prenons un ordinateur maître correctement configuré dans le contexte de Puzzmania. 1. Ouvrez une invite de commandes, ou cliquez sur Démarrer/Exécuter et saisissez \\SNCECPFS01\Reminst\Admin\i386\Riprep.exe. L’Assistant Préparation d’une installation à distance s’ouvre. 2. Suivez les instructions à l’écran. 4. L’installation et le déploiement de Windows Server 2003
Figure 4.12 :

Assistant Préparation d’une installation à distance

Le déploiement à partir des ordinateurs clients
Une fois les opérations de mise en production du serveur RIS et de création d’images terminées, vos ordinateurs clients sont prêts à recevoir les images d’installation. Il suffit de procéder au redémarrage de l’ordinateur à partir de la carte réseau PXE (vous devez pour cela modifier la séquence de boot ou les options du BIOS de l’ordinateur), puis de sélectionner l’image d’installation de votre choix et l’exécuter. Quelle stratégie choisir pour utiliser RIS convenablement en entreprise ? Tout dépend du contexte. Il peut être intéressant de s’en servir pour installer les stations de travail plutôt que les serveurs, parce que, avec Riprep.exe, vous possédez un outil semblable aux outils spécialisés du marché qui permet de créer des images à partir d’un ordinateur de 130

Installer Windows Server 2003

référence configuré avec toutes vos applications standards. De l’affectation de l’adresse IP via DHCP à l’intégration au domaine, vous pouvez tout paramétrer afin de gagner du temps et de procéder à des installations parallèles en nombre. Quant aux serveurs, vous pouvez toujours les déployer avec RIS. Vous êtes libre de procéder à une installation via une image CD-Rom et les fichiers de réponses afin de maîtriser toute la chaîne de mise en production du serveur, notamment l’installation des applications. Comme les serveurs n’ont pas tous la même spécificité et les mêmes paramétrages, il vous faudra créer une image par type de serveur. La méthode perd alors de son intérêt, compte tenu du temps passé à créer les images.

Utiliser un gestionnaire d’images et Sysprep.exe (System Preparation)
Une autre méthode d’installation consiste à dupliquer (cloner) le disque dur d’un ordinateur préconfiguré et de reproduire l’installation. Pour cela, vous devez utiliser un outil de création d’image disque (par exemple Symantec Ghost). Cette méthode est valable uniquement pour de nouvelles installations sur des équipements matériels identiques. Vous n’avez pas besoin qu’une infrastructure de domaine soit déployée. La difficulté rencontrée avec les outils de création d’image disque est qu’il ne faut pas régénérer les mêmes identificateurs de sécurité (SID) à chaque installation. Pour cela, vous devez utiliser un programme qui permet de nettoyer les identificateurs de sécurité (SID) avant le clonage afin de garantir l’unicité de chaque installation sur le réseau. Vous pouvez vous servir de l’utilitaire fourni avec votre programme de création d’image disque ou bien utiliser Sysprep.exe (System Preparation) fourni sur le CD-Rom de Windows Server 2003 SP1. Procédez ainsi : 1. Installez un ordinateur de référence contenant toutes les applications et les paramètres que vous désirez. 2. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers. 3. Ouvrez le répertoire support\tools et le fichier deploy.cab. 4. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et choisissez Extraire. 5. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire. 6. Ouvrez le répertoire de destination et exécutez Sysprep.exe. Suivez alors les instructions. La boîte de dialogue suivante s’affiche : 4. L’installation et le déploiement de Windows Server 2003 131

Chapitre 4

L’installation et le déploiement de Windows Server 2003

Figure 4.13 : Outil de préparation du système 2.0 (Sysprep.exe)

4. L’installation et le déploiement de Windows Server 2003

7. Après avoir sélectionné les options que vous désirez, cliquez sur le bouton Resceller. Le processus se termine et arrête ou redémarre votre ordinateur. 8. Utilisez alors votre outil de création d’image disque pour générer une image avant le redémarrage complet de l’ordinateur. Copiez cette image à l’emplacement distant de votre choix. L’installation de l’image disque sur l’ordinateur client s’effectue à partir de l’outil de création d’image. Sysprep.exe et Riprep.exe Sysprep.exe et Riprep.exe ont des utilisations bien distinctes. Alors que vous utiliserez Sysprep.exe en association avec un outil spécialisé de duplication d’image disque, vous ne pourrez pas vous servir de Riprep.exe, qui nécessite impérativement la mise en production d’un serveur RIS. Cette méthode d’installation permet de tirer parti de votre outil tiers de création d’image disque. Elle est plutôt orientée vers l’installation des stations de travail pour deux raisons : elle n’est applicable que sur des équipements physiques identiques, et une image peut contenir des applications. Cette méthode d’installation a l’avantage d’être très simple à mettre en œuvre, sans nécessiter d’infrastructure de domaine.

132

Résoudre les problèmes d’installation

4.3.

Résoudre les problèmes d’installation

Si vous rencontrez des problèmes durant l’installation ou à la fin, voici quelques éléments simples à vérifier ainsi qu’une sélection d’outils et de fichiers très pratiques :
Tableau 4.5 : Problèmes d’installation et conseils de résolution Symptôme Matériel non reconnu Conseil Vérifiez que le matériel est présent sur la liste de compatibilité matérielle Windows HCL à l’adresse www.microsoft.com/whdc/hcl/ default.mspx. Testez un autre lecteur ou utilisez une méthode d’installation via le réseau. Vérifiez le type de contrôleur disque inclus dans votre serveur, récupérez le dernier pilote valide et ajoutez-le au démarrage de l’installation en appuyant sur la touche [F6]. Utilisez le programme d’installation en mode texte afin de recréer la partition système. Mettez à jour le pilote de la carte ou installez momentanément une carte réseau virtuelle (carte de bouclage Microsoft) afin de terminer l’installation, puis lancez des tests physiques afin de déceler une panne matérielle. Vérifiez les paramètres de la carte ainsi que les paramètres TCP/IP. Vérifiez que vous pouvez contacter vos contrôleurs de domaine et que vos serveurs DNS et vos comptes d’ordinateur sont correctement configurés.

Lecteur de CD-Rom non pris en charge Disque dur non trouvé durant la phase d’installation Espace disque insuffisant Carte réseau non trouvée durant la phase d’installation

4. L’installation et le déploiement de Windows Server 2003

Impossibilité de joindre le domaine

Pour les installations automatisées, consultez le fichier deploy.chm contenu dans l’archive deploy.cab du CD-Rom de Windows Server 2003 SP1, il vous sera d’une aide précieuse afin de trouver une solution à vos problèmes ou plus simplement pour vous donner de plus amples informations. Des outils gratuits Vous pouvez aussi utiliser les outils gratuits que vous trouverez sur le site web www .sysinternals.com, dans la catégorie File and Disks, en particulier l’outil Filemon, qui permet de surveiller l’activité des fichiers système en temps réel, et l’outil NewSID, qui permet de changer l’identificateur de sécurité (SID).

133

Chapitre 4

L’installation et le déploiement de Windows Server 2003

4.4.

En résumé

Avec Windows Server 2003, vous pouvez choisir entre différentes méthodes d’installation et vous avez même la possibilité de mettre en place une structure de déploiement afin d’opérer des installations en nombre, qu’il s’agisse d’ailleurs de Windows Server 2003 ou des versions clientes de Windows. Vous devez choisir la solution qui correspond le mieux à vos attentes en fonction de votre contexte de travail. Saisissez l’opportunité de gagner du temps sur les tâches d’installation. Prenons l’exemple de la mise en place d’un serveur RIS afin d’automatiser l’installation de Windows XP Professionnel sur les stations de travail… Dans le cadre de la réduction du coût total de possession, si vous achetez en nombre des stations de travail ayant le même équipement physique, vous serez à même de négocier un prix auprès de votre fournisseur. En outre, Windows Server 2003 vous livrera sans surcoût la fonctionnalité d’installation automatisée. De plus, comme vous n’aurez qu’une seule image à gérer, si vous devez modifier un pilote pour résoudre un problème donné, vous n’aurez qu’à modifier une seule fois l’image pour que toutes les nouvelles installations prennent en compte la modification.

4. L’installation et le déploiement de Windows Server 2003 134

Chapitre 5

L’installation de Windows Vista
5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Valider la configuration matérielle minimale recommandée . . . . . . . . . . . . . . 142 Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 167 Mettre à jour le système d’exploitation vers Windows Vista . . . . . . . . . . . . . . . 181 Dépanner la mise à niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 182 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Découvrir les différentes versions

D

epuis la première installation de Windows 95 et ses 15 disquettes, les systèmes d’exploitation ont demandé toujours plus de capacité pour passer du CD au DVD avec l’installation de Windows Vista. Au travers de ce chapitre, vous allez découvrir les différentes versions et les fonctions de Windows Vista ainsi que son installation standard. Jusque-là rien de bien exceptionnel, mais maîtriser cette base est nécessaire pour l’utilisation de cet ouvrage. Vous découvrirez également les mécanismes de l’installation, un peu plus complexe mais théorique cette fois-ci, de ce nouveau Windows ainsi que les changements apportés par le format WIM. Pour terminer, vous apprendrez comment personnaliser votre média d’installation et votre installation pour la rendre totalement automatique, Voici en quelques lignes ce que vous réserve ce chapitre pour que l’installation de Windows Vista n’ait plus de secret pour vous !

5.1.

Découvrir les différentes versions
5. L’installation de Windows Vista

À la description des différentes versions de Vista, on retrouve un triptyque, une cible d’utilisateurs en triangle, visé par Microsoft :
j j j

les utilisateurs à la maison avec Home Basic, Home Premium et Intégrale ; les utilisateurs/administrateurs en petites entreprises avec Business et Intégrale ; les utilisateurs/administrateurs en grandes entreprises avec Enterprise et Intégrale.

Voici un bilan des fonctionnalités techniques incluses dans chaque version :
Fonctionnalités techniques différenciées Améliorations de base sur les performances et la sécurité Fonctionnalités de recherche et d’organisation Fonctionnalité de connexion poste à poste (P2P) Centre de sauvegarde (via réseau et programmée) Interface graphique Aero glass et animations, transparence Media Center HD MovieMaker et DVD Authoring Network Projection Synchronisation de PC à PC Vista Professionnel Oui Oui Oui Oui Oui Non Non Oui Oui Vista Entreprise Oui Oui Oui Oui Oui Non Non Oui Oui Vista Édition Intégrale Oui Oui Oui Oui Oui Oui Oui Oui Oui

137

Chapitre 5

L’installation de Windows Vista

Fonctionnalités techniques différenciées Cryptage EFS (Encrypted File System) Bureau à distance Serveur Web personnel Utilitaire de fax et scanneur Jonction à un domaine Fichiers hors connexion Stratégies de groupe SUA (Unix Subsystem) Cryptage complet de volume Virtual PC Express MUI-All Languages (multilingue) Windows Intégrale Extras

Vista Professionnel Oui Oui Oui Oui Oui Oui Oui Non Non Non Non Non

Vista Entreprise Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Non

Vista Édition Intégrale Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui

Mobilité (fonctionnalité de Tablet PC) Oui

5. L’installation de Windows Vista

Que faire ? Avec quelle version
Voici un bref descriptif de ce que vous êtes en mesure d’attendre de chaque version. Windows Vista se décline en six versions. Ne faites pas ces grands yeux ronds, pas de panique, vous allez rapidement vous y retrouver en posant votre besoin d’utilisateur devant les descriptions de toutes ces versions de Windows Vista. De ces six versions, sachez tout de même qu’il n’y aura pas de distinction bien précise avec une version spéciale 64 bits. En effet, comme le 64-bits a des chances de devenir rapidement un standard, toutes les versions de Vista, hormis la Starter Edition, auront leur pendant à 32 bits et à 64 bits. Sachez également que même si certaines versions apportent des fonctionnalités en plus pour répondre à des besoins différents, aucun compromis n’a été fait sur la sécurité. Toutes les versions, sans exception, bénéficieront des avancées communes en matière de sécurité. Là-dessus, pas d’équivoque, choisissez la version qui vous convient en fonction de vos besoins et pas sur des versions plus ou moins sécurisées. Allons-y pour la présentation.

Windows Vista Starter Edition
À l’instar de Windows XP Starter Edition, une version de Vista pour les pays en voie de développement sortira. Comme pour XP, cette version ne sera pas disponible chez nous. Windows Vista Starter Edition ne connaîtra pas de déclinaison 64 bits, n’autorisera pas plus de trois applications ou fenêtres ouvertes simultanément. La configuration de 138

Découvrir les différentes versions

réseau ne sera pas possible. Pas de changement rapide d’utilisateurs non plus, ni de démarrage par validation de mot de passe, mais la connexion Internet restera accessible.

Windows Vista Édition Familiale Basique
Windows Vista Édition Familiale Basique est la version de base du système d’exploitation pour les utilisateurs à la maison. Cette version a été conçue pour satisfaire les besoins informatiques simples de tous les jours, plus particulièrement aux utilisateurs qui ont recours à leur PC pour surfer sur Internet, échanger des messages électroniques avec leurs parents et amis, créer et modifier des documents de base style Office, etc. Bref, sans avoir besoin de fonctionnalités de haut vol. Windows Vista Home Basic Edition offre tout de même un environnement d’une grande sécurité, fiabilité et efficacité. Les utilisateurs pourront tirer parti de nouveaux outils et de technologies modernes. Ils disposeront notamment d’un explorateur de recherche très performant, de la Sidebar, des fonctions intégrées de contrôle parental mais pas d’interface graphique évoluée, pas de Media Center, pas de MovieMaker HD, pas de mise en réseau (hormis Internet évidemment), pas de cryptage, etc. On reste sur des besoins simples et quotidiens. Cette version s’intègre parfaitement sur les PC ou portables à bas prix, à base de processeurs Intel Celeron par exemple. Windows Vista Édition Familiale Basique fait office de version de fondation pour les deux autres versions destinées aux utilisateurs à la maison que sont Vista Édition Familiale Premium et Vista Intégrale. 5. L’installation de Windows Vista

Windows Vista Édition Familiale Premium
Windows Vista Édition Familiale Premium s’adresse aux particuliers exigeants. Cette version réunit toutes les fonctions de Windows Vista Édition Familiale Basique et offre des fonctions supplémentaires. C’est le meilleur choix pour tirer pleinement parti de toute l’ergonomie, la puissance et la versatilité des usages du PC à la maison : photos, vidéos, télévision, films, musique et jeux. Avec cette version, on grimpe d’un cran dans les fonctionnalités. Par exemple, la nouvelle interface graphique Aero est disponible. Également, Windows Vista Édition Familiale Premium intègre la recherche à l’ensemble du système d’exploitation : les utilisateurs sont ainsi en mesure d’organiser aisément d’importantes collections de documents, d’images, de films, de séquences vidéo et de morceaux de musique, et de retrouver en un clin d’œil les fichiers recherchés. Vista Édition Familiale Premium ajoute les fonctions de Media Center. Votre PC se transforme alors en un centre multimédia pour animer les loisirs numériques de la famille. Les fonctions de Media Center intégrées permettent d’enregistrer et de

139

Chapitre 5

L’installation de Windows Vista

regarder des émissions de télévision (y compris en haute définition) et découvrir de nouveaux contenus multimédias en ligne. Cette édition intègre également la possibilité de connecter Windows à une XBox 360 de façon à profiter de ses loisirs numériques dans toutes les pièces de son domicile. La technologie d’encre numérique du Tablet PC, qui permet d’interagir avec le PC à l’aide du stylet numérique ou d’une pression tactile, sans passer par un clavier, est également disponible dans cette édition de Windows Vista. La fonction intégrée de gravure et de création de DVD permet aux utilisateurs de graver, en toute transparence, leurs photos, vidéos et fichiers personnels sur un DVD vidéo ou données. Ils peuvent également créer des DVD professionnels à partir de films familiaux, et les partager avec leurs proches. Cependant, Vista Édition Familiale Premium reste destiné aux utilisateurs à la maison. Cela veut dire : pas de jonction à un domaine, pas de cryptage de fichiers par exemple. Vous pouvez constater que cette version intègre les fonctions de Media Center et de Tablet PC. Pas de versions dissociées. Bien sûr, il vaut mieux que votre portable ait un écran tactile et un stylet pour tirer parti des fonctions d’encre numérique. 5. L’installation de Windows Vista

Windows Vista Professionnel
Abordons maintenant des versions de Vista destinées aux entreprises. Windows Vista Professionnel est la version du système d’exploitation destiné aux entreprises de toutes tailles, mais plus particulièrement les entreprises de petite taille. Windows Vista Édition Professionnelle aide les utilisateurs professionnels au sein d’une PME à assurer le bon fonctionnement et la sécurité de leurs PC tout en réduisant leur dépendance vis-à-vis du service informatique interne. Aux entreprises de taille supérieure, Windows Vista Professionnel apporte des améliorations significatives en termes de flexibilité et d’amélioration de gestion opérationnelle des postes de travail, réduisant ainsi les coûts de maintenance et de support. Avec cette version, les équipes informatiques pourront, dans la mesure du possible, s’affranchir des tâches de maintenance quotidiennes et se consacrer davantage aux développements stratégiques indispensables à la croissance des entreprises. Parmi les caractéristiques incluses dans Windows Vista Professionnel, on retrouve la nouvelle interface graphique Aero. On retrouve également la gestion de grands volumes d’information. En intégrant des fonctions de recherche à l’ensemble du système d’exploitation et en facilitant le classement des fichiers, Windows Vista Professionnel aide les entreprises à trouver rapidement les informations qu’elles recherchent. Les technologies Tablet PC qui permettent d’analyser et de reconnaître l’écriture sont également présentes.

140

Découvrir les différentes versions

Cette édition, spéciale entreprise, intègre en sus des fonctions plus spécifiques dont la jonction aux domaines, l’administration distante du poste de travail et de cryptage de données sur disque dur.

Windows Vista Entreprise
Autre version pour les utilisateurs professionnels, Windows Vista Entreprise est là pour mieux répondre aux besoins des grands groupes internationaux et des entreprises aux infrastructures informatiques complexes. Windows Vista Entreprise a pour objectif d’aider à réduire les risques et les coûts des infrastructures informatiques. Outre toutes les fonctionnalités dont dispose Windows Vista Professionnel, Windows Vista Entreprise apporte un niveau de protection accru des données en mettant en œuvre une technologie de chiffrement matériel. Cette version propose également des outils pour améliorer la compatibilité des applications et faciliter la standardisation. Autre amélioration très importante pour les grands groupes : les entreprises pourront désormais déployer, à l’échelle internationale, une seule image incluant toutes les langues de l’interface utilisateur Windows. Licence Windows Vista Entreprise Petite particularité : la version Windows Vista Entreprise est proposée aux clients disposant d’ordinateurs couverts par un contrat Microsoft Software Assurance ou Microsoft Enterprise Agreement. Du côté des caractéristiques, BitLocker Drive Encryption (utilisation des technologies TPM 1.2 pour les clés de chiffrement) fait parti de Vista et empêche les données confidentielles et la propriété intellectuelle des entreprises de tomber en de mauvaises mains en cas de vol ou de perte d’un ordinateur portable. Virtual PC Express est l’un des nombreux outils intégrés qui améliorent la compatibilité des applications avec les versions antérieures des systèmes d’exploitation de Microsoft. Virtual PC Express permet d’exécuter une ancienne application sur un ancien système d’exploitation Windows dans un environnement virtuel créé sous Windows Vista Entreprise. Le sous-système pour applications Unix est également présent sous Vista Entreprise et permet aux utilisateurs d’exécuter des applications Unix directement sur un PC Windows Vista Entreprise. La nouvelle interface graphique Aero est également disponible.

5. L’installation de Windows Vista

Windows Vista Édition Intégrale
Enfin, terminons par le nec plus ultra, la Rolls-Royce des versions de Windows Vista ! La version Windows Vista Intégrale est un condensé des fonctionnalités et des avantages de toutes les autres versions de Windows Vista. Elle contient tout, et vous 141

Chapitre 5

L’installation de Windows Vista

conviendra, que vous soyez utilisateur à la maison, utilisateur en entreprise ou administrateur, à moins que vous ne soyez les trois à différents moments de la journée. C’est le premier système d’exploitation à réunir toutes les fonctions de divertissement, de mobilité et de productivité offertes par Windows Vista. Les versions N de Windows Vista Pour être plus précis, signalons l’existence, comme sous XP, des versions Vista Édition Familiale Basique N et Vista Professionnel N, qui sont les versions sans Windows Media Player intégré résultant des procès intentés par l’Union européenne.

5.2.

Valider la configuration matérielle minimale recommandée

La liste suivante décrit la configuration matérielle minimale recommandée pour les fonctionnalités de base des différentes éditions. De fait, la configuration matérielle varie en fonction de la version, des programmes et des fonctionnalités que vous installez. 5. L’installation de Windows Vista

Vista Édition Familiale Basique
j j j j j j j j

Processeur 32 bits x86 ou 64 bits x64 cadencé à 800 MHz ; 512 Mo de mémoire système ; carte graphique de classe DirectX 9 ; 32 Mo de mémoire graphique ; disque dur de 20 Go, disposant de 15 Go d’espace libre ; lecteur de DVD interne ou externe ; accès Internet ; dispositif de sortie audio.

Vista Édition Familiale Premium, Professionnel, Entreprise et Intégrale
j j j j

Processeur 32 bits x86 ou 64 bits x64 cadencé à 1 GHz ; 1 Go de mémoire système ; carte graphique compatible Windows Aero ; 128 Mo de mémoire graphique ;

142

Effectuer une installation interactive

j j j j

disque dur de 40 Go, disposant de 15 Go d’espace libre (pour le stockage des fichiers temporaires lors de l’installation ou de la mise à niveau) ; lecteur de DVD interne ou externe ; accès Internet ; dispositif de sortie audio. Configuration requise Pour plus d’informations sur la configuration requise de Windows Vista, vous pouvez consulter le site technique de la base de connaissance Microsoft à l’adresse http:// support.microsoft.com/search/?adv=1 et sélectionner la fiche KB 919183 Configuration requise de Windows Vista.

5.3.

Effectuer une installation interactive
5. L’installation de Windows Vista

Vous pouvez installer Windows de manière interactive à partir du média Windows. L’installation interactive nécessite une intervention de l’utilisateur, qui doit spécifier notamment le lecteur de destination, son nom d’utilisateur et son fuseau horaire. L’installation standard de Windows Vista ne déroge pas aux règles de simplicité. Windows Vista reste très élémentaire à installer puisqu’il vous suffit de démarrer l’ordinateur avec le DVD d’installation pour que celle-ci se réalise presque seule. Il vous sera demandé d’entrer le numéro de série et de répondre à trois ou quatre questions : votre pays, votre nom, un mot de passe, etc. Installation de Windows Vista sur un ordinateur disposant de 3 Go de RAM Les ordinateurs disposent d’une mémoire vive de plus en plus élevée, et pour cause : celle-ci arrive à des prix très accessibles et, de fait, il n’est pas rare de trouver des ordinateurs disposant de 4 Go de RAM. Dans ce cas, durant l’installation de Windows Vista, le message suivant peut apparaître : "STOP 0x0000000A (paramètre1, paramètre2, paramètre3, paramètre4) IRQL_NOT_LESS_OR_EQUAL". Le problème peut être lié à la quantité de mémoire. Pour résoudre ce problème, Microsoft propose deux correctifs : la mise à jour KB929777 pour Windows Vista (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =240ac3f3-2b60-4b70-b709-06b2bc5b1336) ; j la mise à jour KB929777pour Windows Vista, version 64 bits (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =91672c7c-614b-404c-850c-377541e93c18).
j

143

Chapitre 5

L’installation de Windows Vista

Lancez l’installation de la manière suivante : 1. Démarrez le programme d’installation de Windows Vista en insérant le DVD, puis redémarrez votre ordinateur.

5. L’installation de Windows Vista

Figure 5.1 : Initialisation de l’installation de Windows Vista

2. Sélectionnez la langue et les paramètres régionaux et cliquez sur Suivant.

Figure 5.2 : Sélection des paramètres régionaux : la langue, les paramètres liaient au

pays ainsi que le clavier 144

Effectuer une installation interactive

3. À l’invite d’installation, cliquez sur Installer. 4. Dans la partie Entrez votre clé de produit pour activation, tapez le numéro de série du produit dans le champ Clé de produits (les tirets de séparation sont ajoutés automatiquement). Ce numéro est composé de 25 caractères alphanumériques. Cliquez sur Suivant pour continuer.

5. L’installation de Windows Vista

Figure 5.3 : Écran de saisie pour le déblocage de la version de Windows Vista

5. Windows Vista ne déroge pas à la règle : dans la fenêtre Veuillez lire le contrat de licence, lisez et acceptez les termes du contrat de licence. Activez l’option J’accepte les termes du contrat de licence (indispensable pour continuer). Cliquez sur Suivant. Si vous ne validez pas cette option, vous serez obligé de mettre fin au programme d’installation de Windows Vista. 6. Dans la fenêtre Quel type d’installation voulez-vous effectuer ?, deux choix s’offrent à vous : une Mise à niveau ou une installation Personnalisée (options avancées). Sélectionnez Personnalisée (option avancée). Impossible de sélectionner ou de formater le disque dur Lors de l’installation, il peut arriver que l’on ne puisse pas sélectionner ou formater une partition destinée à l’installation de Windows Vista. Dans ce cas le message suivant apparaît : "Windows ne trouve pas de volume système conforme à ses critères d’installation". 145

Chapitre 5

L’installation de Windows Vista

Ce problème peut se produire dans les cas suivants :
j j j j j

Le contrôleur de disque n’est pas compatible avec Windows Vista, voire il est obsolète. Les pilotes ne sont pas à jour. Le disque dur est un disque converti en dynamique. Le disque dur a un problème matériel. La partition que vous sélectionnez est en FAT32 ou dans un format incompatible pour Windows Vista.

Pour répondre à ces problèmes la fiche KB927520 : "Vous ne pouvez pas sélectionner ou formater une partition de disque dur lorsque vous essayez d’installer Windows Vista" vous propose huit solutions possibles.
j j j j

j j j j

Méthode 1 : Vérification de la compatibilité de la partition avec Windows Vista. Méthode 2 : Mise à jour des pilotes pour le contrôleur de disque dur. Méthode 3 : Installation des pilotes corrects pour le contrôleur de disque dur. Méthode 4 : Examen du fichier Setupact.log afin de vérifier que la partition est active. Méthode 5 : Recherche de mises à jour du microprogramme et de mises à jour du BIOS système. Méthode 6 : Vérification que le BIOS système détecte correctement le disque dur. Méthode 7 : Utilisation de l’utilitaire Chkdsk.exe pour identifier les problèmes. Méthode 8 : Utilisation de l’utilitaire Diskpart.exe pour nettoyer le disque, puis nouvelle exécution du programme d’installation de Windows Vista.

5. L’installation de Windows Vista

7. Dans la fenêtre Où souhaitez-vous installer Windows ?, cliquez sur Options de lecteurs (avancées) pour personnaliser la taille de la partition d’installation (voir fig. 5.4). 8. Cliquez sur Suivant pour démarrer la copie des fichiers. Les étapes suivantes se succèdent :
j j j j j

copie des fichiers de Windows ; décompression des fichiers ; installation des fonctionnalités ; installation des mises à jour ; fin de l’installation.

146

Effectuer une installation interactive

5. L’installation de Windows Vista

Figure 5.4 : Personnalisation de la taille de la partition d’installation

Durée de l’installation L’installation peut prendre plusieurs dizaines de minutes selon la puissance de votre machine. 9. Dans la fenêtre de Windows Vista, cliquez sur Suivant. 10. Sélectionnez une image et entrez un mot de passe. Confirmez ce mot de passe, puis cliquez sur Suivant. 11. Changez le nom de l’ordinateur et sélectionnez votre fond d’écran. Cliquez sur Suivant. 12. Choisissez ou non d’activer et de configurer le pare-feu. 13. Configurez la Date et le Fuseau horaire. 14. Démarrez Windows Vista en cliquant sur l’icône Windows Vista. Dans la première fenêtre, vous devez entrer votre mot de passe. La configuration de votre Bureau commence.

147

Chapitre 5

L’installation de Windows Vista

Figure 5.5 : Configuration de votre Bureau

L’activation et la licence
5. L’installation de Windows Vista C’est bien connu, l’utilisation de Windows nécessite une licence et, sur ce point, Windows Vista ne déroge pas à la règle. Cela veut dire qu’une fois votre système d’exploitation installé avec un numéro de série, vous disposez d’une période de grâce de 30 jours. Après ce délai, l’utilisation de votre ordinateur deviendra compliquée. Cependant, il peut arriver que l’on veuille faire des tests et que cette période ne suffise pas. Pour répondre à cette contrainte, il existe une commande assez peu documentée qui se nomme SLMGR.
Figure 5.6 : Recherche d’informations sur SLMGR dans l’aide de Windows Vista

148

Effectuer une installation interactive

Cette commande vous permet de repousser ce délai trois fois. Pour connaître les extensions liées à cette commande, saisissez SLMGR /? dans une fenêtre en ligne de commandes.
Figure 5.7 : Extensions de la commande SLMGR

5. L’installation de Windows Vista

Pour savoir combien de temps il vous reste avant la fin de votre période de grâce, procédez ainsi : 1. Cliquez sur le menu Démarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, saisissez slmgr –dli.
Figure 5.8 : Informations sur le délai d’enregistrement

149

Chapitre 5

L’installation de Windows Vista

Dans notre exemple, nous pouvons constater que le délai de grâce est de 20 jours. Pour prolonger ce délai à 30 jours, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, saisissez slmgr –rearm.

5. L’installation de Windows Vista

Figure 5.9 : Renouvellement du délai de 30 jours

3. Redémarrez votre système d’exploitation pour que la commande soit validée. Pour contrôler, lancer le mode en ligne de commandes en tant qu’administrateur, puis saisissez la commande slmgr –dli.
Figure 5.10 : Informations sur le nouveau délai d’enregistrement

Il reste 29 jours. SLMGR La commande slmgr −rearm ne peut pas être utilisée plus de trois fois. Cela veut dire que vous pouvez utiliser Windows Vista durant une période totale de 120 jours.

150

Migrer vers Windows Vista

Si vous souhaitez connaître jusqu’où cette grâce vous conduit, tapez la commande slmgr −xpr.

Figure 5.11 : Informations sur la période de grâce

5.4.

Migrer vers Windows Vista
5. L’installation de Windows Vista

Pour procéder à la migration vers Windows Vista à partir d’une version antérieure de Windows, vous devez disposer d’un ordinateur avec une version prise en charge de Windows contenant les applications, les paramètres et les données à déplacer vers un nouvel ordinateur avec Windows Vista. Les outils de migration de Windows Vista vous offrent trois possibilités pour la migration des paramètres et des fichiers :
j

la connexion réseau (dans le premier cas, les deux ordinateurs doivent être en mesure de communiquer directement de l’un à l’autre ; dans le second cas, si l’on utilise un partage réseau, les deux ordinateurs doivent être capables de mapper ce partage) ; un support amovible (par exemple une clé USB ou un disque dur externe) ; un CD ou un DVD.

j j

Outre la méthode de transfert, vous avez le choix des outils de migration. L’Assistant Migration de PC est inclus dans Windows Vista, mais également dans le DVD d’installation. Il vous permet de faire migrer les paramètres et les fichiers de tous vos utilisateurs d’un ordinateur vers un nouvel ordinateur. Migration des utilisateurs L’utilitaire ne fera migrer que les utilisateurs ayant déjà ouvert une session dans le précédent système d’exploitation si, par exemple, vous avez trois utilisateurs qui ouvrent des sessions sur le poste et un utilisateur que vous n’avez jamais utilisé et qui vous sert d’utilisateur de secours. Seuls les trois utilisateurs auront migré. C’est normal : aucun profil n’a été créé pour ce quatrième utilisateur.

151

Chapitre 5

L’installation de Windows Vista

L’Assistant Migration de PC de Windows Vista peut déplacer les paramètres suivants :
j j j j j

les comptes des utilisateurs ; les fichiers et dossiers de tous les lecteurs ; les paramètres des programmes ; les paramètres et favoris Internet ; les paramètres de courrier électronique.

Transférer les fichiers et les paramètres via le réseau
Le transfert s’effectue en deux étapes. La première étape se déroule du côté poste cible, c’est-à-dire le nouvel ordinateur qui exécute Windows Vista. Il va s’agir de préparer le transfert. Dans notre cas, cela se passera par le réseau. Une fois le mode de transfert sélectionné, l’ordinateur cible fournira une clé qui sera utilisée par l’ordinateur source pour initier le transfert. Dans un deuxième temps, l’ordinateur source utilisera la clé pour établir la communication entre les deux ordinateurs. Ensuite, il faudra sectionner les utilisateurs, les paramètres et les fichiers à transférer. 5. L’installation de Windows Vista Avant de démarrer les étapes entre les deux postes, il est important de vérifier que ces derniers communiquent entre eux. Deux vérifications peuvent être réalisées. La première consiste à contrôler que les ordinateurs sont présents dans le voisinage réseau.

Figure 5.12 : Vérification de la présence des ordinateurs dans le voisinage réseau

152

Migrer vers Windows Vista

L’autre vérification consiste à lancer un ping sur le second ordinateur. En cas de problème avec le ping, vérifier que ce n’est pas lié au pare-feu :
C:\Documents and Settings\Sylvain>ipconfig Configuration IP de Windows

Carte Ethernet Connexion au réseau local: Suffixe DNS propre à la Adresse IP. . . . . . . Masque de sous-réseau . Passerelle par défaut . connexion : . . . . . : 172.100.16.100 . . . . . : 255.255.240.0 . . . . . : 172.100.16.1

C:\Documents and Settings\Sylvain>ping 172.100.16.75 Envoi d’une requête ’ping’ sur 172.100.16.75 avec 32 octets de données : Réponse Réponse Réponse Réponse de de de de 172.100.16.75 172.100.16.75 172.100.16.75 172.100.16.75 : : : : octets=32 octets=32 octets=32 octets=32 temps=179 ms TTL=128 temps=156 ms TTL=128 temps=1074 ms TTL=128 temps=184 ms TTL=128

5. L’installation de Windows Vista

Statistiques Ping pour 172.100.16.75: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), Durée approximative des boucles en millisecondes : Minimum = 156ms, Maximum = 1074ms, Moyenne = 398ms C:\Documents and Settings\Sylvain>

Côté poste cible
1. Ouvrez l’Assistant Migration de PC sur votre ordinateur Windows Vista. Cliquez sur Démarrer/Tous les programmes/Accessoires/Outils système/Transfert de paramètres et fichiers Windows (voir fig. 5.13). 2. Au lancement de l’interface graphique de l’outil de transfert, la fenêtre Contrôle du compte utilisateur s’affiche, cliquez sur Continuer. Dans la fenêtre Transfert de fichiers et paramètres de Windows, cliquez sur Suivant pour continuer (voir fig. 5.14).

153

Chapitre 5

L’installation de Windows Vista

Figure 5.13 : Lancement de l’utilitaire de transfert depuis Windows Vista

5. L’installation de Windows Vista

Figure 5.14 : Assistant de transfert de fichiers et paramètres

154

Migrer vers Windows Vista

3. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration de PC afin de fermer simultanément tous les programmes en cours d’exécution.

5. L’installation de Windows Vista

Figure 5.15 : Fermeture de tous les programmes en cours d’exécution

4. Dans la fenêtre Voulez-vous commencer un nouveau transfert ou en continuer un ?, cliquez sur Démarrer un nouveau transfert afin de lancer le processus de préparation de l’Assistant Migration de PC pour la collecte des informations sur les ordinateurs existants.

Figure 5.16 : Lancement d’un nouveau transfert depuis l’ordinateur cible

155

Chapitre 5

L’installation de Windows Vista

5. Dans la fenêtre Quel ordinateur utilisez-vous maintenant ?, Cliquez sur Mon nouvel ordinateur.

Figure 5.17 : Choix de l’ordinateur cible ou de l’ordinateur source pour le paramétrage

de transfert 6. Dans la fenêtre Disposez-vous d’un câble de transfert ?, choisissez Non, afficher d’autres options.

5. L’installation de Windows Vista

Figure 5.18 : Sélection du mode de transfert, avec ou sans câble USB

7. Pour continuer, vous allez devoir anticiper le fait d’avoir déjà installé l’utilitaire de transfert sur votre ancien ordinateur. Pour cela, dans la fenêtre Avez-vous installé Transfert de fichiers et paramètres Windows sur votre ancien ordinateur ?, sélectionnez Oui, je l’ai installé. 8. C’est à ce stade du paramétrage que vous pouvez sélectionner le mode de transfert, soit en réseau par un support de type CD ou DVD. Sélectionnez Oui, je vais transférer des fichiers et paramètres via le réseau. 9. Il va s’agir de sécuriser l’échange entre les deux ordinateurs. Pour cela, vous disposerez d’une clé commune aux deux ordinateurs. Deux choix s’offrent à vous. 156

Migrer vers Windows Vista

Vous avez la possibilité de cliquer sur Non, j’ai besoin d’une clé. Dans ce cas, l’utilitaire va générer une clé que vous pourrez fournir à l’ordinateur source. Seconde possibilité : vous démarrez simultanément le paramétrage de l’ordinateur cible et demandez par le biais de l’ordinateur source une clé. Dans ce cas, sélectionnez Oui, je dispose d’une clé.

Figure 5.19 : Demande d’une clé à l’utilitaire de transfert

10. Pour notre exemple, la clé sera demandée par l’ordinateur cible à l’utilitaire. Sélectionnez Non, j’ai besoin d’une clé. Notez la clé.

5. L’installation de Windows Vista

Figure 5.20 : L’ordinateur vous donne une clé aléatoire composée de chiffres et de lettres

en majuscules et minuscules La deuxième partie va se dérouler à partir du poste source.

Côté poste source
1. Démarrez l’Assistant Migration de PC sur l’ordinateur à partir duquel vous souhaitez faire migrer les paramètres et les fichiers en accédant au support amovible ou au lecteur réseau contenant les fichiers de l’Assistant. Double-cliquez sur migwiz.exe.

157

Chapitre 5

L’installation de Windows Vista

Figure 5.21 : L’exécutable Migwiz.exe provenant du DVD d’installation de Windows

Vista dans le répertoire support\migwiz 5. L’installation de Windows Vista 2. Au lancement de l’interface graphique de l’outil de transfert, cliquez sur Suivant pour continuer. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration de PC afin de fermer simultanément tous les programmes en cours d’exécution.

Figure 5.22 : Fermeture des programmes en cours d’exécution

158

Migrer vers Windows Vista

3. Dans la fenêtre Choisissez la méthode de transfert des fichiers et des paramètres vers le nouvel ordinateur, sélectionnez Transférer directement, en utilisant une connexion réseau.

Figure 5.23 : Sélection de la méthode de transfert

5. L’installation de Windows Vista

Méthode de transfert Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par exemple, les deux ordinateurs doivent être connectés au même réseau. 4. Cliquez sur Utiliser une connexion réseau afin de commencer le transfert. Vous pouvez également cliquer sur Copier dans et à partir d’un emplacement réseau si vous souhaitez stocker les fichiers et paramètres dans un fichier afin de le charger ultérieurement. Si vous choisissez de stocker les données dans un emplacement réseau, vous serez invité à indiquer le chemin.

Figure 5.24 : Sélection du mode de transfert, directement de PC à PC ou de l’ordinateur

source vers un partage réseau commun

159

Chapitre 5

L’installation de Windows Vista

5. Dans la partie précédente, l’utilitaire avait posé la question : "Avez-vous ou souhaitez-vous une clé ?" Vous en avez demandé une. Dans la fenêtre Disposez-vous d’une clé Transfert de fichiers et paramètres Windows ?, cliquez sur Oui, je dispose d’une clé, puis saisissez la clé afin de pouvoir créer la communication entre les deux ordinateurs et continuer.

5. L’installation de Windows Vista

Figure 5.25 : Clé aléatoire composée de chiffres et de lettres en majuscules et minuscules

provenant de l’ordinateur cible 6. Saisissez la clé demandée et cliquez sur Suivant. 7. Puisque la communication entre les deux ordinateurs est réalisée, c’est le moment de choisir ce qui doit être transféré. Trois possibilités : cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé) afin de transférer tous les fichiers et paramètres ; vous pouvez également choisir de déterminer exactement les fichiers à faire migrer, en cliquant sur Uniquement mon compte d’utilisateur, mes fichiers et mes paramètres ou sur Options avancées (voir fig. 5.26). 8. Dans notre cas, nous allons choisir de tout transférer. Vous devez donc cliquer sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé).

160

Migrer vers Windows Vista

Figure 5.26 : Fenêtre Que voulez-vous transférer sur votre nouvel ordinateur

9. Examinez la liste des fichiers et des paramètres à transférer, puis cliquez sur Transférer pour lancer le transfert. Malgré le fait d’avoir sélectionné Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé), vous avez la possibilité de personnaliser votre sélection. Cela peut vous permettre d’ajouter des données qui ne se trouvent pas forcément dans les paramètres utilisateurs. Pour cela, cliquez sur Options avancées, puis sur Ajouter des répertoires.

5. L’installation de Windows Vista

Figure 5.27 : Sélection des utilisateurs, des paramètres et des fichiers à transférer

10. Entrez un nouveau nom d’utilisateur ou sélectionnez-le sur la liste. Dans cette fenêtre, vous avez la possibilité de renommer les comptes que vous avez sélectionnés précédemment et de donner le nouveau nom qu’ils porteront sur l’ordinateur cible. Cliquez sur Suivant. 161

Chapitre 5

L’installation de Windows Vista

Figure 5.28 : Sélection des noms utilisateur pour l’ordinateur cible

5. L’installation de Windows Vista

11. Dans le cas où vous posséderiez plusieurs lecteurs logiques ou simplement plusieurs disques durs, vous avez la possibilité de transférer les données, les paramètres et les fichiers sur le lecteur de votre choix. Vous avez même la possibilité de ne posséder qu’un lecteur, par exemple. Cliquez sur Suivant pour lancer le transfert.

Figure 5.29 : Correspondance des disques de l’ordinateur source vers l’ordinateur cible

162

Migrer vers Windows Vista

Une estimation du temps de copie est réalisée, puis la copie est lancée.

Figure 5.30 : Estimation du temps de copie et lancement de la copie

12. Une fois le transfert terminé, un bref résumé s’affiche. Vous avez la possibilité d’obtenir plus de détails sur l’ensemble des fichiers transférés en cliquant sur Afficher tous les éléments transférés. Cliquez sur Fermer pour fermer l’utilitaire de transfert sur le poste source. Regardons à présent ce qu’il s’est passé sur l’ordinateur cible. Les utilisateurs et les paramètres ont été transférés. Paul a été renommé en Polo, Julie en Juju et Sylvain reste Sylvain. Seule remarque pour le moment, les profils avec des droits d’administrateurs au départ du transfert se retrouvent avec des droits de simples utilisateurs à l’arrivée ; idem pour les données, elles sont à présent toutes sur le disque C.

5. L’installation de Windows Vista

Figure 5.31 : Contrôle du transfert des profils sur l’ordinateur cible

163

Chapitre 5

L’installation de Windows Vista

Transférer les fichiers et les paramètres à l’aide d’un support amovible
Nous venons de voir en détail comment transférer les utilisateurs, les paramètres et les données de poste à poste, mais il existe d’autres méthodes. Le transfert à l’aide d’un support amovible en est une. Et selon les différentes méthodes, seuls deux ou trois paramètres changent, mais le principe entre le poste source et le poste cible ne change pas (c’est d’ailleurs pour cela que nous avons passé du temps sur ce sujet). Pour ne pas répéter tout ce qui a été écrit précédemment, nous allons parcourir un peu plus rapidement les deux méthodes restantes. 1. Démarrez l’Assistant Migration de PC sur l’ordinateur à partir duquel vous souhaitez faire migrer les paramètres et les fichiers en accédant au support amovible ou au lecteur réseau contenant les fichiers de l’Assistant. Double-cliquez sur migwiz.exe. 2. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration de PC afin de fermer simultanément tous les programmes en cours d’exécution. Cliquez sur Suivant. 5. L’installation de Windows Vista 3. Déterminez la méthode de transfert à utiliser. Sélectionnez Sur un CD ou un autre support amovible, tel qu’un lecteur flash. Support Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par exemple, ils doivent prendre en charge le même type de support amovible. 4. Cliquez sur Vers un lecteur réseau afin d’enregistrer les fichiers dans un dossier réseau ou un dossier sur un lecteur amovible. 5. Dans Où souhaitez-vous enregistrer vos fichiers ?, tapez le chemin d’un dossier sur le lecteur amovible. Cliquez sur Suivant. 6. Cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé) afin de transférer tous les fichiers et paramètres. Vous pouvez également choisir de déterminer exactement les fichiers à migrer, en cliquant sur Seulement mon compte utilisateur, mes fichiers et mes paramètres de programme ou sur Personnalisé. 7. Examinez la liste des fichiers et paramètres à transférer, puis cliquez sur Démarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramètres. 8. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des fichiers.

164

Migrer vers Windows Vista

9. Déplacez le support amovible vers le nouvel ordinateur et lancez l’Assistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans Où avez-vous copié vos fichiers ?, cliquez sur Support amovible. Si l’option Support amovible n’est pas disponible, cliquez sur Lecteur réseau. Cliquez sur Suivant. 12. Dans Localisez vos fichiers enregistrés, tapez le chemin vers vos fichiers enregistrés ou cliquez sur Parcourir. Cliquez sur Suivant une fois que vous avez localisé les fichiers. 13. Choisissez sur le nouvel ordinateur des noms d’utilisateurs qui correspondent à ceux de l’ancien ordinateur. Vous pouvez être amené à créer de nouveaux comptes lors de cette étape. Tapez un nom d’utilisateur afin de créer un compte sur l’ordinateur local. Saisissez un nom d’utilisateur afin de créer un profil. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, sélectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent être déplacés sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramètres à transférer puis cliquez sur Démarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramètres. 16. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des fichiers. 5. L’installation de Windows Vista

Transférer les fichiers et les paramètres: à l’aide d’un CD ou d’un DVD
Pour clore la partie sur les transferts de ce chapitre, voici de manière très rapide la dernière méthode, celle par CD ou DVD : 1. Démarrez l’Assistant Migration de PC sur l’ordinateur à partir duquel vous souhaitez faire migrer les paramètres et les fichiers en accédant au support amovible ou au lecteur réseau contenant les fichiers de l’Assistant. Double-cliquez sur migwiz.exe. 2. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Fermer tout dans l’Assistant Migration de PC afin de fermer simultanément tous les programmes en cours d’exécution. Cliquez sur Suivant. 3. Déterminez la méthode de transfert à utiliser. Cliquez sur Graver un CD ou un DVD.

165

Chapitre 5

L’installation de Windows Vista

Support Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par exemple, ils doivent être équipés d’un lecteur de CD ou de DVD. 4. Dans Choisissez votre support, tapez le chemin vers le support CD ou DVD réinscriptible. Cliquez sur Suivant. 5. Cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé) afin de transférer tous les fichiers et paramètres. Vous pouvez également choisir de déterminer exactement les fichiers à migrer, en cliquant sur Seulement mon compte utilisateur, mes fichiers et mes paramètres de programme ou sur Personnalisé. 6. Examinez la liste des fichiers et paramètres à transférer, puis cliquez sur Démarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramètres. S’il n’y a pas suffisamment d’espace disponible sur le support réinscriptible, l’Assistant Migration de PC indique le nombre de disques vierges nécessaires. 7. Cliquez sur Suivant une fois le processus de gravure du CD ou du DVD terminé. 5. L’installation de Windows Vista 8. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des fichiers. 9. Déplacez le CD ou le DVD vers le nouvel ordinateur et lancez l’Assistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans Où avez-vous copié vos fichiers ?, cliquez sur Lire le CD ou le DVD. 12. Dans Choisissez votre support, sélectionnez la lettre d’unité du lecteur de CD ou de DVD ou se trouve le disque. Cliquez sur Suivant une fois que vous avez localisé les fichiers. 13. Choisissez, sur le nouvel ordinateur, des noms d’utilisateurs qui correspondent à ceux de l’ancien ordinateur. Vous pouvez être amené à créer de nouveaux comptes lors de cette étape. Tapez un nom d’utilisateur afin de créer un compte sur l’ordinateur local. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, sélectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent être déplacés sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramètres à transférer, puis cliquez sur Démarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramètres. 16. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des fichiers.

166

Préparer la mise à jour vers Windows Vista

5.5.

Préparer la mise à jour vers Windows Vista

Tout au long de ce chapitre, nous avons vu comment faire cohabiter Windows XP et Windows Vista. Nous avons vu également comment transférer nos données d’un poste utilisateur Windows XP vers un nouvel ordinateur équipé de Windows Vista. Nous allons voir à présent comment mettre son ancien ordinateur à niveau vers Windows Vista. Bien que cette opération semble simple, il est quand même nécessaire d’effectuer quelques vérifications d’usage telles que la version vers laquelle l’on souhaite migrer ou encore la compatibilité du matériel. Il ne faut pas oublier également de vérifier les prérequis d’installation et réaliser une sauvegarde. Et pour terminer ce tour d’horizon, vous devez bien comprendre ce qu’il se passe durant la migration. Pour atteindre notre objectif, nous allons devoir réaliser les étapes suivantes :
j j j j j j

la vérification de la compatibilité de l’ordinateur avec Windows Vista ; l’installation du Conseiller de mise à niveau Windows Vista ; l’installation du Framework .NET 2.0 ; l’installation de MSXML ; la sauvegarde des données existantes ; l’installation de Windows Vista. 5. L’installation de Windows Vista

Cette opération demande de répondre aux prérequis suivants :
j j j

la mise à jour de Windows Vista avec le numéro de série ; un disque dur ou un DVD pour la sauvegarde des données ; un espace disque libre d’au moins 12 Go pour la mise à niveau.

Choisir une version de mise à jour
Voici un tableau récapitulatif :
Tableau 5.1 : Installation et mise à niveau vers Windows Vista Windows XP Professional Windows XP Familial Windows XP Media Center Nécessite une nouvelle installation Mise à niveau possible sur la version existante Nécessite une nouvelle installation Nécessite une nouvelle installation Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Nécessite une nouvelle installation Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante

167

Chapitre 5

L’installation de Windows Vista

Windows XP Professional Windows XP Tablet PC

Nécessite une nouvelle installation Nécessite une nouvelle installation

Nécessite une nouvelle installation Nécessite une nouvelle installation Nécessite une nouvelle installation Nécessite une nouvelle installation

Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Nécessite une nouvelle installation Nécessite une nouvelle installation

Mise à niveau possible sur la version existante Mise à niveau possible sur la version existante Nécessite une nouvelle installation Nécessite une nouvelle installation

Windows XP Nécessite une Professionnel x64 nouvelle installation Windows 2000 Nécessite une nouvelle installation

5. L’installation de Windows Vista

Une fois l’analyse du tableau réalisée, il est nécessaire d’effectuer quelques tâches préliminaires comme évaluer la configuration requise ou encore valider la version vers laquelle vous souhaitez mettre l’ordinateur à jour. Pour cela, Microsoft propose un outil. Deuxième étape importante : la sauvegarde des données. C’est seulement après avoir réalisé les deux étapes préliminaires que vous pourrez passer à l’étape 3 qui consiste à mettre à niveau un ordinateur possédant déjà un système d’exploitation vers Windows Vista.

À partir de Windows Vista Familiale Basic
Windows Vista Familiale Basic est la première version à fonctionner sur des ordinateurs classiques. Elle fonctionne avec les prérequis suivants :
j j j j

un CPU d’au moins 800 MHz ; 512 Mo de mémoire ; une carte graphique DirectX 9 ; un disque de 20 Go, avec 15 Go d’espace libre.

Elle offre uniquement les fonctions de base de Windows Vista.

À partir de Windows Vista Familiale Premium
La version Windows Vista Home Premium est, quant à elle, la première version multimédia de Windows Vista. Elle permet d’activer les fonctions graphiques. Le pilote WDDM permet d’étendre le Bureau, ce qui apporte plusieurs fonctionnalités comme la transparence, mais aussi et surtout la composition du Bureau au sein de la carte graphique. Il va permettre aux processeurs graphiques de délester les processeurs centraux. Cette version fonctionne avec les prérequis supplémentaires suivants :
j

un CPU d’au moins 1 GHz ;

168

Préparer la mise à jour vers Windows Vista

j j

1 Go de mémoire ; une carte graphique avec pilote WDDM.

Vérifier la compatibilité matérielle
Lorsque l’on choisit de mettre à niveau son ancien ordinateur, il est important de vérifier la compatibilité, cela peut épargner bien des problèmes en milieu d’installation. Par exemple, la fiche KB927688, intitulée "Lorsque vous tentez d’installer Windows Vista, l’option de mise à niveau n’est pas disponible", explique les problèmes liés à la compatibilité matérielle. Pour ne pas rencontrer ce type de désagrément, Microsoft met à votre disposition un Conseiller de mise à niveau Windows Vista. Cependant, il nécessite l’installation de deux prérequis : le Framework .NET et MSXML.

Installer le Framework .NET
L’un des deux prérequis pour l’utilisation de l’utilitaire Upgrade Advisor est l’installation du Framework .NET. Téléchargement de Framework .NET
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=0856eacb-4362 -4b0d-8edd-aab15c5e04f5

5. L’installation de Windows Vista

Une fois le Framework téléchargé, il vous faut procéder à l’installation en respectant les étapes suivantes : 1. Cliquez une première fois sur le fichier téléchargé et, à son ouverture, cliquez sur Exécuter. 2. Une fois le Framework décompressé, l’assistant d’installation se lance. Dans la fenêtre Bienvenue dans le programme d’installation de Microsoft .NET Framework2.0, cliquez sur Suivant. 3. Dans la fenêtre Contrat de Licence Utilisateur Final, acceptez les termes du contrat de licence en cochant la case J’accepte les termes du contrat de licence et cliquez sur Installer. 4. L’installation peut prendre quelques minutes. Dans la fenêtre Installation terminée, cliquez sur Terminer.

169

Chapitre 5

L’installation de Windows Vista

Installer MSXML
Le deuxième prérequis pour l’utilisation de l’outil Upgrade Advisor est MSXML. Téléchargement de MSXML
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=993c0bcf-3bcf -4009-be21-27e85e1857b1

Une fois MSXML téléchargé, procédez à l’installation en respectant les étapes suivantes : 1. Cliquez une première fois sur le fichier téléchargé. À l’ouverture, cliquez sur Suivant. 2. Dans la fenêtre Contrat de licence, cochez la case J’accepte les termes du contrat de licence et cliquez sur Suivant. 3. Dans la fenêtre Information, remplissez ou modifier les champs Nom et Société, puis cliquez sur Suivant. 4. Cliquez sur Installer dans la fenêtre Prêt à installer le programme pour lancer l’installation. 5. Pour finir l’installation, cliquez sur Terminer.

5. L’installation de Windows Vista

Installer le Conseiller de mise à niveau Windows Vista
Téléchargement du Conseiller de mise à niveau Windows Vista
www.microsoft.com/france/windows/products/windowsvista/buyorupgrade /upgradeadvisor.mspx

Sur le site, cliquez sur le lien Téléchargez le Conseiller de mise à niveau Windows Vista pour que le téléchargement se lance. Windows Vista Upgrade Advisor ne fonctionne qu’avec Windows XP. Il n’est pas possible de le faire fonctionner avec Windows 98 ou Windows 2000. Pour l’installer, procédez ainsi : 1. Lancez l’exécutable WindowsVistaUpgradeAdvisor. Une fenêtre d’avertissement de sécurité s’ouvre, cliquez sur Exécuter.

170

Préparer la mise à jour vers Windows Vista

Figure 5.32 : La fenêtre d’avertissement de sécurité de l’installation du Conseiller de mise à niveau Windows Vista

2. Dans la fenêtre Assistant Installation du Conseiller de mise à niveau Windows Vista, cliquez sur Suivant pour continuer.
Figure 5.33 : La fenêtre de l’assistant d’installation

5. L’installation de Windows Vista

3. Dans la fenêtre Contrat de licence, cliquez sur J’accepte pour valider les termes de licence et cliquez sur Suivant (voir fig. 5.34). 4. Dans la fenêtre Sélection du dossier d’installation, gardez le répertoire par défaut et cliquez sur Suivant. Si vous souhaitez modifier le chemin d’installation, cliquez sur Parcourir, sélectionnez le nouveau chemin et cliquez sur Suivant (voir fig. 5.35).

171

Chapitre 5

L’installation de Windows Vista

Figure 5.34 : Validation du contrat de licence

5. L’installation de Windows Vista

Figure 5.35 : Sélection du dossier d’installation

5. L’assistant d’installation vous propose de créer un raccourci sur votre Bureau en sélectionnant par défaut l’option Créer un raccourci sur le bureau. Si vous ne souhaitez pas voir de raccourci, cliquez sur Ne pas créer de raccourci sur le bureau, puis cliquez sur Suivant pour continuer.

172

Préparer la mise à jour vers Windows Vista

Figure 5.36 : Confirmation de l’installation

6. Pour terminer l’installation, cliquez sur Fermer.
Figure 5.37 : Fin de l’installation

5. L’installation de Windows Vista

Utiliser le Conseiller de mise à niveau Windows Vista
Le Conseiller de mise à niveau Windows Vista permet également de vous aider à choisir la version qu’il vous faut en fonction de vos besoins, en termes de multimédia, de connectivité ou encore d’accès à l’information : "Qu’est-ce que je veux faire à l’intérieur de l’entreprise ? Est-ce que je veux faire du partage collaboratif ?" Il va déterminer en fonction des activités la version en adéquation avec ces besoins. Il est capable également de mettre un certain nombre de points bloquants en avant. 173

Chapitre 5

L’installation de Windows Vista

À présent, vous allez utiliser le Conseiller de mise à niveau Windows Vista au travers de plusieurs étapes. 1. Pour lancer le programme, cliquez sur le menu Démarrer/Tous les programmes/ Conseiller de mise à niveau Windows Vista ou cliquez tout simplement sur le raccourci si vous avez sélectionné l’option durant l’installation.
Figure 5.38 : Le raccourci du Conseiller de mise à niveau Windows Vista sur le Bureau

2. Démarrez l’analyse de votre ordinateur en cliquant sur Démarrer l’analyse. Cette analyse peut être réalisée à partir de Windows XP bien évidemment, mais également depuis un ordinateur qui possède une version de Windows Vista que vous souhaitez faire évoluer vers une version plus élaborée.

5. L’installation de Windows Vista

Figure 5.39 : Lancement de l’analyse de votre ordinateur

174

Préparer la mise à jour vers Windows Vista

Le Conseiller de mise à niveau Windows Vista se connecte à Internet pour actualiser sa base. Ensuite, il commence à analyser votre ordinateur en fonction de quatre déclinaisons de Windows Vista : Intégrale, Familial Premium, Professionnel et Familial Basic. Une fois l’analyse terminée, le programme affiche la version de Windows Vista la mieux adaptée à votre ordinateur ainsi que trois rapports détaillés.

5. L’installation de Windows Vista

Figure 5.40 : Le résultat de l’analyse

Chaque rapport détaillé présent des recommandations propres à sa partie. Le premier rapport représente le système. Dans chaque rapport, un certain nombre d’actions sont données avec les explications qui les accompagnent.

175

Chapitre 5

L’installation de Windows Vista

Le deuxième rapport représente les périphériques. Ce rapport se décompose en trois parties à son tour.
j

La partie Configuration requise correspond en quelque sorte aux problèmes à passer en revue.

5. L’installation de Windows Vista

Figure 5.41 : Le rapport de configuration

176

Préparer la mise à jour vers Windows Vista

j

La partie Périphériques correspond à la liste de périphériques pour lesquels le programme n’a pas trouvé d’informations. Cependant, l’utilitaire se met régulièrement à jour sur la base de données qui elle-même est régulièrement actualisée.

5. L’installation de Windows Vista

Figure 5.42 : Le rapport sur les périphériques

177

Chapitre 5

L’installation de Windows Vista

j

La partie Programmes correspond aux programmes qui sont conformes à Windows Vista, c’est-à-dire qui n’ont pas besoin d’action.

5. L’installation de Windows Vista

Figure 5.43 : Le rapport sur les programmes

Configuration requise Les PC qui ne satisfont pas à la configuration matérielle pour le processeur, la mémoire et la carte vidéo peuvent tout de même exécuter Windows Vista, mais ils n’en offriront peut-être pas toutes les fonctionnalités et tous les avantages. Par 178

Préparer la mise à jour vers Windows Vista

exemple, les PC avec des cartes graphiques qui ne prennent pas en charge WDDM offriront simplement un graphisme comparable à celui de Windows XP avec les bénéfices des fonctionnalités, de la stabilité et des performances ainsi que l’amélioration de la sécurité.

Sauvegarder les données importantes
Avant de mettre son ordinateur à niveau, il est important de réaliser une sauvegarde de ses données importantes. Bien que cette étape soit facultative, il est important, et même recommandé, de disposer d’une sauvegarde récente des données importantes avant d’apporter des modifications significatives à l’ordinateur, afin d’éviter la perte de données. Pour enregistrer vos données essentielles dans un emplacement sûr, les options dépendent du système d’exploitation d’origine et des options de sauvegarde dont vous disposez. La liste suivante présente quelques possibilités de sauvegarde :
j j j j

l’utilisation de Windows Backup ou tout autre logiciel de sauvegarde ; 5. L’installation de Windows Vista la copie des données importantes dans un point de partage sur le réseau ; la gravure des données sur un CD ou un DVD ; la sauvegarde sur un disque dur externe.

Vous allez ici utiliser Windows Backup : 1. Pour lancer l’utilitaire de sauvegarde, cliquez sur Démarrer/Tous les programmes/ Accessoires/Outils système/Utilitaire de sauvegarde. 2. Dans la fenêtre Assistant de sauvegarde et restauration, cliquez sur Suivant. 3. La fenêtre suivante vous propose de sauvegarder ou de restaurer des données au travers des options. Sélectionnez Sauvegarder les fichiers et les paramètres. Cliquez sur Suivant. Vous avez le choix d’effectuer quatre types de sauvegarde :
j j j

L’option Mes documents et paramètres inclut le dossier Mes documents, les favoris, votre Bureau et vos cookies. L’option Les paramètres et les documents de tout le monde consiste à sauvegarder les paramètres et les documents de tous les utilisateurs. L’option Toutes les informations sur cet ordinateur permet de sauvegarder toutes les informations sur l’ordinateur. Elle inclut toutes les données de l’ordinateur et crée un disque de récupération du système qui permettra de restaurer Windows en cas de problème majeur.

179

Chapitre 5

L’installation de Windows Vista

j

L’option Me laisser choisir les fichiers à sauvegarder vous laisse le choix des informations que vous souhaitez sauvegarder. 4. Sélectionnez la quatrième option et cliquez sur Suivant. 5. Sélectionnez dans la fenêtre Éléments à sauvegarder l’ensemble des éléments que vous souhaitez sauvegarder. Une fois votre sélection réalisée, cliquez sur Suivant. 6. Donnez un nom et une destination pour les stocker. Dans la fenêtre Type, nom et destination de la sauvegarde, il est possible de sauvegarder vos données sur une clé USB, voire sur un disque dur amovible. Nommez la sauvegarde, par exemple Sauvegarde avant Vista. Cliquez sur Suivant. 7. Pour mettre fin à l’assistant de sauvegarde, cliquez sur Fin.

Une fois la sauvegarde terminée, il vous est possible de consulter le rapport de sauvegarde pour vérifier qu’il n’y a pas eu d’erreur :
État de la sauvegarde Opération : sauvegarde Destination de sauvegarde active : Fichier Nom du média : "sauvegarde avant installation de Vista.bkf créé le 29/08/2007 à 00:02" Sauvegarde (par clichés instantanés) de "C: " Jeu de sauvegardes n° 1 sur le média n° 1 Description de la sauvegarde : "Jeu créé le 29/08/2007 à 00:02" Nom du média : "sauvegarde avant installation de Vista.bkf créé le 29/08/2007 à 00:02" Type de sauvegarde : Normale Sauvegarde commencée le 29/08/2007 à 00:03. Sauvegarde terminée le 29/08/2007 à 00:05. Répertoires : 280 Fichiers : 440 Octets : 222 557 106 Durée : 1 minute et 23 secondes Sauvegarde (par clichés instantanés) de "E: DATA" Jeu de sauvegardes n° 2 sur le média n° 1 Description de la sauvegarde : "Jeu créé le 29/08/2007 à 00:02" Nom du média : "sauvegarde avant installation de Vista.bkf créé le 29/08/2007 à 00:02" Type de sauvegarde : Normale Sauvegarde commencée le 29/08/2007 à 00:05. Sauvegarde terminée le 29/08/2007 à 00:07. Répertoires : 93 Fichiers : 1474 Octets : 554 711 280 Durée : 2 minutes et 11 secondes

5. L’installation de Windows Vista 180

Mettre à jour le système d’exploitation vers Windows Vista

5.6.

Mettre à jour le système d’exploitation vers Windows Vista

La procédure de mise à jour vers Windows Vista suppose que vous exécutiez déjà une version antérieure de Windows sur votre ordinateur. Les mises à niveau sont prises en charge pour les versions suivantes de Windows :
j j j

Windows 2000 ; Windows XP ; Windows Vista.

Dans notre cas, la mise à jour va s’effectuer depuis Windows XP. Impératif Pour pouvoir mettre votre ordinateur à niveau vers Windows Vista, il vous faut plus de 11 Go d’espace disponible. Autrement, l’option de mise à niveau restera grisée. En cas de problème d’installation, il se peut que l’ordinateur se fige et que vous deviez redémarrer l’ordinateur. Dans ce cas, une boîte de dialogue s’ouvre en vous indiquant que l’installation a été arrêtée de façon inattendue. Or, celle-ci aura consommé de l’espace disque, et il se peut qu’il ne vous soit plus possible de mettre à niveau la machine vers Vista à cause d’un manque d’espace disponible et que vous ne puissiez plus utiliser votre ancienne version de Windows. La parade est de redémarrer depuis le DVD d’installation en mode de réparation, d’utiliser l’utilitaire en ligne de commandes et de supprimer les fichiers temporaires de l’installation, puis de répéter l’étape d’installation. Pour mettre votre ordinateur à jour vers Windows Vista, suivez ces étapes : 1. Démarrez le programme d’installation de Windows Vista en insérant le DVD, puis en cliquant sur Installer. Si le programme d’exécution automatique n’ouvre pas la fenêtre d’installation de Windows, accédez au dossier racine du DVD et double-cliquez sur setup.exe. 2. Cliquez sur Suivant afin de lancer le processus d’installation. 3. Cliquez sur Rechercher les dernières mises à jour en ligne (recommandé) afin de rechercher les dernières mises à jour importantes pour Windows Vista. Cette étape est facultative. Si vous choisissez de ne pas rechercher les mises à jour au cours de l’installation, cliquez sur Ne pas rechercher les dernières mises à jour. 4. Dans la partie Clé du produit, tapez le numéro de série du produit. Il est composé de 25 caractères alphanumériques. Cliquez sur Suivant pour continuer. 5. Windows Vista ne déroge pas à la règle : lisez et acceptez les termes du contrat de licence. Sélectionnez J’accepte les termes du contrat de licence (indispensable pour

5. L’installation de Windows Vista 181

Chapitre 5

L’installation de Windows Vista

Windows), puis cliquez sur Suivant. Si vous ne validez pas cette option, vous serez obligé de mettre fin au programme d’installation de Windows Vista. 6. Dans la fenêtre Quel type d’installation voulez effectuer ?, cliquez sur Mettre à niveau pour procéder à la mise à jour de votre installation existante de Windows. Le programme d’installation de Windows Vista se poursuit jusqu’à la fin sans autre interaction de la part de l’utilisateur. À la fin de la mise à niveau, les partitions, les partages et les paramètres de l’ancienne version n’ont pas bougé. À présent, il ne vous reste plus qu’à restaurer vos anciennes données. Pour cela, vous devez lancer l’utilitaire de sauvegarde et choisir l’option Restauration de données. Suivez les instructions de restauration comme à l’étape Sauvegarder des données de ce chapitre. Journaux d’installation Les fichiers journaux suivants sont créés lorsqu’une mise à niveau réussit :
j j j j j j j

5. L’installation de Windows Vista

C:\Windows\Panther\Setupact.log ; C:\Windows\panther\setuperr.log ; C:\Windows\inf\setupapi.app.log ; C:\Windows\inf\setupapi.dev.log ; C:\Windows\panther\PreGatherPnPList.log ; C:\Windows\panther\PostApplyPnPList.log ; C:\Windows\panther\miglog.xml.

5.7.

Dépanner la mise à niveau vers Windows Vista

Bien que ce soit vraiment très rare, il arrive parfois que la mise à niveau vers Windows Vista ne se déroule pas pour le mieux. Quelques informations sont mises à votre disposition durant la migration pour vous permettre de mieux comprendre ce qu’il se passe. Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant l’installation et avant que l’ordinateur redémarre pour la seconde fois :
j j j

C:\$Windows.~BT\Sources\panther\setupact.log ; C:\$Windows.~BT\Sources\panther\miglog.xml ; C:\Windows\setupapi.log.

182

Dépanner la mise à niveau vers Windows Vista

Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant l’installation et après que l’ordinateur redémarre pour la seconde fois :
j j j j j j j

C:\Windows\panther\setupact.log ; C:\Windows\panther\miglog.xml ; C:\Windows\inf\setupapi.app.log ; C:\Windows\inf\setupapi.dev.log ; C:\Windows\panther\PreGatherPnPList.log ; C:\Windows\panther\PostApplyPnPList.log ; C:\Windows\memory.dmp.

Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau, lors de la restauration du bureau :
j j j j j

C:\$Windows.~BT\Sources\panther\setupact.log ; C:\$Windows.~BT\Sources\panther\miglog.xml ; C:\$Windows.~BT\sources\panther\setupapi\setupapi.dev.log ; C:\$Windows.~BT\sources\panther\setupapi\setupapi.app.log ; C:\Windows\memory.dmp. 5. L’installation de Windows Vista

Lorsque vous tentez d’effectuer une mise à niveau vers Windows Vista, il se peut que l’option Mettre à niveau située dans la boîte de dialogue Installer Windows ne soit pas disponible. Pour tenter de résoudre ce problème, Microsoft met à votre disposition un ensemble de fiches techniques disponibles sur le site de support…
j

927295 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous essayez d’installer Windows Vista, et vous obtenez le message suivant : "Windows ne peut pas déterminer si un autre système d’exploitation existe sur l’ordinateur." 927296 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous essayez d’installer Windows Vista, et vous obtenez le message suivant : "Il existe plusieurs systèmes d’exploitation sur votre partition de mise à niveau." 927297 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous essayez d’installer Windows Vista, et vous obtenez le message suivant : "Vous devez renommer ou supprimer <NomDossier> pour que la mise à niveau puisse continuer." 926069 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous essayez d’installer Windows Vista, et vous obtenez le message suivant : "La mise à niveau a été désactivée." 927688 : lorsque vous tentez d’installer Windows Vista, l’option de mise à niveau n’est pas disponible, et un message d’erreur spécifique au matériel installé sur votre ordinateur s’affiche.

j

j

j

j

183

Chapitre 5

L’installation de Windows Vista

j j

928432 : l’option de mise à niveau n’est pas disponible lors du démarrage de l’ordinateur à l’aide du DVD Windows Vista. 932004 : message d’erreur lorsque vous essayez de mettre à niveau un ordinateur Windows XP vers Windows Vista : "Le système d’exploitation existant ne remplit pas les conditions logicielles requises : ’Service Pack 2 pour Windows XP’." 932005 : l’option de mise à niveau n’est pas disponible pour Windows Vista, et le message d’erreur suivant peut s’afficher : "Vous ne pouvez pas mettre à niveau Windows en mode sans échec." 932006 : message d’erreur lorsque vous essayez de mettre à niveau un ordinateur vers Windows Vista :"Impossible de démarrer la mise à niveau car la langue de Windows installée est différente de celle de ce disque." 932007 : message d’erreur lorsque vous essayez de mettre à niveau un ordinateur vers Windows Vista : "Le système d’exploitation installé ne prend pas en charge la mise à jour vers Windows Vista." 932009 : message d’erreur lorsque vous essayez d’installer Windows Vista à partir du support d’installation Windows Vista. Vous recevez le message : "La mise à niveau a été désactivée — Pour la mise à niveau, démarrez l’installation à partir de Windows."

j

j

j

j

5. L’installation de Windows Vista

5.8.

En résumé

Vous avez découvert l’installation détaillée de Windows Vista à partir d’un média ou d’une mise à jour. Vous avez appris à transférer votre profil et vos données à partir de votre ancien poste Windows XP.

184

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 Le processus d’installation de Windows Vista . . L’Assistant Gestion d’installation . . . . . . . . . . L’architecture de l’Assistant Gestion d’installation L’interface graphique . . . . . . . . . . . . . . . . . Créer un fichier de réponses . . . . . . . . . . . . . Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . ... ... .. ... ... ... ... ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 . 208 . 208 . 211 . 212 . 223 . 233 . 246

Le processus d’installation de Windows Vista

D

ès à présent, les déploiements à venir à partir des infrastructures Active Directory Windows Server 2003 vont concerner le déploiement de Windows Vista. En deux chapitres, vous allez entrer dans le détail du déploiement de Windows Vista, d’abord dans la préparation à la création d’une image, puis dans la création et l’application proprement dites. Puisque Windows Vista est le dernier-né des systèmes d’exploitation clients de Microsoft, regardons de plus près son processus d’installation et les outils de préparation à un déploiement d’entreprise.

6.1.

Le processus d’installation de Windows Vista

Terminé les modes textes et les modes graphiques de l’installation de Windows, comme avec Windows XP, terminé le répertoire I386, terminé la commande winnt32.exe : un tout nouveau processus d’installation de Windows fait son apparition avec Windows Vista, fondé sur une image système. Il est important de bien comprendre le mécanisme de ce nouveau processus pour bien comprendre les outils de déploiement qui en découle.

Introduction à l’installation de Windows Vista
Vous ne verrez plus de parties d’installation en mode texte et en mode graphique. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.1 : Mode texte de l’installation de Windows XP

187

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.2 : Mode graphique de l’installation de Windows XP

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Mettez un DVD de Windows Vista dans votre lecteur et redémarrez. L’installation de Windows Vista se lance. Sous les aspects simples de cette installation se cachent une technologie avancée et un nouveau processus d’installation. L’installation de Windows correspond au programme qui installe Windows ou procède aux mises à niveau d’une installation de Windows existante. L’installation de Windows constitue aussi la base des méthodes d’installation et de mise à niveau. Il existe trois méthodes d’installation de Windows…
j j j

L’installation interactive : elle consiste à être devant l’ordinateur et à répondre aux quelques questions posées. L’installation en mode sans assistance : comme son nom l’indique, elle consiste en une installation totalement automatisée et maîtrisée. WDS : c’est le service de déploiement Windows. Il consiste en l’automatisation de l’installation et du déploiement en masse de Windows Vista.

Vous comprenez tout de suite que vous allez tendre le plus possible vers une installation et un déploiement le plus automatisé possible car votre temps d’administrateur est précieux et qu’il est plus utile à des tâches à plus forte valeur ajoutée. Il existe deux types d’installation :
j

L’installation de Windows peut effectuer une installation propre, c’est l’installation classique qui se fait sur un disque dur vierge ou qui sauvegarde votre installation de

188

Le processus d’installation de Windows Vista

Windows précédente mais n’effectue pas de migration de vos paramètres. L’installation de Windows précédente ne démarre alors pas après une installation propre.
j

L’installation de Windows peut effectuer une installation qui conserve vos paramètres et préférences tout en mettant à niveau votre système d’exploitation. C’est la mise à jour de Windows.

Lors du programme d’installation, vous le savez, Windows démarre et redémarre l’ordinateur, regroupe des informations, copie des fichiers et crée ou règle des paramètres de configuration. L’installation de Windows Vista est identique en ce qui concerne la copie et la configuration de fichiers mais est différente au sens où elle se déroule par phases (ou passes).
Tableau 6.1 : Phases d’installation globales de Windows Vista Phase d’installation de Windows Windows PE Actions d’installation Spécification des configurations de l’installation de Windows à l’aide des boîtes de dialogue d’installation de Windows (interactive) ou d’un fichier de réponses (mode sans assistance). Les configurations d’installation de Windows incluent l’ajout d’une clé de produit et la configuration d’un disque. Application des paramètres de fichier de réponses dans l’étape de configuration WindowsPE. Configuration du disque. Copie de l’image système Windows vers le disque. Préparation des informations d’initialisation. Traitement des paramètres de fichier de réponses dans l’étape de configuration OfflineServicing. Création des configurations spécifiques, en rendant l’installation de Windows unique. Application des paramètres de fichier de réponses dans l’étape de configuration OobeSystem. Application des paramètres de fichier de contenu à partir du fichier Oobe.xml. Démarrage de l’Accueil Windows.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Configuration Accueil Windows

Le mode Audit et le mode personnalisé
Une fois Windows Vista installé, au premier démarrage, l’utilisateur peut démarrer en mode Audit ou en mode personnalisé.
j

Le mode personnalisé, également appelé OOBE (Out-Of-Box Experience), représente la première expérience de l’utilisateur et permet aux utilisateurs finaux 189

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

de personnaliser leur installation Windows. Les utilisateurs finaux peuvent créer des comptes d’utilisateur, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par défaut, toutes les installations Windows démarrent d’abord en mode personnalisé, avec l’accueil Windows. C’est le mode classique que vous connaissez.
j

Le mode Audit, lui, est utilisé par les fabricants d’ordinateurs et les entreprises afin d’ajouter des personnalisations à leurs images Windows. Le mode Audit ne nécessite pas l’application de paramètres dans l’Accueil Windows. En ignorant l’accueil Windows, vous pouvez accéder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de périphérique supplémentaires, installer des applications et tester la validité de l’installation.

La personnalisation Oobe.xml
En plus du fichier de réponses de l’installation en mode sans assistance, vous pouvez utiliser le fichier de contenu Oobe.xml pour configurer ce qu’aperçoit un utilisateur lors du premier démarrage de Windows. Les paramètres d’un fichier de contenu Oobe.xml sont appliqués après l’étape de configuration OobeSystem, avant le démarrage de l’Accueil de Windows. Oobe.xml est un fichier qui sert à collecter du texte et des images supplémentaires pour la personnalisation de l’Accueil Windows. Si vous créez une image système Windows unique comprenant plusieurs langues et pouvant être livrée dans plusieurs pays, vous pouvez ajouter différents fichiers Oobe.xml afin de personnaliser le contenu en fonction des sélections de langue et de pays de l’utilisateur final.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

L’exécution automatique de scripts une fois l’installation de Windows achevée
Vous pouvez procéder à des personnalisations complémentaires à votre installation de Windows par l’intermédiaire d’un ajout de commandes au fichier %WINDIR%\Setup\Scripts\SetupComplete.cmd. Ce fichier vous permet d’installer des applications supplémentaires, d’apporter d’autres modifications au système avant une ouverture de session d’utilisateur. Vous pouvez utiliser le fichier SetupComplete.cmd pour exécuter des scripts Windows. En outre, si l’installation de Windows rencontre une erreur, vous pouvez configurer le système pour exécuter automatiquement un script.

L’état d’installation de Windows Vista
Il existe plusieurs états affectés à une image système Windows au cours de l’installation. Ces informations d’état peuvent servir à détecter automatiquement les différents états et étapes de l’installation de Windows.

190

Le processus d’installation de Windows Vista

L’état de l’image système Windows est stocké à deux emplacements, dans le Registre et dans un fichier. Dans le Registre, la clé associée est :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\State TYPE : REG_SZ VALEUR : NomÉtat

Figure 6.3 : Clé de Registre associée à l’état de l’installation

Dans un fichier, le champ associé est :
%WINDIR%\Setup\State\State.ini Figure 6.4 : Fichier associé à l’état de l’installation

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le tableau suivant décrit les différentes valeurs existantes que peuvent prendre la clé de Registre ou le champ de fichier associé à l’état de l’installation :
Tableau 6.2 : Valeurs de l’état d’installation de l’image système Windows
Nom d’état IMAGE_STATE_COMPLETE Description L’image a été correctement installée. Les passes Specialize et OobeSystem sont terminées. Cette image ne peut être déployée vers un autre matériel car elle dépend maintenant du matériel. Il s’agit de l’état par défaut d’une image dans une phase spécifique de l’installation de Windows qui n’est pas encore achevée. Si un processus interroge la valeur d’IMAGE_STATE et qu’IMG_UNDEPLOYABLE est renvoyé, l’image se trouve dans l’un des états suivants : – Le programme d’installation est en cours d’exécution et n’a pas encore entièrement achevé la phase. Une fois qu’une phase spécifique est terminée, IMAGE_STATE est défini par une valeur d’achèvement appropriée.

IMAGE_STATE _UNDEPLOYABLE

191

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Nom d’état

Description – Si une demande est effectuée en ligne alors que le programme d’installation n’est pas en cours d’exécution, une erreur s’est produite lors de l’achèvement de la phase d’installation. Cette image doit être réinstallée. – Si une demande est effectuée hors connexion, l’image n’a pas terminé une phase et ne pourra jamais être déployée.

IMAGE_STATE_GENERALIZE _RESEAL_TO_OOBE IMAGE_STATE_GENERALIZE _RESEAL_TO_AUDIT IMAGE_STATE_SPECIALIZE _RESEAL_TO_OOBE IMAGE_STATE_SPECIALIZE _RESEAL_TO_AUDIT

L’image a correctement achevé la passe Generalize et continue avec OobeSystem une fois le programme d’installation démarré. L’image a correctement achevé la passe Generalize et continue avec le mode Audit une fois le programme d’installation démarré. L’image a correctement achevé la passe Specialize et continue avec OobeSystem une fois le programme d’installation démarré. L’image a correctement achevé la passe Specialize et continue avec le mode Audit une fois le programme d’installation démarré.

Si vous souhaitez contrôler par la suite une installation de Windows Vista, vous pouvez utiliser ces deux procédés…
j

Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite de commandes, puis tapez la ligne reg query HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Setup\State /v ImageState.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.5 : Commande à saisir pour accéder à l’état de l’installation
j

Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite de commandes, puis tapez type %windir%\Setup\State\State.ini.

Figure 6.6 : Commande à saisir pour accéder à l’état de l’installation

192

Le processus d’installation de Windows Vista

L’installation de Windows journalise également toutes les actions d’installation fondées sur l’image. Servez-vous de cette multitude de fichiers en cas de problèmes.
Tableau 6.3 : Les différents journaux d’état d’installation de Windows Vista Emplacement du fichier journal $windows.~bt\sources \panther $windows.~bt\sources \rollback %WINDIR%\panther %WINDIR%\inf\setupapi* .log %WINDIR%\memory.dmp %WINDIR%\minidump\* .dmp %WINDIR%\system32 \sysprep\panther Description Consigne l’emplacement dans un journal avant que le programme d’installation puisse accéder au lecteur Consigne l’emplacement lorsque l’installation revient à un événement à l’origine d’une erreur fatale Consigne l’emplacement d’actions d’installation après une configuration de disque Sert à consigner des installations de périphérique Plug and Play dans un journal Emplacement du vidage de la mémoire à partir de vérifications de bugs Emplacement des "mini-vidages" de journal à partir de vérifications de bogues Emplacement de journaux Sysprep

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Les méthodes d’exécution du programme d’installation Windows
Le programme d’installation Windows propose des méthodes d’installation interactive ou sans assistance. Le programme d’installation propose également la commande setup .exe qui permet de lancer l’installation.

L’installation avec Setup.exe
Sur le DVD d’installation de Windows Vista se trouve la commande setup.exe, qui remplace winnt32.exe. Elle permet de lancer manuellement l’installation de Windows Vista, que ce soit en mode interactif ou sans assistance, que ce soit une installation propre ou une mise à jour. La commande propose de nombreux commutateurs…

193

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

SETUP
Configure et exécute une installation de Windows Vista.

Syntaxe :

setup.exe [/1394debug:canal [baudrate:DébitEnBauds]] [/debug:canal [baudrate:DébitEnBauds]] [/dudisable] [/emsport: {com1 | com2 | usebiossettings | off} [/emsbaudrate:DébitEnBauds]] [/m:nom_dossier] [/noreboot] [/tempdrive:lettre_lecteur] [/unattend:fichier_réponses] [/usbdebug:nomhôte]

[/1394debug: canal [baudrate: DébitEnBauds]] Permet le débogage du noyau via un port IEEE 1394 (firewire) pendant l’exécution de Windows et au cours de l’étape de configuration WindowsPE de l’installation de Windows. Canal de débogage. La valeur par défaut du canal est 1. [baudrate:DébitEnBauds] spécifie le débit en bauds à utiliser lors du transfert de données au cours du débogage. La valeur par défaut est 19200. baudrate peut aussi posséder la valeur 115200 ou 57600. Par exemple : setup.exe /1394debug:1 /baudrate:115200. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 [/debug:canal [baudrate:Débit EnBauds]]

Permet le débogage du noyau via un port de communications (COM) pendant l’exécution de Windows et au cours de l’étape de configuration WindowsPE de l’installation de Windows. Canal de débogage. La valeur par défaut du canal est 1. [baudrate:DébitEnBauds] spécifie le débit en bauds à utiliser lors du transfert de données au cours du débogage. La valeur par défaut est 19200. baudrate peut aussi posséder la valeur 115200 ou 57600. Par exemple : setup.exe /debug:1 /baudrate:115200. Désactive la mise à jour dynamique de Windows au cours de son installation. Seuls des fichiers d’installation de Windows d’origine sont utilisés pour installer Windows. Cette option désactive des mises à jour dynamiques même si l’option DynamicUpdate est spécifiée dans un fichier de réponses d’installation de Windows en mode sans assistance. Par exemple : setup.exe /dudisable.

[/dudisable]

194

Le processus d’installation de Windows Vista

[/emsport: {com1 | com2 | usebiossettings | off} [/emsbaudrate: DébitEnBauds]]

Active ou désactive les services de gestion d’urgence (EMS, Emergency Management Services) pendant l’installation de Windows et une fois le système d’exploitation serveur installé. Les arguments suivants servent à spécifier le comportement des services de gestion d’urgence au cours de l’installation de Windows : com1 autorise les services de gestion d’urgence via COM1. Pris en charge pour les systèmes x86 uniquement. com2 autorise les services de gestion d’urgence via COM2. Pris en charge pour les systèmes x86 uniquement. usebiossettings utilise les paramètres spécifiés dans le BIOS. Pour les systèmes x86, la valeur du tableau SPCR (Serial Port Console Redirection) est utilisée. Pour les systèmes fondés sur Itanium, l’interface EFI (Extensible Firmware Interface) est utilisée. Si aucun tableau SPCR ou chemin de périphérique de console d’interface EFI n’est spécifié dans le BIOS, usebiossettings est désactivé. off (désactivé) désactive les services EMS. Si vous désactivez les services EMS dans l’installation de Windows, vous pouvez les activer ultérieurement en modifiant les paramètres de démarrage. [/emsbaudrate:DébitEnBauds] spécifie le débit en bauds à utiliser lors du transfert de données au cours du débogage. La valeur par défaut est 19200. Le débit en bauds peut aussi posséder la valeur 115200 ou 57600. Par exemple : setup.exe /emsport:COM1 /emsbaudrate: 115200. Spécifie au programme d’installation de copier des fichiers de remplacement à partir d’un autre emplacement. Cette option demande au programme d’installation de rechercher d’abord des fichiers dans l’autre emplacement et, si des fichiers sont présents, de les utiliser à la place des fichiers qui se trouvent à l’emplacement par défaut. nom_dossier nom et emplacement du dossier contenant les fichiers de remplacement. nom_dossier peut correspondre à n’importe quel emplacement de lecteur local. Les chemins UNC ne sont pas pris en charge. Vous devez savoir où les fichiers seront installés dans l’installation de Windows. Tous les fichiers supplémentaires doivent être copiés vers un dossier $OEM$ dans votre source d’installation ou dans nom_dossier. La structure $OEM$ fournit une représentation du disque d’installation de destination. Par exemple : $OEM$\$1 effectue un mappage vers

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

[/m:nom _dossier]

195

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

%SYSTEMDRIVE% comme le lecteur C. $OEM$\$$ effectue un mappage vers %WINDIR% comme C:\Windows\. $OEM$\$progs effectue un mappage vers le répertoire Program files. $OEM$\$docs effectue un mappage vers le dossier Utilisateurs. [/noreboot] Demande à l’installation de Windows de ne pas redémarrer l’ordinateur après l’achèvement de la phase de niveau inférieur de l’installation de Windows. L’option /noreboot vous permet d’exécuter des commandes supplémentaires avant le redémarrage de Windows Vista. Cela supprime uniquement le premier redémarrage. Les redémarrages suivants, le cas échéant, ne sont pas supprimés. Par exemple : setup.exe /noreboot. Indique à l’installation de Windows de placer les fichiers d’installation temporaires sur la partition spécifiée. S’il s’agit d’une mise à niveau, l’option /tempdrive affecte l’emplacement des fichiers temporaires uniquement ; le système d’exploitation est mis à niveau dans la partition à partir de laquelle vous avez exécuté le ficher Setup.exe. lettre_lecteur est la partition où copier les fichiers d’installation pendant l’installation de Windows. Par exemple : setup.exe /tempdrive:H.

[/tempdrive: lettre_lecteur]

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

[/unattend: fichier _réponses]

Active le mode d’installation de Windows sans assistance. Vous pouvez également spécifier une valeur pour fichier_réponses. Si vous spécifiez une valeur pour fichier_réponses, l’installation de Windows applique les valeurs dans le fichier de réponses au cours de l’installation. Si vous ne spécifiez pas de valeur pour fichier_réponses, l’installation de Windows met à niveau votre version existante de Windows. Tous les paramètres proviennent de l’installation précédente, l’intervention de l’utilisateur est donc minimale. fichier_réponses est le chemin d’accès et nom du fichier de réponses de l’installation de Windows en mode sans assistance. Les chemins d’accès à un fichier de réponses peuvent être un chemin local ou un chemin UNC. Par exemple : setup.exe /unattend:\\SRV−DC−01 \partage\unattend.xml.

196

Le processus d’installation de Windows Vista

[/usbdebug: nomhôte]

Définit le débogage sur un port USB. Les données de débogage entrent en vigueur lors du redémarrage suivant. nomhôte est le nom de l’ordinateur à déboguer. Par exemple : setup.exe /usbdebug:CVI−DK−01.

Utilisez Setup.exe pour configurer votre propre méthode d’installation ou pour créer un script d’installation.

L’installation interactive de Windows Vista
Si l’utilisateur choisit cette méthode, il doit sélectionner l’emplacement d’installation de Windows, lire et accepter les termes du contrat de licence logiciel et appliquer sa clé de produit. Cette méthode est utile pour un déploiement à petite échelle ou une installation sur un seul ordinateur. Parce qu’elle utilise l’image par défaut fournie sur le média DVD de Windows Vista, l’installation de Windows ne nécessite aucune tâche de préparation, telle que la création de fichiers de réponses ou la capture d’images Windows. La méthode interactive d’installation de Windows peut être utilisée en conjonction avec la création et la capture d’images Windows personnalisées. Vous pouvez installer Windows de manière interactive ou mettre à niveau l’installation à partir du média Windows Vista ou depuis un emplacement réseau après avoir stocké et partagé les fichiers d’installation à partir du support de Windows. L’installation interactive nécessite une intervention de l’utilisateur, qui doit spécifier notamment le lecteur de destination, son nom d’utilisateur et son fuseau horaire. L’installation standard de Windows Vista ne déroge pas aux règles de simplicité. Windows Vista reste très élémentaire à installer puisqu’il vous suffit de démarrer l’ordinateur avec le DVD d’installation pour que celle-ci se réalise presque seule. Il vous sera demandé d’entrer le numéro de série et de répondre à trois ou quatre questions, en indiquant notamment votre pays, votre nom, votre mot de passe, etc.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

L’installation sans assistance de Windows Vista
Le programme d’installation de Windows fait appel à un fichier de réponses d’installation sans assistance pour automatiser les installations et les personnalisations en ligne de Windows. Cette méthode est adaptée aux déploiements à grande échelle et permet d’assurer une configuration cohérente et précise de chaque ordinateur. Le nom le plus commun de ce fichier de réponses est Unattend.xml. Dans le jargon, on parle de "fichier Unattend". L’installation sans assistance nécessite la création d’un ou de plusieurs fichiers de réponses contenant les personnalisations d’une installation. Vous pouvez par exemple modifier la partition ou la configuration d’Internet Explorer. 197

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le programme d’installation de Windows applique les fichiers réponses, au choix, en spécifiant explicitement un fichier de réponses ou en le recherchant implicitement :
j

Vous pouvez spécifier explicitement un fichier de réponses à l’aide de la commande
setup.exe /unattend:\\SRV−DC−01\partage\unattend.xml. Ce fichier de

réponses permet de configurer l’installation Windows. Des redémarrages étant nécessaires dans le cadre de l’installation, une copie de ce fichier de réponses est placée en mémoire cache sur le système.
j

Si vous ne spécifiez pas de fichier de réponses, le programme d’installation de Windows recherche ce dernier dans divers emplacements. Il recherche un fichier de réponses précédemment placé en mémoire cache, un fichier de réponses stocké sur la racine d’un lecteur, ainsi que d’autres emplacements. Le programme d’installation de Windows recherche un fichier de réponses au démarrage de chaque étape de configuration. Lorsqu’il recherche un fichier de réponses, le programme d’installation de Windows applique un ordre déterminé. Si un fichier de réponses est détecté dans l’un des emplacements valides, il doit inclure des paramètres valides associés à l’étape de configuration en cours. Si le fichier de réponses détecté ne comprend pas de paramètre associé à l’étape de configuration spécifiée en cours d’exécution, il n’est pas pris en compte. Nom des fichiers de réponses Seuls les fichiers de réponses nommés Unattend.xml sont utilisés. Cependant, parce que certains fichiers de réponses comprennent des actions destructives telles que le partitionnement de disque, vous devez attribuer à votre fichier Unattend.xml le nom Autounattend.xml lors des étapes de configuration WindowsPE et OfflineServicing. Ces actions s’exécutent lorsque vous exécutez pour la première fois WindowsPE ou Setup.exe. Vous devez utiliser le fichier avec le nom Autounattend.xml lorsque vous êtes dans le scénario où vous souhaitez automatiser l’installation de Windows Vista à partir du DVD Vista tout en rajoutant le fichier de réponses stocké sur une clé USB.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le programme d’installation de Windows identifie tous les fichiers de réponses disponibles en fonction de l’ordre de recherche. Il utilise le fichier de réponses dont la priorité est la plus élevée. Ce fichier est validé, puis placé en mémoire cache sur l’ordinateur. Les fichiers de réponses valides sont placés en mémoire cache dans le répertoire $Windows.~BT\Sources\Panther lors des étapes de configuration WindowsPE et OfflineServicing. Une fois l’installation de Windows extraite sur le disque dur, le fichier de réponses est placé en mémoire cache dans %WINDIR%\panther.
Tableau 6.4 : Ordre de recherche et emplacements du fichier de réponses
Ordre de recherche 1 Emplacement Dans le Registre : HKLM\System\Setup\UnattendFile Description Spécifie dans le Registre un pointeur vers un fichier de réponses. Le fichier de réponses peut ne pas s’appeler Unattend.xml.

198

Le processus d’installation de Windows Vista

Ordre de recherche 2 3

Emplacement %WINDIR%\panther\unattend %WINDIR%\panther

Description Le fichier de réponses doit être nommé Unattend.xml ou Autounattend.xml. Le programme d’installation de Windows place en mémoire cache les fichiers de réponses dans cet emplacement.

4

Média amovible (clé USB, etc.), en fonction de Le nom du fichier de réponses doit l’ordre de la lettre qui identifie le lecteur correspondre à Unattend.xml ou Autounattend.xml, et le fichier de réponses doit résider sur la racine du lecteur. Média amovible en lecture seule, en fonction de l’ordre de la lettre qui identifie le lecteur Le nom du fichier de réponses doit correspondre à Unattend.xml ou Autounattend.xml, et il doit résider sur la racine du lecteur. Lors des passes de configuration WindowsPE et OfflineServicing, le nom du fichier de réponses doit correspondre à Autounattend.xml. Pour toutes les autres passes de configuration, le nom du fichier de réponses doit correspondre à Unattend.xml. Le nom du fichier de réponses doit correspondre à Unattend.xml ou Autounattend.xml.

5

6

Répertoire \sources lors des passes de configuration WindowsPE et OfflineServicing Répertoire %WINDIR%\system32\sysprep lors des autres passes de configuration

7

%SYSTEMDRIVE%

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 199

Si vous avez intégré des données sensibles dans les fichiers de réponses, le programme d’installation les supprime à la fin de l’étape de configuration en cours. Cependant, si un fichier de réponses est incorporé à un emplacement dont la priorité est plus élevée que celle du fichier de réponses mis en cache, alors la réponse en cache peut être remplacée au début de chaque étape de configuration suivante si le fichier de réponses incorporé répond aux critères de recherche. Si, par exemple, le fichier de réponses est incorporé à %WINDIR%\panther\unattend\unattend.xml, le fichier de réponses incorporé remplace alors le fichier de réponses mis en cache au début de chaque étape de configuration. Si, par exemple, le fichier de réponses incorporé spécifie les deux passes Specialize et OobeSystem, alors le fichier de réponses incorporé est découvert pour la passe Specialize, mis en cache, traité et les données sensibles sont effacées. Le fichier de réponses incorporé est à nouveau découvert au cours de la passe OobeSystem et mis à nouveau en cache. Par conséquent, les données sensibles de la passe Specialize ne sont plus effacées. Les données sensibles pour les étapes précédemment traitées ne seront pas à nouveau effacées. Il vous faut donc incorporer les fichiers à un emplacement avec une priorité inférieure.

Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Après le traitement d’une passe de configuration, l’installation de Windows Vista marque le fichier de réponses mis en cache pour indiquer que l’étape a été traitée. Si la passe de configuration est à nouveau entrée et que le fichier de réponses mis en cache n’a pas été remplacé ni mis à jour entre-temps, les paramètres du fichier de réponses ne sont pas traités une seconde fois. Vous pouvez, par exemple, installer Windows avec un fichier de réponses qui contient les commandes RunSynchronous dans l’étape Specialize. Au cours de l’installation, la passe Specialize s’exécute et les commandes RunSynchronous s’exécutent. Après l’installation, exécutez la commande sysprep /generalize. S’il n’existe aucun fichier de réponses avec une priorité plus élevée que celle du fichier de réponses mis en cache, le programme d’installation exécute la passe Specialize lors du prochain démarrage de l’ordinateur. Puisque le fichier de réponses mis en cache contient une marque selon laquelle les paramètres de cette passe ont déjà été appliqués, les commandes RunSynchronous ne s’exécutent pas.

Les scénarios d’installation sans assistance de Windows Vista
Pour mieux comprendre l’application des fichiers de réponses, prenons deux cas concrets… Premier scénario : vous décidez d’utiliser le média DVD de Windows Vista pour faire l’installation et d’utiliser un seul fichier de réponses pour automatiser les derniers renseignements afin que vous n’ayez pas du tout à intervenir sur cette installation. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 1. Créez un fichier de réponses nommé Autounattend.xml qui comprend des paramètres associés à l’étape de configuration WindowsPE. 2. Copiez Autounattend.xml sur une clé USB. 3. Configurez le BIOS de votre ordinateur de sorte qu’il démarre à partir d’un lecteur DVD. 4. Démarrez le DVD de Windows Vista. 5. Insérez la clé USB lors du démarrage de Windows. Le programme d’installation de Windows démarre et identifie automatiquement Autounattend.xml comme un fichier de réponses valide. Comme le fichier de réponses utilise un nom de fichier valide, qu’il réside dans l’un des chemins de recherche valides (la lettre de lecteur de la clé USB) et qu’il comprend des paramètres valides pour la passe de configuration en cours (WindowsPE), il est utilisé. Le fichier de réponses est placé en mémoire cache sur l’ordinateur. Si aucun autre fichier de réponses n’est identifié par les passes de configuration ultérieures, le fichier de réponses placé en mémoire cache est utilisé tout au long de l’installation de Windows. Second scénario : sur la base du premier scénario, vous allez utiliser plusieurs fichiers de réponses. 200

Le processus d’installation de Windows Vista

1. Installez Windows à l’aide d’un fichier de réponses en effectuant les procédures décrites dans le cas de figure précédent. Le fichier de réponses utilisé pour installer Windows est placé en mémoire cache sur le système dans le répertoire %WINDIR%\panther. 2. Copiez un fichier Unattend.xml dans le répertoire %WINDIR%\system32\sysprep. Ce fichier de réponses contient des paramètres associés à la passe de configuration Generalize. 3. Exécutez la commande sysprep /generalize pour créer une image de référence. Comme le répertoire %WINDIR%\system32\sysprep figure dans les chemins de recherche, le fichier de réponses copié dans ce répertoire est détecté. Cependant, le fichier de réponses utilisé pour installer Windows demeure en mémoire cache sur l’ordinateur et contient des paramètres associés à la passe de configuration Generalize. La priorité de ce fichier de réponses est plus élevée que celle du fichier copié dans le répertoire Sysprep. Le fichier de réponses placé en mémoire cache est donc utilisé. Pour utiliser le nouveau fichier de réponses, copiez-le dans un répertoire dont la priorité est supérieure à celle du fichier de réponses placé en mémoire cache ou spécifiez le fichier de réponses requis par le biais de l’option /unattend. 1. Copiez un fichier Unattend.xml sur une clé USB. Le fichier Unattend.xml ne contient de paramètres que pour les passes de configuration AuditSystem et AuditUser. 2. Sur un système d’exploitation Windows installé, exécutez la commande sysprep /generalize /oobe. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Bien que le fichier de réponses réside dans l’un des chemins de recherche, le fichier Unattend.xml n’est pas pris en compte, car il ne contient pas de paramètre valide pour l’étape de configuration Generalize.

Les passes de configuration du programme d’installation de Windows Vista
Pour mieux expliquer et comprendre comment s’installe Windows Vista, il est plus simple de découper le processus d’installation en différentes phases appelées passes de configuration. La démarche est plus structurante, mais il est également important de s’imprégner de cette notion de passes de configuration car les outils qui améliorent l’automatisation de l’installation sont fondés sur le même principe de compréhension. Les passes de configuration servent à spécifier différentes phases de l’installation de Windows. Des paramètres d’installation sans assistance peuvent être appliqués dans une ou plusieurs passes de configuration. Les passes de configuration sont des phases d’installation de Windows qui servent à appliquer des paramètres dans un fichier de réponses d’installation en mode sans assistance.

201

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le tableau suivant décrit les différentes passes de configuration dans l’ordre dans lesquelles elles se déroulent du lancement de l’installation jusqu’à ce que le système d’exploitation soit opérationnel :
Tableau 6.5 : Les passes de configuration constituant une installation complète de

Windows Vista
Étape de configuration WindowsPE Description Configure des options WindowsPE ainsi que des options de l’installation de Windows de base. Ces options peuvent inclure le paramétrage de la clé de produit et la configuration d’un disque. Applique des mises à jour à une image système Windows. Applique également des packages, y compris des correctifs logiciels, des packs de langue et autres mises à jour de sécurité. Crée et applique des informations spécifiques au système. Vous pouvez, par exemple, configurer des paramètres réseau, des paramètres internationaux et des informations de domaine. Vous permet de configurer sysprep /generalize de façon minime, ainsi que de configurer d’autres paramètres Windows qui doivent persister sur votre image de référence. La commande sysprep /generalize supprime des informations spécifiques au système. L’ID de sécurité unique (SID), par exemple, tout comme d’autres paramètres spécifiques au matériel sont supprimés de l’image. L’étape Generalize s’exécute uniquement si vous exécutez sysprep /generalize. Traite des paramètres d’installation en mode sans assistance pendant que Windows s’exécute dans un contexte de système, avant qu’un utilisateur se connecte à l’ordinateur en mode Audit. L’étape AuditSystem s’exécute uniquement si vous démarrez en mode Audit. Traite des paramètres d’installation en mode sans assistance après la connexion d’un utilisateur à l’ordinateur en mode Audit. L’étape AuditUser s’exécute uniquement si vous démarrez en mode Audit. Applique des paramètres à Windows avant le démarrage de l’Accueil de Windows.

OfflineServicing

Specialize

Generalize

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

AuditSystem

AuditUser

OobeSystem

202

Le processus d’installation de Windows Vista

Le schéma suivant illustre la relation entre les passes de configuration :

Figure 6.7 : L’installation de Windows Vista découpée en phases

Il faut maintenant détailler une par une les différentes passes afin de comprendre toutes les actions qui se déroulent lors d’une installation.

La passe WindowsPE
La passe de configuration WindowsPE sert à configurer des paramètres spécifiques à Windows PE, ainsi que des paramètres qui s’appliquent à l’installation. Vous pouvez, par exemple, spécifier la résolution d’affichage de Windows PE, l’emplacement d’enregistrement d’un fichier journal et d’autres paramètres associés à Windows PE. La passe de configuration WindowsPE vous permet aussi de spécifier des paramètres relatifs à l’installation de Windows, dont le partitionnement et le formatage du disque dur, la sélection d’une image système Windows spécifique à installer, le chemin d’accès à cette image système et toute autre information d’identification requise pour accéder à cette image système, la sélection d’une partition sur l’ordinateur de destination où vous installez Windows, l’application de la clé de produit et du mot de passe d’administrateur, l’exécution des commandes spécifiques au cours de l’installation de Windows.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

La passe OfflineServicing
La passe de configuration OfflineServicing sert à appliquer des paramètres d’installation sans assistance à une image système Windows qui n’est pas utilisée dans un processus d’installation. Au cours de cette passe de configuration, vous pouvez ajouter des packs

203

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

de langues, des mises à jour Windows, des Service Packs ou même des applications (packages) à l’image système hors connexion. La passe OfflineServicing est utile pour optimiser la durée de vie de l’image : admettons que vous ayez créé une image puis, quelques mois plus tard un nouvel équipement, nouveau type d’ordinateur fait son apparition dans votre entreprise avec un nouveau pilote Vista associé, vous avez la possibilité d’ajouter à froid le pilote à l’image créée précédemment sans avoir à refaire l’image. Les paramètres du fichier Unattend.xml dans la passe de configuration OfflineServicing sont appliqués à l’image système Windows hors connexion. Vous utiliserez le Gestionnaire de package (pkgmgr.exe) en complément d’un fichier de réponses pour installer des packages.

La passe Generalize
L’étape Generalize de l’installation de Windows sert à créer une image système de référence Windows qui peut être utilisée à travers l’organisation. Un paramètre de l’étape Generalize vous permet d’automatiser le comportement pour tous les déploiements de cette image de référence. En comparaison, un paramètre associé à l’étape de configuration Specialize vous permet de remplacer le comportement d’un déploiement unique et spécifique. Lorsqu’un système est généralisé, des données de configuration spécifiques concernant une installation donnée de Windows sont supprimées. Lors de l’étape Generalize, par exemple, l’identificateur de sécurité unique (SID) tout comme d’autres paramètres spécifiques au matériel sont supprimés de l’image. La passe de configuration Generalize s’exécute uniquement lorsque vous utilisez la commande sysprep /generalize. Les paramètres du fichier de réponses dans Generalize sont appliqués au système avant que la généralisation de sysprep ne se produise. Le système est ensuite arrêté. Lors du démarrage suivant du système, La passe de configuration Specialize s’exécute immédiatement.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

La passe Specialize
Des informations spécifiques aux machines associées à l’image sont appliquées lors de l’étape de configuration Specialize du programme d’installation Windows. Vous pouvez par exemple configurer les paramètres réseau, les paramètres internationaux et les informations relatives aux domaines. La passe de configuration Specialize est utilisée en conjonction avec l’étape Generalize. Celle-ci a pour objet de créer une image de référence Windows qui peut être utilisée dans l’ensemble du parc informatique de l’entreprise. À partir de cette image de référence Windows de base, vous pouvez ajouter d’autres personnalisations associées

204

Le processus d’installation de Windows Vista

aux diverses divisions d’une organisation ou à diverses installations de Windows. La passe de configuration Specialize permet d’appliquer ces personnalisations spécifiques. Lors de la passe de configuration Specialize, vous pouvez par exemple spécifier diverses pages d’accueil associées dans Internet Explorer aux différents services ou départements de l’entreprise. Ce paramètre remplace alors la page d’accueil par défaut appliquée lors de la passe de configuration Generalize.

La passe AuditSystem
La passe AuditSystem, qui est facultative, traite des paramètres d’installation en mode sans assistance dans le contexte d’un système en mode Audit. La passe AuditSystem s’exécute immédiatement avant la passe AuditUser. En général, AuditSystem sert à ajouter des pilotes de périphérique supplémentaires et à affecter un nom au système spécifique pour le mode Audit. Le mode Audit vous permet d’installer des pilotes de périphérique supplémentaires, des applications et d’autres mises à jour. Lors du démarrage de Windows en mode Audit, les paramètres d’installation de Windows en mode sans assistance AuditSystem et AuditUser sont traités. En utilisant le mode Audit, vous pouvez gérer moins d’images système Windows car vous pouvez créer une image de référence avec un ensemble minimal de pilotes. L’image peut être mise à jour à l’aide de pilotes supplémentaires au cours du mode Audit. Vous pouvez ensuite tester et résoudre tout problème associé à un dysfonctionnement ou à une installation incorrecte de pilotes sur l’image système Windows. AuditSystem s’exécute uniquement lorsque vous configurez l’installation de Windows pour un démarrage en mode Audit.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

La passe AuditUser
La passe de configuration AuditUser, qui est facultative, traite les paramètres d’installation sans assistance dans le contexte utilisateur en mode d’audit. Elle est exécutée après l’étape de configuration AuditSystem. En règle générale, AuditUser est utilisé pour exécuter des commandes RunSynchronous ou RunAsynchronous. Ces commandes permettent d’exécuter des scripts, des applications ou autres exécutables en mode d’audit. Le mode d’audit vous permet d’installer d’autres pilotes de périphérique, applications et mises à jour. Lorsque Windows démarre en mode d’audit, les paramètres AuditSystem et AuditUser d’installation sans assistance sont traités. L’utilisation du mode d’audit permet de gérer un nombre inférieur d’images Windows, car vous pouvez créer une image de référence associée à un jeu minimal de pilotes. Vous

205

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

pouvez intégrer d’autres pilotes à l’image en mode d’audit. Vous pouvez alors identifier et résoudre tout problème relatif à des périphériques qui ne fonctionnent pas correctement ou dont l’installation est incorrecte dans l’image Windows. AuditUser ne s’exécute que si vous configurez l’installation de Windows de sorte à démarrer en mode d’audit.

La passe OobeSystem
Enfin, la passe de configuration OobeSystem configure des paramètres appliqués au cours de l’expérience du premier démarrage pour l’utilisateur final, également appelé Accueil Windows. Les paramètres OobeSystem sont traités avant la première ouverture de session d’un utilisateur sous Windows Vista. OOBE (Out-Of-Box-Experience) s’exécute lors du premier démarrage d’un nouvel ordinateur. OOBE s’exécute avant que l’environnement Windows ou tout logiciel supplémentaire ne soit exécuté, puis effectue un ensemble restreint de tâches nécessaires à la configuration et à l’exécution de Windows. Les administrateurs peuvent modifier la passe OobeSystem afin d’obtenir un Accueil Windows personnalisé, qui peut s’avérer utile pour y renseigner les liens vers le site intranet du centre d’appel de la société par exemple, ou le lien vers le site intranet des Ressources Humaines ou le lien vers les sites internet des partenaires. OOBE peut rajouter une certaine proximité entre l’utilisateur final et le service informatique par des liens utiles toujours disponible dans l’Accueil Windows. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Vous pouvez configurer Windows pour qu’il démarre à partir de l’Accueil Windows en exécutant la commande sysprep /oobe. Par défaut, après l’exécution de l’installation de Windows, l’Accueil Windows démarre.

Les méthodes conseillées pour l’installation de Windows Vista
Voici quelques méthodes conseillées à utiliser avec l’installation de Windows Vista.
j

Installer, capturer et déployer vers la première partition active. Lorsque vous installez une image système Windows, vous devez utiliser un seul disque, notamment la première partition active sur le disque. Cela garantit que le système d’exploitation Windows est installé sur la même lettre de lecteur. Vérifiez que vous disposez d’un espace suffisant pour les fichiers temporaires de l’installation de Windows Vista. Si vous installez Windows Vista à partir de Windows XP, vérifiez que la quantité d’espace disque disponible est suffisante pour les fichiers temporaires de l’installation de Windows. L’espace requis peut varier, mais il peut atteindre jusqu’à 500 Mo. Les installations de Windows précédentes sont déplacées vers un dossier Windows .old. Si vous installez Windows sur une installation précédente de Windows, tous les fichiers et répertoires précédents de Windows sont déplacés vers un dossier

j

j

206

Le processus d’installation de Windows Vista

Windows.old. Vous pouvez accéder à vos données dans le dossier Windows.old une fois l’installation de Windows terminée.
j

Vérifiez toujours les logs. Si vous avez rencontré des problèmes au cours de l’installation de Windows, analysez les fichiers journaux dans %WINDIR%\panther et les emplacements adéquats.

Évoquons tout de même les limitations de tout ce processus d’installation :
j

Déployez des images système Windows Vista vers la même lettre de lecteur. Si vous appliquez une image Windows Vista, la lettre du lecteur sur lequel est installée l’image de référence doit correspondre exactement à celle reconnue par l’image système Windows déployée. Si, par exemple, vous capturez une image système Windows personnalisée sur le lecteur C, vous devez déployer cette image système sur la partition que Windows Vista reconnaît en tant que lecteur C sur l’ordinateur de destination. Des applications peuvent nécessiter une lettre de lecteur cohérente. Si vous installez des applications personnalisées sur votre image Windows Vista, installez Windows sur la même lettre de lecteur sur l’ordinateur de destination, car certaines applications nécessitent une lettre de lecteur cohérente. Les scénarios de désinstallation, de maintenance et de réparation risquent de ne pas fonctionner de manière appropriée si la lettre de lecteur du système ne correspond pas à celle spécifiée dans l’application. Déploiement de plusieurs images vers différentes partitions. Si vous capturez et déployez plusieurs images vers différentes partitions, les conditions requises suivantes doivent être respectées : − Le nombre de disques, la structure de partition et l’emplacement du bus doivent être identiques sur les ordinateurs de référence et de destination. − La partition et la lettre de lecteur sur lesquels l’image système de référence Windows est installée doivent correspondre exactement à la partition et à la lettre de lecteur reconnues par l’image système Windows déployée. − Les types de partition (principale, étendue ou logique) doivent correspondre. La partition active sur l’ordinateur de référence doit correspondre à l’ordinateur de destination.

j

j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 207

Il est primordial de bien comprendre les différentes installations, les modes et, surtout, la manière dont se déroule une installation de Windows Vista. La notion de passes est fondamentale afin de mieux comprendre les outils qui sont décrits dans les chapitres suivants. L’illustration suivante vous montre une vue d’ensemble des passes de configuration d’une installation :

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.8 : Vue d’ensemble des passes de configuration de l’installation de Windows Vista

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

6.2.

L’Assistant Gestion d’installation

Il existe deux grandes méthodes de déploiement, la première par image, la seconde par script. Windows Vista combine les deux méthodes, c’est-à-dire des images pour booter et installer le système d’exploitation et des fichiers réponses pour personnaliser l’installation. Puisque nous avons parcouru le déploiement par images avec Windows Deployment Service, abordons maintenant l’outil de gestion de fichier Unattend.xml. Pour créer les fichiers Unattend.xml, le resource kit de déploiement livre un outil en interface graphique. Il s’agit de l’Assistant Gestion d’installation. L’ajout d’un fichier de réponses à une image permet de descendre cette image dans un certain contexte avec comme exemple la taille des partitions, les pilotes qui doivent être utilisés, etc. Ce fichier sera lu par le Win PE pour être appliqué ensuite à votre image WIM.

6.3.

L’architecture de l’Assistant Gestion d’installation

L’Assistant Gestion d’installation crée un fichier de réponses XML indispensable à l’élaboration d’une installation sans assistance. Cet assistant crée également un fichier catalogue (.clg) pour assurer un suivi des packages et des paramètres, ce qui implique des mises à jour périodiques. Un fichier appelé "jeu de configuration" peut être créé et

208

L’architecture de l’Assistant Gestion d’installation

copié sur un support amovible pour constituer une version mobile des dossiers partagés et facultatifs de la distribution.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.9 : Architecture de l’Assistant Gestion d’installation

L’Assistant Gestion d’installation utilise l’API CPI (Component Platform Interface) pour créer un fichier de réponses sans assistance. Cet assistant se sert au départ de l’API CPI pour monter une image système Windows. Les composants et les paramètres contenus dans une image système Windows particulière sont utilisés pour créer un fichier catalogue. Le fichier catalogue est ensuite exploité dans l’Assistant Gestion d’installation pour créer des fichiers de réponses. Un ensemble facultatif de dossiers, nommé "partage de distribution", peut être ajouté pour assurer le stockage des fichiers que vous utiliserez lors d’une personnalisation ultérieure de votre installation Windows. L’Assistant Gestion d’installation peut créer un jeu de configuration, c’est-à-dire une version d’un partage de distribution plus légère et plus mobile. Les jeux de configuration permettent aux utilisateurs d’exploiter les versions de taille plus réduite d’un partage de distribution. Ces fichiers moins volumineux peuvent se révéler plus faciles à gérer. Il vous est également possible d’utiliser l’API CPI pour créer vos propres applications personnalisées qui peuvent automatiser la création et la gestion de fichiers de réponses d’installation de Windows sans assistance.

209

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Tableau 6.6 : Terminologie spécifique à l’Assistant Gestion d’installation
Terme Fichier de réponses Définition Fichier qui indique par script les réponses à apporter à une série de boîtes de dialogue de l’interface graphique utilisateur. Le fichier de réponses de l’installation de Windows se nomme généralement Unattend.xml. Vous pouvez créer et modifier ce fichier de réponses en utilisant l’Assistant Gestion d’installation ou les API CPI. Fichier binaire qui contient l’état de tous les paramètres et de tous les packages dans une image système Windows. Lorsqu’un catalogue est créé, il interroge l’image système Windows afin d’obtenir la liste de tous les paramètres contenus dans cette image. Dans la mesure où le contenu d’une image système Win PE peut varier avec le temps, il est important de recréer le fichier catalogue lors de la mise à jour d’une image système. Partie du système d’exploitation Windows qui spécifie les fichiers, les ressources et les paramètres d’une fonctionnalité spécifique de Windows, ou seulement une partie de cette fonctionnalité. Certains composants incluent les paramètres d’une installation sans assistance de Windows ; ils sont utilisables pour les entreprises pour personnaliser l’installation. Phase de l’installation de Windows. Diverses parties du système d’exploitation Windows sont installées au cours des différentes étapes de configuration. Vous pouvez spécifier l’application des paramètres d’installation sans assistance de Windows dans une ou plusieurs étapes de configuration. Structure de fichiers et de dossiers contenant les fichiers nécessaires au contrôle du processus de préinstallation et définissant les informations personnalisées des fabricants. Un dossier qui contient les fichiers sources des produits Windows que vous installez. Il peut également contenir des pilotes de périphériques et des fichiers d’applications supplémentaires. Ce dossier peut être créé manuellement ou à l’aide de l’Assistant Gestion d’installation. Chemin d’accès indiquant l’emplacement où récupérer le logiciel qui permet au périphérique ou au composant matériel du pilote de fonctionner. Valeur d’un paramètre de configuration dans une image système Windows. Paramètre de configuration présentant plusieurs entrées. Par exemple, une liste de favoris, dans Internet Explorer, peut contenir aucun, un ou plusieurs favoris. Un groupe de fichiers fournis par Microsoft aux clients OEM en vue de modifier les fonctionnalités de Windows. Les types de packages incluent les Services Packs, les mises à jour de sécurité, les modules linguistiques et les correctifs logiciels. Exemples de packages : Product, Windows Foundation et Feature Pack.

Fichier catalogue

Composant

Étape de configuration

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Jeu de configuration

Partage de distribution

Chemin d’accès du pilote

Valeur d’image Élément de liste

Package

210

L’interface graphique

Terme Paramètre Commande synchrone

Définition Réglage de configuration d’un programme ou d’un système d’exploitation. Permet d’exécuter une application ou tout autre fichier exécutable durant l’installation de Windows. Vous pouvez indiquer l’étape de configuration dans laquelle vous voulez que la commande s’exécute. Les paramètres doivent en premier lieu être validés pour que l’Assistant Gestion d’installation puisse enregistrer un fichier de réponses. Lorsqu’un fichier de réponses est correctement validé, toutes les valeurs des paramètres de ce fichier sont applicables à l’image système Windows. Fonctionnalité facultative de Windows pouvant être activée ou désactivée. Un seul fichier compressé contenant une collection de fichiers et de dossiers qui duplique une installation de Windows sur un volume de disque.

Valider le fichier de réponses

Fonctionnalité Windows Fichier image système Windows (.wim)

6.4.

L’interface graphique

L’interface utilisateur de l’Assistant Gestion d’installation contient plusieurs volets. Ces volets permettent d’ouvrir des fichiers image système Windows, de créer des fichiers de réponses sans assistance et d’ajouter des composants et des packages aux cinq étapes de configuration correspondantes dans un fichier de réponses.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.10 : Interface graphique de l’Assistant Gestion d’installation

211

Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

Le volet Partage de distribution : il affiche le dossier de partage de distribution actuellement ouvert dans l’arborescence. Vous sélectionnez, créez, explorez et fermez les dossiers de partage de distribution en sélectionnant le nœud supérieur et en cliquant avec le bouton droit de la souris sur le volet. Vous pouvez ajouter des éléments à un fichier de réponses contenu dans un dossier de partage de distribution en cliquant avec le bouton droit de la souris sur l’élément voulu. Le volet Fichier de réponses : il affiche les étapes de configuration de l’installation de Windows, ainsi que les paramètres à appliquer à chaque étape et les packages à installer. Vous pouvez ouvrir et modifier un fichier de réponses existant, valider les paramètres contenus dans un fichier de réponses par rapport à une image système Windows ou créer un nouveau fichier de réponses. Le volet Image système Windows : il affiche l’image système Windows actuellement ouverte dans l’arborescence. Lorsque l’arborescence est développée, tous les composants et les packages prévus pour l’image sont visibles et disponibles afin d’être ajoutés à un fichier de réponses dans le volet Fichier de réponses. Le volet Propriétés : il affiche les propriétés et les paramètres d’un composant ou d’un package sélectionné. Le volet Propriétés permet de modifier les paramètres et, lorsqu’il s’agit de packages, de modifier les sélections des fonctionnalités de Windows. Dans le bas du volet Propriétés, l’Assistant Gestion d’installation affiche le nom du paramètre et le type .NET associé. Le volet Messages : il est composé de trois onglets nommés XML, Validation et Jeu de configuration. En cliquant sur un des onglets du volet Messages, vous affichez le type du message, un descriptif et l’endroit où le problème est survenu.

j

j

j

j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

6.5.

Créer un fichier de réponses

1. Chargez le fichier image. Dans la section Image Windows, cliquez avec le bouton droit de la souris sur Sélectionner une image Windows ou un fichier catalogue, puis sur Sélectionnez l’image Windows. 2. Sélectionnez l’image du DVD d’installation, par exemple Install.wim. Un catalogue des images instanciées se lance. Un certain nombre de versions sont disponibles. Choisissez la version de Windows Vista que vous souhaitez personnaliser, la version Intégrale par exemple. Cliquez sur OK (voir fig. 6.11). La partie Image Windows est la partie la plus importante de l’outil puisqu’elle comprend un certain nombre de packages qui vous permettront de personnaliser votre installation en ajoutant ou en supprimant des composants comme les jeux ou la personnalisation du DNS. Tous les composants seront listés et modifiés à partir de cette fenêtre.

212

Créer un fichier de réponses

Figure 6.11 : Sélection de la version de Windows Vista à personnaliser

3. Dans la fenêtre Fichier de réponses, cliquez avec le bouton droit de la souris, puis sélectionnez Créer ou ouvrir un fichier de réponses. Un fichier de réponses contenant sept parties est créé :
j j j j j j j

WindowsPE ; OfflineServicing ; Generalize ; Specialize ; AuditSystem ; AuditUser ; 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 OobeSystem.

Ces sections correspondent à une partie de l’installation de Windows Vista. Cette partie permet de vous aiguiller au cours de la réalisation de votre fichier image. Cliquez avec le bouton droit de la souris sur vos packages pour voir à quelle partie ils peuvent appartenir. Par exemple, vous n’allez pas pouvoir créer une partition en fin d’installation. 4. Pour personnaliser l’installation, cliquez avec le bouton droit de la souris sur les packages afin de voir à quelle section ils peuvent appartenir. 5. Une fois les packages sélectionnés, personnalisez-les en donnant des paramètres comme le nom de domaine, le compte utilisateur, un mot de passe ou encore la taille d’une partition, bref, tout ce qui caractérise un système d’exploitation de bout en bout. 6. Une fois le fichier réalisé, sauvegardez-le afin de pouvoir l’utiliser avec des images WIM. Pour sauvegarder le fichier de réponses, cliquez sur Fichier/Enregistrer sous. Indiquez le chemin souhaité.

213

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Dans la plupart des cas, et en raison du nombre d’options à configurer, il est recommandé de partir des deux fichiers que Microsoft propose en exemple : les fichiers autounattend_sample et Corp_autounattend_sample.

Le fichier autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> + <DiskConfiguration> - <Disk> - <CreatePartitions> - <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> - <ModifyPartitions> - <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> - <UserData> - <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> </UserData> - <ImageInstall> - <OSImage> - <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 214

Créer un fichier de réponses

</InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> </component> - <component name="Microsoft-Windows-International-Core-WinPE" ✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" ✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft ✂ .com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> </component> - <component name="Microsoft-Windows-Deployment" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Reseal> <Mode>Audit</Mode> </Reseal> </component> </settings> </unattend>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le fichier Corp_autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

215

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

-

-

-

-

-

-

<DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> <UserData> <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> <FullName><user name></FullName> <Organization><company organization></Organization> </UserData> <ImageInstall> <OSImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> <UpgradeData> <WillShowUI>OnError</WillShowUI> </UpgradeData> <Display> <ColorDepth>16</ColorDepth> <HorizontalResolution>1024</HorizontalResolution> <RefreshRate>60</RefreshRate> <VerticalResolution>768</VerticalResolution> </Display>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 216

Créer un fichier de réponses

</component> - <component name="Microsoft-Windows-International-Core-WinPE" ✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" ✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft ✂ .com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OOBE> <HideEULAPage>true</HideEULAPage> <ProtectYourPC>3</ProtectYourPC> <SkipMachineOOBE>true</SkipMachineOOBE> <SkipUserOOBE>true</SkipUserOOBE> </OOBE> - <UserAccounts> - <LocalAccounts> - <LocalAccount wcm:action="add"> - <Password> <Value><strongpassword></Value> <PlainText>false</PlainText> </Password> <DisplayName><username></DisplayName> <Name><username></Name> <Group>administrators</Group> </LocalAccount> </LocalAccounts> </UserAccounts> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> <RegisteredOrganization><Your Organization></RegisteredOrganization> <RegisteredOwner><Your Organization></RegisteredOwner> </component> </settings> - <settings pass="specialize"> - <component name="Microsoft-Windows-IE-InternetExplorer" ✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"

217

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft ✂ .com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <BlockPopups>yes</BlockPopups> <Home_Page><Company Home Page></Home_Page> <IEWelcomeMsg>false</IEWelcomeMsg> <PlaySound>true</PlaySound> <ShowInformationBar>true</ShowInformationBar> </component> - <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" ✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Identification> - <Credentials> <Domain><domain></Domain> <Password><strongpassword></Password> <Username><username></Username> </Credentials> </Identification> </component> </settings> </unattend>

Attribuer des fichiers Unattend à des images
6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Les étapes suivantes se déroulent au niveau du serveur WDS (Windows Deployment Services).

Vous entrerez dans le détail du fonctionnement du serveur WDS au chapitre Le service de déploiement qui lui est dédié. Une fois votre fichier de réponses créé, vous devez effectuer encore quelques manipulations sur votre serveur pour accrocher vos images à vos fichiers de réponses. Procédez ainsi : 1. Cliquez sur le menu Démarrer/Tous les programmes/Outils d’administration. Sélectionnez Windows Deployment Services. 2. Il faut définir la première option qui consiste à spécifier un fichier de réponses par défaut en fonction des architectures. Sélectionnez votre serveur WDS, cliquez avec le bouton droit de la souris, puis choisissez Propriété et Windows DS Client. 3. Cochez la case Enable Unattend mode. 4. Pour x86 Architecture, cliquez sur Parcourir, sélectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour ia64 Architecture, cliquez sur Parcourir, sélectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour x64 Architecture, cliquez sur

218

Créer un fichier de réponses

Parcourir, sélectionnez le fichier Unattend puis cliquez sur Ouvrir. Une fois les fichiers déclarés, cliquez sur OK. 5. Attribuez des fichiers spécifiques à des images spécifiques. Placez-vous dans le serveur WDS. Sélectionnez Images d’installation, puis le groupe d’images précédemment créé et choisissez l’image à laquelle vous souhaitez attribuer le fichier de réponses. 6. Cliquez avec le bouton droit de la souris sur votre image, puis sur Propriété. Dans la fenêtre Propriété de l’image, sélectionnez l’onglet General. 7. Sous l’onglet General, cochez la case Autoriser l’image à s’installer en mode sans assistance, puis cliquez sur Sélectionner un fichier. Choisissez votre fichier à l’aide du bouton Parcourir et cliquez sur OK. Pour terminer, cliquez sur OK.
Figure 6.12 : Attribution d’un fichier Unattend.xml à une image spécifique

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Le fichier ImageUnattend.xml est ajouté pour l’image WIM dans le répertoire E:\RemoteInstall\Images\Vista\Windows_Vista_Ultimate-CQXQK\Unattend de l’image Ultimate de Windows Vista. Installation de packages Une fois les différentes étapes de paramétrages réalisées, vous avez la possibilité d’utiliser également des packages et des points de distribution qui pourront servir à l’installation de logiciels supplémentaires après l’installation de Windows Vista.

Quelques points importants
Voici quelques points et étapes importants de la réalisation du fichier de réponses Unattend.xml. D’abord, vous devez ouvrir le fichier de réponses précédemment créé. Dans un premier temps, nous avions vu comment fonctionne le principe de fichier de réponses Unattend.xml avec Windows Deployment Services et les images WIM. À

219

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

présent, nous allons voir comment fonctionne le paramétrage du fichier avec une étape importante qui est la partie 1 WindowsPE. 1. Dans la partie gauche de l’interface graphique, sélectionnez Windows Image, puis la version d’images déjà présente. Ouvrez la section Components. 2. Sélectionnez le package x86_Microsoft-Windows-Setyp_(version de build)_neutral. C’est dans ce package que vous allez créer une partition pour l’installation de Windows Vista. Vous allez pouvoir indiquer si vous souhaitez créer une partition ou bien garder la partition existante, préciser également le type de partition (FAT ou NTFS) ainsi que la taille, mais aussi des actions liées à l’éventuelle présence d’un autre système sur la machine, et beaucoup d’autres options encore. Bien que toutes les parties soient importantes, la partie du package à considérer est WindowsDeploymentServices. Elle est divisée en deux sections…
j

ImageSelection : dans cette section, vous allez trouver le nom du fichier d’installation, le groupe auquel il appartient (ce groupe a été précédemment créé dans Windows Deployment Services pour descendre les images) ainsi que le nom que vous avez donné à l’image sur le serveur WDS. Login : dans cette section, vous allez pouvoir spécifier les credantials, le nom de domaine, le compte utilisateur et le mot de passe pour pouvoir entrer dans le domaine lors de l’installation. Validation du fichier de réponses N’oubliez pas de valider régulièrement votre fichier de réponses pour voir si vous n’avez pas fait d’erreur dans les informations que vous avez données au fichier.

j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Exemple d’une partie du fichier Unattend.xml qui a été généré à la suite du paramétrage proposé :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <servicing></servicing> <settings pass="windowsPE"> <component name="Microsoft-Windows-Setup" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="neutral" ✂ versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/ ✂ WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Size>30000</Size>

220

Créer un fichier de réponses

<Type>Primary</Type> <Order>1</Order> </CreatePartition> </CreatePartitions> <DiskID>0</DiskID> </Disk> </DiskConfiguration> <WindowsDeploymentServices> <ImageSelection> <InstallImage> <Filename>install.wim</Filename> <ImageGroup>Vista</ImageGroup> <ImageName>Ultimate</ImageName> </InstallImage> </ImageSelection> <Login> <Credentials> <Domain>puzzmania.com</Domain> <Username>admin</Username> <Password>P@ssW0r2</Password> </Credentials> </Login> </WindowsDeploymentServices> </component> </settings> <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Présentation des partages de distribution et des jeux de configuration
Un "partage de distribution" est un ensemble facultatif de dossiers contenant des fichiers utilisés pour personnaliser Windows via des fichiers de réponses sans assistance. Lorsque vous ajoutez des éléments à un fichier de réponses contenu dans un partage de distribution, les chemins d’accès de ces éléments sont inclus dans le fichier de réponses. Au cours de l’installation, le programme d’installation de Windows utilise ces chemins pour installer les applications et les pilotes de périphériques supplémentaires. Par exemple, lorsque vous vous connectez à un partage de distribution sur un réseau, le chemin d’accès au réseau est référencé dans le fichier de réponses. Lorsque vous créez un partage de distribution à l’aide de l’Assistant Gestion d’installation, trois dossiers sont automatiquement créés. Ils sont nommés Dossiers $OEM$, Pilotes non fournis avec Windows et Packages. Si vous créez votre propre partage de distribution, celui-ci doit contenir au moins un de ces trois dossiers pour être reconnu comme dossier de partage de distribution valide par l’Assistant Gestion d’installation. Le dossier et les sous-dossiers $OEM$ sont uniquement utilisables au cours de la création de jeux de configuration. Vous utilisez des dossiers $OEM$ pour intégrer des logos dans le cadre d’une stratégie de marque et pour ajouter des applications et des

221

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

fichiers supplémentaires permettant de personnaliser l’installation sans assistance. Les dossiers $OEM$ ont été utilisés dans des précédentes versions de Windows et, dans certains cas, ils ne sont pas pris en charge dans Windows Vista. En règle générale, vous ajoutez des ressources et des nouveaux fichiers à Windows par l’intermédiaire d’une image de données. Voici les sections d’un partage de distribution :
Tableau 6.7 : Prise en charge des anciens dossiers $OEM$
Ancienne dénomination $OEM$ Ancienne définition Contient tous les fichiers et les dossiers supplémentaires qui permettent une installation automatisée ou personnalisée. Contient les pilotes de stockage de masse et les fichiers HAL mis à jour qui sont indispensables lors de la phase en mode texte du programme d’installation. Contient les fichiers copiés dans le dossier %WINDIR% (par exemple, C:\Windows) au cours de l’installation Windows. Contient les fichiers d’aide personnalisés copiés dans le dossier %WINDIR%\Help au cours de l’installation Windows. Contient les fichiers que copiés dans le dossier %WINDIR%\System32 au cours de l’installation Windows. Prise en charge Oui

\$OEM$\Textmode

Non

\$OEM$\$$

Oui

\$OEM$\$$\Help

Non

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

\$OEM$\$$\System32

Oui

\$OEM$\$1

Représente la racine du lecteur où est installé Windows Oui (également appelée "partition de démarrage") et contient des fichiers copiés dans la partition de démarrage au cours de l’installation Windows. Contient des pilotes Plug and Play (PnP) nouveaux ou mis à jour. L’utilisateur indique le nom du dossier dans le fichier Unattend.xml pour les installations sans assistance. Ce dossier peut par exemple être nommé \$OEM$\$1\pilotesPnP. Contient les fichiers utilisés pour une installation préparée avec Sysprep. Contient les fichiers copiés dans le dossier %DOCUMENTS_AND_SETTINGS% au cours de l’installation Windows. Contient les programmes copiés dans le dossier %PROGRAM_FILES% au cours de l’installation Windows. Oui

\$OEM$\$1\pilotesPlugand-Play

\$OEM$\$1\SysPrep \$OEM$\$Docs

Non Non

\$OEM$\$Progs

Non

222

Sysprep

Ancienne dénomination \$OEM$\$Progs\Internet Explorer \$OEM$\lettre_lecteur \sous_dossier

Ancienne définition Contient le fichier de paramètres pour personnaliser Internet Explorer. Sous-dossier du lecteur qui contient les fichiers copiés dans le sous-dossier au cours de l’installation Windows. Plusieurs instances de ce type de dossier peuvent exister dans le dossier \$OEM$\lettre_lecteur, par exemple \$OEM$\D\MonDossier.

Prise en charge Non Oui

6.6.

Sysprep

Dans la plupart des cas, en entreprise, pour déployer des ordinateurs Windows Vista, vous souhaitez créer une image de Windows Vista personnalisée, qui contient les applications métiers communes à la société afin de ne pas avoir à les installer une par une sur chaque poste de travail. Communément, vous allez utiliser un outil de création d’image pour créer une image personnalisée. Ici, vous procéderez de la même façon qu’avec des outils tiers de création et d’application d’images système (comme Symantec Ghost). Voici un scénario de départ : 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 1. Vous installez Windows Vista sur un ordinateur de test. 2. Vous y installez les diverses applications et vous vous assurez qu’elles fonctionnent correctement. 3. Vous utilisez Sysprep pour préparer l’ordinateur à la duplication. 4. Vous éteignez l’ordinateur. 5. Vous récupérez l’image système associée. À la différence près qu’avec Windows Vista vous n’avez pas besoin d’outil tiers et que l’image créée fonctionnera sur n’importe quelle plateforme matérielle. Voyez maintenant comment fonctionne l’outil Sysprep sous Windows Vista.

Introduction à Sysprep
L’outil Sysprep prépare une installation de Windows à la duplication, à l’audit et à la livraison à l’utilisateur final. La duplication, également appelée "acquisition d’images", permet de capturer une image système Windows Vista personnalisée que vous êtes à même de réutiliser dans toute votre entreprise. Pour cela, Sysprep exécute un certain nombre de tâches pour nettoyer le système (informations relatives au Registre, à l’utilisateur logué, à la licence, au SID d’ordinateur) afin de le rendre neutre et 223

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

réutilisable pour n’importe quel autre utilisateur. Grâce au mode Audit, vous pouvez ajouter des applications ou des pilotes de périphériques supplémentaires à une installation de Windows. Une fois les applications et les pilotes installés, vous avez la possibilité de tester l’intégrité de l’installation de Windows. Sysprep permet également de préparer une image qui sera ensuite livrée à un utilisateur final. Ainsi, lorsque le client démarre Windows, les écrans d’accueil de Windows s’affichent. Sysprep n’est utilisable que pour configurer de nouvelles installations de Windows Vista. Cet outil peut être exécuté autant de fois qu’il est nécessaire pour élaborer et configurer votre installation de Windows. Toutefois, vous ne pouvez pas réinitialiser l’activation de la plateforme de Windows Vista pour la protection contre le piratage plus de trois fois. Vous ne devez pas utiliser Sysprep pour reconfigurer une installation existante de Windows déjà déployée. Cet outil est uniquement utilisable pour la configuration de nouvelles installations de Windows. L’outil Sysprep est maintenant inclus à la base dans Windows Vista, plus besoin de télécharger le Deployment Pack Microsoft. Suivez le chemin %WINDIR%\ system32\sysprep. Sysprep présente un certain nombre d’avantages :
j

Il supprime des données spécifiques au système à partir de Windows. Il peut supprimer toutes les informations spécifiques au système à partir d’une image système Windows installée, y compris l’ID de sécurité. L’installation de Windows peut ensuite être capturée et installée à travers toute l’entreprise. Il configure Windows pour démarrer en mode Audit. Le mode Audit vous permet d’installer des applications et des pilotes de périphérique tiers et de tester la fonctionnalité de l’ordinateur. Il configure Windows pour démarrer avec l’accueil du premier démarrage de Windows. Il configure une installation de Windows pour initialiser l’accueil du premier démarrage de Windows au prochain démarrage de l’ordinateur. En général, vous configurez un système pour qu’il s’initialise à partir de cet accueil de premier démarrage immédiatement avant la livraison de l’ordinateur à l’utilisateur final. Celui-ci n’a plus qu’à entrer les quelques informations personnelles qu’il lui manque. Il réinitialise l’activation du produit Windows. Sysprep peut réinitialiser l’activation du produit Windows jusqu’à trois fois.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

j

j

Implémenter Sysprep
Reprenons notre scénario de départ : vous installez Windows Vista sur un ordinateur de test, vous y installez toutes les applications que vous voulez inclure dans votre image personnalisée et vous vérifiez leur fonctionnement. Maintenant, vous allez utiliser Sysprep pour préparer l’ordinateur à la duplication. 1. Cliquez sur le logo Windows de démarrage. 224

Sysprep

2. Tapez Sysprep dans la fenêtre Exécuter que vous avez ouvert.

Figure 6.13 : Répertoire %WINDIR%\system32\sysprep

3. Ouvrez le répertoire Sysprep et cliquez deux fois sur l’application.
Figure 6.14 : Application Sysprep

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Vous remarquez une interface graphique très épurée en comparaison de la précédente version de Sysprep contenue dans le Deployment Pack Microsoft Windows XP. Deux menus déroulants uniquement, donc deux choix à faire : un choix sur le mode de nettoyage du système et un sur le mode d’extinction de l’ordinateur.

Le nettoyage du système
Dans le premier menu déroulant de l’application Sysprep, vous devez choisir l’action de nettoyage du système à mener.
Figure 6.15 : Choix d’action de nettoyage du système

225

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

Entrer en mode OOBE (Out-Of-Box Experience) : OOBE, autrement appelé "accueil de premier démarrage de Windows", représente la première expérience de l’utilisateur et permet aux utilisateurs finaux de personnaliser leur installation Windows. Les utilisateurs finaux peuvent créer des comptes utilisateurs, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par défaut, toutes les installations Windows démarrent d’abord avec l’accueil de premier démarrage de Windows. La passe de configuration OobeSystem s’exécute immédiatement avant le démarrage de l’accueil de premier démarrage de Windows. C’est le choix le plus commun dans le sens où vous nettoyez complètement le système pour une duplication en masse. Entrer en mode d’audit système : le mode Audit permet aux fabricants d’ordinateurs et aux entreprises d’ajouter des personnalisations à leurs images Windows. Le mode Audit ne nécessite pas l’application de paramètres dans l’accueil de premier démarrage de Windows. En ignorant l’accueil de Windows, vous pouvez accéder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de périphérique supplémentaires, installer des applications et tester la validité de l’installation. En mode Audit, les paramètres d’un fichier de réponses, en mode sans assistance, sont traités lors des étapes de configuration AuditSystem et AuditUser. Dans une installation Windows Vista par défaut, une fois l’installation terminée, l’accueil de Windows démarre. Cependant, vous pouvez ignorer l’accueil de Windows et démarrer directement en mode Audit en appuyant sur les touches [Ctrl]+[Maj]+[F3] à partir du premier écran d’accueil de Windows. L’option Généraliser Juste en dessous de la liste Action de nettoyage du système se trouve une case à cocher très importante appelée Généraliser. Cette option est l’équivalent de l’option Resceller sous Windows XP : c’est en la cochant que vous allez générer un SID ordinateur différent à chaque application de l’image. Si vous utilisez Sysprep pour générer une image de référence devant s’appliquer sur tous les postes de travail de l’entreprise, alors il est primordial de cocher cette case.

j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Les options d’extinction
Dans le second menu déroulant de l’application Sysprep, vous devez faire un choix d’options d’extinction : arrêter, quitter ou redémarrer l’ordinateur (voir fig. 6.16). La fin de l’exécution de Sysprep se marque par l’option d’extinction. Dans la plupart des cas, vous choisirez d’éteindre l’ordinateur. Là, votre ordinateur est prêt pour redémarrer, mais en bootant sur un outil de récupération de l’image système.

226

Sysprep

Figure 6.16 : Options d’extinction de Sysprep

Le processus de Sysprep
Pour que Sysprep s’exécute sans problème, vous devez vous assurer du processus suivant : 1. Vérifiez que Sysprep est capable de s’exécuter. Seul un administrateur peut exécuter Sysprep, dont il est impossible de faire tourner plusieurs instances. Sysprep doit également s’exécuter sur la version de Windows sur laquelle il a été installé. 2. Analysez les arguments de ligne de commande. 3. Si vous n’avez pas spécifié d’argument de ligne de commande, la fenêtre de Sysprep qui s’affiche permet aux utilisateurs de définir des actions Sysprep. 4. Traitez les actions Sysprep, appelez les fichiers .dll et les exécutables appropriés, puis ajoutez des actions au fichier journal. 5. Vérifiez que tous les fichiers .dll ont traité toutes leurs tâches, puis arrêtez le système, relancez-le ou quittez Sysprep. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Réinitialiser l’activation de Windows Vista
Lorsque vous installez Windows Vista avec une clé de produit de licence unique, vous disposez de 30 jours au cours desquels vous devez activer cette installation de Windows. Si vous n’activez pas Windows Vista dans cette période de 30 jours et que vous ne réinitialisez pas l’horloge d’activation, Windows entre en mode de fonctionnalité réduite. Ce mode empêche les utilisateurs d’ouvrir une session sur l’ordinateur avant l’activation de Windows. Il n’existe aucune limite au nombre d’exécutions de Sysprep sur un ordinateur. Cependant, l’horloge de l’activation de Windows Vista commence son décompte la première fois que Windows est lancé. Vous pouvez utiliser la commande sysprep /generalize pour réinitialiser l’activation du produit Windows à trois reprises au maximum. Après trois exécutions de la commande sysprep /generalize, l’horloge ne peut plus être réinitialisée.

227

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Lorsque vous exécutez la commande sysprep /generalize, l’horloge d’activation est automatiquement réinitialisée. Vous pouvez ignorer la réinitialisation de l’horloge d’activation à l’aide du paramètre SkipRearm dans le composant Microsoft-Windows-Security-Licensing-SLC. Cela vous permet d’exécuter Sysprep à plusieurs reprises sans réinitialiser l’horloge d’activation.

Figure 6.17 : Paramètre SkipRearm

Selon le mode de licence, le comportement de réinitialisation de l’horloge d’activation est différent.
j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

L’activation peut être réinitialisée un nombre de fois illimité pour des clients du service KMS. KMS est un mode de licence faisant parti des licences en volume qui permet à l’entreprise de surveiller et de comptabiliser l’utilisation des licences au sein de l’entreprise. C’est un service s’installant sur un serveur dédié aux ordinateurs de l’entreprise toujours connectés au réseau. Les entreprises clientes du service KMS doivent utiliser la commande sysprep /generalize avec la valeur du paramètre SkipRearm égale à 0. Pour les clients de clés d’activation multiples (MAK), la recommandation consiste à installer ces clés d’activation multiples immédiatement avant d’exécuter Sysprep pour la dernière fois avant la livraison de l’ordinateur à un utilisateur. MAK est aussi un mode de licence faisant parti des licences en volume qui permet à l’entreprise de surveiller et de comptabiliser l’utilisation des licences, mais il est plus particulièrement dédié aux ordinateurs nomades de l’entreprise peu ou pas connectés au réseau. Ce n’est pas un service que l’on installe, c’est un type de clé. Pour les licences d’activation OEM, aucune activation n’est requise. L’activation OEM n’est disponible que pour les fabricants d’ordinateurs OEM. Image et activation Vous ne pouvez pas créer d’image d’une installation Windows activée et dupliquer cette image sur un autre ordinateur. Si vous le faites, Windows ne parvient pas à reconnaître l’activation et force l’utilisateur final à réactiver manuellement l’installation.

j

j

228

Sysprep

Utiliser des fichiers de réponses en conjonction avec Sysprep
Si vous installez Windows Vista par le biais d’un fichier de réponses, celui-ci est placé en mémoire cache sur le système de sorte que lors des passes de configuration suivantes, les paramètres définis dans le fichier de réponses soient appliqués au système. Le fichier de réponses étant placé en mémoire cache, les paramètres qu’il contient sont appliqués lorsque vous exécutez Sysprep. Si vous utilisez les paramètres extraits d’un autre fichier de réponses, vous pouvez spécifier un autre fichier Unattend.xml par le biais de l’option sysprep /unattend:fichierréponses. Pour assurer la persistance des pilotes de périphérique lorsque vous exécutez la commande sysprep /generalize, spécifiez le paramètre PersistentAll DeviceInstalls dans le composant Microsoft-Windows-PnPSysprep. Lors de la passe de configuration Specialize, la fonction plug and play analyse le système pour y rechercher des périphériques et installe les pilotes correspondants. Par défaut, ces pilotes de périphérique sont supprimés du système lors de la passe de configuration Generalize. Si vous réglez PersistAllDeviceInstalls sur true dans un fichier de réponses, Sysprep ne supprime pas les pilotes de périphérique détectés.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.18 : Paramètre PersistAllDeviceInstalls

Vous pouvez configurer automatiquement une installation de Windows Vista de sorte à activer le mode d’audit ou l’accueil de premier démarrage Windows (mode OOBE) une fois l’installation de Windows terminée. L’utilisation du paramètre reseal dans le composant Microsoft-Windows-Deployment vous permet de spécifier le mode de démarrage de Windows. Si cette valeur n’est pas spécifiée, Windows démarre en mode d’accueil de premier démarrage Windows par défaut (voir fig. 6.19). En mode d’audit, vous pouvez afficher l’état des commandes RunSynchronous exécutées lors de la passe de configuration AuditUser. La fenêtre AuditUI affiche l’état des commandes et fournit les informations suivantes :
j

Indicateur visuel montrant qu’une installation est en cours d’exécution.

229

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.19 : Paramètre Reseal
j

Indication visuelle de la date, de l’heure et de l’emplacement des échecs. Cette fonction permet d’établir un diagnostic rapide si la commande ne génère pas de fichiers journaux.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Si le fichier de réponses contient des commandes RunSynchronous lors de la passe de configuration AuditUser, la liste des commandes s’affiche dans la fenêtre AuditUI, dans l’ordre spécifié par le paramètre Order qui se trouve dans le sous-élément RunSynchronousCommand de l’élément RunSynchronous.

Figure 6.20 : Sous-élément RunSynchronousCommand

Chaque élément de la liste affichée dans l’interface utilisateur correspond à la chaîne extraite du paramètre Description ou du paramètre Path. Toutes les commandes RunSynchronous sont traitées dans l’ordre. Si la commande aboutit, l’élément de liste correspondant est associé à une coche verte. Si la commande 230

Sysprep

échoue, l’élément de liste correspondant est associé à un X rouge. Si un redémarrage est requis, la fenêtre AuditUI réapparaît après le redémarrage, mais seuls les éléments non traités de la liste sont recensés. Les éléments précédemment traités ne sont plus indiqués. Si la liste d’éléments affichés dépasse la hauteur de la fenêtre AuditUI, sa taille est adaptée à l’écran et il est impossible de la faire défiler. De ce fait, certains éléments risquent de ne pas être visibles. Le programme d’installation de Windows Vista interprète les codes de retour 0 et différents de 0 comme des valeurs d’état dans la fenêtre AuditUI. La valeur 0 indique un succès, tandis qu’une autre valeur représente un échec. Selon la valeur du paramètre WillReboot qui se trouve dans le sous-élément RunSynchronousCommand de l’élément RunSynchronous, la valeur renvoyée par la commande risque d’affecter le comportement de l’installation.
Figure 6.21 :

Paramètre WillReboot

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

Si le paramètre WillReboot est réglé sur Always, si la commande renvoie 0, l’élément de liste correspondant est coché en vert. Un redémarrage est immédiatement exécuté. Si la commande renvoie une autre valeur, l’élément de liste correspondant est signalé par un X rouge. Un redémarrage est immédiatement exécuté. Si le paramètre WillReboot est réglé sur Never, si la commande renvoie 0, l’élément de liste correspondant est coché en vert. Si la commande renvoie une autre valeur, l’élément de liste correspondant est signalé par un X rouge. Une autre valeur n’est pas considérée comme une erreur irrécupérable si WillReboot est réglé sur Always ou Never. Si le paramètre WillReboot est réglé sur OnRequest, si la commande renvoie 0, l’élément de liste correspondant coché en vert. Si la commande renvoie 1, l’élément de liste correspondant est coché en vert. Un redémarrage est immédiatement exécuté. Si la commande renvoie 2, l’élément de liste correspondant est temporairement coché en vert. Un redémarrage est immédiatement exécuté. À la suite du redémarrage, l’élément de liste correspondant s’affiche à nouveau dans la fenêtre AuditUI sans annotation car la commande est encore en cours d’exécution. Si la commande renvoie d’autres valeurs, il se produit une erreur irrécupérable et une boîte de dialogue de blocage s’affiche.

j

j

231

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Les fichiers journaux de Sysprep
Sysprep consigne les actions d’installation de Windows dans divers répertoires, selon la passe de configuration concernée. La passe de configuration Generalize supprimant certains fichiers journaux du programme d’installation Windows, Sysprep consigne les actions Generalize hors des fichiers journaux d’installation Windows standard.
Tableau 6.8 : Journaux de log de Sysprep Élément Generalize Specialize Actions d’installation sans assistance de Windows Chemin des fichiers journaux %WINDIR%\system32\sysprep\panther %WINDIR%\panther\ %WINDIR%\panther\unattendgc

Les limitations de Sysprep
Sysprep comporte les limitations suivantes :
j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Vous devez uniquement utiliser la version de Sysprep installée avec l’image système Windows que vous voulez configurer. Sysprep est installé avec chaque version de Windows et doit toujours être exécuté à partir du répertoire %WINDIR%\ system32\sysprep. Sysprep ne doit pas être utilisé sur des types d’installation de mise à niveau. Exécutez Sysprep uniquement sur des installations propres. Si vous prévoyez d’utiliser la commande imagex d’application d’une image système Windows Vista à un ordinateur, le format de partition sur les ordinateurs de test et de destination doit être identique. Par exemple, si vous capturez une image système Windows personnalisée sur le lecteur C, vous devez toujours déployer cette image système sur le lecteur C de l’ordinateur de destination. La liste suivante décrit les paramètres de partition qui doivent être identiques sur les ordinateurs de test et de destination… − Le numéro de partition où est installé Windows Vista doit correspondre. − Le type de partition (principale, étendue ou logique) doit correspondre. − Si la partition est définie comme active sur l’ordinateur de référence, l’ordinateur de destination doit également être défini comme actif.

j j

j

Lors de la copie d’images système Windows entre différents systèmes, les ordinateurs de test et de destination n’ont pas besoin de disposer de fichiers HAL (Hardware Abstraction Layer) compatibles.

232

Windows PE 2.0

j

Les périphériques plug and play présents sur les ordinateurs de test et de destination, tels que les modems, les cartes son, les cartes réseau et les cartes vidéo, n’ont pas besoin d’être du même fabricant. Cependant, les lecteurs de ces périphériques doivent être inclus dans l’installation. L’horloge d’activation commence son compte à rebours la première fois que Windows est démarré. Vous pouvez utiliser Sysprep au maximum trois fois pour réinitialiser l’horloge en vue de l’activation de produit Windows. Après trois exécutions de Sysprep, l’horloge ne peut plus être réinitialisée. Que ce soit ImageX (outil de création d’image système de Windows Vista) ou que ce soit des logiciels de création d’image système de disque tiers ou des périphériques matériels de duplication de disque, ils sont nécessaires pour l’installation fondée sur une image. Ces produits créent des images du disque dur d’un ordinateur, puis la dupliquent sur un autre disque dur ou la stockent dans un fichier sur un disque séparé. Sysprep s’exécute seulement si l’ordinateur est membre d’un groupe de travail, et non d’un domaine. Si l’ordinateur appartient à un domaine, Sysprep le retire de ce domaine. Si vous exécutez Sysprep sur une partition de système de fichiers NTFS qui contient des fichiers ou des dossiers cryptés, les données contenues dans ces dossiers deviennent complètement illisibles ou irrécupérables. Sysprep convertit la variable d’environnement %COMPUTERNAME% en caractères majuscules. Cependant, le nom réel de l’ordinateur ne change pas. L’exécution de Sysprep fait que les écrans d’accueil de Windows vous demandent une clé de produit. Vous pouvez utiliser un fichier de réponses avec Sysprep pour éviter que les écrans d’accueil de Windows ne vous demandent une clé de produit. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

j

j

j

j j

Une fois le Sysprep effectué, la prochaine étape consiste à démarrer sur Windows PE 2 .0 pour avoir un environnement adéquat afin de capturer l’image qui servira de référence au déploiement.

6.7.

Windows PE 2.0

Une fois votre ordinateur de test configuré et la commande Sysprep effectuée, l’environnement de préinstallation Windows PE 2.0 va vous permettre de démarrer sur un environnement autonome et relativement complet afin de récupérer votre image système. Mais Windows PE 2.0 va quand même plus loin : cet environnement vous servira également à appliquer les images, voire à diagnostiquer un poste de travail. Windows PE 2.0 est incontournable quand on parle de déploiement car même le processus d’installation de Windows Vista provenant du DVD Vista effectue en premier lieu un démarrage sur Windows PE 2.0.

233

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Introduction à WIN PE
Windows PE 2.0 (Windows Preinstallation Environnement) constitue l’une des bases du déploiement de Windows Vista. Il est conçu pour faciliter les déploiements de ce nouveau système d’exploitation. C’est un environnement bootable limité conçu sur la base de Windows Vista. Windows PE 2.0 Jusqu’à présent Windows PE était réservé aux clients disposant d’un contrat Microsoft Software Assurance (SA). La bonne nouvelle, c’est que Windows PE 2.0 devient disponible pour toutes les personnes ou sociétés désireuses d’installer ou de déployer Windows Vista au travers du WAIK. Windows PE (ou Win PE) offre de puissants outils de préparation et d’installation pour Windows Vista. Même s’il ne dispose pas de toutes les classes WMI, il en possède un certain nombre, ce qui vous permettra d’optimiser vos déploiements. Dans sa version 2.0, Win PE est personnalisable au travers d’outils livrés dans le WAIK (Windows Automated Installation Kit). Ainsi, il est possible d’ajouter simplement des pilotes ou des packages. Windows PE Win PE est un outil de démarrage système de Microsoft qui offre des fonctionnalités avancées pour l’installation, le dépannage et la récupération. Il a été conçu pour remplacer MS-DOS comme environnement de préinstallation. Win PE 2.0 est la version liée à Windows Vista.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Les versions de Windows PE
Même si c’est la première fois que vous entendez parler ou utilisez Win PE 2.0, sachez que Win PE offre plusieurs versions. Il sort une nouvelle version de Win PE à chaque révision d’un système d’exploitation ou à l’arrivée d’un service pack. La dernière version officielle avant la sortie de Windows Vista correspond à Windows Server 2003 SP1. Au début de Win PE, un grand nombre d’applications ne pouvaient s’exécuter car elles nécessitaient de l’espace de stockage temporaire, et Win PE était souvent lancé à partir d’un support non inscriptible, tel qu’un CD. Les versions se sont enrichies et améliorées pour prendre en charge le WMI, les périphériques plug and play, mais également en apportant le support du Ramdisk et en permettant le démarrage à partir d’une clé USB :
j j j j j

Win PE 1.0, basé sur la version Windows XP ; Win PE 1.1, basé sur la version Windows XP SP1 ; Win PE 1.2, basé sur la version Windows 2003 Server ; Win PE 1.5, basé sur la version Windows XP SP2 ; Win PE 1.6, basé sur la version Service Pack 1 de Windows 2003.

234

Windows PE 2.0

Win PE 2.0
Que de chemin parcouru entre la version 1.0 et la version 2.0 de Win PE. La version 2.0 de Win PE s’appuie en effet sur les composants de Windows Vista. Par conséquent, Win PE 2.0 prend en charge les pilotes Windows Vista et tire parti d’un grand nombre d’améliorations apportées par Windows Vista, par exemple la protection améliorée contre les attaques réseaux offertes par le pare-feu Windows. Désormais, cette nouvelle version de Win PE prend en charge l’ajout de pilotes, ce qui vous permet de charger des pilotes avant ou après le lancement de Win PE. Si vous démarrez Win PE et que vous constatiez qu’il manque un pilote nécessaire, vous avez la possibilité de charger le pilote non standard à partir d’un support amovible et d’utiliser aussitôt le matériel sans redémarrage. Pour plus de flexibilité, en particulier lors de la création de scripts de préinstallation, Win PE 2.0 inclut désormais une prise en charge améliorée de WMI. Cela vous permet d’effectuer la plupart des tâches de configuration et de gestion à partir d’un script ou de la ligne de commandes. Utilisation de Win PE Win PE n’est pas une version Embedded du système d’exploitation. Il ne remplace pas un système d’exploitation client ou serveur. Il reboote toutes les soixante-douze heures. Windows PE est un outil amorçable fondé sur les composants de Windows Vista. Contrairement à Windows Vista, qui est un système d’exploitation général, Windows PE est conçu pour être utilisé dans le cadre de l’installation ou du dépannage. Voici la liste des nouveautés apportées par la version 2.0 de Win PE…
j j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Mises à jour de sécurité : Windows PE prend désormais en charge le protocole SSL (Secure Socket Layer). Outils de gestion des fichiers .wim : les fichiers .wim peuvent être personnalisés et démarrés au moyen de l’outil de ligne de commandes ImageX et du pilote WIM FS Filter (Windows Imaging File System Filter). Prise en charge de nouvelles méthodes de démarrage : vous pouvez démarrer Windows PE depuis le fichier .wim hébergé sur le DVD Windows AIK ou l’option /boot de l’outil de ligne de commandes ImageX. Prise en charge du redémarrage sur 72 heures : l’horloge de redémarrage de Windows PE a été étendue de 24 à 72 heures. Prise en charge du plug and play (PnP) : les périphériques matériels peuvent être détectés et installés alors que Windows PE est en cours d’exécution. Tous les périphériques PnP fournis sont pris en charge, y compris les médias amovibles et les périphériques de stockage de masse. Cette prise en charge est activée par défaut.

j

j j

235

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

j

Outil Drvload : utilisez ce nouvel outil de ligne de commandes pour ajouter des pilotes non fournis au démarrage de Windows PE. Drvload installe les pilotes en utilisant les fichiers .inf des pilotes en tant qu’entrées. Outil PEImg : utilisez ce nouvel outil de ligne de commandes pour personnaliser une image de Windows PE hors ligne. PEImg vous permet d’ajouter et de supprimer des pilotes, des composants de Windows PE et des modules linguistiques. Données de configuration de démarrage (BCD) : utilisez ce nouveau fichier de configuration de démarrage pour personnaliser les options de démarrage. Ce fichier remplace le fichier Boot.ini. Outil bootsect (secteur de démarrage) : utilisez cet outil pour permettre le déploiement de versions antérieures de Windows en changeant le code de démarrage de la précédente version de Windows en vue d’assurer la prise en charge du gestionnaire de démarrage (Bootmgr) pour Windows Vista. Disque virtuel inscriptible automatique : en cas de démarrage depuis un média en lecture seule, Windows PE crée automatiquement un disque virtuel inscriptible (disque X) et alloue 32 Mo de ce dernier au stockage général. En utilisant un système de fichiers NTFS compressé, les 32 Mo sont adressables jusqu’à 60 Mo.

j

j

j

j

Avec l’arrivée de Windows Vista, Win PE sera donc disponible pour tout le monde. Win PE 2.0 sera disponible dans le WAIK et utilisable pour déployer Windows Vista dans toutes les entreprises sans problème de licence. La première étape pour utiliser Win PE consiste à installer le WAIK. Dans l’un des répertoires du kit d’installation automatique Windows se trouvent deux images WIM de Win PE ainsi que des outils :
C:\Program Files\Windows AIK\Tools\x86>dir Le volume dans le lecteur C n’a pas de nom. Le numéro de série du volume est FC61-F515 Répertoire de C:\Program Files\Windows AIK\Tools\x86 14/05/2006 23/02/2006 09/11/2005 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 14/05/2006 14/05/2006 18/02/2006 18/02/2006 10/02/2006 18/02/2006 20:13 15:01 16:01 01:03 01:03 01:50 01:06 01:50 01:50 20:13 20:13 01:50 01:48 16:09 01:05 <REP> 125 123 1 409 59 337 2 041 231 189 <REP> <REP> 1 318 2 75 231 boot boot.wim bootfix.bin bootmgr BootSect.exe cbscore.dll cmiv2.dll dpx.dll drvstore.dll efi en-us msxml6.dll msxml6r.dll oscdimg.exe peimg.exe

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

301 024 980 392 920 344 424 440

912 560 776 424

236

Windows PE 2.0

18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006

01:50 01:50 01:05 01:50 1 01:50 01:02 01:05 01:05 14:07 132 01:05 01:33 23 fichier(s) 5 Rép(s) 9

781 43 19 282 287 3 110 176 400 233 116

824 smiengine.dll 520 smipi.dll 968 sys.exe 560 wcp.dll 744 wdscore.dll 113 wimfltr.inf 848 wimfltr.sys 640 wimgapi.dll 517 winpe.wim 984 ImageX.exe 224 xmllite.dll 265 479 439 octets 044 193 280 octets libres

La première image se nomme winpe.wim, c’est le Win PE 2.0 fourni pour déployer Windows Vista. La seconde image s’appelle boot.wim. Les deux images font sensiblement la même taille, 125 Mo et 130 Mo. Cependant, elles présentent quelques différences non négligeables. Dans les versions précédentes de Win PE, il était souvent reproché à Win PE de mettre trop longtemps à démarrer car il n’était pas optimisé. Ce problème est résolu grâce à ces deux images. Vous trouverez deux modes dans cette nouvelle version de Win PE, un mode Préparé et un mode Non préparé. Vous créerez votre propre arborescence, ajouterez des éléments, puis, au travers d’une commande, vous pourrez l’optimiser en fonction de son démarrage via le réseau, un support USB ou un CD. Le fichier boot.wim est la version de Win PE "préparée". La problématique du boot.win et des versions préparées, c’est que vous ne pouvez plus ajouter de composants. Seul l’ajout de pilotes sera possible dans ce mode. Il est donc très important de conserver une version dite non préparée de Win PE, ce qui est le cas avec winpe.wim. Pour voir la différence entre les versions, utilisez la commande suivante : ImageX /info nom_image.wim. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

La version winpe.wim
Pour visualiser le contenu de la version de winpe.wim, utilisez l’instruction ImageX
/info winpe.wim. C:\Program Files\Windows AIK\Tools\PETools\x86>imagex /info winpe.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.

WIM Information: ---------------GUID: {d86b36d5-4860-4a9d-baa7-5b251ba821aa} Image Count: 1

237

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x8 Relative path junction

Available Image Choices: -----------------------<WIM> <TOTALBYTES>164491669</TOTALBYTES> <IMAGE INDEX="1"> <NAME>Microsoft Windows Vista PE (X86)</NAME> <DESCRIPTION>Microsoft Windows Vista PE (X86)</DESCRIPTION> <WINDOWS> <ARCH>0</ARCH> <PRODUCTNAME>Microsoft "Windows" Operating System</PRODUCTNAME> <PRODUCTTYPE>WinNT</PRODUCTTYPE> <PRODUCTSUITE></PRODUCTSUITE> <LANGUAGES> <LANGUAGE>fr-FR</LANGUAGE> <DEFAULT>fr-FR</DEFAULT> </LANGUAGES> <VERSION> <MAJOR>6</MAJOR> <MINOR>0</MINOR> <BUILD>6000</BUILD> <SPBUILD>16386</SPBUILD> </VERSION> <SYSTEMROOT>WINDOWS</SYSTEMROOT> </WINDOWS> <DIRCOUNT>2070</DIRCOUNT> <FILECOUNT>8293</FILECOUNT> <TOTALBYTES>708015723</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xBFD8DDC6</LOWPART> </CREATIONTIME> <LASTMODIFICATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xC375E20E</LOWPART> </LASTMODIFICATIONTIME> </IMAGE> </WIM>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Dans la partie <NAME> se trouve le nom de l’image winpe.wim : Microsoft Windows Vista PE (X86). Cette version est la version de Windows Vista. Vous découvrirez un peu plus loin comment voir le contenu de chaque image. Cette version d’image est non préparée, il est donc possible d’y ajouter des packages et des pilotes.

238

Windows PE 2.0

La version boot.wim
Pour visualiser le contenu de la seconde image de Win PE boot.wim, utilisez l’instruction ImageX /info boot.wim.
C:\Program Files\Windows AIK\Tools\x86>ImageX /info boot.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. WIM Information: ---------------GUID: {6c00797e-6e60-4b43-9be6-cf327f16f3f6} Image Count: 1 Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x0 Available Image Choices: -----------------------<?xml version="1.0" encoding="UTF-16"?> <WIM> <TOTALBYTES>125121945</TOTALBYTES> <IMAGE INDEX="1"> <DIRCOUNT>362</DIRCOUNT> <FILECOUNT>2289</FILECOUNT> <TOTALBYTES>319894252</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x1C638CD</HIGHPART> <LOWPART>0x196493A</LOWPART> </CREATIONTIME> <NAME>Windows Preinstallation Environment (x86)</NAME><WINDOWS ><ARCH>0</ARCH><PRODUCTNAME>Microsoft "Windows" Operating Syst em</PRODUCTNAME><PRODUCTTYPE>WinNT</PRODUCTTYPE><PRODUCTSUITE /><LANGUAGE>00000409</LANGUAGE><VERSION><MAJOR>6</MAJOR><MINOR >0</MINOR><BUILD>5308</BUILD><SPBUILD>17</SPBUILD></VERSION><S YSTEMROOT>WINDOWS</SYSTEMROOT></WINDOWS></IMAGE></WIM>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

la partie <NAME> se trouve le nom de l’image boot.wim : Windows Preinstallation Environment (x86). Cette version est la version de Dans démarrage de Windows Vista. À la différence de la version winpe.win, cette version d’image est préparée, il est donc impossible d’y ajouter des packages, seuls les pilotes peuvent y être ajoutés.

239

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

L’utilisation de Win PE
Win PE 2.0 est capable de traiter trois aspects spécifiques.
j

Installation de Windows Vista : Win PE s’exécute chaque fois que vous installez Windows Vista. Les outils graphiques qui collectent les informations de configuration au cours de la phase d’installation s’exécutent dans Windows PE. Résolution des problèmes : Win PE sert également pour la résolution de problèmes. Par exemple, Win PE démarre automatiquement et lance l’environnement de récupération de Windows. Récupération : il peut être utilisé pour créer des solutions personnalisées et automatisées pour la récupération et la reconstruction d’ordinateurs basés sur Windows Vista.

j

j

Win PE consomme moins de 100 Mo d’espace disque et peut s’exécuter intégralement à partir de la mémoire vive, ce qui vous permet d’insérer un deuxième CD contenant les pilotes ou les logiciels. Ces fonctionnalités permettent à Windows PE de s’exécuter sur des ordinateurs qui ne sont pas encore équipés d’un disque dur formaté ou d’un système d’exploitation installé. Cependant, Windows PE n’est pas un système d’exploitation complet tel que Windows Vista. De plus, vous pouvez faire le test, Win PE redémarre toutes les 72 heures.

Les limitations de Win PE
6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Win PE possède les limitations suivantes :
j j

L’ordinateur doit être équipé d’un minimum de 256 Mo de RAM. Windows PE nécessite un périphérique d’affichage compatible VESA et utilise la résolution d’écran la plus élevée possible. Si Windows PE ne peut détecter les paramètres vidéo, il utilise une résolution de 640 x 480 pixels. Il prend en charge la résolution de noms DFS (Distributed File System) uniquement pour les racines DFS autonomes. Vous ne pouvez accéder aux fichiers ou dossiers d’un ordinateur exécutant Win PE à partir d’un autre ordinateur ; le service Serveur n’est pas disponible dans Windows PE. Win PE prend en charge à la fois IPv4 et IPv6 mais ne prend pas en charge d’autres protocoles, tels que IPX/SPX. Les affectations de lettres d’unité ne sont pas persistantes d’une session à l’autre. Après le redémarrage de Win PE, les affectations de lettres d’unité sont dans l’ordre par défaut. Windows PE ne prend pas en charge le .NET Framework.

j j

j j

j

240

Windows PE 2.0

j

Dans la mesure où WOW (Windows on Windows) n’est pas pris en charge, les applications 16 bits ne s’exécutent pas dans les versions 32 bits de Windows PE, et les applications 32 bits ne s’exécutent pas dans les versions 64 bits de Win PE. Win PE redémarre 72 heures après le démarrage initial.

j

Les outils
Un certain nombre d’outils permettent d’utiliser Win PE, certains sont inclus dans Win PE, d’autres non. Voici la liste et les fonctions de ces outils…
j

ImageX : il n’est pas présent dans Win PE, mais vous pouvez le trouver dans le resource kit de déploiement. Il est utilisé pour l’ajout d’une image, la capture d’images, l’application d’images, etc. DiskPart : c’est un outil qui permet de créer ou supprimer des partitions. Il n’est pas nouveau mais c’est uniquement après la création d’une partition que vous pourrez descendre l’image WIM. Drvload : c’est un nouvel outil. Vous pouvez utiliser la commande drvload pour ajouter des pilotes de périphérique, comme des chipsets audio, vidéo et des chipsets de carte mère à une image Windows PE. Vous pouvez également utiliser la commande drvload pour charger dynamiquement un pilote après le démarrage de Windows PE. OSCDImg : cet outil permet de créer une image ISO de son Win PE. PEImg : il permet de lister ou d’ajouter des composants en ligne de commandes dans Win PE, mais également de préparer une image. BCDEdit : cet outil permet d’éditer les données de configuration de démarrage (Boot Configuration Data). Il est aussi utilisé pour ajouter WINPE dans un menu de boot. C’est le remplaçant du boot.ini.

j

j

j j j

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Personnaliser un Win PE non préparé
Pour être utile au déploiement et aussi aux tâches d’administration des postes de travail, vous allez créer votre propre média bootable Win PE (clé USB, CD, etc.) qui réunira les éléments les plus utiles pour mener à bien votre travail. Tout le travail va s’effectuer à partir d’un ordinateur Windows Vista sur lequel le WAIK est installé. Pour préparer et personnaliser Win PE, soit l’image winpe.wim, c’est-à-dire le Win PE non préparé, il faut appliquer son contenu dans un répertoire afin d’utiliser ses fichiers et son arborescence. Vous avez plusieurs possibilités : la première serait d’utiliser la commande ImageX /mountrw, la seconde d’employer la commande ImageX /apply. C’est la commande que nous utiliserons. Voici la syntaxe ImageX avec le commutateur /apply (ce commutateur permet d’appliquer des images) avec le nom de l’image WIM suivi du numéro d’indexation de l’image dans le fichier WIM, pour terminer le chemin complet du répertoire de destination.

241

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

On obtient la syntaxe suivante : ImageX /apply winpe.wim 1 c:\extractPE.

Ajouter des packages
Une fois l’image ouverte et tous les fichiers Win PE accessibles, vous avez la possibilité d’ajouter des packages qui offrent de la valeur ajoutée à l’utilisation de Win PE. L’ajout de packages est une fonction très pratique de Win PE puisque ce dernier peut également exécuter des fichiers batch, des scripts VBScript, des scripts WSH si le composant optionnel WSH est installé, des applications HTA (HTML Applications) et des objets ADO. Dans la mesure où Win PE offre un espace temporaire s’appuyant sur la mémoire vive, Win PE peut exécuter des applications qui nécessitent la possibilité d’écrire des fichiers temporaires sur le disque dur, même si aucun disque dur n’est disponible. Pour réaliser l’installation de packages, il faut disposer d’une version de Win PE non préparée, par exemple winpe.wim. Vous devez lister les packages contenus dans cette image. Pour cela, vous disposez de la commande peimg /list et avez la possibilité de détailler le contenu des packages avec le commutateur /verbose. Une fois cette tâche effectuée, vous pouvez ajouter des packages à l’aide de la commande peimg /install. Vous pouvez également installer des pilotes avec la commande peimg /inf, à condition de posséder le fichier INF de celui-ci. Une fois les ajouts terminés, il vous restera encore deux étapes à suivre pour utiliser votre image. La première consiste à préparer l’image avec la commande peimg /prep /f et la seconde, un peu plus complexe, ImageX / boot /compress maximum /capture, permettra de capturer l’image. 6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 Voici la procédure dans le détail.

Lister les packages contenus dans Win PE
Les images contiennent un ensemble de packages activés ou non. L’outil peimg permet de voir les packages de l’image. La commande offre la possibilité de détailler ou non le contenu des packages en utilisant le commutateur /verbose derrière le commutateur /list. Pour lister les packages, saisissez la commande suivante : peimg c:\extractPE\Windows /list /verbose. Du résultat de cette commande, il est important de retenir deux informations parmi les informations listées : le nom exact du package, par exemple WinPE-Scripting-Package, vous servira pour la syntaxe d’installation ; les signes + et − vous permettront de déterminer les packages installés. Le signe + indique un package installé, le signe − un package non installé.

Ajouter un package
Une fois les packages listés, il vous faut installer les packages non installés. Si vous souhaitez utiliser des applications HTML, il vous faudra ajouter le package HTA (HTML Applications). Pour cela, utilisez la commande peimg avec le commutateur 242

Windows PE 2.0

/install suivi du signe = et du nom exact du package listé précédemment. Pour installer le package HTA, saisissez la commande suivante : C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\Windows ✂ /install=WinPE-HTA-Package Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Lang | Version | Ins | Name ------+-------------+-----+----------------------------------en-US |6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------|6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------Installed 2 packages. PEIMG completed the operation successfully.

Faites de même pour les autres packages.

Ajouter des pilotes
Win PE offre également une certaine flexibilité. En effet, si Windows Vista inclut les pilotes pour votre matériel informatique, le matériel fonctionnera probablement aussi avec Win PE car ce dernier inclut la plupart des pilotes Windows Vista. Vous pouvez également ajouter de nouveaux pilotes. Pour réaliser cette tâche, vous devez disposer du pilote et de son fichier .inf. Pour installer vos pilotes, utilisez la commande peimg /inf :
C:\Program Files\Windows AIK\Tools\x86>peimg /inf:c:\drivers\lan\yukon.inf ✂ c:\extractpe\windows Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Installing INF package: c:\drivers\lan\yukon.inf PEIMG completed the operation successfully. C:\Program Files\Windows AIK\Tools\x86>

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 243

Win PE dans les environnements d’entreprise Vous pouvez ajouter chaque pilote requis par n’importe quel ordinateur de votre organisation à une image Windows PE unique, de sorte que l’image fonctionne avec n’importe lequel de vos ordinateurs.

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Préparer l’image
Il existe deux modes d’images Win PE : un mode non préparé, qui permet l’ajout de packages et pilotes et un mode préparé permettant d’optimiser votre version de Win PE une fois celle-ci personnalisée. Le passage d’un mode à l’autre ne se fait pas automatiquement, il faut utiliser la commande peimg /prep :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\windows /PREP Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. [==========================100.0%==========================] PEIMG completed the operation successfully. C:\Program Files\Windows AIK\Tools\x86>

Créer un CD Win PE personnalisé
Vous allez maintenant créer votre CD Win PE 2.0 qui vous suivra dans vos déplacements d’administrateur : 1. Remplacez le fichier Boot.wim par défaut dans le répertoire C:\extractPE\ISO\Sources de création de l’image Win PE par votre nouvelle image préparée. L’image doit être ensuite renommée en Boot.wim. 2. Vous disposez maintenant d’une image de disque virtuel de Windows PE personnalisée que vous pouvez placer sur un support de démarrage comme un CD. Sur votre ordinateur de préinstallation, à l’Invite de commandes, créez un fichier .iso au moyen de la commande Oscdimg. Tapez : oscdimg −n −bc:\extractPE \boot\etfsboot.com c:\extractPE\ c:\winpeISO\winpeISO.iso. 3. Gravez l’image WinpeISO.iso sur un CD.

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Créer une clé USB Win PE personnalisée
Plus moderne : au lieu de graver l’image sur CD, vous pouvez la copier sur une clé USB et en faire une clé USB de dépannage fort utile et bootable (à condition que le BIOS de l’ordinateur sur lequel vous utilisez la clé permette le démarrage sur clé USB). Pour cela : 1. Remplacez le fichier Boot.wim par défaut dans le répertoire de création de l’image Win PE par votre nouvelle image préparée. L’image doit être ensuite renommée en Boot.wim. 2. Insérez votre clé USB. Si ce n’est déjà fait, formatez-la en FAT32 et déclarez la partition comme active. 3. Copiez le contenu du répertoire C:\extractPE\ISO sur la clé USB.

244

Windows PE 2.0

Configuration de la clé USB La clé USB doit être formatée en FAT32 et surtout la partition de cette clé doit être marquée comme active. Sans quoi, le démarrage ne s’effectuera pas.

Repackager l’image
Une fois votre Win PE préparé, il ne reste plus qu’à remettre l’image au format WIM et à la rendre bootable. Pour réaliser cette tâche, utilisez la commande ImageX avec les connecteurs / boot si vous souhaitez rendre l’image bootable, /compress maximum pour optimiser l’image, suivi du connecteur /capture pour capturer l’image.
C:\Program Files\Windows AIK\Tools\x86>ImageX /boot /compress maximum /capture "c:\extractPE" "c:\lab-winPE\WINPE LAB.wim" W inpeLab" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Progress: 100% Successfully imaged c:\extractPE

Win PE doit être le plus petit possible, afin de pouvoir être stocké sur un support amovible tel qu’un CD ou une clé USB, être démarré rapidement et être stocké intégralement dans la mémoire de l’ordinateur. La taille de Windows PE varie en fonction de la façon dont vous personnalisez l’image, mais il consomme généralement moins de 100 Mo lorsqu’il est compressé au format WIM. Les versions 64 bits de Win PE sont plus volumineuses, et la personnalisation de l’image Win PE avec des packs de langues ou des applications fait augmenter la taille. Pour réduire l’utilisation de la mémoire, Win PE peut s’exécuter à partir d’une image compressée. Vous pouvez compresser Win PE dans un fichier WIM et l’exécuter à partir de la mémoire sans le décompresser. Vous tirez parti de la compression à la fois lors du stockage de l’image sur un disque et après son chargement dans la mémoire de l’ordinateur. Pour réduire le stockage sur disque, le format WIM stocke une seule instance des fichiers dupliqués. Par conséquent, si vous disposez d’un fichier WIM avec deux images Win PE, les fichiers partagés par les deux images sont stockés une seule fois. Voici l’interface Windows PE que vous avez à l’écran lorsque vous démarrez sur votre média personnalisé :

245

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Chapitre 6

Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

6. Le déploiement des ordinateurs Windows Vista en entreprise – phase 1

Figure 6.22 : Interface Windows PE

Windows PE contribue à rendre votre infrastructure informatique efficace et fiable. Microsoft vous offre cet outil léger, puissant et flexible pour l’installation, la configuration et le dépannage. Vous allez pouvoir créer vos propres médias personnalisés et même utiliser Windows PE pour d’autres outils d’administration de Windows Vista. En ce qui concerne le déploiement, Windows PE est la brique de base de l’installation car c’est la plateforme qui va vous permettre de manipuler l’image wim : la capturer ou l’appliquer.

6.8.

En résumé

Vous venez d’étudier les outils très importants de préparation au déploiement. Le chapitre suivant est la deuxième partie du déploiement de Windows Vista ; vous allez y aborder la manière d’effectuer ce déploiement.

246

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
7.1 7.2 7.3 7.4 7.5 Capturer une image avec ImageX . Appliquer une image avec ImageX Personnaliser l’image . . . . . . . . La maintenance de l’image . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 . 265 . 267 . 283 . 299

Capturer une image avec ImageX

A
7.1.

u chapitre précédent, vous avez appris la technologie autour du déploiement des ordinateurs Windows Vista en entreprise et vous avez préparé le déploiement (utilisation de Sysprep et de Win PE). Maintenant, créez, appliquez, personnalisez et maintenez les images Windows Vista pour un déploiement efficace.

Capturer une image avec ImageX

C’est une des nouveautés majeures de Windows Vista : l’apparition d’un format d’image disque pour l’installation et le déploiement. Le format WIM va changer nos habitudes en ce qui concerne l’installation et le déploiement. C’est la commande ImageX qui permet de manipuler les fichiers WIM (les capturer, les appliquer, les maintenir, etc.). Une fois que vous avez créé votre installation de référence sur un ordinateur de test, exécuté la commande Sysprep, redémarré votre ordinateur sous Windows PE 2.0, vous êtes fin prêt pour capturer l’image qui vous servira de référence dans votre processus de déploiement.

Présentation d’ImageX
ImageX est un outil de ligne de commande (à l’ancienne !) qui permet aux entreprises de capturer, de modifier et d’appliquer des images disques de fichiers pour réaliser des déploiements rapides. L’outil ImageX fonctionne avec des fichiers image système Windows WIM pour la copie vers un réseau, mais il peut utiliser d’autres technologies qui exploitent les images .wim, comme l’installation de Windows, les services de déploiement Windows et le Feature Pack de déploiement de système d’exploitation pour SMS.

Les avantages de l’outil ImageX
Les limites de l’acquisition d’images basées sur les secteurs (tel Ghost) ont conduit Microsoft à développer la technologie ImageX et le format de fichier associé : image système Windows (.wim). Vous pouvez utiliser ImageX pour créer une image, la modifier sans l’extraire ni la recréer, et la déployer dans votre environnement sans changer d’outil. La technologie ImageX intervient au niveau du fichier et offre, par conséquent, de multiples possibilités…
j

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

La possibilité de travailler sur n’importe quelle plateforme matérielle prise en charge par Windows : rien que cet argument devrait suffire à convaincre. Cela veut dire que, peu importe la plateforme matérielle utilisée par l’ordinateur de test, l’image capturée servira pour tous les ordinateurs de l’entreprise. L’application d’images non destructive : ImageX ne procède à aucun remplacement global du contenu de votre lecteur. Vous pouvez sélectionner les informations à ajouter ou à supprimer. L’image s’appliquera même sur une partition sur laquelle des données sont présentes (on pense aux cas de la réinstallation) ; lorsque vous 249

j

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

capturerez une image, vous pourrez à la fois capturer l’image d’une partition et générer le fichier WIM associé sur cette même partition.
j j

La possibilité d’inclure des images dans une seule et même image. Une taille d’image réduite en raison de l’instanciation unique : cela signifie un stockage distinct pour les données du fichier et les informations du chemin d’accès. Cette particularité permet aux fichiers présents dans plusieurs chemins d’accès ou plusieurs images d’être stockés une seule fois tout en étant partagés entre les images. La possibilité de traiter un fichier image comme un répertoire : vous pouvez ainsi ajouter, copier, coller et supprimer des fichiers en utilisant un outil de gestion de fichiers tel que l’Explorateur Windows. Vous pouvez travailler et maintenir l’image à froid (hors connexion). Plus de flexibilité et un contrôle accru sur le support déployé. L’extraction rapide d’images pour raccourcir le temps d’installation. Deux algorithmes de compression différents, Rapide et Maximum, pour diminuer davantage la taille de vos images.

j

j j j

Nombreux sont les assembleurs et les entreprises qui ont besoin de déployer et d’installer Windows en un temps record tout en intégrant les applications, paramètres et mises à jour voulues. Le raccourcissement du temps d’installation et de déploiement abaisse les coûts de production et peut diminuer le coût et les risques de planification des déploiements réalisés par les entreprises. Des études ont montré que plus la technique de déploiement d’un système d’exploitation était souple et performante et plus le taux d’adoption du système d’exploitation par les entreprises était élevé. Auparavant, les entreprises qui devaient réduire au minimum la durée de leur installation de Windows utilisaient les outils tiers d’acquisition d’images fondée sur les secteurs (les plus connus étant Symantec Ghost et Acronis True Image) pour dupliquer une installation de Windows sur un nouveau matériel informatique. Les outils d’acquisition d’images de secteurs présentent certaines limites :
j

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

L’acquisition d’images fondée sur les secteurs implique que l’ordinateur de destination utilise la même couche d’abstraction matérielle, ou couche HAL (Hardware Abstraction Layer), que l’ordinateur de test sur lequel l’image a été capturée. Dans la plupart des cas, cela signifie que les modèles d’ordinateurs doivent être les mêmes ! Ce qui vous oblige à avoir et à maintenir, par exemple, une image pour les ordinateurs HP, une pour les Dell, une pour les IBM, etc., et même une image différente pour les ordinateurs HP et une autre pour les portables HP… Elle suppose que l’ordinateur de destination démarre à partir du même contrôleur de stockage de masse que l’ordinateur de test sur lequel l’image a été capturée. Elle détruit le contenu existant sur le disque dur de l’ordinateur de destination, ce qui complique les scénarios de déploiement de Windows. L’opération est destructive.

j j

250

Capturer une image avec ImageX

j

Elle duplique scrupuleusement le disque dur, ce qui implique un déploiement de l’image uniquement sur des partitions du même type, et de taille minimale identique, que celles de l’ordinateur maître. Elle ne permet pas la modification directe des fichiers mis en image. Elle peut nécessiter l’achat d’applications et de services tiers.

j j

La puissance et la souplesse du tandem ImageX et WIM permettent de passer outre ces limitations.

Les scénarios ImageX
ImageX est un outil de ligne de commande qui permet la création, la modification et le déploiement d’images en utilisant un format d’acquisition d’images partagé entre différentes images de systèmes d’exploitation qui incluent des applications. Les scénarios suivants sont ceux qui sont naturellement mis en avant pour l’utilisation d’ImageX…
j

La création d’une image pour un déploiement rapide : le scénario le plus courant qui est exécuté par ImageX est la capture et l’application d’une image à partir d’un emplacement réseau pour réaliser un déploiement rapide. Ce scénario implique le démarrage de l’ordinateur de test dans Windows PE, la capture de l’image avec ImageX, la mise en place de cette image sur un partage réseau et l’application de cette image sur les ordinateurs de destination. C’est ce que nous développons dans les chapitres. La modification d’un fichier image : un autre scénario d’ImageX classique consiste à personnaliser une image existante en englobant les fichiers et les dossiers de mises à jour. Ce scénario passe par l’ajout, la suppression, la modification et la copie de fichiers à partir de votre image grâce au pilote WIM FS Filter (Windows Imaging File System Filter) et à un outil de gestion de fichiers comme l’Explorateur Windows.

j

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Les limites d’ImageX
ImageX présente tout de même des limites que vous devez connaître :
j

Vous pouvez utiliser ImageX uniquement pour capturer et appliquer une version complète du système d’exploitation et des applications logicielles. Vous ne pouvez pas utiliser cet outil pour capturer et appliquer des mises à niveau vers un système d’exploitation ou pour des applications. Vous pouvez utiliser uniquement des fichiers .wim pour interagir avec ImageX. Les images précédentes, créées avec des outils d’acquisition d’images tiers, sont inutilisables avec la technologie ImageX. Seul un type de compression unique peut être utilisé pour un fichier .wim. Les fichiers image ajoutés doivent utiliser le même type de compression que la capture initiale.

j

j

251

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

j

Vous pouvez monter une image uniquement à partir de Microsoft Windows XP SP2, Microsoft Windows Server 2003 SP1 ou Windows Vista. Les systèmes d’exploitation concernés par ImageX Même si l’outil ImageX ne peut pas monter d’images à partir d’ordinateurs exécutant d’autres systèmes d’exploitation, il peut néanmoins capturer et appliquer des images pour toute version de Windows Vista, Windows Server 2003, Windows XP et Windows 2000 Professionnel.

j

Il est possible de monter un fichier .wim doté d’autorisations de lecture/écriture uniquement sur un système de fichiers NTFS. La limite des 2 Go imposée par les systèmes de fichiers FAT est ainsi contournée, et la perte éventuelle de données due aux systèmes de fichiers FAT ou non NTFS est évitée. Utilisation d’ImageX selon le format de fichier Même si l’outil ImageX ne peut monter un fichier .wim avec des autorisations de lecture/écriture qu’à partir d’un système de fichiers NTFS, vous pouvez malgré tout monter vos images en lecture seule à partir des systèmes de fichiers NTFS, FAT, ISO et UDF. Il est impossible d’enregistrer les modifications apportées au fichier image lorsqu’il est monté en lecture seule.

j

ImageX et le format d’image .wim ne doivent pas être utilisés en conjonction pour se substituer aux outils de sauvegarde/restauration de Windows Vista.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

D’autres outils de Windows sont indispensables, par exemple Diskpart ou l’outil de formatage, pour préparer les disques afin de constituer des images de volumes. Outils qu’il vaut mieux intégrer directement dans une version personnalisée de Windows PE.

L’architecture d’ImageX
ImageX est un outil d’acquisition d’images construit à partir d’un ensemble d’API, appelé API d’acquisition d’images système pour Windows. La principale utilité d’ImageX est de capturer, de modifier et d’appliquer des images en vue de leur déploiement dans un environnement informatique d’entreprise ou de fabrication. ImageX prend en charge le nouveau format d’acquisition d’images de Windows Vista : le format .wim. ImageX repose sur différents composants, notamment sur l’exécutable ImageX (ImageX.exe), sur le filtre du système de fichiers WIM (Wimfltr.sys et Wimfltr.inf), sur l’ensemble d’API WIM et sur le format de fichier .wim.

252

Capturer une image avec ImageX

Voici un schéma représentant les interactions :

Figure 7.1 : Schématisation de l’architecture ImageX

Le tableau suivant décrit plus précisément l’architecture d’ImageX :
Tableau 7.1 : Description de l’architecture d’ImageX
Composant ImageX.exe Description Programme exécutable qui utilise une couche API pour prendre en charge l’interaction avec le fichier .wim. Cette interaction comprend la capture de l’image, la compression de l’image, le montage et le démontage de l’image, l’application de l’image, etc. Après installation du pilote du filtre WIM FS, le filtre du système de fichiers WIM gère les fonctions de navigation et de modification pour le fichier .wim. Une fois que vous avez monté un fichier .wim dans un répertoire, le filtre surveille toutes les demandes de fichiers ou de données provenant du système de fichiers et mappe les demandes aux données appropriées dans le fichier .wim. Cela vous permet de visualiser le contenu de votre fichier image dans n’importe quel outil de gestion de fichiers standard, tel que l’Explorateur Windows. La maintenance hors connexion de votre image vous permet de visualiser et de modifier vos fichiers .wim sans avoir à réappliquer et à recapturer l’image. Pour monter et modifier le contenu de votre fichier .wim, un outil en mode utilisateur et un filtre de système de fichiers en mode noyau interagissent à l’aide d’un protocole de communication et de l’ensemble d’API WIM.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Filtre du système de fichiers WIM

253

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Composant Ensemble d’API WIM

Description Couche API qui interagit à la fois avec le programme exécutable ImageX et avec le pilote du filtre WIM FS. C’est aussi l’interface principale pour les outils tiers et la technologie d’installation. Les API peuvent être classées selon les fonctions suivantes : - ajouter, mettre à jour et supprimer des données de fichier ; - ajouter, mettre à jour et supprimer des données d’image ; - extraire des données d’image ; - monter une image à l’aide du filtre du système de fichiers WIM ; - gérer le fractionnement d’images ; - surveiller le statut et la progression de la messagerie. Une collection de fichiers image qui contient un système d’exploitation et ses composants. ImageX utilise le format de fichier .wim pour la capture, la maintenance hors connexion et le processus de déploiement. ImageX offre ainsi une solution d’acquisition d’images complète pour vos scénarios de déploiement.

Fichier d’acquisition d’images de Windows (.wim)

La commande ImageX
ImageX est un outil de ligne de commande de Windows Vista que vous pouvez utiliser pour créer et gérer des fichiers d’image Windows. Un fichier .wim contient une ou plusieurs images de volumes, des volumes de disques contenant des images d’un système d’exploitation Windows installé. Pour modifier vos images de volumes, vous devez installer le pilote de filtre système de fichier d’image Windows (filtre WIM FS) sur un ordinateur exécutant Windows XP SP2, Windows Server 2003 SP1 ou Windows Vista. L’installation du pilote de filtre WIM FS vous permet de monter un fichier .wim comme s’il s’agissait d’un répertoire et de rechercher, copier, coller et éditer les images de volumes depuis un outil de gestion de fichiers comme l’Explorateur Windows, sans extraire ou sans recréer l’image. La commande ImageX comprend un certain nombre de commutateurs qui ont leur propre rôle dans les différentes phases de manipulation d’une image WIM.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

IMAGEX
Permet de manipuler les images WIM à l’aide de nombreux commutateurs.

Syntaxe :

imagex [indicateurs] {/append | /apply | /capture | /delete | /dir | /export | /info | /split | /mount | /mountrw | /unmount} [paramètres] Ajoute une image de volume à un fichier image Windows .wim existant.

/append

254

Capturer une image avec ImageX

/apply /capture /delete /dir /export /info /mount /mountrw /split /unmount

Applique une image de volume à un disque spécifié. Capture une image de volume issue d’un disque dans un nouveau fichier .wim. Supprime l’image de volume spécifiée d’un fichier .wim comportant plusieurs images de volumes. Affiche une liste des fichiers et des dossiers contenus dans l’image de volume spécifiée. Exporte une copie du fichier .wim spécifié vers un autre fichier .wim. Renvoie les descriptions XML enregistrées pour le fichier .wim spécifié. Monte un fichier .wim avec droit de lecture seule vers un répertoire spécifié. Monte un fichier .wim avec droit de lecture/écriture vers un répertoire spécifié. Divise un fichier .wim existant en plusieurs fichiers .wim divisés .swm en lecture seule. Démonte l’image montée d’un répertoire spécifié.

Détaillons maintenant chaque commutateur un par un.

La commande Imagex /apply
7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

IMAGEX /APPLY
Applique une image de volume à un disque spécifié.

Syntaxe :
Fichier_image numéro_image nom_image

imagex /apply [fichier_image numéro_image | nom_image chemin_image] {/check | /ref | /scroll | /verify} Le nom et la situation de l’image de volume appliquée au répertoire. Le numéro qui référence le volume spécifique dans le fichier .wim. Le nom qui identifie l’image dans le fichier .wim.

255

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

chemin_image /check

Le chemin du fichier où l’image sera appliquée. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

/ref splitwim.swm Active la référence des fichiers .wim divisés (SWM). splitwim.swm est le nom et la situation des fichiers divisés supplémentaires. Les caractères génériques sont acceptés. /scroll /verify Déroule la liste des répertoires pour rediriger le fichier résultant de l’opération. Active la vérification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.

Vous devez créer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez l’option /apply pour une structure de répertoire, cette option inclura le répertoire spécifié, y compris tous les sous-répertoires et tous les fichiers. Vous devez inclure le répertoire parent pour l’option /apply. Sinon, lorsque l’image sera appliquée, elle remplacera tout ce qui se trouve à cet endroit. Par exemple, si vous appliquez l’image au disque C, l’option /apply remplacera tout ce qui se trouve sur le disque C par vos fichiers image. Pour automatiser la création d’un répertoire, vous devez ajouter la commande mkdir
nom_répertoire à votre script avant d’exécuter imagex /apply.

Par exemple : imagex /apply e:\images\puzzmaniainstall.wim 1 c: /verify. La numérotation de l’image est importante dans l’application d’une image. 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.2 : imagex /apply

256

Capturer une image avec ImageX

La commande Imagex /capture

IMAGEX /CAPTURE
Capture une image de volume issue d’un disque dans un nouveau fichier .wim. Les répertoires capturés comprennent tous les sous-dossiers et toutes les données. Vous ne pouvez capturer un répertoire vide. Un répertoire doit contenir au moins un fichier.

Syntaxe :

imagex /capture chemin_image fichier_image "nom" {"description"} {/boot | /check | /compress [type] | /config | /flags "IDÉdition" | /scroll | /verify} Le nom et la situation de l’image du volume pour la capture. Le nom et la situation du nouveau fichier .wim. Le nom du nouveau fichier .wim. Cette valeur est obligatoire. Les guillemets dactylographiques sont obligatoires. Texte constituant des informations de référence supplémentaires. Cette valeur est facultative. Les guillemets dactylographiques sont obligatoires. Marque une image de volume comme démarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut être marquée comme démarrable dans un fichier .wim. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées. 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

chemin_image fichier_image "nom" "description"

/boot

/check

/compress [maximum | rapide | aucune] Spécifie le type de compression utilisée pour l’opération de capture initiale. L’option maximum propose la meilleure compression mais le temps de capture de l’image est le plus long. L’option rapide propose une compression d’image plus rapide mais les fichiers résultants ont une taille plus importante que ceux compressés avec l’option maximum. C’est également le type de compression par défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne compresse pas du tout l’image capturée. /config fichier _configuration.ini Le nom et la situation du fichier de configuration. Vous pouvez renommer ce fichier comme vous le souhaitez.

257

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

/flags "IDÉdition" Spécifie la version de Windows à capturer. La valeur de /flags est obligatoire si vous redéployez un fichier Install.wim personnalisé avec le programme d’installation de Windows. Les guillemets dactylographiques sont obligatoires. Cet indicateur n’est pas nécessaire si vous déployez l’image à l’aide d’ImageX. Les valeurs valides de l’attribut IDÉdition sont les suivantes : HomeBasic, HomePremium, Starter, Ultimate, Business, Enterprise, ServerDatacenter, ServerEnterprise, ServerStandard. /scroll /verify Déroule la liste des répertoires pour rediriger le fichier résultant de l’opération. Active la vérification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.

ImageX ne prend pas en charge les attributs étendus. ImageX ignore les attributs étendus au cours d’une opération de capture. Pendant l’opération de capture, la compression rapide est automatiquement appliquée. Si vous désirez un type de compression différent, utilisez l’option /compress. Alors que le type de compression que vous choisissez affecte le temps de capture, il n’affecte que légèrement le temps d’application. Si vous renommez votre fichier Liste_configuration.ini en Wimscript.ini et si vous l’enregistrez dans votre répertoire ImageX (où est situé le fichier ImageX.exe), il sera exécuté automatiquement lorsque vous exécutez l’option /capture, sans vous demander d’utiliser l’option /config. L’option /verify affectera le temps de capture global. Pendant l’opération de capture, la barre de progression indique seulement l’état de l’opération de capture et non celui de la vérification. Lorsque la capture est terminée, le processus de vérification commence. Ce processus prend du temps même si la barre de progression affiche 100 %. L’option de compression à maximum compresse à environ 40 % la taille de l’image, ce qui est dans le standard élevé des outils tiers actuels du marché. Par exemple : imagex /capture c: c:\images\puzzmaniainstall.wim /verify.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 258

Capturer une image avec ImageX

Figure 7.3 : imagex /capture

La commande ImageX /info
7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

IMAGEX /INFO
Renvoie les descriptions XML enregistrées pour le fichier .wim spécifié, incluant mais sans limitation à la taille totale du fichier, le numéro d’indice d’image, le nombre de répertoires, le nombre de fichiers et une description.

Syntaxe :
fichier_image numéro_image nom_image nouveau_nom

imagex /info fichier_img [numéro_img | nom_img] [nouveau_nom] [nouvelle_desc] {/boot | /check} Le nom et la situation du fichier .wim pour révision des données XML. Le numéro qui identifie une image dans le fichier .wim. Le nom qui identifie une image dans le fichier .wim. Le nouveau nom unique de l’image spécifiée.

259

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

nouvelle_desc /boot

La nouvelle description de l’image spécifiée. Marque une image de volume comme démarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut être marquée comme démarrable dans un fichier .wim. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

/check

Par exemple : imagex /info c:\images\puzzmaniainstall.wim. Cette commande est très utile pour connaître le contenu d’une image et savoir par exemple si l’image contient d’autres images WIM.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.4 : imagex /info

La commande ImageX /mountrw

IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le répertoire.

260

Capturer une image avec ImageX

Syntaxe :
fichier_image numéro_image nom_image chemin_image /check

imagex /mountrw [fichier_image numéro_image | nom_image chemin_image] {/check} Le chemin du fichier .wim contenant l’image spécifiée. Le numéro qui référence le volume spécifique dans le fichier .wim. Le nom qui référence l’image dans le fichier .wim. Le chemin du fichier où l’image spécifiée sera montée. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

Vous devez installer le filtre WIM FS avant de pouvoir monter une image. L’option /mountrw exige un accès exclusif au fichier .wim. Par conséquent, vous ne pouvez pas utiliser l’option /mountrw si une image est déjà montée à l’aide de l’option /mount ou de l’option /mountrw. Vous ne devez pas monter une image vers le répertoire parent ou les sous-répertoires d’un répertoire déjà monté. Lors du montage d’une image vers un répertoire contenant des fichiers, les fichiers existants seront cachés jusqu’à ce vous exécutiez l’option /unmount. De plus, vous ne devez pas monter votre image dans les dossiers réservés à Windows. Par exemple : imagex /mountrw c:\images\puzzmaniainstall.wim 1 c:\mount.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.5 : imagex /mountrw

261

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

La commande ImageX /split

IMAGEX /SPLIT
Divise un fichier .wim existant en plusieurs fichiers .wim, divisés en .swm en lecture seule.

Syntaxe :
fichier_image dest_fichier Taille /check

imagex /split fichier_image dest_fichiers taille {/check} Le nom et la situation du fichier .wim à diviser. Le chemin des fichiers divisés. La taille maximale en mégaoctets (Mo) de chaque fichier créé. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

Cette commande crée des fichiers .swm dans le répertoire spécifié, nommant chaque fichier par le nom spécifié dans fichier_image, mais en ajoutant un numéro et avec l’extension .swm. Par exemple, si vous choisissez de diviser un fichier nommé Data.wim, cette option créera les fichiers Data.swm, Data2.swm, Data3.swm, etc., définissant chaque portion du fichier .wim divisé. Par exemple : imagex /split c:\images\newvista.wim 600.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.6 : imagex /split

262

Capturer une image avec ImageX

La commande Imagex /unmount

IMAGEX /UNMOUNT
Démonte l’image montée d’un répertoire spécifié.

Syntaxe :
chemin_image

imagex /unmount chemin_image {/commit} Le chemin complet du répertoire pour démonter les fichiers. Si vous ne spécifiez pas de répertoire, cette option dressera la liste de toutes les images montées.

Vérifiez que vous disposez d’un espace disque suffisant pour ajouter les fichiers de votre image. Vous devez compter la taille des fichiers que vous ajoutez au fichier .wim, plus toute augmentation de taille due à la modification des fichiers existants, moins les fichiers que vous avez supprimés, avant d’exécuter l’option /commit. Si l’espace disque est insuffisant, une erreur se produira. Si vous utilisez l’option /unmount sans l’option /commit, vos modifications seront rejetées. Afin de pouvoir enregistrer vos modifications, vous devez monter l’image en utilisant l’option /mountrw et utiliser l’option /commit lors du démontage de l’image ; par exemple : imagex /unmount /commit c:\mount.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.7 : imagex /unmount

Capturer une image
Reprenons le scénario de création d’image du chapitre précédent : 1. À partir d’un ordinateur de test, vous avez créé une image de référence contenant Windows Vista, des configurations particulières et des applications installées. 263

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

2. Vous vous êtes assuré que le comportement du poste de travail était tout à fait stable. 3. Vous avez exécuté la commande Sysprep afin de préparer le système à la duplication. 4. Vous redémarrez l’ordinateur sur votre média personnalisé Windows PE 2.0 sur lequel vous avez rajouté la commande ImageX. 5. Vous allez maintenant utiliser la commande ImageX /capture afin de créer l’image de référence. 6. Dans la fenêtre d’Invite de commande Windows PE, tapez : imagex /compress maximum /capture c: c:\images\puzzmaniainstall.wim /verify. L’image de référence se crée. L’option de compression à maximum compresse à environ 40 % la taille de l’image, ce qui est dans le standard haut des outils tiers actuels du marché. Remarquez que vous capturez la partition C: mais que vous êtes en train de créer cette image sur cette même partition. C’est possible car ImageX est non destructif. C’est un des nombreux avantages de l’outil. Tout de même, ImageX /capture est destiné à capturer une image à des fins de déploiement et non de sauvegarde de l’ordinateur. Une fois l’image créée, vous pouvez redémarrer l’ordinateur en mode normal. Dans l’utilisation des images WIM, la capture est d’autant plus cruciale qu’il faut bien que vous gardiez à l’esprit que le but du jeu est de créer une et une seule image : un seul fichier qui puisse servir au déploiement de Windows Vista sur tous les ordinateurs de l’entreprise. Voici quelques conseils de création d’image : 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
j j j

Ayez toujours à l’esprit que vous créer une image pour qu’elle soit unique pour toute l’entreprise. Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver à une image unique.

Configurez soigneusement et scrupuleusement l’ordinateur de test, c’est-à-dire la version de Windows Vista installée, les paramètres, les applications, le style, la sécurité, les comptes utilisateurs, les accès, etc. Récupérez et conservez sur le réseau ou sur un support amovible l’image ainsi créée. Sauvegardez cette image.

j

264

Appliquer une image avec ImageX

7.2.

Appliquer une image avec ImageX

Après avoir capturé votre image de référence, il sera temps pour vous de l’intégrer dans votre processus de déploiement de postes de travail Windows Vista. Par la suite, Vous pourrez utiliser WDS comme outil de déploiement, par exemple. Mais vous serez peut-être amené à déployer uniquement avec les outils livrés avec Windows Vista. Pour cela vous allez utiliser le tandem Windows PE 2.0 et ImageX pour appliquer une image WIM à un ordinateur. Vous le ferez peut-être en conjonction d’un fichier Autounattend.xml par exemple. Dans ce chapitre, vous allez découvrir le déroulement de l’application manuelle d’une image WIM sur un ordinateur à l’aide de Windows PE et ImageX et vous comprendrez mieux le mécanisme d’installation par image. Ce chapitre vous détaille un scénario d’utilisation de bout en bout de la commande ImageX.

La commande Imagex /apply
Reprenons notre scénario de création d’image : 1. À partir d’un ordinateur de test, vous avez créé une image de référence contenant Windows Vista, des configurations particulières et des applications installées. 2. Vous vous êtes assuré que le comportement du poste de travail était tout à fait stable. 3. Vous avez exécuté la commande Sysprep afin de préparer le système à la duplication. 4. Vous redémarrez l’ordinateur sur votre média personnalisé Windows PE 2.0 sur lequel vous avez rajouté la commande ImageX. 5. Vous avez maintenant utilisé la commande ImageX /capture afin de créer l’image de référence que vous avez sauvegardée. Maintenant partons du scénario suivant : vous devez déployer une image sur un poste de travail. 1. Vous démarrez cet ordinateur à partir de votre média personnalisé Windows PE 2.0 sur lequel vous avez rajouté la commande ImageX. 2. Assurez-vous que la configuration du disque dur de l’ordinateur est correcte. Utilisez Diskpart.exe le cas échéant pour créer la partition d’installation, la formater en NTFS, lui affecter une lettre de lecteur (la même que celle qui a été capturée avec l’image, soit par défaut C:) et l’activer. Voici un exemple des commandes à passer à partir de Diskpart.exe :

265

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

diskpart select disk 0 create partition primary size=<taille souhaitée> select partition 0 active format fs=ntfs label="Système" quick assign letter=c exit

3. Assurez-vous que vous accédez correctement à votre image (qui se trouve soit sur un média amovible, soit sur le réseau). 4. Vous allez maintenant utiliser la commande ImageX /apply pour appliquer l’image sur la station de travail. Vous devez créer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez l’option /apply pour une structure de répertoire, cette option inclura le répertoire spécifié, y compris tous les sous-répertoires et tous les fichiers. 5. Dans la fenêtre d’Invite de commandes Windows PE, tapez la ligne suivante : imagex /apply e:\puzzmaniainstall.wim 1 c: /verify. Le processus est lancé. Votre image s’installe. Comptez une durée d’application de 11 ou 12 minutes avec une image standard de Windows Vista. Ce qui est intéressant, c’est de constater qu’une image personnalisée, incluant par exemple le pack Office 2007, ne prend qu’une minute de plus pour être appliquée. 6. Une fois le processus terminé, redémarrez l’ordinateur. Vous entrez alors en mode d’accueil de premier démarrage de Windows Vista (finalisation de l’installation), qui peut être contrôlé et automatisé par l’ajout des fichiers Unattend.xml et/ou Oobe.xml. 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 Voici quelques conseils pour l’application d’image :
j j j j

Essayez, dans la mesure du possible, d’appliquer la même image Windows sur tous les postes pour garder une cohérence et une efficacité de déploiement Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver au but recherché.

Configurez correctement le disque dur de l’ordinateur de destination à l’aide de Diskpart.exe si vous utilisez Windows PE ou à l’aide d’un fichier Autounattend.xml. Avant de vous lancer, testez soigneusement et scrupuleusement l’application de l’image sur un ordinateur de test et validez l’usage de l’image (la version de Windows Vista installée, les paramètres, les applications, le look, la sécurité, les comptes utilisateurs, les accès, etc.).

266

Personnaliser l’image

7.3.

Personnaliser l’image

Vous avez la possibilité de personnaliser l’image que vous avez capturée afin de lui donner une identité d’entreprise plus marquée. Vous avez la possibilité de personnaliser les écrans d’accueil de premier démarrage de Windows Vista, l’Accueil Windows et l’abonnement auprès d’un fournisseur de services Internet en les configurant aux couleurs de votre entreprise. De ce fait, Windows Vista vous permet, en tant que membre d’un service informatique, d’apporter une proximité supplémentaire entre l’utilisateur et son service informatique.

Le fichier Oobe.xml
Oobe.xml (prononcez "oubi") est un fichier qui sert à collecter du texte et des images pour personnaliser les écrans d’accueil de premier démarrage de Windows Vista, l’Accueil Windows et l’abonnement auprès d’un fournisseur de services Internet. Pour créer une image système de Windows unique comprenant plusieurs langues et destinée à être livrée dans plusieurs pays, vous pouvez ajouter différents fichiers Oobe.xml afin de personnaliser le contenu en fonction des sélections de langue et de pays ou de région du client. Oobe.xml est un fichier de contenu qui peut être utilisé en liaison avec Unattend.xml pour recevoir et déployer des personnalisations d’entreprises pour les écrans d’accueil de premier démarrage de Windows (utile pour les constructeurs et assembleurs), pour l’Accueil Windows et pour l’abonnement auprès d’un fournisseur de services Internet. Le fichier Oobe.xml offre les avantages suivants :
j

un seul fichier pour recevoir les documentations et les ressources d’accompagnement de personnalisation pour les écrans d’accueil de personnalisation de Windows Vista ; un espace de stockage pour les fichiers et les informations concernant les valeurs par défaut des paramètres internationaux ; un espace de stockage pour des offres spécifiques à une langue à l’intention des utilisateurs ; un espace de stockage pour les choix d’arrière-plan de Bureau des utilisateurs ; un espace de stockage pour les termes du contrat de licence logiciel Microsoft et vos termes du contrat de licence avec les utilisateurs.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

j j j j

Le fichier Oobe.xml est généralement utilisé dans les scénarios suivants :
j

En liaison avec Unattend.xml, il permet de définir des valeurs par défaut d’entreprise pour les écrans d’accueil de premier démarrage de Windows, pour l’Accueil Windows et pour l’abonnement auprès d’un fournisseur de services Internet.

267

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

j

Sans Unattend.xml, il permet de définir des valeurs par défaut d’entreprise pour les écrans d’accueil de Windows, pour l’Accueil Windows et pour l’abonnement auprès d’un fournisseur de services Internet.

Bien que le fichier Oobe.xml puisse contenir toutes les informations dont vous avez besoin pour personnaliser les écrans d’accueil de Windows, vous pouvez utiliser les paramètres Unattend.xml pour définir si et comment l’utilisateur final pourra choisir les options régionales. De plus, vous pouvez utiliser les paramètres Unattend.xml pour montrer ou masquer différentes pages à des fins de test. Voici les composants avec les paramètres Unattend.xml qui peuvent servir à manipuler des pages d’écrans d’accueil de premier démarrage de Windows :
j j j

Microsoft-Windows-Setup ; Microsoft-Windows-Shell-Setup ; Microsoft-Windows-International-Core.

Faisons une correspondance entre les pages d’écrans d’accueil de premier démarrage Windows Vista, les paramètres Unattend.xml et les résultats affichés.
Tableau 7.2 : Correspondance entre les pages d’écrans d’accueil de premier démarrage

Windows Vista, les paramètres Unattend.xml et les résultats affichés
Pages des écrans d’accueil de premier démarrage de Windows Paramètres régionaux Paramètres Unattend.xml Résultats

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Microsoft−Windows−International −Core | UILanguage Microsoft−Windows−International −Core | InputLocale Microsoft−Windows−International −Core | SystemLocale Microsoft−Windows−International −Core | UILanguageFallback Microsoft−Windows−International −Core | UserLocale

Si ces quatre paramètres sont définis, cette page est ignorée. Si des paramètres individuels sont définis, les champs n’apparaissent pas sur cette page.

Termes du contrat de licence

Microsoft−Windows−Shell−Setup Si ce paramètre est défini, la page sera | OOBE | HideEULAPage ignorée. Il est supposé que l’administrateur d’entreprise accepte les termes du contrat de licence logiciel Microsoft pour les utilisateurs. Microsoft−Windows−Setup | UserData | ProductKey | Key Microsoft−Windows−Setup | UserData | ProductKey | WillShowUI Si Windows détecte une installation de version commerciale dans laquelle l’utilisateur a déjà entré une clé, une installation de licence multiple ou une clé de produit valide dans Unattend.xml, cette page ne sera pas affichée.

Clé de produit

268

Personnaliser l’image

Pages des écrans d’accueil de premier démarrage de Windows Nom d’utilisateur

Paramètres Unattend.xml

Résultats

Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | Description Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | DisplayName Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | Group Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | Name Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | Password | PlainText Microsoft−Windows−Shell−Setup | UserAccounts | LocalAccounts | LocalAccount | Password | Value

Si un compte d’utilisateur a été créé avec ce paramètre, cette page ne sera pas affichée. Si cette page n’est pas affichée, une fenêtre de l’utilisateur sera automatiquement sélectionnée pour l’utilisateur. Il n’y a pas de paramètre Unattend.xml pour définir une fenêtre de l’utilisateur.

Nom d’ordinateur

Microsoft−Windows−Shell−Setup Si le paramètre ComputerName a été | ComputerName défini, cette page ne sera pas affichée. Cette page contrôle aussi le choix du papier peint initial. Si cette page n’est pas affichée, le premier papier peint du bureau Windows sera sélectionné par défaut. Ce paramètre peut être défini en spécifiant un thème dans Unattend.xml, mais ce paramètre ne détermine pas si cette page est affichée ou non. Microsoft−Windows−Shell−Setup Si ce paramètre a été défini, la page ne sera | OOBE | ProtectYourPC pas affichée et la valeur appropriée sera définie. Les valeurs possibles sont : - 1 (recommandées) ; - 2 (seulement les mises à jour d’installation) ; - 3 (n’active aucune protection). Non applicable Si toutes les pages des autres écrans d’accueil de Windows sont ignorées, cette page ne sera pas affichée.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Protégez votre PC

Page finale

Lorsqu’il est utilisé exclusivement pour la personnalisation, les paramètres internationaux et les offres, Oobe.xml affiche toutes les pages d’écrans d’accueil de Windows, la page unique de l’Accueil Windows et l’Assistant pour l’abonnement auprès d’un fournisseur de services Internet.

269

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Le fonctionnement d’Oobe.xml
L’accueil de premier démarrage de Windows, l’Accueil Windows et les opportunités d’abonnement au fournisseur d’accès Internet qui occupent le contenu du fichier Oobe .xml vérifieront et chargeront ce fichier aux endroits suivants et dans cet ordre : 1. %WINDIR%\system32\oobe\info\oobe.xml. 2. %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. 3. %WINDIR%\system32\oobe\info\<pays>\<langue>\oobe.xml. Lorsque l’accueil de premier démarrage Windows trouve un nouveau fichier à l’un de ces endroits, il remplace toutes les informations trouvées dans les fichiers Oobe.xml précédents nœud par nœud. L’Accueil Windows et les opportunités d’abonnement au fournisseur d’accès Internet n’effectueront pas de remplacement nœud par nœud. Au lieu de cela, les informations trouvées dans le nouveau fichier Oobe.xml remplaceront toutes les informations contenues dans les fichiers Oobe.xml précédents. Lors d’un déploiement dans une seule langue, lorsqu’il s’exécute pour la première fois, l’accueil de premier démarrage de Windows recherchera un fichier Oobe.xml à l’endroit suivant : %WINDIR%\system32\oobe\info\. Après la sélection par l’utilisateur d’un pays ou d’une région, l’accueil de premier démarrage de Windows recherchera une autre version du fichier Oobe.xml à l’endroit suivant : %WINDIR%\system32\oobe\info\<pays>. Si un dossier de pays correspondant au pays sélectionné par le client est trouvé, l’accueil de premier démarrage de Windows le charge et remplace les nœuds du fichier Oobe.xml d’origine par ceux trouvés dans le fichier spécifique au pays. Si un tel dossier est trouvé, l’accueil de premier démarrage de Windows chargera le fichier Oobe.xml de ce dossier et remplacera toutes les informations trouvées dans les fichiers Oobe.xml antérieurs nœud par nœud. L’accueil de premier démarrage de Windows cherchera aussi un fichier oobe.xml dans %WINDIR%\system32\oobe\info\default\<langue>\. En revanche, comme il n’y a qu’une seule langue disponible sur le système, il n’est pas nécessaire de créer ce dossier. Si vous expédiez avec plusieurs langues, créez plusieurs dossiers de pays pour vos pays de destination et des dossiers de langue pour les langues cibles dans les dossiers de pays, en y incluant un fichier Oobe.xml avec le contenu propre au pays et à la langue dans chaque dossier de langue, aux endroits suivants :
j j j j

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

%WINDIR%\system32\oobe\info\<pays1>\<langue1> ; %WINDIR%\system32\oobe\info\<pays1>\<langue2> ; %WINDIR%\system32\oobe\info\<pays2>\<langue1> ; %WINDIR%\system32\oobe\info\<pays2>\<langue3>.

270

Personnaliser l’image

Par exemple, <pays1> peut être le Canada, <langue1> le français, <langue2> l’anglais, etc. Créez également des dossiers de langue avec le dossier default et placez un fichier Oobe.xml localisé en conséquence dans chacun d’eux, pour s’adapter aux scénarios dans lesquels l’utilisateur final ne sélectionne pas l’un de vos pays de destination : %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. Si vous configurez l’accueil de premier démarrage de Windows afin qu’il présente un exemplaire des termes de votre contrat de licence, placez chaque fichier des termes du contrat de licence localisés de manière adéquate dans son dossier de langue correspondant : %WINDIR%\system32\oobe\info\<pays>\<langue>.

Implémenter Oobe.xml
Le fichier Oobe.xml n’est pas un fichier que vous allez créer à l’aide de Windows System Image Manager. Il va falloir le construire de toutes pièces. Pour cela, partez de l’exemple suivant qui pourra vous servir de modèle de fichier Oobe.xml :
<?xml version="1.0" encoding="utf-8" ?> <FirstExperience> <oobe> <oem> <name>Educsoft</name> <logopath>c:\educsoft\educsoft.png</logopath> <eulafilename>educsoft_eula.rtf</eulafilename> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper1.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper2.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper3.jpg</path> </wallpaper> <offerheader>Accédez aux offres spéciales Educsoft</offerheader> <offer type="list"> <title>Offer 1</title> <imagepath>c:\educsoft\offers\offer1.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut ✂ a est non mauris fringilla bibendum. Nulla aliquam facilisis est. ✂ Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer1.rtf</detailsfilename> <shellexecute>%systemroot%\system32\notepad.exe</shellexecute> </offer> <offer type="list"> <title>Offer 2</title> <imagepath>c:\educsoft\offers\offer2.bmp</imagepath>

271

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

<details>Quisque congue faucibus lacus. Lorem ipsum dolor sit amet, ✂ consectetuer adipiscing elit. Nullam vel neque eu lacus viverra ✂ tincidunt.</details> <shellexecute>%systemroot%\system32\calc.exe</shellexecute> </offer> <offer type="list"> <title>Offer 3</title> <imagepath>c:\educsoft\offers\offer3.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut ✂ a est non mauris fringilla bibendum. Nulla aliquam facilisis est. ✂ Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer3.rtf</detailsfilename> <shellexecute>%systemroot%\system32\mspaint.exe</shellexecute> </offer> </oem> <defaults> <language>1036</language> <location>54</location> <locale>1036</locale> <keyboard>0000040c</keyboard> <timezone>Paris, Madrid</timezone> </defaults> </oobe> <useroobe> <oemStrip xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <offerSource>Offres de Educsoft</offerSource> <tasks> <task id="{1D8650FD-8935-4657-A3E3-C6AD82DCFEB8}" ✂ xmlns="http://schemas.microsoft.com/windows/tasks/v1"> <name>nom tache exemple</name> <icon>%systemroot%\system32\notepad.exe</icon> <description>description exemple</description> <command>http://tempurl/fwlink.asp=?id=test</command> <sortPriority>1</sortPriority> <infotip>Souscrivez maintenant!</infotip> <previewPaneView ✂ xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <previewBackground>%systemroot%\system32\oobe\info\background_wc.png ✂ </previewBackground> <startText>bouton action tache exemple</startText> <title>titre tache exemple</title> <columnOne> <para><text>texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> </columnOne> </previewPaneView> <!-- conditions (optional) <conditions> <condition name="shell://v1#IsUserAdmin" /> <condition name="shcond://v1#DateInRange">

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 272

Personnaliser l’image

-->

<parameter name="Before" value="1/1/2006 5:00am" /> </condition> </conditions>

</task> </tasks> </oemStrip> </useroobe> </FirstExperience>

Vous n’avez qu’à le recopier dans un fichier Oobe.xml, l’adapter à votre entreprise et il fonctionnera. Pour mieux comprendre son fonctionnement et sa structure, décortiquons les grandes lignes de ce fichier.

Description de la partie accueil de premier démarrage Windows
La section <oem>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs autorisées pour la section <oem> d’Oobe.xml.
Tableau 7.3 : Description de la section <oem> du fichier oobe.xml
Paramètre name logopath Description Nom du fabricant ou de l’entreprise. Chemin absolu vers le logo de l’entreprise. Langue et situation/version spécifique du contrat de licence d’utilisateur final de l’entreprise s’il y a lieu. Chemin absolu du fichier de papier peint. Peut en contenir jusqu’à trois pour l’affichage. Description initiale de l’offre. Plus pour les assembleurs que pour les entreprises. Titre de l’offre. Chemin absolu d’un fichier .bmp. Valeur Caractères. Chemin d’accès absolu au fichier de logo, un fichier 32 bits au format .png. 240 x 100 pixels.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

nomfichiercluf

Chemin d’accès absolu d’un fichier .rtf nominatif. Chemin d’accès absolu vers au plus trois fichiers 32 bits au format .png nommés. 128 x 128 pixels. Chaîne de caractères avec au maximum 40 caractères. Caractères. Chemin d’accès absolu d’un fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers de type .png ne sont pas pris en charge.

wallpaper

offerheader

title imagepath

273

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Paramètre details detailsfilename

Description Description plus approfondie de l’offre. Fichier contenant des informations concernant l’offre. Chemin du fichier exécutable pour l’offre.

Valeur Chaîne de caractères avec au maximum 128 caractères Chemin d’accès absolu d’un fichier .rtf. Les graphiques intégrés ne peuvent pas être affichés. Chemin d’accès absolu du programme d’installation pour l’offre.

shellexecute

Références aux chemins d’accès dans Oobe.xml Les dossiers et fichiers auxquels les chemins d’accès absolus dans Oobe.xml font référence doivent être inclus dans l’image, soit hors connexion, soit lors de la création de l’image avant d’effectuer le Sysprep.

La section <defaults>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs autorisées pour la section <defaults>.
Tableau 7.4 : Description de la section <defaults> du fichier oobe.xml
Paramètre langue emplacement Description Séparateur décimal de la langue par défaut. Valeur Identificateur décimal. Pour la France, l’identificateur est 1036.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

L’emplacement est spécifié à l’aide d’une Identificateur décimal. Pour la France, valeur décimale. l’identificateur est 54. Les paramètres régionaux sont spécifiés à l’aide d’une valeur. La disposition du clavier est déterminée par le format d’identifiant des paramètres régionaux d’entrée, constitué par une combinaison de la valeur hexadécimale de l’identificateur linguistique et d’un identificateur de périphérique. Identificateur décimal. Pour la France, l’identificateur est 1036. Utilisez la valeur du paramètre keyboard figurant dans le Registre sous HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Control \Keyboard Layouts et précédez-la de la valeur du paramètre régional convertie en hexadécimal. Pour la France, cette valeur est 0x40c.

Paramètres régionaux clavier

274

Personnaliser l’image

Paramètre fuseauhoraire

Description Le fuseau horaire de l’endroit où se situe l’ordinateur est spécifié par une chaîne. Sa longueur maximale est de 256 caractères. De nouveaux fuseaux horaires peuvent apparaître dans les versions futures. Si vous souhaitez ajouter la prise en charge d’un nouveau fuseau horaire, vous devez taper la chaîne exacte correspondante. Valeur booléenne déterminant l’utilisation de la transparence.

Valeur Voir le tableau suivant.

transparence

0 ou 1. La valeur 0 indique qu’aucune transparence n’est utilisée.

Liens utiles pour le remplissage de la section <defaults> Si vous souhaitez consulter la liste complète des valeurs langue, emplacement, paramètres régionaux et clavier qu’il est possible de renseigner, ces liens vous intéresseront :
j j j

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp ; http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_locations.asp ; http://www.microsoft.com/globaldev/reference/lcid-all.mspx.

Implémenter la partie accueil au premier démarrage Windows
Voici un exemple d’un accueil de premier démarrage Windows remodelé à l’aide d’un fichier Oobe.xml de personnalisation. Voici le rendu visuel qu’a l’utilisateur final devant les yeux au moment où il démarre pour la première fois son nouvel ordinateur Windows Vista. Nous sommes dans le cas où l’image a déjà été appliquée. 1. Après avoir démarré pour la première fois son ordinateur, l’utilisateur arrive sur l’écran d’accueil de premier démarrage de Windows Vista en mode personnalisé (voir fig. 7.8). 2. Cet écran d’accueil doit retranscrire les options d’emplacement géographique et d’utilisation du clavier ainsi que le logo de constructeur (ou d’entreprise) paramétrés dans Oobe.xml. Cliquez sur Suivant. 3. La fenêtre qui suit vous montre deux contrats d’utilisation : celui de Microsoft et le vôtre (paramétré dans Oobe.xml). Vous ne pouvez passer qu’à l’étape suivante qu’en cochant l’acceptation des deux contrats et en cliquant sur Suivant (voir fig. 7.9). 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 275

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.8 : Première fenêtre d’accueil de premier démarrage de Windows

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.9 : Les Contrats d’utilisation

276

Personnaliser l’image

4. Configurez votre compte d’utilisateur et cliquez sur Suivant.

Figure 7.10 : Renseignement du compte utilisateur

5. Entrez un nom à l’ordinateur et choisissez un fond d’écran. Vous remarquez que certains fonds d’écran sont personnalisés. Cliquez sur Suivant.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.11 : Choix du nom de l’ordinateur et du fond d’écran.

277

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

6. Vérifiez les paramètres d’heure et de date (provenant de Oobe.xml) et cliquez sur Suivant.

Figure 7.12 : Vérification des paramètres de date et d’heure

7. Enfin, juste avant de terminer la personnalisation de l’installation, vous pouvez consulter les offres. Lorsque vous sélectionnez une offre, vous serez redirigé vers le lien de cette offre, une fois l’installation terminée et votre compte d’utilisateur logué.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.13 : Consultation des offres personnalisées

278

Personnaliser l’image

8. Cliquez sur Démarrer pour finaliser l’installation.

Description de la partie Accueil Windows
La section <useroobe>
Le tableau suivant indique les paramètres disponibles d’Oobe.xml pour la section <useroobe> et leurs valeurs autorisées.
Tableau 7.5 : Description de la section <useroobe> du fichier Oobe.xml
Paramètre oemStrip Description Chemin du logo à apparaître dans le volet de prévisualisation Détails de l’ordinateur de l’Accueil Windows. Ce paramètre doit contenir l’espace de noms xmlns="http://schemas.microsoft .com/windows/oobetasks/v1". Nom de l’offre. Apparaît dans la section de titre du volet précédent. Chemin absolu vers l’icône d’offre. Courte description de l’offre. Chemin du fichier exécutable. Valeur Chemin d’un fichier .png. La taille maximale est de 250 x 30 pixels.

name icône description commande sortPriority

Chaîne d’une longueur maximale de 255 caractères. Chemin d’accès absolu à un fichier .ico ou autre. Obligatoire. Chaîne d’une longueur maximale de 255 caractères Chemin absolu du fichier exécutable.

Valeur numérique déterminant l’ordre de Valeur numérique comprise entre 1 l’offre. Les nombres les plus importants et 99 inclus. La valeur par défaut est 1. ont la priorité la plus haute. Par conséquent, un élément ayant un numéro de priorité de tri élevé (comme 94) apparaîtra avant un élément un numéro plus faible (comme 7). Courte description de l’offre affichée sur Chaîne d’une longueur maximale de pointage de la souris. 255 caractères. Mots-clés utilisés à des fins de recherche. Chemin d’un fichier .png pour l’offre. Chaîne délimitée par un point-virgule (;). Chemin absolu d’un fichier .png. 128 x 128 pixels. Si cette valeur est omise, le fichier spécifié pour la valeur de <icon> correspondant à l’offre sera affiché à sa place (si le contenu du fichier .ico peut être mis à l’échelle 126 x 126).

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

infotip mots clés Prévisualisation Image

279

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Paramètre Prévisualisation d’arrière−plan Textdémarrage titre puce texte

Description Chemin d’un fichier .png pour l’arrièreplan de l’offre OEM. Courte description de la tâche de démarrage. Texte de titre de l’offre. Crée une puce en face du paragraphe de texte. Texte décrivant l’offre.

Valeur Chemin absolu d’un fichier .png. La taille maximale est de 800 x 178 pixels. Chaîne d’une longueur maximale de 64 caractères. Chaîne d’une longueur maximale de 255 caractères. Chemin absolu d’un fichier .png. Chaîne d’une longueur maximale de 255 caractères

Implémenter la partie Accueil Windows
Une fois l’installation terminée, l’utilisateur ouvre sa session et l’Accueil Windows s’ouvre automatiquement. Cette fois-ci l’Accueil Windows est personnalisé grâce au fichier Oobe.xml.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.14 : Accueil Windows personnalisé

280

Personnaliser l’image

Les entreprises peuvent se servir de l’Accueil Windows personnalisé pour proposer aux utilisateurs des liens vers l’outil helpdesk interne, vers l’intranet, vers des applications communes, la vie de l’entreprise etc. C’est un moyen mis à disposition des services informatiques pour garder un contact avec l’utilisateur afin qu’il ait sous la main les moyens de contacter facilement son service informatique. Cela augmentera la satisfaction de l’utilisateur.

Description de la partie offres d’abonnement auprès d’un fournisseur de services Internet
La section <oem>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs autorisées pour la section <oem> de Oobe.xml lorsqu’elles sont utilisées pour des offres d’abonnement auprès de fournisseurs de services Internet.
Tableau 7.6 : Description de la section <oem> en vue de l’inscription d’un fournisseur

d’accès Internet
Paramètre nom type d’offre showin informations imagepath Description Valeur Nom du fournisseur. Utilisé comme titre chaîne de l’offre Doit être un type de liste d’offres de fournisseurs de services Internet (ISP). Paramètre déterminant l’endroit où est affichée l’offre. Description plus approfondie de l’offre. Chemin absolu d’un fichier .bmp. list tous Chaîne avec au maximum 60 caractères Chemin absolu d’un fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers PNG et ICO ne sont pas pris en charge. Chemin absolu d’un fichier .rtf. Les graphiques intégrés ne peuvent pas être affichés.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

detailsfilename

Fichier contenant des informations concernant l’offre. Si cette étiquette est omise, le contenu de l’étiquette <informations> est de nouveau affiché sur la page d’informations. Chemin du fichier exécutable pour l’offre.

shellexecute

Chemin absolu du programme d’installation pour l’offre.

281

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Les conditions dans Oobe.xml
Chaque tâche peut être affichée ou cachée aux utilisateurs en configurant certains paramètres conditionnels. Les conditions sont interprétées à chaque fois que l’Accueil Windows est démarré. Si aucune condition n’est exprimée, l’Accueil Windows affiche alors la tâche par défaut. Les conditions sont cumulatives, ce qui signifie que la somme de toutes les conditions exprimées est utilisée comme logique d’affichage. Les conditions sont exprimées par un nom et peuvent contenir un jeu de paramètres. Chaque condition appartient à l’espace de nom shcond://v1. Elles sont par conséquent exprimées sous la forme <nom de condition= "shcond://v1# %conditionName%">. Chaque condition peut également s’inverser à l’aide de l’attribut invert="true". Par exemple, pour afficher une tâche dans toutes les versions de Windows Vista à l’exception de Windows Vista Ultimate, utilisez la condition suivante :
<nom de condition="shcond://v1#SkuEquals" invert="true"> <param name="Sku" value="Ultimate" /> </condition>

Le tableau suivant indique les noms de condition, leurs paramètres, leurs valeurs et leurs descriptions :
Tableau 7.7 : Description des conditions utilisables dans Oobe.xml
Nom de condition RegvalEquals Paramètres Regkey Regval RegvalExpected Regkey Regval Regkey Valeurs Chemin de la clé de registre Nom de la valeur de Registre Valeur de Registre attendue Chemin de la clé de Registre Nom de la valeur de Registre Chemin de la clé de Registre Aucun Aucun Aucun Description La valeur de Registre est la valeur attendue.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

RegvalExists

La valeur de Registre existe.

RegkeyExists

La clé de Registre existe. L’ordinateur est sur un domaine. L’utilisateur est un administrateur. Un moniteur auxiliaire (Windows SideShow) est connecté. L’ordinateur est un ordinateur portable. Des fichiers hors connexion ont été activés.

IsMachineOnDomain Aucun IsUserAdmin IsAuxDisplay Connected IsMobilePC Aucun Aucun

Aucun

Aucun

IsOfflineFiles Enabled

Aucun

Aucun

282

La maintenance de l’image

Nom de condition SkuEquals

Paramètres Sku

Valeurs Nom de SKU. Nom faisant référence à la version du système d’exploitation.

Description Lors de la définition de cette condition, n’utilisez pas le nom de référence (SKU) complet. Utilisez au lieu de cela les valeurs qui correspondent à la référence souhaitée. Windows Vista Édition Familiale Basique : homebasic. Windows Vista Édition Familiale Premium : homepremium. Windows Vista Professionnel : business. Windows Vista Entreprise : enterprise. Windows Vista Édition Intégrale : ultimate. L’ordinateur est un Tablet PC. L’ordinateur a un périphérique de numérisation tactile activé. Définissez une plage de dates. Utilisez un format régional de date invariant.

IsTabletPC

Aucun

Aucun Aucun

IsTouchAvailable Aucun

DateInRange

1. Avant 2. Après

1. Date et heure 2. Date En combinant ces deux conditions, on peut obtenir une offre valide pendant un certain laps de temps.

7.4.

La maintenance de l’image

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 283

Le processus de déploiement ne s’arrête pas à l’unique projet de déploiement de Windows Vista sur les ordinateurs de l’entreprise à la place de Windows XP, par exemple. Il peut aussi être quotidien : dès qu’un nouvel employé arrive et qu’il a donc besoin d’un ordinateur fraîchement installé. Et c’est aussi un processus qui évolue dans le temps : de nouveaux équipements feront tôt ou tard leur apparition avec leurs nouveaux pilotes, des mises à jours et des Service Packs de Windows Vista. Pour être complet, le processus de déploiement doit fournir des outils qui permettent de mettre à jour les images capturées sans avoir forcément à les recréer, c’est-à-dire des outils qui permettent d’ajouter des packages, des packs de langue, des pilotes, des mises à jour à une image hors connexion (à froid), et bien d’autres.

Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Ajouter une image dans une image
L’un des grands avantages du format d’images WIM est l’instanciation unique. Si vous avez créé plusieurs images, vous avez la possibilité de les regrouper en une seule et même image. Et le poids de cette nouvelle image ne sera pas la somme des tailles des différentes images, mais uniquement la taille des fichiers communs de toutes les images additionnée à la taille des fichiers différents entre les images. C’est là l’une des autres qualités du format WIM : il est orienté fichier et non secteur. Cela offre un ensemble de possibilités, notamment le travail en mode Delta dans l’instanciation des images. Lorsque l’on ajoute l’image 2 à l’image 1, les seuls fichiers copiés sont les fichiers différents de l’image 2. Cela permet d’économiser sur trois images les deux tiers de l’espace disque. Si on le rapporte à des tailles de masters réelles – on parle alors de gigaoctets et non de mégaoctets –, multiplié par le nombre de masters matériel et service, ce n’est plus négligeable. À présent, prenons comme exemple l’ajout d’une image image1.wim à l’image image2 .wim. Pour cela, il faut utiliser la commande ImageX avec le commutateur /export.

IMAGEX /EXPORT
Exporte une copie du fichier .wim spécifié vers un autre fichier .wim. Les fichiers source et destination doivent utiliser le même type de compression.

Syntaxe :

imagex /export [fichier_src numéro_src | nom_src dest_fichier nom_dest] {/boot | /check | /compress [type] | /ref [splitwim.swm]} Le chemin du fichier .wim contenant l’image à copier. Le numéro qui référence le volume spécifique dans le fichier .wim. Le nom qui identifie l’image dans le fichier source .wim. Le chemin du fichier .wim qui recevra l’image à copier. Le nom unique qui identifie l’image dans le fichier .wim de destination. Marque une image de volume comme démarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut être marquée comme démarrable dans un fichier .wim. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

fichier_src 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 numéro_src nom_src dest_fichier nom_dest /boot

/check

284

La maintenance de l’image

/compress [maximum | rapide | aucune] Spécifie le type de compression utilisée pour l’opération de capture initiale. L’option maximum propose la meilleure compression, mais le temps de capture de l’image est le plus long. L’option rapide propose une compression d’image plus rapide, mais les fichiers résultants ont une taille plus importante que ceux compressés avec l’option maximum. C’est également le type de compression par défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne compresse pas du tout l’image capturée. /ref splitwim.swm Active la référence des fichiers .wim divisés (SWM). splitwim.swm est le nom et la situation des fichiers divisés supplémentaires. Les caractères génériques sont acceptés. À cela, il faudra ajouter le chemin de l’image ainsi que son numéro d’index, puis terminer par le chemin de l’image de destination :
C:\Program Files\Windows AIK\Tools\x86>ImageX /export c:\images\image1.wim 1 c:\images\image2.wim "image1" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Exporting: [c:\images\image1.wim, 1] -> [c:\images\image2.wim] Progress: 100% Successfully exported image #1.

Une fois cette opération terminée, image1 se trouve dans le fichier image2.wim. ImageX /export Lorsque vous utilisez la commande ImageX /export, il est important d’indiquer le numéro d’indexation de l’image source, même si le fichier ne possède qu’une image. Autrement, la commande ne fonctionnera pas. Il n’y aura pas de message d’erreur, uniquement un retour à l’aide sur la commande image.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Le Gestionnaire de packages
Le Gestionnaire de packages est un outil de ligne de commandes (Pkgmgr.exe) que vous pouvez utiliser hors connexion pour installer, pour supprimer ou pour mettre à jour des packages Windows, des pilotes, des applications, des mises à jour de sécurité, des Service Packs. Vous pouvez ajouter les packages fournis sous forme de fichiers .cab à

285

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

une image système Windows hors connexion. Le Gestionnaire de packages peut également activer ou désactiver des fonctionnalités de Windows, hors connexion ou bien sur une installation de Windows en cours d’exécution. Le Gestionnaire de packages peut considérer un fichier de réponses d’installation sans assistance comme une entrée et configurer les paramètres répertoriés dans la passe de configuration OfflineServicing. Le Gestionnaire de packages peut effectuer les tâches suivantes :
j j j j j j j

installer ou désinstaller des correctifs logiciels ; installer des packs de langues ; ajouter des pilotes de matériel ; activer ou désactiver des fonctionnalités de Windows ; accepter un fichier de réponses comme entrée (paramètres OfflineServicing uniquement) ; ajouter des packages à une image de Windows hors connexion ; installer ou désinstaller plusieurs packages avec une seule chaîne de commandes.

Le Gestionnaire de packages peut fonctionner sur une image Windows montée ou appliquée. Il peut être utilisé avec d’anciens fichiers image Windows (.wim), mais non avec des images Windows plus récentes que la version installée du WAIK dans lequel le Gestionnaire de packages est distribué. Le Gestionnaire de packages peut s’exécuter sur les systèmes d’exploitation suivants :
j

Windows XP SP2 ; Windows Server 2003 SP1 ; Windows Vista.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

j j

Certains packages exigent que d’autres packages soient d’abord installés. En raison de cette condition de dépendance, si vous installez plusieurs packages, procédez de l’une des manières suivantes :
j

Utilisez un fichier de réponses. En transmettant un fichier de réponses au Gestionnaire de packages, plusieurs packages peuvent être installés dans l’ordre correct. C’est la méthode recommandée pour installer plusieurs packages. Installez ou supprimez plusieurs packages dans une seule commande en les séparant par un point-virgule dans une liste. Les packages peuvent apparaître dans n’importe quel ordre. Le Gestionnaire de packages installe ou supprime les packages dans l’ordre correct.

j

286

La maintenance de l’image

La commande Pkgmgr.exe
Avant de détailler l’utilisation du Gestionnaire de packages et la manière de mettre à jour une image, voici les descriptions des commutateurs de l’outil en ligne de commande Pkgmgr.exe.

PKGMGR
Installe, désinstalle, configure et met à jour des fonctionnalités et des packages pour Windows Vista.

Syntaxe :

pkgmgr.exe [/?] [/h] [/help] [/l:nom_fichier] [/ip] [/iu:nom_fonctionnalité_Windows] [/m:répertoire_package] [/n:fichier_réponses] [/norestart] [/o:chemin_disque_système; chemin_répertoire_Windows_hors_connexion] [/p:nom_package] [/quiet] [/s:répertoire_sandbox] [/up:nom_package] [/uu:nom_fonctionnalité_Windows] Affiche l’aide lorsque cette commande est exécutée sans option. Utilisable en ligne ou hors connexion. Installe les packages. Le nom de package respecte la casse. Exige que les packages soient désignés par l’option /m ou par l’option /p. Plusieurs packages peuvent être installés avec une seule commande et doivent être séparés par des points-virgules. Utilisable en ligne ou hors connexion. Vous devez pointer vers le répertoire du package développé ; une option /ip doit aussi être accompagnée d’une option /m. Désigne le fichier journal pour la sortie de diagnostic. Utilisable en ligne ou hors connexion. Les journaux par défaut sont situés dans le répertoire %WINDIR%\logs\cbs\cbs.log. Setupact.log est un journal complet et Setuperr.log ne répertorie que les erreurs. L’enregistrement dans un journal ne fonctionne pas lors de l’installation depuis un support en lecture seule, comme un CD Windows PE.

/?, /h, /help /ip

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

/l: nom_fichier

/iu: nom_ fonction-nalité _Windows

Spécifie la fonctionnalité Windows à activer. Plusieurs fonctionnalités Windows peuvent être installées avec une seule commande et doivent être séparées par des points-virgules. Utilisable en ligne ou hors connexion. Si vous installez une mise à jour, vous avez alors besoin du nom de la mise à jour si son package 287

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

est dans le package Windows Foundation. Si ce n’est pas le cas, l’option /iu exige aussi l’identité du package spécifiée par l’option /p, qui est supposée être par défaut l’option de Windows Foundation pour l’option /iu. Si ce n’est pas le cas, annulez cette option. /m: répertoire _package Spécifie le répertoire avec le manifeste et la charge utile du package. Des répertoires source supplémentaires peuvent être spécifiés après un point-virgule. Utilisable hors connexion. Exigé pour l’option /up. Si vous installez un package, vous devez pointer vers le répertoire du package développé, auquel cas une option /ip doit aussi être accompagnée d’une option /m. Spécifie le nom du fichier de réponses d’installation sans assistance. Utilisable en ligne ou hors connexion. Toutes les installations sans assistance exigent l’option /n. Supprime le redémarrage. Si le redémarrage n’est pas nécessaire, cette commande ne fait rien. Utilisable en ligne seulement. Utilisable avec l’option /quiet.

/n: fichier _réponses

/norestart

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

/o: chemin_disque _système ; chemin _répertoire _Windows _hors _connexion Spécifie une installation hors connexion. Le chemin_disque_système définit la situation du Gestionnaire de démarrage, d’après le mappage donné par le système d’exploitation hôte. Chemin _répertoire_Windows_hors_connexion spécifie le chemin complet du répertoire Windows hors connexion tel qu’il est vu par le système d’exploitation actif. Toutes les opérations hors connexion exigent l’option /o pour spécifier l’image dont vous avez l’intention d’effectuer la maintenance hors connexion. /p: nom_package /quiet Installe la totalité du package. Utilisable hors connexion. Exigé pour l’option /up. S’exécute en mode silencieux. Aucune interface utilisateur, ni de sortie console n’est fournie. Si un redémarrage est nécessaire, celui-ci est forcé automatiquement, sans afficher de boîte de dialogue de demande de confirmation. Utilisable en ligne ou hors connexion. Spécifie le répertoire sandbox dans lequel les fichiers sont extraits. Cette option est nécessaire pour un traitement correct des fichiers

/s: répertoire _sandbox

288

La maintenance de l’image

lors de l’installation des packages depuis un réseau. Utilisable en ligne ou hors connexion. /up: nom _package Désinstalle les packages. Exige que les packages soient désignés par l’option /m ou par l’option /p. Plusieurs packages peuvent être désinstallés avec une seule commande et doivent être séparés par des points-virgules. Utilisable hors connexion. /uu: nom_fonctionnalité_Windows Spécifie la fonctionnalité de Windows à désactiver. Une fonctionnalité au moins de Windows doit être spécifiée. Plusieurs fonctionnalités Windows peuvent être désactivées avec une seule commande et doivent être séparées par des points-virgules. Utilisable en ligne ou hors connexion. L’option /uu fonctionne de la même manière que l’option /iu.

Ajouter des pilotes à une image de Windows hors connexion
Un scénario très intéressant consiste à modifier l’image .wim de référence à froid pour y rajouter des pilotes pour de nouveaux équipements. Pas besoin de recréer une installation de référence sur un ordinateur de test pour faire vivre l’image. Et le ou les pilotes rajoutés ne seront utilisés que dans la phase de détection Plug and Play du matériel. Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs pilotes de périphériques dans une image de Windows hors connexion. Vous pouvez ainsi ajouter à Windows, avant l’installation, des pilotes de périphériques indispensables au démarrage. Lorsque vous utilisez le Gestionnaire de packages pour installer un pilote de périphérique dans une image hors connexion, le pilote de périphérique est ajouté au magasin de pilotes. Le magasin de pilotes est un emplacement sur l’ordinateur qui contient tous les pilotes pour cet ordinateur. Lorsque le Plug and Play est exécuté, les périphériques détectés sont associés aux pilotes de périphériques dans le magasin de pilotes. Le magasin de pilotes remplace Drivers.cab. Les pilotes indispensables au démarrage sont insérés sur le système. L’insertion d’un pilote est le processus consistant à installer un pilote sur un ordinateur qui est ou non doté d’un périphérique pour ce pilote. Généralement, cela comprend la copie des fichiers de pilote vers un emplacement de destination et la création du service. Pour ajouter des pilotes à une image de Windows hors connexion : 1. Recherchez les fichiers .inf des pilotes de périphériques que vous souhaitez installer sur votre image de Windows. Vous pouvez les chercher sur le site Internet de l’éditeur. Par exemple, créez un répertoire C:\pilotes qui contiendra les fichiers de ce pilote.

289

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

2. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils. Vous allez créer un fichier de réponses contenant les chemins d’accès aux pilotes de périphériques à installer : 3. Ajoutez le composant Microsoft-Windows-PnpCustomizationsNonWinPE à votre fichier de réponses dans la passe de configuration OfflineServicing. 4. Développez le nœud Microsoft-Windows-PnpCustomizationsNonWinPE dans le fichier de réponses. Cliquez avec le bouton droit de la souris sur DevicePaths, puis sélectionnez Insérer un nouvel élément PathAndCredentials. Un nouvel élément est intégré à la liste PathAndCredentials.

Figure 7.15 : Élément PathAndCredentials

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

5. Si vous devez rajouter plusieurs pilotes qui se trouvent à plusieurs emplacements différents, alors ajoutez autant d’élément sur la liste PathAndCredentials qu’il y a d’emplacements différents à ajouter. 6. Dans les propriétés du composant Microsoft-Windows-Pnp CustomizationsNon WinPE, spécifiez le chemin d’accès au pilote de périphérique et les informations d’identification utilisées pour accéder au fichier si celui-ci réside sur un partage réseau.
Figure 7.16 : Configuration du chemin d’accès au pilote

290

La maintenance de l’image

Gestion de l’élément Key En ajoutant plusieurs éléments de la liste PathAndCredentials, vous pouvez inclure plusieurs chemins d’accès aux pilotes de périphériques. Si vous ajoutez plusieurs éléments de la liste, vous devez incrémenter la valeur de Key pour chaque chemin. Par exemple, vous pouvez ajouter deux chemins d’accès distincts dans lesquels la valeur de Key égale 1 pour le premier chemin d’accès et la valeur de Key égale 2 pour le second chemin d’accès. 7. Enregistrez le fichier de réponses sous le nom pilotes.xml par exemple et quittez Windows SIM. Le fichier de réponses doit être similaire à l’extrait suivant :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="offlineServicing"> <component name="Microsoft-Windows-PnpCustomizationsNonWinPE" ✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" ✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas ✂ .microsoft.com/WMIConfig/2002/State" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DriverPaths> <PathAndCredentials wcm:action="add" wcm:keyValue="1"> <Credentials> <Domain>PUZZMANIA</Domain> <Password>*</Password> <Username>Administrateur</Username> </Credentials> <Path>C:\Pilotes</Path> </PathAndCredentials> </DriverPaths> </component> </settings> <cpi:offlineImage cpi:source="catalog:c:/images/puzzmaniainstall.clg" ✂ xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend>

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

8. Montez l’image de Windows dans laquelle vous voulez installer les pilotes à l’aide d’ImageX. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de montage s’appelle C:\mount. La première image de Windows dans le fichier moninstall.wim est montée sur C:\mount. Voici la définition de la commande imagex /mountrw :

291

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista, avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le répertoire.

Syntaxe :
fichier_image numéro_image nom_image chemin_image /check

imagex /mountrw [fichier_image numéro_image | nom_image chemin_image] {/check} Le nom et le chemin du fichier .wim à monter avec les droits de lecture/écriture. Le numéro qui référence le volume spécifique dans le fichier .wim. Le nom qui référence l’image dans le fichier .wim. Le chemin du fichier où l’image spécifiée sera montée. Vérifie l’intégrité du fichier .wim. Si cette option n’est pas mentionnée, les vérifications existantes sont supprimées.

Utilisation de la commande Imagex /mountrw lors de l’utilisation du Gestionnaire de packages Veillez à utiliser la commande Imagex avec le commutateur /mountrw lorsque vous montez une image en vue d’une utilisation avec le Gestionnaire de packages et non le commutateur /mount car celui-ci ne permettrait pas au Gestionnaire de packages de modifier l’image. 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 9. Activez la journalisation dans un fichier journal distinct de certaines actions d’injection de pilote de périphérique. Sur l’ordinateur sur lequel vous exécutez le Gestionnaire de packages, modifiez la clé de Registre DebugPkgMgr située dans HKLM\Software\Microsoft\Windows\CurrentVersion\Device Installer et donnez-lui la valeur 0x01. Cela crée un fichier Drivers.log pendant l’injection du package de pilote. Ce fichier journal enregistre toutes les actions du processus d’injection du pilote.

292

La maintenance de l’image

Figure 7.17 : Création de la nouvelle valeur DWORD DebugPkgMgr

10. Utilisez le Gestionnaire de packages pour appliquer le fichier de réponses de l’installation sans assistance à l’image de Windows Vista montée. Spécifiez un emplacement pour le fichier journal à créer. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" logfile.txt". /n:"C:\pilotes.xml" /l:"C:\pkgmgrlogs\

Les fichiers .inf référencés dans le chemin d’accès du fichier de réponses sont ajoutés à l’image de référence Windows Vista. Vous pouvez ouvrir le fichier Drivers.log et examiner les actions d’injection du pilote de Gestionnaire de packages. Un fichier journal est créé dans le répertoire C:\pkgmgrlogs\. Examinez le contenu du répertoire \Windows\inf dans l’image de Windows Vista montée pour vérifier que les fichiers .inf ont été installés. Les pilotes ajoutés à l’image de Windows sont nommés oem*.inf. Cette opération assure que les nouveaux pilotes intégrés sur l’ordinateur portent un nom unique. Ainsi, les fichiers Pilote1.inf et Pilote2 .inf sont renommés oem0.inf et oem1.inf.
Figure 7.18 : Contenu du répertoire \Windows\inf de l’image montée

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

11. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. L’image de Windows est fermée et prête à repartir dans votre processus de déploiement. Vous avez mis à jour le contenu de l’image à partir de votre poste, sans pour autant avoir à rejouer un Sysprep et une recréation d’image.

Activer ou désactiver les fonctionnalités Windows lorsque le système d’exploitation est hors connexion
Pour activer ou désactiver des fonctionnalités Windows d’une image Windows hors connexion, créez un fichier de réponses d’installation sans assistance avec Windows SIM 293

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

et utilisez-le comme entrée pour le Gestionnaire de packages. Un peu comme ce que vous venez de le faire avec l’ajout de pilotes mais les composants à utiliser ne sont pas les mêmes. 1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils. 2. Développez le catalogue dans le volet Image Windows et développez les lignes Packages, puis Foundation.
Figure 7.19 : Le package Windows Foundation

3. Cliquez avec le bouton droit de la souris sur Microsoft-Windows -Foundation-Package et cliquez sur Ajouter au fichier de réponses.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Figure 7.20 : Configuration du package Windows Foundation

294

La maintenance de l’image

4. Cliquez sur Activé ou sur Désactivé (Enabled ou Disabled) près des fonctionnalités que vous souhaitez activer ou désactiver. Cliquez sur la flèche pour sélectionner le contraire. 5. Vous devrez peut-être développer un élément pour voir tous ses enfants. Le parent doit être activé si l’un de ses enfants est activé. 6. Cliquez sur Outils dans le menu principal et cliquez sur Valider le fichier de réponses. 7. Corrigez toutes les erreurs qui apparaissent dans le volet Messages et sauvegardez le fichier de réponses, par exemple sous le chemin C:\addwinfeatures.xml. 8. Montez l’image Windows hors connexion. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de montage s’appelle C:\mount. La première image de Windows dans le fichier moninstall.wim est montée sur C:\mount. 9. Dans l’Invite de commandes, exécutez la commande suivante : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\addwinfeatures.xml". 10. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. L’image de Windows est fermée et prête à repartir dans votre processus de déploiement. Vous avez ajouté, dans cet exemple, l’installation de la fonctionnalité Windows de serveur web personnel comme effective pour chaque nouvelle installation faite à partir de cette image.

Installer ou supprimer des packages hors connexion à l’aide du Gestionnaire de package
Pour installer ou supprimer des packages à une image hors connexion, procédez de la sorte : 1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils. 2. Cliquez sur Insérer dans le menu principal et sélectionnez Packages. 3. Cherchez le package désiré et cliquez sur Ouvrir. Les packages sont des fichiers .cab. 4. Validez et sauvegardez le fichier de réponses, par exemple sous le chemin C:\newpackage.xml. 5. Montez l’image Windows hors connexion. Dans une Invite de commandes, tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de

295

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

référence à modifier se trouve dans le répertoire C:\images et s’appelle moninstall .wim et le répertoire de montage s’appelle C:\mount. La première image de Windows dans le fichier moninstall.wim est montée sur C:\mount. 6. Dans la même fenêtre d’Invite de commandes, tapez la commande suivante :
pkgmgr /o:"C:\mount\;C:\mount\Windows" /l:"C:\pkgmgrlogs\logfile.txt". /n:"C:\newpackage.xml"

7. Ouvrez le fichier journal afin de vérifier si le package a été ajouté avec succès. 8. Procédez aux modifications et au démontage de l’image. Tapez : imagex /unmount /commit C:\mount. Vous avez rajouté un package de type fichier .cab à une image à froid.

Installer un pack de langues dans une image hors connexion
Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs modules linguistiques (packs de langues) dans une image de Windows hors connexion. L’ajout de plusieurs modules linguistiques à une image de Windows peut en augmenter la taille de façon importante. Un fichier d’image .wim de Windows Vista avec différents modules linguistiques peut comporter plusieurs gigaoctets de plus qu’un fichier image de Windows Vista en une seule langue. L’installation de grandes images de Windows sur le réseau risque de ralentir les installations. Pour utiliser le Gestionnaire de packages afin d’installer un nouveau module linguistique : 1. Naviguez avec l’Explorateur Windows jusqu’à un ou plusieurs modules linguistiques à installer dans le fichier image de Windows. Les modules linguistiques sont enregistrés dans des fichiers .cab et sont appelés Lp.cab. 2. Utilisez Windows SIM pour créer un fichier de réponses contenant uniquement les modules linguistiques que vous souhaitez installer. Pour ajouter un module linguistique directement à un fichier de réponses : 3. Ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils. Cliquez sur Insérer dans le menu principal et sélectionnez Packages. Cherchez le package désiré et cliquez sur Ouvrir. Les packages sont des fichiers .cab. 4. Enregistrez le fichier de réponses en lui donnant le chemin C:\langpack.xml par exemple et fermez Windows SIM.

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 296

La maintenance de l’image

Le fichier de réponses doit être similaire à l’extrait suivant :
<?xml version="1.0" encoding="utf-8" ?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <servicing> <package action="install"> <assemblyIdentity name="Microsoft-Windows-LanguagePack-Package" ✂ version="6.0.5350.0" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="fr-FR" /> <source location="C:\LPs\fr-fr\lp.cab" /> </package> <package action="install"> <assemblyIdentity name="Microsoft-Windows-LanguagePack-Package" ✂ version="6.0.5350.0" processorArchitecture="x86" ✂ publicKeyToken="31bf3856ad364e35" language="fr-FR" /> <source location="C:\LPs\fr-FR\lp.cab" /> </package> </servicing> <cpi:offlineImage cpi:source="wim:C:\images\puzzmaniainstall.wim#Windows ✂ Vista ULTIMATE" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend>

5. Utilisez ImageX pour monter l’image de Windows que vous souhaitez appliquer au module linguistique. Dans une Invite de commandes, tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de montage s’appelle C:\mount. La première image de Windows dans le fichier moninstall.wim est montée sur C:\mount. 6. Utilisez le Gestionnaire de packages pour appliquer le fichier de réponses de l’installation sans assistance à l’image de Windows montée. Tapez : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\langpack.xml". 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 Le module linguistique est installé dans l’image de Windows. 7. Utilisez Intlcfg.exe pour recréer le fichier Lang.ini et sélectionner les valeurs internationales par défaut. Lorsque vous ajoutez ou supprimez des modules linguistiques dans une image de Windows, vous devez recréer le fichier Lang.ini. Le fichier Lang.ini est utilisé pendant l’installation de Windows et contient une liste de tous les modules linguistiques disponibles, les emplacements des modules linguistiques et la langue par défaut à utiliser pendant l’installation de Windows. Recréez le fichier Lang.ini avec la commande suivante : intlcfg −genlangini −dist:C:\images −image:C:\mount –defaultlang:fr−FR –all:fr−FR. Le fichier Lang.ini est recréé et comprend une liste des modules linguistiques installés. En outre, la langue par défaut à utiliser pendant le processus d’installation de Windows et la langue par défaut de l’installation de Windows sont définies à fr−FR. 8. Vous pouvez afficher les langues qui sont disponibles ou qui sont installées dans l’image de Windows avec l’option −report de la commande Intlcfg. Tapez : intlcfg −report −dist:C:\images −image:C:\mount. 297

Chapitre 7

Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Vérifiez que la langue installée apparaît. Voici un retour de cette commande :
Reporting offline settings... The installed languages are: fr-FR: Type: Fully localized language Reporting distribution languages... The other available languages in the distribution are: No languages found The default system UI language is 040C System locale is 040c The default timezone is Romance Standard Time User locale for default user is fr-FR The location is 84 The active keyboards are: 0409:00000409, 040c:0000040c The default keyboard is 040c:0000040c

9. Procédez aux modifications et au démontage de l’image. Tapez : imagex /unmount /commit C:\mount. L’image de Windows est prête à être réinjectée dans votre processus de déploiement. Si vous voulez modifier la langue utilisée pendant l’installation de Windows, vous devez ajouter les ressources localisées de l’installation de Windows à la distribution de Windows.

Les limitations du Gestionnaire de packages
Le Gestionnaire de packages possède tout de même un certain nombre de limitations qu’il vous faut connaître afin de mesurer au mieux son champ d’action : 7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
j

L’installation des packages sur un ordinateur distant à travers un réseau n’est pas prise en charge. L’image de Windows doit être présente sur le système local. Le Gestionnaire de packages peut prélever des packages sur un partage réseau, mais il doit les copier sur un répertoire temporaire local, accessible en écriture, appelé répertoire bac à sable (sandbox). Le Gestionnaire de packages s’exécute à partir d’une Invite de commandes et comporte une interface utilisateur très limitée. Si vous spécifiez un fichier de réponses avec le Gestionnaire de packages, seuls les paramètres spécifiés dans la passe de configuration OfflineServicing sont appliqués. Tous les autres paramètres dans le fichier de réponses sont ignorés. Le Gestionnaire de packages peut être utilisé avec des fichiers image de Windows plus anciens (.wim), mais pas avec des images de Windows qui sont plus récentes que la version installée du WAIK de Windows Vista avec lequel le Gestionnaire de packages est distribué.

j j

j

298

En résumé

j j

Le Gestionnaire de packages peut installer uniquement des fichiers .cab. Les composants de MSI doivent être installés en ligne à l’aide d’OCSetup. N’utilisez pas le Gestionnaire de packages pour installer Windows PE. Le Gestionnaire de packages peut servir à la maintenance dans Windows PE des images appliquées hors connexion, mais les opérations de montage d’ImageX ne sont pas prises en charge. Les Service Packs doivent être installés en ligne avec l’utilitaire d’installation Windows Update StandAlone.

j

7.5.

En résumé

Dans ces grandes lignes, le déploiement de Windows Vista n’a plus de secret pour vous. Vous savez capturer et appliquer une image. Vous savez également que Windows Vista met en œuvre un certain nombre d’outils qui permettent d’ajouter de la valeur, comme Oobe.xml et la mise à jour à froid d’une image. Ces outils offrent une grande souplesse dans la durée de vie de l’image dans le processus de déploiement. Utilisez-les.

299

7. Le déploiement des ordinateurs Windows Vista en entreprise – phase 2

Chapitre 8

Les services de déploiement Windows
8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12 Le fonctionnement des services de déploiement Windows . . . . . . . Installer les services de déploiement Windows . . . . . . . . . . . . . . Les modes de fonctionnement des services de déploiement Windows Configurer les services de déploiement Windows . . . . . . . . . . . . . Configurer DHCP pour les services de déploiement Windows . . . . . Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La stratégie de noms de clients et l’emplacement de compte . . . . . Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 . 305 . 309 . 310 . 312 . 315 . 319 . 320 . 326 . 332 . 333 . 347

Le fonctionnement des services de déploiement Windows

usqu’à présent Windows Server 2003 ne disposait que d’un seul moyen de déploiement nommé RIS (Remote Installation Services, "services d’installation à distance"). Cet ensemble de services répondait aux besoins des entreprises, jusqu’à l’arrivée de Windows Vista qui bouleverse les méthodes de déploiement chez Microsoft. Pour répondre à ces changements, Windows Server 2003 SP2 inclut une version profondément remaniée de RIS désormais nommée "services de déploiement Windows" ou WDS, qui aide les entreprises à préparer l’arrivée de Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging). Les services de déploiement Windows améliorent RIS sur plusieurs points :
j j j j

J

la prise en charge native de Windows PE comme système d’exploitation d’amorçage ; la prise en charge native du format de fichier WIM (Windows Imaging) ; le composant serveur PXE extensible et plus performant ; le nouveau menu d’amorçage client pour choisir le système d’exploitation.

Les services de déploiement Windows réduisent le coût total de possession et la complexité des déploiements en apportant une solution de bout en bout pour déployer des systèmes d’exploitation Windows sur des ordinateurs sans systèmes d’exploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Services de déploiement Windows Les services de déploiement Windows sont livrés dans les services Pack 2 de Windows Server 2003. Cependant, les entreprises qui souhaitent utiliser ces services avant de déployer les services Pack les trouveront en téléchargement et peuvent les installer si les prérequis sont respectés.

8.1.

Le fonctionnement des services de déploiement Windows

8. Les services de déploiement Windows

Même si, dans l’ensemble, les démos ou les documents Microsoft montre l’exécution des services de déploiement Windows sur des serveurs Longhorn, il n’en reste pas moins que le composant peut être installé à partir des versions de serveurs Windows Server 2003 Service Pack 1. Il doit également fonctionner dans un environnement Active Directory, ou un serveur DHCP doit être présent avec des adresses disponibles ainsi que DNS. WDS (Windows Deployment Services) prend en charge nativement le format WIM et Win PE en version optimisée et en version personnalisée. Le composant PXE devient plus performant et plus facile à administrer grâce à un ensemble de commandes. 303

Chapitre 8

Les services de déploiement Windows

Globalement, WDS ressemble à RIS, puisque le premier prérequis pour installer WDS consiste à installer le service RIS. Sachez qu’avec les services de déploiement Windows, vous avez différents modes d’utilisation. On peut imaginer en effet que certaines entreprises possèdent déjà un environnement RIS avec des images. Si vous installez les services de déploiement Windows sur votre serveur RIS, les services de déploiement Windows vont pouvoir fonctionner en mode mixte et vous pourrez réutiliser vos images après les avoir converties. Cela signifie qu’il existe un chemin de migration entre les serveurs RIS actuels et les services de déploiement Windows. Libre à vous de repartir de zéro sur un serveur de services de déploiement Windows "propre" ou de réaliser une mise à niveau de votre serveur RIS.

8. Les services de déploiement Windows

Figure 8.1 : Fonctionnement de Windows Deployment Services en six étapes

Le fonctionnement des services de déploiement Windows se déroule en six étapes :
j j j j

Le poste démarre et demande une adresse DHCP. Le serveur DHCP alloue une adresse. Le client contacte le serveur de services de déploiement Windows. Les services de déploiement Windows vérifient si le poste existe dans l’Active Directory.

304

Installer les services de déploiement Windows

j j

Les services de déploiement Windows répondent ou transfèrent la demande au service de déploiement Windows le plus proche. L’image est installée sur le poste.

8.2.

Installer les services de déploiement Windows

L’installation des services de déploiement Windows est cependant très simple puisqu’il ne s’agit en fait que d’installer un service. Pour cela, vous devez aller dans le sous-répertoire WDS du répertoire WAIK. Installation des services de déploiement Windows Deux cas de figure sont possibles : l’installation des services de déploiement à partir d’un fichier téléchargé et l’installation à partir de l’ajout d’un composant du Services Pack 2 de Windows Server 2003. Nous avons souhaité montrer l’installation à partir d’un fichier téléchargé. Cela permet de présenter les prérequis, mais aussi d’accompagner les entreprises encore en Services Pack 1 de Windows 2003 Server.

Figure 8.2 : Chemin de l’exécutable du service WDS

8. Les services de déploiement Windows

Prérequis Avant de commencer l’installation des services de déploiement Windows, vous devez ajouter le service RIS. Pour cela, rendez-vous dans le menu Démarrer. Dans le Panneau de configuration, sélectionnez Ajout et suppression de programme, puis Ajout et suppression de composants Windows. Cochez la case Service d’installation à distance.

305

Chapitre 8

Les services de déploiement Windows

Figure 8.3 : Ajout du service RIS comme prérequis d’installation des services de

déploiement Windows Pour réaliser l’installation, procédez ainsi : 1. Placez-vous dans le répertoire WAIK\WDS pour lancer l’installation du service. Cliquez sur windows-deployment-services-update-x86.exe si votre serveur est une machine X86 ou sur windows-deployment-services-update-amd64.exe si votre serveur est une machine à base de processeurs 64 bits d’AMD. 2. Dans la fenêtre d’accueil Mises à jour des services de déploiement Windows pour Windows Server 2003, cliquez sur Suivant pour démarrer l’installation. 3. Acceptez les termes de licence en cliquant sur J’accepte. Cliquez sur Suivant pour passer à l’étape suivante. 4. À la fin de l’installation, si vous ne souhaitez pas redémarrer votre serveur, cochez la case Ne pas redémarrer, puis cliquez sur Terminer. Sinon, cliquez uniquement sur Terminer. Votre serveur rebootera en fin d’installation. Pour installer les services de déploiement Windows à partir d’une Invite de commandes, procédez ainsi : 1. Ouvrez une fenêtre d’Invite de commandes en tant qu’administrateur et placez-vous sur le dossier contenant l’installation du service. 2. Dans
−SERVICES−UPDATE−X86

8. Les services de déploiement Windows

tapez WINDOWS−DEPLOYMENT pour l’architecture de l’ordinateur et l’architecture du système d’exploitation.
/quiet /forcerestart

la

fenêtre

d’Invite

de

commandes,

306

Installer les services de déploiement Windows

Figure 8.4 : Installation des services de déploiement Windows en ligne de commandes en

mode silencieux avec un redémarrage forcé Une fois l’installation terminée, le serveur redémarre. Cependant, il faut vérifier que les services sont bien installés. Pour cela, vous pouvez aller dans les outils d’administration et vérifier la présence du service Héritage de service de déploiement Windows et des services de déploiement Windows.

8. Les services de déploiement Windows

Figure 8.5 : Vérification des services de déploiement dans le menu Outils d’administration

307

Chapitre 8

Les services de déploiement Windows

Vous pouvez également utiliser des options pour modifier le comportement de l’installation. Voici la liste d’option d’installation des services de déploiement Windows.
Tableau 8.1 : Options d’installation des services de déploiement Windows
Option /help /quiet /passive Explication Vous pouvez l’utiliser dans la ligne de commandes pour répertorier ces options. Vous pouvez l’utiliser lorsque vous ne voulez aucune interaction utilisateur, ni affichage d’informations durant l’installation. Vous pouvez l’utiliser lorsque vous ne voulez aucune interaction utilisateur, mais que vous voulez voir une barre d’état pour contrôler la progression de l’installation. Vous pouvez l’utiliser pour supprimer le redémarrage après l’installation. Vous pouvez l’utiliser pour vous assurer du redémarrage après l’installation. Vous pouvez l’utiliser lorsque vous voulez être averti avant le redémarrage de l’ordinateur, après l’installation. La valeur par défaut, si aucun argument n’est fourni, consiste à vous prévenir 20 secondes avant le redémarrage. Vous pouvez l’utiliser lorsque vous voulez qu’un message vous demande si un redémarrage est requis. Vous pouvez l’utiliser si vous voulez remplacer des répertoires OEM existants et supprimer les fichiers existants dans les répertoires. Vous pouvez l’utiliser si vous ne voulez pas sauvegarder les fichiers nécessaires à la désinstallation des services de déploiement Windows. Vous pouvez l’utiliser lorsque vous voulez fermer les autres applications susceptibles d’empêcher l’ordinateur de redémarrer.

/norestart /forcerestart /warnrestart[:<secondes>]

/promptrestart /overwriteoem /nobackup

/forceappsclose

/integrate:<chemin_complet> Vous pouvez l’utiliser pour installer les mises à jour logicielles avec les services de déploiement Windows.

8. Les services de déploiement Windows

/log:<chemin_complet>

Vous pouvez l’utiliser pour créer un fichier journal dans le chemin indiqué.

308

Les modes de fonctionnement des services de déploiement Windows

8.3.

Les modes de fonctionnement des services de déploiement Windows

Puisque les services de déploiement Windows se doivent d’assurer la transition et la convergence des différents formats d’image, ils prennent en charge trois modes de fonctionnement : hérité, mixte et natif.

Le mode hérité
Le mode hérité des services de déploiement Windows fonctionne de manière similaire aux services d’installation à distance (RIS). Dans ce mode, seul OSChooser est présent comme système d’exploitation de démarrage et seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils de gestion des services de déploiement Windows ne sont pas utilisés ; les utilitaires RIS hérités sont les seuls à autoriser la gestion du serveur. Vous pouvez utiliser le mode hérité des services de déploiement Windows en installant la mise à jour des services de déploiement Windows, mais sans la configurer, par le biais de l’assistant d’installation ou à l’aide de WDSUTIL à partir d’une Invite de commandes. Le mode hérité n’est pas pris en charge par Windows Server 2003.

Le mode mixte
Le mode mixte des services de déploiement Windows décrit un état du serveur prenant en charge les services RIS hérités et la nouvelle fonctionnalité des services de déploiement Windows. En mode mixte, le menu OSChooser est disponible en même temps que les images de démarrage Win PE. Dans ce mode, il sera possible d’accéder aux anciens types d’images RISETUP et RIPREP par le biais d’OSChooser et les nouvelles images de format WIM seront disponibles en utilisant une image de démarrage Win PE (image de démarrage Windows Vista PE avec le client Services de déploiement Windows). Du point de vue du client, un menu de démarrage permettra d’effectuer des sélections dans RIS ou dans Windows Server Longhorn Win PE. D’un point de vue gestion, un administrateur utilisera les outils de gestion hérités pour administrer les images RISETUP et RIPREP et il utilisera les outils WDS pour administrer le serveur et les images WIM. Le mode mixte des services de déploiement Windows n’est disponible que dans Windows Server 2003. Vous l’obtenez en installant la mise à jour des services de déploiement Windows sur un serveur RIS configuré précédemment et en configurant WDS à l’aide de l’assistant d’installation ou de l’utilitaire WDSUTIL à partir d’une Invite de commandes.

8. Les services de déploiement Windows

Le mode natif
Le mode natif des services de déploiement Windows s’applique à un serveur WDS avec des images de démarrage Win PE uniquement. Dans ce mode, OSChooser n’est pas disponible et les images WIM sont le seul type d’images pris en charge pour le 309

Chapitre 8

Les services de déploiement Windows

déploiement vers les clients. La gestion du serveur s’effectue entièrement à partir des nouveaux utilitaires de gestion des services de déploiement Windows. Le mode natif des services de déploiement Windows est disponible sous Windows Server 2003, et Windows Server Longhorn Il est le seul mode des services de déploiement Windows pris en charge sous Windows Server Longhorn. Pour utiliser le mode natif sur un serveur Windows Server 2003, installez, mais ne configurez pas RIS, puis installez et configurez les services de déploiement Windows. Vous pouvez également forcer votre serveur à passer en mode natif en exécutant WDSUtil /set−server /ForceNative.

8.4.

Configurer les services de déploiement Windows

Une fois installés, les services de déploiement Windows ne sont pas pour autant fonctionnels. Il est nécessaire de les configurer. Pour configurer les services de déploiement Windows à partir de l’assistant, procédez ainsi : 1. Pour ouvrir le composant logiciel enfichable Services de déploiement Windows, activez le menu Démarrer/Outils d’administration/Services de déploiement Windows.

8. Les services de déploiement Windows

Figure 8.6 : Lancement des services de déploiement Windows

310

Configurer les services de déploiement Windows

2. Dans le volet gauche du composant logiciel enfichable Services de déploiement Windows, cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Configurer le serveur. 3. Dans la page d’accueil de l’Assistant Installation de Services de déploiement Windows, assurez-vous que votre environnement répond aux conditions énoncées, puis cliquez sur Suivant. 4. Entrez un chemin pour le dossier d’installation distante et cliquez sur Suivant. 5. Si vous choisissez d’installer les services de déploiement Windows sur le lecteur système, un message d’avertissement s’affiche. Cliquez sur Oui pour continuer l’installation, ou sur Non pour sélectionner un nouvel emplacement d’installation.

Figure 8.7 : Avertissement d’installation sur le volume système Figure 8.8 : Installation d’un autre chemin d’accès que la partition système

8. Les services de déploiement Windows

6. Dans la fenêtre Emplacement du dossier d’installation à distance, saisissez le chemin d’accès, par exemple D:\RemoteInstall (voir fig. 8.9). 7. Dans la page de fin de l’Assistant Configuration des services de déploiement Windows, vous pouvez ajouter des images au serveur ou désélectionner la case à cocher Ajouter les images au serveur de déploiement Windows maintenant si vous souhaitez ajouter des images ultérieurement. Cliquez sur Terminer.

311

Chapitre 8

Les services de déploiement Windows

Figure 8.9 : Paramètres initiaux du serveur

Configuration des services de déploiement Windows Même si vous avez déjà configuré les services de déploiement Windows à partir de l’assistant d’installation, il est toujours possible de les configurer et de modifier la configuration à partir de la console d’administration. Pour cela, cliquez du bouton droit de la souris sur le nom de votre serveur, puis sélectionnez PXE Server Setting. Une fois la console lancée, vous pouvez voir vos services de déploiement Windows dans votre domaine Active Directory. En dessous du serveur se trouvent quatre icônes.
j j

Images d’installation : vous y trouvez toutes les images parsées. Images de démarrage : ici se trouve tout ce qui peut être bootable, Boot.wim (le Win PE optimisé pour l’installation de Windows Vista) ainsi que vos Win PE personnalisés. Images héritées : c’est la partie où sont stockées toutes les anciennes images RIS réalisées à partir de Risetup. Périphériques en attente : liste l’ensemble des machines autorisées ou non à se connecter au serveur WDS.

j

8. Les services de déploiement Windows

j

8.5.

Configurer DHCP pour les services de déploiement Windows

Nous avons vu en introduction que les services de déploiement Windows ont comme prérequis Active Directory et un serveur DHCP actif sur le réseau. Ils se basent sur l’environnement PXE, qui à son tour utilise DHCP. Dans le cas où l’entreprise 312

Configurer DHCP pour les services de déploiement Windows

n’utiliserait qu’un seul serveur de déploiement, Il est nécessaire de modifier la configuration DHCP si les services de déploiement Windows et DHCP sont installés sur un seul serveur.

L’option DHCP 60
Si votre serveur DHCP est installé sur le même serveur que les services de déploiement Windows, l’assistant Installation des services de déploiement Windows ajoute la balise 60 de l’option DHCP, avec le paramètre de client PXE sélectionné, à toutes les étendues DHCP en tant qu’option DHCP globale. C’est nécessaire pour qu’un client PXE de démarrage reçoive une notification de la présence d’un serveur PXE en écoute sur le réseau. Si vous ajoutez le service DHCP à un serveur ou les services de déploiement Windows sont existants, vous devez reconfigurer manuellement l’option DHCP 60. Vous disposez pour cela de deux possibilités :
j j

la configuration à l’aide de la console d’administration Services de déploiement Windows ; la configuration à l’aide de l’utilitaire WDSUTIL.

Pour configurer l’option DHCP 60 à partir de la console Services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le lien Serveurs pour développer la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Propriétés.

8. Les services de déploiement Windows

Figure 8.10 : Propriété du serveur de déploiement

313

Chapitre 8

Les services de déploiement Windows

4. Dans la page Propriétés du serveur, cliquez sur l’onglet DHCP. 5. Dans la page Options DHCP, cliquez sur Configurer l’option DHCP 60 avec la valeur « PXEClient ».
Figure 8.11 : Configuration de l’option DHCP 60 dans le serveur de déploiement

Droits utilisateur Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les autorisations nécessaires.

Le port 67
8. Les services de déploiement Windows Si le service DHCP est installé sur le même serveur que les services de déploiement Windows, l’assistant de configuration des services de déploiement Windows configurera WDS en sélectionnant l’option Ne pas écouter sur le port 67. C’est nécessaire pour que les clients de démarrage puissent détecter le serveur DHCP sur le réseau. Si vous ajoutez le service DHCP à un serveur de services de déploiement Windows existant, vous devez reconfigurer le port 67, ce qui est possible à l’aide de l’une des deux procédures suivantes :
j j

la configuration de l’option Port 67 à l’aide de la console d’administration Services de déploiement Windows ; la configuration de l’option Port 67 à l’aide de l’utilitaire WDSUTIL.

314

Les images de démarrage

Pour configurer le port 67 à l’aide de la console d’administration Services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le lien Serveurs pour développer la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Propriétés. 4. Dans la page Propriétés du serveur, cliquez sur l’onglet DHCP. 5. Dans la page Options DHCP, cliquez sur Ne pas écouter sur le port 67.
Figure 8.12 : Configuration du port 67

Droits utilisateur Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les autorisations nécessaires.

8. Les services de déploiement Windows

8.6.

Les images de démarrage

Les images de démarrage sont des images Win PE contenant le client Services de déploiement Windows. Elles sont utilisées pour présenter un menu de démarrage initial lorsqu’un client contacte le serveur de services de déploiement Windows.

315

Chapitre 8

Les services de déploiement Windows

j

Les images d’installation représentent le type d’image par défaut lorsque vous exportez une image de démarrage à partir du magasin d’images des services de déploiement Windows. Lorsqu’un client démarre une image d’installation, le programme d’installation de Windows est immédiatement appelé. Les images de capture offrent une alternative à l’utilitaire de ligne de commande
ImageX lors de la capture d’une image préparée avec l’utilitaire Sysprep. Lorsqu’un

j

client démarre sur une image de capture, l’utilitaire de capture des services de déploiement Windows est appelé et vous guide pour la capture et l’ajout d’une nouvelle image.
j

Les images de découverte sont des images de démarrage qui prennent en compte les services de déploiement Windows, pouvant être copiées sur un CD pour être utilisé lorsque les services de démarrage de l’environnement d’exécution de prédémarrage (PXE) sont indisponibles. Après le démarrage sur une image de découverte, l’utilisateur voit s’afficher le menu client des services de déploiement Windows et continue le programme d’installation comme lorsqu’un démarrage PXE se produit.

Ajouter une image de démarrage
Pour ajouter une image de démarrage à l’aide de la console d’administration Services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le lien Serveurs pour développer la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le dossier Images de démarrage et cliquez sur Ajouter une image de démarrage.

8. Les services de déploiement Windows

Figure 8.13 : Ajout d’une image de démarrage

316

Les images de démarrage

4. Dans la fenêtre Fichier Image, cliquez sur Parcourir pour sélectionner l’image à ajouter, puis cliquez sur Suivant.
Figure 8.14 : Emplacement du fichier d’image bootable

5. Dans la fenêtre Métadonnées d’image, entrez le nom de l’image et sa description, puis cliquez sur Suivant. 6. Cliquez sur Suivant dans la fenêtre Résumé. 7. Une fois la progression de la copie achevée, cliquez sur Terminer.

8. Les services de déploiement Windows

Figure 8.15 : Fin de la copie d’installation

317

Chapitre 8

Les services de déploiement Windows

Exporter une image de démarrage
Pour exporter une image de démarrage à l’aide de la console d’administration des services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le lien Serveurs pour développer la liste correspondante. 3. Sélectionnez le dossier Images de démarrage. 4. Cliquez avec le bouton droit de la souris sur une image, puis cliquez sur Exporter l’image.

Figure 8.16 : Export d’une image

5. Dans la fenêtre Exporter en tant que, sélectionnez le chemin et tapez un nom de fichier pour l’image. Cliquez sur Enregistrer.

8. Les services de déploiement Windows

Figure 8.17 : Nom et destination de l’image exportée

318

Les images d’installation

Supprimer une image de démarrage
Pour supprimer une image de démarrage à l’aide de la console d’administration Services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le lien Serveurs pour développer la liste correspondante. 3. Sélectionnez l’entrée Images de démarrage. 4. Dans le volet droit de la console d’administration, cliquez avec le bouton droit de la souris sur l’image et cliquez sur Supprimer l’image.

Figure 8.18 : Suppression d’une image de démarrage

5. Dans la boîte de dialogue de confirmation, cliquez sur Oui pour supprimer l’image.

8.7.

Les images d’installation
8. Les services de déploiement Windows

Les images d’installation sont des images du système d’exploitation qui sera installé sur les ordinateurs clients, qui démarrent sur un serveur des services de déploiement Windows.
j

Format WIM : les fichiers WIM représentent un nouveau format de fichier contenant une ou plusieurs images Windows compressées. Les fichiers WIM reposent sur des fichiers, plutôt que sur des secteurs, ce qui facilite la mise à jour des images existantes. Les fichiers WIM intègrent également la technologie SIS (Single Instance Storage), pour éviter les doublons de fichiers au sein d’un WIM. Images RIPREP : les images RIPREP sont des images des services d’installation à distance héritées. Les services de déploiement Windows, en mode hérité ou mixte,

j

319

Chapitre 8

Les services de déploiement Windows

peuvent déployer des images RIPREP. Les images RIPREP dépendent de la couche HAL et de la langue, ce qui rend leur prise en charge très coûteuse.
j

Images RISETUP : les images RISETUP représentent le premier type d’image des services d’installation à distance. Pour l’essentiel, il s’agit d’une copie de la structure de répertoires du CD (répertoire i386) sur un partage de fichiers sur le serveur des services d’installation à distance. Les images RISETUP présentent un avantage considérable par rapport aux images RIPREP des services d’installation à distance : elles ne dépendent pas de la couche HAL.

8.8.

Les groupes d’images

Un groupe d’images est un ensemble de fichiers image WIM qui partage une sécurité et des ressources de fichiers communes. Les groupes d’images limitent les services car l’action de maintenir une image au sein d’un groupe d’images, par exemple l’application d’un correctif logiciel, d’un Service Pack ou la mise à jour de fichiers, nécessite un accès exclusif au groupe. Les ressources de fichiers sont partagées sur le groupe d’images à instance unique bien que les métadonnées de chaque image résident dans un fichier WIM physique à part. Les groupes d’images contiennent deux types de fichiers :
j

Res.rwm contient les flux de fichiers des images, comme il est défini dans Install.wim, Install2.wim et WinXP.wim. Notez que chaque groupe d’images possède son propre fichier Res.rwm. Install.wim contient les métadonnées d’image décrivant le contenu d’une image de système d’exploitation. Les ressources de fichiers réelles de l’image se trouvent dans Res.rwm.

j

8. Les services de déploiement Windows

Figure 8.19 : Fichiers Res.rwm et Install.wim du groupe d’images Windows Vista x64

Chaque groupe d’images possède un fichier Res.rwm créé lors de l’ajout de la première image au groupe. Res.rwm est connu comme étant un fichier WIM réservé aux ressources uniquement ; toutes les ressources de tous les fichiers résident dans Res.rwm. Le fichier .rwm est un fichier .wim renommé de manière à établir une distinction entre le fichier .wim réservé aux ressources et le fichier .wims de métadonnées et à accélérer

320

Les groupes d’images

l’énumération des images. Dans la mesure où l’énumération d’images ne fonctionne que sur les fichiers .wim, le fichier Res.rwm sera ignoré. Les données d’un fichier WIM sont à instance unique, les fichiers dupliqués ne sont donc stockés qu’une seule fois, ce qui réduit fortement le volume de stockage des images d’un groupe d’images sur le disque.

Créer des groupes d’images
Pour créer un groupe d’images à l’aide de la console d’administration des services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur Serveurs pour développer la liste correspondante. 3. Sélectionnez le dossier Images d’installation, cliquez avec le bouton droit de la souris, puis sélectionnez Ajouter un groupe d’images.

8. Les services de déploiement Windows

Figure 8.20 : Création d’un nouveau groupe d’images

4. dans le champ Entrez un nom pour le groupe d’images de la fenêtre Ajouter un groupe d’images, saisissez Windows Vista x64, puis cliquez sur OK.

321

Chapitre 8

Les services de déploiement Windows

Figure 8.21 : Saisie du nom du nouveau groupe d’images

Ajouter une image d’installation
Pour ajouter une image d’installation à l’aide de la console d’administration des services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur Serveurs pour développer la liste. 3. Sélectionnez le dossier Images d’installation, cliquez avec le bouton droit de la souris sur le groupe d’images dans lequel vous souhaitez ajouter l’image, par exemple Windows Vista x64 dans notre étude de cas, et cliquez sur Ajouter une image d’installation.

8. Les services de déploiement Windows

Figure 8.22 : Sélection du groupe dans lequel vous allez ajouter votre image

322

Les groupes d’images

4. Dans la fenêtre Fichier image, cliquez sur Parcourir pour sélectionner l’image à ajouter, puis cliquez sur Suivant.

Figure 8.23 : Nom et chemin de l’image à ajouter dans le magasin du groupe d’images

Windows x64 5. Dans la fenêtre Liste des images disponibles, sélectionnez les images, activez l’option Utilisez le nom par défaut et la description pour chaque image sélectionnée et cliquez sur Suivant. 6. Dans la fenêtre Résumé, cliquez sur Suivant, puis sur Terminer.

Supprimer une image d’installation
Pour supprimer une image d’installation à l’aide de la console d’administration des services de déploiement Windows, procédez ainsi : 8. Les services de déploiement Windows 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur Serveurs pour développer la liste. 3. Sélectionnez Images d’installation. 4. Sélectionnez le groupe d’images contenant l’image, par exemple Windows Vista x64.

323

Chapitre 8

Les services de déploiement Windows

Figure 8.24 : Sélection du groupe qui possède l’image à supprimer

5. Dans le volet droit, cliquez avec le bouton droit de la souris sur l’image et cliquez sur Supprimer l’image.

Figure 8.25 : Suppression de l’image

8. Les services de déploiement Windows

6. Dans la boîte de dialogue, confirmez la suppression de l’image, cliquez sur Oui pour supprimer l’image.
Figure 8.26 : Confirmation de la suppression de l’image

324

Les groupes d’images

Exporter une image d’installation
Pour exporter une image d’installation à l’aide de la console d’administration des services de déploiement Windows, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur Serveurs pour développer la liste. 3. Cliquez sur le serveur, puis sur le dossier Images d’installation. 4. Sélectionnez le groupe d’images, puis cliquez avec le bouton droit de la souris sur une image et sélectionnez Exporter l’image.

Figure 8.27 : Export d’une image d’installation

5. Dans la fenêtre Exporter en tant que, choisissez le chemin et le nom donné au fichier, puis cliquez sur Enregistrer.

8. Les services de déploiement Windows

Figure 8.28 : Export de l’image

325

Chapitre 8

Les services de déploiement Windows

8.9.

La stratégie de noms de clients et l’emplacement de compte

Vous pouvez utiliser la page Propriétés des services d’annuaire du serveur de déploiement pour définir la stratégie de noms de clients par défaut et l’emplacement du compte client. Les services de déploiement Windows offrent quatre méthodes pour nommer un ordinateur et le placer dans une unité d’organisation :
j j j j

L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation. Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation. Le client effectue toutes les actions d’ajout à un domaine lors du premier démarrage. Un administrateur crée une interface utilisateur personnalisée.

L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation
Vous pouvez spécifier le nom de l’ordinateur et l’unité d’organisation à rejoindre ordinateur par ordinateur. Ce scénario vous demande d’activer la stratégie d’ajout automatique des périphériques en attente, puis d’utiliser la console d’administration des services de déploiement Windows pour spécifier le nom de l’ordinateur et l’unité d’organisation une fois l’ordinateur approuvé. Les paramètres sont utilisés de deux manières…
j

Dans le cadre du processus d’approbation des périphériques en attente : il s’agit de paramètres par serveur ou par architecture qui s’applique à tous les périphériques approuvés. L’administrateur peut les ignorer sur ordinateur par ordinateur lors de l’approbation. Pour les scénarios d’ajout à un domaine impliquant le client WDS : par défaut, toutes les installations effectuées à l’aide du client Services de déploiement Windows entraînent l’ajout de l’ordinateur au domaine à la fin du processus. Si l’installation a lieu sur un client prédéfini (créé manuellement ou via Périphériques en attente), le client est ajouté en tant que périphérique existant. Si l’installation est effectuée sur un nouvel ordinateur, le client Services de déploiement Windows crée un compte d’ordinateur dans Active Directory en fonction de ces paramètres de stratégie. Le client sera alors joint en tant que nouveau compte.

j

8. Les services de déploiement Windows

Spécifier la stratégie de noms de clients et l’unité d’organisation lors de l’approbation
Pour spécifier la stratégie de noms de clients et l’unité organisationnelle lors de l’approbation, procédez de la façon suivante : 326

La stratégie de noms de clients et l’emplacement de compte

1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur Serveurs pour développer la liste. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Propriétés. 4. Sélectionnez l’onglet Paramètres de réponse PXE.
Figure 8.29 : Onglet Paramètres de réponse PXE du serveur de déploiement

5. Cliquez sur Répondre à tous les ordinateurs clients (connus et inconnus). 6. Cliquez sur Pour les clients inconnus, informer l’administrateur et répondre après accord. 7. Effectuez un démarrage PXE de l’ordinateur client. 8. Les services de déploiement Windows Sur l’ordinateur client, un message s’affiche et indique l’ID de demande et l’adresse IP du serveur qui a été contacté lors du démarrage de l’ordinateur client. 8. Dans le composant logiciel enfichable Services de déploiement Windows, sélectionnez le serveur que le client a contacté pour afficher le nouveau client sous la rubrique Périphériques en attente.

327

Chapitre 8

Les services de déploiement Windows

Figure 8.30 : Client en attente dans le serveur dans la file d’attente du serveur de

déploiement 9. Cliquez avec le bouton droit de la souris sur le périphérique, puis cliquez sur Approuver.

Figure 8.31 : Approbation du client en attente

10. Tapez un nom d’ordinateur et une unité d’organisation. 11. Cliquez sur OK. 12. Sur l’ordinateur client, choisissez une image dans le menu et appuyez sur [Ä].

Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation
8. Les services de déploiement Windows Vous pouvez définir le nom de l’ordinateur et l’unité d’organisation serveur par serveur, puis tous les clients créés à partir d’un serveur déterminé seront constitués avec une stratégie de noms d’ordinateur cohérente et dans le même domaine. Ces paramètres sont définis sous les onglets Propriétés du serveur et les valeurs sont utilisées lorsque le client Services de déploiement Windows démarre la première phase de l’installation. Pour spécifier la stratégie de noms de clients et l’unité d’organisation par serveur, procédez ainsi : 1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement Windows. 2. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Propriétés. 3. Cliquez sur l’onglet Paramètres de réponse PXE.

328

La stratégie de noms de clients et l’emplacement de compte

4. Dans la partie Stratégie de réponse PXE, cliquez sur Répondre à tous les ordinateurs clients (connus et inconnus).
Figure 8.32 : Paramètres de réponse PXE

5. Cliquez sur l’onglet Services d’annuaire. 6. Définissez la stratégie de nom de clients. Stratégie de nom client La stratégie de nom de clients par défaut est définie par le nom d’utilisateur suivi de deux chiffres aléatoires. Vous pouvez utiliser les chiffres 1 à 9 pour modifier le nombre de chiffres après le nom d’utilisateur. 7. Sous l’onglet Emplacement du compte client, choisissez l’unité d’organisation par défaut (même domaine que le serveur des services de déploiement Windows) ou définissez une unité d’organisation pour le serveur. 8. Effectuez un démarrage PXE d’un ordinateur client pour le créer à l’aide de la stratégie de nom de clients et de l’unité d’organisation spécifiées.

8. Les services de déploiement Windows

Définir la stratégie de noms d’ordinateurs
1. Pour vérifier que chaque ordinateur client est doté d’un nom d’ordinateur unique, sélectionnez une option automatique d’attribution de noms sur la liste appropriée.

329

Chapitre 8

Les services de déploiement Windows

Toutes les options automatiques d’attribution de nom basées sur le nom de l’utilisateur ajoutent un numéro incrémentiel au nom de l’utilisateur pour qu’il soit unique. 2. Sélectionnez une option dans le tableau suivant pour créer automatiquement le nom d’ordinateur personnalisé.
Tableau 8.2 : Définir une stratégie de noms d’ordinateurs Variable %First %Last %Username %MAC %[0][n]# Résultat Le prénom de l’utilisateur est utilisé en tant que nom de l’ordinateur. Le nom de l’utilisateur est utilisé en tant que nom de l’ordinateur. Le nom d’utilisateur est utilisé en tant que nom de l’ordinateur. L’adresse de contrôle d’accès au média de la carte réseau est utilisée en tant que nom de l’ordinateur. Le nom d’ordinateur contient un numéro incrémentiel comprenant n chiffres. Pour entrer un caractère de remplissage (0) dans le numéro incrémentiel, tapez un zéro, comme indiqué. Par exemple, si vous choisissez %03#, entrez un nombre à trois chiffres compris entre 001 et 999.

Bonne pratique Évitez de créer une convention de nom qui pourrait générer des noms d’ordinateurs dupliqués. Pour l’éviter, utilisez l’option de numéro incrémentiel décrite dans le tableau précédent. Lorsque vous définissez la règle d’attribution de noms de votre ordinateur, vous pouvez limiter la longueur du nom de l’ordinateur en ajoutant une valeur numérique à la chaîne de texte. Par exemple, pour réduire à trois caractères le nom d’ordinateur, avec un numéro incrémentiel à deux chiffres ajoutés au nom de famille du dernier utilisateur, utilisez la chaîne %3Last%02#. Le nom d’ordinateur attribué au cinquième utilisateur de l’ordinateur dont le nom de famille est Paul, sera donc Paul05. Vous pouvez utiliser séparément ou combiner les options d’attribution de noms personnalisées. Par exemple, si vous voulez que le nom d’ordinateur contienne les trois premières lettres du prénom de l’utilisateur, puis les trois premières lettres du nom de famille de l’utilisateur, suivi d’un nombre incrémentiel à trois chiffres, vous pouvez utiliser la chaîne %3First%3Last%03#.

8. Les services de déploiement Windows 330

La stratégie de noms de clients et l’emplacement de compte

Effectuer toutes les actions d’ajout à un domaine lors du premier démarrage
Les informations d’ajout à un domaine, y compris le nom d’ordinateur, le domaine et les informations d’identification des utilisateurs, sont ajoutées par le client Services de déploiement Windows dans le fichier d’installation sans assistance d’image utilisé lors de l’installation du client. Si un fichier d’installation sans assistance existant est associé à l’image que le client installe, ce fichier est mis à jour. Si l’image que le client installe n’est pas associée à un fichier d’installation sans assistance, un fichier d’installation sans assistance "modèle" est utilisé. Le modèle d’installation sans assistance des images de bas niveau se trouve dans le répertoire \Templates du partage REMINST. Le modèle d’installation sans assistance pour les images Windows Vista et Windows Server Longhorn se trouve dans l’image elle-même, sous le nom \Windows\system32 \WdsUnattendFile.xml.

8. Les services de déploiement Windows

Figure 8.33 : Fichier WdsUnattendFile.xml

Si vous utilisez un fichier d’installation sans assistance d’image, assurez-vous que le fichier contient les balises adéquates :
j

La balise <UnsecureJoin> est utilisée pour Unattend.xml. 331

Chapitre 8

Les services de déploiement Windows

j

La balise <DoOldStyleDomainJoin> est utilisée pour Sysprep.inf.

La présence de ces balises indique que les services de déploiement Windows doivent insérer les informations d’ajout au domaine. La section Microsoft-Windows-Shell-Setup dans la passe <specialize> doit être présente dans votre fichier d’installation sans assistance. Le nom d’ordinateur n’est pas ajouté si la passe <specialize> ne contient pas au moins une section Microsoft-Windows-Shell-Setup vide. L’objectif ici consiste à éviter le codage irréversible des attributs de ce composant, notamment de publicKeyToken et de la langue.

8.10. Le programme de démarrage par défaut
Vous pouvez définir les paramètres du programme de démarrage par défaut pour définir la façon dont le client PXE interagit avec le serveur de services de déploiement Windows par architecture. Le tableau suivant décrit les programmes de démarrage disponibles :
Programme de démarrage Abortpxe.com Bootmgfw.efi Fonctionnalité Ce programme est envoyé à un ordinateur client lorsqu’un administrateur rejette un périphérique en attente. La version EFI de pxeboot.com inclut toutes les fonctionnalités de pxeboot.com, pxeboot.n12, abortpxe.com et bootmgr.exe. Uniquement disponible pour ia64 actuellement. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM1 des systèmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Vous pouvez ensuite appuyer sur [F12] pour passer au processus de démarrage ou quitter ce processus en n’appuyant pas sur [F12]. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM1 des systèmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Ce programme ignorera la touche [F12] et démarrera directement le serveur PXE. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM2 des systèmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Vous pouvez ensuite appuyer sur [F12] pour passer au processus de démarrage ou quitter ce processus en n’appuyant pas sur [F12].

Hdlscom1.com

Hdlscom1.n12

8. Les services de déploiement Windows

Hdlscom2.com

332

WDSUTIL

Programme de démarrage Hdlscom2.n12

Fonctionnalité Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM2 des systèmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Ce programme ignorera la touche [F12] et démarrera directement le serveur PXE. Vous pouvez utiliser ce programme de démarrage (par défaut) pour inviter l’utilisateur à appuyer sur la touche [F12] pour accéder aux services de démarrage. Vous pouvez utiliser ce programme de démarrage pour ignorer la touche [F12] et démarrer directement sur le serveur PXE. Wdsnbp.com est un programme de démarrage réseau utilisé par les services de déploiement Windows et ne doit jamais être utilisé en tant que programme de démarrage par défaut. Wdsnbp.com sert les opérations générales suivantes : - Il bloque le démarrage PXE. Cela permet aux services de déploiement Windows d’exécuter la logique de réponse avancée en évitant que le client n’expire tandis qu’il attend le serveur. - Il rapporte l’architecture du client de démarrage lorsque celle-ci ne peut pas être déterminée à partir du paquet réseau de démarrage PXE. C’est particulièrement important sur les systèmes x64 qui ne rapportent pas leur architecture 64 bits. - Il résout les cas de références PXE lorsque les services de déploiement Windows et services d’installation à distance sont présents sur le même réseau ou segment réseau. - Il agit en tant que protocole de démarrage réseau pour les cas d’ajouts automatiques où il bloquera le processus de démarrage PXE et interrogera le serveur sur l’état d’approbation.

Pxeboot.com

Pxeboot.n12 Wdsnbp.com

8.11. WDSUTIL
8. Les services de déploiement Windows

wdsutil
wdsutil est l’outil en ligne de commandes qui permet de configurer et d’administrer les services de déploiement de Windows.

Syntaxe :
/Get−AllDevices

wdsutil <cmd> [option] Affiche des informations préintermédiaires. sur tous les périphériques

333

Chapitre 8

Les services de déploiement Windows

/Get−AllImageGroups /Get−AllImages /Get−AllServers /New−CaptureImage /New−DiscoverImage /Add−Device /Get−Device /Set−Device /Add−Image /Copy−Image /Export−Image /Get−Image /Remove−Image /Replace−image /Set−Image /Get−ImageFile /Add−ImageGroup /Get−ImageGroup 8. Les services de déploiement Windows /Remove−ImageGroup /Set−ImageGroup

Affiche les informations sur tous les groupes d’images. Affiche les informations sur toutes les images. Affiche les informations sur tous les serveurs de services de déploiement Windows. Crée une image Win PE utilisée dans la capture des images du système d’exploitation. Crée une image Win PE utilisée dans la découverte du serveur des services de déploiement Windows. Ajoute un périphérique préintermédiaire. Affiche les attributs d’un périphérique existant. Change les attributs d’un périphérique existant. Ajoute les images de démarrage ou d’installation. Copie une image dans le magasin d’images. Exporte une image du magasin d’images vers un fichier WIM. Affiche les attributs d’une image existante. Supprime une image de démarrage ou d’installation. Remplace une image de démarrage ou d’installation par une nouvelle version. Change les attributs d’une image existante. Affiche les informations sur les images d’un fichier WIM. Ajoute un groupe d’images. Affiche les informations d’un groupe d’images. Supprime un groupe d’images. Change les attributs d’un groupe d’images existant.

/Approve−AutoAddDevices Approuve les périphériques d’ajout automatique en attente sur le serveur. /Reject−AutoAddDevices Refuse les périphériques d’ajout automatique en attente sur le serveur. /Get−AutoAddDevices Affiche les périphériques d’ajout automatique du serveur.

334

WDSUTIL

/Delete−AutoAddDevices Supprime les périphériques dans la base de données de périphériques d’ajout automatique. /Convert−RiPrepImage /Disable−Server /Enable−Server /Get−Server /Initialize−Server /Set−Server /Start−Server /Stop−Server /Uninitialize−Server /Update−ServerFiles Convertit une image RIPREP existante en un fichier WMI. Désactive l’ensemble des services de déploiement Windows sur un serveur. Active l’ensemble des services de déploiement Windows sur un serveur. Affiche les informations sur un serveur de services de déploiement Windows. Configure un serveur de services de déploiement Windows pour une utilisation initiale. Configure les paramètres d’un serveur de services de déploiement Windows. Démarre tous les services du serveur de services de déploiement Windows. Arrête tous les services du serveur de services de déploiement Windows. Restaure les modifications effectuées lors de l’initialisation du serveur. Met à jour les fichiers du serveur sur le partage REMINST.

Pour illustrer la commande WDSUtil, voyez maintenant quelques exemples d’administration du serveur en ligne de commandes…

Configurer l’option 60 en ligne de commandes
8. Les services de déploiement Windows Pour configurer l’option DHCP 60 à l’aide de l’utilitaire WDSUtil, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /set−server /DHCPOption60:yes.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server ✂ /DHCPOption60:yes

335

Chapitre 8

Les services de déploiement Windows

Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

Configurer le port 67 en ligne de commandes
Pour configurer le port 67 à l’aide de l’utilitaire WDSUtil, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /set−server /usedhcpports:no.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server /usedhcpports:no Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

Ajouter une image de démarrage en ligne de commandes
Pour ajouter une image de démarrage à l’aide de l’utilitaire WDSUtil à partir d’une Invite de commandes : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /add−image /imagefile:\\server\share\sources\boot.wim /imagetype:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /add-image ✂ /imagefile:\\stlscpap01\share\sources\boot.wim /imagetype:boot Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

8. Les services de déploiement Windows

Ajouter une image d’installation La même manipulation en ligne de commandes existe pour ajouter une image d’installation, la seule grande différence étant que cette image appartient à un groupe. 336

WDSUTIL

Pour plus d’informations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalité des commandes du serveur.

Supprimer une image de démarrage en ligne de commandes
Pour supprimer une image de démarrage à l’aide de l’utilitaire WDSUTIL à partir d’une Invite de commandes, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /Remove−Image /Image:Nom_image /ImageType:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /Remove-Image ✂ /Image:"Microsoft Windows Longhorn Setup (x86)" /ImageType:boot ✂ /Architecture:x86 Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

Supprimer une image d’installation La même manipulation en ligne de commandes existe pour supprimer une image d’installation, la seule grande différence étant que cette image appartient à un groupe. Pour plus d’informations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalité des commandes du serveur.

8. Les services de déploiement Windows

Obtenir des informations sur le serveur de déploiement en ligne de commandes
Pour lister la configuration de votre serveur à un instant donné, vous pouvez utiliser la commande suivante : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 337

Chapitre 8

Les services de déploiement Windows

2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /verbose /get−server /Server:serveurWDS /Show:All /detailed.
C:\Documents and Settings\Administrateur>wdsutil /verbose /get-server ✂ /Server: stlscpap01 /Show:All /detailed Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés.

INFORMATIONS D’INSTALLATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] État du serveur : Version du système : 5.2 Mode de fonctionnement WDS : Natif État de l’installation : Emplacement REMINST : e:\RemoteInstall Partage REMINST à jour : Oui Fichiers de démarrage installés : x86 - Oui x64 - Oui ia64 - Non [----------------------------------------------------------------------------] INFORMATIONS DE CONFIGURATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] Autorisation de serveur : État de l’autorisation : Non autorisé Stratégie de réponse : Répondre aux clients : Oui Répondre uniquement aux clients connus : Non Délai de réponse : 0 secondes

8. Les services de déploiement Windows

Stratégie d’utilisation des services d’annuaire : Contrôleur de domaine préféré : Catalogue global préféré : Prédéfinir les périphériques à l’aide de MAC : Non Stratégie de nommage des nouveaux ordinateurs : %61Username%# Ordre de recherche de domaine : Catalogue global uniquement Domaine de jointure des nouveaux ordinateurs : Oui Unité d’organisation Nouvel ordinateur : Type d’unité d’organisation : ServerDomain Unité d’organisation : CN=Computers,DC=Copr,DC=puzzmania,DC=com Configuration DHCP : État du service DHCP : En cours d’exécution

338

WDSUTIL

Option DHCP 60 configurée : Oui Stratégie de liaison PXE : Utiliser les ports DHCP : Oui Détection de serveurs non autorisés : Désactivé Port RPC : 5040 Stratégie de liaison d’interface : Stratégie : Exclure les inscrits Interfaces inscrites : Stratégie de programme de démarrage : Autoriser N12 pour les nouveaux clients : Non Découverte d’architecture : Désactivé Réinitialiser le programme de démarrage : Non Programmes de démarrage par défaut : x86 - boot\x86\pxeboot.com x64 - boot\x64\pxeboot.com ia64 - boot\ia64\bootmgfw.efi Programmes de démarrage N12 par défaut : x86 - boot\x86\pxeboot.n12 x64 - boot\x64\pxeboot.n12 ia64 - boot\ia64\bootmgfw.efi Liste des GUID bannis : Stratégie d’image de démarrage : Type d’image par défaut pour les clients x64 : Les deux Images de démarrage par défaut : x86 x64 ia64 Stratégie de client WDS : Stratégie d’enregistrement : Activée : Non Niveau d’enregistrement : Informations Stratégie autonome : Activée : Non Précédence de ligne de commande : Non Fichiers d’installation sans assistance WDS : x86 x64 ia64 Stratégie OSChooser : Nom de menu : Stratégie d’actualisation automatique de serveur : Délai d’actualisation : 900 secondes

8. Les services de déploiement Windows 339

Chapitre 8

Les services de déploiement Windows

Stratégie d’actualisation de BCD : Activée : Non Délai d’actualisation : 60 minutes Stratégie d’ajout automatique : Stratégie : Désactivé Intervalle d’interrogation : 10 secondes Nombre max. de tentatives : 2160 fois Message : Période de rétention : Périphériques approuvés : 30 jours Autres périphériques : 1 jours Valeurs par défaut pour x86 : Serveur de référence : Chemin d’accès au programme de démarrage Chemin d’accès au fichier d’installation ✂ : Chemin d’accès à l’image de démarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par défaut pour x64 : Serveur de référence : Chemin d’accès au programme de démarrage Chemin d’accès au fichier d’installation ✂ : Chemin d’accès à l’image de démarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par défaut pour ia64 : Serveur de référence : Chemin d’accès au programme de démarrage Chemin d’accès au fichier d’installation ✂ : Chemin d’accès à l’image de démarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui

: sans assistance client WDS

: sans assistance client WDS

: sans assistance client WDS

8. Les services de déploiement Windows

Fournisseurs PXE WDS : Nom : BINLSVC Chemin d’accès : C:\WINDOWS\system32\binlsvc.dll Ordre : 1 Critique : Oui

340

WDSUTIL

[----------------------------------------------------------------------------] INFORMATIONS SUR LES IMAGES POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] IMAGES DE DÉMARRAGE ============================================================================== -----------------------------Images de démarrage pour x86 -----------------------------Nombre d’images : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x86) Nom du fichier : boot.wim Nom de l’image : Microsoft Windows Longhorn Setup (x86) Description : Microsoft Windows Longhorn Setup (x86) Architecture : x86 Type d’image : Démarrage Groupe d’images : <Non applicable> Taille : 338034861 octets Type HAL : Heure de création : jeudi 2 novembre 2006 14:22:57 Dernière modification : samedi 3 février 2007 21:20:46 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier d’installation sans assistance présent : Non État : Activé ******************************************************************************

8. Les services de déploiement Windows

Maintenance x86 v.1.3 Nom du fichier : Maintenance.wim Nom de l’image : Maintenance x86 v.1.3 Description : Maintenance x86 v.1.3 Architecture : x86 Type d’image : Démarrage Groupe d’images : <Non applicable> Taille : 338034861 octets Type HAL : Heure de création : jeudi 2 novembre 2006 14:22:57 Dernière modification : samedi 3 février 2007 21:32:22 Langue par défaut : Français (France)

341

Chapitre 8

Les services de déploiement Windows

Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier d’installation sans assistance présent : Non État : Activé ****************************************************************************** -----------------------------Images de démarrage pour ia64 -----------------------------Nombre d’images : 0 -----------------------------Informations sur les images : -----------------------------Aucune image ne correspond aux critères spécifiés. -----------------------------Images de démarrage pour x64 -----------------------------Nombre d’images : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x64) Nom du fichier : boot.wim Nom de l’image : Microsoft Windows Longhorn Setup (x64) Description : Microsoft Windows Longhorn Setup (x64) Architecture : x64 Type d’image : Démarrage Groupe d’images : <Non applicable> Taille : 383339906 octets Type HAL : Heure de création : jeudi 2 novembre 2006 16:07:42 Dernière modification : samedi 3 février 2007 21:29:20 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier d’installation sans assistance présent : Non État : Activé ****************************************************************************** Maintenance x64 v.1.1

8. Les services de déploiement Windows 342

WDSUTIL

Nom du fichier : Maintenance x64 v.1.1.wim Nom de l’image : Maintenance x64 v.1.1 Description : Maintenance x64 v.1.1 Architecture : x64 Type d’image : Démarrage Groupe d’images : <Non applicable> Taille : 383339906 octets Type HAL : Heure de création : jeudi 2 novembre 2006 16:07:42 Dernière modification : samedi 3 février 2007 21:34:27 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier d’installation sans assistance présent : Non État : Activé ******************************************************************************

============================================================================== -------Résumé : -------Nombre total de magasins d’images de démarrage : 3 Nombre total d’images de démarrage : 4 --------

IMAGES D’INSTALLATION ============================================================================== -------------------Groupe d’images Windows Vista x64 -------------------Nom : Windows Vista x64 Sécurité : ✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; ✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510) Nombre d’images : 2 ----------------------------Informations sur les images : -----------------------------

8. Les services de déploiement Windows

Windows Vista ULTIMATE Nom du fichier : install-(2).wim

343

Chapitre 8

Les services de déploiement Windows

Nom de l’image : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x64 Type d’image : Installation Groupe d’images : Windows Vista x64 Taille : 11666352356 octets Type HAL : acpiapic Heure de création : jeudi 2 novembre 2006 16:44:01 Dernière modification : dimanche 4 février 2007 14:13:43 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : ✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 ✂ -1688844526-3235337491-1375791646-891369040-3692469510) Fichier d’installation sans assistance présent : Non État : Activé ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de l’image : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x64 Type d’image : Installation Groupe d’images : Windows Vista x64 Taille : 10604416502 octets Type HAL : acpiapic Heure de création : jeudi 2 novembre 2006 16:37:21 Dernière modification : dimanche 4 février 2007 14:11:50 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : ✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 ✂ -1688844526-3235337491-1375791646-891369040-3692469510) Fichier d’installation sans assistance présent : Non État : Activé ***************************************************************************** -------------------Groupe d’images Windows Vista x86 -------------------Nom : Windows Vista x86 Sécurité : ✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; ✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)

8. Les services de déploiement Windows 344

WDSUTIL

Nombre d’images : 2 ----------------------------Informations sur les images : ----------------------------Windows Vista ULTIMATE Nom du fichier : install-(2).wim Nom de l’image : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x86 Type d’image : Installation Groupe d’images : Windows Vista x86 Taille : 8018307216 octets Type HAL : acpiapic Heure de création : jeudi 2 novembre 2006 13:41:31 Dernière modification : dimanche 4 février 2007 14:20:48 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : ✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80✂ 1688844526-3235337491-1375791646-891369040-3692469510) Fichier d’installation sans assistance présent : Non État : Activé ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de l’image : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x86 Type d’image : Installation Groupe d’images : Windows Vista x86 Taille : 7066175656 octets Type HAL : acpiapic Heure de création : jeudi 2 novembre 2006 13:37:02 Dernière modification : dimanche 4 février 2007 14:20:03 Langue par défaut : Français (France) Autres langues : Version du système d’exploitation : MicrosoftT WindowsT Operating System, ✂ 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : ✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80✂ 1688844526-3235337491-1375791646-891369040-3692469510) Fichier d’installation sans assistance présent : Non État : Activé

8. Les services de déploiement Windows 345

Chapitre 8

Les services de déploiement Windows

****************************************************************************** ============================================================================== -------Résumé : -------Nombre total de groupes d’images d’installation : 2 Nombre total d’images d’installation : 4 -------IMAGES NON NATIVES ============================================================================== -------Résumé : -------Nombre total de groupes d’images non natives : 0 Nombre total d’images non natives : 0 -------[----------------------------------------------------------------------------] -----------------------------RÉSUMÉ GLOBAL SUR LES IMAGES : -----------------------------Nombre total de magasins d’images de démarrage : 3 Nombre total d’images de démarrage : 4 Nombre total de groupes d’images d’installation : 2 Nombre total d’images d’installation : 4 Nombre total de groupes d’images non natives : 0 Nombre total d’images non natives : 0 -----------------------------La commande s’est terminée correctement.

Démarrer le serveur en ligne de commandes
8. Les services de déploiement Windows Si vous souhaitez démarrer ou redémarrer votre serveur en ligne de commandes, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /start−server.
C:\Documents and Settings\Administrateur>wdsutil /start-server Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386]

346

En résumé

Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

Arrêter le serveur en ligne de commandes
Si vous souhaitez arrêter votre serveur en ligne de commandes, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /stop−server.
C:\Documents and Settings\Administrateur>wdsutil /stop-server Utilitaire de gestion des services de déploiement Windows [Version ✂ 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits réservés. La commande s’est terminée correctement. C:\Documents and Settings\Administrateur>

8.12. En résumé
Dans ce chapitre, nous avons vu que Windows Server 2003 possède à présent deux services de déploiement : le serveur RIS en natif depuis l’arrivée de Windows Server 2003 et les services de déploiement Windows. Ces nouveaux services de déploiement permettent de continuer à déployer les anciennes images présentes dans votre système d’informations, mais également les images de Windows Vista. Pour assurer la compatibilité, ce serveur peut fonctionner selon trois modes. Pour décrire le niveau de fonctionnalité associé à chaque mode configuration possible de WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories, connues sous le nom de "modes serveurs".
j

8. Les services de déploiement Windows

Le mode compatible WDS est fonctionnellement équivalent à RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera présent comme système d’exploitation d’amorçage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.

347

Chapitre 8

Les services de déploiement Windows

Tableau 8.3 : Le mode compatible WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS

j

Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage, OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est possible d’exploiter le nouveau format WIM via une image d’amorçage Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.

Tableau 8.4 : Le mode mixte WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS

j

Le mode natif WDS correspond à un serveur WDS et à des images d’amorçage uniquement de type Windows PE. Dans ce mode, OSChooser disparaît et les images WIM sont les seules à être prises en charge pour un déploiement sur les clients. L’administration du serveur s’effectue via les outils WDS. Le mode natif WDS s’applique à Windows Server 2003 et à Windows Server 2008. Pour Windows Server 2008, il s’agit du seul mode serveur WDS pris en charge.

8. Les services de déploiement Windows

Tableau 8.5 : Le mode natif WDS Fonctionnalité Environnement d’amorçage Types d’images Outils d’administration Valeur Windows PE WIM Administration WDS

Ces différents modes permettent une transition en douceur entre les fonctionnalités RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows Server 2008. 348

En résumé

Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS. À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et l’interface à la ligne de commandes) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande /forceNative). Le serveur de déploiement peut être installé avec le Services Pack 2 de Windows Server 2003 ou depuis un fichier téléchargé sur les sites de Microsoft. Dans ce cas, le serveur doit répondre à l’ensemble des prérequis d’installation. Les services de déploiement fonctionnent depuis l’interface graphique, mais également en ligne de commandes à partir de l’outil WDSutil. Pour conclure ce chapitre, ce qu’il faut retenir est que ce nouveau service de déploiement a pour objectif d’unifier les anciens modes de déploiement tel que RIS et les nouveaux modes de déploiement de type WIM. Le service fonctionne avec trois niveaux de compatibilité. Ce service demande quelques prérequis tel que le Service Pack 1 de Windows Server 2003 ou encore le Framework .Net. Le grand avantage proposé par le service de déploiement est qu’il est quasiment administrable en ligne de commandes.

8. Les services de déploiement Windows 349

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure
9.1 9.2 9.3 9.4 L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 . . . . 362 . . . . 382 . . . . 397

L’intégration dans le domaine Active Directory

D

ans le monde des entreprises, les services informatiques mettent en œuvre, font évoluer et modifient les infrastructures systèmes leur permettant de mieux contrôler et administrer tous les services déployés pour les utilisateurs. Chez Microsoft, l’infrastructure qui permet une administration centralisée des ressources s’appelle Active Directory. Windows Vista remplace Windows XP dans le contexte d’entreprise. Windows Vista est taillé pour répondre aux exigences, de plus en plus grandes, d’amélioration de la productivité des utilisateurs en entreprise. Windows Vista arrive dans les entreprises et ces dernières disposent toutes d’un système d’information existant. Que ce soit la petite PME avec cinq ou six postes ou la grande entreprise avec plus de 2000 utilisateurs. Windows Vista va devoir cohabiter avec les différentes versions de systèmes d’exploitation existants dans l’entreprise et surtout, Windows Vista va devoir cohabiter au sein de l’infrastructure système et réseau de l’entreprise. Dans le cadre des systèmes d’exploitation Microsoft, Windows Vista devra cohabiter au sein des forêts et domaines Active Directory.

9. L’intégration de Windows Vista dans l’infrastructure

9.1.

L’intégration dans le domaine Active Directory

Pour mieux comprendre la problématique actuelle, faisons un petit rappel historique. À l’époque, Windows 2000 Server et Windows 2000 Professionnel (la version cliente) sont sortis simultanément, la première version d’Active Directory couvrant parfaitement toutes les options de configuration de Windows 2000 Professionnel. En 2001, Windows XP Professionnel fait son apparition. Il s’intègre dans les forêts Active Directory Windows 2000 Server, mais il possède des capacités de configuration plus grandes que Windows 2000 Professionnel. Il faut donc attendre 2003 et la sortie de Windows Server 2003 pour mettre à niveau les fonctionnalités d’Active Directory et tirer parti de tout le potentiel de configuration et d’amélioration de la productivité du tandem Windows XP Professionnel et Windows Server 2003. Il en va de même pour Windows Vista. Il s’intègre bien dans les forêts et les domaines Active Directory existants, mais nous en tirerons tout le potentiel uniquement lorsque le successeur de Windows Server 2003 (connu sous le nom actuel de Windows Server Longhorn) sera sorti et que l’infrastructure Active Directory sera mise à niveau, c’est-à-dire pas avant fin 2007. Prenons l’exemple d’une société fictive pour étayer nos démonstrations. Cette société se compose d’un domaine, lui-même composé de stations de travail Windows XP Professionnel. Aujourd’hui, cette entreprise installe des ordinateurs Windows Vista pour répondre aux besoins d’une certaine population de l’entreprise et souhaite les intégrer au domaine existant. Ces ordinateurs Windows Vista ont déjà été installés selon la procédure adéquate. Voici comment procéder pour les intégrer au domaine…

353

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

L’interface graphique
9. L’intégration de Windows Vista dans l’infrastructure 1. Loguez-vous sous Windows Vista avec un compte administrateur local. 2. Cliquez sur le logo Windows pour ouvrir le menu de démarrage, puis cliquez avec le bouton droit de la souris de la souris sur Ordinateur.

Figure 9.1 : Sélection du menu Ordinateur

3. Cliquez sur Propriétés. La fenêtre d’information système de votre ordinateur s’ouvre.

Figure 9.2 : La fenêtre d’information système

354

L’intégration dans le domaine Active Directory

4. Cliquez sur Modifier les paramètres en bas à droite de la fenêtre. 9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.3 : Validation du changement de configuration

5. Au message du contrôle de compte utilisateur, cliquez sur Continuer. La fenêtre des propriétés système s’ouvre.

Figure 9.4 : La fenêtre des propriétés système

355

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

6. Cliquez sur Modifier. Cochez l’option Domaine et entrez le nom du domaine corp.puzzmania.com.

Figure 9.5 : Configuration du domaine à rejoindre

7. Validez, puis tapez l’identifiant d’un compte du domaine possédant les droits pour ajouter un ordinateur au domaine. Cliquez sur OK.

Figure 9.6 : Fenêtre d’identification d’un compte du domaine possédant les droits

d’ajouter un ordinateur au domaine

356

L’intégration dans le domaine Active Directory

Si tout se passe bien, vous verrez apparaître un message de bienvenue dans votre domaine. Vous devrez, comme dans toutes les versions précédentes de Windows, redémarrer l’ordinateur pour que les changements prennent effet.

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.7 : Vous devez redémarrer pour que vos changements prennent effet

Une fois l’ordinateur redémarré, la nouvelle fenêtre de login, propre aux ordinateurs Windows en réseau, fait son apparition, accessible par la fameuse combinaison de touches [Ctrl]+[Alt]+[Suppr].

Figure 9.8 : la fenêtre de login

357

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

8. Tapez sur la combinaison de touches et entrez votre identifiant de domaine. 9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.9 : Entrez votre identifiant de domaine

Après la validation, votre session de travail s’ouvre. S’identifier dans un autre domaine Si vous souhaitez vous loguer dans un autre domaine que le domaine d’appartenance de l’ordinateur, domaine approuvé dans lequel vous avez le droit de vous loguer, à la différence des versions antérieures de Windows, il n’y a pas de section vous permettant de sélectionner un autre domaine. Vous devez taper le nom du domaine dans la partie réservée au nom de l’utilisateur selon le format nomdomaine \nomutilisateur. Regardons maintenant de plus près comment ce nouvel ordinateur apparaît sous Active Directory Windows Server 2003. Pour cela, connectez-vous à un contrôleur de domaine ou un serveur Windows Server 2003 ou encore à une station de travail comprenant les outils d’administration permettant de lancer l’outil Utilisateurs et Ordinateurs Active Directory (cette dernière méthode est la plus sécurisée). Nous considérons que vous êtes administrateur de l’infrastructure Active Directory de l’entreprise.

358

L’intégration dans le domaine Active Directory

L’interface graphique
9. L’intégration de Windows Vista dans l’infrastructure 1. À partir de STLSCPDC01, lancez l’utilitaire d’administration Utilisateurs et Ordinateurs Active Directory en cliquant sur Démarrer/Programmes/Outils d’administration et Utilisateurs et Ordinateurs Active Directory.

Figure 9.10 : Vue Utilisateurs et Ordinateurs Active Directory de votre domaine

2. Cliquez sur le conteneur Computers ; vous voyez apparaître le compte d’ordinateur de la machine WTLSCPVI01 fraîchement ajoutée au domaine.
Figure 9.11 : Vue du conteneur Computers

3. Cliquez deux fois sur le compte d’ordinateur WTLSCPVI01. La fenêtre des propriétés du compte s’ouvre. Cliquez sur l’onglet Système d’Exploitation.

359

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.12 : Onglet Système d’Exploitation de la fenêtre Propriétés du compte d’ordinateur WTLSCPVI01

Vous retrouvez la version de Windows Vista, signifiant que l’inscription du compte d’ordinateur s’est bien effectuée. Version de Windows Vista Pour les nostalgiques et les curieux, sous l’onglet Système d’Exploitation de la fenêtre Propriétés d’un compte d’ordinateur Windows Vista, le champ Version est défini à 6. Cela signifie qu’étant conçu à partir des versions de Windows NT Windows Vista serait en fait Windows NT 6 si Microsoft n’avait pas revu sa convention de dénomination, Windows 2000 étant NT 5 et Windows XP étant NT 5.1. Toutefois, nous vous recommandons de bien isoler tous les comptes d’ordinateurs de machines Windows Vista en les sortant du conteneur Computers et en les mettant à part, soit dans une unité d’organisation spécifique commune à l’infrastructure, soit dans une sous-unité d’organisation spécifique à chaque unité d’organisation représentant un service de l’entreprise. Vous simplifierez ainsi votre vision du parc informatique et l’administration centralisée des machines. Prenons l’exemple d’une unité d’organisation spécifique à toutes les stations de travail Windows Vista de l’entreprise. 1. Créez une unité d’organisation appelée Ordinateurs Vista. 2. Par glisser-déposer, placez le compte d’ordinateur WTLSCPVI01 dans la nouvelle unité d’organisation. Le compte d’ordinateur est plus facilement identifiable et administrable.

360

L’intégration dans le domaine Active Directory

Figure 9.13 : Une unité d’organisation particulière pour tous les ordinateurs Windows Vista

9. L’intégration de Windows Vista dans l’infrastructure

Votre ordinateur Windows Vista est prêt à être administré de façon centralisée via les stratégies de groupe.

Changer rapidement d’utilisateur
Dorénavant, il est possible de basculer d’un utilisateur à un autre, sans fermer de session, au sein d’un même domaine. Qu’est-ce que le changement rapide d’utilisateur ? Cette fonctionnalité de Windows vous permet de basculer vers un autre compte d’utilisateur sans fermer de programmes, ni de fichiers au préalable. Cette opération simplifie le partage d’un ordinateur avec d’autres utilisateurs. Cette fonctionnalité est activée par défaut. Attention tout de même : si vous éteignez l’ordinateur alors qu’un autre utilisateur a des programmes en cours d’exécution, ses fichiers non enregistrés seront perdus. Pour changer d’utilisateurs sans fermer la session : 1. Cliquez sur le logo Windows de démarrage, puis cliquez sur la flèche en regard du bouton de verrouillage (voir fig. 9.14). 2. Cliquez sur Changer d’utilisateur, puis sur l’utilisateur vers lequel vous souhaitez basculer. Assurez-vous d’enregistrer les fichiers ouverts avant de changer d’utilisateurs car Windows n’enregistre pas automatiquement les fichiers ouverts. Si vous basculez vers un autre utilisateur et que celui-ci arrête l’ordinateur, toutes les modifications non enregistrées que vous avez apportées aux fichiers ouverts sur votre compte seront perdues.

361

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.14 : Accès au changement rapide d’utilisateur

9.2.

Les stratégies de groupe avec Windows Vista

Un ordinateur, équipé de Windows Vista et membre d’un domaine, est parfaitement administrable à partir de l’infrastructure Active Directory. L’un des enjeux majeurs de Windows Vista est également de réduire les coûts opérationnels du système d’information de l’entreprise. La direction du système d’information étant perpétuellement en quête de réduction des coûts, les administrateurs de l’entreprise doivent avoir en main des outils et des technologies à la fois simples et efficaces afin d’administrer de façon centralisée tout le parc informatique. Selon la taille de l’entreprise, arriver à centraliser l’administration peut devenir un vrai casse-tête. Par contre, quand le défi est réussi, qui dit administration centralisée, dit gain de temps et qui dit gain de temps, dit gain d’argent. Windows Vista renforce la notion des stratégies de groupe, bien connues depuis Windows 2000, afin de toujours améliorer et simplifier les opérations d’administration. Ces nouveautés des stratégies de groupe vont tendre vers une administration du parc informatique toujours plus centralisée.

362

Les stratégies de groupe avec Windows Vista

Les stratégies de groupe permettent de configurer et de personnaliser de façon centralisée le comportement des ordinateurs et des utilisateurs et d’appliquer ces paramètres en masse sur tous les ordinateurs et les utilisateurs. Il existe des stratégies de groupe locales, c’est-à-dire configurables et applicables localement à l’ordinateur, et des stratégies de groupe d’infrastructure, c’est-à-dire configurables via Active Directory soit au niveau de l’unité d’organisation, soit au niveau du site ou du domaine et applicables en même temps sur tout le spectre d’ordinateurs et d’utilisateurs concernés (par exemple tous les ordinateurs et les utilisateurs d’une même unité d’organisation). Ces dernières, au contraire des stratégies de groupe locales, permettent de configurer de façon centralisée une seule stratégie de groupe applicable potentiellement sur tous les utilisateurs et les ordinateurs d’un domaine ou d’une unité d’organisation ou d’un site. Au sein d’une stratégie de groupe, de très nombreux paramètres peuvent être modifiés : que ce soit au niveau de l’ordinateur (icônes du Bureau, longueur des mots de passe, etc.) ou au niveau de l’utilisateur (personnalisation d’Internet Explorer, redirection de dossiers, etc.). Sous Windows XP près de 1500 paramètres sont configurables. Sachez que sous Windows Vista, près de 3000 paramètres sont configurables, c’est-à-dire le double.

9. L’intégration de Windows Vista dans l’infrastructure

Vous trouverez dans les chapitres suivants de ce volume tout ce qu’il faut savoir sur Active Directory. Le tome II, quant à lui, détaillera les stratégies de groupe, entre autres. Voici les principales nouveautés apportées par les stratégies de groupes sous Windows Vista…

Les fichiers ADMX
Jusqu’à présent, il était possible de configurer, d’ajouter et de créer des modèles d’administration au sein d’une stratégie de groupe à partir de fichiers de type ADM. Ouvrez une stratégie de groupe créée auparavant par l’infrastructure Active Directory Windows Server 2003 R2 de corp.puzzmania.com à l’aide de la GPMC (console de gestion de stratégie de groupe), téléchargeable à partir du site de Microsoft. Téléchargement et installation de la GPMC Connectez-vous sur le site www.microsoft.com/france/technet/produits/win2003/default .mspx et suivez la procédure d’installation. 1. À partir d’un ordinateur membre de corp.puzzmania.com, cliquez sur Démarrer, pointez sur Outils d’administration, cliquez avec le bouton droit sur Gestion de stratégie de groupe, puis cliquez sur Exécuter en tant que.

363

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

2. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant, tapez CORP\Administrateur comme nom d’utilisateur, puis le mot de passe associé et cliquez sur OK. 3. Développez successivement les rubriques Forêt, Domaines, corp.puzzmania.com, Objets de stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Modifier.

Figure 9.15 : Édition d’une stratégie de groupe avec la console de gestion des stratégies

de groupe 4. Développez les rubriques Configuration de l’ordinateur et Modèles d’administration.

Figure 9.16 : Édition d’une stratégie de groupe placée sur une unité d’organisation

364

Les stratégies de groupe avec Windows Vista

5. Cliquez avec le bouton droit de la souris sur Modèles d’administration et sélectionnez Ajout/suppression de modèles. La fenêtre de sélection ou d’ajout de fichiers ADM s’ouvre.

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.17 : Fenêtre de sélection des fichiers ADM

6. Sélectionnez un fichier ADM (les fichiers sont souvent classés selon leur rôle, Windows Media Player par exemple). Une fois sélectionné, vous pouvez configurer les paramètres que vous souhaitez en fonction du modèle ADM. Les fichiers ADM modifient des paramètres de la base de Registre. En employant les fichiers ADM sous Windows 2000, Windows Server 2003 et Windows XP, les utilisateurs et Microsoft se sont aperçus de deux inconvénients :
j j

Le format ADM n’est pas standard. Tous les fichiers ADM sont dupliqués pour chaque stratégie de groupe d’infrastructure, alourdissant ainsi son application.

Windows Vista introduit les fichiers ADMX, une collection de fichiers ayant la même fonction que les fichiers ADM, mais qui ont la particularité d’être des fichiers standards XML : il est possible de créer un répertoire de stockage central où toutes les stratégies de groupe du domaine viendront lire les informations dont elles ont besoin. Ce nouveau format permet de résoudre les inconvénients détectés au préalable avec le format ADM. Les fichiers ADMX permettent également la gestion unifiée des langues prises en charge avec l’introduction des fichiers ADML qui donnent la possibilité d’ajuster les paramètres des stratégies de groupe avec des langues différentes, selon les applications par exemple. 365

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

Considérations sur la compatibilité du format ADMX Le format ADMX étant une nouveauté Windows Vista, seul Windows Vista aujourd’hui est capable d’en tirer les bénéfices. Les nouvelles options de paramétrages de Windows Vista sont uniquement accessibles dans un fichier ADMX, donc invisibles des outils d’administration Windows XP ou Server 2003. Le format n’est pas rétrocompatible avec les versions antérieures de Windows. Par contre, qui peut le plus, peut le moins : un ordinateur Windows Vista sait parfaitement gérer les fichiers ADM des versions antérieures de Windows. Pour mettre en œuvre les fichiers ADMX, considérons deux cas : le cas simple de la stratégie locale, puis le cas de l’implémentation des fichiers ADMX dans un environnement Active Directory existant.

9. L’intégration de Windows Vista dans l’infrastructure

Le cas de la stratégie locale
Sous Windows Vista, pour éditer la stratégie locale, donc charger les fichiers ADMX et modifier un paramètre, procédez comme suit : 1. Cliquez sur le logo Windows de la barre des tâches. 2. Tapez gpedit.msc et validez. La stratégie locale s’ouvre.

Figure 9.18 : La stratégie locale sous Windows Vista

L’éditeur de stratégies de groupe que vous venez de lancer va lire automatiquement les fichiers de configuration au format ADMX. 3. Vous pouvez développer l’arborescence, éditer et modifier un paramètre (voir fig. 9.19). Sous Windows Vista, les fichiers ADMX sont localisés sous %systemroot% \PolicyDefinitions\. Par défaut %systemroot% correspond à C:\WINDOWS. En comparaison, les fichiers ADM se trouvaient sous %systemroot% \inf\. Et les fichiers ADML sont localisés sous %systemroot%\PolicyDefinitions\fr-FR pour la France. 366

Les stratégies de groupe avec Windows Vista

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.19 : Exemple d’un paramètre de stratégie de groupe

4. Fermez les fenêtres. Regardez le contenu du répertoire PolicyDefinitions. Pour cela, procédez comme suit : 1. Ouvrez l’Explorateur Windows en cliquant sur le logo Windows de la barre des tâches, puis sur Tous les programmes, Accessoires et Explorateur Windows. 2. Parcourez l’Explorateur jusqu’à C:\Windows\PolicyDefinitions.

Figure 9.20 : Le répertoire C:\Windows\PolicyDefinitions

367

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Il existe, à la base, 132 fichiers ADMX. Autrement dit, contrairement aux versions antérieures de Windows et aux fichiers ADM, à peu près tous les paramètres sont configurables au format ADMX. Éditons un fichier ADMX pour constater qu’il est bien au format XML standard. Cliquez deux fois sur un fichier ADMX. Prenons l’exemple du fichier AddRemovePrograms.admx ; il contient les éléments suivants :
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" ✂ schemaVersion="1.0" ✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="addremoveprograms" namespace="Microsoft.Policies ✂ .AddRemovePrograms" /> <using prefix="windows" namespace="Microsoft.Policies.Windows" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <categories> <category name="Arp" displayName="$(string.Arp)"> <parentCategory ref="windows:ControlPanel" /> </category> </categories> <policies> <policy name="DefaultCategory" class="User" displayName="$(string ✂ .DefaultCategory)" explainText="$(string.DefaultCategory_Help)" ✂ presentation="$(presentation.DefaultCategory)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> <elements> <text id="DefaultCategoryBox" valueName="DefaultCategory" required="true" ✂ /> </elements> </policy> <policy name="NoAddFromCDorFloppy" class="User" displayName="$(string ✂ .NoAddFromCDorFloppy)" explainText="$(string.NoAddFromCDorFloppy_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoAddFromCDorFloppy"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddFromInternet" class="User" displayName="$(string ✂ .NoAddFromInternet)" explainText="$(string.NoAddFromInternet_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoAddFromInternet"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy>

368

Les stratégies de groupe avec Windows Vista

<policy name="NoAddFromNetwork" class="User" displayName="$(string ✂ .NoAddFromNetwork)" explainText="$(string.NoAddFromNetwork_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoAddFromNetwork"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddPage" class="User" displayName="$(string.NoAddPage)" ✂ explainText="$(string.NoAddPage_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoAddPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddRemovePrograms" class="User" displayName="$(string ✂ .NoAddRemovePrograms)" explainText="$(string.NoAddRemovePrograms_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoAddRemovePrograms"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoChooseProgramsPage" class="User" displayName="$(string ✂ .NoChooseProgramsPage)" explainText="$(string.NoChooseProgramsPage_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoChooseProgramsPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoRemovePage" class="User" displayName="$(string.NoRemovePage)" ✂ explainText="$(string.NoRemovePage_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoRemovePage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoServices" class="User" displayName="$(string.NoServices)" ✂ explainText="$(string.NoServices_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoServices"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoSupportInfo" class="User" displayName="$(string ✂ .NoSupportInfo)" explainText="$(string.NoSupportInfo_Help)" ✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoSupportInfo"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoWindowsSetupPage" class="User" displayName="$(string ✂ .NoWindowsSetupPage)" explainText="$(string.NoWindowsSetupPage_Help)"

369

9. L’intégration de Windows Vista dans l’infrastructure

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" ✂ valueName="NoWindowsSetupPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> </policies> </policyDefinitions>

Vous retrouvez tous les éléments paramétrables de l’Ajout Suppression de Programmes, ainsi que les clés de Registre à modifier et les versions de Windows prises en charge. Sous l’éditeur de la stratégie de groupe locale, vous obtiendriez la vue suivante :

Figure 9.21 : Les paramètres de stratégie de groupe concernant l’ajout et la suppression de

programmes au travers de l’éditeur de stratégie de groupe Vous remarquez que les paramètres sont traduits en français. C’est possible grâce au fichier AddRemovePrograms.adml correspondant qui fait le lien entre les paramètres définis en anglais et une traduction française. Voici un tout petit extrait du contenu du fichier ADML sur un seul paramètre :
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" ✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" ✂ schemaVersion="1.0" ✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>tapez le nom complet ici</displayName> <description>tapez la description ici</description>

370

Les stratégies de groupe avec Windows Vista

<resources> <stringTable> <string id="Arp">Ajouter ou supprimer des programmes</string> <string id="DefaultCategory">Spécifie la catégorie par défaut pour Ajouter ✂ de nouveaux programmes</string> <string id="DefaultCategory_Help">Spécifie la catégorie des programmes qui ✂ apparaît quand les utilisateurs ouvrent la page "Ajouter de nouveaux ✂ programmes". Si ✂ ✂ ✂ ✂ vous activez ce paramètre, seuls sont affichés les programmes appartenant à la catégorie que vous spécifiez lorsque la page "Ajouter de nouveaux programmes" s’ouvre. Les utilisateurs peuvent utiliser la zone Catégorie sur la page "Ajouter de nouveaux programmes" pour afficher les programmes dans d’autres catégories.

9. L’intégration de Windows Vista dans l’infrastructure

Pour utiliser ce paramètre, tapez le nom d’une catégorie dans la zone Catégorie ✂ pour ce paramètre. Vous devez entrer une catégorie qui est déjà définie dans ✂ Ajouter ou supprimer des programmes. Pour définir une catégorie, utilisez ✂ Installation de logiciel. Si vous désactivez ce paramètre ou ne le configurez pas, tous les programmes ✂ (Catégorie : toutes) sont affichés lorsque la page "Ajouter de nouveaux ✂ programmes" s’ouvre. Vous pouvez utiliser ce paramètre pour diriger les utilisateurs vers les ✂ programmes dont ils auront certainement besoin. Remarque : ce paramètre est ignoré si le paramètre "Supprimer l’application ✂ Ajouter ou supprimer des programmes" ou le paramètre "Masquer la page Ajouter ✂ de nouveaux programmes" est activé.</string>…

Le cas de la stratégie de groupe dans Active Directory
Les ordinateurs Windows Vista vont, dans un premier temps, se retrouver membres de domaines Active Directory Windows Server 2003 ou Windows Server 2003 R2. La fonctionnalité des fichiers ADMX offre la possibilité de créer un répertoire de stockage central au domaine, dans lequel vous pouvez stocker tous les fichiers ADMX. Ainsi, toutes les stratégies de groupe créées au sein du domaine afin de contrôler les paramètres des utilisateurs et des ordinateurs Windows Vista s’appuieront sur la même référence de fichiers, allégeant la taille des stratégies de groupe. Pour créer le répertoire central, procédez ainsi : 1. À partir d’un ordinateur Windows Vista, loguez-vous avec un compte possédant des droits d’administration dans le domaine ou, au moins, les droits d’écriture dans le répertoire d’infrastructure Sysvol. 2. Cliquez sur le logo Windows de la barre des tâches, puis tapez
\\STLSCPDC01\SYSVOL\corp.puzzmania.com\Policies et validez.

371

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

3. Une fenêtre s’ouvre pointant sur le sous-répertoire Policies dans Sysvol. Vous remarquez les répertoires représentant les identifiants uniques des stratégies de groupe déjà existantes. Créez un nouveau répertoire que vous appelez PolicyDefinitions.

Figure 9.22 : Créez un répertoire PolicyDefinitions dans Sysvol

4. Recopiez le contenu du répertoire local C:\WINDOWS\PolicyDefinitions\ dans le répertoire PolicyDefinitions que vous venez de créer dans le dossier Sysvol. Vous recopiez alors tous les fichiers ADMX et tous les fichiers ADML. Votre répertoire central est créé et peuplé.

Figure 9.23 : Les fichiers ADMX et ADML sont copiés dans le répertoire

PolicyDefinitions du Sysvol Pour tirer parti de ce répertoire central, vous allez créer une stratégie de groupe afin de contrôler les paramètres de tous les ordinateurs Windows Vista contenus dans l’unité d’organisation Ordinateurs Vista. Attention, cette stratégie de groupe sera créée dans un domaine Active Directory Windows Server 2003 pour contrôler des ordinateurs Windows Vista. La condition sine 372

Les stratégies de groupe avec Windows Vista

qua non pour que cela fonctionne est qu’il faut que cette stratégie de groupe soit créée à partir d’un ordinateur Windows Vista. Pour cela, Windows Vista intègre par défaut la console de gestion des stratégies de groupe GPMC (Group Policy Management Console). 1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez. La console de gestion des stratégies de groupe s’ouvre. 2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe.

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.24 : La console de gestion des stratégies de groupe de Windows Vista

3. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe. Un menu déroulant apparaît. Cliquez sur Nouveau.

Figure 9.25 : Création d’une nouvelle GPO

4. Donnez un nom à votre stratégie de groupe, par exemple param ordi vista.

373

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.26 : La GPO param ordi vista

5. Cliquez avec le bouton droit de la souris sur l’objet Stratégie de groupe. Dans le menu déroulant, cliquez sur Modifier. La stratégie de groupe param ordi vista s’ouvre. Vous n’avez qu’à modifier les paramètres que vous souhaitez. Automatiquement, la stratégie de groupe lira les fichiers ADMX localisés dans le répertoire de stockage central. 6. Liez la stratégie de groupe à l’unité d’organisation Ordinateurs Vista. Pour cela, dans l’interface de la GPMC, glissez la stratégie de groupe param ordi vista du conteneur Objets de stratégie de groupe vers l’unité d’organisation Ordinateurs Vista.

Figure 9.27 : La GPO est liée à une unité d’organisation

374

Les stratégies de groupe avec Windows Vista

Maintenance des stratégies de groupe de Windows Vista
9. L’intégration de Windows Vista dans l’infrastructure Même sous Windows Vista vous devez porter une attention toute particulière à la sauvegarde des stratégies de groupe afin d’anticiper toute éventualité de sinistre. Grâce à la GPMC intégrée à Windows Vista, vous avez l’occasion de réaliser la sauvegarde de toutes les stratégies de groupe et être sûr que ses sauvegardes prendront en compte les nouveautés apportées par Windows Vista. Pour sauvegarder un objet de stratégie de groupe, procédez ainsi : 1. Ouvrez la console GPMC. 2. Dans l’arborescence de la console, déployez la forêt et le domaine contenant l’objet de stratégie de groupe à sauvegarder, puis double-cliquez sur Objets de stratégie de groupe. 3. Pour sauvegarder un unique objet de stratégie de groupe, cliquez dessus avec le bouton droit de la souris, puis cliquez sur Sauvegarder. Pour sauvegarder tous les objets de stratégie de groupe du domaine, cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe, puis cliquez sur Sauvegarder tout.

Figure 9.28 : Sauvegarde de GPO

4. Dans la zone Emplacement de la boîte de dialogue Sauvegarde de l’objet GPO, entrez le chemin d’accès à l’emplacement choisi pour stocker la ou les sauvegardes de GPO ou cliquez sur Parcourir pour rechercher le dossier où les stocker, puis cliquez sur OK. 5. Dans la zone Description, entrez la description des GPO à sauvegarder, puis cliquez sur Sauvegarder. En cas de sauvegarde de plusieurs GPO, la description s’applique à tous les GPO concernés. 375

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.29 : Description de sauvegarde de GPO

6. Une fois l’opération terminée, cliquez sur OK.
Figure 9.30 : Fin de l’opération de sauvegarde

Pour restaurer un objet de stratégie de groupe sauvegardé, procédez comme suit : 1. Ouvrez la console GPMC. 2. Recherchez l’entrée Objets de stratégie de groupe dans l’arborescence de la console, dans la forêt et dans le domaine contenant l’objet de stratégie de groupe à restaurer.

376

Les stratégies de groupe avec Windows Vista

Deux options s’offrent à vous. Pour restaurer une version précédente d’un objet de stratégie de groupe existant, procédez comme suit : 1. Double-cliquez sur Objets de stratégie de groupe, cliquez avec le bouton droit de la souris sur l’objet de stratégie de groupe à restaurer, puis cliquez sur Restaurer à partir d’une sauvegarde.

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.31 : Restaurer à partir d’une sauvegarde

2. Lorsque l’Assistant Restauration d’objets de stratégie de groupe s’affiche, suivez les instructions et fournissez les informations appropriées sur l’objet de stratégie de groupe à restaurer, puis cliquez sur Terminer. 3. Une fois l’opération de restauration effectuée par l’Assistant Restauration d’objets de stratégie de groupe, cliquez sur OK. Pour restaurer un objet de stratégie de groupe supprimé, procédez ainsi : 1. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe, puis sélectionnez Gérer les sauvegardes (voir fig. 9.32). 2. Dans la boîte de dialogue Gérer les tâches de sauvegarde, sous la rubrique Emplacement de sauvegarde, tapez le chemin du dossier de sauvegarde. Vous pouvez également utiliser Parcourir pour rechercher le dossier de sauvegarde. 3. Dans la boîte de dialogue Objets de stratégie de groupe sauvegardés, choisissez sur la liste des GPO la version à restaurer en vous appuyant sur les différentes versions de sauvegarde, puis cliquez sur Restaurer (voir fig. 9.33).

377

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.32 : Gérer les sauvegardes

Figure 9.33 : Choix de la version à restaurer

4. Lorsque le système vous invite à confirmer l’opération de restauration, cliquez sur OK 378

Les stratégies de groupe avec Windows Vista

Les stratégies de groupe locales multiples
9. L’intégration de Windows Vista dans l’infrastructure La stratégie de groupe locale vous permet d’appliquer localement des paramètres liés à la configuration de l’utilisateur (le fond d’écran, Internet Explorer, etc.) et/ou liés à la configuration de l’ordinateur (les droits d’accès à l’ordinateur, par exemple). Dans les versions antérieures de Windows, une seule stratégie de groupe locale existait. Cela peut paraître normal : une seule stratégie locale pour contrôler soit les paramètres d’ordinateur, soit les paramètres d’utilisateur. Dans certains cas cependant, le fait qu’il n’y ait qu’une stratégie de groupe locale peut entraîner certaines limitations. En effet, si vous utilisez votre ordinateur Windows, hors domaine, comme kiosque ou borne d’accès en libre-service, vous allez configurer la stratégie de groupe locale afin de répondre à vos besoins, c’est-à-dire pour sécuriser et simplifier son accès. Mais, lorsque vous agissez ainsi, vous appliquez la stratégie locale à tous les utilisateurs qui se loguent sur cet ordinateur, y compris l’administrateur, entraînant alors des difficultés d’administration. Windows Vista lève cette limitation en permettant de créer et de configurer de multiples stratégies de groupe locales. Ces stratégies de groupe locales s’appliquent en fonction des utilisateurs locaux (quels qu’ils soient) ou des profils (les administrateurs ou les non-administrateurs). Ainsi, sur vos ordinateurs bornes d’accès, vous pouvez configurer pour les utilisateurs qui ne sont pas administrateurs une utilisation très sécurisée et directive et, pour les administrateurs, vous pouvez définir des paramètres moins restrictifs. Pour créer et configurer plusieurs stratégies locales sous Windows Vista, suivez cette procédure : 1. Cliquez sur le logo Windows de la barre des tâches, puis tapez mmc et validez. La console MMC s’ouvre. Windows Vista en propose la version 3.

Figure 9.34 : La console mmc v3.0

379

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. 9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.35 : La fenêtre Ajouter/Supprimer un composant logiciel enfichable…

3. Dans la colonne de gauche, contenant les composants logiciels enfichables disponibles, sélectionnez le composant Editeur d’objets de stratégie de groupe et cliquez sur Ajouter >.

Figure 9.36 : La fenêtre de sélection de la stratégie de groupe

380

Les stratégies de groupe avec Windows Vista

4. Cliquez sur le bouton Parcourir. 9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.37 : Choix de la stratégie de groupe

5. Une fenêtre s’ouvre afin que vous choisissiez une stratégie de groupe. Cliquez sur l’onglet Utilisateurs.
Figure 9.38 : Onglet Utilisateurs

6. Choisissez l’utilisateur local ou le groupe local que vous souhaitez configurer. Vous ne voyez pas tous vos groupes locaux sur la liste, mais uniquement deux catégories : les administrateurs et les non-administrateurs. Validez, puis cliquez sur OK. 381

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Répétez cette opération pour tous les utilisateurs que vous souhaitez configurer. Vous obtenez la console de configuration suivante :

Figure 9.39 : Stratégies de groupe locales multiples

Vous avez là plusieurs stratégies de groupe locales basées sur des utilisateurs locaux ou sur des catégories d’utilisateurs locaux : les administrateurs ou les non-administrateurs. Vous pouvez alors procéder à des paramétrages différents.

9.3.

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

Toutes les nouveautés, toutes les améliorations apportées par les paramètres des stratégies de groupe de Windows Vista seront entièrement exploitables uniquement avec une version d’Active Directory provenant de serveurs Windows Server Longhorn. Les administrateurs ont déjà connu cette phase de transition avec Windows XP Professionnel, en attendant la sortie de Windows Server 2003. Toutefois, il sera possible de prendre en compte certains nouveaux paramétrages des stratégies de groupe de Windows Vista en modifiant la version existante du schéma Active Directory Windows Server 2003 ou Windows Server 2003 R2. La totalité de ces améliorations seront applicables aux ordinateurs Windows Vista, qui sont les seuls à savoir en tirer pleinement parti, ce qui vous permettra de profiter d’une très bonne 382

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

intégration des machines Windows Vista dans votre infrastructure. Une partie de ces améliorations reste tout de même applicable aux ordinateurs Windows XP, ce qui est un atout indéniable. Les nouveaux paramètres de stratégie de groupe apportent un support avancé pour les ordinateurs Windows Vista en ce qui concerne la gestion des réseaux filaires Ethernet IEEE 802.3, la gestion des réseaux sans fil Ethernet IEEE 802.11 et la prise en charge de la fonctionnalité de cryptage fort de la partition du disque dur : Bitlocker. C’est sur la prise en compte de ces nouveaux paramètres que vous allez pouvoir modifier le schéma de votre infrastructure Active Directory existante afin de tirer parti de ces améliorations au plus tôt, sans attendre Windows Server Longhorn.

9. L’intégration de Windows Vista dans l’infrastructure

Gérer les réseaux filaires IEEE 802.3
Contrairement à Windows XP, Windows Vista permet de contrôler, grâce aux stratégies de groupe, les paramètres relatifs à l’authentification IEEE 802.1X des réseaux filaires Ethernet IEEE 802.3. Dans une infrastructure Active Directory existante de niveau Windows Server 2003 ou Windows Server 2003 R2, vous pouvez étendre le schéma Active Directory pour que vos ordinateurs Windows Vista profitent de ces paramètres. L’exercice consiste à ajouter les attributs suivants dans Active Directory :
j j j

ms−net−ieee−8023−GP−PolicyGUID : identificateur unique pour la gestion des réseaux filaires dans les objets de stratégie de groupe. ms−net−ieee−8023−GP−PolicyData : inclut les valeurs des paramètres pour la gestion des réseaux filaires dans les objets de stratégie de groupe. ms−net−ieee−8023−GP−PolicyReserved : réservé à un usage futur.

Notions relatives à l’extension de schéma Avant d’étendre le schéma d’Active Directory, vous devez prendre en compte les points suivants : La modification du schéma est globale à tous les domaines de la forêt. j L’extension de schéma est irréversible. Les attributs ou les classes ne peuvent être supprimés après leur création. Au mieux, ils peuvent être désactivés. j Une sauvegarde de tous vos contrôleurs de domaine est nécessaire avant la modification. j Veillez à bien documenter vos changements. Une des meilleures solutions consisterait à procéder d’abord à la modification de schéma sur un domaine de test, proche de la configuration du domaine de production.
j

383

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Pour plus d’informations sur le schéma d’Active Directory, consultez l’adresse www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/default.mspx. Pour étendre le schéma Active Directory de votre infrastructure existante, afin de prendre en compte les paramètres de gestion des réseaux filaires IEEE 802.3, procédez comme suit : 1. Sur le contrôleur de domaine approprié (par expérience, celui qui détient le rôle de maître de schéma), ouvrez le Bloc-notes et copiez le script suivant :
# ----------------------------------------------------------✂ # Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.3Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-8023-GP-PolicyGUID #ms-net-ieee-8023-GP-PolicyData #ms-net-ieee-8023-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific ✂ 802.3 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1954 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: WrCnlLK4WU+cJTnmm6oWhA== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyData adminDisplayName: ms-net-ieee-8023-GP-PolicyData adminDescription: This attribute contains all of the settings and data which ✂ comprise a group policy configuration for 802.3 wired networks. attributeId: 1.2.840.113556.1.4.1955 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE

384

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1956 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg== showInAdvancedViewOnly: TRUE systemFlags: 16 # ----------------------------------------------------------✂ # Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-8023-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-8023-GroupPolicy adminDisplayName: ms-net-ieee-8023-GroupPolicy adminDescription: This class represents an 802.3 wired network group policy ✂ object. This class contains identifiers and configuration data relevant ✂ to an 802.3 wired network. governsId: 1.2.840.113556.1.5.252 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1956 systemMayContain: 1.2.840.113556.1.4.1955 systemMayContain: 1.2.840.113556.1.4.1954

385

9. L’intégration de Windows Vista dans l’infrastructure

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw== defaultSecurityDescriptor: ✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) ✂ (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: ✂ CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16 # ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1

9. L’intégration de Windows Vista dans l’infrastructure

2. Sauvegardez le fichier sous le nom 802.3Schema.ldf et au format ANSI. Stockez-le à un endroit simple pour le récupérer, C:\TEMP par exemple. 3. Cliquez sur Démarrer, puis sur Exécuter. Tapez cmd. 4. Dans l’Invite de commandes, tapez la ligne ldifde −i −v −k −f 802.3Schema .ldf −c DC=X Nom_LDAP_complet_du_domaine, où Nom_LDAP_complet _du_domaine correspond au nom unique LDAP du domaine.

Figure 9.40 : Ligne de commandes de modification du schéma pour la gestion des

paramètres de GPO des réseaux filaires IEE802.3 Le schéma est modifié. 5. Redémarrez le contrôleur de domaine sur lequel vous avez lancé la commande pour que les changements soient pris en compte. Le schéma est modifié. Il ne vous reste plus qu’à créer ou ouvrir une stratégie de groupe existante, à partir d’un ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez. La console de gestion des stratégies de groupe s’ouvre. 2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe. 386

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

3. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier. 4. Développez les rubriques Configuration ordinateur, Paramètres Windows et Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur Stratégie de réseau filaire (IEEE 802.3). 5. Cliquez sur Créer une nouvelle stratégie Windows Vista. La fenêtre des propriétés s’ouvre. 6. Vous pouvez entrer un nom et une description. Cliquez sur l’onglet Sécurité. Vous pouvez ajuster vos paramètres d’authentification que tous les adaptateurs réseau affectés par cette stratégie de groupe appliqueront.

9. L’intégration de Windows Vista dans l’infrastructure

Gérer les réseaux sans fil IEEE 802.11
Concernant la gestion des réseaux sans fil IEEE 802.11, les nouveaux paramètres de stratégie de groupe inclus dans Windows Vista (et nativement dans Windows Server Longhorn) apportent davantage de flexibilité et améliore la qualité d’administration, notamment sur les fonctions suivantes…
j

Un mode de sécurité mixte : vous pouvez maintenant configurer plusieurs profils avec le même SSID, mais avec des méthodes de sécurité différentes. Le SSID (Service Set IDentifier) désigne le réseau auquel est attaché le poste. Ainsi, les ordinateurs clients possédant des capacités de niveau de sécurité différentes pourront malgré tout se connecter au même réseau sans fil. Permettre et refuser les listes pour les réseaux sans fil : vous pouvez configurer une liste de réseaux sans fil auxquels le client sans fil de Windows Vista peut se relier et une liste de réseaux sans fil auxquels le client sans fil de Windows Vista ne peut pas se relier. L’extensibilité : vous pouvez importer les profils qui ont des paramètres spécifiques de connectivité et de sécurité des fournisseurs sans fil, tels que différents types d’EAP.

j

j

Vous pouvez étendre le schéma Active Directory pour que vos ordinateurs Windows Vista puissent profiter de ces paramètres. L’exercice consiste à ajouter les attributs suivants dans Active Directory…
j j j

ms−net−ieee−80211−GP−PolicyGUID : identificateur unique pour la gestion des réseaux sans fil dans les objets de stratégie de groupe. ms−net−ieee−80211−GP−PolicyData : inclut les valeurs des paramètres pour la gestion des réseaux sans fil dans les objets de stratégie de groupe. ms−net−ieee−80211−GP−PolicyReserved : réservé pour un usage futur.

387

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Pour étendre le schéma Active Directory de votre infrastructure existante afin de prendre en compte les paramètres de gestion des réseaux sans fil IEEE 802.11, procédez ainsi : 1. Sur le contrôleur de domaine approprié (par expérience, celui qui détient le rôle de maître de schéma), ouvrez le Bloc-notes et copiez le script suivant :
# ----------------------------------------------------------# Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.11Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-80211-GP-PolicyGUID #ms-net-ieee-80211-GP-PolicyData #ms-net-ieee-80211-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific ✂ 802.11 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1951 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyData adminDisplayName: ms-net-ieee-80211-GP-PolicyData adminDescription: This attribute contains all of the settings and data which ✂ comprise a group policy configuration for 802.11 wireless networks. attributeId: 1.2.840.113556.1.4.1952 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ== showInAdvancedViewOnly: TRUE

388

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

systemFlags: 16

9. L’intégration de Windows Vista dans l’infrastructure

dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1953 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg== showInAdvancedViewOnly: TRUE systemFlags: 16

# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-80211-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-80211-GroupPolicy adminDisplayName: ms-net-ieee-80211-GroupPolicy adminDescription: This class represents an 802.11 wireless network group ✂ policy object. This class contains identifiers and configuration data ✂ relevant to an 802.11 wireless network. governsId: 1.2.840.113556.1.5.251 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1953 systemMayContain: 1.2.840.113556.1.4.1952 systemMayContain: 1.2.840.113556.1.4.1951 systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==

389

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

defaultSecurityDescriptor: ✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) ✂ (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: ✂ CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16

# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1

2. Sauvegardez le fichier sous le nom 802.11Schema.ldf et au format ANSI. Stockez-le à un endroit simple pour le récupérer, C:\TEMP par exemple. 3. Cliquez sur Démarrer puis Exécuter. Tapez cmd. 4. Dans l’Invite de commandes, tapez ldifde −i −v −k −f 802.11Schema.ldf −c DC=X Nom_LDAP_complet_du_domaine.

Figure 9.41 : Ligne de commandes de modification du schéma pour la gestion des

paramètres de GPO des réseaux sans fil IEE802.11 La modification du schéma s’exécute. 5. Redémarrez le contrôleur de domaine sur lequel vous avez lancé la commande pour que les changements soient pris en compte. Le schéma est maintenant modifié. Il ne vous reste plus qu’à créer ou à ouvrir une stratégie de groupe existante, à partir d’un ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez. La console de gestion des stratégies de groupe s’ouvre. 2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe. 3. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier.

390

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

4. Développez les rubriques Configuration ordinateur, Paramètres Windows, puis Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur Stratégie de réseau sans fil (IEEE 802.11). 5. Cliquez sur Créer une nouvelle stratégie Windows Vista. La fenêtre des propriétés s’ouvre. 6. Vous pouvez entrer un nom et une description. Vous pouvez entrer la liste des SSID autorisés. Cliquez sur l’onglet Permissions réseau. Vous pouvez ajuster vos paramètres d’authentification que tous les adaptateurs réseau sans fil affectés par cette stratégie de groupe appliqueront. Vous pouvez également créer une stratégie sans fil pour Windows XP, comme cela existait déjà avec une infrastructure Active Directory Windows Server 2003 et Windows XP. 1. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier. 2. Développez les rubriques Configuration ordinateur, Paramètres Windows, puis Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur Stratégie de réseau sans fil (IEEE 802.11). 3. Cliquez sur Créer une nouvelle stratégie Windows XP. La fenêtre des propriétés s’ouvre. 4. Vous pouvez entrer un nom, une description et configurer vos préférences. Les possibilités sont moins étendues que sous Windows Vista.

9. L’intégration de Windows Vista dans l’infrastructure

Gérer Bitlocker
Lorsque vous activez Bitlocker sur un ordinateur Windows Vista vous chiffrez de façon forte la partition de votre disque dur. La fonctionnalité Bitlocker s’appuie sur une puce matérielle appelée TPM, ce qui rend encore plus fort son chiffrement. Pour pouvoir crypter et décrypter les données, vous avez besoin de gérer les clés Bitlocker ainsi que les mots de passe TPM. Active Directory vous donne l’occasion de les sauvegarder de façon centralisée, à condition que vous mettiez à niveau le schéma. Les informations de récupération incluent le mot de passe de récupération pour chaque volume Bitlocker activé, le mot de passe TPM, et l’information permettant d’identifier à quel ordinateur s’applique le cryptage. Sauvegarder le mot de passe de récupération pour chaque volume Bitlocker activé ainsi que le mot de passe TPM permet aux administrateurs d’accéder et de récupérer des données de volumes verrouillés. Ce qui assure aux administrateurs de l’entreprise de garantir l’accès aux données cryptées à l’utilisateur, même si celui-ci a perdu la clé Bitlocker et le mot de passe.

391

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

Prise en charge de l’extension de schéma pour Bitlocker Toutes les versions d’Active Directory ne prennent pas en charge l’extension de schéma pour Bitlocker : tous les contrôleurs de domaine de l’infrastructure doivent être au préalable sous Windows Server 2003, avec le Service Pack 1 au minimum. Pour étendre le schéma Active Directory de votre infrastructure existante et prendre en compte la sauvegarde des paramètres de récupération Bitlocker, procédez ainsi : 1. Sur le contrôleur de domaine approprié (par expérience, celui qui détient le rôle de maître de schéma), ouvrez le Bloc-notes et copiez ce script…
#============================================================================= # TPM Recovery Information - Attributes #============================================================================= # # ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msTPM-OwnerInformation adminDisplayName: TPM-OwnerInformation adminDescription: This attribute contains the owner information of a ✂ particular TPM. attributeId: 1.2.840.113556.1.4.1966 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: bRpOqg1VBU6MNUr8uRep/g== showInAdvancedViewOnly: TRUE #============================================================================= # Bitlocker Recovery Information - Attributes # NOTE: FVE is the acronym for Full Volume Encryption, a pre-release name #============================================================================= # # ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryGuid adminDisplayName: FVE-RecoveryGuid adminDescription: This attribute contains the GUID associated with a Full ✂ Volume Encryption (FVE) recovery password. attributeID: 1.2.840.113556.1.4.1965 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 137

392

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

schemaIdGuid:: vAlp93jmoEews/hqAETAbQ== showInAdvancedViewOnly: TRUE # # ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryPassword adminDisplayName: FVE-RecoveryPassword adminDescription: This attribute contains the password required to recover a ✂ Full Volume Encryption (FVE) volume. attributeId: 1.2.840.113556.1.4.1964 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg== showInAdvancedViewOnly: TRUE #============================================================================= # Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # BitLocker Recovery Information - Class #============================================================================= # # ms-FVE-RecoveryInformation # dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: classSchema ldapDisplayName: msFVE-RecoveryInformation adminDisplayName: FVE-RecoveryInformation adminDescription: This class contains a Full Volume Encryption recovery ✂ password with its associated GUID. governsID: 1.2.840.113556.1.5.253 objectClassCategory: 1 subClassOf: top systemMustContain: msFVE-RecoveryGuid systemMustContain: msFVE-RecoveryPassword systemPossSuperiors: computer schemaIdGUID:: MF1x6lOP0EC9HmEJGG14LA== defaultSecurityDescriptor: ✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) defaultHidingValue: TRUE defaultObjectCategory: ✂ CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X

393

9. L’intégration de Windows Vista dans l’infrastructure

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

9. L’intégration de Windows Vista dans l’infrastructure

#============================================================================= # Classes - Schema Update #============================================================================= dn: CN=computer,CN=Schema,CN=Configuration,DC=X #changetype: ntdsSchemaModify changetype: modify add: mayContain mayContain: msTPM-OwnerInformation dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Bitlocker Recovery Information - Additional Attributes #============================================================================= # # ms-FVE-VolumeGuid # dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-VolumeGuid adminDisplayName: FVE-VolumeGuid adminDescription: This attribute contains the GUID associated with a ✂ BitLocker-supported disk volume. Full Volume Encryption (FVE) was the ✂ pre-release name for BitLocker Drive Encryption. attributeID: 1.2.840.113556.1.4.1998 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 27 schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: TRUE rangeUpper: 128 # # ms-FVE-KeyPackage # dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-KeyPackage adminDisplayName: FVE-KeyPackage adminDescription: This attribute contains a volume’s BitLocker encryption key ✂ secured by the corresponding recovery password. Full Volume Encryption ✂ (FVE) was the pre-release name for BitLocker Drive Encryption. attributeId: 1.2.840.113556.1.4.1999 attributeSyntax: 2.5.5.10

394

La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory

omSyntax: 4 isSingleValued: TRUE searchFlags: 152 schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: FALSE rangeUpper: 102400 #============================================================================= # Additional Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Updates to BitLocker Recovery Information Class #============================================================================= dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This class contains BitLocker recovery information ✂ including GUIDs, recovery passwords, and keys. Full Volume Encryption ✂ (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify add: mayContain mayContain: msFVE-VolumeGuid mayContain: msFVE-KeyPackage #============================================================================= # Updates to pre-RC1 Attributes #============================================================================= # # Updates to ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 #

395

9. L’intégration de Windows Vista dans l’infrastructure

Chapitre 9

L’intégration de Windows Vista dans l’infrastructure

# Updates to ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains the GUID associated with a ✂ BitLocker recovery password. Full Volume Encryption (FVE) was the ✂ pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 27 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: isMemberOfPartialAttributeSet isMemberOfPartialAttributeSet: TRUE # # Updates to ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains a password that can recover a ✂ BitLocker-encrypted volume. Full Volume Encryption (FVE) was the ✂ pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 256 # # Reload the schema cache to pick up updated attributes # dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1

9. L’intégration de Windows Vista dans l’infrastructure 396

En résumé

2. Sauvegardez le fichier sous le nom BitLockerTPMSchemaExtension.ldf et au format ANSI. Stockez-le dans un endroit simple pour le récupérer, C:\TEMP par exemple. 3. Cliquez sur Démarrer, puis Exécuter. Tapez cmd. 4. Dans l’Invite de commandes, tapez ldifde −i −v −k −f BitLockerTPMSchemaExtension.ldf −c DC=X Nom_LDAP_complet_du_domaine.

9. L’intégration de Windows Vista dans l’infrastructure

Figure 9.42 : Ligne de commandes de modification du schéma pour la gestion des

paramètres Bitlocker La modification du schéma s’exécute. 5. Redémarrez le contrôleur de domaine sur lequel vous avez lancé la commande pour que les changements soient pris en compte. N’étendez pas le schéma d’Active Directory à l’aide du DVD d’installation de Windows Vista ! Le DVD d’installation de Windows Vista contient l’utilitaire adprep.exe qui est censé étendre le schéma d’Active Directory pour la prise en compte des réseaux filaires IEEE 802.3, des réseaux sans fil IEEE 802.11 et de Bitlocker de façon unifiée. Or, la version adprep.exe contenue sur le DVD d’installation de Windows Vista est une version bêta qui ne fonctionne pas en production et qui n’est pas prise en charge. Vous devez impérativement suivre les procédures et les scripts qui viennent de vous être décrits.

9.4.

En résumé

Microsoft fait tout pour que Windows Vista s’intègre le mieux possible à un domaine existant, et c’est normal : il y va de l’adoption du produit par les entreprises. Outre les nombreuses nouveautés des paramètres de stratégie de groupe ou les optimisations de leur traitement, notez la présence de la console de gestion des stratégies de groupe (GPMC) de base sous Windows Vista, qui vous permet d’exploiter immédiatement des stratégies de groupe pour les ordinateurs Windows Vista.

397

Chapitre 10

Windows PowerShell
10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 Présentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Exécuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement d’objets . . . . . . . . . . . . . . . . L’interaction et les scripts . . . . . . . . . . . . . Utiliser Windows PowerShell . . . . . . . . . . . . Naviguer dans Windows PowerShell . . . . . . . PowerShell et Active Directory . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . .... .... .... ... .... .... .... .... .... .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 . 402 . 403 . 404 . 410 . 413 . 415 . 424 . 427 . 428

Présentation de Windows PowerShell

W

indows PowerShell est un environnement de ligne de commande Windows spécialement conçu pour les administrateurs système. Il comprend une ligne de commandes interactive et un environnement de script qui peuvent être utilisés indépendamment l’un de l’autre ou ensemble. Le parallèle est tout de suite évident avec les puissants outils de ligne de commande et d’environnement de scripts présents sous Unix/Linux. Même si Windows PowerShell n’est pas natif dans Windows Server 2003 ou dans Windows Vista, il y a fort à parier qu’il va occuper une place importante dans l’administration de postes utilisateurs et des serveurs dans les années à venir. Windows PowerShell peut être utilisé également sur Windows XP ainsi que Windows Server 2003. Le seul prérequis pour qu’il puisse fonctionner est la présence de l’environnement .NET Framework 2.0. 10. Windows PowerShell

10.1. Présentation de Windows PowerShell
Windows PowerShell est basé sur le Common Language Runtime (CLR) .NET, le .NET Framework 2.0 et accepte et retourne des objets .NET. Cette modification fondamentale de l’environnement apporte des méthodes et des outils entièrement nouveaux pour la gestion et la configuration de Windows. Windows PowerShell introduit le concept d’applet de commande, un outil de ligne de commande simple, à fonction unique, intégré dans l’environnement. Vous pouvez utiliser chaque applet de commande séparément, mais leur puissance se révèle lorsque vous combinez ces outils simples pour effectuer des tâches complexes. Windows PowerShell inclut plus de cent applets de commande principales. Vous pouvez également écrire vos propres applets de commande et les partager avec d’autres utilisateurs. Comme de nombreux environnements, Windows PowerShell vous donne accès au système de fichiers de l’ordinateur. En outre, les fournisseurs de Windows PowerShell vous permettent d’accéder à d’autres magasins de données, tels que le Registre et les magasins de certificats de signatures numériques, aussi facilement que vous accédez au système de fichiers. La plupart des environnements, y compris la ligne de commande Windows et les environnements Unix/Linux fonctionnent en exécutant une commande ou un utilitaire dans un nouveau processus, et en présentant les résultats à l’utilisateur sous forme de texte. Ces environnements présentent aussi des commandes intégrées à l’environnement et qui s’exécutent dans le processus de l’environnement. La présence dans la plupart des environnements d’un nombre limité de commandes intégrées a donné lieu à la création de beaucoup d’utilitaires complémentaires. Windows PowerShell est en cela très différent des utilitaires disponibles aujourd’hui.
j

Windows PowerShell ne traite pas de texte, mais des objets basés sur la plateforme .NET. 401

Chapitre 10

Windows PowerShell

j j

Windows PowerShell est livré avec un important jeu de commandes intégrées, dotées d’une interface homogène. Toutes les commandes de l’environnement utilisent le même analyseur de commande, au lieu d’analyseurs différents pour chaque outil. L’utilisation de chaque commande est ainsi beaucoup plus simple à acquérir.

10. Windows PowerShell

Mieux, vous n’avez pas à abandonner les outils auxquels vous êtes habitué. Vous pouvez toujours utiliser les outils Windows traditionnels, tels que net, sc et reg.exe dans Windows PowerShell. Concernant la conception de PowerShell, les développeurs sont partis de zéro pour redéfinir le Shell avec comme inspiration ce qui se faisait déjà dans les autres systèmes :
j j j j

Unix pour le modèle de composition très puissant ; AS400 et VMS pour les nommages et la syntaxe consistante facilitant l’apprentissage ; TCL et WSH pour le support multilangage ; Bash, Perl, C# pour le style et la richesse des expressions.

Windows PowerShell utilise son propre langage au lieu de réutiliser un langage existant, parce que Windows PowerShell avait besoin d’un langage pour la gestion des objets .NET qui permette de fournir un environnement cohérent d’utilisation des applets de commande qui permette la prise en charge de tâches complexes, sans compliquer les tâches simples et qui permette enfin une cohérence avec les langages de niveau supérieur utilisés en programmation .NET, comme C#.

10.2. Installer Windows PowerShell
Windows PowerShell nécessite certains prérequis pour pouvoir fonctionner correctement. Windows PowerShell requiert les programmes suivants :
j j

Windows Vista, Windows XP Service Pack 2 ou Windows Server 2003 Service Pack 1 ; Microsoft .NET Framework 2.0. Windows PowerShell Windows PowerShell n’est pas fourni à la base. Vous pouvez le télécharger à l’adresse
www.microsoft.com/windowsserver2003/technologies/management/powershell/download .mspx. Choisissez alors la version que vous souhaitez en adéquation avec le système

d’exploitation.

402

Exécuter Windows PowerShell

Pour installer Windows PowerShell : 1. Exécutez le fichier que vous venez de télécharger. 2. Suivez les instructions des pages de l’assistant d’installation.
Figure 10.1 : Installation de Windows PowerShell

10. Windows PowerShell

Vous avez la possibilité de procéder à l’installation de façon silencieuse depuis un partage réseau. 3. Une fois que vous avez recopié le fichier d’installation sur le partage réseau souhaité, ouvrez une Invite en ligne de commande, accédez au partage réseau, puis tapez <Nom_fichier_exe_PowerShell> /quiet.

10.3. Exécuter Windows PowerShell
Pour lancer Windows PowerShell :
j

À partir du menu de démarrage de Windows, cliquez sur le logo Windows, sur Tous les programmes, sur Windows PowerShell 1.0, puis sur l’icône de Windows PowerShell. À partir de la zone d’exécution, cliquez sur le logo Windows, tapez powershell et validez. À partir d’une fenêtre d’Invite de commandes, tapez powershell. Parce que Windows PowerShell s’exécute dans une session de console, vous pouvez utiliser cette technique pour l’exécuter au cours d’une session Telnet ou SSH à distance. Pour revenir à votre session d’invite de commandes, tapez exit.

j j

403

Chapitre 10

Windows PowerShell

10. Windows PowerShell

Figure 10.2 : Exécution de Windows PowerShell par la ligne de commande

Vous remarquez que l’invite PowerShell commence par les deux lettres PS.

10.4. Les applets de commande Windows PowerShell
Applet Une applet de commande est une commande à fonctionnalité unique qui manipule des objets dans Windows PowerShell. Les applets sont identifiables au format de leur nom : un verbe et un substantif anglais, séparés par un tiret, comme Get−Help, Get−Process et Start−Service. L’abréviation donnée à ces applets de commande est Cmdlet. Voici la liste des applets de commande ainsi que leur description (ce tableau pourra vous servir de référence lorsque vous devrez administrer sous Windows PowerShell) :
Tableau 10.1 : Toutes les applets de commande utilisables dans Windows PowerShell
Applet de commande Add−Content Add−History Add−Member Add−PSSnapin Clear−Content Clear−Item Clear−ItemProperty Clear−Variable Compare−Object Description Ajoute le contenu aux éléments spécifiés. Ajoute des entrées à l’historique de la session. Ajoute un membre personnalisé défini par l’utilisateur à une instance d’un objet Windows PowerShell. Ajoute un ou plusieurs composants logiciels enfichables Windows PowerShell à la console actuelle. Supprime le contenu d’un élément, par exemple le texte d’un fichier, mais ne supprime pas l’élément. Supprime le contenu d’un élément, mais ne supprime pas l’élément. Supprime la valeur d’une propriété, mais ne supprime pas la propriété. Supprime la valeur d’une variable. Compare deux jeux d’objets.

ConvertFrom−SecureString Convertit une chaîne sécurisée en chaîne standard chiffrée.

404

Les applets de commande Windows PowerShell

Applet de commande Convert−Path ConvertTo−Html ConvertTo−SecureString

Description Convertit un chemin d’accès Windows PowerShell en chemin d’accès à un fournisseur de Windows PowerShell. Crée une page HTML qui représente un objet ou un jeu d’objets. Convertit des chaînes standards chiffrées en chaînes sécurisées. Cette commande peut aussi convertir du texte brut en chaînes sécurisées. Elle est utilisée avec ConvertFrom−SecureString et Read−Host. Copie un élément d’un emplacement vers un autre dans un espace de noms. Copie une propriété et une valeur d’un emplacement spécifié vers un autre emplacement. Exporte vers un fichier les informations sur les alias actuellement définis. Crée une représentation XML d’un ou de plusieurs objets et la stocke dans un fichier. Exporte la configuration de la console actuelle vers un fichier afin que vous puissiez la réutiliser ou la partager. Crée un fichier de valeurs séparées par des virgules (CSV) qui représente les objets d’entrée. Exécute une opération en fonction de chacun des jeux d’objets d’entrée. Utilise un affichage personnalisé pour mettre en forme la sortie. Met en forme la sortie en tant que liste de propriétés sur laquelle chaque propriété apparaît sur une nouvelle ligne. Met en forme la sortie en tant que tableau. Met en forme les objets en tant que large table qui affiche une seule propriété de chaque objet. Obtient le descripteur de sécurité d’une ressource, comme un fichier ou une clé de Registre. Obtient les alias pour la session active.

10. Windows PowerShell

Copy−Item Copy−ItemProperty Export−Alias Export−Clixml Export−Console Export−Csv ForEach−Object Format−Custom Format−List Format−Table Format−Wide Get−Acl Get−Alias

Get−AuthenticodeSignature Obtient les informations relatives à la signature Authenticode d’un fichier. Get−ChildItem Get−Command Get−Content Get−Credential Get−Culture Get−Date Obtient les éléments et les éléments enfants à un ou à plusieurs emplacements spécifiés. Obtient des informations de base sur les applets de commande et sur d’autres éléments des commandes Windows PowerShell. Obtient le contenu de l’élément à l’emplacement spécifié. Obtient un objet credential (informations d’identification) basé sur le nom et le mot de passe d’un utilisateur. Obtient des informations à propos des paramètres régionaux sur un ordinateur. Obtient l’heure et la date actuelles.

405

Chapitre 10

Windows PowerShell

Applet de commande Get−EventLog Get−ExecutionPolicy Get−Help

Description Obtient des informations à propos des journaux des événements locaux ou des entrées stockées dans ces journaux des événements. Obtient la stratégie d’exécution actuelle de l’environnement. Affiche des informations sur les applets de commande et les concepts Windows PowerShell. Obtient la liste des commandes entrées pendant la session active. Obtient une référence à l’objet hôte de la console actuelle. Affiche la version Windows PowerShell et les informations régionales par défaut. Obtient l’élément à l’emplacement spécifié. Récupère les propriétés de l’élément spécifié. Obtient des informations à propos de l’emplacement de travail actif. Obtient des informations sur les objets ou les collections d’objets. Obtient des informations sur les fichiers de certificat .pfx de l’ordinateur. Obtient les processus qui s’exécutent sur l’ordinateur local. Obtient des informations à propos des lecteurs Windows PowerShell. Obtient des informations se rapportant au fournisseur de Windows PowerShell spécifié. Obtient les composants logiciels enfichables Windows PowerShell situés sur l’ordinateur. Obtient les services sur l’ordinateur local. Obtient les composants Windows PowerShell qui sont instrumentés pour le traçage. Obtient des informations sur la culture de l’interface utilisateur actuelle pour Windows PowerShell. Retourne les éléments uniques sur une liste triée. Obtient les variables dans la console actuelle. Obtient des instances de classes WMI ou des informations à propos des classes disponibles. Regroupe les objets qui contiennent la même valeur pour les propriétés spécifiées. Importe une liste d’alias à partir d’un fichier. Importe un fichier CLIXML et crée des objets correspondants dans Windows PowerShell. Importe des fichiers de valeurs séparées par des virgules (CSV) dans le format produit par l’applet de commande Export−Csv et retourne des objets qui correspondent aux objets représentés dans ce fichier CSV. Exécute une expression Windows PowerShell qui est fournie sous la forme d’une chaîne.

10. Windows PowerShell

Get−History Get−Host Get−Item Get−ItemProperty Get−Location Get−Member Get−PfxCertificate Get−Process Get−PSDrive Get−PSProvider Get−PSSnapin Get−Service Get−TraceSource Get−UICulture Get−Unique Get−Variable Get−WmiObject Group−Object Import−Alias Import−Clixml Import−Csv

Invoke−Expression

406

Les applets de commande Windows PowerShell

Applet de commande Invoke−History Invoke−Item Join−Path Measure−Command Measure−Object Move−Item Move−ItemProperty New−Alias New−Item New−ItemProperty New−Object New−PSDrive New−Service New−TimeSpan New−Variable Out−Default

Description Exécute les commandes depuis l’historique de la session. Appelle l’action par défaut spécifique au fournisseur sur l’élément spécifié. Combine un chemin d’accès et un chemin d’accès d’enfant en un seul chemin d’accès. Le fournisseur fournit les séparateurs de chemin d’accès. Mesure le temps qu’il faut pour exécuter des blocs de script et des applets de commande. Mesure les caractéristiques des objets et leurs propriétés. Déplace un élément d’un emplacement à un autre. Déplace une propriété d’un emplacement à un autre. Crée un alias. Crée un nouvel élément dans un espace de noms. Définit une nouvelle propriété d’élément à un emplacement. Crée une instance d’un objet .NET ou COM. Installe un nouveau lecteur Windows PowerShell. Crée une entrée pour un service Windows dans le Registre et dans la base de données de services. Crée un objet TimeSpan. Crée une variable. Envoyez la sortie au formateur par défaut et à l’applet de commande de sortie par défaut. Cette applet de commande n’a aucun effet sur la mise en forme ou la sortie. C’est un espace réservé qui vous permet d’écrire votre propre fonction Out−Default ou une applet de commande. Envoie la sortie à un fichier. Envoie la sortie à la ligne de commande. Supprime la sortie au lieu de l’envoyer à la console. Envoie la sortie à une imprimante. Envoie des objets à l’hôte en tant que série de chaînes. Définit l’emplacement actuel sur le dernier emplacement placé sur la pile à l’aide d’une opération push. Vous pouvez extraire l’emplacement à partir de la pile par défaut ou d’une pile créée à l’aide de Push−Location. Exécute une opération push qui place l’emplacement actuel sur la pile. Lit une ligne d’entrée à partir de la console. Supprime les éléments spécifiés. Supprime la propriété et sa valeur d’un élément. Supprime un lecteur Windows PowerShell de son emplacement. Supprime les composants logiciels enfichables Windows PowerShell de la console actuelle.

10. Windows PowerShell

Out−File Out−Host Out−Null Out−Printer Out−String Pop−Location

Push−Location Read−Host Remove−Item Remove−ItemProperty Remove−PSDrive Remove−PSSnapin

407

Chapitre 10

Windows PowerShell

Applet de commande Remove−Variable Rename−Item Rename−ItemProperty Resolve−Path

Description Supprime une variable et sa valeur. Renomme un élément dans un espace de noms du fournisseur de Windows PowerShell. Renomme la propriété d’un élément. Résout les caractères génériques inclus dans un chemin d’accès et affiche le contenu de ce dernier. Arrête, puis démarre un ou plusieurs services. Reprend un ou plusieurs services interrompus (suspendus). Sélectionne des propriétés spécifiées d’un objet ou d’un jeu d’objets. Il peut également sélectionner des objets uniques d’un tableau d’objets ou sélectionner un nombre spécifié d’objets du début ou de la fin d’un tableau d’objets. Identifie des modèles dans les chaînes. Modifie le descripteur de sécurité de la ressource spécifiée, telle qu’un fichier ou une clé de Registre. Crée ou modifie un alias (autre nom) pour une applet de commande ou un autre élément de commande dans la session Windows PowerShell actuelle.

10. Windows PowerShell

Restart−Service Resume−Service Select−Object

Select−String Set−Acl Set−Alias

Set−AuthenticodeSignature Utilise une signature Authenticode pour signer un script Windows PowerShell ou autre fichier. Set−Content Set−Date Set−ExecutionPolicy Set−Item Set−ItemProperty Set−Location Set−PSDebug Set−Service Set−TraceSource Set−Variable Sort−Object Split−Path Start−Service Écrit ou remplace le contenu d’un élément par un nouveau contenu. Modifie l’heure système sur l’ordinateur en la remplaçant par l’heure que vous spécifiez. Modifie la préférence utilisateur pour la stratégie d’exécution de l’environnement. Remplace la valeur d’un élément par la valeur spécifiée dans la commande. Définit la valeur d’une propriété à l’emplacement spécifié. Définit l’emplacement de travail actif sur un emplacement spécifié. Active/désactive les fonctions de débogage, définit le niveau de suivi et active/désactive le mode strict. Modifie le nom d’affichage, la description ou le mode de démarrage d’un service. Configure, démarre et arrête une trace des composants Windows PowerShell. Définit la valeur d’une variable. Crée la variable si aucune variable avec le nom demandé n’existe pas. Trie les objets par les valeurs de propriété. Retourne la partie spécifiée d’un chemin d’accès. Démarre un ou plusieurs services arrêtés.

408

Les applets de commande Windows PowerShell

Applet de commande Start−Sleep Start−Transcript Stop−Process Stop−Service Stop−Transcript Suspend−Service Tee−Object Test−Path Trace−Command Update−FormatData Update−TypeData Where−Object Write−Debug Write−Error Write−Host Write−Output Write−Progress Write−Verbose Write−Warning

Description Interrompez l’environnement, le script ou l’activité de l’instance d’exécution pour l’intervalle de temps spécifié. Crée un enregistrement de tout ou partie d’une session Windows PowerShell dans un fichier texte. Arrête un ou plusieurs processus en cours d’exécution.

10. Windows PowerShell

Arrête un ou plusieurs services en cours d’exécution. Arrête une transcription. Interrompt (suspend) un ou plusieurs services en cours d’exécution. Dirige l’entrée d’objet vers un fichier ou une variable, puis passe l’entrée le long du pipeline. Détermine si tous les éléments d’un chemin d’accès existent. L’applet de commande Trace−Command configure et démarre une trace de l’expression ou de la commande spécifiée. Met à jour et ajoute les fichiers de données de mise en forme. Met à jour la configuration de type étendu actuelle en rechargeant en mémoire les fichiers *.types.ps1xml. Crée un filtre qui contrôle les objets qui seront passés le long d’un pipeline de commandes. Écrit un message de débogage pour l’affichage hôte. Écrit un objet au pipeline d’erreur. Affiche des objets à l’aide de l’interface utilisateur hôte Écrit des objets au pipeline de succès. Affiche une barre de progression dans une fenêtre de commande Windows PowerShell. Écrit une chaîne pour l’affichage commenté de l’hôte. Écrit un message d’avertissement.

Dans les environnements traditionnels, les commandes sont des programmes exécutables allant de la commande simple comme dir au très complexe comme netsh. Dans Windows PowerShell, la plupart des applets de commande sont très simples et conçues pour une utilisation en association avec d’autres applets de commande. Par exemple, les applets de commande get ne font que récupérer des données, les applets de commande set permettent uniquement de définir ou de modifier des données, les applets de commande format servent exclusivement à la mise en forme de données et les applets de commande out seulement à diriger la sortie vers une destination spécifiée. Chaque applet de commande est assortie d’un fichier d’aide auquel vous pouvez accéder en tapant get−help <nom_applet_commande> −detailed. 409

Chapitre 10

Windows PowerShell

L’affichage détaillé du fichier d’aide de l’applet de commande comprend une description de l’applet de commande, la syntaxe de commande, la description des paramètres et un exemple qui illustre l’utilisation de l’applet de commande.

10. Windows PowerShell

Figure 10.3 : Un exemple de fichier d’aide d’une applet de commande

10.5. Le traitement d’objets
Bien que vous puissiez ne pas vous en rendre compte, lorsque vous travaillez dans Windows PowerShell, vous travaillez avec des objets .NET. D’un point de vue technique, un objet .NET est une instance d’une classe .NET constitué de données et des opérations associées à ces données. Vous pouvez cependant considérer un objet comme une entité de données assortie de propriétés, qui sont en quelque sorte des caractéristiques, et des méthodes, qui sont des actions que vous pouvez effectuer sur l’objet. Par exemple, lorsque vous obtenez un service dans Windows PowerShell, vous obtenez en réalité un objet qui représente le service. Lorsque vous consultez des informations sur un service, vous consultez les propriétés de son objet service. Et lorsque vous démarrez un service, c’est-à-dire lorsque vous affectez à la propriété Status du service la valeur started, vous utilisez une méthode de l’objet service. Tous les objets du même type ont les mêmes propriétés et méthodes, mais chaque instance d’un objet peut avoir des valeurs différentes pour les propriétés. Pour déterminer le type d’objet obtenu par une applet de commande, utilisez un opérateur de pipeline | afin d’envoyer les résultats d’une commande get à la commande Get−Member. Par exemple, la commande get−service | get−member envoie les objets récupérés par une commande Get−Service à Get−Member.
PS C:\Documents and Settings\Administrateur> get-service | get-member TypeName: System.ServiceProcess.ServiceController

410

Le traitement d’objets

Name MemberType Definition ---------------------Name AliasProperty Name = ServiceName add_Disposed Method System.Void add_Disposed(EventHandler ✂ value) Close Method System.Void Close() Continue Method System.Void Continue() CreateObjRef Method System.Runtime.Remoting.ObjRef ✂ CreateObjRef(Type requestedType) Dispose Method System.Void Dispose() Equals Method System.Boolean Equals(Object obj) ExecuteCommand Method System.Void ExecuteCommand(Int32 command) GetHashCode Method System.Int32 GetHashCode() GetLifetimeService Method System.Object GetLifetimeService() GetType Method System.Type GetType() get_CanPauseAndContinue Method System.Boolean get_CanPauseAndContinue() get_CanShutdown Method System.Boolean get_CanShutdown() get_CanStop Method System.Boolean get_CanStop() get_Container Method System.ComponentModel.IContainer ✂ get_Container() get_DependentServices Method System.ServiceProcess.ServiceController[] ✂ get_DependentServices() get_DisplayName Method System.String get_DisplayName() get_MachineName Method System.String get_MachineName() get_ServiceHandle Method System.Runtime.InteropServices.SafeHandle ✂ get_ServiceHandle() get_ServiceName Method System.String get_ServiceName() get_ServicesDependedOn Method System.ServiceProcess.ServiceController[] ✂ get_ServicesDependedOn() get_ServiceType Method System.ServiceProcess.ServiceType ✂ get_ServiceType() get_Site Method System.ComponentModel.ISite get_Site() get_Status Method System.ServiceProcess ✂ .ServiceControllerStatus get_Status() InitializeLifetimeService Method System.Object InitializeLifetimeService() Pause Method System.Void Pause() Refresh Method System.Void Refresh() remove_Disposed Method System.Void remove_Disposed(EventHandler ✂ value) set_DisplayName Method System.Void set_DisplayName(String value) set_MachineName Method System.Void set_MachineName(String value) set_ServiceName Method System.Void set_ServiceName(String value) set_Site Method System.Void set_Site(ISite value) Start Method System.Void Start(), System.Void ✂ Start(String[] args) Stop Method System.Void Stop() ToString Method System.String ToString() WaitForStatus Method System.Void ✂ WaitForStatus(ServiceControllerStatus desiredStatus), System.Void ✂ WaitForStatus(ServiceControllerStatus desiredStatus, TimeSpan timeout) CanPauseAndContinue Property System.Boolean CanPauseAndContinue {get;} CanShutdown Property System.Boolean CanShutdown {get;}

10. Windows PowerShell 411

Chapitre 10

Windows PowerShell

CanStop Property System.Boolean CanStop {get;} Container Property System.ComponentModel.IContainer ✂ Container {get;} DependentServices Property System.ServiceProcess.ServiceController[] ✂ DependentServices {get;} DisplayName Property System.String DisplayName {get;set;} MachineName Property System.String MachineName {get;set;} ServiceHandle Property System.Runtime.InteropServices.SafeHandle ✂ ServiceHandle {get;} ServiceName Property System.String ServiceName {get;set;} ServicesDependedOn Property System.ServiceProcess.ServiceController[] ✂ ServicesDependedOn {get;} ServiceType Property System.ServiceProcess.ServiceType ✂ ServiceType {get;} Site Property System.ComponentModel.ISite Site ✂ {get;set;} Status Property System.ServiceProcess ✂ .ServiceControllerStatus Status {get;} Get−Member affiche des informations sur l’objet service, y compris le nom de type (TypeName) de l’objet et une liste de ses propriétés et méthodes.

10. Windows PowerShell

Pour rechercher les valeurs de toutes les propriétés d’un objet particulier, utilisez un opérateur de pipeline afin d’envoyer les résultats d’une commande get à une commande Format−List ou Format−Table. Utilisez le paramètre Property des applets de commande Format avec une valeur visant à tout inclure. Par exemple, pour rechercher toutes les propriétés du service Planification du système, tapez get−service schedule | format−list −property *.

Figure 10.4 : résultat de la commande get-service schedule | format-list –property *

Les pipelines d’objets
L’un des avantages liés à l’utilisation d’objets est qu’elle permet de canaliser la commande en pipeline, c’est-à-dire de passer la sortie d’une commande à une autre commande, en tant qu’entrée. La communication requiert souvent la manipulation de 412

L’interaction et les scripts

chaînes afin de convertir la sortie d’un format en un autre et de supprimer des titres et des en-têtes de colonnes. Windows PowerShell fournit un nouveau modèle interactif basé sur les objets, plutôt que sur du texte. L’applet de commande qui reçoit un objet peut agir directement sur ses propriétés et méthodes sans la moindre conversion ou manipulation. Les utilisateurs peuvent faire référence aux propriétés et méthodes de l’objet par nom, plutôt que d’avoir à calculer la position des données dans la sortie. Prenons un exemple : le résultat d’une commande IpConfig est passé à une commande Findstr. L’opérateur de pipeline envoie le résultat de la commande située à sa gauche à la commande située à sa droite.

10. Windows PowerShell

Figure 10.5 : Utilisation de l’opérateur de pipeline

Le résultat est l’affichage de la ligne contenant la chaîne de caractères Adresse comme seul résultat de la commande IpConfig.

10.6. L’interaction et les scripts
Comme d’autres environnements, Windows PowerShell prend en charge un environnement interactif complet. Lorsque vous tapez une commande à l’invite, la commande est traitée et la sortie s’affiche dans la fenêtre d’environnement. Vous pouvez envoyer la sortie d’une commande à un fichier ou une imprimante, ou bien utiliser l’opérateur de pipeline pour envoyer la sortie à une autre commande. Si vous exécutez de façon répétitive des commandes ou des séquences de commandes particulières, ou si vous développez une série de commandes pour effectuer une tâche complexe, vous pouvez enregistrer vos commandes dans un fichier et exécuter le fichier de commandes au lieu de taper des commandes à l’invite. C’est le principe du script. En plus de son interface interactive, Windows PowerShell prend pleinement en charge les scripts. Dans Windows PowerShell, les fichiers de script ont l’extension de nom de fichier .ps1. Pour exécuter un script, tapez le nom du script à l’Invite de commandes, par exemple c:\script.ps1. Vous devez spécifier le chemin d’accès complet au fichier de script, même si le script se trouve dans le répertoire actif. Pour indiquer le répertoire actif, tapez son nom ou utilisez un point (.) pour le représenter, par exemple .\testscript.ps1. Windows PowerShell inclut également un langage de script très élaboré qui vous permet de créer des scripts des plus simples aux plus complexes. Il prend en charge des

413

Chapitre 10

Windows PowerShell

constructions de langage pour les boucles, les conditions, le contrôle de flux et l’affectation de valeurs aux variables.

La stratégie d’exécution
Bien que les scripts soient extrêmement utiles, voire essentiels, dans certaines entreprises, ils peuvent être utilisés pour diffuser du code malveillant. En conséquence, la stratégie de sécurité dans Windows PowerShell, appelée "stratégie d’exécution", vous permet de déterminer si des scripts peuvent s’exécuter et s’ils doivent inclure une signature numérique. Pour éliminer un risque évident, aucune des stratégies d’exécution de Windows PowerShell ne vous permet d’exécuter un script par un double-clic sur son icône. Pour obtenir plus d’informations, sous Windows PowerShell, tapez get−help
about_signing.

10. Windows PowerShell

Les stratégies d’exécution PowerShell assurent la sécurité de l’environnement de script en déterminant les conditions dans lesquelles PowerShell charge des fichiers de configuration et exécute des scripts. Les stratégies d’exécution PowerShell sont énumérées dans le tableau suivant :
Tableau 10.2 : Les différentes stratégies d’exécution de Windows PowerShell
Stratégie d’exécution Restricted AllSigned Description Stratégie d’exécution par défaut. Autorise l’exécution de commandes individuelles, mais de scripts. Les scripts peuvent être exécutés. Requiert la signature numérique d’un éditeur approuvé sur tous les scripts et les fichiers de configuration, y compris les scripts que vous écrivez sur l’ordinateur local, vous demande confirmation avant d’exécuter des scripts provenant d’éditeurs approuvés et risque d’exécuter des scripts signés mais malveillants. Les scripts peuvent être exécutés. Requiert la signature numérique d’un éditeur approuvé sur les scripts et fichiers de configuration téléchargés à partir d’Internet (y compris les programmes de messagerie électronique et de messagerie instantanée), ne requiert pas de signatures numériques sur les scripts exécutés depuis l’ordinateur local, ne vous demande pas de confirmation avant d’exécuter des scripts provenant d’éditeurs approuvés et risque d’exécuter des scripts signés mais malveillants. Les scripts non signés peuvent être exécutés. Les scripts et fichiers de configuration téléchargés à partir d’Internet (y compris Microsoft Outlook, Windows Mail et Windows Messenger) sont exécutés après que vous avez été informé de leur provenance. Risque d’exécuter des scripts malveillants.

RemoteSigned

Unrestricted

414

Utiliser Windows PowerShell

Restricted est la stratégie la plus sûre. C’est la valeur par défaut. Elle autorise l’exécution de commandes individuelles, mais pas celle de scripts.

Lorsqu’une stratégie d’exécution empêche PowerShell de charger un fichier ou d’exécuter un script, un avertissement qui explique la restriction s’affiche. Pour charger le fichier ou autoriser l’exécution de scripts, changez de stratégie d’exécution. Le changement prend immédiatement effet et est conservé jusqu’à ce que vous en changiez de nouveau. Seuls les administrateurs sont autorisés à changer de stratégie. Pour changer de stratégie d’exécution : 1. Sous Windows PowerShell, tapez Set−ExecutionPolicy <nom_stratégie>, par exemple Set−ExecutionPolicy RemoteSigned. 2. Si la commande aboutit, PowerShell affiche l’Invite de commandes. Aucun message de réussite ne s’affiche. Si la commande échoue, PowerShell affiche un message d’erreur et rétablit la stratégie d’exécution antérieure. Pour consulter la stratégie d’exécution PowerShell : 3. Sous Windows PowerShell, tapez Get−ExecutionPolicy.
Figure 10.6 : Résultat de la commande Get-ExecutionPolicy

10. Windows PowerShell

10.7. Utiliser Windows PowerShell
Plongez-vous maintenant dans les principes fondamentaux de l’utilisation de Windows PowerShell. Vous allez apprendre les bonnes pratiques d’utilisation

L’importance de l’aide
L’applet de commande Get−Help est un outil pratique pour en apprendre davantage sur Windows PowerShell. En lisant les descriptions des applets de commande, en étudiant les concepts et en explorant les rubriques liées au langage, vous pouvez commencer à comprendre comment utiliser Windows PowerShell. La première rubrique d’intérêt est donc le système d’aide.
j

Pour afficher des informations sur le système d’aide de Windows PowerShell, tapez
get−help.

415

Chapitre 10

Windows PowerShell

10. Windows PowerShell

Figure 10.7 : Résultat de la commande get-help

Pour commencer à utiliser Windows PowerShell, vous souhaiterez donc en savoir plus sur quelques applets de commande de base, telles que Get−Command, Get−Process, Get−Service, Get−Eventlog, etc.
j

Pour afficher la forme la plus simple de l’aide d’une applet de commande, tapez
get−help, suivi du nom de l’applet de commande en question. Par exemple, pour obtenir de l’aide sur Get−Command, tapez get−help get−command.

j

Pour afficher l’aide détaillée d’une applet de commande, qui inclut la description des paramètres et des exemples, utilisez le paramètre Detailed de Get−Help. Par exemple, pour obtenir l’aide détaillée relative à l’applet de commande Get−Command, tapez get−help get−command −detailed. Pour afficher l’intégralité de l’aide disponible pour une applet de commande, y compris des informations techniques sur cette applet de commande et ses paramètres, utilisez le paramètre Full. Par exemple, pour obtenir l’intégralité de l’aide relative à l’applet de commande Get−Command, tapez get−help get−command −full.

j

416

Utiliser Windows PowerShell

j

Vous pouvez aussi afficher des parties sélectionnées du fichier d’aide. Pour consulter uniquement les exemples, utilisez le paramètre Examples. Par exemple, pour afficher les exemples de l’applet de commande Get−Command, tapez get−help get−command −examples. Pour consulter uniquement des descriptions détaillées de paramètres, utilisez le paramètre Parameter de Get−Help. Vous pouvez spécifier le nom d’un paramètre ou utiliser le caractère générique * pour spécifier tous les paramètres. Par exemple, pour consulter une description du paramètre TotalCount de Get−Command, tapez get−help get−command −parameter totalcount. Pour consulter tous les paramètres de l’applet de commande Get−Command, tapez get−help get−command −parameter *.

j

10. Windows PowerShell

Vous pouvez également utiliser l’une des fonctions de Windows PowerShell qui appellent Get−Help. La fonction Help affiche un écran d’aide complet à la fois. La fonction Man affiche une aide qui ressemble aux pages Man sous Unix (tiens ?…).
j

Pour utiliser les fonctions Help et Man afin d’afficher l’aide de l’applet de commande Get−Command, tapez man get−command ou help get−command.

Figure 10.8 : Résultat de la commande man get-command

Lorsque vous demandez une rubrique d’aide particulière, Get−Help affiche le contenu de la rubrique. Mais lorsque vous utilisez des caractères génériques pour demander plusieurs rubriques, Get−Help affiche une liste de rubriques. Par exemple, pour consulter la liste des rubriques d’aide relatives aux applets de commande Get, tapez get−help get−*. L’aide sur les concepts de Windows PowerShell commence par about_. Pour afficher de l’aide sur un concept Windows PowerShell, tapez get−help, suivi du nom du concept qui vous intéresse. Par exemple, pour obtenir de l’aide sur les caractères génériques, tapez get−help about_wildcard. Pour afficher une liste de toutes les rubriques conceptuelles de Windows PowerShell, tapez get−help about_*.

417

Chapitre 10

Windows PowerShell

La lecture des rubriques d’aide et l’essai des exemples vous permettront de vous familiariser avec le fonctionnement de Windows PowerShell et la manière dont vous pouvez l’utiliser dans votre rôle d’administrateur.

Utiliser des applets de commande
10. Windows PowerShell Commencez en tapant le nom de l’applet de commande à l’Invite de commandes de Windows PowerShell. Les commandes Windows PowerShell ne respectent pas la casse : vous pouvez les taper à votre convenance en majuscules ou en minuscules.
Figure 10.9 : Exemple de commande get-date

Pour répertorier les applets de commande de votre session, utilisez l’applet de commande Get−Command sans paramètres de commande. L’affichage par défaut de Get−Command comprend trois colonnes : CommandType, Name et Definition. Lorsqu’il s’agit d’afficher la liste des applets de commande, la colonne Definition affiche la syntaxe de l’applet de commande. L’applet de commande Get−Command obtient également des commandes et éléments de commande autres que des applets de commande, notamment les alias (surnoms de commandes), fonctions et fichiers exécutables disponibles dans Windows PowerShell. Voici un exemple qui répertorie les fichiers exécutables disponibles dans Windows PowerShell en utilisant Get−Command, l’image correspondante ne montre qu’une petite partie du résultat :

Figure 10.10 : Une partie des résultats de get-command *.exe

Dans cet exemple, lorsqu’il s’agit d’afficher la liste des fichiers exécutables, la colonne Definition contient le chemin d’accès complet au fichier exécutable. Maintenant, essayez d’autres applets de commande, comme Get−Process, Get−Service, Get−EventLog et Get−Alias. Lorsque vous serez à l’aise avec les 418

Utiliser Windows PowerShell

applets de commande de type Get− simples, essayez-en une plus intéressante, comme Get−WmiObject. Cette applet de commande vous permet d’afficher et de modifier les composants d’ordinateurs distants. Par exemple, la commande get−wmiobject win32_bios −computername srv−dc−01 obtient des informations sur le BIOS du serveur SRV−DC−01. Et n’oubliez pas d’utiliser la commande get−help avec ses multiples commutateurs pour entrer dans les détails techniques de la commande.

10. Windows PowerShell

Mettre en forme la sortie des commandes
Dans Windows PowerShell, vous avez la possibilité de faire appel à des applets de commande qui mettent en forme la sortie de la commande que vous voulez exécuter. Ce sont les applets de commande format :
j j j j

Format−List ; Format−Custom ; Format−Table ; Format−Wide.

Aucune autre applet de commande ne met en forme la sortie. Lorsque vous exécutez une commande, Windows PowerShell appelle le formateur par défaut, déterminé par le type des données affichées. Le formateur détermine les propriétés de la sortie à afficher et si elles doivent être affichées sous forme de liste ou de tableau. Par exemple, lorsque vous utilisez l’applet de commande Get−Service, l’affichage par défaut est un tableau à trois colonnes comme dans l’image suivante (qui ne contient qu’une petite partie du résultat) :
Figure 10.11 :

Une partie des résultats de get-service

Pour modifier le format de la sortie de toute applet de commande, utilisez l’opérateur de pipeline afin d’envoyer la sortie de la commande à une applet de commande Format. Par exemple, la commande suivante envoie la sortie d’une commande Get−Service à l’applet de commande Format−List. En conséquence, les données de service sont présentées sous forme de liste pour chaque service.

419

Chapitre 10

Windows PowerShell

10. Windows PowerShell

Figure 10.12 : Une partie des résultats de get-service | format-list

Dans ce format, non seulement les données apparaissent dans une liste au lieu d’un tableau, mais les informations sur chaque service sont plus nombreuses. Au lieu de trois colonnes de données pour chaque service, il y a neuf lignes de données. Format−List n’a pas récupéré les informations de service supplémentaires. Les données étaient présentes avec les objets récupérés par Get−Service, mais Format−Table, le formateur par défaut, les a omises car il ne pouvait pas afficher plus de trois colonnes sur la largeur de l’écran.

Utiliser des alias
La saisie des noms d’applets de commande peut être fastidieuse. Pour réduire la saisie et faciliter l’utilisation de Windows PowerShell par des utilisateurs habitués à d’autres environnements, Windows PowerShell prend en charge le concept d’alias, c’est-à-dire un autre nom pour une commande. Vous pouvez créer un alias pour un nom d’applet de commande, de fonction ou de fichier exécutable, puis taper l’alias au lieu du nom dans toute commande. Windows PowerShell inclut de nombreux alias intégrés et vous pouvez créer les vôtres. Les alias que vous créez sont valides uniquement dans la session active. Voici la liste des alias intégrés à la base dans PowerShell :

420

Utiliser Windows PowerShell

Tableau 10.3 : Liste des alias préconfigurés sous PowerShell Alias % ? ac asnp cat cd chdir clc clear cli clp cls clv copy cp cpi cpp cvpa del diff dir echo epal epcsv erase fc fl foreach ft fw gal gc gci Commande PowerShell correspondante ForEach−Object Where−Object Add−Content Add−PSSnapin Get−Content Set−Location Set−Location Clear−Content Clear−Host Clear−Item Clear−ItemProperty Clear−Host Clear−Variable Copy−Item Copy−Item Copy−Item Copy−ItemProperty Convert−Path Remove−Item Compare−Object Get−ChildItem Write−Output Export−Alias Export−Csv Remove−Item Format−Custom Format−List ForEach−Object Format−Table Format−Wide Get−Alias Get−Content Get−ChildItem

10. Windows PowerShell 421

Chapitre 10

Windows PowerShell

Alias gcm gdr ghy gi gl gm gp gps group gsnp gsv gu gv gwmi h history iex ihy ii ipal ipcsv kill lp ls mi mount move mp mv nal ndr ni nv oh

Commande PowerShell correspondante Get−Command Get−PSDrive Get−History Get−Item Get−Location Get−Member Get−ItemProperty Get−Process Group−Object Get−PSSnapin Get−Service Get−Unique Get−Variable Get−WmiObject Get−History Get−History Invoke−Expression Invoke−History Invoke−Item Import−Alias Import−Csv Stop−Process Out−Printer Get−ChildItem Move−Item New−PSDrive Move−Item Move−ItemProperty Move−Item New−Alias New−PSDrive New−Item New−Variable Out−Host

10. Windows PowerShell 422

Utiliser Windows PowerShell

Alias popd ps pushd pwd r rd rdr ren ri rm rmdir rni rnp rp rsnp rv rvpa sal sasv sc select set si sl sleep sort sp spps spsv sv tee type where write

Commande PowerShell correspondante Pop−Location Get−Process Push−Location Get−Location Invoke−History Remove−Item Remove−PSDrive Rename−Item Remove−Item Remove−Item Remove−Item Rename−Item Rename−ItemProperty Remove−ItemProperty Remove−PSSnapin Remove−Variable Resolve−Path Set−Alias Start−Service Set−Content Select−Object Set−Variable Set−Item Set−Location Start−Sleep Sort−Object Set−ItemProperty Stop−Process Stop−Service Set−Variable Tee−Object Get−Content Where−Object Write−Output

10. Windows PowerShell 423

Chapitre 10

Windows PowerShell

Dans ces alias, vous en remarquerez des biens connus d’Unix/Linux comme ls, rm, etc.

Créer un alias
Pour créer des alias pour les applets de commande et les commandes dans Windows PowerShell, utilisez l’applet de commande Set−Alias. Par exemple, pour créer l’alias gh pour l’applet de commande Get−Help, tapez set−alias gh get−help. 10. Windows PowerShell

Supprimer un alias
Pour supprimer un alias, utilisez l’applet de commande Remove−Item. Par exemple, pour supprimer l’alias ls, tapez remove−item alias:ls.

10.8. Naviguer dans Windows PowerShell
Une fonctionnalité particulièrement intéressante de Windows PowerShell est qu’il vous permet de naviguer à travers de nombreux magasins de données différents en utilisant les techniques auxquelles vous êtes habitué dans le système de fichiers. En plus des lecteurs classiques du système de fichiers, comme C: et D:, Windows PowerShell inclut des lecteurs qui représentent les ruches HKEY_LOCAL_MACHINE (HKLM:) et HKEY_CURRENT_USER (HKCU:) du Registre, le magasin de certificats de signatures numériques de votre ordinateur et les fonctions de la section active, entre autres. Il s’agit des lecteurs Windows PowerShell. Windows PowerShell est livré avec plusieurs lecteurs pratiques, pris en charge par les fournisseurs de Windows PowerShell. Pour obtenir la liste des lecteurs Windows PowerShell, tapez get−psdrive.

Figure 10.13 : Les lecteurs Windows PowerShell

Naviguer dans le système de fichiers
Pour naviguer dans le lecteur de système de fichiers, utilisez les applets de commande Set−Location (qui a comme alias cd) et Get−Childitem (qui a comme alias dir ou ls). Dans Windows PowerShell, les lecteurs sont indiqués par leur nom, suivi d’un 424

Naviguer dans Windows PowerShell

deux-points et les éléments parents sont séparés des éléments enfants par des barres obliques inversées (\), comme lorsque vous tapez C:\windows, ou des barres obliques (/). La navigation dans Windows PowerShell est facilitée grâce à quelques fonctionnalités :
j j

Des symboles représentent le répertoire actif (le point) et le contenu d’un répertoire *. Des variables intégrées représentent votre répertoire de base $home et le répertoire d’installation de Windows PowerShell $pshome.

10. Windows PowerShell

Comme dans d’autres environnements, vous pouvez passer d’un emplacement à un autre, créer, supprimer, déplacer et copier des répertoires et des fichiers ou modifier leurs propriétés. Vous pouvez même utiliser la saisie automatique par tabulation pour les noms de chemins d’accès. Les commandes Item vous seront très utiles pour cela.

Naviguer dans le Registre
Vous pouvez naviguer dans la base de Registre Windows en utilisant les mêmes techniques de navigation que dans le lecteur de système de fichiers. Dans Windows PowerShell, la ruche HKEY_LOCAL_MACHINE est mappée au lecteur Windows PowerShell HKLM: et HKEY_CURRENT_USER au lecteur Windows PowerShell HKCU:. Vous pouvez manipuler le lecteur de Registre comme dans l’image suivante :

Figure 10.14 : Exemple de navigation dans le registre

425

Chapitre 10

Windows PowerShell

Vous remarquerez que le résultat de la commande dir (Get−ChildItem) dans les lecteurs de Registre est différent de celui du système de fichiers. Parce que le Registre propose des informations différentes sur différents lecteurs, l’environnement fournit une vue différente des données. Dans ce cas, il est important de savoir combien de sous-clés et d’entrées sont présentes, de sorte que la sortie inclut un nombre de sous-clés et un nombre d’entrées de valeurs, en plus des noms des sous-clés et des entrées. 10. Windows PowerShell

Figure 10.15 : Informations sur les sous-clés et les valeurs

Vous ne rencontrerez que peu de différences de navigation jusqu’à l’accès aux entrées du Registre. Les entrées d’une clé de Registre sont considérées comme étant les propriétés de la clé sous laquelle elles se trouvent. Comme telles, vous pouvez les récupérer au moyen de l’applet de commande Get−ItemProperty.

Figure 10.16 : Propriétés d’une clé dans Windows PowerShell

Naviguer dans le magasin de certificats
Vous pouvez aussi naviguer dans le magasin de certificats de signatures numériques de votre ordinateur. Le magasin de certificats est mappé au lecteur Windows PowerShell Cert: comme dans l’exemple suivant :

426

PowerShell et Active Directory

10. Windows PowerShell

Figure 10.17 : Exemple de navigation dans le magasin de certificat

10.9. PowerShell et Active Directory
Pour mettre en exergue la puissance de PowerShell dans Active Directory, voyez un exemple de script lié à l’administration d’Active Directory. Ce script issu du script center vous permet de lister les informations liées au domaine :
$strComputer = "." $colItems = get-wmiobject -class "Win32_NTDomain" -namespace "root\CIMV2" ′ -computername $strComputer foreach ($objItem in $colItems) { write-host "Caption: " $objItem.Caption write-host "Client Site Name: " $objItem.ClientSiteName write-host "Creation Class Name: " $objItem.CreationClassName write-host "DC Site Name: " $objItem.DcSiteName write-host "Description: " $objItem.Description write-host "DNS Forest Name: " $objItem.DnsForestName write-host "Domain Controller Address: " $objItem.DomainControllerAddress write-host "Domain Controller Address Type: " ✂ $objItem.DomainControllerAddressType write-host "Domain Controller Name: " $objItem.DomainControllerName write-host "Domain GUID: " $objItem.DomainGuid

427

Chapitre 10

Windows PowerShell

write-host "Domain Name: " $objItem.DomainName write-host "DS Directory Service Flag: " $objItem.DSDirectoryServiceFlag write-host "DS DNS Controller Flag: " $objItem.DSDnsControllerFlag write-host "DS DNS Domain Flag: " $objItem.DSDnsDomainFlag write-host "DS DNS Forest Flag: " $objItem.DSDnsForestFlag write-host "DS Global Catalog Flag: " $objItem.DSGlobalCatalogFlag write-host "DS Kerberos Distribution Center Flag: " ✂ $objItem.DSKerberosDistributionCenterFlag write-host "DS Primary Domain Controller Flag: " ✂ $objItem.DSPrimaryDomainControllerFlag write-host "DS Time Service Flag: " $objItem.DSTimeServiceFlag write-host "DS Writable Flag: " $objItem.DSWritableFlag write-host "Installation Date: " $objItem.InstallDate write-host "Name: " $objItem.Name write-host "Name Format: " $objItem.NameFormat write-host "Primary Owner Contact: " $objItem.PrimaryOwnerContact write-host "Primary Owner Name: " $objItem.PrimaryOwnerName write-host "Roles: " $objItem.Roles write-host "Status: " $objItem.Status write-host

10. Windows PowerShell

10.10. En résumé
Windows PowerShell est un noyau et, au moins pour ce qui nous concerne, vous pouvez comparer un noyau à un interpréteur de ligne de commande. Bien que VBScript puisse s’exécuter à partir de la ligne de commande, un fichier VBScript ne peut pas être exécuté ligne par la ligne. Un script Windows PowerShell, par contre, peut être immédiatement créé comme une série de commandes individuelles. De plus, Windows PowerShell dispose de fonctions dont le comportement s’apparente beaucoup à des sous-routines VBScript, ce qui peut être créé en temps réel au niveau de l’invite de commande de Windows PowerShell. Encore mieux, Windows PowerShell est construit sur Microsoft .NET Framework, tandis que VBScript se base sur la technologie COM plus ancienne. Cela signifie que la vaste quantité de code .NET produite aujourd’hui peut être directement utilisée à partir de Windows PowerShell. Pour conclure, avec Windows PowerShell, vous avez une prise en charge complète du script et un mode interactif, tout en un. Cependant, même si PowerShell doit s’imposer comme standard dans les années à venir, il n’en reste pas moins qu’il sera nécessaire de convertir les milliers de lignes de VBScript existantes.

428

Chapitre 11

La maintenance des serveurs
11.1 11.2 11.3 Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476

Préparer l’administration d’un serveur

L

a surveillance et la gestion des serveurs ne sont pas des activités qui supportent les approximations. Elles doivent être planifiées correctement.

Cette leçon présente les tâches, les outils et les droits requis pour administrer un serveur. Ces informations sont essentielles à la bonne marche de votre travail d’administrateur système. Ce chapitre décrit les conditions d’emploi et les fonctions des outils que vous utilisez pour administrer un serveur. Il explique également les concepts d’administration d’un serveur local ou distant.

11.1. Préparer l’administration d’un serveur
Cette section met en avant tous les outils et techniques que doit maîtriser un administrateur afin de se connecter de façon sécurisée au serveur qu’il doit administrer. Cela comprend l’utilisation de l’appartenance aux groupes, la fonction Exécuter en tant que, l’outil Gestion de l’ordinateur et le Bureau à distance.

11. La maintenance des serveurs

Utiliser les appartenances de groupe pour administrer un serveur
Pour administrer un serveur, vous devez disposer des autorisations requises. Il est essentiel de bien se familiariser avec les autorisations affectées aux groupes locaux de domaine et permettant à leurs membres d’effectuer des tâches spécifiques. En effet, vous pouvez utiliser ces groupes pour effectuer des tâches administratives courantes.

Les groupes locaux de domaine intégrés
Lorsqu’un ordinateur devient contrôleur de domaine, les groupes intégrés (appelés "groupes locaux au serveur") sont créés dans le service d’annuaire Active Directory. Par défaut, ces groupes disposent d’autorisations prédéfinies qui déterminent les tâches que les membres d’un groupe intégré peuvent accomplir. Il est impossible de supprimer ces groupes. La liste ci-après présente les groupes locaux de domaine intégrés et le niveau prédéfini de leurs autorisations respectives.
j

Administrateurs : les membres du groupe Administrateurs peuvent effectuer toutes les tâches prises en charge par le système d’exploitation. Les administrateurs peuvent s’attribuer n’importe quel droit d’utilisateur dont ils ne disposent pas par défaut. L’appartenance au groupe local Administrateurs doit être limitée aux seuls utilisateurs qui ont besoin d’un accès total au système. Connectez-vous en tant qu’administrateur uniquement lorsque c’est nécessaire. Soyez très prudent lorsque vous ajoutez d’autres utilisateurs au groupe Administrateurs. Par exemple, si le personnel d’assistance technique est responsable des imprimantes de votre

431

Chapitre 11

La maintenance des serveurs

organisation, ajoutez-le dans le groupe Opérateurs d’impression plutôt que dans le groupe Administrateurs.
j j

Opérateurs de sauvegarde : les membres de ce groupe peuvent sauvegarder et restaurer les fichiers en utilisant l’outil de sauvegarde. Opérateurs de compte : les membres de ce groupe peuvent gérer les comptes d’utilisateurs et les groupes, à l’exception du groupe Administrateurs ou de tout groupe d’opérateurs qui ne peuvent être modifiés que par un membre du groupe Administrateurs. Opérateurs de serveur : les membres de ce groupe peuvent partager les ressources disque, se connecter à un serveur de manière interactive, créer et supprimer les partages réseau, démarrer et arrêter des services, formater le disque dur du serveur et arrêter l’ordinateur. Ils peuvent également sauvegarder et restaurer les fichiers à l’aide de l’outil de sauvegarde. Opérateurs d’impression : les membres de ce groupe peuvent configurer les imprimantes locales et réseau de sorte que les utilisateurs puissent facilement s’y connecter et utiliser leurs ressources.

j

11. La maintenance des serveurs

j

Figure 11.1 : Groupes prédéfinis

Les groupes locaux de domaine et protection des ressources
Le recours à plusieurs groupes locaux de domaine et à leurs autorisations respectives peut protéger les ressources contre les violations de la sécurité. Un administrateur système doit toujours être membre du groupe le plus restreint, qui fournit cependant les droits appropriés ainsi que les autorisations requises pour accomplir la tâche. Par exemple, un administrateur système chargé de gérer uniquement les imprimantes et la sauvegarde des données de serveur doit être membre du groupe d’opérateurs d’impression et disposer des droits nécessaires à la sauvegarde des données serveur. 432

Préparer l’administration d’un serveur

Les autorisations des groupes locaux de domaine
Les membres des groupes locaux de domaine se voient accorder des autorisations leur permettant d’accomplir des tâches système telles que la sauvegarde et la restauration de fichiers et la modification de l’horloge système. Vous pouvez utiliser ces groupes pour administrer les ressources telles que des systèmes de fichiers ou des imprimantes de tous les ordinateurs du domaine pour lesquels des autorisations d’accès courantes sont requises. Lorsque vous effectuez des tâches sur un ordinateur en tant que membre du groupe Administrateurs, le système devient vulnérable aux attaques de type chevaux de Troie ou à tout autre risque en termes de sécurité. Le simple fait de consulter un site Internet ou d’ouvrir la pièce jointe d’un courrier électronique risque d’endommager le système car une pièce jointe ou un site Internet inconnu peuvent contenir un programme malveillant qui peut être téléchargé vers le système puis exécuté.

11. La maintenance des serveurs

La commande Exécuter en tant que
À l’aide de la commande Exécuter en tant que, qui correspond à l’ouverture d’une session secondaire, les administrateurs peuvent ouvrir une session avec un compte non administratif et, sans fermer la session, effectuer des tâches en exécutant des programmes approuvés pour la réalisation de tâches administratives. Deux comptes d’utilisateurs sont requis. En effet, pour employer la commande Exécuter en tant que dans le cadre de l’exécution de tâches administratives, les administrateurs système doivent posséder deux comptes d’utilisateurs : un compte normal disposant des privilèges de base et un compte administratif. Les administrateurs peuvent posséder chacun un compte administratif différent ou partager le même compte administratif.

Quand utiliser la commande Exécuter en tant que ?
Utilisez la commande Exécuter en tant que pour la plupart des activités. L’ouverture d’une session en tant que membre du groupe Administrateurs peut poser un problème de sécurité. Certains éléments, tels que l’Explorateur Windows, le dossier Imprimantes et les éléments du Bureau, sont lancés indirectement par Windows. Ils ne peuvent être activés à l’aide de la commande Exécuter en tant que. Pour les tâches qui ne peuvent être réalisées avec la commande Exécuter en tant que, telles que la mise à niveau du système d’exploitation ou la configuration des paramètres système, fermez la session ouverte avec le compte d’utilisateur, puis ouvrez une nouvelle session avec le compte d’administrateur. Utilisez la commande Exécuter en tant que pour ouvrir les composants logiciels enfichables personnalisés. En effet, pour administrer des ordinateurs locaux ou distants, vous pouvez utiliser la commande Exécuter en tant que afin d’ouvrir les consoles personnalisées que vous avez créées. L’utilisation de cette commande vous donne accès

433

Chapitre 11

La maintenance des serveurs

aux services et aux outils d’administration inclus dans la console et vous fait bénéficier des autorisations appropriées pour intervenir sur les composants administrés par la console. Tout utilisateur peut employer la commande Exécuter en tant que. Bien que la commande Exécuter en tant que soit avant tout destinée aux administrateurs système, n’importe quel utilisateur disposant de plusieurs comptes peut employer cette commande pour lancer des programmes avec différents comptes sans pour autant fermer de session.

11. La maintenance des serveurs

Accéder à la commande Exécuter en tant que
Il existe trois solutions pour accéder à la commande Exécuter en tant que :
j j j

Dans le menu Démarrer, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Exécuter en tant que. Dans l’Explorateur Windows, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Exécuter en tant que. Activez la commande Exécuter en tant que à partir d’une Invite de commandes. Cette méthode est généralement utilisée pour le script de tâches administratives ou le lancement d’une Invite de commandes dans le cadre d’une administration locale. Pour exécuter la commande, tapez runas /user:nom_domaine\nom _utilisateur nom_programme.

Figure 11.2 : Exécuter en tant que depuis l’Explorateur

434

Préparer l’administration d’un serveur

Par exemple, pour activer l’outil Gestion de l’ordinateur en tant qu’administrateur à partir de la ligne de commandes, ouvrez une Invite de commandes et tapez runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc.
Figure 11.3 : Lancement de l’outil de gestion de l’ordinateur de la commande runas

11. La maintenance des serveurs

Figure 11.4 : Invite de commandes pour l’authentification de la commande Exécuter en tant

que

Configurer des raccourcis associés à la commande Exécuter en tant que
Vous pouvez également configurer des raccourcis associés à la commande Exécuter en tant que vers les services et les outils d’administration que vous utilisez le plus souvent : par exemple la console Performances, l’outil Gestion de l’ordinateur, le Gestionnaire de périphériques et l’outil Gestion des disques. Comment configurer les raccourcis associés à la commande Exécuter en tant que ? Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associés à la commande Exécuter en tant que, vers les outils d’administration que vous utilisez le plus souvent. Pour configurer un raccourci associé à la commande Exécuter en tant que vers l’outil Performances : 1. Cliquez du bouton droit de la souris sur le Bureau, pointez sur Nouveau, puis cliquez sur Raccourci. 2. Sur la page Création d’un raccourci, tapez runas /user:corp\administrateur "mmc %windir%\system32\perfmon.msc" dans le champ Entrez l’emplacement de l’élément, puis cliquez sur Suivant.

435

Chapitre 11

La maintenance des serveurs

Figure 11.5 : Création du raccourci avec la commande runas

11. La maintenance des serveurs

3. Dans la page Sélection d’un titre pour le programme, tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer. 4. Sur le Bureau, double-cliquez sur l’icône Performances, puis choisissez Gestion de l’ordinateur, Gestionnaire de périphériques ou Gestion des disques. 5. Saisissez votre mot de passe.
Figure 11.6 : Propriété du raccourci permon

436

Préparer l’administration d’un serveur

Tableau 11.1 : Raccourcis associés à la commande Exécuter en tant que Outil Gestion de l’ordinateur Gestion de périphériques Gestion des disques Utilisateurs et ordinateurs Active Directory MMC Invite de commandes Ligne de commandes runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\devmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\diskmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\dsa.msc" runas /user:corp\administrateur mmc runas /user:corp\administrateur cmd

11. La maintenance des serveurs

Comment utiliser la commande Exécuter en tant que ?
Utilisez la commande Exécuter en tant que pour lancer une console MMC à partir d’un compte disposant des droits appropriés pour l’exécution de cette tâche. Par exemple, si vous ouvrez une session sur un serveur en tant qu’utilisateur et que vous souhaitiez installer un nouveau logiciel, vous pouvez fermer la session, en ouvrir une autre en tant qu’administrateur, ouvrir le Panneau de configuration, utiliser la fonction Ajout/ Suppression de programmes pour installer le nouveau logiciel, fermer la session en tant qu’administrateur, puis rouvrir une nouvelle session avec votre compte d’utilisateur. Avec la commande Exécuter en tant que, vous pouvez ouvrir le Panneau de configuration, appuyer sur la touche [Maj], cliquer du bouton droit de la souris sur Ajout/Suppression de programmes, puis utiliser la commande Exécuter en tant que pour ajouter ou supprimer des programmes en tant qu’administrateur. Pour utiliser la commande Exécuter en tant que à partir du menu Démarrer, procédez comme suit : 1. Dans le menu Démarrer, cliquez du bouton droit de la souris sur le fichier exécutable du programme de votre choix. 2. Cliquez sur Exécuter en tant que (voir fig. 11.17). 3. Cliquez sur L’utilisateur suivant. 4. Dans les champs Nom d’utilisateur et Mot de passe, saisissez le nom et le mot de passe du compte.

437

Chapitre 11

La maintenance des serveurs

11. La maintenance des serveurs

Figure 11.7 : Lancement d’un programme avec un compte différent de celui de la

session en cours 5. Cliquez sur OK.

Figure 11.8 : contexte d’exécution de l’outil Utilisateurs et Ordinateurs avec la

commande en tant que 438

Préparer l’administration d’un serveur

Pour utiliser la commande Exécuter en tant que à partir de l’Invite de commandes, procédez ainsi : 1. Dans le menu Démarrer, cliquez sur Exécuter, tapez runas /user:corp\administrateur cmd, sachant que corp doit correspondre au nom de votre domaine, puis cliquez sur OK. 2. Une fenêtre d’Invite de commandes apparaît vous proposant d’entrer un mot de passe pour le compte corp\administrateur. Saisissez le mot de passe correspondant au compte d’administrateur, puis appuyez sur [Ä]. 3. Une nouvelle console apparaît, exécutée en mode Administrateur. Le titre de la console affiche "en tant qu’utilisateur corp\administrateur". 11. La maintenance des serveurs

Figure 11.9 : La commande Exécuter en tant que à partir de l’Invite de commandes

L’outil Gestion de l’ordinateur
La Gestion de l’ordinateur offre un ensemble d’outils qui vous permettront d’administrer un ordinateur local ou distant. Utilisez l’outil Gestion de l’ordinateur pour :
j j j

analyser les événements système tels que les heures d’ouverture de session et les erreurs applicatives ; créer et gérer des ressources partagées ; afficher la liste des utilisateurs connectés à un ordinateur local ou distant ;

439

Chapitre 11

La maintenance des serveurs

j j j j

démarrer et arrêter les services système tels que le Planificateur de tâches et le service d’indexation ; définir les propriétés des périphériques de stockage ; afficher les configurations de périphérique et ajouter de nouveaux pilotes de périphériques ; gérer les applications et les services.

La console Gestion de l’ordinateur répartit les outils d’administration en trois catégories : 11. La maintenance des serveurs
j

Les outils système : ils sont destinés à la gestion des événements système et des performances de l’ordinateur. − L’Observateur d’événements : utilisez cet outil pour gérer et afficher les événements enregistrés dans le journal des applications, le journal de sécurité et le journal système. Vous pouvez analyser les journaux pour suivre les événements de sécurité et identifier d’éventuels problèmes liés aux logiciels, au matériel ou au système. − Les Dossiers partagés : utilisez cet outil pour visualiser les connexions et les ressources en cours d’utilisation sur l’ordinateur. Vous pouvez créer, afficher et gérer les ressources partagées, afficher les sessions et les fichiers ouverts, fermer les fichiers et déconnecter les sessions. − Les Utilisateurs et groupes locaux : utilisez cet outil pour créer et gérer les groupes et comptes d’utilisateurs locaux. − Les Journaux et alertes de performance : utilisez cet outil pour analyser et collecter les données relatives aux performances de l’ordinateur. − Le Gestionnaire de périphériques : utilisez cet outil pour afficher les périphériques matériels installés sur l’ordinateur, mettre à jour les pilotes de périphériques, modifier les paramètres matériels et résoudre les conflits de périphériques.

j

Le stockage : les outils de stockage sont destinés à la gestion des propriétés des périphériques de stockage. − Le Stockage amovible : utilisez cet outil pour assurer le suivi des supports de stockage amovibles et gérer les bibliothèques ou les systèmes de stockage de données les contenant. − Le Défragmenteur de disque : utilisez cet outil pour analyser et défragmenter des volumes sur les disques durs. − La Gestion des disques : utilisez cet outil pour effectuer les tâches liées au disque, telles que la conversion de disques ou la création et le formatage de volumes. L’outil Gestion des disques vous aide à gérer les disques durs ainsi que les partitions ou les volumes qu’ils contiennent.

440

Préparer l’administration d’un serveur

j

Les services et applications : les outils de la catégorie des services et des applications vous aident à gérer les services et les applications de l’ordinateur. − Les Services : utilisez cet outil pour gérer les services sur des ordinateurs locaux ou distants. Vous pouvez démarrer, arrêter, interrompre, reprendre ou désactiver un service. Ainsi, vous pouvez employer l’outil Services pour arrêter un service sur un ordinateur distant. − Le Contrôle WMI : utilisez cet outil pour configurer et gérer le service de gestion Windows. − Le Service d’indexation : utilisez cet outil pour gérer l’indexation, créer et configurer des catalogues supplémentaires pour stocker les informations d’index.

11. La maintenance des serveurs

Figure 11.10 : La console Gestion de l’ordinateur

Pour utiliser l’outil Gestion de l’ordinateur afin d’administrer un ordinateur à distance, procédez ainsi : 1. Dans le menu Démarrer, cliquez du bouton droit de la souris sur Poste de travail, puis cliquez sur Gérer. 2. Cliquez du bouton droit de la souris sur Gestion de l’ordinateur (local), puis cliquez sur Se connecter à un autre ordinateur. 3. Cliquez sur Un autre ordinateur, tapez le nom de l’ordinateur que vous souhaitez gérer à distance ou cliquez sur Parcourir pour le rechercher. Cliquez sur OK.

441

Chapitre 11

La maintenance des serveurs

Figure 11.11 : Gestion de d’un ordinateur à distance

11. La maintenance des serveurs

4. Dans l’arborescence de la console Gestion de l’ordinateur, développez les entrées Outils système, Stockage ou Services et applications. 5. Cliquez sur l’élément, puis sélectionnez les outils que vous souhaitez utiliser.

Figure 11.12 : Gestion de d’un ordinateur à distance

Les administrateurs système doivent souvent travailler en dehors du site. Ainsi, en tant qu’administrateur, vous pouvez vous trouver sur un site et devoir effectuer la maintenance d’un serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console MMC pour gérer le serveur à distance. Par exemple, vous pouvez démarrer ou arrêter des services sur un serveur distant, consulter le journal des événements et gérer les partages ou les disques.

442

Préparer l’administration d’un serveur

Pour configurer la console MMC afin de gérer un serveur à distance, procédez comme suit : 1. Ouvrez la console MMC en cliquant sur Démarrer, puis sur Exécuter. Tapez mmc et validez. 2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. 3. Sur la liste des composants logiciels enfichables, cliquez sur Gestion de l’ordinateur, puis sur Ajouter. 4. À l’invite, sélectionnez l’ordinateur local ou distant que vous souhaitez gérer à l’aide de ce composant logiciel enfichable, puis cliquez sur Terminer. 5. Cliquez sur Fermer, puis sur OK. 11. La maintenance des serveurs

Le Bureau à distance
À l’aide de l’outil Bureau à distance pour administration, vous pouvez gérer un ou plusieurs ordinateurs distants à partir d’un seul emplacement. Dans une grande entreprise, vous pouvez avoir recours à l’administration à distance pour centraliser la gestion de plusieurs ordinateurs situés dans d’autres bâtiments, voire dans d’autres villes. Dans une petite entreprise, vous pouvez avoir recours à l’administration à distance pour gérer un seul serveur situé dans un bureau voisin ou dans un autre site. L’outil Bureau à distance pour administration fournit un accès au serveur à partir d’un ordinateur situé sur un autre site, à l’aide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet l’interface utilisateur à la session cliente. De même, il transmet les manipulations sur le clavier et les clics de souris du client vers le serveur. Vous pouvez créer jusqu’à deux connexions distantes simultanées. Chaque session que vous ouvrez est indépendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez l’outil Bureau à distance pour administration afin d’ouvrir une session sur un serveur distant, la connexion est établie comme s’il s’agissait de l’ouverture d’une session sur le serveur local. Le Bureau à distance pour administration fournit deux outils permettant d’administrer un serveur distant : la Connexion Bureau à distance et le composant logiciel enfichable des Bureaux à distance. Chaque instance de l’outil Connexion Bureau à distance crée sa propre fenêtre. Vous pouvez administrer un serveur distant par fenêtre. Chaque instance démarre toujours une nouvelle session sur le serveur.

Configurer le Bureau à distance
Un administrateur système peut utiliser la fonction Bureau à distance pour effectuer des tâches, telles que l’ajout d’un logiciel et l’installation de Services Packs sur un serveur distant.

443

Chapitre 11

La maintenance des serveurs

Pour configurer les connexions serveur afin d’administrer un serveur à distance, procédez ainsi : 1. Connectez-vous en tant qu’administrateur. 2. Dans le menu Démarrer, cliquez du bouton droit de la souris sur Poste de travail. 3. Cliquez sur Propriétés. 4. Cliquez sur Utilisation à distance. 5. Cochez la case Autoriser les utilisateurs à se connecter à distance à cet ordinateur. 11. La maintenance des serveurs
Figure 11.13 :

Configuration de l’assistance à distance pour l’administration du serveur

Configurer les préférences du client
Pour configurer la connexion Bureau à distance, vous devez paramétrer les préférences du client. Pour cela, utilisez l’interface Connexion Bureau à distance pour configurer les données relatives à la connexion et à l’ordinateur client. Pour procéder à la configuration, définissez les préférences du client sous les onglets suivants :
j

Utilisez l’onglet Général pour fournir les informations requises pour la connexion automatique au serveur distant. Ces informations sont le nom du serveur, le nom et le mot de passe de l’utilisateur et le nom de domaine. Vous pouvez également enregistrer votre mot de passe et les paramètres de connexion, et ouvrir une connexion enregistrée.

444

Préparer l’administration d’un serveur

j

Utilisez l’onglet Affichage pour modifier la taille de l’affichage et les paramètres de couleur du Bureau distant, et pour afficher ou masquer la barre de connexion en mode Plein écran. Utilisez l’onglet Ressources locales pour choisir d’autoriser ou non un Bureau distant à avoir accès aux lecteurs de disque, aux ports série, aux imprimantes ou à la carte à puce de l’ordinateur local. On appelle "redirection des ressources" le fait d’autoriser l’accès depuis le Bureau distant. Lorsque vous autorisez le Bureau distant à avoir accès à ces ressources, il peut les utiliser pendant toute la durée de la session. 11. La maintenance des serveurs

j

Admettons que vous choisissiez d’autoriser l’accès au disque dur local depuis le Bureau distant. Cette autorisation vous permet de facilement copier des fichiers depuis ou vers le Bureau distant, mais elle signifie également que le Bureau distant dispose d’un accès au contenu du disque dur local. Si cet accès n’est pas approprié, vous pouvez décocher la case correspondante afin d’empêcher que le disque dur local ou toute autre ressource ne soient redirigés vers le Bureau distant.
j j

Utilisez l’onglet Programmes pour spécifier un programme à démarrer lors de la connexion au serveur distant. Utilisez l’onglet Avancé pour améliorer la performance de la connexion au serveur distant en autorisant l’affichage de certaines caractéristiques de la session Windows distante, telles que l’arrière-plan du Bureau, comme si elles étaient activées sur l’ordinateur distant. Pour optimiser les performances de la connexion, sélectionnez une vitesse de connexion plus rapide. La vitesse de connexion par défaut, de 56 kbits/s, offre de bonnes performances pour la plupart des réseaux. Mais vous pouvez utiliser des paramètres de vitesse supérieurs pour activer des fonctions graphiques plus performantes, telles que le papier peint du Bureau et l’affichage ou le masquage des menus.

Se connecter à un serveur distant
En tant qu’administrateur système, vous vous êtes sûrement retrouvé à perdre du temps en vous déplaçant sur les sites des serveurs distants pour effectuer des tâches administratives. En utilisant l’outil Connexion Bureau à distance pour administrer à distance les serveurs de votre entreprise, vous pouvez économiser du temps sur vos déplacements et consacrer ainsi plus de temps à votre travail. Pour vous connecter à un serveur distant à l’aide de l’outil Connexion Bureau à distance, procédez ainsi : 1. Sur l’ordinateur client, cliquez sur Démarrer, puis choisissez Tous les programmes/ Accessoires/Communications. Cliquez sur Connexion Bureau à distance. 2. Dans la zone Ordinateur, tapez le nom d’un ordinateur ou l’adresse IP du serveur exécutant Windows Server 2003 et sur lequel le service de Bureau à distance est installé.

445

Chapitre 11

La maintenance des serveurs

Figure 11.14 : Connexion de Bureau à distance

11. La maintenance des serveurs

Figure 11.15 : Ouverture de sessions sur le serveur distant

3. Lorsque vous avez terminé de travailler sur la session distante, dans le menu Démarrer, cliquez sur Fermer la session. En tant qu’administrateur système, vous êtes amené à vous connecter à la session de la console afin de voir les messages système envoyés à la console. Vous devez peut-être également gérer simultanément plusieurs serveurs. Pour cela, utilisez le composant logiciel enfichable Bureaux à distance.

446

Préparer l’administration d’un serveur

Pour vous connecter à un ou à plusieurs serveurs à l’aide du composant logiciel enfichable Bureaux à distance : 1. Dans le menu Démarrer, cliquez sur Outils d’administration, puis sur Bureaux à distance.

11. La maintenance des serveurs

Figure 11.16 : Bureau à distance

2. Dans l’arborescence de la console, cliquez du bouton droit de la souris sur Bureaux à distance, puis sur Ajouter une nouvelle connexion. 3. Dans la boîte de dialogue Ajouter une nouvelle connexion, entrez le nom du serveur, un nom de connexion, un nom d’utilisateur, le mot de passe correspondant et le nom du domaine.
Figure 11.17 : Ajout d’une nouvelle connexion

4. Si vous souhaitez vous connecter à la session de la console, activez l’option Se connecter à la console.

447

Chapitre 11

La maintenance des serveurs

Figure 11.18 : Activer le mode Se connecter en mode Console

11. La maintenance des serveurs

5. Pour gérer plusieurs serveurs, répétez les étapes 2 et 3.

Figure 11.19 : Bureau à distance en mode Console

6. Lorsque vous avez terminé de travailler sur la session distante, dans le menu Démarrer, cliquez sur Fermer la session. Pour vous connecter à la session de la console sur un serveur distant à l’aide de l’outil de ligne de commandes mstsc : 1. Dans le menu Démarrer, cliquez sur Exécuter, tapez cmd, puis cliquez sur OK.

448

Préparer l’administration d’un serveur

2. À l’invite, tapez la commande mstsc /v:stlscpdc01 /console, puis validez (Stlscpdc01 correspond au nom du serveur distant).

Figure 11.20 : Se connecter à un serveur distant à l’aide de l’outil de ligne de commandes

11. La maintenance des serveurs

mstsc 3. Connectez-vous au serveur distant. L’utilisation des paramètres de délai peut vous aider à gérer les ressources du serveur. Après avoir défini les limites des connexions de session, vous pouvez administrer le serveur plus efficacement. Pour configurer un paramètre de délai pour une connexion distante, procédez comme suit : 1. Cliquez sur Démarrer, puis sur Outils d’administration. Cliquez sur Configuration des services Terminal Server.

Figure 11.21 : Configuration des services Terminal Server

2. Dans le volet d’informations, cliquez du bouton droit de la souris sur RDP-Tcp, puis cliquez sur Propriétés (voir fig. 11.22). 3. Sous l’onglet Sessions, activez la première option Remplacer les paramètres de l’utilisateur.

449

Chapitre 11

La maintenance des serveurs

Figure 11.22 : Propriété de RDP-Tcp

11. La maintenance des serveurs

4. Modifiez les paramètres appropriés : Fin d’une session déconnectée, Limite de session active ou Limite de session inactive. Nombre de connexions En mode Administration à distance, le nombre de connexions est limité à deux.
Figure 11.23 : Nombre de connexions en mode Administration à distance

Déconnexion des sessions Une session déconnectée doit impérativement être fermée pour être terminée. Aussi, n’oubliez pas de bien fermer les sessions quand vous avez fini vos opérations. Sinon, vous vous trouverez dans l’impossibilité d’ouvrir d’autres sessions, du moins jusqu’à ce que vous fassiez le ménage dans les sessions. 450

Analyser les performances du serveur

11.2. Analyser les performances du serveur
L’analyse des performances du serveur constitue une part importante de l’administration et de la maintenance du système d’exploitation. Elle permet non seulement d’analyser le comportement du serveur en cas de problème, mais également d’obtenir des informations qui peuvent être utilisées pour prévoir une évolution future et anticiper sur la façon dont les modifications des configurations du système peuvent affecter l’exploitation ultérieure.

Pourquoi analyser les performances ?
L’analyse des performances est indispensable à la maintenance du serveur. Effectuée de façon quotidienne, hebdomadaire ou mensuelle, elle permet de définir les performances de base du serveur. Grâce à cette analyse, vous obtenez des données sur les performances qui facilitent le diagnostic des problèmes du serveur. Les données sur les performances permettent :
j j j j

11. La maintenance des serveurs

de comprendre pourquoi la charge de travail d’un serveur augmente soudainement ; d’observer les modifications et les tendances de l’utilisation des ressources afin de planifier les mises à niveau matérielles ultérieures ; de tester les changements de configuration ou tout autre effort de réglage des performances en analysant les résultats ; de diagnostiquer les problèmes et d’identifier les composants ou les processus pour optimiser les performances.

Analyser les données de performances et les goulets d’étranglement
L’analyse des données de performances peut révéler des problèmes, tels qu’une demande excessive de certaines ressources entraînant des goulets d’étranglement. Un engorgement se produit lorsqu’une seule ressource a un impact négatif sur les performances de l’ensemble du système. La demande d’une ressource peut devenir excessive au point de provoquer l’engorgement des quatre sous-systèmes principaux que sont la mémoire, le processeur, le disque et le réseau. Les causes d’un engorgement sont diverses et peuvent être les suivantes :
j

Les sous-systèmes sont insuffisants, et des composants supplémentaires ou mis à niveau sont alors requis (par exemple, les goulets d’étranglement sont souvent dus à une mémoire insuffisante). Les sous-systèmes ne partagent pas les charges de travail de façon équitable et un équilibrage est nécessaire (par exemple, une ancienne carte réseau est installée sur un nouveau serveur).

j

451

Chapitre 11

La maintenance des serveurs

j

Un sous-système ne fonctionne pas correctement et doit être remplacé (par exemple, un disque dur qui présente souvent des problèmes mineurs avant de tomber définitivement en panne). Un programme monopolise une ressource particulière (par exemple, la mémoire n’est pas correctement partagée par une application développée maison). Pour résoudre ce problème, il est nécessaire de demander à un développeur de réécrire le programme, d’ajouter ou de mettre à niveau des ressources ou d’exécuter le programme durant des périodes de faible utilisation. Un sous-système n’est pas correctement configuré, et les paramètres de configuration doivent donc être modifiés (par exemple, il se peut qu’une ancienne carte réseau à plusieurs vitesses soit configurée pour 10 Mbits/s au lieu de 100 Mbit/s).

j

j

11. La maintenance des serveurs

Établir une ligne de base
On détermine une base de référence à partir d’un ensemble de données relevées sur une période étendue au cours de charges de travail et de connexions utilisateur de types divers mais représentatifs. La ligne de base est un indicateur qui permet de connaître l’utilisation des ressources système individuelles ou d’un groupe de ressources en période d’activité normale. Postulat de base : relever des échantillons de valeurs des compteurs toutes les 30 à 45 minutes pendant une semaine, lors de niveaux d’exploitation élevés, normaux et faibles. Les principales étapes de création d’une ligne de base sont :
j j j

l’identification des ressources ; la capture des données ; l’enregistrement des données.

Les quatre principales ressources système pour les lignes de base des performances sont :
j j j j

la mémoire ; le processeur ; le disque physique ; le réseau.

Ce sont des objets de performance. Il s’agit de données générées par un composant ou une ressource du système. Chaque objet de performance inclut des compteurs, qui comprennent des données concernant des aspects spécifiques des performances du système. Les objets de performances peuvent avoir plusieurs instances.

452

Analyser les performances du serveur

Choisir entre analyse programmée et analyse en temps réel
Les administrateurs peuvent utiliser l’analyse programmée pour contrôler régulièrement les serveurs. Il est possible, avec cette méthode, de définir les performances de base et d’utiliser l’analyse des tendances pour identifier les problèmes du serveur. Par exemple, si vous suspectez des ralentissements sur un serveur, vous pouvez vérifier les fichiers journaux correspondants pour rechercher l’origine du problème. Les administrateurs doivent également identifier les problèmes dus à des événements spécifiques. Pour ce type de problème, il est nécessaire d’effectuer une analyse en temps réel. Par exemple, si on vous informe que les imprimantes connectées au serveur d’impression fonctionnent par intermittence, utilisez un outil d’analyse en temps réel, tel que le Gestionnaire des tâches ou le Moniteur système, pour rechercher l’origine du problème.

11. La maintenance des serveurs

La console Performances
Windows Server 2003 fournit les outils suivants qui font partie de la console Performances et permettent d’analyser l’utilisation des ressources sur votre ordinateur :
j j

le Moniteur système ; les Journaux et alertes de performance.

Vous pouvez afficher les données de compteur enregistrées à l’aide du Moniteur système ou les exporter vers des tableurs ou des bases de données pour les analyser et générer un rapport. Le Moniteur système permet de créer des graphiques, des histogrammes et des rapports concernant les données des compteurs de performance. L’affichage graphique, qui représente l’affichage par défaut, propose le plus grand choix de paramètres facultatifs.

L’affichage graphique
Il permet d’analyser en temps réel tous les processus d’un système. Les données des compteurs d’une période définie sont présentées sous forme de graphique linéaire.

L’histogramme
Il permet de détecter les goulets d’étranglement au niveau du processeur. Les données de compteurs sont présentées sous forme de diagramme en bâtons (une valeur par instance de compteur).

Le rapport
Il permet d’analyser les valeurs numériques de chaque compteur. Les données de compteurs sont présentées dans un tableau (une valeur par instance de compteur). 453

Chapitre 11

La maintenance des serveurs

L’analyse en temps réel
Avec cette méthode, le Moniteur système traite les compteurs de données et les met à jour dès réception des données provenant du système d’exploitation. Utilisez l’analyse en temps réel pour déterminer l’état actuel des quatre sous-systèmes (mémoire, processeur, disque et réseau). Ainsi, si les utilisateurs signalent un long délai de réponse pour une application client/serveur dans une situation qui n’avait jusqu’à présent généré aucun problème, vous pouvez employer le Moniteur système pour réaliser un diagnostic et résoudre le problème. Pour effectuer une analyse en temps réel avec la console Performances, procédez ainsi : 11. La maintenance des serveurs 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

Figure 11.24 : Moniteur système

2. Cliquez sur Moniteur système. 3. Cliquez du bouton droit de la souris dans le volet des informations, puis sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs à ajouter au journal : 4. Dans la zone Objet de performance, sélectionnez le type d’objet de performance à analyser. Pour ajouter des compteurs, sélectionnez l’option Tous les compteurs si vous souhaitez inclure tous les compteurs pour l’objet de performance sélectionné 454

Analyser les performances du serveur

ou l’option Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour l’objet de performance sélectionné. Pour analyser les instances du compteur sélectionné, sélectionnez l’option Toutes les instances si vous souhaitez analyser toutes les instances des compteurs sélectionnés ou l’option Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs sélectionnés.
Figure 11.25 : Ajouter des compteurs

11. La maintenance des serveurs

5. Cliquez sur Ajouter.

Figure 11.26 : Moniteur système avec les compteurs de performance

455

Chapitre 11

La maintenance des serveurs

6. Cliquez sur Fermer. Information sur les compteurs Pour obtenir la description d’un compteur, sélectionnez celui-ci, puis cliquez sur Expliquer.
Figure 11.27 : Expliquer les compteurs de performance

11. La maintenance des serveurs

Cas particuliers Certains types d’objets possèdent plusieurs instances. Par exemple, si un serveur possède plusieurs processeurs, le type d’objet Processeur dispose de plusieurs instances. Si un système contient deux disques, le type d’objet Disque physique possède deux instances. Certains objets, tels que ceux de la mémoire ou du serveur, ne disposent que d’une seule instance. Si un type d’objet a plusieurs instances, vous pouvez ajouter des compteurs pour réaliser le suivi statistique de chaque instance ou, dans de nombreux cas, de toutes les instances à la fois.

L’analyse programmée
L’analyse programmée consiste à récupérer et conserver des données sur une période définie pour les analyser ultérieurement. Cela permet d’établir une ligne de base, de détecter les goulets d’étranglement et de déterminer si des modifications du système se

456

Analyser les performances du serveur

sont produites au cours de cette période. Utilisez l’outil Journaux et alertes de performance pour effectuer une analyse programmée. Pour effectuer une analyse programmée à l’aide de la console Performances, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance. 11. La maintenance des serveurs

Figure 11.28 : Journaux et alertes

3. Cliquez du bouton droit de la souris sur Journaux de compteur, puis sur Nouveaux paramètres de journal. 4. Dans la boîte de dialogue qui apparaît, indiquez le nom du journal, puis cliquez sur OK.
Figure 11.29 : Nom du nouveau fichier journal

5. Sous l’onglet Général, cliquez sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs à ajouter au journal : 6. Dans la zone Objet de performance, sélectionnez le type d’objet de performance à analyser. Pour ajouter des compteurs, sélectionnez l’option Tous les compteurs si vous souhaitez inclure tous les compteurs pour l’objet de performance sélectionné ou l’option Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour l’objet de performance sélectionné. Pour analyser les instances du compteur sélectionné, sélectionnez l’option Toutes les instances si vous souhaitez analyser toutes les instances des compteurs sélectionnés ou l’option Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs sélectionnés.

457

Chapitre 11

La maintenance des serveurs

Figure 11.30 : Sélection des objets et compteurs

11. La maintenance des serveurs

7. Cliquez sur Ajouter, puis sur Fermer. 8. Sous l’onglet Général, modifiez l’intervalle dans le champ correspondant.
Figure 11.31 :

Modification de la période d’échantillonnage des données

9. Sous l’onglet Planification, modifiez le jour et l’heure du démarrage et de l’arrêt du journal, puis cliquez sur OK.

458

Analyser les performances du serveur

Figure 11.32 : Planification du démarrage et de l’arrêt du journal

11. La maintenance des serveurs

10. Si un message vous invite à créer un dossier de journal, cliquez sur Oui.

Figure 11.33 : Journaux de compteur avec la tâche planifiée

Le Gestionnaire des tâches
Le Gestionnaire des tâches offre une vue d’ensemble de l’activité et des performances du système et fournit des informations concernant les programmes et les processus en cours d’exécution sur votre ordinateur. Il indique également le type de mesure des performances du processus le plus utilisé. De plus, vous pouvez l’employer pour une analyse en temps réel.

459

Chapitre 11

La maintenance des serveurs

Le Gestionnaire des tâches peut permettre d’analyser les indicateurs clés des performances de votre ordinateur :
j j

Vous pouvez afficher l’état des programmes en cours d’exécution et terminer ceux qui ne répondent plus. L’activité des processus en cours peut être évaluée en utilisant jusqu’à 15 paramètres, et des graphiques ainsi que des données concernant l’utilisation du processeur et de la mémoire peuvent être affichés. Si vous êtes connecté à un réseau, vous avez la possibilité d’afficher l’état de ce réseau. Si plusieurs utilisateurs sont connectés à votre ordinateur, vous pouvez savoir qui ils sont, quels fichiers sont utilisés et leur envoyer un message. Le Gestionnaire des tâches propose cinq onglets qui permettent d’effectuer l’ensemble de ces actions.
Figure 11.34 : Le gestionnaire des tâches

j

11. La maintenance des serveurs

j

Analyser un serveur distant
La charge de travail supplémentaire apportée au serveur par le Gestionnaire des tâches et la console Performances peut entraîner une représentation incorrecte des données récupérées. L’analyse du serveur à distance permet de limiter ce type de problème. Analyser des ordinateurs distants Si vous envisagez d’analyser des ordinateurs distants, vous devez disposer des droits d’accès requis.

460

Analyser les performances du serveur

Pour analyser un serveur distant, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Cliquez du bouton droit de la souris dans le volet droit du Moniteur système, puis cliquez sur Ajouter des compteurs. 3. Cliquez sur Choisir les compteurs sur, puis tapez le nom de l’ordinateur distant.
Figure 11.35 :

Ajout d’un compteur depuis un ordinateur distant

11. La maintenance des serveurs

4. Dans Objet de performance, sélectionnez les objets à analyser. Pour chaque objet de performance, sélectionnez les compteurs correspondants sur la liste. Cliquez sur Ajouter après chaque sélection de compteur, puis cliquez sur Fermer.

Figure 11.36 : Moniteur système avec les compteurs d’ordinateurs distants

461

Chapitre 11

La maintenance des serveurs

Les journaux
Windows Server 2003 peut récupérer des données concernant les ressources disque, la mémoire, les processeurs et les composants réseau. De plus, certaines applications, par exemple Exchange Server, peuvent également récupérer des données. Celles-ci constituent des objets de performances et leur nom est généralement celui du composant qui les génère. L’objet Processeur représente un ensemble de données de performances relatives aux processeurs du serveur. Les journaux sont des compteurs qui indiquent les données enregistrées dans le fichier journal. Les journaux de compteur permettent de sélectionner les compteurs pour récupérer les données sur les performances. Pour créer un journal de compteur, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

11. La maintenance des serveurs

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. Tous les journaux de compteur existants apparaissent dans le volet des informations. L’icône verte indique qu’un journal est en cours et l’icône rouge signale l’arrêt du journal. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis cliquez sur Nouveaux paramètres de journal. 4. Dans la zone de texte Nom, tapez le nom du journal, puis cliquez sur OK. 5. Sous l’onglet Général, cliquez sur Ajouter des compteurs pour sélectionner les compteurs à enregistrer. 6. Si vous souhaitez modifier le fichier par défaut et planifier des informations, utilisez les onglets Fichiers journaux et Planification. 7. Pour enregistrer les paramètres d’un journal de compteur, cliquez du bouton droit de la souris sur celui-ci dans le volet situé à droite dans la console Performances, puis cliquez sur Enregistrer les paramètres sous. Vous pouvez indiquer le fichier .htm dans lequel enregistrer les paramètres. 8. Pour réutiliser les paramètres enregistrés avec un autre journal de compteur, cliquez du bouton droit de la souris dans le volet situé à droite, puis cliquez sur Nouveaux paramètres de journalisation issus de. Cela permet de générer facilement de nouveaux paramètres à partir de la configuration d’un journal de compteur. Vous pouvez également ouvrir le fichier HTML dans Internet Explorer pour afficher un graphique du Moniteur système. Les journaux de compteur pouvant rapidement remplir l’espace disque, prenez l’habitude de les supprimer lorsque vous n’en avez plus besoin ; généralement, après avoir établi une ligne de base et enregistré les informations correspondantes. Il est 462

Analyser les performances du serveur

conseillé d’établir une ligne de base une fois par semaine et de supprimer les journaux ayant plus de 30 jours. Pour supprimer un journal de compteur, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur à supprimer. 11. La maintenance des serveurs

Figure 11.37 : Suppression d’un journal

4. Cliquez sur Supprimer. Voici les différents formats de fichiers journaux :
Tableau 11.2 : Journaux et alertes de performance
Format du fichier journal Fichier texte (délimité par des virgules) Fichier texte (délimité par des tabulations) Description Définit un fichier journal délimité par des virgules (extension .csv). Définit un fichier journal délimité par des tabulations (extension .csv). Utilisation Utilisez ce format pour exporter les données du journal vers un tableur, par exemple. Utilisez ce format pour exporter les données du journal vers un tableur, par exemple.

463

Chapitre 11

La maintenance des serveurs

Format du fichier journal Fichier binaire

Description Définit un fichier journal séquentiel binaire (extension .blg). Seuls les formats binaires peuvent intégrer des instances discontinues.

Utilisation Utilisez ce format de fichier pour enregistrer les instances de données intermittentes, à savoir celles qui s’arrêtent et reprennent une fois le journal commencé. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux délimités par des virgules. Utilisez ce format pour enregistrer des données en continu dans le même fichier journal, les nouvelles données remplaçant les enregistrements précédents lorsque la taille maximale du fichier est atteinte. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux délimités par des virgules. Utilisez ce format de fichier pour récupérer les données sur les performances au niveau de l’entreprise et non pour chaque ordinateur.

11. La maintenance des serveurs

Fichier circulaire binaire

Définit un fichier journal circulaire binaire (extension .blg).

Base de données SQL

Définit le nom d’une base de données SQL et d’un ensemble de journaux au sein de la base de données dans laquelle les données sur les performances seront lues ou écrites.

Pour définir les paramètres de fichier d’un journal de compteur, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance. 3. Pour définir les propriétés de fichier d’un journal de compteur, double-cliquez sur Journaux de compteur. 4. Dans le volet des informations, double-cliquez sur le journal. 5. Passez sous l’onglet Fichiers journaux. 6. Sur la liste Type de fichier journal, sélectionnez le format souhaité pour ce fichier journal, paramétrez les options, puis cliquez sur le bouton Configurer. 7. Dans la zone Configurer, déterminez les paramètres de configuration à l’aide des options Configurer les fichiers journaux ou Configurer les journaux SQL, selon le type de fichier journal choisi sur la liste correspondante. 8. Activez l’option Terminer les noms de fichiers avec, puis, sur la liste, cliquez sur le style de suffixe souhaité. Utilisez cette option pour distinguer les fichiers journaux

464

Analyser les performances du serveur

ayant le même nom de fichier dans un groupe de journaux générés automatiquement. 9. Dans la zone Démarrer la numérotation à partir de, indiquez le premier chiffre de la numérotation automatique des fichiers, lorsque vous sélectionnez nnnnnn pour l’option Terminer les noms de fichiers avec. 10. Dans la zone Commentaire, tapez si nécessaire un commentaire ou une description concernant le fichier journal.
Figure 11.38 : Les différents types de fichiers journal

11. La maintenance des serveurs

11. Dans la boîte de dialogue Configurer les fichiers journaux, sous la rubrique Taille du fichier journal, activez l’option Limite maximale pour que les données soient récupérées de façon continue dans un fichier journal jusqu’à ce que sa taille limite définie par les quotas de disque ou le système d’exploitation soit atteinte. Pour les journaux SQL, les données sont récupérées dans une base de données jusqu’à ce que sa taille limite définie par le nombre d’enregistrements effectués soit atteinte. Choisissez Limite de et indiquez la taille limite du fichier journal. Pour les journaux de compteur et de traçage, indiquez la taille maximale en mégaoctets. Pour les journaux SQL, indiquez la taille maximale dans les enregistrements (voir fig. 11.39). Pour définir les paramètres de début et de fin d’un journal de compteur, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur.

465

Chapitre 11

La maintenance des serveurs

Figure 11.39 : Limiter la taille du fichier journal

11. La maintenance des serveurs

3. Dans le volet des informations, double-cliquez sur le nom du journal de compteur. 4. Sous l’onglet Planification, sous la rubrique Démarrer l’enregistrement dans le journal, cliquez sur Heure, puis indiquez l’heure et la date.
Figure 11.40 : Planification des heures de démarrage et d’arrêt du journal

5. Sous l’onglet Arrêter l’enregistrement dans le journal, sélectionnez l’une des options suivantes :
j j

Pour que le journal s’arrête après une durée précise, cliquez sur Après, puis indiquez le nombre d’intervalles et leur type (jours, heures, etc.). Pour que le journal s’arrête à une heure et à une date précises, cliquez sur Heure, puis indiquez l’heure et la date. Vous pouvez saisir quatre caractères dans la zone de l’année, deux dans les autres.

466

Analyser les performances du serveur

j

Pour que le journal de compteur s’arrête lorsque le fichier journal atteint sa taille maximale, activez l’option Quand le fichier journal de 10 Mo est plein. Le fichier continue à accumuler des données selon la taille limite indiquée sous l’onglet Fichiers journaux (en kilo-octets, jusqu’à 2 Go).

6. Dans la zone Quand un fichier journal est fermé, sélectionnez l’option appropriée :
j j

Si vous souhaitez configurer un journal de compteur circulaire (continu, automatique), sélectionnez l’option Commencer un nouveau fichier journal. Pour exécuter un programme après l’arrêt du fichier journal (par exemple, si vous souhaitez utiliser la commande copy pour transférer les journaux terminés vers un site d’archive), sélectionnez Exécuter cette commande. Tapez le chemin d’accès et le nom du fichier du programme à exécuter ou cliquez sur Parcourir pour rechercher l’emplacement du programme.

11. La maintenance des serveurs

Pour commencer et arrêter manuellement les journaux de compteur, procédez ainsi : 1. Ouvrez la console Performances, puis double-cliquez sur Journaux et alertes de performance. 2. Cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur à arrêter ou à démarrer. 4. Cliquez sur Démarrer ou Arrêter.

Figure 11.41 : Démarrage et arrêt manuel du fichier journal

467

Chapitre 11

La maintenance des serveurs

Les alertes
Grâce à la fonction d’alerte, vous pouvez définir une valeur de compteur qui déclenche des actions, telles que l’envoi d’un message réseau, l’exécution d’un programme ou le démarrage d’un journal. Les alertes sont utiles si vous n’analysez pas de façon active une valeur seuil d’un compteur particulier mais que vous souhaitiez être informé lorsqu’elle est supérieure ou inférieure à un paramètre spécifié, afin de pouvoir rechercher l’origine de ce changement. Alertes Une alerte est une fonction qui détecte à quel moment une valeur de compteur prédéfinie est supérieure ou inférieure à un paramètre spécifié. Ce dernier est un seuil d’alerte. Vous pouvez définir une alerte pour un compteur afin d’effectuer les actions suivantes :
j j j j

11. La maintenance des serveurs

créer une entrée dans le journal des événements de l’application pour, notamment, enregistrer tous les événements ayant provoqué une alerte ; commencer un journal lorsque la valeur de compteur sélectionnée est supérieure ou inférieure au seuil d’alerte ; envoyer un message pour être prévenu lorsqu’un événement spécifique se produit ; exécuter un programme pour lancer un programme lorsqu’un événement se produit (par exemple, le serveur peut s’arrêter si le disque dur est plein).

Pour créer une alerte, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes. Toutes les alertes existantes apparaissent dans le volet des informations. L’icône verte indique que l’alerte est en cours et l’icône rouge signale l’arrêt de l’alerte. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis sur Nouveaux paramètres d’alerte. 4. Dans la zone de texte Nom, tapez le nom de l’alerte, puis cliquez sur OK.
Figure 11.42 : Nouveaux paramètres d’alerte

468

Analyser les performances du serveur

5. Dans la fenêtre d’alerte portant le nom du fichier que vous venez de donner, paramétrez les différents onglets :
j

Sous l’onglet Général, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des compteurs, des seuils d’alerte et des intervalles d’échantillonnage.
Figure 11.43 : L’onglet Général

11. La maintenance des serveurs

j

Sous l’onglet Action, définissez les actions à réaliser lorsque des données de compteur génèrent une alerte.
Figure 11.44 :

L’onglet Action d’une alerte

469

Chapitre 11

La maintenance des serveurs

j

Sous l’onglet Planification, vous avez la possibilité de définir à quel moment le service commence à rechercher les alertes.
Figure 11.45 : L’onglet Planification d’une alerte

11. La maintenance des serveurs

Si vous avez choisi d’envoyer un message réseau, vous recevrez ce type de message :

Figure 11.46 : Pop-up d’alerte

Si vous avez choisi d’enregistrer un événement dans le journal des événements, voici ce que vous obtiendrez :
Figure 11.47 : Message d’alerte enregistré dans le journal d’événements

470

Analyser les performances du serveur

Pour supprimer une alerte, procédez ainsi : 1. Pour lancer la console Performances, d’administration/Performances. cliquez sur Démarrer/Outils

2. Double-cliquez sur Journaux et alertes de performance. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur l’alerte à supprimer.

11. La maintenance des serveurs

Figure 11.48 : Suppression d’une alerte

4. Cliquez sur Supprimer.

Les compteurs de performance
Nous venons de voir comment tirer parti des compteurs de performance. Maintenant, étudions un peu plus dans le détail ces compteurs.

La mémoire
La mémoire du serveur est le sous-système ayant la plus grande incidence sur les performances générales du serveur. Si le serveur ne dispose pas de mémoire suffisante pour contenir les données qui lui sont nécessaires, il doit temporairement stocker ces données sur le disque (on dit qu’il swappe). L’accès au disque est beaucoup plus lent que l’accès à la mémoire RAM. Par conséquent, tout stockage de données sur le disque altère les performances du serveur de façon importante. Par rebond, si les performances du serveur sont altérées, les applications qu’il fait tourner le sont aussi, logiquement. 471

Chapitre 11

La maintenance des serveurs

La surveillance et l’analyse de l’utilisation de la mémoire sont, par conséquent, les premières étapes à suivre dans le cadre de l’évaluation des performances du serveur.
Tableau 11.3 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau de

la mémoire
Compteur de mémoire Pages/s Plage moyenne acceptable De 0 à 20 Valeur désirée Basse Haute Basse Action Rechercher le processus à l’origine des échanges. Ajouter de la RAM Rechercher le processus à l’origine des échanges. Ajouter de la RAM Rechercher le processus à l’origine des échanges. Ajouter de la RAM Rechercher une fuite de mémoire dans une application Rechercher le processus à l’origine des échanges. Ajouter de la RAM

11. La maintenance des serveurs

Octets disponibles Au moins 5 % de la mémoire totale Octets validés Moins que la mémoire RAM physique Reste constante, n’augmente pas Inférieure à 5

Octets de réserve non paginée Défauts de pages/s

Sans objet Basse

Pour analyser la mémoire à l’aide de la console Performances, procédez comme suit : 1. Cliquez sur Démarrer/Panneau de configuration, puis double-cliquez sur Outils d’administration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs. 3. Dans Objet de performance, cliquez sur Mémoire. Sélectionnez un à un les compteurs suivants, puis cliquez sur Ajouter :
j j j j j

Pages/s ; Octets disponibles ; Octets validés ; Octets de réserve non paginée ; Défauts de page/s.

4. Bien que les compteurs suivants ne soient pas explicitement des compteurs d’objets mémoire, ils sont également utiles à l’analyse de la mémoire :
j j j

Fichier d’échange\Pourcentage d’utilisation ; Cache\% Présence des données mappées ; Serveur\Octets de réserve paginée et Serveur\Octets de réserve non paginée.

472

Analyser les performances du serveur

Figure 11.49 : Sélection des compteurs et objets pour l’analyse de la mémoire

11. La maintenance des serveurs

5. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution du problème de mémoire.

Figure 11.50 : Analyseur de performance utilisé depuis Internet Explorer

473

Chapitre 11

La maintenance des serveurs

Le processeur
L’aspect le plus important concernant les performances du processeur est le niveau d’utilisation de ce dernier. Lorsqu’une application ou un autre logiciel utilise plus que sa part du cycle du processeur, tous les autres programmes en cours d’exécution sont ralentis. Après la quantité de mémoire utilisée, l’activité du processeur est l’information la plus importante permettant d’analyser un serveur.
Tableau 11.4 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau du

11. La maintenance des serveurs

processeur
Compteur processeur % Temps processeur Système : longueur de la file du processeur Files de travail du serveur : longueur de la file Interruptions/S Plage moyenne acceptable Inférieur à 85 % Valeur désirée Basse Action Rechercher le processus utilisant trop de processeur. Mettre à niveau ou ajouter un autre processeur Mettre à niveau ou ajouter un autre processeur Rechercher le processus utilisant trop de processeur. Mettre à niveau ou ajouter un autre processeur Rechercher le contrôleur générant les interruptions

Inférieur à 10

Basse

Inférieur à 4

Basse

Dépend du processeur

Basse

Les disques
La vitesse d’accès du disque dur physique peut fortement ralentir les applications et le chargement des données. De plus, l’espace de stockage sur le disque doit être suffisant pour permettre l’installation des applications, ainsi que le stockage des données et du fichier d’échange. Il est important d’analyser les disques pour maintenir le bon fonctionnement de vos systèmes.

474

Analyser les performances du serveur

Tableau 11.5 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau du

disque
Compteur de disque Plage acceptable physique % Temps du disque Inférieure à 50 % Valeur désirée Basse Action Analyser les disques pour déterminer si des opérations d’échange s’effectuent, mettre à niveau le sous-système disque Mettre à niveau le sous-système disque

Taille de la file d’attente du disque actuel Disque, octets transfert moyen Octets disque/s

De 0 à 2

Basse

11. La maintenance des serveurs

Ligne de base ou supérieure Ligne de base ou supérieure

Haute Haute

Mettre à niveau le sous-système disque Mettre à niveau le sous-système disque

Pour analyser les disques, procédez ainsi : 1. Cliquez sur Démarrer/Panneau de configuration, puis double-cliquez sur Outils d’administration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs. 3. Dans la boîte de dialogue Ajouter des compteurs, sous Objet de performance, choisissez Disque physique. Sélectionnez les compteurs suivants et cliquez sur Ajouter.
j j j j

% Temps du disque ; Moy. disque, octets/transfert ; Taille de file d’attente du disque actuelle ; Octets disque/s.

4. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution des éventuels problèmes de disque.

Le réseau
Les performances du réseau dépendent de la vitesse du matériel de l’infrastructure de votre réseau et de celle des logiciels en cours d’exécution sur les serveurs et clients. Dans tout environnement de travail, les communications réseau sont extrêmement importantes. À l’instar du processeur ou des disques de votre système, le comportement du réseau influe sur le fonctionnement du système.

475

Chapitre 11

La maintenance des serveurs

Tableau 11.6 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau du

réseau
Compteur de l’interface réseau Utilisation du réseau (dans le Gestionnaire de tâches) Interface réseau : Octets envoyés/s Interface réseau : Total des octets/s Plage moyenne acceptable Inférieur à 30 %, en général Ligne de base ou supérieure Ligne de base ou supérieure Valeur Désirée Basse Haute Haute Action Mettre à niveau la carte ou le réseau physique Mettre à niveau la carte ou le réseau physique Poursuivre l’analyse pour déterminer la cause du problème, mettre à niveau la carte ou le réseau physique Mettre à niveau la carte ou le réseau physique

11. La maintenance des serveurs

Serveur : Octets reçus

Moins de 50 % de la capacité de la bande passante de la carte réseau

Sans objet

Pour analyser le réseau, procédez ainsi : 1. Cliquez sur Démarrer/Panneau de configuration, puis double-cliquez sur Outils d’administration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs. 3. Sous Objet de performance, choisissez Interface réseau. Sélectionnez les compteurs suivants et cliquez sur Ajouter :
j j

Interface réseau\Octets envoyés/s ; Interface réseau\Total des octets/s.

4. Sous Objet de performance, choisissez Serveur. Sélectionnez les compteurs Serveur\Octets et reçus/s, cliquez sur Ajouter, puis sur Fermer. 5. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution des éventuels problèmes de réseau.

11.3. En résumé
La maintenance de vos serveurs Windows Server 2003 est, évidemment, une partie très importante du travail d’un administrateur. C’est même une des parties qui vous suivra une fois le projet d’implémentation d’Active Directory terminé. Comme nous pouvons le constater, Windows Server 2003 est suffisamment bien équipé en standard pour vous proposer de maintenir et d’analyser les performances afin de résoudre des problèmes ou réaliser des prévisions sur les évolutions matérielles du serveur. Sachez tirer parti de tous les outils mis à votre disposition. 476

Chapitre 12

Windows Server 2008
12.1 12.2 12.3 12.4 12.5 12.6 12.7 12.8 Les prérequis à l’installation de Windows Server 2008 Qu’est-ce que la version Server Core ? . . . . . . . . . . Les groupes et utilisateurs . . . . . . . . . . . . . . . . . Les services par défaut . . . . . . . . . . . . . . . . . . . Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . Les rôles et les fonctionnalités . . . . . . . . . . . . . . . Les améliorations liées à la sécurité . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 . 480 . 486 . 487 . 489 . 493 . 500 . 507

Les prérequis à l’installation de Windows Server 2008

C

inq ans après l’arrivée de Windows Server 2003, Windows Server 2008 est le successeur d’un système d’exploitation fiable et robuste qui a fait toutes ces preuves. Mais alors qu’apporte Windows Server 2008 ? Tout d’abord, il a été conçu pour fournir aux entreprises la plateforme la plus productive pour virtualiser des charges de travail, alimenter des applications et protéger des réseaux. Il propose une plateforme sécurisée et facile à gérer servant à développer et à héberger de façon fiable des applications et des services web. Polyvalent, du groupe de travail au centre de données, Windows Server 2008 propose des fonctionnalités nouvelles et extrêmement utiles, ainsi que des améliorations importantes au système d’exploitation de base.

12.1. Les prérequis à l’installation de Windows Server 2008
L’installation de Windows Server dans une entreprise ne diffère pas des versions précédentes de Windows 2000 Server ou Windows Server 2003. Il est toujours nécessaire de définir son besoin au préalable en vérifiant les points suivants :
j j j

12. Windows Server 2008

définir l’utilisation de son serveur pour choisir la version Standard, Entreprise, Datacenter ou Web ; vérifier que l’on répond bien aux prérequis matériels de l’installation CPU, RAM, disques, etc. ; choisir la version que l’on souhaite installer, complète ou Core.

Voici les prérequis d’installation de demande Windows Server 2008, que cela soit dans les versions Core ou complètes… Le processeur
j j j

Minimum : 1 GHz. Recommandé : 2 GHz. Optimal : 3 GHz ou plus.

L’espace disque
j j j

Espace disque requis au minimum : 8 Go. Recommandé : 40 Go (installation complète) ou 10 Go (installation Server Core). Optimal : 80 Go (installation complète) ou 40 Go (installation Server Core) ou plus.

La mémoire
j j

Mémoire minimale : 512 Mo de RAM. Recommandé : 1 Go de RAM. 479

Chapitre 12

Windows Server 2008

j j j

Optimal : 2 Go de RAM (installation complète) ou 1 Go de RAM (installation Server Core) ou plus. Maximum (systèmes 32 bits) : 4 Go (Standard) ou 64 Go (Entreprise). Maximum (systèmes 64 bits) : 32 Go (Standard) ou 2 To (Entreprise). Taille du fichier d’échange Les ordinateurs avec plus de 16 Go de RAM nécessiteront davantage d’espace disque pour les fichiers de pagination, de mise en veille prolongée et de vidage.

Les périphériques
j j j

Un lecteur de DVD-Rom ; un moniteur Super VGA (800 x 600) ou d’une résolution supérieure ; un clavier et une souris.

12. Windows Server 2008

12.2. Qu’est-ce que la version Server Core ?
Le serveur dans sa version Core et l’une des nouveautés de Windows 2008 Server. Les administrateurs peuvent choisir une installation minimale de Windows Server avec des fonctionnalités spécifiques et sans les fonctionnalités inutiles. Server Core fournit un environnement pour l’exécution d’un ou de plusieurs rôles de serveur suivants :
j j j j j j j j

virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services d’annuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de l’impression (voir fig. 12.1).

Server Core offre les avantages principaux suivants aux organisations :
j

La maintenance de logiciels réduite : étant donné que Server Core installe uniquement ce qui est nécessaire pour qu’un serveur facile à gérer exécute les rôles de serveur pris en charge, le serveur requiert moins de maintenance logicielle. Avec une installation Server Core plus réduite, le nombre des mises à jour et correctifs est réduit, ce qui permet d’économiser sur l’utilisation de la bande passante du réseau étendu par les serveurs et le temps d’administration pour le personnel informatique.

480

Qu’est-ce que la version Server Core ?

12. Windows Server 2008

Figure 12.1 : Sélection de l’installation d’un serveur Core ou d’un serveur en version

complète
j

Une surface d’attaque réduite : étant donné qu’il y a moins de fichiers installés et exécutés sur le serveur, il y a moins de vecteurs d’attaque exposés au réseau. Par conséquent, la surface d’attaque est réduite. Les administrateurs peuvent installer uniquement les services spécifiques nécessaires à un serveur donné, en maintenant le risque d’exposition à un minimum absolu. Moins de redémarrages et un espace disque réduit : avec une installation minimale de Server Core, moins de composants installés auront besoin d’être mis à jour ou corrigés et le nombre de redémarrages requis sera réduit. Une installation Server Core installe les fichiers minimaux nécessaires pour les fonctionnalités requises, et l’espace disque utilisé sur le serveur sera donc réduit. En choisissant d’utiliser l’option d’installation Server Core sur un serveur, les administrateurs peuvent réduire les exigences en matière de gestion et mise à jour logicielle pour un serveur, tout en réduisant les risques liés à la sécurité.

j

Installer Windows Server 2008
L’installation de Windows Server 2008 ressemble énormément à celle de Windows Vista et pour cause, ils partagent les mêmes mécanismes d’installation et de fonctionnement.

481

Chapitre 12

Windows Server 2008

Ils utilisent tous les deux le principe des images WIM. Pour installer Windows Server 2008, procédez de la manière suivante : 1. Insérez le DVD de Windows Server 2008 et redémarrez votre serveur à partir de votre lecteur de DVD. Une première fenêtre s’ouvre et vous propose de choisir les options suivantes :
j j j

langues à installer ; format de l’heure et de la monnaie ; clavier ou méthode d’entrée.

2. Une fois vos choix réalisés, cliquez sur Suivant.

12. Windows Server 2008

Figure 12.2 : Première fenêtre de l’installation de Windows Server 2008

La fenêtre suivante vous propose :
j j j

de lire les instructions et les recommandations ; d’accéder aux fonctionnalités de réparation ; de poursuivre l’installation standard.

3. Cliquez sur Installer pour continuer.

482

Qu’est-ce que la version Server Core ?

12. Windows Server 2008

Figure 12.3 : À partir de cettee fenêtre, vous avez la possibilité d’installer ou réparer

Windows Server 2008 4. Dans la fenêtre Entrez votre clé de produit pour activation, dans le champ Clé de produit, saisissez votre clé de produit et cliquez sur Suivant.

Figure 12.4 : Saisie de la clé produit qui débloque la version de Windows Server 2008

(Standard, Entreprise…) 483

Chapitre 12

Windows Server 2008

La partie Sélectionnez le système d’exploitation que vous voulez installer est une étape importante et structurante. C’est ici, que vous allez choisir l’installation d’un serveur complet ou l’installation d’un serveur Core. 5. Dans notre exemple, sélectionnez Windows Server 2008 Enterprise (Installation complète), puis cliquez sur Suivant. Server Core Pour rappel, Server Core est une version de serveur sans interface graphique pour l’administration. Sa configuration se fait en ligne de commandes. Le Serveur Core ne possède pas la totalité des rôles que propose la version complète de Windows Server 2008. Les rôles proposés par le serveur Core sont les suivants :
j j

j j j j j j

virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services d’annuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de l’impression.

12. Windows Server 2008

6. Dans la fenêtre Veuillez lire le contrat de licence, cliquez sur la case à cocher J’accepte les termes du contrat de licence et cliquez sur Suivant.

Figure 12.5 : La fenêtre des termes de licence

484

Qu’est-ce que la version Server Core ?

7. Nous devons choisir la destination de l’installation, à savoir le lecteur logique et la taille de la partition sur laquelle nous souhaitons réaliser l’installation. Dans la fenêtre Quel type d’installation voulez-vous effectuer, sélectionnez Personnalisée (option avancée).

12. Windows Server 2008

Figure 12.6 : C’est à cette étape que vous avez le choix de mettre votre système à niveau

ou de personnaliser une installation 8. À l’étape Où souhaitez-vous installer Windows ?, sélectionnez le disque de votre choix et cliquez sur Suivant. Pour définir une partition et une taille de partition spécifique, cliquez sur Options de lecteurs (avancées).

Figure 12.7 : Étape de personnalisation de la partition d’installation

485

Chapitre 12

Windows Server 2008

9. Une fois l’installation terminée, Windows Server 2008 redémarre et vous demande de changer de mot de passe.

12. Windows Server 2008

Figure 12.8 : La fenêtre de login du premier démarrage

12.3. Les groupes et utilisateurs
Une fois installé, Windows Server propose par défaut les groupes suivants :
j j j j j j j

Accès DCOM au service de certificats ; Administrateurs ; Duplicateurs ; IIS_IUSRS ; Invités ; Lecteurs des journaux d’événements ; Opérateurs de chiffrement ;

486

Les services par défaut

j j j j j j j j j

Opérateurs de configuration réseau ; Opérateurs de sauvegarde ; Opérateurs d’impression ; Utilisateurs ; Utilisateurs avec pouvoirs ; Utilisateurs de l’analyseur de performances ; Utilisateurs du bureau à distance ; Utilisateurs du journal de performances ; Utilisateurs du modèle COM distribué.

Les utilisateurs suivants sont également créés lors de l’installation :
j j

Administrateur ; Invité (désactivé par défaut). 12. Windows Server 2008

12.4. Les services par défaut
Lors du premier démarrage Windows Server 2008 exécute un certain nombre de services avec des profils différents. Le tableau suivant vous les présente :
Tableau 12.1 : Services démarrés par défaut dans Windows Server 2008 Entreprise
Nom Application Experience Background Intelligent Transfer Service Base Filtering Engine COM+ Event System Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Diagnostic System Host Distributed Link Tracking Client Statut Started Started Started Started Started Started Started Started Started Started Started Type de démarrage Automatic Automatic (Delayed Start) Automatic Automatic Automatic Automatic Automatic Automatic Automatic Manual Automatic Système pour l’ouverture de session Local System Local System Local Service Local Service Network Service Local System Local System Local Service Local Service Local System Local System

487

Chapitre 12

Windows Server 2008

Nom Distributed Transaction Coordinator DNS Client Group Policy Client IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent KtmRm for Distributed Transaction Coordinator Network Connections Network List Service

Statut Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started

Type de démarrage Automatic (Delayed Start) Automatic Automatic Automatic Automatic Automatic Automatic (Delayed Start) Manual Automatic Automatic Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Automatic Manual Automatic Automatic

Système pour l’ouverture de session Network Service Network Service Local System Local System Local System Network Service Network Service Local System Local Service Network Service Local Service Local System Local System Local System Network Service Local Service Local System Local Service Local System Local System Local System Local Service Network Service Local System Local System Local Service Network Service Network Service Local System

12. Windows Server 2008

Network Location Awareness Network Store Interface Service Plug and Play Print Spooler Remote Access Connection Manager Remote Procedure Call (RPC) Remote Registry Secondary Logon Secure Socket Tunneling Protocol Service Security Accounts Manager Server Shell Hardware Detection SL UI Notification Service Software Licensing System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper Telephony Terminal Services User Profile Service

488

Gérer le serveur

Nom Windows Error Reporting Service Windows Event Log Windows Firewall Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Time Windows Update Workstation

Statut Started Started Started Started Started Started Started Started

Type de démarrage Automatic Automatic Automatic Automatic Automatic (Delayed Start) Automatic Automatic (Delayed Start) Automatic

Système pour l’ouverture de session Local System Local Service Local Service Local System Network Service Local Service Local System Local Service

12. Windows Server 2008

12.5. Gérer le serveur
De la rationalisation de la configuration de nouveaux serveurs à l’automatisation des tâches de gestion répétitives, la simplification des complexités quotidiennes de l’administration des serveurs est un thème clé dans un grand nombre des améliorations incluses dans Windows Server 2008. Des outils de gestion centralisés, des interfaces intuitives et des fonctionnalités d’automatisation permettent aux professionnels de l’informatique de gérer plus facilement les serveurs, les services et les imprimantes réseau, aussi bien dans le réseau central que dans les sites distants comme les succursales.

Les tâches de configuration initiales
Avec Windows Server 2008, le processus d’installation rationalisé n’est pas interrompu par des tâches de configuration qui requièrent l’intervention de l’utilisateur. Ces tâches et ces boîtes de dialogue surviennent maintenant une fois l’installation principale terminée, ce qui signifie que l’administrateur n’a plus besoin d’être disponible pour interagir avec la séquence d’installation (voir fig. 12.9). La fenêtre Tâches de configuration initiales représente une nouvelle fonctionnalité de Windows Server 2008 qui aide les administrateurs à fournir un nouveau serveur et à le configurer. Elle permet notamment de définir le mot de passe administrateur, de modifier le nom du compte administrateur pour améliorer la sécurité du serveur, de joindre le serveur à un domaine existant et d’activer Windows Update et le pare-feu Windows.

489

Chapitre 12

Windows Server 2008

12. Windows Server 2008

Figure 12.9 : La fenêtre Tâches de configuration initiales

La console Gestionnaire de serveur
Windows Server 2008 facilite la gestion et la sécurisation de plusieurs rôles de serveurs dans une organisation grâce à la nouvelle console Gestionnaire de serveur. Elle propose une seule console unifiée pour gérer la configuration et les informations système d’un serveur. Elle affiche l’état du serveur, identifie les problèmes de configuration des rôles du serveur et gère tous les rôles installés sur le serveur (voir fig. 12.10). Le volet hiérarchie de la console Gestionnaire de serveur contient des nœuds extensibles que les administrateurs peuvent utiliser pour atteindre directement des consoles afin de gérer des rôles spécifiques, de dépanner des outils ou de trouver des options de sauvegarde et de récupération après un incident (voir fig. 2.11).

490

Gérer le serveur

12. Windows Server 2008

Figure 12.10 : La console Gestionnaire de serveur Figure 12.11 : Le volet Hiérarchie de la console Gestionnaire de serveur

491

Chapitre 12

Windows Server 2008

Le Gestionnaire de serveur consolide une variété d’interfaces et d’outils de gestion dans une console de gestion unifiée, permettant aux administrateurs de compléter des tâches de gestion courantes sans avoir à naviguer entre plusieurs interfaces, outils et boîtes de dialogue.

Les assistants Server Manager
Les assistants Server Manager rationalisent les tâches de déploiement de serveurs dans une entreprise en réduisant le temps de déploiement, par rapport aux versions antérieures de Windows Server. La plupart des tâches de configuration courantes telles que la configuration ou la suppression de rôles, la définition de plusieurs rôles et les services de rôles peuvent maintenant être réalisées en une seule session grâce aux assistants Server Manager.

12. Windows Server 2008

Figure 12.12 : Assistant d’ajout de rôles de serveurs

492

Les rôles et les fonctionnalités

12.6. Les rôles et les fonctionnalités
Les rôles sont au nombre de 17.
j

Serveur d’applications : il permet la gestion centralisée et l’hébergement d’applications métier distribuées à hautes performances, telles que celles des entreprises et le Framework 3.0 Serveur de télécopie : il envoie des télécopies. Il permet de gérer les ressources de télécopie, comme les tâches, les paramètres, les rapports et les périphériques de télécopie sur le serveur ou sur le réseau. Serveur DHCP : il permet la configuration, la gestion et la fourniture de manière centralisée d’adresses IP et d’informations connexes pour les ordinateurs clients. Serveur DNS : il permet la résolution de noms pour les réseaux TCP/IP. Pour simplifier la gestion de ce serveur, il est préférable qu’il soit installé sur le même serveur que le service Active Directory. En sélectionnant le rôle Active Directory, il est possible d’installer et configurer le service DNS et le Service Active Directory pour qu’ils fonctionnent ensemble. Serveur Web IIS : il fournit une infrastructure web par le biais d’un ensemble de composants. Services AD LDS (Active Directory Lightweight Directory Services) : ils fournissent un magasin pour les données spécifiques de l’application, pour les applications Active Directory qui ne nécessitent pas l’infrastructure des services de domaine Active Directory. Il peut avoir plusieurs instances AD LDS sur un seul serveur, chacune d’entre elles disposant de son propre schéma. Services AD RMS (Active Directory Rights Management Services) : ils permettent de protéger les informations contre une utilisation non autorisée. Les services AD RMS établissent l’identité des utilisateurs et fournissent aux utilisateurs autorisés des licences pour les informations protégées. Services ADFS (Active Directory Federation Services) : ils intègrent des fonctionnalités de fédération des identités sécurisée et simplifiées d’authentification unique via le Web. AD FS inclut un service de fédération via le Web basé sur un navigateur, un proxy du service de fédération pour personnaliser l’environnement au client et protéger les ressources internes et des agents web utilisés pour fournir aux utilisateurs fédérés l’accès aux applications hébergés en interne. Services d’impression : ils permettent de partager des imprimantes sur un réseau, ainsi que de centraliser des tâches de gestion de serveur d’impression et d’imprimantes réseau. Ils permettent également de migrer des serveurs d’impression et de déployer des connexions d’imprimante à l’aide de la stratégie de groupe. Services de certificats Active Directory : ils permettent de créer des autorités de certification et des services de rôle associés pour émettre et gérer les certificats utilisés dans diverses applications.

j

j j

12. Windows Server 2008

j j

j

j

j

j

493

Chapitre 12

Windows Server 2008

j

Services de déploiement Windows : ils fournissent un moyen simple et sécurisé pour déployer rapidement à distance des systèmes d’exploitation Windows sur des ordinateurs par le réseau. Services de domaine Active Directory : ils stockent des informations sur les objets sur le réseau et les rendent disponibles aux utilisateurs et aux administrateurs du réseau. Ces services utilisent des contrôleurs de domaines pour donner accès aux ressources autorisées aux utilisateurs réseau n’importe où sur le réseau via un processus d’ouverture de session unique. Services de fichiers : ils fournissent des technologies simplifiant la gestion du stockage, la réplication des fichiers, la gestion des dossiers partagés, la recherche rapide de fichiers et l’accès aux ordinateurs clients Unix. Services de stratégie et accès réseau : ils fournissent le serveur NPS (Network Policy Server), le routage et l’accès distant, l’autorité HRA (Health Registration Authority) et le protocole HCAP (Host Credential Authorization Protocol), qui favorisent le maintient de l’intégrité et de la sécurité de votre réseau. Services Terminal Server : il intègre des technologies qui permettent aux utilisateurs d’accéder aux programmes Windows installés sur un serveur Terminal Server ou d’accéder au Bureau Windows. Grâce aux services Terminal Server, les utilisateurs peuvent accéder à un serveur Terminal Server à partir du réseau d’entreprise ou d’Internet. Services UDDI : ils offrent des fonctionnalités UDDI (description, découvertes et intégration universelles) pour le partage d’informations relatives aux services web sur l’intranet d’une organisation entre partenaires commerciaux sur un extranet. Services Windows Sharepoint : ils permettent la création de sites web sur lesquels les utilisateurs peuvent collaborer sur des documents, tâches et événements et partager facilement des contacts et d’autres informations. Cet environnement est conçu pour le déploiement, l’administration et le développement souples des applications.

j

j

j

12. Windows Server 2008

j

j

j

Il y a 36 fonctionnalités :
j j j j j j j j j

assistance à distance ; base de données interne Windows ; chiffrement de lecteur Bitlocker ; client d’impression Internet ; client Telnet ; client TFTP ; clustering avec basculement ; compression différentielle à distance ; disque de récupération de données ;

494

Les rôles et les fonctionnalités

j j j j j j j j j j j j j j j j j j j j j j j j j j j

équilibrage de charge réseau ; expérience audio-vidéo haute qualité Windows ; expérience utilisateur ; extensions du serveur BITS ; fonctionnalités .NET Framework 3.0 ; fonctionnalités de la sauvegarde de Windows Server ; gestion des stratégies de groupe ; gestionnaire de ressources système Windows ; gestionnaire de stockage amovible ; gestionnaire de stockage pour réseau SAN ; kit d’administration de Connection Manager ; message Queuing ; 12. Windows Server 2008 moniteur de port LPR ; MPIO (Multhipath I/O) ; outils d’administration de serveur à distance ; protocole de résolution de noms d’homologues ; proxy RPC sur HTTP ; serveur ISSN (Internet Storage Name Server) ; serveur SMTP ; serveur Telnet ; serveur WINS ; service d’activation de processus Windows ; service de réseau local sans fil ; services SMNP ; services TCP/IP simplifiés ; sous-systèmes pour les applications Unix ; Windows PowerShell.

Pour ajouter une fonctionnalité, procédez ainsi : 1. Sélectionnez le menu Démarrer/Gestionnaire de serveur.

495

Chapitre 12

Windows Server 2008

12. Windows Server 2008

Figure 12.13 : Sélection du Gestionnaire de serveur

2. Dans la partie gauche du Gestionnaire de serveur, cliquez sur Rôles.

Figure 12.14 : Sélection de l’outil de gestion des rôles

496

Les rôles et les fonctionnalités

3. Dans le volet de droite, sélectionnez Ajouter des rôles. Dans la fenêtre Sélectionnez des rôles de serveurs, cochez la case du rôle que vous souhaitez installer et cliquez sur Suivant.

12. Windows Server 2008

Figure 12.15 : Sélection d’un rôle

4. En cas d’ajout de composants optionnels nécessaires, l’assistant vous propose de les ajouter et de les installer également. Pour cela, cliquez sur Ajouter les fonctionnalités requises.

Figure 12.16 : Ajout des fonctionnalités requises pour le rôle

497

Chapitre 12

Windows Server 2008

5. Dans la fenêtre suivante, l’assistant vous expliquez les fonctionnalités du rôle et vous propose des informations complémentaires liées au rôle. Cliquez sur Suivant pour poursuivre l’installation.

12. Windows Server 2008

Figure 12.17 : Description du rôle

6. Un rôle représente bien souvent plusieurs services. Dans la fenêtre Sélectionner les services de Rôle, sélectionnez uniquement les services utiles à votre besoin et cliquez sur Suivant.

Figure 12.18 : Sélection des services pour le rôle

498

Les rôles et les fonctionnalités

7. Dans la fenêtre Confirmation, cliquez sur Installer pour continuer l’installation.

12. Windows Server 2008

Figure 12.19 : La fenêtre de confirmation d’installation du rôle

8. À la fin de l’installation, la fenêtre Résultat de l’installation présente un récapitulatif de l’installation. Cliquez sur Fermer pour terminer l’installation du rôle

Figure 12.20 : Fenêtre de résultat de l’installation

499

Chapitre 12

Windows Server 2008

La fenêtre de rôle présente le nouveau rôle installé, il s’agit ici du serveur web Internet Information Server 7.

12. Windows Server 2008

Figure 12.21 : Présentation du nouveau rôle installé

12.7. Les améliorations liées à la sécurité
La sécurité est l’un des sujets que l’on ne peut plus ignorer de nos jours. Derrière ce mot se cache un ensemble d’enjeux pour l’entreprise, qu’il s’agisse de protéger les accès, les authentifications ou les autorisations. À ce titre, Windows Server 2008 compte de nombreuses fonctionnalités qui améliorent la sécurité et la conformité. Voici les principales améliorations…
j

Obliger les postes clients à rester en bonne santé : la protection NAP (Network Access Protection) permet aux administrateurs de configurer et de mettre en place des exigences en matière de santé et de sécurité avant d’autoriser les postes clients à accéder au réseau. Contrôler les autorités de certification : l’infrastructure de clé publique (PKI, Public Key Infrastructure) d’entreprise améliore la possibilité de contrôler et de dépanner plusieurs autorités de certification.

j

500

Les améliorations liées à la sécurité

j j j j j

Disposer d’un véritable pare-feu : le nouveau pare-feu Windows avec sécurité avancée fournit un certain nombre d’améliorations en matière de sécurité. Le chiffrement et la protection des données : BitLocker protège les données sensibles en chiffrant le lecteur de disque. Les outils cryptographiques : une cryptologie nouvelle génération fournit une plateforme de développement cryptographique flexible. L’isolement de serveur et de domaine : les ressources de serveur et de domaine peuvent être isolées pour limiter l’accès aux ordinateurs authentifiés et autorisés. Le contrôleur de domaine en lecture seule (RODC) : le RODC est une nouvelle option d’installation de contrôleur de domaine qui peut être installée sur des sites distants susceptibles d’avoir des niveaux inférieurs de sécurité physique.

Ces améliorations aident les administrateurs à augmenter le niveau de sécurité de leur organisation et simplifient la gestion et le déploiement des configurations et des paramètres liés à la sécurité. 12. Windows Server 2008

Les fonctionnalités de sécurité avancée du pare-feu Windows
Le pare-feu de Windows Server 2008 est avant tout la plateforme Windows Filtering platform. Elle se compose des éléments suivants :
j

Un ensemble d’API, destiné avant tout aux éditeurs tiers, leur permet de venir inclure leur moteur de filtrage et de disposer ainsi d’un filtrage beaucoup plus évolué. Des fonctionnalités de filtrage avancées : − communications authentifiées ; − configuration dynamique et robuste du pare-feu avec les appels WinSock ; − fondation de pare-feu Windows et IPSec ; − fonctionnement avec du trafic chiffré (par exemple, RPC dans Windows Server 2008).

j

j

Le système de Hooking – passage dans la pile (stack) – est mieux documenté, ce qui réduit considérablement les risques d’incompatibilité.

L’architecture Windows Filtering Platform
Pour mieux comprendre, voici une présentation de l’architecture de Windows Filtering Platform. Windows Filtering Platform utilise le Filtering Engine qui est placé dans le kernel de Windows. Lorsqu’on utilise une application pare-feu et une application antivirus, elles font toutes deux appel aux API de Windows Filtering Platform. Elles vont pouvoir être 501

Chapitre 12

Windows Server 2008

contrôlées depuis le BFE (Base Filtering Engine). Il y a plusieurs niveaux comme IPSec, ALE (Application Layer Enforcement), etc. Toutes les applications d’éditeurs tiers vont donc venir s’inclure dans le système sous forme de Callout. Par l’intermédiaire des API, Windows Filtering Platform va faire appel de manière standard aux différents composants quel que soit leur éditeur. Voici un petit comparatif entre le pare-feu de Windows Server 2003 et celui de Windows Server 2008 :
Tableau 12.2 : Comparatif des pare-feu Windows XP SP2 et Windows Vista Fonction Sens Réglage par défaut Filtres de paquets Critères de règles Windows Server 2003 Entrant Bloquer TCP, UDP, ICMP Application, port, types ICMP Bloquer Panneau de configuration et Netsh Aucune Fichier ADM Exceptions, profils Windows Server 2008 Entrant et sortant Cela dépend du sens Tout type Multiples combinaisons Bloquer, autoriser, ignorer Panneau de configuration et Netsh enrichis et MMC Via RPC MMC et Netsh Règles, catégorie profils

12. Windows Server 2008

Action Configuration Administration à distance GPO Terminologie

Le nouveau pare-feu, dans ses fonctions avancées, vous permet de créer des règles selon les critères de filtrage suivants :
j j j j j j j j

groupe utilisateurs/machine Active Directory ; IP source et destination (individuelle ou plage) ; ports TCP/UDP source et destination ; liste des ports délimités par des points-virgules ; numéro de protocole IP ; type d’interface (filaire, sans-fil, VPN/RAS) ; type/code ICMP ; service.

502

Les améliorations liées à la sécurité

Le stockage des règles de votre pare-feu se fait à différents endroits :
Tableau 12.3 : Stockage des règles de sécurité Stockage GPO GP_RSOP Local Description Lorsqu’il s’agit du stockage des GPO, ces règles sont stockées dans le SYSVOL des contrôleurs de domaine, stockage de la stratégie de groupe. Il s’agit du résultat de l’application des stratégies de groupe, il se trouve dans la base de Registre de la machine. Le store local est en fait la ruche de Registre où sont stockées les informations des applications et des utilisateurs pour les stratégies locales. Voici le chemin de registre : HKEY-LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\. Cela consiste en la stratégie actuellement appliquée par le pare-feu.

Dynamique

12. Windows Server 2008

Dans les versions antérieures de Windows Server, le pare-feu Windows et IPSec étaient configurés séparément. Étant donné qu’un pare-feu basé sur l’hôte et IPSec dans Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de créer des exceptions de pare-feu et des règles IPSec contradictoires ou qui se chevauchent. Le nouveau pare-feu Windows de Windows Server 2008 a associé la configuration des services réseau avec les mêmes commandes d’interface graphique et de ligne de commande. Cette intégration de paramètres de pare-feu et IPSec simplifie la configuration du pare-feu et IPSec, et contribue à empêcher les chevauchements de stratégies et les paramètres contradictoires.

La protection : NAP
NAP (Network Access Protection) empêche les ordinateurs non intègres d’accéder au réseau d’une organisation et de le compromettre. NAP est utilisée pour configurer et mettre en place des exigences en matière de santé client et mettre à jour, ou corriger, des ordinateurs clients non conformes afin qu’ils puissent être connectés au réseau de l’entreprise. Avec NAP, les administrateurs peuvent configurer des stratégies de santé qui définissent des éléments tels que la configuration logicielle requise, les mises à jour de sécurité requises et les paramètres de configuration requis pour les ordinateurs se connectant au réseau de l’organisation. NAP permet d’appliquer les exigences en matière de santé en évaluant la santé des ordinateurs clients et en limitant l’accès réseau lorsque les ordinateurs clients ne sont pas conformes. Les composants clients et serveurs participent à la correction des ordinateurs clients non conformes, pour qu’ils puissent obtenir un accès réseau illimité. Si un ordinateur client est déterminé non conforme, il peut se voir refuser l’accès au réseau ou être réparé immédiatement pour devenir conforme.

503

Chapitre 12

Windows Server 2008

Les méthodes de mise en place de la NAP prennent en charge quatre technologies d’accès réseau qui travaillent conjointement avec celle-ci pour mettre en place des stratégies de santé : mise en place d’IPSec (Internet Protocol Security), de 802.1X, d’un réseau privé virtuel (VPN) pour le routage et l’accès distant et du protocole DHCP (Dynamic Host Configuration Protocole).

Le chiffrement de lecteur BitLocker
Le chiffrement de lecteur BitLocker est une nouvelle fonctionnalité de sécurité clé dans Windows Server 2008 qui aide à protéger les serveurs, les postes de travail et les ordinateurs mobiles. Cette fonctionnalité est également disponible dans Windows Vista Entreprise et Windows Vista Édition Intégrale pour la protection des ordinateurs clients et des ordinateurs mobiles. BitLocker chiffre le contenu d’un lecteur de disque. Cela empêche un voleur qui exécute un système d’exploitation parallèle ou qui exécute d’autres outils logiciels de contourner les protections de fichiers et système ou d’exécuter un affichage hors ligne des fichiers enregistrés sur le lecteur protégé. 12. Windows Server 2008 BitLocker améliore la protection des données en réunissant deux sous-fonctions majeures : le chiffrement de volume système et la vérification de l’intégrité des composants d’amorçage. L’ensemble du volume système est chiffré, y compris les fichiers de remplacement et de veille prolongée, ce qui augmente la sécurité des serveurs distants dans la succursale. BitLocker répond aux menaces de vol de données ou d’exposition à partir d’un PC perdu, volé ou mis hors service de façon inappropriée.

Enterprise PKI
Il existe un certain nombre d’améliorations de l’infrastructure de clé publique (PKI) dans les systèmes d’exploitation Windows Server 2008 et Windows Vista. La gestion a été facilitée dans tous les aspects de PKI Windows, les services de révocation ont été retravaillés et la surface d’attaque pour l’inscription a diminué. Voici quelques-unes des améliorations de la PKI…
j

Enterprise PKI (PKIView) : PKIView, qui faisait partie à l’origine du kit de ressources Microsoft Windows Server 2003 et s’appelait "l’outil PKI Health", est maintenant un composant logiciel enfichable MMC (Microsoft Management Console) pour Windows Server 2008. Il est utilisé pour analyser l’état de santé des autorités de certification et pour afficher des détails sur les certificats générés par l’autorité de certification et publiés dans AD CS. Protocole OCSP (Online Certificate Status Protocol) : un répondeur en ligne basé sur le protocole OCSP (Online Certificate Status Protocol) peut être utilisé pour gérer et distribuer des informations sur l’état de révocation dans les cas où l’utilisation de CRL conventionnelles ne serait pas une solution optimale. Des répondeurs en ligne peuvent être configurés sur un seul ordinateur ou dans un tableau de répondeurs en ligne.

j

504

Les améliorations liées à la sécurité

j

Service NDES (Network Device Enrollment Service) : dans Windows Server 2008, le service NDES est l’implémentation Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol), un protocole de communication qui permet aux logiciels exécutés sur des périphériques réseau, tels que les routeurs et les commutateurs qui ne peuvent pas être authentifiés autrement sur le réseau, d’obtenir des certificats x509 auprès d’une autorité de certification. Web Enrollment : le nouveau contrôle Web Enrollment (inscription par le Web) est plus sûr, plus facile à rédiger en script et plus facile à mettre à jour que sa version antérieure. Stratégie de groupe et PKI : des paramètres de certificat dans la stratégie de groupe permettent aux administrateurs de gérer les paramètres de certificat à partir d’un emplacement central pour tous les ordinateurs du domaine.

j

j

La cryptographie nouvelle génération (CNG)
La CNG fournit une plateforme de développement cryptographique flexible permettant aux professionnels de l’informatique de créer, de mettre à jour et d’utiliser des algorithmes cryptographiques personnalisés dans des applications à caractère cryptographique, telles qu’AD CS (Active Directory Certificate Services), SSL (Secure Sockets Layer) et IPSec (Internet Protocol Security). CNG implémente les algorithmes cryptographiques de la Suite B du gouvernement américain, qui incluent des algorithmes pour le chiffrement, les signatures numériques, l’échange de clés et le hachage. CNG propose une série d’API qui sont utilisées pour exécuter des opérations cryptographiques fondamentales, telles que la création, le stockage et la récupération de clés cryptographiques. Elle prend également en charge l’installation et l’utilisation de fournisseurs cryptographiques supplémentaires. CNG permet aux organisations et aux développeurs d’utiliser leurs propres algorithmes cryptographiques ou des implémentations d’algorithmes cryptographiques standards. CNG prend en charge l’ensemble actuel d’algorithmes CryptoAPI 1.0 et fournit également une prise en charge pour les algorithmes de cryptographie à courbe elliptique. La Suite B du gouvernement américain exige un certain nombre d’algorithmes de cryptographie à courbe elliptique. 12. Windows Server 2008

RODC (contrôleurs de domaine en lecture seule)
Le contrôleur de domaine en lecture seul (RODC, Read-Only Domain Controller) est un nouveau type de contrôleur de domaine disponible dans le système d’exploitation Windows Server 2008, conçu principalement pour être déployé dans des environnements de succursales. Un RODC peut réduire les risques de déploiement d’un contrôleur de domaine dans des emplacements distants tels que des succursales où la sécurité physique ne peut pas être garantie.

505

Chapitre 12

Windows Server 2008

En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs des services de domaine Active Directory (AD DS) de Microsoft qu’un contrôleur de domaine réinscriptible renferme. Cependant, les clients ne peuvent pas inscrire de modifications directement dans un RODC. Comme les modifications ne peuvent pas être inscrites directement dans le RODC et que, par conséquent, leur source n’est pas locale, les contrôleurs de domaine réinscriptibles qui sont des partenaires de réplication n’ont pas besoin d’extraire des modifications du RODC. La séparation des rôles d’administrateur spécifie que n’importe quel utilisateur de domaine peut être délégué pour être l’administrateur local d’un RODC sans que cet utilisateur ne bénéficie de droits d’utilisateur pour le domaine lui-même ou d’autres contrôleurs de domaine.

L’isolement de serveur et de domaine
Dans un réseau Microsoft Windows, les administrateurs peuvent logiquement isoler des ressources de serveur et de domaine pour limiter l’accès aux ordinateurs authentifiés et autorisés. Par exemple, un réseau logique peut être créé dans le réseau physique existant, où les ordinateurs partagent une série commune d’exigences pour les communications sécurisées. Chaque ordinateur dans ce réseau isolé logiquement doit fournir des informations d’authentification aux autres ordinateurs du réseau isolé pour établir la connectivité. Cet isolement empêche les ordinateurs et programmes non autorisés d’obtenir un accès abusif aux ressources. Les demandes provenant d’ordinateurs qui ne font pas partie du réseau isolé sont ignorées. L’isolation du serveur et du domaine permet de protéger les serveurs et les données spécifiques de grande valeur, ainsi que les ordinateurs gérés des ordinateurs et des utilisateurs non gérés ou non autorisés. Deux types d’isolation peuvent être utilisés pour protéger un réseau.
j

12. Windows Server 2008

Isolation du serveur : dans un scénario d’isolation du serveur, les serveurs spécifiques sont configurés en utilisant la stratégie d’IPSec afin de n’accepter que les communications authentifiées issues d’autres ordinateurs. Par exemple, le serveur de base de données peut être configuré pour n’accepter que les connexions du serveur d’application web. Isolation du domaine : pour isoler un domaine, les administrateurs peuvent utiliser l’appartenance de domaine Active Directory afin de s’assurer que les ordinateurs qui sont membres d’un domaine n’acceptent que les communications authentifiées et sécurisées émanant d’autres ordinateurs membres du domaine. Le réseau isolé est composé uniquement d’ordinateurs faisant partie du domaine. L’isolation du domaine utilise la stratégie d’IPSec pour assurer la protection du trafic circulant entre les membres de domaine, y compris tous les ordinateurs clients et serveurs.

j

506

En résumé

12.8. En résumé
Windows Server 2008 représente la nouvelle génération de Windows Server. Il offre un contrôle accru de l’infrastructure serveur et réseau. Il augmente la sécurité en renforçant le système d’exploitation et en protégeant l’environnement réseau. Il permet également d’être flexible en accélérant le déploiement et la maintenance des systèmes informatiques, facilitant la consolidation et la virtualisation des serveurs et applications et en fournissant des outils d’administration intuitifs.

12. Windows Server 2008 507

Partie

B
Active Directory

Partie

B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17 Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22

Active Directory
Introduction à LDAP et Active Directory . . . . . . . 511 La planification d’un projet Active Directory . . . . . . 535 La conception de l’infrastructure logique Active Directory . 545 La conception de la topologie de sites . . . . . . . . 563 La conception et l’implémentation de la structure des unités d’organisation . . . . . . . . . . . . . . . . . 593 L’implémentation des serveurs d’infrastructure Active Directory . . . . . . . . . . . . . . . . . . . 613 Les fonctions et les rôles dans Active Directory . . . . . 661 La maintenance d’Active Directory . . . . . . . . . . 695 La sécurisation d’Active Directory . . . . . . . . . . 715 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . . . . . . 733

Chapitre 13

Introduction à LDAP et Active Directory
13.1 13.2 13.3 Généralités sur l’annuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

Généralités sur l’annuaire et LDAP

C

e chapitre a pour premier objectif d’introduire les principes de base des annuaires, mais également de présenter le protocole LDAP, jusqu’à sa version 3, qui constitue une norme ouverte pour les annuaires. Dans un second temps, ce chapitre abordera la présentation d’Active Directory avec la structure logique et physique pour se terminer par un bref résumé.

13.1. Généralités sur l’annuaire et LDAP
Il est très important de bien comprendre ce qu’est un annuaire et ce à quoi il sert avant de décrire le standard LDAP (Lightweight Directory Access Protocol) lui-même. En effet, le standard LDAP et l’annuaire qu’il soit LDAP ou non sont deux choses différentes. Le premier définit l’interface d’accès à un annuaire et le second est une sorte de base de données permettant de retrouver facilement des personnes ou des ressources comme des imprimantes, des ordinateurs et des applications. C’est parce que les annuaires présentent certains besoins caractéristiques que leur accès nécessite de définir un standard. Les annuaires ne sont pas que des bases de données. Ils doivent également offrir des services particuliers comme la recherche, le classement ou l’organisation des informations. C’est ce que la suite de ce chapitre va s’efforcer de vous démontrer. 13. Introduction à LDAP et Active Directory

Qu’est-ce qu’un annuaire ?
Nous sommes tous familiers d’annuaires que nous utilisons dans notre quotidien. Prenons, par exemple, notre carnet d’adresses, les annuaires web ou les pages blanches et les jaunes que nous recevons dans nos boîtes aux lettres. Ils sont tous destinés à faciliter la localisation d’une personne ou d’une entreprise à partir de différents critères de recherche comme le nom, le code postal, voire la fonction pour les personnes ou le type de service rendu pour les entreprises. Le résultat des recherches est un numéro de téléphone, une adresse postale complète, une adresse de site web, une adresse de messagerie électronique, etc. Ils doivent donc offrir des critères de recherche puissants, pragmatiques et simples à utiliser. Un annuaire est d’autant plus utile qu’il est simple à employer, notamment lorsque vous devez effectuer une recherche avec très peu d’informations. À l’extrême, cette recherche peut n’être qu’une vague formulation ; par exemple : « Je veux trouver un restaurant. » D’ailleurs, si vous tapez cette phrase dans la zone de recherche du site

513

Chapitre 13

Introduction à LDAP et Active Directory

Internet des pages jaunes (www.pagesjaunes.fr), vous retrouverez les services relatifs à la restauration et aux établissements de la restauration. Les annuaires électroniques et en ligne ont la même vocation que les annuaires papier, mais ils apportent en plus les avantages suivants : ils sont dynamiques, flexibles, sécurisés et personnalisables.

Un peu d’histoire sur le protocole
En 1988 l’ISO (International Organization Standardization) et l’ITU (International Telecommunications Union) fusionnent leurs travaux et approuvent la première version du standard X.500, laquelle sera officiellement publiée par l’ITU en 1990. En fait, X.500 est constitué d’un ensemble de protocoles standards, tous issus des travaux de l’ISO. Pour vous donner un bref aperçu de l’étendue des services offerts par le standard X.500, voici un rappel de ses différentes recommandations et protocoles…
j j j

Spécification X.501 : description des concepts X.500. Spécification X.509 : descriptions des mécanismes d’authentification X.500. Spécification X.511 : description des fonctions de recherche et de manipulation d’objets. Spécification X.518 : description des services distribués. Spécification X.519 : description des protocoles X.500 tels que DAP, DSP, DOP et DISP. Spécification X.520 : description des attributs et des classes X.500. Spécification X.525 : description des mécanismes de réplication X.500. Spécification X530 : description des services d’administration des annuaires X.500.

13. Introduction à LDAP et Active Directory

j j j j j

Comme vous pouvez le constater, le protocole X.500 a été conçu dès le départ pour offrir aux services d’annuaires des services complets et sophistiqués. Annuaire du monde OSI, il repose sur les services de la couche 7 (application) du modèle ISO de l’OSI. Cependant, ce cahier des charges énorme et sa complexité de mise en œuvre seront les causes des nombreux problèmes de fonctionnement et de performance des premières versions d’annuaire X.500. En raison de son coût, il sera réservé aux grands comptes exigeants, comme les opérateurs de télécommunication, pour lesquels il a été initialement conçu. Malgré une couverture fonctionnelle complète, il n’aura pas connu le succès escompté. De plus, le principal inconvénient viendra du fait que seuls les protocoles ISO étaient reconnus. Au commencement de l’Internet, certains disaient même que le rêve secret des architectes de l’OSI aurait été que X.500 supplante TCP/IP ! En fait, cela n’arrivera jamais et, bien au contraire, les implémentations X.500 les plus modernes seront petit à petit adaptées pour prendre en charge TCP/IP.

514

Généralités sur l’annuaire et LDAP

LDAP version 2 et version 3
Les méthodes d’accès aux annuaires basés sur X.500 étaient bien trop complexes. C’est ainsi qu’après plusieurs méthodes "plus simples" permettant l’accès aux annuaires X .500, l’OSI et l’IETF (Internet Engineering Task Force) décidèrent de se regrouper pour formaliser un protocole allégé capable d’accéder aux annuaires X.500. Ces différentes évolutions sont rappelées ici :
j j j

La première spécification a été publiée en 1993 sous la RFC 1487. La spécification LDAPv2 publiée sous la RFC 1777 sera la première version approuvée par l’industrie. La RFC 1778 (String Representation of Standard Attribute Syntaxes) et la RFC 1779 (String Representation of Distinguished Mane) participent aussi à la clarification des syntaxes reconnues. La spécification LDAPv3 est publiée en 1997 sous la RFC 2251. Cette version améliorera de manière significative LDAPv2 dans les domaines suivants… − L’extensibilité plus importante : le protocole LDAPv3 peut être étendu pour prendre en charge de nouvelles opérations à l’aide de nouveaux contrôles. De cette manière, les services LDAP pourront être étendus au fur et à mesure que ce sera nécessaire. − La découverte des fonctionnalités et du schéma disponible : les serveurs LDAPv3 disposent d’une nouvelle entrée dans l’annuaire appelée "RootDSE" (Root Directory Server Specific Entry). Ce nouvel élément permet la publication de nombreuses informations spécifiques, par exemple les informations de schéma ou les contrôles disponibles. Cette fonctionnalité permet aux clients LDAP de mieux négocier les fonctionnalités et les services disponibles par tel ou tel serveur d’annuaires LDAP. − Une meilleure gestion des authentifications : LDAPv3 implémente le support de SASL (Simple Authentification and Security Layer) et de TLS (Transport Layer Security). − La gestion des références : LDAPv3 implémente un mécanisme de gestion des références qui permet aux serveurs LDAP de renvoyer des références vers d’autres serveurs LDAP. − Le support des jeux de caractères Unicode : le support du jeu de caractères UTF-8 permet au protocole LDAP de manipuler des données quel que soit le langage utilisé.

j

13. Introduction à LDAP et Active Directory

Comme LDAPv2, le protocole LDAPv3 nécessite un certain nombre de clarifications, lesquelles sont publiées dans les RFC suivantes…
j j j

RFC 2252 : Attribut Syntax Definitions. RFC 2253 : UTF-8 String Representation of Distinguished Names. RFC 2254 : String Representation of LDAP Search Filters. 515

Chapitre 13

Introduction à LDAP et Active Directory

j j j j

RFC 2255 : The LDAP URL Format. RFC 2256 : A Summary of X.500 (96) User Schema for Use with LDAPv3. RFC2829 : Authentication Methods for LDAP. RFC2830 : Extensions for Transport Layer Security. Adresse de référence des RFC Voici une adresse incontournable pour les RFC, mais surtout pour les RFC traduites en français : http ://abcdrfc.free.fr.

Le standard LDAP v3
Le standard LDAP v3 est constitué de plusieurs spécifications dont certaines sont à l’état de standard proposé (première étape avant de devenir un standard Internet à part entière), d’autres sont à l’état expérimental ou ont un simple statut d’information. Vous trouverez dans le tableau suivant les principales spécifications existant à ce jour ainsi que leurs états respectifs : 13. Introduction à LDAP et Active Directory
Tableau 13.1 : Spécifications du standard LDAP v3
Numéro RFC 1823 Titre The LDAP Application Program Interface Using Domains in LDAP /X.500 Distinguished Name Description Description de l’interface de programmation pour l’accès aux services d’un annuaire LDAP. Date Août 1995 Statut Information

RFC 2247

Janvier 1998 Ce document décrit comment établir la correspondance entre un nom de domaine Internet (par exemple, NomSociete.com) et un DN (Distinguished Name), racine de l’arbre LDAP de ce domaine. Ce document décrit les éléments du protocole LDAP, ainsi que l’ensemble des fonctions, leurs paramètres et leurs codes retour. Ce document décrit la syntaxe des attributs et l’ensemble des attributs normalisés qui doivent être pris en charge pour les serveurs LDAP. Décembre 1997

Standard proposé

RFC 2251

Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (v3)

Standard proposé

RFC 2252

Décembre 1997

Standard proposé

516

Généralités sur l’annuaire et LDAP

Numéro RFC 2253

Titre Lightweight Directory Access Protocol (v3)

Description Ce document décrit la syntaxe UTF-8 pour la prise en charge du multilinguisme dans les requêtes LDAP.

Date Décembre 1997

Statut Standard proposé

RFC 2254

The String Ce document décrit la syntaxe Representation des filtres de recherche dans une of LDAP requête LDAP. Search Filters The LDAP URL Format Ce document décrit le format des URL permettant d’interroger un annuaire LDAP à partir d’un navigateur Web ou de toute application HTTP.

Décembre 1997

Standard proposé

RFC 2255

Décembre 1997

Standard proposé

RFC 2256

A Summary of the X.500 (96) User Schema for Use With LDAP v3 An Approach for Using LDAP as a Network Information Service Internet .X509 Public Key Infrastructure LDAP v2 Schema Lightweight Directory Access Protocol (v3)

Ce document décrit les attributs Décembre 1997 normalisés dans le standard X500 et communément utilisés dans les annuaires LDAP. Ce document établit une correspondance entre des attributs et des classes d’objets LDAP et NIS. Rappelons que NIS est une sorte d’annuaire de ressources, implémenté dans la majorité des systèmes Unix. Ce document décrit les attributs et les objets requis pour gérer dans un annuaire LDAP des certificats X509. Mars 1998

Standard proposé

RFC 2307

Expérimental

13. Introduction à LDAP et Active Directory

RFC 2587

Juin 1999

Standard proposé

RFC 2589

Ce document décrit une extension Mai 1999 du protocole LDAP permettant de gérer des données volatiles (ou dynamiques) dans l’annuaire. Par exemple une adresse IP attribuée dynamiquement par un réseau à un utilisateur peut être sauvegardée dans l’annuaire et être rattaché à l’entrée qui décrit cet utilisateur. Mais elle a une durée de vie limitée, et change chaque fois que l’utilisateur se reconnecte au réseau.

Standard proposé

517

Chapitre 13

Introduction à LDAP et Active Directory

Numéro RFC 2596

Titre Use of Language Codes in LDAP An LDAP Control and Schema for Holding Operation Signatures

Description Ce document décrit la façon de désigner à l’aide d’une codification la langue utilisée dans les requêtes LDAP.

Date Mai 1999

Statut Standard proposé

RFC 2649

Ce document décrit une extension Août 1999 du protocole LDAP permettant de signer les informations sauvegardées dans l’annuaire. Cette signature permet de s’assurer de l’intégrité des données et de leur appartenance à leur auteur, en se basant sur des certificats. Ce document décrit une extension Septembre 1999 du protocole LDAP permettant de contrôler la taille des réponses renvoyées suite à une recherche. Ce document définit des classes d’objets permettant de décrire des objets Java dans un annuaire LDAP. Octobre 1999

Expérimental

RFC 2696

LDAP Control Extension for Simple Paged Results Manipulation Schema for Representing Java Y Objects in LDAP Directory Schema for Representing CORBA Object References in an LDAP Directory

Information

RFC 2713

Information

13. Introduction à LDAP et Active Directory

RFC 2714

Ce document définit des classes d’objets permettant de décrire des objets CORBA dans un annuaire LDAP.

Octobre 1999

Information

L’ensemble de ces spécifications a favorisé l’émergence de produits qui prennent en charge le standard LDAP en mode natif. Plutôt que de développer des interfaces LDAP à des annuaires existants ou à des bases de données, les éditeurs de solutions ont préféré de nouveaux produits optimisés pour ce standard. C’est le cas de Microsoft avec Active Directory (AD), d’IBM avec Secure Way, d’iPlanet avec iPlanet Directory Server, et de bien d’autres encore. Notons enfin que ce standard est actuellement adopté par la majorité des acteurs du marché, et qu’il est d’ores et déjà intégré dans leurs produits. Citons à titre d’exemple Novell, IBM, Oracle, Microsoft, iPlanet, Lotus, HP, etc. Comme vous pouvez le constater dans la liste des spécifications du standard LDAP v3, ce standard évolue constamment. Aucune version 4 n’est prévue pour le moment, car la

518

Généralités sur l’annuaire et LDAP

plupart des évolutions sont soit des modifications du schéma, soit de nouveaux services qu’il est possible de solliciter à travers les extensions LDAP. On entend par extensions, de nouvelles fonctions offertes à travers une opération particulière prévue dans le standard LDAP v3, permettant d’exécuter des traitements dans un serveur d’annuaire, qui ne font pas partis du standard lui-même. Un groupe de travail de l’IETF, nommé LDAPEXT, œuvre à normaliser ces extensions. Ainsi, il n’est pas nécessaire, pour le moment, de modifier la structure du standard LDAP. Il est tout à fait possible avec la version actuelle de faire évoluer le schéma si celui-ci dérive du schéma proposé dans le standard, et de faire appel à de nouvelles fonctions à travers les interfaces déjà prévues à cet effet.

La conformité LDAP de Windows Server 2003
Windows Server 2003 Active Directory est en fait une implémentation de LDAP, qui comprend une multitude de classes d’objets permettant de stocker les droits des utilisateurs, leurs préférences, l’état de leur bureau etc. Il est possible d’y accéder au moyen de l’API appropriée spécifiée par Microsoft. Attention toutefois car, même si Microsoft s’est clairement engagé dans le support des technologies d’annuaires, notamment le support inconditionnel de LDAP avec sa participation active au sein des différents groupes de l’IETF, il n’en reste pas moins qu’à proprement parler le LDAP implémenté par Microsoft respecte le standard ! Par contre, le schéma utilisé est, quant à lui, propriétaire, ce qui pose certains problèmes d’intégration avec d’autres environnements. Il existe cependant des produits permettant de résoudre ce problème. Windows Server 2003 reprend les bases apportées par Windows 2000 Server et apporte de nouvelles fonctionnalités qui peuvent aussi bien intéresser les développeurs que les ingénieurs ou bien les architectes système. Il est important de noter que toutes ces nouvelles fonctionnalités font l’objet de RFC. En voici un bref récapitulatif des fonctionnalités les plus importantes…
j

13. Introduction à LDAP et Active Directory

Support des entrées dynamiques : l’annuaire Active Directory peut stocker les valeurs d’entrées dynamiques en leur assignant une durée de vie (TTL). De cette manière, ces valeurs peuvent être automatiquement détruites lors de l’expiration du TTL. Support du protocole TLS (Transport Layer Security) : les connexions vers l’Active Directory via le protocole LDAP peuvent être désormais cryptées et authentifiées à l’aide du support TLS. Support des authentifications DIGEST-MD5 : les connexions vers l’Active Directory via le protocole LDAP peuvent désormais être authentifiées à l’aide du mécanisme d’authentification SASL-DIGEST-MD5 (SASL, Simple Authentication and Security Layer). L’interface Windows Digest SSPI (Security Support Provider Interface) permet d’utiliser des authentifications de type DIGEST-MD5 en tant que méthode de type SASL.

j

j

519

Chapitre 13

Introduction à LDAP et Active Directory

j

Support des vues virtuelles : il s’agit d’une optimisation du traitement des réponses aux requêtes LDAP. Par exemple, lorsqu’une requête doit retourner vers le client un résultat trop volumineux, l’idée consiste à lui retourner seulement le contenu d’une fenêtre de valeurs plutôt que l’intégralité de la réponse. De cette manière, le client voit le résultat instantanément et la surcharge sur le réseau est contenue. Bind LDAP multiples : cette fonctionnalité permet à un client de réaliser plusieurs Bind LDAP au travers de la même connexion pour pouvoir authentifier les utilisateurs.

j

Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.2 : Principales RFC LDAP prises en charge par l’annuaire Active Directory

Windows 2000 Server
RFC 2251 2252 RFC LDAP principaux Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (v3) : Attribute Syntax Definitions Attention, certaines syntaxes Unix ne sont pas reconnues à ce jour ! Lightweight Directory Access Protocol (v3) : UTF-8 String Representation of Distinguished Names String Representation of LDAP Search Filters The LDAP URL Format A Summary of the X.500 User Schema for Use with LDAPv3 Authentication Methods for LDAP Lightweight Directory Access Protocol (v3) : Extension for Transport Layer Security État des RFC Proposé Proposé

13. Introduction à LDAP et Active Directory

2253 2254 2255 2256 2829 2830

Proposé Proposé Proposé Proposé Proposé Proposé

Le tableau suivant liste les différentes RFC LDAP additionnelles reconnues par l’implémentation de l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.3 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory

Windows 2000 Server
RFC 2696 2247 RFC LDAP additionnels LDAP Control Extension for Simple Paged Results Manipulation Using Domains in LDAP/X.500 Distinguished Names État des RFC Proposé Proposé

520

Généralités sur l’annuaire et LDAP

Support des RFC L’ensemble des RFC prises en charge par l’implémentation de LDAP sous Windows 2000 Server est accepté par Windows Server 2003. Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de l’annuaire Active Directory de Windows Server 2003.
Tableau 13.4 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory

Windows Server 2003
RFC 2589 2798 2831 2891 2589 RFC LDAP additionnels LDAP Protocol (v3) : Extension for Dynamic Directory Services Definition of the InetOrgPerson LDAP Object Class Using Digest Authentication as an SASL Mechanism LDAP Control extension for Server Side Sorting of Search Results LDAP Protocol (v3) : Extensions for Dynamic Directory Services État des RFC Proposé Proposé Proposé Proposé Proposé

13. Introduction à LDAP et Active Directory

Cependant, tout le monde le sait, les technologies passent par des étapes intermédiaires nécessaires, lesquelles génèrent souvent des problèmes de compatibilité. C’est le cas avec les problèmes générés par la classe InetOrgPerson définie dans la RFC 2798.

La compatibilité LDAP et InetOrgPerson
Une nouvelle classe d’objet est disponible dans les versions Windows Server 2003 d’Active Directory : la classe d’objet InetOrgPerson. La définition d’une classe d’objet est donnée plus loin dans ce chapitre. La classe d’objet InetOrgPerson est définie dans la RFC 2798, et a été acceptée en tant que standard. Active Directory, dans sa version Windows Server 2003, a donc été modifié afin de prendre en charge la classe InetOrgPerson et, avec l’ajout de la définition de classe Utilisateur, vous pouvez désormais créer la classe InetOrgPerson comme entité de sécurité dans Active Directory. Cela optimise les possibilités de migration des comptes d’utilisateur de répertoires tiers (provenant de programmes tiers qui utilisent Active Directory comme méthode d’authentification) vers Active Directory. Des critiques ont été émises concernant la pseudo-compatibilité de l’annuaire Active Directory comme annuaire respectant les recommandations de l’IETF, et tout particulièrement la conformité LDAPv3. Le grand reproche était que la classe InetOrgPerson n’était pas prise en charge.

521

Chapitre 13

Introduction à LDAP et Active Directory

En fait, plusieurs éléments sont à prendre en compte :
j

L’annuaire Active Directory respecte toutes les RFC fondamentales traitant du protocole LDAP et tout particulièrement la RFC 3377 qui définit les spécifications du protocole LDAPv3. La classe InetOrgPerson est définie dans la RFC 2798, laquelle est considérée comme une extension de LDAPv3 et, de ce fait, elle n’est donc pas incluse dans la RFC 3377 qui décrit les spécifications LDAPv3. La classe InetOrgPerson définie dans la RFC 2798 n’a été publiée par l’IETF qu’en avril 2000 alors que Windows 2000 Server était livré en février de la même année, ce qui évidemment rend impossible la prise en charge de cette classe sous Windows 2000 Server. En cas de nécessité, il est toujours possible d’étendre le schéma de l’Active Directory pour y ajouter une nouvelle classe. Microsoft a livré quelque temps après la sortie de Windows 2000 Server un complément logiciel capable d’intégrer cette nouvelle classe dans le schéma Active Directory. Ce complément logiciel s’appelle "Windows 2000 InetOrgPerson Kit", il est disponible gratuitement sur le site de Microsoft. Le schéma Active Directory de Windows Server 2003 intègre la définition complète de la classe InetOrgPerson ainsi que l’intégralité des fonctions d’administrations relatives à cette classe.

j

j

j j

j

13. Introduction à LDAP et Active Directory

Finalement, nous pourrions en conclure que cette classe a toujours été reconnue sous Windows 2000 Server, mais qu’elle n’a réellement été intégrée à la base que sous Windows Server 2003.

13.2. Active Directory
Active Directory est le service d’annuaire de Microsoft. Ce service d’annuaire est disponible depuis la version Windows 2000 Server, ce qui a marqué un vrai tournant pour la plateforme Windows et une véritable rupture avec Windows NT4 en ce qui concerne la façon d’administrer son organisation. Même si avec Windows Server 2003, Active Directory a subi des modifications et des améliorations, il n’en reste pas moins que les systèmes d’exploitation Windows 2000 Server et Windows Server 2003 fonctionnent parfaitement ensemble et cela même au niveau des contrôleurs de domaine. Toutefois, pour bénéficier pleinement des modifications apportées par la version 2003, il est nécessaire de passer par quelques exigences au niveau de la forêt et des domaines.

522

Active Directory

Les avantages d’Active Directory
Active Directory est bien plus que le simple modèle de domaine Windows NT. Il va aussi au-delà des annuaires propriétaires éparpillés en fournissant des sources d’informations centralisées. Voici, à ce titre, quelques caractéristiques et avantages offerts par Active Directory…

La centralisation des données
L’idée directrice de la centralisation de données est de diminuer le nombre d’annuaires sur le réseau. Le stockage des informations concernant toutes les ressources réseau dans un annuaire centralisé a pour effet de fournir un point unique d’administration. Cela simplifie la gestion des ressources et permet de déléguer plus efficacement les tâches administratives. Cela offre aussi un point d’entrée unique aux utilisateurs, ordinateurs et applications qui cherchent des ressources.

L’évolutivité
Le service d’annuaire doit être également en mesure de faire face à la croissance du réseau sans qu’il soit trop surchargé. Cela implique que l’on puisse partitionner la base de données d’annuaire de façon à ce qu’elle n’augmente pas au point de devenir instable. Rassurez-vous, cela ne sera jamais le cas pour un très grand nombre de petites et moyennes entreprises, particulièrement en France. Pour information, Microsoft supporte des bases de données pouvant aller jusqu’à 1 million d’objets et des tests avec plusieurs dizaines de millions d’objets ont déjà été réalisés avec succès.

13. Introduction à LDAP et Active Directory

La standardisation
Le service d’annuaire doit aussi permettre l’accès à ses données via des normes ouvertes. Cela garantit que d’autres applications pourront utiliser les ressources de l’annuaire au lieu de gérer des annuaires spécifiques. Active Directory repose sur des protocoles d’accès standardisés comme LDAP version 3 et NSPI (Name Service Provider Interface). À noter que le protocole NSPI, qui est exploité par les clients Microsoft Exchange Server 5.x, est pris en charge par Active Directory, ce qui permet la compatibilité avec l’annuaire Exchange.

L’extensibilité
Le service d’annuaire doit permettre aux administrateurs et aux applications d’ajouter toutes sortes de données en fonction des besoins de l’entreprise.

523

Chapitre 13

Introduction à LDAP et Active Directory

La séparation par rapport au réseau physique
Le service d’annuaire doit également rendre la topologie physique du réseau transparente pour les utilisateurs et les administrateurs. Il doit être possible de localiser une ressource et d’y accéder, sans être obligé de savoir où et comment elle est reliée sur le réseau.

La sécurité
Le service d’annuaire pourrait permettre à un intrus de tout savoir sur l’entreprise. Il est donc impératif que le service d’annuaire dispose de moyens pour sécuriser le stockage. Pour y répondre, Active Directory est intégré à la sécurité de Windows Server 2003, et il est possible de définir un contrôle d’accès pour tout objet de l’annuaire et pour chaque propriété des objets. Il est possible d’appliquer des stratégies de sécurité localement ou à l’échelle d’un site, d’un domaine ou d’une unité organisationnelle. Le trafic LDAP est signé et crypté. Par défaut, les outils Active Directory de Windows Server 2003 signent et cryptent tout le trafic LDAP. Cela garantit que les données proviennent d’une source connue et qu’elles n’ont pas subi d’altérations. Active Directory prend en charge plusieurs protocoles d’authentification, comme Kerberos, version 5, SSL, version 3, avec les certificats X.509, version 3. Active Directory permet également de mettre en place des groupes de sécurité qui s’étendent sur plusieurs domaines.

13. Introduction à LDAP et Active Directory

La structure logique d’Active Directory
Voici une présentation des différents composants de la structure d’Active Directory…

Les objets
Dans Active Directory, les ressources sont stockées sous forme d’objets. L’objet étant le composant d’Active Directory le plus facile à décrire puisqu’il représente en général une ressource concrète. Dans Active Directory, les objets sont stockés dans une structure hiérarchique de conteneurs et de sous-conteneurs qui facilite l’administration. Il serait simple de comparer cela au système de dossiers dans Windows. Il est possible de tailler cette structure sur mesure pour pouvoir répondre aux besoins de l’entreprise, mais aussi pour qu’elle s’adapte aux différentes évolutions sans trop de contraintes.
j

Les classes d’objets : un objet n’est en fait qu’une collection d’attributs. Ainsi un objet utilisateur est fait d’attributs du genre nom, mot de passe, appartenance de groupe, etc. Les attributs d’un objet sont définis via une classe d’objets. La classe utilisateur, par exemple, spécifie les attributs constituant l’objet utilisateur. Les classes d’objets permettent de regrouper les objets en fonction de leurs

524

Active Directory

similitudes. Ainsi, tous les objets utilisateur sont définis par la classe d’objet utilisateur. Quand vous créez un nouvel objet, il hérite automatiquement des attributs de sa classe. Microsoft définit un ensemble basique de classes d’objets avec leurs attributs utilisés par Active Directory sous Windows Server 2003. Active Directory étant extensible, les administrateurs et les applications peuvent naturellement modifier les classes d’objet ainsi que les attributs définis par ces classes.
j

Le schéma Active Directory : les classes et les attributs qu’elles définissent sont désignés collectivement par l’appellation de "schéma Active Directory" (dans la terminologie des bases de données, le schéma est la structure des tables et des champs avec leurs interrelations). Vous pouvez vous représenter Active Directory comme un ensemble de données (classes d’objets) qui définissent la façon selon laquelle les données réelles de l’annuaire (attributs des objets) sont structurées et stockées.

Presque tout dans Active Directory est un objet, y compris le schéma lui-même. À l’instar de tous les autres objets, le schéma est protégé par des listes de contrôles d’accès (ACL) administrées par le sous-système de sécurité de Windows Server 2003. Les utilisateurs et les applications munis de permissions appropriées peuvent lire le schéma, voire le modifier. 13. Introduction à LDAP et Active Directory

Les domaines
Un domaine est une partition dans une forêt Active Directory. Le partitionnement des données permet aux organisations de répliquer des données uniquement là où elles sont requises. De cette manière, l’annuaire peut s’étendre globalement sur un réseau qui possède une bande passante limitée. En outre le domaine prend en charge un certain nombre d’autres fonctions centrales liées à l’administration, dont…
j

L’identité d’utilisateur de niveau réseau : les domaines permettent de créer des identités d’utilisateurs une fois, puis de le référencer sur n’importe quel ordinateur joint à la forêt dans laquelle le domaine se trouve. Les contrôleurs de domaine qui constituent un domaine sont utilisés pour stocker de manière sécurisée les comptes d’utilisateurs et les informations d’authentification comme les mots de passe ou les certificats. L’authentification : les contrôleurs de domaine offrent des services d’authentification pour les utilisateurs et fournissent des données d’autorisation supplémentaires, comme des appartenances de groupes d’utilisateurs, qui peuvent être utilisées pour contrôler l’accès aux ressources sur le réseau. La relation d’approbation : les domaines peuvent étendre les services d’authentification aux utilisateurs dans des domaines en dehors de leur propre forêt grâce à des relations d’approbation. La réplication : le domaine définit une partition de l’annuaire contenant suffisamment de données pour fournir des services de domaine et les répliquer

j

j

j

525

Chapitre 13

Introduction à LDAP et Active Directory

entre contrôleurs de domaines. De cette manière, tous les contrôleurs de domaine sont des pairs dans un domaine et sont gérés comme une unité.

L’arbre
Les domaines sont organisés en une structure hiérarchique appelée "arbre". Même avec un seul domaine, il y a un arbre. Le premier domaine créé dans un arbre est le domaine racine. Le domaine suivant sera un domaine enfant de la forêt. Cette extensibilité, permet d’avoir une multitude de domaines dans un arbre.

13. Introduction à LDAP et Active Directory

Figure 13.1 : Schéma d’un arbre

Ce schéma d’exemple vous montre la représentation d’un arbre. Dans cet exemple, puzmmania.com a été le premier domaine créé dans Active Directory, ce qui en fait le domaine racine.

526

Active Directory

Tous les domaines d’un arbre se partagent le même schéma et un espace de noms connexe. Dans l’exemple du schéma d’arbre, tous les domaines situés sous le domaine racine puzzmania.com se partagent l’espace de noms puzzmania.com. Posséder un seul arbre peut être bien si l’entreprise emploie le même espace de noms DNS. Par contre, pour une entreprise utilisant plusieurs espaces de noms DNS, le modèle doit pouvoir s’étaler sur plusieurs arbres… Ce qui nous donne l’occasion de passer au concept de forêt.

Les forêts
Une forêt représente un groupe d’arbres qui ne forment pas un espace de noms connexe, mais qui peuvent se partager un même schéma et un même catalogue global. Il y a toujours au moins une forêt dans une infrastructure Active Directory et elle est créée lors de l’installation du premier contrôleur de domaine Active Directory sur le réseau.

13. Introduction à LDAP et Active Directory

Figure 13.2 : Schéma d’une forêt

Les unités organisationnelles
Les unités d’organisation (OU) sont utilisées pour grouper des objets à des fins administratives, par exemple pour l’application de stratégies de groupe ou pour la délégation d’autorité. Les OU peuvent être utilisées pour former une hiérarchie de conteneurs au sein d’un même domaine. Le contrôle sur une unité organisationnelle et

527

Chapitre 13

Introduction à LDAP et Active Directory

les objets qu’elle contient est déterminé par des listes de contrôle d’accès (ACL, Access Control Lists) associées à l’unité organisationnelle et aux objets qu’elle contient.
Figure 13.3 : Schéma d’OU

13. Introduction à LDAP et Active Directory

Le partitionnement de la base de données Active Directory
Comme vous le savez déjà certainement, Active Directory représente l’ensemble des objets de la forêt. Quand la forêt grossit, il en est de même pour l’annuaire. L’une des difficultés en matière de conception est de garantir que la base de données de l’annuaire pourra augmenter en même temps que l’entreprise sans pour autant pénaliser les performances d’un serveur ou d’un emplacement particulier du réseau. La réponse à cette problématique consiste à partitionner l’annuaire en plusieurs morceaux. Bien évidemment, cela concerne davantage les grandes entreprises, mais il reste toutefois intéressant de connaître ou de comprendre l’existence de cette fonctionnalité. De manière plus simple, en partant du principe que les domaines sont les briques fondamentales de l’infrastructure, il est judicieux de partitionner l’annuaire selon les frontières du domaine. Chaque domaine contient une partition de l’annuaire qui renferme les informations relatives aux objets de ce domaine. Chaque domaine ne 528

Active Directory

contient qu’une et une seule partition d’annuaire. La combinaison des partitions des différents domaines de la forêt représente l’intégralité d’Active Directory. Quel pourrait être le ou les avantages à partitionner l’annuaire ? L’un des avantages est que vous pouvez ajouter de nouveaux domaines à une forêt sans surcharger de manière injustifiée les domaines existants. La raison en est que lorsque l’on crée une partition pour un nouveau domaine, ce sont les nouveaux contrôleurs de domaine qui font la plupart des tâches impliquées par l’administration de la nouvelle partition.

La structure physique d’Active Directory
La structure physique de l’infrastructure, au sens Active Directory du terme, est très simple comparée avec la structure logique. Les composants physiques sont au nombre de deux : les sites et les contrôleurs de domaine.

Les sites
Par définition, un site est une combinaison d’un ou plusieurs sous-réseaux IP reliés par une liaison fiable et rapide permettant de localiser autant de trafic réseau que possible. En règle générale, un site présente les mêmes limites qu’un réseau local (LAN). Lorsque vous regroupez des sous réseaux de votre réseau, vous ne devez combiner entre eux que des sous-réseaux équipés de connexions rapides. On peut considérer comme rapides les connexions qui s’effectuent au moins à 512 kbits/s. Avec Active Directory, les sites ne font pas partie de l’espace de noms. Lorsque vous parcourez l’espace de noms logique, vous ne voyez pas de sites. Vous ne voyez que les utilisateurs et les ordinateurs regroupés en domaine et en OU.
Figure 13.4 : Site dans Active Directory

13. Introduction à LDAP et Active Directory 529

Les sites ne contiennent que les objets ordinateurs et connexions utilisés pour configurer la réplication entre les sites.

Chapitre 13

Introduction à LDAP et Active Directory

Figure 13.5 : Objets ordinateur et connexion

Considérations sur les sites Un seul domaine peut s’étendre sur plusieurs sites géographiques et un seul site géographique peut inclure des comptes d’utilisateurs et d’ordinateurs appartenant à plusieurs domaines. Les sites servent surtout à contrôler le trafic de réplication. Les contrôleurs de domaine d’un site disposent d’une grande latitude pour répliquer les modifications apportées à la base de données Active Directory chaque fois qu’il y a des modifications. Les contrôleurs de domaine situés sur des sites différents compressent le trafic de réplication et opèrent selon une planification prédéfinie, tout cela afin de réduire le trafic réseau. Cette réplication peut être planifiée par défaut (c’est-à-dire toutes les 3 heures) ou bien être planifiée par l’administrateur selon ses besoins. 13. Introduction à LDAP et Active Directory

Figure 13.6 : Intervalle de réplication

Création de site et site par défaut Si vous ne créez pas vous-même votre propre site dans Active Directory, tous les contrôleurs de domaine appartiendront automatiquement à un même site, par défaut appelé "Premier-Site-par-défaut", qui est créé en même temps que le premier domaine.

Pour plus d’informations sur les sites et la topologie de site, reportez-vous au chapitre La conception de la topologie des sites.

Les contrôleurs de domaine
Les contrôleurs de domaine permettent aux utilisateurs d’ouvrir une session sur le réseau et d’accéder aux ressources pour lesquelles ils ont les autorisations adéquates. Ils permettent également de rechercher dans Active Directory des dossiers partagés, des 530

Active Directory

imprimantes partagées et d’autres informations publiées. Un domaine doit avoir au moins un contrôleur de domaine, c’est une obligation. En fait, c’est en promouvant un serveur Windows Server 2003 autonome au rôle de contrôleur de domaine que le domaine est créé. Cependant, pour des questions de redondance, il est fortement recommandé d’avoir au moins deux contrôleurs de domaine par domaine pour chaque domaine. Si votre entreprise est constituée de plusieurs sites reliés par des liaisons WAN lentes, il sera judicieux alors de placer également un contrôleur de domaine sur chaque site afin de réduire le trafic d’ouverture de session sur le WAN.

Les rôles maîtres d’opérations
Les contrôleurs de domaine de la forêt, peu importe leur nombre, doivent se partager les rôles maîtres d’opérations. Ces rôles maîtres sont divisés en deux familles :
j j

Les rôles maîtres au niveau de la forêt sont au nombre de deux dans la forêt entière. Les rôles maîtres au niveau du domaine sont au nombre de trois par domaine.

Un contrôleur de domaine peut-être propriétaire d’un ou de plusieurs rôles tout en respectant des règles bien précises. Ces rôles maîtres jouent un rôle (comme leur nom l’indique) au niveau de l’infrastructure Active Directory. 13. Introduction à LDAP et Active Directory

Pour plus d’informations sur la répartition des rôles maîtres, reportez-vous au chapitre La conception de la topologie des sites.

Les rôles maîtres au niveau de la forêt
j

Le maître de schéma : le premier contrôleur de domaine de la forêt tient le rôle de maître de schéma. Il est chargé de gérer et de distribuer le schéma au reste de la forêt. Il gère la liste de toutes les classes d’objets et de tous les attributs définissant les objets rencontrés dans Active Directory. Le maître de schéma doit être opérationnel pour que l’on puisse actualiser ou modifier le schéma. Le maître d’attribution de noms de domaine : ce contrôleur enregistre les ajouts et les suppressions de domaines dans la forêt, il est vraiment vital pour la préservation de l’intégrité de domaine. Le maître d’attribution de noms de domaine est consulté à chaque fois que l’on ajoute de nouveaux domaines à la forêt. En cas d’indisponibilité de ce rôle maître, il sera impossible d’ajouter de nouveaux domaines.

j

Les rôles maîtres au niveau du domaine
j

Le maître d’ID relatifs : il alloue des séquences d’ID relatifs à chacun des différents contrôleurs de son domaine. À tout moment, il ne peut exister qu’un seul contrôleur de domaine jouant se rôle de maître RID dans chaque domaine de la forêt. Quand un contrôleur de domaine crée un utilisateur, un groupe ou un ordinateur, il assigne 531

Chapitre 13

Introduction à LDAP et Active Directory

à cet objet un ID de sécurité unique. L’ID de sécurité se compose d’un ID de sécurité de domaine qui est identique à tous les ID de sécurité dans le domaine, et un ID relatif qui est unique pour chaque ID créé dans le domaine.
j

L’émulateur de contrôleur principal de domaine (CDP) : ce contrôleur de domaine a la charge d’émuler un CDP (contrôleur de domaine principal) Windows NT 4.0 pour les clients n’ayant pas encore migré vers une des versions de Windows 2000, Windows Server 2003 ou Windows XP et qui n’exécutent pas de logiciel client pour les services d’annuaire. L’une des grandes fonctions de l’émulateur PDC est de contrôler l’ouverture de session pour les clients antérieurs à Windows 2000. L’émulateur de PDC est consulté également si un client n’arrive pas à se faire authentifier. Cela donne l’opportunité de voir s’il y a eu des modifications de mots de passe de dernière minute pour les anciens clients du domaine (avant Windows 2000) avant de rejeter l’ouverture de session. Le maître d’infrastructure : ce contrôleur de domaine enregistre les modifications apportées aux objets du domaine. Toutes les modifications sont d’abord signalées au maître d’infrastructure, avant d’être répliquées vers les autres contrôleurs de domaine. Le maître d’infrastructure gère les groupes et les appartenances de groupe concernant les objets du domaine. Le maître d’infrastructure a aussi pour rôle d’informer les autres domaines des modifications apportées aux objets.

j

13. Introduction à LDAP et Active Directory

Le catalogue global
Le catalogue global est une réplique partielle des attributs le plus souvent recherchés de tous les objets de tous les domaines de la forêt. L’objectif du catalogue global est d’augmenter la rapidité des recherches émises sur Active Directory, en particulier les requêtes concernant la forêt entière et les tentatives d’ouvertures de sessions interdomaines. Le catalogue global réside sur un ou plusieurs contrôleurs de domaine d’un site ou d’un domaine. Un serveur qui contient le catalogue global est appelé serveur de catalogue global. Les serveurs de catalogue global contiennent les objets Active Directory suivants :
j j

La réplique complète de tous les objets de leur propre domaine ; la réplique partielle de tous les objets de la forêt de tous les contextes de nommage.

Par défaut, le premier contrôleur de domaine du premier domaine (domaine racine de la forêt) est configuré automatiquement comme serveur de catalogue global. Tout autre contrôleur de domaine peut être serveur de catalogue global à condition d’être configuré pour cela.

Pour configurer un serveur en tant que serveur de catalogue global, reportez-vous au chapitre L’administration et la gestion des sites du volume II de cet ouvrage.

532

Active Directory

La réplication dans Active Directory
Dans le principe, tous les objets et attributs doivent être répliqués vers tous les contrôleurs d’un domaine, afin que chaque contrôleur de domaine possède un exemplaire maître à jour de la partition du domaine. Voilà qui peut représenter parfois une quantité gigantesque de données en circulation sur le réseau. Suivre toutes ces données ne reste pas une simple affaire. Alors comment cela se passe-t-il ? Pour cela, Windows Server 2003 emploie un modèle de réplication, appelé "réplication multimaître", dans lequel toutes les répliques de la base de données sont considérées comme égales. Vous pouvez modifier la base de données sur n’importe quel contrôleur de domaine, et les modifications seront propagées juste après vers l’ensemble des contrôleurs du domaine. Lorsqu’il se produit une modification sur l’un des contrôleurs de domaine du même site, celui-ci informe ces partenaires de réplication. Les partenaires réclament alors les modifications. Il y a donc réplication. Deux types de réplications sont possibles…
j

La réplication intrasite : elle envoie le trafic de réplication sous forme non compressée dans la mesure où tous les contrôleurs de domaine du même site sont reliés par des liaisons à haut débit. La réplication fonctionne alors avec un mécanisme de notifications. Cela veut dire plus simplement qu’en cas de modifications faites sur le domaine, celles-ci sont rapidement répliquées vers les autres contrôleurs de domaine du même site. La réplication intersite : elle compresse tout le trafic de réplication car celui-ci transite à travers les liens WAN. Il est possible de planifier la réplication intersite pour que celle-ci réplique aux heures les plus justes ou simplement laisser les paramètres par défaut, c’est-à-dire toutes les 3 heures.
Figure 13.7 : plages horaires de réplication

13. Introduction à LDAP et Active Directory

j

Pour plus d’informations sur les concepts de réplication, reportez-vous au chapitre La conception de la topologie des sites.

533

Chapitre 13

Introduction à LDAP et Active Directory

13.3. En résumé
Ce chapitre vous a présenté les bases et les définitions du protocole LDAP et surtout d’Active Directory. Tout cela vous sera très utile pour la suite et plus particulièrement dans votre activité professionnelle. Prenez le temps d’aller sur Internet et de lire les RFC si vous souhaitez approfondir le sujet. Cela vous permettra d’aborder les problématiques d’annuaire avec un certain recul et un regard avisé. Maintenant que vous avez les bases, mettez tout cela en pratique en attaquant la conception de l’infrastructure d’annuaire de la société Puzzmania.

13. Introduction à LDAP et Active Directory 534

Chapitre 14

La planification d’un projet Active Directory
14.1 14.2 14.3 14.4 14.5 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de conception d’Active Directory . . . . . . . Le processus de planification d’un projet Active Directory Les définitions communes dans un projet Active Directory En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 . 538 . 539 . 541 . 544

Vue d’ensemble

A

vant d’aborder en détail (dans les chapitres suivants) la conception technique d’Active Directory, ce chapitre va vous permettre d’aborder globalement la planification d’un projet Active Directory. Implémenter Active Directory, c’est maîtriser non seulement des aspects techniques, mais aussi la gestion de projet, l’élaboration du planning, l’encadrement des ressources humaines qui travailleront ainsi que la rédaction de toute la documentation qui l’accompagne. Cette vision globale vous permettra d’aborder aussi bien un projet Active Directory Windows Server 2003 que Windows Server 2008.

14.1. Vue d’ensemble
L’implémentation d’Active Directory commence par la création de sa conception, autrement dit de son architecture. Cette conception vous permet ensuite de planifier Active Directory avant son implémentation. Un ou plusieurs architectes de systèmes créent la conception d’Active Directory, en se basant sur les besoins de l’entreprise. Ces besoins déterminent les spécifications fonctionnelles pour la conception. Le plan d’implémentation d’Active Directory détermine la mise en œuvre de la conception d’Active Directory en fonction de l’infrastructure matérielle de l’entreprise. Par exemple, la conception d’Active Directory peut spécifier le nombre de contrôleurs de domaine pour chaque domaine sur la base de la configuration d’un serveur spécifique. Cependant, si cette configuration n’est pas disponible, lors de la phase de planification, vous pouvez décider de modifier le nombre de serveurs afin de répondre aux besoins de l’entreprise. Après avoir implémenté Active Directory, vous devez gérer et assurer la maintenance d’Active Directory afin de garantir disponibilité, fiabilité et sécurité du réseau. Durant le déploiement d’Active Directory, les ingénieurs système :
j j j j j j

14. La planification d’un projet Active Directory

créent la structure du domaine et de la forêt et déploient les serveurs ; créent la structure de l’unité d’organisation ; créent les comptes d’utilisateur et d’ordinateur ; créent les groupes de sécurité et de distribution créent les objets Stratégie de groupe (GPO) qu’ils appliquent aux domaines, aux sites et aux unités d’organisation ; créent les stratégies de distribution de logiciels.

537

Chapitre 14

La planification d’un projet Active Directory

Figure 14.1 : Vue d’ensemble de la planification projet

14.2. Le processus de conception d’Active Directory
Une conception d’Active Directory inclut plusieurs tâches. Chacune définit les besoins fonctionnels pour un composant de l’implémentation d’Active Directory. 14. La planification d’un projet Active Directory Le processus de conception d’Active Directory inclut les tâches suivantes…
j

Collecte d’informations sur l’entreprise : cette première tâche définit les besoins en service d’annuaire et les besoins de l’entreprise concernant le projet. Les informations sur l’organisation incluent notamment un profil organisationnel de haut niveau, les implantations géographiques de l’entreprise, l’infrastructure technique et du réseau et les plans liés aux modifications à apporter dans l’entreprise. Analyse des informations sur l’organisation : vous devez analyser les informations collectées pour évaluer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite déterminer quelles sont les informations les plus importantes et quels composants de la conception d’Active Directory ces informations affecteront. Soyez prêt à appliquer ces informations dans l’ensemble du processus de conception. Analyse des options de conception : lorsque vous analysez des besoins d’entreprise spécifiques, plusieurs options de conception peuvent y répondre. Par exemple, un besoin administratif peut être résolu par le biais d’une conception de domaine ou d’une structure d’unité d’organisation. Comme chacun de vos choix affecte les autres composants de la conception, restez flexible dans votre approche de la conception durant tout le processus.

j

j

538

Le processus de planification d’un projet Active Directory

j

Sélection d’une conception : développez plusieurs conceptions d’Active Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous sélectionnez une conception, analysez les besoins d’entreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut qu’aucune des conceptions soumises ne fasse l’unanimité. Choisissez la conception qui répond le mieux à vos besoins d’entreprise et qui représente globalement le meilleur choix. Affinage de la conception : la première version de votre plan de conception est susceptible d’être modifiée avant la phase pilote de l’implémentation. Le processus de conception est itératif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. Révisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins d’entreprise.

j

Le résultat de la phase de conception d’Active Directory inclut les éléments suivants…
j

La conception du domaine et de la forêt : la conception de la forêt inclut des informations comme le nombre de forêts requis, les consignes de création des approbations et le nom de domaine pleinement qualifié pour le domaine racine de chaque forêt. La conception inclut également la stratégie de contrôle des modifications de la forêt, qui identifie les processus de propriété et d’approbation pour les modifications de la configuration présentant un impact sur toute la forêt. Identifiez la personne chargée de déterminer la stratégie de contrôle des modifications de chaque forêt dans l’organisation. Si votre plan de conception comporte plusieurs forêts, vous pouvez évaluer si des approbations de forêts sont requises pour répartir les ressources du réseau parmi les forêts. La conception du domaine indique le nombre de domaines requis dans chaque forêt, le domaine qui sera le domaine racine pour chaque forêt et la hiérarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut également le nom DNS pour chaque domaine et les relations d’approbation entre domaines. La conception de l’unité d’organisation : elle indique comment vous créerez les unités d’organisation pour chaque domaine dans la forêt. Incluez une description de l’autorité d’administration qui sera appliquée à chaque unité d’organisation, et à qui cette même autorité sera déléguée. Pour finir, incluez la stratégie utilisée pour appliquer la stratégie de groupe à la structure de l’unité d’organisation. La conception du site : elle spécifie le nombre et l’emplacement des sites dans l’organisation, les liens requis pour relier les sites et le coût de ces liens.

14. La planification d’un projet Active Directory

j

j

14.3. Le processus de planification d’un projet Active Directory
Le résultat du processus de planification est le plan d’implémentation d’Active Directory. Ce plan se compose lui-même de plusieurs plans qui définissent les besoins

539

Chapitre 14

La planification d’un projet Active Directory

fonctionnels pour un composant spécifique de l’implémentation d’Active Directory. Ces plans sont tout autant de documents très importants à conserver et archiver soigneusement. Un plan Active Directory inclut les composants suivants…
j

Stratégie de compte : elle inclut des informations comme les consignes d’attribution de nom aux comptes et la stratégie de verrouillage, la stratégie en matière de mots de passe et les consignes portant sur la sécurité des objets. Stratégie d’audit : elle détermine le suivi des modifications apportées aux objets Active Directory. Plan d’implémentation d’unité d’organisation : il définit quelles unités d’organisation créer et comment. Par exemple, si la conception d’unité d’organisation spécifie que ces unités seront créées géographiquement et organisées par division à l’intérieur de chaque zone géographique, le plan d’implémentation des unités d’organisation définit les unités à implémenter, telles que celles des ventes, des ressources humaines et de production. Le plan fournit également des consignes portant sur la délégation d’autorité. Plan de stratégie de groupe : il détermine qui crée, relie et gère les objets de stratégie de groupe, et comment cette stratégie sera implémentée. Plan d’implémentation du site : il spécifie les sites, les liens qui les relient, et les liaisons de sites planifiées. Il spécifie également la planification et l’intervalle de réplication ainsi que les consignes en matière de sécurisation et de configuration de la réplication entre sites. Plan de déploiement de logiciels : il spécifie comment vous utiliserez la stratégie de groupe pour déployer de nouveaux logiciels et des mises à niveau de logiciels. Il peut, par exemple, spécifier si les mises à niveau de logiciels sont obligatoires ou facultatives. Plan de placement des serveurs : il spécifie le placement des contrôleurs de domaine, des serveurs de catalogue global, des serveurs DNS intégrés à Active Directory et des maîtres d’opérations. Il spécifie également si vous activerez la mise en cache des appartenances à un groupe universel pour les sites ne possédant pas de serveur de catalogue global.

j j

j j

14. La planification d’un projet Active Directory

j

j

Lorsque tous les plans de composant sont terminés, vous devez les combiner pour former le plan complet d’implémentation d’Active Directory. Si la taille de votre entreprise ne nécessite pas des documents distincts pour tous ces plans, vous ne pouvez créer qu’un seul et unique document qui combine les différents plans en chapitres du même document maître. Une fois le plan d’implémentation d’Active Directory en place, vous pouvez commencer à implémenter Active Directory conformément à votre plan de conception. Vous devez exécuter les tâches suivantes pour implémenter Active Directory…

540

Les définitions communes dans un projet Active Directory

j

Implémentation de la forêt, du domaine et de la structure DNS : créez le domaine racine de la forêt, les arborescences de domaines et tout autre domaine enfant constituant la forêt et la hiérarchie des domaines. Création des unités d’organisation et des groupes de sécurité : créez la structure d’unité d’organisation pour chaque domaine dans chaque forêt, créez des groupes de sécurité et déléguez l’autorité administrative à des groupes administratifs dans chaque unité d’organisation. Création des comptes d’utilisateur et d’ordinateur : importez les comptes d’utilisateur dans Active Directory. Création des objets Stratégie de groupe : créez des objets Stratégie de groupe basés sur la stratégie de groupe, puis reliez-les à des sites, à des domaines ou à des unités d’organisation. Implémentation des sites : créez des sites en fonction du plan des sites, créez des liens reliant ces sites, définissez les liaisons de sites planifiées et déployez sur les sites des contrôleurs de domaine, des serveurs de catalogue global, des serveurs DNS et des maîtres d’opérations.

j

j j

j

Mais tout cela sera largement détaillé dans la suite de l’ouvrage.

14.4. Les définitions communes dans un projet Active Directory
14. La planification d’un projet Active Directory Pour vous aider à rédiger votre documentation de planification projet Active Directory, ou pour vous donner des arguments supplémentaires à faire valoir dans votre projet, voici une série de définitions standards que vous pourrez utiliser.

Définition du service d’annuaire
Dans de grands réseaux, les ressources sont partagées par de nombreux utilisateurs et applications. Pour permettre aux utilisateurs et aux applications d’accéder à ces ressources et aux informations les concernant, une méthode cohérente est nécessaire pour nommer, décrire, localiser, accéder, gérer et sécuriser les informations concernant ces ressources. Un service d’annuaire remplit cette fonction. Un service d’annuaire est un référentiel d’informations structuré concernant les personnes et les ressources d’une organisation. Dans un réseau Windows Server 2003, le service d’annuaire est Active Directory. Active Directory dispose des fonctionnalités suivantes…
j

Accès pour les utilisateurs et les applications aux informations concernant des objets : ces informations sont stockées sous forme de valeurs d’attributs. Vous pouvez rechercher des objets selon leur classe d’objet, leurs attributs, leurs valeurs 541

Chapitre 14

La planification d’un projet Active Directory

d’attributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs.
j

Transparence des protocoles et de la topologie physique du réseau : un utilisateur sur un réseau peut accéder à toute ressource, une imprimante par exemple, sans savoir où celle-ci se trouve ou comment elle est connectée physiquement au réseau. Possibilité de stockage d’un très grand nombre d’objets : comme il est organisé en partitions, Active Directory peut répondre aux besoins issus de la croissance d’une organisation. Par exemple, un annuaire peut ainsi passer d’un serveur unique contenant quelques centaines d’objets à des milliers de serveurs contenant des millions d’objets. Possibilité d’exécution en tant que service indépendant du système d’exploitation : ADAM (Active Directory Application Mode) est une nouvelle fonctionnalité d’Active Directory de Windows Server 2003 permettant de résoudre certains scénarios de déploiement liés à des applications utilisant un annuaire. ADAM s’exécute comme un service indépendant du système d’exploitation qui, en tant que tel, ne nécessite pas de déploiement sur un contrôleur de domaine. L’exécution en tant que service indépendant du système d’exploitation signifie que plusieurs instances ADAM peuvent s’exécuter simultanément sur un serveur unique, chaque instance étant configurable de manière indépendante.

j

j

Définition du schéma
14. La planification d’un projet Active Directory Le schéma Active Directory définit les genres d’objets, les types d’informations concernant ces objets, et la configuration de sécurité par défaut pour les objets pouvant être stockés dans Active Directory. Le schéma Active Directory contient les définitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stockés dans Active Directory. Les contrôleurs de domaine exécutant Windows Server 2003 ne comportent qu’un seul schéma pour toute une forêt. Ainsi, tous les objets créés dans Active Directory se conforment aux mêmes règles. Le schéma possède deux types de définitions : les classes d’objets et les attributs. Les classes d’objets, comme utilisateur, ordinateur et imprimante, décrivent les objets d’annuaire possibles que vous pouvez créer. Chaque classe d’objet est un ensemble d’attributs. Les attributs sont définis séparément des classes d’objets. Chaque attribut n’est défini qu’une seule fois et peut être utilisé dans plusieurs classes d’objets. Par exemple, l’attribut Description est utilisé dans de nombreuses classes d’objets, mais il n’est défini qu’une seule fois dans le schéma afin de préserver la cohérence. Vous pouvez créer de nouveaux types d’objets dans Active Directory en développant le schéma. Par exemple, pour une application de serveur de messagerie comme Exchange, vous pouvez développer la classe d’utilisateur dans Active Directory en lui ajoutant de nouveaux attributs stockant des informations supplémentaires, telles que les adresses de messagerie des utilisateurs. On appelle cela "étendre le schéma".

542

Les définitions communes dans un projet Active Directory

Sur les contrôleurs de domaine Windows Server 2003, vous pouvez annuler des modifications apportées à un schéma en les désactivant, permettant ainsi aux organisations de mieux exploiter les fonctionnalités d’extensibilité d’Active Directory (ce n’était pas le cas sous Windows 2000). Vous pouvez également redéfinir une classe ou un attribut de schéma.

Définition du catalogue global
Dans Active Directory, les ressources peuvent être partagées parmi des domaines et des forêts. Le catalogue global d’Active Directory permet de rechercher des ressources parmi des domaines et des forêts de manière transparente pour l’utilisateur. Par exemple, si vous recherchez toutes les imprimantes présentes dans une forêt, un serveur de catalogue global traite la requête dans le catalogue global, puis renvoie les résultats. En l’absence de serveur de catalogue global, cette requête exigerait une recherche dans chaque domaine de la forêt. Le catalogue global est un référentiel d’informations qui contient un sous-ensemble des attributs de tous les objets d’Active Directory. Les membres du groupe Administrateurs du schéma peuvent modifier les attributs stockés dans le catalogue global, en fonction des impératifs d’une organisation. Le catalogue global contient :
j j j j

les attributs les plus fréquemment utilisés dans les requêtes, comme le nom et le prénom d’un utilisateur, et son nom d’ouverture de session ; les informations requises pour déterminer l’emplacement de tout objet dans l’annuaire ; un sous-ensemble d’attributs par défaut pour chaque type d’objet ; les autorisations d’accès pour chaque objet et attribut stocké dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possédez pas les autorisations de visualisation requises, cet objet n’apparaîtra pas dans les résultats de la recherche. Les autorisations d’accès garantissent que les utilisateurs ne pourront trouver que les objets pour lesquels ils possèdent un droit d’accès.

14. La planification d’un projet Active Directory

Un serveur de catalogue global est un contrôleur de domaine qui traite efficacement les requêtes intraforêts dans le catalogue global. Le premier contrôleur de domaine que vous créez dans Active Directory devient automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplémentaires pour équilibrer le trafic lié aux authentifications de connexion et aux requêtes. Le catalogue global permet aux utilisateurs d’exécuter deux fonctions importantes :
j j

trouver les informations Active Directory en tout point de la forêt, indépendamment de l’emplacement des données ; utiliser les informations d’appartenance au groupe universel pour se connecter au réseau.

543

Chapitre 14

La planification d’un projet Active Directory

Définition d’un nom unique et d’un nom unique relatif
Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des objets dans une base de données Active Directory. Le protocole LDAP est un sous-ensemble de la norme ISO X.500 relative aux services d’annuaire. Il utilise les informations portant sur la structure d’un annuaire pour trouver des objets individuels possédant chacun un nom unique. Le protocole LDAP utilise un nom représentant un objet Active Directory par une série de composants concernant la structure logique. Cette représentation, appelée nom unique de l’objet, identifie le domaine dans lequel se trouve l’objet ainsi que le chemin complet permettant d’accéder à celui-ci. Un nom de ce type ne peut être qu’unique dans une forêt Active Directory. Le nom unique relatif d’un objet identifie l’objet de manière unique dans son conteneur. Deux objets situés dans un même conteneur ne peuvent porter le même nom. Le nom unique relatif est toujours le premier composant du nom unique, mais il n’est pas toujours un nom usuel. Chaque élément de la structure logique de l’utilisatrice Coralie Darboux de l’unité d’organisation Ventes du domaine corp.puzzmania.com est représenté dans le nom unique suivant : CN=Coralie Darboux,OU=Ventes,DC=corp,DC=puzzmania, DC=com.
j j

CN (Common Name) est le nom usuel de l’objet dans son conteneur. OU (Organizational Unit) est l’unité d’organisation qui contient l’objet. Plusieurs valeurs d’OU peuvent exister si l’objet se trouve dans une unité d’organisation imbriquée. DC (Domain Component) est un composant de domaine, tel que com ou local. Il existe toujours au moins deux composants de domaine, voire davantage si le domaine est un domaine enfant.

14. La planification d’un projet Active Directory

j

Les composants de domaine du nom unique sont basés sur le DNS. Dans l’exemple suivant, Ventes est le nom unique relatif d’une unité d’organisation représentée par le chemin LDAP suivant : OU=Ventes,DC=corp,DC=puzzmania,DC=com.

14.5. En résumé
L’implémentation d’Active Directory, dans toute entreprise, sera considérée comme un projet à part entière. Il est donc intéressant d’avoir les éléments en main pour savoir comment gérer, mettre en place et démarrer rapidement un projet autour d’Active Directory.

544

Chapitre 15

La conception de l’infrastructure logique Active Directory
15.1 15.2 15.3 15.4 15.5 15.6 15.7 15.8 Du projet d’entreprise à la conception d’Active Directory Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . Principe de conception des forêts . . . . . . . . . . . . . . Les modèles de domaines . . . . . . . . . . . . . . . . . . . Choisir le domaine racine de la forêt . . . . . . . . . . . . Conception de domaine et sécurité . . . . . . . . . . . . . . Principe de conception des domaines . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 . 548 . 550 . 552 . 555 . 559 . 560 . 561

Du projet d’entreprise à la conception d’Active Directory

eprenons le cours de notre étude de cas Puzzmania. Comme vous l’avez suivi, la direction et le service informatique de Puzzmania ont décidé d’implémenter une forêt puzzmania.com selon un modèle de racine vide avec les domaines fils corp .puzzmania.com et rd.puzzmania.com. Ce choix découle d’un historique, d’un besoin et d’une orientation stratégique d’entreprise. Ce chapitre explique le choix des équipes de Puzzmania en décrivant les différents modèles d’infrastructures logiques d’Active Directory.

R

15.1. Du projet d’entreprise à la conception d’Active Directory
L’intérêt de l’étude de cas Puzzmania est de montrer que la conception de l’infrastructure logique d’Active Directory satisfait des besoins et s’inscrit dans un projet d’entreprise. Vous devez en permanence mettre en relation les besoins et l’infrastructure Active Directory. Une infrastructure logique Active Directory bien choisie est celle qui répond le mieux à l’entreprise, en termes de besoins et d’évolution. Suivez toujours les quelques conseils suivants avant de sélectionner votre modèle de forêt ou de domaine :
j

Faites en sorte que les besoins de l’entreprise déterminent la conception. Une conception d’Active Directory appropriée doit satisfaire les exigences initiales. La conception du service d’annuaire doit être élaborée en fonction de ces besoins, et non en fonction de la technologie du service d’annuaire. Traitez le processus de conception d’Active Directory au fur et à mesure que vous recevez des informations. En effet, vous analyserez de nouveau vos décisions de conception lorsque vous recevrez de nouvelles informations (par exemple, l’ajout de pare-feu entre des sites distants). Étant donné que votre conception est susceptible de changer au cours du processus, il est important de rester flexible jusqu’à ce que tous les besoins de l’entreprise aient été considérés. Commencez par la conception la plus simple possible, soit une forêt avec un seul domaine et un site unique. Définissez ensuite le critère lié à l’introduction d’éléments plus complexes. Tout nouvel élément que vous souhaitez ajouter, une forêt, un domaine, un site ou une unité d’organisation, doit avoir un objectif défini spécifique car la quantité d’objets augmente les coûts d’infrastructure et d’administration de l’implémentation. Considérez les compromis comme faisant partie intégrante de la conception de l’infrastructure logique d’Active Directory. L’objectif est de créer une structure Active Directory qui répond à tous les besoins. Toutefois, ces derniers pourront

j

15. La conception de l’infrastructure logique Active Directory

j

j

547

Chapitre 15

La conception de l’infrastructure logique Active Directory

entraîner des conflits de conception qui vous conduiront à prendre des décisions et à trouver des compromis : ils font partie du jeu et vous devez les inclure tout au long de l’évolution de la conception. MSF Si vous souhaitez mettre en place un projet tel que la conception et l’implémentation d’Active Directory au sein de votre entreprise, sachez que Microsoft a mis au point une méthode très performante pour créer des solutions professionnelles dans les limites temporelles et budgétaires fixées. Cette méthode s’appelle MSF (Microsoft Solutions Framework). C’est une approche posée et structurée pour mener à bien des projets technologiques. MSF couplé à MOF (Microsoft Operations Framework) s’apparente à une méthodologie proche de celle décrite dans le référentiel ITIL. Pour en savoir plus, rendez-vous à l’adresse www.microsoft.com/technet/itsolutions/msf/default.mspx. La suite du chapitre présente les différents modèles d’infrastructures afin que vous vous posiez les bonnes questions quant à votre projet d’entreprise et que vous déterminiez le modèle le mieux adapté.

15.2. Les modèles de forêts
Il existe trois modèles de forêts Active Directory : l’un se fonde sur l’organisation, l’autre sur les ressources et le dernier est le modèle de forêt à accès restreint. En fonction de vos contraintes, vous serez peut-être amené à utiliser une combinaison de ces différents modèles pour répondre aux besoins de votre entreprise. 15. La conception de l’infrastructure logique Active Directory

Le modèle de forêt basé sur l’organisation
Dans ce modèle, une forêt (ou plusieurs selon le contexte) permet de gérer les comptes d’utilisateurs et les ressources. Chaque solution Active Directory comprend au moins une forêt basée sur l’organisation. Si, pour une raison ou une autre, plusieurs forêts sont utilisées, des relations d’approbation peuvent permettre aux utilisateurs d’une forêt d’accéder aux ressources d’une autre forêt. Vous pouvez utiliser ce modèle pour assurer l’autonomie ou l’isolation de données ou d’un service de l’entreprise. Ainsi, pour garantir l’isolation du service, il suffit d’une seule forêt configurée pour empêcher toute personne extérieure de l’administrer.

548

Les modèles de forêts

Figure 15.1 : Modèle de forêt basé sur l’organisation

La forêt reste la limite de sécurité de l’infrastructure la plus forte.

Le modèle de forêt basé sur les ressources
Dans ce modèle, une forêt distincte est créée pour la gestion des ressources. Une forêt de ressources comprend uniquement les comptes d’utilisateur nécessaires pour administrer cette forêt et les ressources qu’elle contient. Si vous isolez des ressources de la sorte, on peut déduire aisément leur importance au sein de l’entreprise. Des relations d’approbation sont utilisées pour permettre aux utilisateurs d’autres forêts d’accéder à ces ressources isolées. Vous pouvez utiliser une forêt de ressources pour assurer l’isolation d’un service. Par ce moyen, vous pouvez, par exemple, protéger une zone du réseau qui contient des ressources auxquelles accèdent plusieurs forêts qui ne doivent pas communiquer directement ensemble ou qui est obligée de maintenir un état élevé de disponibilité.

15. La conception de l’infrastructure logique Active Directory

Figure 15.2 : Modèle de forêt basé sur les ressources

549

Chapitre 15

La conception de l’infrastructure logique Active Directory

Le modèle de forêt à accès restreint
Dans ce modèle, une forêt distincte est créée pour les comptes d’utilisateurs et les données qui doivent être isolées du reste de l’organisation. Vous pouvez utiliser des forêts à accès restreint pour assurer l’isolation de données classées confidentielles et soumises à des contraintes de sécurité fortes (du style norme C2 par exemple). Dans ce modèle, aucune relation d’approbation n’est utilisée car les utilisateurs des autres réseaux ne doivent pas pouvoir accéder aux données. De plus, les utilisateurs qui ont besoin d’accéder aux données de plusieurs forêts doivent posséder un compte d’utilisateur dans chacune de ces forêts. Dans les situations où l’intégrité et la confidentialité des données doivent être préservées à tout prix, la forêt d’accès aux ressources peut être placée sur un réseau complètement isolé du reste. Les utilisateurs qui doivent accéder aux données de la forêt à accès restreint disposent d’une station de travail distincte connectée au réseau dédié isolé. Vu les contraintes que cela impose, ce modèle ultra-sécurisé sera utilisé uniquement dans des cas bien précis.

15. La conception de l’infrastructure logique Active Directory

Figure 15.3 : Modèle de forêt à accès restreint

15.3. Principe de conception des forêts
L’analyse de l’existant et des besoins reste toujours le point de départ de la conception. Vous pouvez vous inspirer des conseils suivants pour axer votre réflexion de conception :
j

Déterminez le nombre minimal de forêts requis pour répondre aux besoins. Une seule forêt permet une collaboration maximale au sein de l’environnement et elle représente la configuration la plus facile et la moins coûteuse à gérer. Elle doit être

550

Principe de conception des forêts

toujours évoquée en priorité car un nombre minimal de forêts réduit la charge de gestion nécessaire à la maintenance du réseau.
j

Utilisez des unités d’organisation dans une forêt existante basée sur l’organisation pour répondre aux besoins d’autonomie des données. Il n’est pas nécessaire de créer une nouvelle forêt ou un nouveau domaine pour assurer l’autonomie des données. Utilisez plutôt des unités d’organisation dans un domaine existant de la forêt basée sur l’organisation et déléguez-en le contrôle à des administrateurs. Créez une nouvelle forêt basée sur l’organisation ou à accès restreint pour répondre aux besoins d’isolation des données. Déterminez le type de forêt en fonction du niveau de confidentialité et d’intégrité requis pour les données isolées. En ce qui concerne les données très confidentielles ou secrètes, envisagez l’utilisation d’une forêt à accès restreint. Pour tous les autres besoins d’isolation des données, utilisez une forêt basée sur l’organisation. Vérifiez avant tout que le besoin d’isolation des données est bien réel et que l’autonomie des données est insuffisante avant d’ajouter une forêt à votre solution. Créez une nouvelle forêt pour assurer l’isolation d’un service. L’isolation du service est généralement imposée par des contraintes opérationnelles ou légales. La seule façon d’assurer l’isolation du service consiste à créer une nouvelle forêt. Pour atteindre le niveau maximal d’isolation du service, envisagez d’utiliser un modèle de forêt à accès restreint.

j

j

Quand vous concevrez votre forêt, commencez par prendre en compte les besoins de votre entreprise en matière d’isolation d’un service ou de données particulières. D’ailleurs, ces deux principes d’isolation (service ou données) sont des éléments déterminants lors de la conception d’une forêt. Après l’analyse de l’existant, si votre conception de forêt doit comprendre une stratégie d’isolation d’un service, suivez ces étapes : 15. La conception de l’infrastructure logique Active Directory 551 1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt de ressources pour permettre l’isolation du service. 2. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin de limiter l’accès d’administrateurs extérieurs aux informations contenues dans la forêt. 3. Configurez les forêts qui sont créées pour assurer l’isolation du service de telle sorte qu’elles approuvent des domaines appartenant à d’autres forêts. Assurez-vous que les utilisateurs d’autres forêts ne sont pas membres des groupes d’administrateurs dans les forêts isolées pour éviter de compromettre la sécurité de ces dernières. 4. Protégez vos contrôleurs de domaine contre les attaques potentielles. En ce qui concerne la protection physique, placez les contrôleurs de domaine dans une salle informatique avec accès sécurisé. Pour ce qui est de la protection logique, placez les contrôleurs de domaine sur un réseau sécurisé avec limitation d’accès.

Chapitre 15

La conception de l’infrastructure logique Active Directory

Si, après l’analyse de l’existant, votre conception de forêt doit comprendre une stratégie d’isolation des données, suivez ces étapes : 1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt à accès restreint pour assurer l’isolation des données. 2. Si vous utilisez une forêt basée sur l’organisation, configurez-la de telle sorte qu’elle approuve des domaines appartenant à d’autres forêts. Pour garantir que la sécurité de la forêt isolée n’est pas compromise, vérifiez que les utilisateurs d’autres forêts ne peuvent pas être membres des groupes ayant des droits élevés sur les serveurs sur lesquels sont placées les données. 3. Configurez d’autres forêts pour qu’elles approuvent la forêt basée sur l’organisation afin que les utilisateurs de la forêt isolée puissent accéder aux ressources de ces autres forêts (si nécessaire). 4. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin de limiter l’accès des utilisateurs aux informations situées hors de leur forêt. Si vous utilisez un modèle de forêt à accès restreint pour l’isolation des données, faites en sorte qu’elle n’approuve pas d’autres forêts ou domaines. Par ailleurs, limitez l’accès au réseau hébergeant les contrôleurs de domaine et les ordinateurs dans la forêt à accès restreint. Si nécessaire, et si vous en avez les moyens et les besoins, vous pouvez maintenir les données protégées de la forêt à accès restreint sur un réseau indépendant qui n’est pas connecté physiquement à un autre réseau de votre entreprise.

15.4. Les modèles de domaines
15. La conception de l’infrastructure logique Active Directory À chaque fois que vous créez une forêt Active Directory, vous devez forcément sélectionner un modèle de domaine. Vous avez le choix entre le modèle de domaine unique (qui est recommandé) et le modèle de domaine dit régional.

Le modèle de domaine unique
Le modèle de domaine unique est le plus simple à administrer et le moins coûteux à maintenir. Vous devez évaluer en premier lieu s’il convient. Dans ce modèle, la forêt ne compte qu’un seul domaine qui contient tous les comptes (utilisateurs, ordinateurs et groupes) existants. On parle alors de structure "monoforêt monodomaine". Chaque contrôleur de domaine contient tous les comptes d’utilisateur, d’ordinateur et de groupe de la forêt, de sorte que n’importe quel contrôleur de domaine peut authentifier tous les utilisateurs de la forêt. Par ailleurs, dans la mesure où le catalogue global ne contient pas d’informations sur les comptes d’autres domaines, chaque contrôleur de domaine peut être désigné comme serveur de catalogue global sans qu’augmente la charge de réplication.

552

Les modèles de domaines

Figure 15.4 : Modèle de domaine unique

Le modèle de domaine unique répond à peu près à tous les besoins des petites entreprises. La raison qui motiverait la création d’un domaine supplémentaire au sein d’une forêt pourrait être le nombre excessif d’utilisateurs au sein d’un domaine. Mais en fait, il n’en est rien car, comme le montre le tableau qui suit (tiré des informations données par Microsoft), le nombre maximal d’utilisateurs dans un seul domaine est très élevé. Seul le trafic de réplication sur les liaisons distantes (WAN) influe sur le nombre maximal d’utilisateurs dans un domaine.
Tableau 15.1 : Nombre maximal recommandé d’utilisateurs dans un seul domaine
Liaison la plus lente Nombre maximal connectant un contrôleur d’utilisateurs si 1 % de de domaine (kbit/s) la bande passante est disponible 28,8 32 56 64 128 256 512 1 500 10 000 10 000 10 000 10 000 25 000 50 000 80 000 100 000 Nombre maximal d’utilisateurs si 5 % de la bande passante sont disponibles 25 000 25 000 50 000 50 000 100 000 100 000 100 000 100 000 Nombre maximal d’utilisateurs si 10 % de la bande passante sont disponibles 40 000 50 000 100 000 100 000 100 000 100 000 100 000 100 000

553

15. La conception de l’infrastructure logique Active Directory

Chapitre 15

La conception de l’infrastructure logique Active Directory

Conditions d’évaluation du tableau Les valeurs de ce tableau tiennent compte des hypothèses suivantes :
j j j j j j

Le taux de nouveaux utilisateurs rejoignant la forêt est de 20 % par an. Le taux d’utilisateurs quittant la forêt est de 15 % par an. Chaque utilisateur est membre de cinq groupes globaux et de cinq groupes universels. Le rapport utilisateurs/ordinateurs est de 1 pour 1. Le système DNS intégré à Active Directory est utilisé. La fonction de nettoyage DNS est utilisée.

Le modèle de domaine régional
Dans votre contexte d’entreprise, si votre forêt comprend beaucoup d’utilisateurs répartis entre différents sites géographiques connectés via le WAN, il sera peut-être nécessaire de déployer des domaines dits régionaux, c’est-à-dire basés sur l’emplacement géographique, pour réduire le trafic des réplications sur les liaisons WAN. Le modèle de domaine régional permet de maintenir un environnement stable avec le temps. Basez les régions utilisées pour définir les domaines de votre modèle sur des éléments stables, par exemple une ville. Utilisez des domaines régionaux dans les cas suivants : 15. La conception de l’infrastructure logique Active Directory
j j

Le nombre d’utilisateurs de votre forêt est supérieur au nombre d’utilisateurs qu’un seul domaine peut contenir. Vous souhaitez permettre aux administrateurs régionaux de bénéficier d’une autonomie de service au niveau domaine.

Le modèle de domaine basé sur les entités de l’entreprise
Dans votre contexte d’entreprise, si votre forêt comprend beaucoup d’utilisateurs répartis entre différentes entités, par exemple des pôles de compétences bien spécifiques tels la recherche et le développement, il sera peut-être nécessaire de déployer des domaines basés sur les entités de l’entreprise pour mieux segmenter et sécuriser les pôles, tout en ayant une administration centralisée. C’est le modèle de domaine auquel a pensé l’équipe informatique de Puzzmania. Attention, ce modèle de domaine est soumis aux réorganisations internes ! Sélectionnez-le avec précaution en vous assurant que votre contexte lui correspond

554

Choisir le domaine racine de la forêt

bien. Ce n’est pas parce qu’il convient à l’étude de cas Puzzmania qu’il représente forcément la meilleure solution pour vous.

15.5. Choisir le domaine racine de la forêt
Le domaine racine de la forêt se trouve au sommet de la représentation de la forêt. Il est également appelé "domaine père", les autres domaines étant ses fils. Il contient, entre autres, le contrôleur de domaine qui sera maître du schéma de toute la forêt et les administrateurs qui seront administrateurs de l’entreprise tout entière.

15. La conception de l’infrastructure logique Active Directory

Figure 15.5 : Domaine racine de la forêt

Des choix s’offrent à vous quant au design de ce domaine racine. Tout dépend du modèle de domaine sélectionné.

555

Chapitre 15

La conception de l’infrastructure logique Active Directory

Le domaine racine d’une forêt dans un modèle de domaine unique
Lorsque vous utilisez un modèle de domaine unique, deux options s’offrent à vous :
j j

Vous pouvez utiliser le domaine unique en tant que domaine racine de la forêt (cela paraît logique). Vous pouvez créer un domaine racine contenant uniquement les comptes administratifs à l’échelle de la forêt (on l’appelle un "domaine racine vide", au sens vide d’utilisateurs et de ressources), le domaine de vos comptes étant un enfant du domaine racine de la forêt. Utilisez cette option si vos plans de croissance vous amènent à utiliser un modèle de domaine régional.

15. La conception de l’infrastructure logique Active Directory

Figure 15.6 : Domaine racine vide et modèle de domaine unique

556

Choisir le domaine racine de la forêt

Si l’on ajoute un domaine racine vide à un modèle de domaine unique, on pourrait croire que ce dernier n’est plus unique ! En fait, il est unique au sens où il est le seul à contenir tous les utilisateurs et toutes les ressources de l’entreprise.

Le domaine racine d’une forêt dans un modèle de domaine régional ou basé sur les entités de l’entreprise
Lorsque vous utilisez un modèle de domaine régional ou un modèle basé sur les entités de l’entreprise, deux options s’offrent à vous :
j

Vous pouvez créer un domaine racine vide et faire de chaque domaine (régional ou autres) un enfant du domaine racine de la forêt.

15. La conception de l’infrastructure logique Active Directory

Figure 15.7 : Domaine racine vide et domaines enfants

557

Chapitre 15

La conception de l’infrastructure logique Active Directory

j

Vous pouvez utiliser un des domaines régionaux en tant que domaine racine de la forêt et faire des domaines régionaux restants les enfants de la racine. Si vous choisissez cette option, sélectionnez comme racine de la forêt un domaine régional de situation centrale. Cette méthode s’applique également aux domaines basés sur les entités de l’entreprise.

15. La conception de l’infrastructure logique Active Directory

Figure 15.8 : Domaine racine régional et domaines enfants régionaux

La méthode qui consiste à créer un domaine racine vide, puis des domaines enfants basés sur l’organisation de l’entreprise, a été adoptée par Puzzmania. Pourquoi une racine vide ? En voici les avantages.

558

Conception de domaine et sécurité

Les avantages du domaine racine vide
L’utilisation d’un domaine racine vide présente un certain nombre d’avantages…
j

Séparation opérationnelle entre les administrateurs de la forêt et les administrateurs du domaine (domaines enfants) : dans un environnement à domaine unique, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intégré peuvent utiliser des outils et des procédures standards pour adhérer aux groupes Administrateurs de l’entreprise et Administrateurs du schéma. En revanche, dans une forêt qui utilise un domaine racine dédié, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intégré dans les domaines enfants ne peuvent pas adhérer aux groupes d’administrateurs de niveau forêt à l’aide d’outils et de procédures standards. Cela permet de sécuriser l’infrastructure. Protection contre les changements opérationnels dans l’organisation ou dans d’autres domaines : un domaine racine dédié ne représente pas une région ou une activité particulière dans la structure de domaines. C’est pourquoi il n’est pas affecté par les réorganisations et les autres modifications qui obligent à renommer ou à restructurer les domaines. Par exemple, si votre entreprise rachète une autre entreprise (comme l’a fait Puzzmania), l’intégration au sein de l’infrastructure informatique se fera de façon plus aisée. Maintien d’une racine neutre pour qu’aucune région ou activité n’apparaisse comme subordonnée à une autre : certaines entreprises préfèrent éviter de donner l’impression qu’une région est subordonnée à une autre dans l’espace de noms. Lorsque vous utilisez un domaine racine vide dans la forêt, tous les domaines enfants peuvent être égaux dans la hiérarchie des domaines.

j

j

Les avantages d’un domaine régional ou d’entité en tant que racine de la forêt
L’utilisation d’un domaine régional ou basé sur une entité de l’entreprise en tant que domaine racine de la forêt peut également présenter un avantage. Cela vous permet d’éviter la surcharge administrative liée à la gestion d’un domaine racine vide supplémentaire.

15. La conception de l’infrastructure logique Active Directory

15.6. Conception de domaine et sécurité
La sécurité peut être un élément important dans le choix de conception. Voyons en quoi elle peut influencer vos décisions. Active Directory comprend des fonctionnalités de sécurité qui sont définies par deux composants.

559

Chapitre 15

La conception de l’infrastructure logique Active Directory

j

Le logiciel système qui compose un contrôleur de domaine Active Directory : il gère entre autres les processus d’authentification et la définition de l’identité d’un utilisateur. La base de données de l’annuaire stockée sur les contrôleurs de domaine : elle stocke des informations telles que les mots de passe des utilisateurs, la composition des groupes et les listes de contrôle d’accès (ACL) qui régissent l’accès aux objets.

j

Si un intrus modifie le logiciel système ou la base de données de l’annuaire sur un contrôleur de domaine, les fonctionnalités de sécurité incluses dans Active Directory peuvent être désactivées ou modifiées. Les personnes suivantes ont la possibilité de lancer de telles attaques…
j

Les administrateurs : ils doivent avoir la possibilité de modifier le logiciel système sur les contrôleurs de domaine pour appliquer des correctifs logiciels, pour installer des Service Packs ou des mises à niveau du système d’exploitation. Pendant ces interventions classiques, un administrateur peut très bien installer un logiciel tiers qui effectue des modifications malveillantes. Les personnes pouvant accéder physiquement aux contrôleurs de domaine : tout individu ayant physiquement accès à un contrôleur de domaine peut attaquer le système de deux manières. Soit il modifie ou remplace des fichiers de Windows Server 2003 sur le disque dur hébergeant le logiciel système du contrôleur de domaine, soit il utilise un accès hors ligne à la base de données de l’annuaire pour lire des données sans que les listes de contrôle d’accès ne fonctionnent, pour utiliser les mots de passe stockés dans la base ou faire des modifications dans cette dernière qui affectent le comportement des contrôleurs de domaine si la base de données hors ligne est connectée au système.

j

Les méthodes d’attaque sont les suivantes : 15. La conception de l’infrastructure logique Active Directory
j j j

accès aux disques physiques en redémarrant un contrôleur de domaine sur un autre système d’exploitation ; suppression ou remplacement des disques physiques sur un contrôleur de domaine ; obtention et manipulation d’une copie d’une sauvegarde de l’état du système d’un contrôleur de domaine.

Toutes ces éventualités d’attaque doivent être prises en compte, notamment dans le choix du nombre de domaines (ou forêts) et de l’emplacement des contrôleurs de domaine par exemple. La réflexion autour de la conception d’Active Directory doit tenir compte de la sécurité.

15.7. Principe de conception des domaines
Voici quelques principes que vous pouvez appliquer dans votre conception de domaines : 560

En résumé

j j

Déterminez le nombre minimal de domaines requis pour répondre aux besoins de l’entreprise. Si possible, utilisez un modèle de domaine unique, sinon ayez recours à un modèle de domaine régional ou basé sur les entités de l’entreprise. Si vous utilisez un modèle de domaine régional ou basé sur les entités de l’entreprise, créez un nouveau domaine comme racine vide de la forêt ou désignez un des domaines régionaux ou basés sur les entités de l’entreprise comme racine de la forêt.

j

Enfin et surtout, pensez à décrire votre projet de conception dans un document, en précisant le modèle de domaine, le nombre de domaines, le niveau fonctionnel de chacun d’eux et celui qui sera utilisé comme racine de la forêt.

15.8. En résumé
En exposant les différents modèles de forêts et de domaines, nous avons posé les briques fondamentales de la conception d’Active Directory. Les besoins de l’entreprise, ses contraintes et son activité sont très importants car ils vont orienter la conception de l’infrastructure logique d’Active Directory. Il n’y a pas de recette toute faite indiquant d’appliquer tel modèle en fonction de l’activité de l’entreprise. Chaque cas est différent. Ayez toujours le réflexe de considérer la structure monoforêt monodomaine en premier lieu. Seules de bonnes raisons doivent vous pousser à ajouter des domaines dans la forêt (comme Puzzmania) ou à ajouter d’autres forêts. Cette structure est la plus simple, mais elle couvre quand même un très grand nombre de cas d’entreprise. Il serait dommage de s’en priver. Les grandes lignes de la conception sont maintenant posées : c’est à vous de jouer ! 15. La conception de l’infrastructure logique Active Directory 561

Chapitre 16

La conception de la topologie de sites
16.1 16.2 16.3 16.4 16.5 16.6 16.7 Les mécanismes de conception : définitions . . . . . Collecter les informations sur le réseau . . . . . . . . Prévoir l’emplacement des contrôleurs de domaine Concevoir des sites . . . . . . . . . . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . . . . . . . . . . Concevoir les ponts de liaison de sites . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 . 580 . 581 . 587 . 588 . 590 . 591

Les mécanismes de conception : définitions

expression "topologie des sites" désigne la représentation logique du réseau physique. La conception d’une topologie de sites permet de router efficacement les requêtes clients et le trafic de réplication d’Active Directory. Lorsqu’elle est réussie, elle offre les avantages suivants :
j j j j

L’

une diminution du coût de la réplication des données Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la réplication pendant les heures creuses pour les emplacements équipés de liens réseau lents ou de connexions à distance ; une optimisation de la localisation des ressources les plus proches (contrôleurs de domaine, serveurs DFS…), une amélioration des processus d’ouverture et de fermeture de session et une amélioration des opérations de téléchargement de fichiers.

En outre, elle permet une meilleure visibilité sur le projet de déploiement d’Active Directory. Une conception de topologie de sites réussie permet aussi d’avoir les idées claires avant d’aborder des aspects plus techniques. Une réflexion sur les aspects concrets que sont la structure physique du réseau et l’objectif d’entreprise dans ce projet est cruciale : c’est le moyen d’éviter les ennuis techniques par la suite. Bien que ce chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en place d’Active Directory chez Puzzmania, il est indispensable d’aborder ce sujet au préalable afin d’éviter de prendre une mauvaise direction. La conception d’une topologie de sites Active Directory inclut la compréhension de la structure physique du réseau, la planification du placement des contrôleurs de domaine, la conception des sites, des sous-réseaux, des liens de sites et des ponts de liaison de sites pour assurer l’efficacité du routage des requêtes et du trafic de réplication. Voici la description du processus de conception d’une topologie de sites :

16. La conception de la topologie de sites

Figure 16.1 : Processus de conception de la topologie de sites

Avant d’examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites.

16.1. Les mécanismes de conception : définitions
La topologie de sites affecte les performances du réseau et la capacité des utilisateurs à accéder aux ressources réseau. Autrement dit, les utilisateurs risquent d’avoir une

565

Chapitre 16

La conception de la topologie de sites

mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adéquate. Pour ce faire, vous devez connaître un minimum de définitions techniques.

Les fonctionnalités liées aux sites
Windows Server 2003 utilise des fonctionnalités liées aux sites qu’il est important de comprendre. Il s’agit du routage de la réplication, de l’affinité des clients, de la réplication des volumes systèmes (Sysvol), de DFS et de la localisation des services.

Routage de la réplication
Active Directory utilise un modèle de réplication multimaître afin de répliquer d’un contrôleur de domaine à un autre. Cela signifie qu’un contrôleur de domaine communique les modifications de l’annuaire à un deuxième contrôleur, qui les communique à un troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de domaine soient informés des modifications. Afin d’obtenir le meilleur équilibre possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie des sites contrôle la réplication Active Directory en distinguant la réplication qui intervient au sein d’un site et celle qui intervient entre les sites distants. À l’intérieur d’un même site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse. En pratique, vous trouverez et pourrez configurer l’objet de connexion de réplication dans le composant logiciel enfichable Sites et services Active Directory en déployant l’objet contrôleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :

16. La conception de la topologie de sites

Boîte de dialogue d’un objet de connexion de réplication intrasite du composant logiciel enfichable Sites et services Active Directory

566

Les mécanismes de conception : définitions

Une mise à jour de données d’annuaire, la création d’un compte par exemple, déclenche la réplication et les données sont transmises non compressées aux autres contrôleurs de domaine. À l’inverse, on compresse les données dans le cadre d’une réplication entre des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque site collecte et stocke les modifications de l’annuaire et les communique à intervalles planifiés à un contrôleur de domaine d’un autre site.

Affinité des clients
Les contrôleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la présence d’un ou de plusieurs contrôleurs de domaine à l’intérieur du site le plus proche des clients en question. Prenons l’exemple de Puzzmania. Considérez un client du domaine corp.puzzmania.com situé sur le site géographique de Toulouse. Il ne connaît pas son affiliation de site. Il contacte un contrôleur de domaine du site de Nice. En consultant l’adresse IP du client, le contrôleur de Nice détermine le site auquel le client appartient et lui transmet les informations de site afférentes. Il indique au client si le contrôleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande l’enregistrement de ressources de service (SRV) spécifiques au site et trouve donc un contrôleur de domaine sur le site qui est le sien.

16. La conception de la topologie de sites

Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services

Active Directory

567

Chapitre 16

La conception de la topologie de sites

Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilisé pour localiser les contrôleurs de domaine Active Directory. En trouvant un contrôleur de domaine sur son site, le client s’épargne les communications par les liens distants. Mais il est possible qu’il n’en trouve pas. Dans ce cas, un contrôleur de domaine qui possède les connexions de plus faible coût par rapport aux autres sites connectés publiés sur le site du client (enregistre via un enregistrement de ressources SRN spécifique au site dans le DNS). Les contrôleurs de domaine publiés dans le DNS sont ceux du site le plus proche selon ce qui est configuré dans la topologie. Ce processus garantit que chaque site possède un contrôleur de domaine préféré pour l’authentification.

Réplication Sysvol
Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine, c’est-à-dire les objets de stratégie de groupe, les scripts de démarrage et de fermeture ainsi que les scripts d’ouverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrôleur de domaine.
Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com

Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication Service) pour répliquer les modifications apportées au contenu de Sysvol d’un contrôleur de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la planification que vous créez durant la conception de la topologie des sites. 16. La conception de la topologie de sites

DFS (Distributed File System)
Le système de fichiers distribués DFS utilise les informations de site pour diriger un client vers le serveur qui héberge les données requises. Si le service DFS ne trouve pas une copie des données dans le même site que celui du client, il utilise les informations de site de l’annuaire pour déterminer le serveur de fichiers qui possède les données partagées DFS les plus proches du client.

568

Les mécanismes de conception : définitions

Localisation de services
En publiant des services comme les services de fichiers et d’impression dans Active Directory, vous permettrez aux clients de localiser les services qu’ils requièrent dans leur propre site ou dans le site le plus proche. Les services d’impression, par exemple, utilisent l’attribut d’emplacement stocké dans Active Directory pour permettre aux utilisateurs de parcourir le réseau à la recherche d’imprimantes en fonction de leur emplacement, même s’ils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce site apparaissent en résultat.
Figure 16.5 :

Recherche d’imprimantes par emplacement

Les concepts de réplication d’Active Directory
Nous définissons dans ce qui suit les concepts de réplication d’Active Directory.

Les différentes partitions
La base de données Active Directory est divisée de manière logique en plusieurs partitions.
j j j j j

la partition de schéma ; la partition d’annuaire ; la partition de la configuration ; la partition du domaine ; la partition d’application. 16. La conception de la topologie de sites

La partition d’annuaire
Chaque partition est une unité de réplication et possède sa propre topologie de réplication. La réplication est exécutée entre les réplicas des partitions d’annuaire. Tous les contrôleurs de domaine de la même forêt ont au moins deux partitions d’annuaire en commun : celles du schéma et de la configuration. De plus, ils partagent une partition de domaine commune. 569

Chapitre 16

La conception de la topologie de sites

Figure 16.6 : Définition des partitions d’annuaire

La partition de schéma
Chaque forêt possède une seule partition de schéma. Cette partition de schéma est stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les définitions de tous les objets et attributs créés dans l’annuaire, ainsi que les règles qui permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans tous les contrôleurs de domaine de la forêt. C’est pourquoi les objets doivent être conformes aux définitions d’objet et d’attribut du schéma.

La partition de la configuration
Chaque forêt possède une seule partition de configuration. Stockée dans tous les contrôleurs de domaine de la même forêt, la partition de configuration contient les données sur la structure Active Directory de l’ensemble de la forêt, telles que les domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et les services disponibles. Les données de la configuration sont répliquées dans tous les contrôleurs de domaine de la forêt.

La partition de domaine
16. La conception de la topologie de sites Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans chaque contrôleur de domaine d’un domaine donné. Une partition de domaine contient les données sur tous les objets propres au domaine et créés dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les unités d’organisation. Une partition de domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré. Tous les objets de chaque partition de domaine d’une forêt sont stockés dans le catalogue global avec un seul sous-ensemble de leurs valeurs d’attribut.

La partition d’application
Les partitions d’application stockent les données sur les applications dans Active Directory. Chaque application détermine comment elle stocke, classe et utilise ses propres données. Pour éviter toute réplication inutile des partitions d’application, vous pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la 570

Les mécanismes de conception : définitions

différence d’une partition de domaine, une partition d’application ne peut pas stocker les principaux objets de sécurité, tels que les comptes d’utilisateur. De plus, les données contenues dans une partition d’application ne sont pas stockées dans le catalogue global. Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux partitions d’application pour les zones DNS : ForestDNSZones et DomainDNSZones.
j

ForestDNSZones fait partie d’une forêt : tous les contrôleurs de domaine et les serveurs DNS d’une forêt reçoivent un réplica de cette partition. Une partition d’application d’une forêt entière stocke les données de la zone de la forêt. DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette partition. Les partitions d’application stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>.

j

Chaque domaine possède une partition DomainDNSZones, mais il n’existe qu’une partition ForestDNSZones. Aucune donnée DNS n’est répliquée sur le serveur de catalogue global.

Le numéro de séquence de mise à jour (USN)
L’implémentation d’un annuaire implique la mise en place d’un mécanisme afin de gérer le stockage incrémentiel des modifications apportées aux objets de l’annuaire. En effet, le moindre changement de mot de passe doit pouvoir être transmis à tous les contrôleurs de domaine. Ce système doit pouvoir être sélectif en cas de changements portant sur une même propriété d’objet pour n’appliquer que le plus récent. Certains services d’annuaire s’appuient sur une synchronisation en temps réel de tous les contrôleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrôleurs de domaine entre eux, s’avère difficile à gérer. La plus faible variation peut influencer les résultats de la réplication. La réponse à ce problème est le concept de numéro de séquence de mise à jour (USN, Update Sequence Number). Active Directory l’utilise pour assurer une application exacte des changements de l’annuaire. Un USN est une valeur de 64 bits et tous les contrôleurs de domaine en possèdent un. Chaque modification d’une propriété d’objet dans un annuaire (un changement de mot de passe par exemple) entraîne une incrémentation de l’USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette technique, les mises à jour sont plus directes. Prenons l’exemple de Puzzmania : lorsque le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de domaine SNCERCDC02 la réplication des modifications de ce dernier (création d’utilisateurs), il extrait de sa table de référence interne l’USN de SNCERCDC02 le plus récent reçu et ne réclame que les changements intervenus depuis ce numéro. La simplicité de cette opération garantit la justesse du processus. L’intégrité de la réplication est garantie car l’incrémentation d’un USN est dépendante de la réussite d’une mise à jour. Si un problème vient entraver un cycle de réplication, le récepteur concerné recherche toujours une mise à jour à partir de l’USN approprié. 571

16. La conception de la topologie de sites

Chapitre 16

La conception de la topologie de sites

Il est inutile de vous inquiéter des risques éventuels d’épuisement de la réserve d’USN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu’à 18 446 744 073 709 551 616 changements par contrôleur de domaine.

La collision de réplication
Même avec le mécanisme de numéro de séquence de mise à jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania .com réinitialise un mot de passe sur SNCERCDC01 et qu’un autre administrateur réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n’ait eu l’occasion de distribuer sa modification, il y a inévitablement collision. Ce problème est résolu grâce à un numéro de version de propriété (PVN, Property Version Number). Il est appliqué en tant qu’attribut à chaque objet dans Active Directory et est mis à jour et horodaté en séquence chaque fois qu’une modification est apportée à l’objet. Si une collision de réplication se produit, le PVN le plus récent a priorité et le mot de passe associé est affecté à l’utilisateur.

L’objet connexion
Un objet connexion est un objet Active Directory qui représente une connexion de réplication d’un contrôleur de domaine à un autre. Un contrôleur de domaine est un membre d’un unique site et est représenté dans le site par un objet serveur dans Active Directory. Chaque objet serveur possède un objet NTDS Settings enfant qui représente le contrôleur de domaine répliquant dans le site.

16. La conception de la topologie de sites

Figure 16.7 : Objet serveur de type contrôleur de domaine et objet NTDS Settings vus par le

composant logiciel enfichable Sites et services Active Directory 572

Les mécanismes de conception : définitions

L’objet connexion est un enfant de l’objet NTDS Settings du serveur de destination. Pour que la réplication intervienne entre deux contrôleurs de domaine, l’objet serveur de l’un doit avoir un objet connexion qui identifie le serveur source de réplication. Toutes les connexions de réplication d’un contrôleur de domaine sont stockées sous la forme d’objets de connexion sous l’objet NTDS Settings. L’objet connexion identifie le serveur source de réplication, contient une planification de réplication et spécifie un transport de réplication. Le vérificateur de cohésion de connaissances (KCC, Knowledge Consistency Checker) crée automatiquement des objets de connexion, qui peuvent aussi être créés manuellement. À chaque fois que vous modifiez un objet de connexion créé par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.

Les protocoles de transport de réplication
Active Directory utilise la technologie d’appel de procédure distante RPC (Remote Procedure Call) sur le protocole IP pour transférer les données de réplication entre les contrôleurs de domaine. Les réplications intersite et intrasite se servent de RPC sur IP. Pour assurer la sécurité des données en transit, la réplication RPC sur IP fait appel à la fois à l’authentification (protocole Kerberos v5) et au cryptage des données. Si aucune connexion directe ou IP fiable n’est disponible, la réplication intersite peut être configurée pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalité de réplication SMTP est limitée et nécessite une autorité de certification d’entreprise. SMTP ne peut être utilisé que pour répliquer les partitions de configuration, de schéma et d’application de l’annuaire ; il ne prend pas en charge la réplication des partitions de domaine.

Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des topologies de réplications intrasite et intersite séparées. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont déplacés d’un site à un autre, des modifications de coûts, des planifications. KCC et ISTG Le KCC crée des objets de connexion afin de relier les contrôleurs de domaine au sein d’une topologie commune. Il comprend deux composants : un contrôleur intrasite KCC, qui se charge de la réplication à l’intérieur d’un site, et le générateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les objets de connexion entre sites.

16. La conception de la topologie de sites 573

Chapitre 16

La conception de la topologie de sites

Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer jusqu’à 5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows Server 2003. Sur chaque contrôleur de domaine, le KCC crée des itinéraires de réplication en créant des objets de connexion entrante unidirectionnelle qui définissent des connexions depuis d’autres contrôleurs de domaine. Pour les contrôleurs de domaine dans le même site, le KCC crée des objets de connexion de manière automatique. Lorsque vous possédez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de créer automatiquement les connexions intersites.

Fonctionnalité de basculement
Les sites garantissent que les données de réplication sont routées même en cas de pannes réseau et de pannes des contrôleurs de domaine. Le KCC s’exécute à des intervalles spécifiés afin d’ajuster la topologie de réplication pour l’adapter aux modifications qui interviennent dans Active Directory (par exemple, en cas d’extension de la société, lorsque de nouveaux contrôleurs de domaine sont ajoutés ou lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des connexions existantes afin de déterminer si des connexions ont cessé de fonctionner. Si une connexion ne fonctionne pas à cause d’un contrôleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de réplication (s’il en existe) afin de s’assurer que la réplication peut s’opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC crée automatiquement des connexions de réplication avec les contrôleurs de domaine d’un autre site.

Le sous-réseau
16. La conception de la topologie de sites Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur proximité physique sur le réseau. D’un point de vue Active Directory, les objets de sous-réseau identifient les adresses réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les sites.

574

Les mécanismes de conception : définitions

Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services

Active Directory

Les sites
Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions réseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer l’accès et la réplication Active Directory afin d’optimiser l’utilisation du réseau physique. Les sites sont représentés dans Active Directory sous la forme d’objets de site. Les objets de site sont des ensembles de sous-réseaux et chaque contrôleur de domaine dans la forêt est associé à un site Active Directory en fonction de son adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites.

16. La conception de la topologie de sites

Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory

575

Chapitre 16

La conception de la topologie de sites

Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour établir une connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory sous la forme d’objets de lien de sites. Un tel objet représente un ensemble de sites qui peuvent communiquer à coût uniforme via un transport intersite spécifié.

Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services

Active Directory Tous les sites contenus dans un lien sont considérés comme connectés au sein d’un même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que les contrôleurs de domaine dans un site puissent répliquer les modifications de l’annuaire vers les contrôleurs de domaine d’un autre site. Étant donné que les liens de sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau physique durant la réplication, vous n’avez pas besoin de créer des liens redondants pour améliorer l’efficacité de la réplication Active Directory. Lorsque deux sites sont connectés par un lien, le système de réplication crée automatiquement des connexions entre des contrôleurs de domaine spécifiques dans chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut désigner plusieurs contrôleurs de domaine par site hébergeant la même partition d’annuaire comme candidat au rôle de serveur tête de pont. Les connexions de réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête

16. La conception de la topologie de sites 576

Les mécanismes de conception : définitions

de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut, le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajoutés au site. Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la charge à chaque fois qu’une modification intervient dans la topologie des sites ou que le nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les planifications de manière que la charge de réplication sortante pour chaque contrôleur de domaine soit répartie de façon égale au fil du temps. Interrogez l’aide de l’utilitaire ADLB afin d’obtenir ses différentes options.

Pont de liaison de sites
Un pont de liaison de sites est un objet Active Directory qui représente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrôleurs de domaine qui ne sont pas directement connectés au moyen d’un lien de communication d’opérer des réplications intersites. En général, un pont de liaison correspond à un routeur (ou à un ensemble de routeurs) d’un réseau IP. En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en déployant le conteneur Inter-Site Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur Action et Nouveau pont entre liens de sites.
Figure 16.11 : Création d’un pont de liaison de sites à l’aide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites

Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent certains sites en commun. Si ce comportement est désactivé, chaque lien de sites 577

Chapitre 16

La conception de la topologie de sites

représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent être traités comme un unique itinéraire sont représentés sous la forme de ponts de liaison de sites. Chaque pont représente un environnement de communication isolé pour le trafic réseau. Les ponts de liaison permettent de représenter logiquement la connectivité physique transitive entre les sites. Chaque pont permet au KCC d’utiliser n’importe quelle combinaison de liens de sites inclus pour déterminer l’itinéraire le moins coûteux lorsqu’il s’agit d’interconnecter des partitions d’annuaires conservées dans ces sites. Le pont ne fournit lui-même aucune connectivité aux contrôleurs de domaine. S’il est supprimé, la réplication sur les liens de sites combinés se poursuit jusqu’à ce que le KCC supprime les liens. Les ponts ne sont nécessaires que si un site contient un contrôleur de domaine hébergeant une partition d’annuaire qui n’est pas également hébergée par un contrôleur de domaine dans un site adjacent. Les sites adjacents sont définis comme étant inclus dans un unique lien de sites. Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie intersite (ISTG, Intersite Topology Generator), le pont n’implique pas qu’un contrôleur de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la partition d’annuaire à répliquer ; un pont ne serait alors pas requis. Le coût de chaque lien de sites est additionné jusqu’à former une somme totale pour le chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un contrôleur hébergeant la partition d’annuaire et s’il n’existait aucun lien de coût plus faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d’annuaire, deux sites déconnectés configureraient des connexions de réplication pour le contrôleur de domaine intermédiaire et n’utiliseraient pas le pont.

Transitivité des liens de sites
16. La conception de la topologie de sites Par défaut, tous les liens de sites sont transitifs. Lorsqu’ils sont reliés par un pont et que les planifications se chevauchent, le KCC crée des connexions de réplication qui déterminent les partenaires de réplication intersite des contrôleurs de domaine. Dans ce contexte, les sites sont connectés, non pas directement par des liens, mais de manière transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter n’importe quel site à n’importe quel autre via une combinaison de liens. En général, pour un réseau complètement routé, vous n’avez pas besoin de créer de ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens de sites pour un transport spécifique appartiennent implicitement à un unique pont. La mise en pont par défaut des liens de sites survient automatiquement et aucun autre objet Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site

578

Les mécanismes de conception : définitions

disponible dans les propriétés des conteneurs de transport intersite IP et SMTP implémente les ponts de liaison de sites.

Serveur de catalogue global
Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations concernant tous les objets de la forêt, mais pas les attributs, afin que les applications puissent effectuer des recherches dans l’annuaire Active Directory sans avoir à se référer à des contrôleurs de domaine spécifiques qui stockent les données requises. Comme tous les contrôleurs de domaine, le serveur de catalogue global stocke des réplicas complets et enregistrables du schéma et de la configuration des partitions d’annuaire ainsi qu’un réplica complet et enregistrable de la partition d’annuaire du domaine qui l’héberge. Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l’aide du composant logiciel enfichable Sites et services et des propriétés de l’objet NTDS Settings de l’objet contrôleur de domaine.
Figure 16.12 : Configuration du serveur de catalogue global à l’aide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites

Mise en cache de l’appartenance aux groupes universels
Un contrôleur de domaine peut mettre en cache les informations d’appartenance aux groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003, vous pouvez activer cette fonctionnalité à l’aide du composant logiciel enfichable Sites et services Active Directory, via les propriétés de l’objet NTDS Settings du site.

579

Chapitre 16

La conception de la topologie de sites

Figure 16.13 : Configuration de la mise en cache de l’appartenance aux groupes universels à l’aide du composant logiciel enfichable Sites et services Active Directory

La mise en cache de l’appartenance aux groupes universels évite qu’un serveur de catalogue global soit requis dans chaque site d’un domaine. L’utilisation de la bande passante réseau est ainsi minimisée car il n’est pas nécessaire qu’un contrôleur de domaine réplique tous les objets situés dans la forêt. Les temps d’authentification sont également réduits, car les contrôleurs de domaine qui authentifient n’ont pas toujours besoin d’accéder à un catalogue global pour obtenir des informations d’appartenance aux groupes universels.

16.2. Collecter les informations sur le réseau
16. La conception de la topologie de sites Cette étape, très importante, permet de se faire une meilleure idée de ce qui va être mis en place par la suite et de repérer des points de contention ou difficultés dues au réseau physique. Pour synthétiser ces informations, vous devez…
j

Créer une carte des emplacements : il s’agit de lister les sites géographiques et les groupes d’ordinateurs sur un réseau local dans le but de schématiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra d’attirer l’attention sur les sites reliés par des lignes bas débit, par exemple. Lister les sous-réseaux IP à chaque emplacement : il s’agit de relever les sous-réseaux IP et les masques associés afin de déterminer la configuration des sites dans Active Directory.

j j

580

Prévoir l’emplacement des contrôleurs de domaine

Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,

Toulouse, Londres et Nice R&D pour Puzzmania
Site géographique Nice Toulouse Paris Londres Nice R&D Numéro de sous-réseau 1 2 3 4 5 Adresse du sousréseau 172.100.0.0 172.100.16.0 172.100.32.0 172.100.48.0 172.100.64.0 Adresses IP des machines 172.100.0.1 à 172.100.15.254 172.100.16.1 à 172.100.31.254 172.100.32.1 à 172.100.47.254 172.100.48.1 à 172.100.63.254 172.100.64.1 à 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255

Active Directory associe chaque machine à un site spécifique en comparant l’adresse IP de la machine avec les sous-réseaux associés à chaque site. Lorsque vous ajoutez des contrôleurs à un domaine, Active Directory examine également leur adresse IP et les place dans le site approprié. Ce processus est automatique.
j

Lister les domaines et le nombre d’utilisateurs pour chaque emplacement : cette information est un des facteurs qui détermine le placement des contrôleurs de domaine et des serveurs de catalogue global.

L’association des informations sur les sous-réseaux IP, la bande passante et les emplacements va déterminer la configuration de réplication.

16.3. Prévoir l’emplacement des contrôleurs de domaine
Grâce aux informations recueillies par la collecte des informations sur le réseau, vous pourrez déterminer à quel endroit il sera judicieux d’installer un contrôleur de domaine. 16. La conception de la topologie de sites Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rôles dévolus aux contrôleurs de domaine :
j j j j

les contrôleurs de domaine racine de la forêt ; les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines enfants) ; les contrôleurs de domaine qui sont aussi serveurs de catalogue global ; les contrôleurs de domaine ayant des rôles maîtres d’opération particuliers.

D’une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa sécurité physique. 581

Chapitre 16

La conception de la topologie de sites

Prévoir l’emplacement des contrôleurs de domaine racine de la forêt
Les contrôleurs de domaine racine de la forêt sont cruciaux dans l’infrastructure. Sans eux, il est difficile d’aller plus loin. Ils doivent donc être situés plutôt à des emplacements qui hébergent des centres de données ou des emplacements principaux de la société, là où se trouvent les personnes les plus compétentes. Ces personnes doivent avoir mis en place et décrit des procédures de sauvegarde et de restauration d’Active Directory éprouvées.

Pour plus d’informations sur les techniques de sauvegarde et de restauration d’Active Directory, consultez le chapitre La maintenance d’Active Directory. Les contrôleurs de domaine racine de la forêt doivent être placés sur un site géographique qui possède des liens distants suffisamment rapides pour répliquer correctement les données d’annuaire vers les autres sites. Les lignes d’accès distants vers les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles. Les administrateurs de l’infrastructure de Puzzmania décident donc, d’après ces caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com sur le site géographique de Nice. C’est à cet endroit que se trouvent les personnes les plus compétentes et aussi les locaux les plus sécurisés, notamment en raison de l’activité de recherche et de développement. Le site de Nice est en outre un point névralgique du réseau. Les contrôleurs de domaine en question s’appellent SNCERCDC01 et SNCERCDC02.

Prévoir l’emplacement des contrôleurs de domaine régionaux
Les contrôleurs de domaine régionaux s’occupent des domaines fils du domaine racine de la forêt.
Figure 16.14 : Schéma de représentation de la forêt puzzmania.com

16. La conception de la topologie de sites 582

Prévoir l’emplacement des contrôleurs de domaine

Ici, corp.puzzmania.com et rd.puzzmania.com sont considérés comme des domaines régionaux contenant des contrôleurs de domaine régionaux. Il faut prévoir de les positionner, pour chaque domaine représenté, aux emplacements principaux. Limitez leur nombre autant que possible pour réduire les coûts. Le fait d’éliminer des contrôleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent qu’une poignée de personnes) réduit les coûts de maintenance des contrôleurs de domaine à distance. Combien existe-t-il de contrôleurs de domaine de secours ? Outre le placement de ces contrôleurs de domaine, posez-vous la question du nombre de contrôleurs de domaine de secours dont vous avez besoin pour un domaine donné. Êtes-vous prêt à n’avoir qu’un seul contrôleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problème ? Préférez-vous placer un, voire deux contrôleurs de domaine de secours, quitte à ce qu’ils soient sur des sites distants, pour modérer l’impact d’un arrêt d’un contrôleur de domaine, même si les authentifications sont plus lentes, et éviter une éventuelle indisponibilité totale du domaine ? À vous de faire la part des choses en vous aidant des informations collectées sur le réseau et en tenant compte également du nombre d’utilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le déploiement d’applications. Quel sera l’impact sur les postes clients en cas d’indisponibilité du domaine ? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre démarche.

16. La conception de la topologie de sites

Figure 16.15 : Prévoir l’emplacement des contrôleurs de domaine régionaux

583

Chapitre 16

La conception de la topologie de sites

En recoupant les informations, les administrateurs de l’infrastructure des domaines corp.puzzmania.com et rd.puzzmania.com décident de placer les contrôleurs de domaine de la façon suivante…
j

Pour corp.puzzmania.com : trois contrôleurs seront installés et configurés, un dans chaque site géographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrôleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on réduit les coûts en prenant le risque de ne mettre qu’un contrôleur par site géographique et de subir des ralentissements, et la faisabilité car on tient compte du nombre d’utilisateurs et de ressources. Pour rd.puzzmania.com : deux contrôleurs seront installés et configurés sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront sécurisés (il y en aura deux pour éviter les arrêts de service et ils seront installés dans une salle informatique sécurisée, et donc située à Nice). En outre, les utilisateurs qui s’y connecteront sont situés à Nice.

j

Prévoir l’emplacement des serveurs de catalogue global
Les serveurs de catalogue global facilitent les requêtes d’authentification des utilisateurs et les recherches portant sur la forêt entière. Certaines applications, comme Exchange et les applications utilisant DCOM (Distributed COM), nécessitent un accès rapide aux serveurs de catalogue global afin de répondre aux transactions utilisateurs sans effet de latence. Cela signifie qu’il faut au moins un serveur de catalogue global sur le même site que le serveur applicatif. Pour des emplacements qui incluent moins de cent utilisateurs et peu d’utilisateurs itinérants ou d’applications qui requièrent un serveur de catalogue global, vous pouvez activer la mise en cache de l’appartenance aux groupes universels. Assurez-vous que les serveurs de catalogue global ne se trouvent pas à plus d’un saut de réplication du contrôleur de domaine sur lequel la mise en cache de l’appartenance aux groupes universels est activée, de manière que les informations de groupe universel dans le cache puissent être actualisées. 16. La conception de la topologie de sites Afin de déterminer à quel emplacement vous devez mettre vos serveurs de catalogue global ou si vous devez activer la mise en cache de l’appartenance aux groupes universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16). Revenons à Puzzmania. C’est le nombre d’applications nécessitant un accès rapide aux serveurs de catalogue global qui détermine combien et quels contrôleurs de domaine doivent être configurés comme serveurs de catalogue global :
j j j j

SNCERCDC01 (racine puzzmania.com) ; SNCECPDC01 (corp.puzzmania.com) ; SPARCPDC01 (corp.puzzmania.com) ; SNCERDDC01 (rd.puzzmania.com).

584

Prévoir l’emplacement des contrôleurs de domaine

16. La conception de la topologie de sites

Figure 16.16 : Prévoir l’emplacement des serveurs de catalogue global

Déterminer l’emplacement des rôles maîtres d’opération
Trois rôles maîtres d’opération existent dans chaque domaine :
j

L’émulateur de contrôleur de domaine principal (CPD) traite toutes les requêtes de réplication provenant de contrôleurs de domaine secondaires Windows NT 4.0

585

Chapitre 16

La conception de la topologie de sites

Server et toutes les mises à jour de mots de passe pour les clients qui n’exécutent pas le logiciel client Active Directory (Windows 95 par exemple).
j

Le maître d’ID relatifs alloue des ID relatifs à tous les contrôleurs de domaine pour garantir que tous les principaux de sécurité (les identifiants de sécurité) possèdent un identifiant unique. Le maître d’infrastructure d’un domaine conserve une liste des principaux de sécurité d’autres domaines qui sont membres de groupes dans son propre domaine.

j

Deux rôles maîtres d’opération existent dans chaque forêt :
j j

Le maître de schéma régit les modifications du schéma. Le maître d’attribution de noms de domaine ajoute et supprime des domaines à la forêt. Maître de schéma Avant d’ouvrir le composant logiciel enfichable Schéma Active Directory, qui permet d’attribuer le rôle maître de schéma, n’oubliez pas d’enregistrer la DLL schmmgmt .dll de la façon suivante : cliquez sur Démarrer/Exécuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schéma Active Directory à condition d’avoir les droits nécessaires.

Les détenteurs des rôles maîtres d’opération sont désignés automatiquement lorsque le premier contrôleur de domaine dans un domaine est créé. Les deux rôles de niveau forêt sont attribués au premier contrôleur de domaine créé dans la forêt et les trois rôles de niveau domaine sont attribués au premier contrôleur de domaine créé dans le domaine. Désignez ces contrôleurs de domaine, puis ceux qui seront maîtres d’opération remplaçants. Assurez-vous que le maître d’opérations remplaçant est un partenaire de réplication direct du maître d’opération titulaire. Dans un modèle de forêt comprenant des domaines père et fils, veillez à ce que le contrôleur maître d’infrastructure ne soit pas également serveur de catalogue global. Une pratique courante est de placer, dans un domaine donné, tous les rôles maîtres d’opération sur le premier contrôleur installé et de désigner le contrôleur de domaine de secours comme serveur de catalogue global. C’est un choix possible. Dans un modèle à domaine unique, laissez le rôle maître d’infrastructure au premier contrôleur de domaine et configurez tous les autres, même le premier, comme serveurs de catalogue global. En effet, le rôle de maître d’infrastructure est sans importance dans un modèle à domaine unique parce que les principaux de sécurité des autres domaines n’existent pas. La répartition des maîtres d’opération est intéressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de l’équilibre de charge et des bonnes coutumes de placement des maîtres d’opération. Voici un tableau synthétisant les rôles tenus par les contrôleurs de domaine de la forêt puzzmania.com.

16. La conception de la topologie de sites 586

Concevoir des sites

Tableau 16.2 : Emplacement des maîtres d’opération dans la forêt puzzmania.com
Localisation Rôles maîtres d’opération de la forêt Contrôleur de domaine Maître de schéma Rôles maîtres d’opération du domaine Maître d’ID relatifs (RID) Oui Non Non Non Oui Oui Non Maître d’infrastructure Paramètre de site Serveur de catalogue global Oui Non Oui Non Oui Oui Non

Domaine

Maître Émulateur d’attribution CPD de noms de domaine Non Oui Non Non Non Non Non Oui Non Oui Non Non Oui Non

puzzmania.com SNCERCDC01 SNCERCDC02 corp.puzzmania SNCECPDC01 .com STLSCPDC01 SPARCPDC01 rd.puzzmania .com SNCERDDC01 SNCERDDC02

Non Oui Non Non Non Non Non

Non Oui Non Oui Non Non Oui

16.4. Concevoir des sites
Une fois les contrôleurs de domaine définis et placés sur le réseau, vous devez maintenant en créer les sites dans Active Directory. Pour cela, respectez les conseils suivants :
j

Créez des sites pour tous les emplacements dans lesquels vous prévoyez de placer des contrôleurs de domaine (utilisez les informations récoltées lors de la phase de prévision des emplacements des contrôleurs de domaine). Créez des sites pour les emplacements qui incluent des serveurs exécutant des applications qui requièrent qu’un site soit créé (par exemple DFS). Si un site n’est pas requis, ajoutez le sous-réseau associé à un site pour lequel l’emplacement possède la vitesse et la bande passante disponible intersite maximales. 16. La conception de la topologie de sites

j j

C’est à l’aide du composant logiciel enfichable Sites et services Active Directory que vous créerez les sites.

Pour plus d’informations sur les opérations pratiques à réaliser à l’aide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre L’administration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration appliquée à Puzzmania est très simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont créés. Même s’il n’y a aucun contrôleur de domaine à Londres, cela ne coûte pas grand-chose d’anticiper l’avenir.

587

Chapitre 16

La conception de la topologie de sites

16.5. Concevoir les liens de sites
Maintenant que les contrôleurs de domaine sont positionnés et que les sites sont créés dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de manière que lesdits contrôleurs dans chaque site puissent répliquer les modifications d’Active Directory. En vous aidant des informations collectées sur le réseau, notamment de la liste des liens de communication et de la bande passante, "superposez" les sites géographiques, les liens de communication, les sites Active Directory et déduisez-en les sites à relier et les liens à mettre en place. Une fois les liens de sites positionnés, vous devez les pondérer. En effet, d’un point de vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique à première vue à n’importe quel autre lien. Or, lorsque vous superposez les liens de sites et les liens de communication entre les sites géographiques, vous vous apercevez immédiatement de leurs différences (certains sont à 56 ko et d’autres à 4 Mo par exemple). Il faut en fait tenir compte de la notion de coût dans Active Directory afin de pondérer les liens de sites. Comment déterminer le coût d’un lien de sites ? Il faut savoir que le coût permet de valoriser les connexions peu coûteuses (rapides) par rapport aux connexions plus coûteuses (lentes) dans le but d’encombrer le moins possible les liens réseau lents pendant les requêtes clients ou la réplication d’Active Directory. Par exemple : un contrôleur de domaine d’un site qui est relié à plusieurs autres sites par des liens à débits différents répliquera en priorité les informations vers les contrôleurs de domaine situés sur les sites où le lien de sites est le moins coûteux. Pour savoir comment affecter un coût à un lien de sites par rapport aux caractéristiques du lien de communication, aidez-vous du tableau des valeurs de coût suivant :
Tableau 16.3 : Tableau des valeurs de coût en fonction de la bande passante disponible Bande passante disponible (Ko/s) 9,6 19,2 38,4 56 64 128 256 512 1024 2048 4096 Coût 1042 798 644 586 567 486 425 378 340 309 283

16. La conception de la topologie de sites 588

Concevoir les liens de sites

Figure 16.17 : Affectation du coût d’un lien de sites à l’aide du composant logiciel enfichable Sites et services Active Directory

Des liens de sites sont donc créés entre les différents sites de l’infrastructure Puzzmania. En correspondance avec le schéma réseau, un coût de 283 est paramétré sur les liens Nice-Paris et Nice-Toulouse. Un coût de 309 est paramétré sur le lien Toulouse-Paris. L’étape logique qui vient après la détermination du coût du lien de sites est la planification des horaires de réplication entre les deux sites reliés. Vous avez la possibilité de déterminer les heures auxquelles la réplication va se dérouler en fonction de la qualité du lien de sites (et par extension, de la qualité du lien de communication). Pour régler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.
Figure 16.18 : Réglage des horaires de réplication à l’aide du composant logiciel enfichable Sites et services Active Directory

16. La conception de la topologie de sites 589

Chapitre 16

La conception de la topologie de sites

En fonction des heures travaillées, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la réplication de 7 heures à 12 heures et de 14 heures à 20 heures. Cela permettra de réserver le WAN à d’autres usages.

16.6. Concevoir les ponts de liaison de sites
Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de sites ou plus. Il active la transitivité entre les liens. Chaque lien dans un pont doit avoir un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut calculer le coût entre les sites dans le lien et les sites dans les autres liens du pont. Par défaut, tous les liens de sites sont transitifs. Le paramètre Relier tous les liens du site est en effet activé par défaut. Créer un pont correspond à désactiver cette option pour certains liens de sites et à activer la transitivité pour les liens de sites que l’on sélectionne. Dans quels cas devez-vous créer un pont ?
j j

Pour pallier le fait que le réseau IP n’est pas complètement routé. Pour contrôler le flux de réplication d’Active Directory, soit parce que la réplication s’effectue au travers d’un pare-feu, soit parce que vous voulez contrôler le basculement de la réplication lors d’une panne d’un contrôleur de domaine.

16. La conception de la topologie de sites

Figure 16.19 : Schéma de pont de liaison de sites

590

En résumé

Dans cet exemple, ce pont empêchera la réplication des contrôleurs de domaine des sites A, C et D vers le reste du réseau en cas de panne du contrôleur du site B. L’infrastructure de Puzzmania n’est pas assez complexe pour nécessiter la création de ponts de liaison de sites.

16.7. En résumé
Ce chapitre aborde les aspects théoriques de la conception de la topologie de sites. Il présente des définitions, une méthodologie mais également des règles incontournables de bon fonctionnement. Si vous respectez cette méthodologie et ces règles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la réplication des informations d’annuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcément plusieurs solutions, plusieurs configurations qui répondront correctement à vos besoins en respectant la méthodologie et les règles. D’autres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la réduction des coûts. En ce sens, il est intéressant de mettre en parallèle les règles de conception et l’étude de cas car, durant la lecture de ce chapitre, vous vous êtes sûrement dit que vous auriez procédé autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranché, ils ont fait des compromis et vous serez amené à en faire de votre côté.

16. La conception de la topologie de sites 591

Chapitre 17

La conception et l’implémentation de la structure des unités d’organisation
17.1 17.2 17.3 17.4 Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 . . . . 598 . . . . 601 . . . . 611

Planifier la structure administrative

L

es unités d’organisation sont les conteneurs (des sortes d’espaces de classement) du service d’annuaire Active Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Du fait de la grande flexibilité dans la création des unités d’organisation et de leur imbrication, ces conteneurs peuvent refléter une structure organisée et, par extension, les structures hiérarchique et logique de votre entreprise. Vous pouvez gérer la configuration et l’utilisation de comptes et de ressources en fonction de votre modèle d’organisation. Vous êtes libre, par exemple, d’utiliser les unités d’organisation pour appliquer automatiquement des stratégies de groupe définissant des paramètres pour les comptes d’ordinateur et d’utilisateur dans Active Directory en accord avec la politique d’entreprise (sécurité, applications, droits). Le cycle de vie des unités d’organisation inclut quatre phases :

17. La conception et l’implémentation de la structure des UO

j j j j

La planification : durant cette phase, vous déterminez quelles unités d’organisation vous allez créer et comment vous en déléguerez le contrôle administratif. Le déploiement : vous créez la structure d’unités d’organisation en fonction de leur plan. La maintenance : après avoir créé la structure, vous pouvez renommer, déplacer ou modifier les unités d’organisation créées en fonction des besoins de l’organisation. La suppression : dans Active Directory, tous les objets, y compris les unités d’organisation, occupent de l’espace sur le contrôleur de domaine qui les héberge. Lorsque des unités d’organisation ne sont plus requises, vous devez les supprimer.

17.1. Planifier la structure administrative
Cette section explique comment concevoir la structure administrative de l’infrastructure. Elle montre comment collecter les données nécessaires et fournit des instructions à suivre. En règle générale, la conception de la structure administrative de l’infrastructure est basée sur la structure d’administration du service informatique de l’entreprise. La technologie (les unités d’organisation) se met au service des besoins (le service informatique de l’entreprise qui comprend les hommes et les processus). L’un des points-clés concerne la conception d’une structure d’unités d’organisation. Par exemple, une structure d’unités d’organisation bien conçue permet aux administrateurs de déléguer leur autorité, ce qui allège leur charge de travail par rapport à une administration centralisée. Mais cette délégation n’est possible que si le découpage de l’administration des objets est en adéquation avec les rôles et les responsabilités de la personne à qui l’on délègue cette administration.

La collecte des données
Vous devez examiner les éléments essentiels de votre structure d’annuaire et de votre service informatique, puis collecter les informations utiles pour concevoir une nouvelle structure administrative. Voici les bonnes questions à vous poser pour y arriver. 595

Chapitre 17

La conception et l’implémentation de la structure des UO

17. La conception et l’implémentation de la structure des UO

Examen de la structure d’annuaire existante
Comprendre comment et pourquoi la structure d’annuaire existante a été créée vous aidera à concevoir une structure administrative en adéquation avec vos besoins. Utilisez les données fournies en réponse aux questions suivantes pour votre réflexion.
j

Quelles sont les raisons qui justifient la structure d’annuaire actuelle ? Par exemple, quels sont les liens avec le découpage en sites physiques ? Avec l’enjeu d’entreprise ? La structure d’annuaire est-elle évolutive ? Quelles personnes administrent actuellement la forêt et les domaines ? Leurs rôles doivent-ils être maintenus ? Qui sont les administrateurs de service actuels ? Le nombre de personnes remplissant ce rôle est-il suffisant ? Les responsabilités de ces personnes doivent-elles rester les mêmes ?

j j j

Examen des ressources de l’organisation
L’identification et la catégorisation des ressources sont un aspect essentiel dans la conception d’une structure administrative. La collecte d’informations sur les ressources vous permet de concevoir une structure englobant tous les types de ressources. Par exemple, vous pouvez créer une unité d’organisation qui contient tous les ordinateurs portables des commerciaux. Prenez en compte les informations suivantes sur les ressources de votre organisation :
j

Le matériel : identifiez les serveurs, les ordinateurs, les portables, les imprimantes, etc. Veillez à inclure la fonction de chaque équipement, son emplacement physique et la quantité de chaque équipement. Consignez certains détails importants sur les équipements. Pour des imprimantes par exemple, indiquez si elles sont locales ou reliées au réseau. Les rôles professionnels : consignez tous les rôles professionnels (par exemple, commercial) et décrivez les tâches associées à chacun d’entre eux. Déterminez quels rôles présentent des exigences particulières en matière d’administration. Les groupes : identifiez tous les groupes et décrivez-les.

j

j

Examen des ressources administratives
Pour créer une structure administrative efficace, vous devez identifier et catégoriser les ressources de votre entreprise selon leur fonction administrative. À partir des informations collectées, déterminez si la structure d’unités organisation est basée sur le rôle professionnel, sur la fonction administrative ou sur les deux. Collectez les informations relatives aux thèmes suivants :

596

Planifier la structure administrative

Les rôles administratifs
Parmi les rôles suivants, déterminez ceux qui existent actuellement dans votre organisation :
j j j

17. La conception et l’implémentation de la structure des UO

Les administrateurs de rôles : administrateurs du administrateurs des services, administrateurs des données.

support

technique,

Les administrateurs de groupes fonctionnels : administrateurs de serveurs, d’imprimantes, de bureaux. Les administrateurs d’emplacements : administrateurs de sites distants.

Les contraintes pour l’administration
Posez-vous les questions suivantes :
j j j

Quelles personnes ont besoin de créer, de modifier, de gérer et de supprimer des comptes d’utilisateurs ? Quelles personnes ont besoin de gérer les ressources de fichiers et de dossiers, y compris les autorisations associées ? Quelles personnes ont besoin de gérer la stratégie de groupe ?

Les modèles administratifs informatiques
Un modèle administratif informatique définit les personnes chargées de gérer des ressources informatiques spécifiques dans le réseau d’une entreprise, ainsi que le niveau de contrôle exercé par chaque administrateur. Si vous arrivez à établir un parallèle entre un modèle administratif prédéfini et votre structure administrative lorsque vous concevez une structure d’unités d’organisation, vous êtes sur la bonne voie. Nous allons décrire dans ce qui suit les différents types de modèles administratifs.

Le modèle Informatique centralisée
Le service informatique de l’entreprise ne fait appel qu’à une seule personne. Elle est responsable de tous les services réseau et informatiques, mais quelques tâches quotidiennes peuvent être déléguées à certains groupes.

Le modèle Informatique centralisée avec administration décentralisée
Le service informatique utilise une gestion distribuée où le contrôle est réparti entre plusieurs emplacements. Une équipe informatique principale centralisée est responsable de l’administration de l’infrastructure, mais elle délègue des tâches aux administrateurs informatiques situés sur les sites distants, lesquels assurent le support technique à leurs utilisateurs. 597

Chapitre 17

La conception et l’implémentation de la structure des UO

17. La conception et l’implémentation de la structure des UO

Le modèle Informatique décentralisée
Ce modèle permet à plusieurs services de l’entreprise de choisir le modèle informatique qui répond le mieux aux besoins de chacun d’entre eux. Il peut se composer de plusieurs groupes d’administrateurs informatiques avec des objectifs et des besoins divers. Pour chaque mise à jour ou installation majeure affectant toute l’entreprise, par exemple la mise en place de la messagerie à l’échelle de l’entreprise, les groupes d’administrateurs informatiques doivent travailler ensemble pour implémenter les modifications.

Le modèle Informatique externalisée
Les entreprises externalisent tout ou partie de leur service informatique. Ce modèle accroît les risques d’intrusion du fait de droits d’accès incomplètement maîtrisés. Il faut redoubler d’efforts sur la sécurité lors de la mise en place de ce modèle.

17.2. Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation
Après avoir déterminé le meilleur modèle administratif pour votre entreprise, vous devez structurer ce modèle pour qu’il reflète la manière dont l’entreprise gère ses ressources informatiques. Ces ressources comprennent des utilisateurs, des ordinateurs, des groupes, des imprimantes et des fichiers partagés. Cette structure montre comment sont organisés les personnes ou les groupes chargés de gérer des ressources spécifiques.
j

L’examen de la structure du modèle administratif vous permettra de déterminer comment faire en sorte que la conception des unités d’organisation reflète la structure du service informatique et la structure de gestion des ressources. Lorsque vous concevez une structure d’unités d’organisation, veillez à ce qu’elle puisse prendre en charge les évolutions et la croissance de l’organisation. Les modifications de l’organisation ne doivent pas affecter la structure d’unités d’organisation.

j

Voici des modèles de structure d’unités d’organisation auxquels peut correspondre votre modèle administratif. Ils vous aideront à concevoir la meilleure structure d’unités d’organisation pour votre entreprise. Détaillons les cinq modèles de structure d’unités d’organisation les plus fréquemment rencontrés.

Le modèle basé sur l’emplacement
Description
Vous pouvez organiser vos unités d’organisation en fonction de leur emplacement aux niveaux supérieurs de l’arborescence si le service informatique de l’entreprise est centralisé et si l’administration du réseau est distribuée géographiquement. 598

Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation

Avantage
j j

17. La conception et l’implémentation de la structure des UO

Résiste aux réorganisations de l’entreprise. Accepte les fusions et les expansions.

Inconvénient
j

Risque éventuel pour la sécurité : si un emplacement inclut plusieurs divisions ou services, une personne ou un groupe possédant l’autorité administrative sur un domaine ou une unité d’organisation peut également posséder cette autorité sur les domaines ou les unités d’organisation enfants. Nécessite des administrateurs réseau à chaque emplacement.

j

Le modèle basé sur l’organisation
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de l’arborescence par département ou par service de l’entreprise (par exemple, le service des ressources humaines) pour que chaque service ait son propre groupe informatique.

Avantage
j j

Conserve l’autonomie des services de l’entreprise. Accepte les fusions, les acquisitions et les expansions de l’entreprise.

Inconvénient
j j

Impact possible sur la réplication d’Active Directory. Ne résiste pas aux réorganisations de l’entreprise.

Le modèle basé sur la fonction
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de l’arborescence par fonction, si le service informatique est décentralisé mais s’il base ses modèles administratifs sur les fonctions professionnelles au sein de l’entreprise. Ce modèle est idéal pour les petites entreprises où les responsabilités professionnelles couvrent plusieurs domaines de compétence de l’entreprise. 599

Chapitre 17

La conception et l’implémentation de la structure des UO

17. La conception et l’implémentation de la structure des UO

Du fait de la spécificité du domaine rd.puzzmania.com, ce modèle basé sur la fonction, dans ce cas la recherche et le développement, est le mieux adapté aux contraintes.

Avantage
j

Insensible aux réorganisations de l’entreprise.

Inconvénient
j j

Impact possible sur la réplication d’Active Directory. Il peut être nécessaire de créer des couches supplémentaires dans la hiérarchie des unités d’organisation pour prendre en charge l’administration des utilisateurs, des imprimantes, des serveurs et des partages réseau.

Le modèle hybride basé sur l’emplacement, puis sur l’organisation
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la hiérarchie selon leur emplacement, puis organiser les unités d’organisation situées plus bas dans la hiérarchie selon l’organisation. En ce qui concerne Puzzmania, ce modèle est appliqué pour le domaine corp .puzzmania.com, qui contient le plus grand nombre d’objets utilisateurs et ordinateurs. En effet, comme le domaine est éclaté sur trois sites géographiques qui ont des rôles particuliers, ce modèle hybride est le plus adapté.

Avantage
j j

Permet d’envisager la croissance des services de l’entreprise. Permet de définir des limites de sécurité distinctes en fonction des sites.

Inconvénient
j j

Nécessite une nouvelle conception si le service informatique se retrouve décentralisé. Nécessite une coopération entre les administrateurs informatiques si ces derniers sont situés au même emplacement, mais appartiennent à des départements différents.

600

Implémenter la structure d’unités d’organisation

Le modèle hybride basé sur l’organisation, puis sur l’emplacement
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la hiérarchie selon l’organisation, puis organiser les unités d’organisation situées plus bas dans la hiérarchie selon leur emplacement.

17. La conception et l’implémentation de la structure des UO

Avantage
j

Permet une sécurité robuste entre les services de l’entreprise, tout en autorisant la délégation d’administration basée sur l’emplacement physique.

Inconvénient
j

Ne résiste pas aux réorganisations de l’entreprise.

17.3. Implémenter la structure d’unités d’organisation
Une fois la conception réalisée, vous êtes prêt à implémenter votre hiérarchie d’unités d’organisation.

Les outils de création
Windows Server 2003 fournit plusieurs composants logiciels enfichables et outils en ligne de commandes qui permettent, entre autres, de créer des unités d’organisation. Vous pouvez également utiliser des outils en ligne de commandes afin d’exécuter des scripts pour gérer des unités d’organisation. Voici quelques outils (composants logiciels enfichables et outils en ligne de commandes) qui vous permettront de créer et de gérer des unités d’organisation :
j

Utilisateurs et ordinateurs Active Directory : ce composant logiciel enfichable permet de créer, de modifier et de supprimer des unités d’organisation. Utilisez-le lorsque vous n’avez que quelques unités d’organisation à gérer, ou pour des opérations de base. Outils de service d’annuaire : cet ensemble d’outils en ligne de commandes, parmi lesquels Dsadd, Dsmod et Dsrm, permet de gérer des objets et d’effectuer des requêtes d’informations dans Active Directory. Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange) : cet outil en ligne de commandes permet de créer des unités d’organisation et d’autres objets Active Directory. Ldifde utilise un fichier d’entrée contenant des informations sur les objets à ajouter, à modifier ou à supprimer. 601

j

j

Chapitre 17

La conception et l’implémentation de la structure des UO

j

17. La conception et l’implémentation de la structure des UO

Environnement d’exécution de scripts Windows : vous pouvez créer des unités d’organisation à l’aide d’applications Windows ou à l’aide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces).

Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory
Cet outil permet de gérer les unités d’organisation de façon la plus intuitive et naturelle possible. Vous l’utiliserez la plupart du temps. Entrons dans le détail de l’opération de création d’unité d’organisation. Pour créer une unité d’organisation, procédez comme suit : 1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour cela, cliquez sur Démarrer/Programmes/Outils d’administration/ Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence de la console, double-cliquez sur le nom du domaine. 3. Cliquez du bouton droit sur le nom du domaine ou sur le dossier dans lequel vous souhaitez ajouter l’unité d’organisation, pointez sur Nouveau, puis cliquez sur Unité d’organisation.

Figure 17.1 : Création d’unité d’organisation avec le composant logiciel enfichable

Utilisateurs et ordinateurs Active Directory 602

Implémenter la structure d’unités d’organisation

4. Dans la zone Nom de la boîte de dialogue Nouvel objet – Unité d’organisation, saisissez le nom de l’unité d’organisation, puis cliquez sur OK. Les opérations de suppression et de modification sont aussi très simples : cliquez du bouton droit sur l’unité d’organisation et sélectionnez la bonne commande.

17. La conception et l’implémentation de la structure des UO

Les outils de service d’annuaire
Les outils en ligne de commandes Dsadd, Dsmod et Dsrm du service d’annuaire vous permettent de créer et de gérer des unités d’organisation à partir de l’Invite de commandes. Vous pouvez également les utiliser dans des scripts.

Créer une unité d’organisation avec Dsadd
Pour créer une unité d’organisation, exécutez la commande Dsadd à partir de l’Invite de commandes. Voyons d’abord la syntaxe de cette commande.

DSADD
Ajoute des types d’objets spécifiques à l’annuaire. dsadd computer dsadd contact dsadd group dsadd ou dsadd user dsadd quota Ajoute un ordinateur à l’annuaire. Ajoute un contact à l’annuaire. Ajoute un groupe à l’annuaire. Ajoute une unité d’organisation à l’annuaire. Ajoute un utilisateur à l’annuaire. Ajoute une spécification de quota à une partition d’annuaire.

Parmi tous les éléments, c’est le commutateur ou qui nous intéresse le plus. En voici la description :

DSADD OU
Ajoute des unités d’organisation à l’annuaire.

603

Chapitre 17

La conception et l’implémentation de la structure des UO

Syntaxe :
17. La conception et l’implémentation de la structure des UO NU_Unité_ Organisation

dsadd ou NU_Unité_Organisation −desc Description −s Serveur −d Domaine −u Nom_Utilisateur −p Mot_de_passe −q Nom unique de l’unité d’organisation que vous désirez ajouter.

−desc Description Description de l’unité d’organisation que vous désirez ajouter. −s Serveur −d Domaine Contrôleur de domaine auquel l’ordinateur se connecte. Domaine auquel l’ordinateur se connecte. Par défaut, l’ordinateur est connecté au contrôleur de domaine du domaine sur lequel il a ouvert une session. Nom d’utilisateur permettant de se connecter à un serveur distant. Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez spécifier un nom d’utilisateur selon l’un des formats suivants : nom d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User Principal Name, par exemple [email protected]). Mot de passe à utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astérisque), un mot de passe sera demandé. Mode silencieux : supprime tout affichage sur la sortie standard.

−u Nom _Utilisateur

−p Mot_de_Passe −q

Chez Puzzmania, il s’agit de créer des unités d’organisation pour le domaine corp .puzzmania.com. Suite à la conception de la structure d’unités d’organisation, commencez par créer les unités d’organisation hiérarchiques relatives aux sites géographiques de Nice, Toulouse et Paris. Procédez comme suit : 1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd. 2. Saisissez la commande dsadd ou OU=Toulouse,DC=corp,DC=puzzmania, DC=com −desc "OU de niveau hiérarchique du site de Toulouse" et validez. Dans cet exemple, la commande est lancée à partir d’un contrôleur de domaine. Si ce n’avait pas été le cas, vous auriez utilisé les commutateurs donnant les droits nécessaires à la création d’unités d’organisation sur le domaine.

604

Implémenter la structure d’unités d’organisation

17. La conception et l’implémentation de la structure des UO

Figure 17.2 : Création d’une unité d’organisation avec Dsadd

Commande Dsadd Si vous ne saisissez pas le nom distinctif de l’objet que vous créez, il est lu sur l’entrée standard (STDIN), c’est-à-dire via le clavier, dans un fichier redirigé ou une sortie de canal provenant d’une autre commande. Utilisez [Ctrl]+[Z] pour indiquer le caractère de fin de fichier pour STDIN.

Modifier une unité d’organisation avec Dsmod
Pour modifier la description d’une unité d’organisation, exécutez la commande Dsmod à partir de l’Invite de commandes. Voyons d’abord la syntaxe de cette commande, comparable à celle de Dsadd.

DSMOD
Modifie des types d’objets spécifiques à l’annuaire. dsmod computer dsmod contact dsmod group dsmod ou dsmod server dsmod user Modifie un ordinateur existant dans l’annuaire. Modifie un contact existant dans l’annuaire. Modifie un groupe existant dans l’annuaire. Modifie une unité d’organisation existant dans l’annuaire. Modifie un contrôleur de domaine existant dans l’annuaire. Modifie un utilisateur existant dans l’annuaire. 605

Chapitre 17

La conception et l’implémentation de la structure des UO

dsmod quota 17. La conception et l’implémentation de la structure des UO dsmod partition

Modifie une spécification de quota existant dans l’annuaire. Modifie une spécification de quota existant dans l’annuaire.

Parmi tous les éléments, c’est le commutateur ou qui nous intéresse. En voici la description :

DSMOD OU
Modifie des unités d’organisation de l’annuaire.

Syntaxe :
NU_Unité _Organisation −desc Description −s Serveur −d Domaine

dsmod ou NU_Unité_Organisation −desc Description −s Serveur −d Domaine −u Nom_Utilisateur −p Mot_de_passe −c −q Nom unique de l’unité d’organisation que vous désirez modifier. Description de l’unité d’organisation que vous désirez modifier. Contrôleur de domaine auquel l’ordinateur se connecte. Domaine auquel l’ordinateur se connecte. Par défaut, l’ordinateur est connecté au contrôleur de domaine du domaine sur lequel il a ouvert une session. Nom d’utilisateur permettant de se connecter à un serveur distant. Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez spécifier un nom d’utilisateur selon l’un des formats suivants : nom d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User Principal Name, par exemple [email protected]). Mot de passe à utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astérisque), un mot de passe sera demandé. Mode opératoire continu. Signale les erreurs, mais passe à l’objet suivant sur la liste d’arguments quand plusieurs objets cibles sont spécifiés. Sans cette option, la commande se termine à la première erreur. Mode silencieux : supprime tout affichage sur la sortie standard.

−u Nom _Utilisateur

−p Mot_de_Passe −c

−q

606

Implémenter la structure d’unités d’organisation

Les paramètres transmis à la commande dsmod sont les mêmes que ceux de dsadd. 17. La conception et l’implémentation de la structure des UO Pour transmettre une nouvelle description via le paramètre desc, procédez comme suit : 1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd. 2. Saisissez la commande dsmod ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com −desc "OU de niveau hiérarchique du site géographique de Toulouse" et validez.

Le champ de description de l’unité d’organisation est modifié.

Figure 17.3 : Modification d’une unité d’organisation avec Dsmod

Supprimer d’une unité d’organisation avec Dsrm
Vous devez supprimer d’Active Directory les unités d’organisation qui ne sont plus utilisées. Pour ce faire, utilisez la commande Dsrm. Voyons d’abord la syntaxe de cette commande, comparable à celles de Dsadd et de Dsmod.

DSRM
Supprime des objets de l’annuaire.

Syntaxe :

dsrm NU_Unité_Organisation [−noprompt] [−subtree [−exclude]] [{−s <Serveur> | −d <Domaine>}] [−u <Nom_Utilisateur>] [−p {<Mot_de_passe> | *}] [−c] [−q] [{−uc | −uco | −uci}] Requis/stdin. Liste d’un ou de plusieurs noms uniques (DN) d’objets à supprimer. Si ce paramètre est omis, il est lu à partir de l’entrée standard (stdin). 607

NU_Unité _Organisation

Chapitre 17

La conception et l’implémentation de la structure des UO

−noprompt 17. La conception et l’implémentation de la structure des UO −subtree [−exclude]

Mode silencieux : ne demande pas de confirmation de suppression. Supprime l’objet et tous les objets de sa sous-arborescence. Avec −exclude, l’objet n’est pas supprimé ; seule sa sous-arborescence l’est. −s <Serveur> : contrôleur de domaine nommé <Serveur> auquel l’ordinateur se connecte. −d <Domaine> : contrôleur de domaine auquel l’ordinateur se connecte dans le domaine <Domaine>. Par défaut : un contrôleur de domaine dans le domaine de connexion. Nom d’utilisateur permettant de se connecter. Par défaut : l’utilisateur connecté. Vous pouvez spécifier un nom d’utilisateur selon l’un des formats suivants : nom d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User Principal Name, par exemple [email protected]). Mot de passe de l’utilisateur <Nom_Utilisateur>. Si vous saisissez *, un mot de passe sera demandé. Mode opératoire continu : signale les erreurs mais poursuit avec l’objet suivant sur la liste d’arguments lorsque plusieurs objets cibles sont spécifiés. Sans cette option, la commande se termine à la première erreur. Mode silencieux : supprime tout affichage sur la sortie standard. −uc indique que l’entrée à partir du pipe ou la sortie vers le pipe est au format Unicode. −uco indique que la sortie vers le pipe ou le fichier est au format Unicode. −uci indique que l’entrée à partir du pipe ou du fichier est au format Unicode.

{−s <Serveur> | −d <Domaine>}

−u <Nom _Utilisateur>

−p {<Mot_de _passe> | *} −c

−q {−uc | −uco | −uci}

Les paramètres transmis à la commande dsrm sont les mêmes que ceux de la commande dsadd. Par contre, vous pouvez utiliser les paramètres supplémentaires suivants avec dsrm :
j

subtree supprime l’objet ainsi que tous les objets contenus dans la sous-arborescence située sous cet objet.

608

Implémenter la structure d’unités d’organisation

j

exclude spécifie de ne pas supprimer l’objet de base fourni par NU_Unité_Organisation lorsque vous supprimez la sous-arborescence située

17. La conception et l’implémentation de la structure des UO

au-dessous. Par défaut, seul l’objet de base spécifié est supprimé. Le paramètre exclude ne peut être spécifié qu’avec le paramètre subtree. Pour supprimer l’unité d’organisation Toulouse du domaine corp.puzzmania.com, procédez comme suit : 1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd. 2. Saisissez la commande dsrm OU=Toulouse,DC=corp,DC=puzzmania,DC=com
−desc "OU de niveau hiérarchique du site géographique de Toulouse"

et validez.

Figure 17.4 : Suppression d’une unité d’organisation avec Dsrm

L’outil Ldifde
L’outil en ligne de commandes Ldifde vous permet de créer, de modifier et de supprimer des unités d’organisation et de définir des hiérarchies d’unités d’organisation. L’outil se base sur un fichier d’entrée qui indique les actions à exécuter. La première étape consiste donc à créer le fichier d’entrée à utiliser. Après avoir créé ce fichier, exécutez la commande Ldifde. Procédez comme suit pour créer des unités d’organisation (ici pour le domaine corp
.puzzmania.com) à l’aide de l’outil en ligne de commandes Ldifde :

1. Créez un fichier d’entrée.

609

Chapitre 17

La conception et l’implémentation de la structure des UO

L’exemple suivant montre le format du fichier : 17. La conception et l’implémentation de la structure des UO
dn: OU=Toulouse,DC=corp,DC=puzzmania,DC=com changetype: add objectClass: organizationalUnit
j j

Changetype détermine le type d’opération effectuée sur l’objet Active Directory. ObjectClass spécifie la classe de l’objet Active Directory. Ldifde ajoute une unité d’organisation appelée Toulouse au domaine corp.puzzmania.com. Vous pouvez ajouter plusieurs unités d’organisation en ajoutant d’autres entrées. Chaque entrée dn: doit être précédée d’une ligne vide, sauf la première.

2. Exécutez Ldifde pour créer, modifier ou supprimer des unités d’organisation en saisissant la commande ldifde −i −k −f OUList.ldf −b Nom_Utilisateur Domaine Mot_de_Passe. Les premiers paramètres de la commande sont : −i −k −f −b Nom _Utilisateur Domaine Mot_de _Passe Mode d’importation. Si celui-ci n’est pas spécifié, le mode par défaut est exportation. Permet de ne pas tenir compte des erreurs durant une opération d’importation et de poursuivre le traitement. Nom du fichier d’importation ou d’exportation. Où List.ldf est le fichier d’entrée.

Nom d’utilisateur, nom de domaine et mot de passe associés au compte d’utilisateur qui sera utilisé pour exécuter l’opération d’importation ou d’exportation.

L’outil de scripts Windows
ADSI est une interface de programmation d’applications (API, Application Programming Interface) que vous utilisez à partir de l’environnement d’exécution de scripts pour automatiser l’administration d’Active Directory. ADSI utilise le protocole LDAP pour communiquer avec Active Directory. Toutes les opérations ADSI que vous effectuez sur Active Directory respectent la même procédure. D’abord, vous devez vous connecter à Active Directory, ensuite vous pouvez effectuer des tâches, comme extraire des informations concernant des objets, ajouter, modifier ou supprimer des objets. Si vous apportez des modifications à Active Directory, vous devez les enregistrer dans la base de données Active Directory afin qu’elles soient conservées.

610

En résumé

Procédez comme suit pour créer une unité d’organisation à l’aide de l’environnement d’exécution de scripts Windows : 1. À l’aide du Bloc-notes, créez un fichier texte portant l’extension .vbs. Insérez les opérations à effectuer dans ce fichier de la façon suivante : 2. Commencez par vous connecter au domaine dans lequel vous souhaitez créer l’unité d’organisation en saisissant Set objDom = GetObject("LDAP://dc=corp, dc=puzzmania,dc=com"). 3. Créez ensuite l’unité d’organisation en spécifiant OrganizationalUnit comme type d’objet Active Directory à créer et le nom de l’unité d’organisation en saisissant Set objOU = objDom.Create("OrganizationalUnit", "ou=Toulouse"). 4. Enregistrez ces informations dans la base de données Active Directory en saisissant la commande objOU.SetInfo. 5. Enregistrez le fichier sous le nom script.vbs par exemple. 6. Pour exécuter les commandes de ce fichier, saisissez à l’Invite de commandes wscript script.vbs.

17. La conception et l’implémentation de la structure des UO

17.4. En résumé
Le plus remarquable, quand on travaille avec les unités d’organisation, notamment dans la phase de conception, c’est de voir à quel point on peut faire refléter la vie du service informatique et, par extension, la vie de l’entreprise, au travers d’une technologie telle que les conteneurs d’Active Directory. Au-delà des possibilités techniques, vous devez vous attacher à mettre l’implémentation de la structure d’unités d’organisation (la technologie) au service de l’organisation informatique de l’entreprise (le besoin). C’est la clé de la réussite de l’implémentation en entreprise, quel que soit le contexte. Profitez de l’expérience des unités d’organisation, où c’est facilement visible et appréhendable, pour le mettre en œuvre dans tous les domaines informatiques de l’entreprise.

611

Chapitre 18

L’implémentation des serveurs d’infrastructure Active Directory
18.1 18.2 18.3 18.4 18.5 18.6 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Déployer le domaine racine de la forêt puzzmania.com . . . . Après l’installation du premier contrôleur de domaine . . . . . Déployer le deuxième contrôleur de domaine sur le même site Déployer les domaines enfants . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... .... .... ... .... .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615 . 619 . 641 . 649 . 655 . 658

Vue d’ensemble

C

e chapitre décrit la mise en place de l’infrastructure, à savoir l’implémentation d’Active Directory selon les besoins de l’entreprise. Après avoir étudié dans les chapitres précédents l’installation de Windows Server 2003 et les différents concepts servant à fédérer l’organisation de l’entreprise, nous abordons l’implémentation de la structure au sens large et, plus précisément, celle de Puzzmania. Seront énoncées dans un premier temps les diverses préconisations concernant Active Directory ainsi que les conditions requises pour son installation. Ensuite, il sera question de la mise en place de la forêt et de ses domaines. Pour cela, nous verrons les différentes installations possibles d’Active Directory. Une fois le ou les domaines implémentés, nous vérifierons l’installation des contrôleurs de domaine et regarderons les objets créés par défaut après l’installation du premier contrôleur de domaine. Au besoin, nous supprimerons ou rétrograderons un contrôleur de domaine.

18. L’implémentation des serveurs d’infrastructure AD

18.1. Vue d’ensemble
Avant de commencer le déploiement de l’infrastructure de l’organisation Puzzmania et la mise en place du service d’annuaire Active Directory, voyez cette vue d’ensemble des différentes étapes nécessaires à la mise en place des contrôleurs de domaine :
j

Détermination des contraintes matérielles : il s’agit d’estimer les serveurs pour pouvoir utiliser les contrôleurs de domaine aujourd’hui et demain, dans des conditions optimales. Vérification des conditions requises pour l’installation d’Active Directory : partitionnement disque, DNS, NTFS, etc. Installation des contrôleurs de domaine : il existe quatre méthodes d’installation et de déploiement d’Active Directory, vous utiliserez celle qui correspond le plus à votre cadre de travail.

j j

Pour l’implémentation des domaines et de la forêt, nous adopterons une vision plutôt globale. La aussi, plusieurs méthodes de fonctionnement s’offrent à vous (plusieurs forêts, plusieurs domaines ou pas de domaine racine). Il n’existe pas ou peu de mauvaises solutions tant qu’elles répondent pleinement à vos contraintes d’entreprise (par exemple, le nombre de sites et de personnes par site, les contraintes de bande passante…). Pour répondre à ses besoins et contraintes, comme vous l’avez dans les chapitres précédents, Puzzmania a choisi de séparer la partie recherche et développement de la partie plus classique appelée Corp. Pour que ces domaines restent unifiés et évolutifs, Puzzmania a choisi de mettre en place un domaine racine.

Pour en savoir plus sur les besoins et les contraintes de Puzzmania, lisez les chapitres Une étude de cas et La conception de l’infrastructure logique d’Active Directory.

615

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

18. L’implémentation des serveurs d’infrastructure AD

Forêt multidomaine Dans le cas d’une conception multidomaine, le domaine racine de la forêt peut être une racine dédiée, utilisée uniquement pour l’administration de la forêt ou, au contraire, contenir des utilisateurs, des groupes et des ressources en plus des comptes d’administration de la forêt. Une fois le domaine racine de la forêt déployée, le propriétaire de la forêt crée un ou plusieurs domaines enfants pour terminer la hiérarchie de la forêt Active Directory. Les domaines enfants peuvent être créés soit en mettant à niveau des domaines Windows NT ou Windows 2000, soit en déployant des domaines supplémentaires. Ce qui nous conduit donc aux étapes suivantes :
j

Installation du premier contrôleur de domaine, donc création de la forêt : cette partie du déploiement du domaine racine de la forêt est la première étape du déploiement de l’infrastructure de service d’annuaire Active Directory dans l’organisation de Puzzmania. Vérification de l’installation du contrôleur de domaine et de la mise en place du service d’annuaire Active Directory. Installation du deuxième contrôleur de domaine sur le même site : à ce stade, on peut déjà dire qu’il commence à y avoir une tolérance aux pannes dans la forêt, les réplications du service d’annuaire se font automatiquement. Installation du premier contrôleur de domaine du domaine enfant, une fois le domaine racine installé : de préférence, commencez par le site où les contrôleurs de domaine racine sont installés. Vérification de l’installation du contrôleur de domaine et de la création du domaine enfant. Installation des autres contrôleurs de domaine du domaine enfant localement ou sur les sites distants. Installation des autres domaines enfants.

j j

j

j j j

Maintenant que les grandes lignes de l’implémentation ont été brossées, entrons dans le vif du sujet.

Déterminer les contraintes matérielles pour les contrôleurs de domaine
L’analyse des besoins d’un contrôleur de domaine en matière de processeurs dépend essentiellement du nombre d’utilisateurs qui ouvriront une session sur le domaine :
j

Pour 500 utilisateurs, le contrôleur de domaine n’aura besoin que d’un seul processeur cadencé à 850 MHz.

616

Vue d’ensemble

j j

Entre 500 et 1500 utilisateurs, le contrôleur de domaine aura besoin de deux processeurs cadencés à 850 MHz. S’il y a plus de 1500 utilisateurs, le contrôleur de domaine aura besoin de quatre processeurs cadencés à 850 MHz. 18. L’implémentation des serveurs d’infrastructure AD

Notez qu’un processeur à 1,6 GHz peut remplacer deux processeurs cadencés à 850 MHz. Un processeur à 3 GHz peut remplacer quatre processeurs cadencés à 850 MHz. L’analyse des besoins d’un contrôleur en matière d’espace disque, comme les besoins en matière de processeur, dépend surtout du nombre d’utilisateurs dans le domaine. Tenez compte des éléments suivants pour analyser l’espace disque nécessaire :
j

Le lecteur qui contient la base de données Active Directory (NTDS.dit) exige au moins 400 Mo pour chaque bloc d’utilisateurs. Cela englobe l’espace requis pour la partition DNS. Le lecteur qui contient les journaux de transactions Active Directory exige au moins 500 Mo. Le lecteur qui contient le dossier SYSVOL exige lui aussi au moins 500 Mo. Le lecteur qui contient les fichiers du système d’exploitation Windows Server 2003 exige environ 2 Go d’espace disque. Calcul de l’espace libre Lors du calcul de l’espace disque, vous devez prévoir de l’espace disque supplémentaire sur les contrôleurs de domaine qui hébergent le catalogue global. Pour une forêt multidomaine, chaque domaine supplémentaire ajoute au catalogue global environ 50 % de la taille de sa base de données personnelle.

j j j

L’analyse des besoins en matière de mémoire dépend une fois de plus du nombre d’utilisateurs :
j j j

Pour 500 utilisateurs, le contrôleur de domaine n’aura besoin que de 512 Mo de mémoire. Entre 500 et 1500 utilisateurs, le contrôleur de domaine aura comme exigence 1 Go de mémoire. S’il y a plus de 1500 utilisateurs, le contrôleur de domaine aura alors besoin de 2 Go de mémoire. Dimensionnement de la base de données Active Directory Rendez-vous à l’adresse www.microsoft.com/france/technet/produits/win2000s/info/info .asp?mar=/france/technet/produits/win2000s/info/adsize.html.

617

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Toute configuration de serveur à l’heure actuelle peut faire face et répondre aux besoins de la quasi-totalité des moyennes et grandes entreprises, ce qui laisse des marges de manœuvre et de la souplesse dans la configuration. C’est pourquoi il n’est pas toujours nécessaire de placer des machines neuves ou puissantes pour les contrôleurs de domaine du domaine racine par exemple. Cela dit, n’hypothéquez pas l’avenir en plaçant des machines dont la maintenance est trop compliquée. 18. L’implémentation des serveurs d’infrastructure AD

Les conditions requises pour l’installation d’Active Directory
Avant d’installer Active Directory, vous devez vous assurer que l’ordinateur devant être configuré comme contrôleur de domaine satisfait certaines conditions de configuration relatives au système d’exploitation. De plus, le contrôleur de domaine doit être en mesure d’accéder à un serveur DNS satisfaisant certaines conditions de configuration pour prendre en charge l’intégration à Active Directory. La liste suivante décrit la configuration requise pour une installation d’Active Directory :
j

Un serveur sur lequel est installé Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition : attention, Web Edition ne prend pas en charge Active Directory ! Une partition ou un volume formaté avec le système de fichiers NTFS : la partition NTFS est nécessaire pour le dossier SYSVOL. Les privilèges administratifs nécessaires pour la création, le cas échéant, d’un domaine dans un réseau Windows Server 2003 existant. Le protocole TCP/IP installé et configuré pour utiliser le système DNS. Un serveur DNS qui fait autorité pour le domaine.

j j j j

Le serveur DNS qui fait autorité pour le domaine DNS doit prendre en charge les conditions suivantes :
Tableau 18.1 : Conditions de prise en charge du serveur DNS Condition requise Enregistrements de ressources SRV (obligatoires) Description Les enregistrements de ressources SRV sont des enregistrements DNS identifiant les ordinateurs qui hébergent des services spécifiques dans un réseau Windows Server 2003. Le serveur DNS qui prend en charge le déploiement d’Active Directory doit également prendre en charge les enregistrements de ressources SRV. Si ce n’est pas le cas, vous devez configurer le système DNS localement lors du processus d’installation d’Active Directory ou le configurer manuellement après l’installation d’Active Directory.

618

Déployer le domaine racine de la forêt puzzmania.com

Condition requise Mises à jour dynamiques (facultatives)

Description Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent en charge les mises à jour dynamiques. Le protocole de mise à jour dynamique permet aux serveurs et aux clients évoluant dans un environnement DNS d’ajouter et de modifier automatiquement des enregistrements dans la base de données DNS, ce qui réduit les tâches administratives. Si vous utilisez un logiciel DNS qui prend en charge des enregistrements de ressources SRV, mais pas le protocole de mise à jour dynamique, vous devez entrer les enregistrements de ressources SRV manuellement dans la base de données DNS. Dans un transfert de zone incrémentiel, les modifications apportées à une zone d’un serveur DNS maître doivent être répliquées sur les serveurs DNS secondaires. Les transferts de zone incrémentiels sont facultatifs. Ils sont toutefois recommandés car ils permettent d’économiser de la bande passante réseau. En effet, seuls les enregistrements de ressources nouveaux ou modifiés sont répliqués entre des serveurs DNS, au lieu du fichier entier de base de données de la zone.

18. L’implémentation des serveurs d’infrastructure AD

Transferts de zones incrémentiels (facultatives)

Dans la plupart des cas, dans les PME et PMI, ces questions ne se posent pas car le serveur Windows Server 2003 lui-même gère le DNS.

18.2. Déployer le domaine racine de la forêt puzzmania.com
Le premier domaine que nous allons créer dans la forêt Active Directory (puzzmania .com) est automatiquement désigné comme étant le domaine racine de la forêt. Le domaine racine de la forêt constitue le fondement de la forêt Active directory. Il est impératif de créer le domaine racine puzzmania.com avant de créer les domaines régionaux (corp.puzzmania.com et rd.puzzmania.com). Rôle de contrôleur de domaine Par rapport à Windows NT 4.0 Server, qui distingue contrôleur de domaine principal et contrôleur de domaine secondaire, Windows Server 2003 considère que tous les contrôleurs de domaine sont égaux en droits dans le cadre d’un système de réplication multimaître. Avant de passer à l’installation du premier contrôleur de domaine de la forêt, il est intéressant d’aborder les différentes façons d’implémenter Active Directory. L’installation d’Active Directory peut se réaliser de quatre manières :

619

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

j

18. L’implémentation des serveurs d’infrastructure AD

Utilisation de l’Assistant Installation d’Active Directory : cette méthode convient à la majeure partie des situations. Nous l’aborderons en détail et l’utiliserons tout au long de notre étude de cas sur l’ensemble des contrôleurs de domaine, à l’exception du contrôleur SNCERCDC03 (pour ce dernier, nous emploierons une autre méthode uniquement pour montrer une alternative d’installation). Cet assistant présente une suite de pages dans lesquelles il faudra saisir les informations que nous allons détailler lors de l’installation de notre premier contrôleur de domaine SNCERCDC01. L’assistant permet d’installer tous les contrôleurs de domaine de manière identique, tout en limitant le nombre d’erreurs. Utilisation d’un fichier de réponses pour lancer l’installation sans assistance : cela permet d’installer Active Directory à distance (nous n’aborderons pas cette méthode dans ce chapitre vu le faible nombre de contrôleurs utilisé pour Puzzmania). Cette méthode reste toutefois intéressante pour les entreprises qui possèdent un nombre important d’agences ayant des contrôleurs de domaine sur site. Utilisation du réseau ou d’un support de sauvegarde : attention, cette installation ne permet d’installer Active Directory que sur des contrôleurs de domaine supplémentaires ! Utilisation de l’Assistant Configurer votre serveur : une manière supplémentaire d’installer le premier contrôleur de domaine uniquement.

j

j

j

Le processus d’installation d’Active Directory
Pour démarrer le processus d’installation d’Active Directory, lancez l’Assistant Installation d’Active Directory. Lors de cette tâche, un certain nombre de modifications sont apportées au serveur Windows Server 2003 sur lequel est installé Active Directory. La connaissance de ces modifications permet de résoudre les problèmes susceptibles de survenir après l’installation. Active Directory Pour avoir une vue d’ensemble d’Active Directory, rendez-vous à l’adresse http://support.microsoft.com/default.aspx?scid=kb;fr;196464. Vous trouverez des informations sur l’architecture Active Directory à l’adresse
www.microsoft.com/france/technet/produits/win2000s/info/info.asp?mar/france/technet /produits/win2000s/info/adarch.html.

Le processus d’installation exécute les tâches suivantes :
j j j

Démarrage du protocole d’authentification Kerberos, version 5. Définition de la stratégie de l’autorité de sécurité locale (LSA, Local Security Authority) : le paramètre indique que ce serveur est un contrôleur de domaine. Création de partitions Active Directory : une partition de répertoire est une partie de l’espace de noms du répertoire. Chaque partition contient une hiérarchie, ou une

620

Déployer le domaine racine de la forêt puzzmania.com

sous-arborescence, des objets d’annuaire de l’arborescence de répertoire. Lors de l’installation, les partitions suivantes sont créées sur le premier contrôleur de domaine d’une forêt… − partition d’annuaire de schéma ; − partition d’annuaire de configuration ; 18. L’implémentation des serveurs d’infrastructure AD − partition d’annuaire de domaine ; − zone DNS de la forêt ; − partition de la zone DNS du domaine.
j j

Mises à jour des partitions par l’intermédiaire de la réplication sur chaque contrôleur de domaine subséquent créé dans la forêt. Création de la base de données Active Directory et des fichiers journaux : l’emplacement par défaut de la base de données et des fichiers journaux est systemroot\Ntds. Améliorer les performances Pour améliorer les performances, placez la base de données et les fichiers journaux sur des disques durs distincts. De cette manière, les opérations de lecture et d’écriture réalisées dans la base de données et dans les fichiers journaux n’entrent pas en concurrence pour les ressources en entrée et en sortie.

j

Création du domaine racine de la forêt : si le serveur est le premier contrôleur de domaine du réseau, le processus d’installation crée le domaine racine de la forêt, puis attribue les rôles maîtres d’opération au contrôleur de domaine, notamment… − l’émulateur de contrôleur principal de domaine (PDC, Primary Domain Controller) ; − le maître des identificateurs relatifs (RID, Relative Identifier) ; − le maître d’attribution de noms de domaine ; − le contrôleur de schéma ; − le maître d’infrastructure. Attribution des rôles maîtres d’opération Vous pouvez attribuer les rôles maîtres d’opération à un autre contrôleur de domaine lorsque vous ajoutez des contrôleurs de domaine répliqués au domaine.

j

Création du dossier volume système partagé : cette structure de dossiers est hébergée sur tous les contrôleurs de domaine Windows Server 2003. Elle contient les dossiers suivants…

621

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

− le dossier partagé SYSVOL, qui contient des informations relatives à la stratégie de groupe ; − le dossier partagé Net Logon, qui contient les scripts de connexion des ordinateurs qui ne sont pas équipés de Windows Server 2003. 18. L’implémentation des serveurs d’infrastructure AD
j

Configuration de l’appartenance du contrôleur de domaine à un site approprié : si l’adresse IP du serveur que vous souhaitez promouvoir contrôleur de domaine se trouve dans la plage d’adresses d’un sous-réseau donné défini dans Active Directory, l’assistant configure l’appartenance du contrôleur de domaine au site associé au sous-réseau. Si aucun objet de sous-réseau n’est défini ou si l’adresse IP du serveur ne se trouve pas dans la plage des objets de sous-réseau présents dans Active Directory, le serveur est placé sur le site Premier-Site-par-Défaut (premier site configuré automatiquement lorsque vous créez le premier contrôleur de domaine dans une forêt).

Pour plus d’informations sur les sites sous Windows Server 2003, lisez le chapitre La conception de la topologie des sites du volume I et le chapitre L’administration et la gestion des sites du volume II de cet ouvrage. L’Assistant Installation d’Active Directory crée un objet serveur pour le contrôleur de domaine dans le site approprié. L’objet serveur contient les informations nécessaires pour la réplication. Cet objet serveur contient une référence à l’objet ordinateur de l’unité d’organisation Domain Controllers qui représente le contrôleur de domaine en cours de création. Objet serveur Si un objet serveur pour ce domaine existe déjà dans le conteneur Servers du site dans lequel vous ajoutez le contrôleur de domaine, l’assistant le supprime, puis le recrée car il suppose que vous réinstallez Active Directory.
j

Activation de la sécurité sur le service d’annuaire et sur les dossiers de réplication de fichiers : cela permet de contrôler l’accès des utilisateurs aux objets Active Directory. Application du mot de passe fourni par l’utilisateur au compte administrateur : vous utilisez ce compte pour lancer le contrôleur de domaine en mode Restauration des services d’annuaire.

j

Installer le premier contrôleur de domaine
Une fois l’installation des serveurs terminée, installez le premier contrôleur de domaine.

622

Déployer le domaine racine de la forêt puzzmania.com

Pour apprendre à installer des serveurs, lisez le chapitre L’installation et le déploiement de Windows Server 2003. L’Assistant Installation Active Directory Windows Server 2003 apporte des améliorations à l’Assistant Installation Active Directory. Lorsque vous installez le premier contrôleur de domaine dans un domaine, vous pouvez autoriser l’assistant à installer et à configurer automatiquement le service DNS intégré à Active Directory. Même s’il reste quand même certains réglages à effectuer manuellement par la suite, l’assistant permet de gagner du temps et d’éviter des erreurs de configuration. Que fait l’assistant sur le premier contrôleur de domaine de la racine de la forêt (SNCERCDC01) ?
j j

18. L’implémentation des serveurs d’infrastructure AD

Il demande à l’administrateur de vérifier l’installation et la configuration du service DNS. Il configure la résolution de noms DNS récursive par redirection, en ajoutant les adresses IP des entrées existantes pour le serveur DNS préféré et le serveur DNS auxiliaire à la liste des serveurs DNS de l’onglet Redirecteur. Cet onglet est accessible sur la page des propriétés du contrôleur de domaine dans le composant logiciel enfichable DNS. Il configure la résolution des noms récursive par indications de racine, en ajoutant les indications de racine configurées sur le serveur DNS préféré. Il configure le serveur DNS préféré de manière à ce qu’il pointe sur le serveur DNS qui s’exécute. Serveur contrôleur de domaine Contrairement à Windows NT 4.0 Server, Windows Server 2003 ne permet pas de spécifier en cours d’installation que la machine sera un contrôleur de domaine. Chaque serveur Windows Server 2003 est installé en tant que serveur autonome ou en tant que serveur membre d’un domaine. Une fois l’installation terminée, vous pouvez promouvoir le serveur au rang de contrôleur de domaine.

j j

L’installation détaillée d’Active Directory
1. Cliquez sur Démarrer/Tous les programmes/Outils d’administration/Gérer votre serveur.

623

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

18. L’implémentation des serveurs d’infrastructure AD

Figure 18.1 : Assistant Gérer votre serveur

2. Dans l’Assistant Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle. 3. L’Assistant Configurer votre serveur se lance. Cliquez sur Suivant. L’assistant inspecte votre configuration afin d’y trouver les rôles déjà installés sur votre serveur. 4. Une fois l’inspection terminée, cliquez sur Configuration personnalisée. 5. L’assistant ouvre la fenêtre Rôle du serveur dans laquelle se trouve l’ensemble des rôles configurés ou non. Sélectionnez Contrôleur de domaine (Active Directory), puis cliquez sur Suivant.

Figure 18.2 : Assistant Configurer votre serveur – Rôle Contrôleur de domaine (Active

Directory) 624

Déployer le domaine racine de la forêt puzzmania.com

6. L’assistant ouvre une fenêtre Aperçu des sélections dans laquelle se trouve un résumé. Dans ce résumé doit figurer la mention "Exécuter l’Assistant Installation d’Active Directory pour configurer ce serveur en tant que contrôleur de domaine". Cliquez sur Suivant. 7. La fenêtre Assistant Installation Active Directory démarre. Cliquez sur Suivant.
Figure 18.3 : Assistant Installation d’Active Directory

18. L’implémentation des serveurs d’infrastructure AD

8. Sur la page Compatibilité du système d’exploitation, cliquez sur Suivant. 9. Sur la page Type de contrôleur de domaine, sélectionnez l’option Contrôleur de domaine pour un nouveau domaine.
Figure 18.4 : Type de contrôleur de domaine

625

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

10. Sur la page Créer un nouveau domaine, sélectionnez l’option Domaine dans une nouvelle forêt, puis cliquez sur Suivant.
Figure 18.5 : Créer un nouveau domaine

18. L’implémentation des serveurs d’infrastructure AD

11. Sur la page Installer ou configurer le service DNS, sélectionnez Non, je veux installer et configurer le service DNS sur cet ordinateur. Cliquez sur suivant. 12. Sur la page Nouveau nom de domaine, saisissez le nom du domaine puzzmania.com dans la zone Nom DNS complet pour le nouveau domaine, puis cliquez sur Suivant.
Figure 18.6 : Nom de domaine DNS pour le domaine

À propos des minuscules et des majuscules (RFC 1034) Les noms de domaine peuvent être enregistrés en minuscules, en majuscules ou dans un mélange des deux. Cependant, le RFC précise que, quelle que soit la façon dont le nom est enregistré, toutes les opérations sont insensibles à la casse.

626

Déployer le domaine racine de la forêt puzzmania.com

13. Patientez jusqu’à l’affichage de la page Nom de domaine NetBIOS. Il est recommandé d’utiliser le nom NetBIOS préconisé par défaut (PUZZMANIA). Cliquez sur Suivant.
Figure 18.7 : Nom de domaine NetBIOS

18. L’implémentation des serveurs d’infrastructure AD

14. Sur la page Dossiers de la base de données et du journal, saisissez le chemin de l’emplacement de la base de données Active Directory dans la zone Dossier de la base de données. Saisissez le chemin de l’emplacement du journal dans la zone Dossier du journal. Cliquez sur Suivant.
Figure 18.8 : Dossiers de la base de données et du journal

Dossiers de la base de données et du journal Bien qu’il soit recommandé de placer ces deux dossiers sur des disques durs différents, il est préférable pour une entreprise de taille moyenne possédant des contrôleurs de domaine de puissance correcte de garder ces deux dossiers à l’emplacement d’origine.

627

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

15. Sur la page Volume système partagé, saisissez l’emplacement du dossier SYSVOL. Le volume système partagé doit se trouver sur une partition ou un volume formatés NTFS. Cliquez sur Suivant. Il est préférable pour de moyennes entreprises de garder SYSVOL à son emplacement d’origine. 16. Sur la page Autorisations, sélectionnez les permissions par défaut des objets utilisateur et groupe, et cliquez sur Suivant.
Figure 18.9 : Autorisations

18. L’implémentation des serveurs d’infrastructure AD

17. Sur la page Mot de passe administrateur de restauration des services d’annuaire, saisissez de mot de passe que vous souhaitez affecter à ce compte d’administrateur sur le serveur pour le cas où il serait nécessaire de démarrer l’ordinateur en mode Restauration des services d’annuaire. Confirmez le mot de passe et cliquez sur Suivant.
Figure 18.10 : Mot de passe administrateur de restauration des services d’annuaire

628

Déployer le domaine racine de la forêt puzzmania.com

18. Sur la page Résumé, les options que vous avez sélectionnées apparaissent. Revoyez le contenu de cette page avant de cliquer sur Suivant. L’assistant met quelques minutes à configurer les composants Active Directory. Si vous n’avez pas configuré l’adresse IP statique pour le serveur, vous serez invité à le faire à ce moment-là.
Figure 18.11 :

18. L’implémentation des serveurs d’infrastructure AD

Résumé

Voici le résumé de l’installation du contrôleur de domaine que nous venons d’installer.
Configurer ce serveur en tant que premier contrôleur de domaine d’une nouvelle forêt d’arborescences de domaines. Le nouveau nom de domaine est puzzmania.com. C’est aussi le nom de la nouvelle forêt. Le nom NetBIOS du domaine est PUZZMANIA. Dossier de la base de données : C:\WINDOWS\NTDS Dossier du fichier journal : C:\WINDOWS\NTDS Dossier Sysvol : C:\WINDOWS\SYSVOL Le service DNS sera installé et configuré sur cet ordinateur. Cet ordinateur sera configuré pour utiliser ce serveur DNS en tant que serveur DNS préféré. Le mot de passe du nouvel administrateur de domaine sera le même que celui de l’administrateur de cet ordinateur.

19. Lorsque la page Fin de l’Assistant Installation de Active Directory apparaît, cliquez sur Terminer, puis sur Redémarrer maintenant.

629

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Figure 18.12 : Fin d’installation

18. L’implémentation des serveurs d’infrastructure AD

Une fois que le serveur a redémarré, la fenêtre Gérer votre serveur indique qu’il a été configuré avec les rôles contrôleur de domaine (Active Directory) et serveur DNS. Le premier contrôleur de domaine est installé. À ce stade de l’implémentation, ce contrôleur joue le contrôleur de domaine du domaine, mais également de la forêt. Il possède donc pour le moment tous les rôles maîtres d’opération ainsi que le catalogue global.

Vérifier le premier contrôleur de domaine
Le processus d’installation d’Active Directory crée un certain nombre d’objets par défaut dans la base de données Active Directory. Il crée également le dossier système partagé ainsi que la base de données et les fichiers journaux. Vérifiez l’installation d’Active Directory lorsque l’assistant a terminé l’installation et que le nouveau contrôleur de domaine redémarre. Emplacement de la base de données et des fichiers journaux Si vous avez modifié l’emplacement de la base de données et des fichiers journaux de l’annuaire lors de l’installation, remplacez %systemroot% par l’emplacement correct. Vous devez vérifier que la structure de dossiers SYSVOL et que les dossiers partagés nécessaires ont été créés. Si le dossier SYSVOL n’a pas été créé correctement, ses données (stratégie de groupe et scripts, par exemple) ne seront pas répliquées entre les contrôleurs de domaine.

630

Déployer le domaine racine de la forêt puzzmania.com

Vérifier la structure de dossiers
Pour vérifier que la structure de dossiers a été créée, exécutez la procédure suivante : 1. Cliquez sur Démarrer, puis sur Exécuter. 2. Saisissez %systemroot%\sysvol et cliquez sur OK. 18. L’implémentation des serveurs d’infrastructure AD L’Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit réunir les sous-dossiers domain, staging, staging areas et sysvol.

Figure 18.13 : Dossier SYSVOL

Vérifier les dossiers partagés
Pour vérifier que les dossiers partagés nécessaires ont été créés, saisissez net share à l’Invite de commandes et appuyez sur [Ä]. Les partages NETLOGON et SYSVOL doivent apparaître.

Figure 18.14 : net share

Tableau 18.2 : Partage NETLOGON et SYSVOL Nom de partage NETLOGON SYSVOL Enregistrement %systemroot%\SYSVOL\sysvol \domaine\SCRIPTS %systemroot%\SYSVOL\sysvol Remarque Partage de serveur d’accès Partage de serveur d’accès

631

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Vérifier la base de données et les fichiers journaux d’Active Directory
Pour vérifier que la base de données et les fichiers journaux d’Active Directory ont été créés, cliquez sur Démarrer, sur Exécuter, saisissez %systemroot%\ntds et cliquez sur OK. L’Explorateur Windows affiche le contenu du dossier Ntds, qui doit réunir les fichiers suivants… j Ntds.dit : fichier de la base de données de l’annuaire.
j j

18. L’implémentation des serveurs d’infrastructure AD

Edb.* : fichiers journaux des transactions et des points de vérification. Res*.log : fichiers journaux réservés.

Figure 18.15 : %systemroot%ntds

Lors de l’installation d’Active Directory sur le premier contrôleur de domaine d’un nouveau domaine, ce qui est le cas sur SNCERCDC01 pour le domaine puzzmania, plusieurs objets par défaut sont créés. Ces objets peuvent être des conteneurs, des utilisateurs, des ordinateurs, des groupes et des unités d’organisation. Affichez ces objets par défaut à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Figure 18.16 : Objets par défaut

632

Déployer le domaine racine de la forêt puzzmania.com

Nous aborderons plus en détail les objets créés par Active Directory un peu plus loin dans ce chapitre.

Vérifier la configuration DNS
Si vous autorisez l’Assistant Installation d’Active Directory à configurer le DNS automatiquement, et si votre installation prend en charge les mises à jour dynamiques, le service Netlogon enregistre un certain nombre d’inscriptions de ressources SRV par défaut sur le serveur DNS. Bien que la capture d’image suivante montre l’ensemble des trois domaines, il est possible de voir les inscriptions DNS qui sont nécessaires aux clients pour localiser les hôtes qui fournissent les services qu’ils sollicitent. 18. L’implémentation des serveurs d’infrastructure AD

Figure 18.17 : Les inscriptions par défaut pour le serveur scnercdc01

Voici les étapes permettant de vérifier la configuration DNS : 1. Cliquez sur Démarrer/Outils d’administration, puis sélectionnez DNS. 2. Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, sélectionnez puzzmania.com et développez les nœuds _msdcs, _sites, _tcp et _udp pour voir les inscriptions de ressources par défaut. Le service Netlogon crée un fichier journal qui contient les inscriptions de ressources SRV. Ce fichier est stocké dans %systemroot%\system32\config\Netlogon.dns. 633

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

18. L’implémentation des serveurs d’infrastructure AD

Figure 18.18 : Fichier journal Netlogon.dns

Vérifier l’intégration du DNS à Active Directory
Si vous autorisez l’Assistant Installation d’Active Directory à configurer automatiquement un DNS de base et que la solution DNS prenne en charge les mises à jour dynamiques, l’assistant configure une zone de recherche directe intégrée à Active Directory prenant en compte le nom du domaine. La configuration de cette zone modifie l’emplacement de stockage des données de la zone, qui passent du fichier de zone à Active Directory sur le serveur. Si vous souhaitez vérifier l’intégration de DNS, affichez les propriétés de la zone DNS et du serveur DNS. Voici les étapes permettant d’effectuer cette vérification : 1. Cliquez sur Démarrer/Outils d’administration, puis sélectionnez DNS. 2. Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, sélectionnez puzzmania.com. Cliquez du bouton droit de la souris sur la zone et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue apparaît. 3. Sous l’onglet Général, vérifiez que l’onglet Type indique Intégrée à Active Directory. La zone Mises à jour dynamiques doit présenter les options Non sécurisé et Sécurisé. L’onglet Sécurité est présent et vous permettra de configurer la sécurité des mises à jour dynamiques. Cliquez sur OK.

634

Déployer le domaine racine de la forêt puzzmania.com

Figure 18.19 : Données enregistrées dans Active Directory

18. L’implémentation des serveurs d’infrastructure AD 4. Dans l’arborescence de la console, cliquez du bouton droit de la souris sur le serveur DNS et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue apparaît. 5. Sous l’onglet Avancé, vérifiez que, dans la zone intitulée Charger les données de zone au démarrage, l’option À partir d’Active Directory et du registre est activée. Cliquez sur OK.

Vérifier le mode Restauration des annuaires
Cette option d’amorçage permet de restaurer Active Directory sur un contrôleur de domaine. Elle n’est pas disponible pour les serveurs membres. Vérifiez qu’elle est opérationnelle avec le mot de passe que vous avez saisi au cours de l’installation Active Directory. Vous en aurez peut-être besoin au cours des opérations de maintenance ou de restauration. Voici les étapes à réaliser : 1. Redémarrez votre serveur et appuyez sur [F8] lorsque vous voyez apparaître le menu d’amorçage. 2. Dans le menu d’options avancées de Windows, sélectionnez Mode restauration Active Directory en vous servant des touches de défilement du clavier. Appuyez sur [Ä]. 3. Le menu d’amorçage réapparaît avec la mention "Mode restauration Active Directory" en lettres bleues au bas de l’écran. Sélectionnez le système d’exploitation à démarrer et appuyez sur [Ä]. Le système redémarre en mode Restauration des services d’annuaire. Cela peut prendre quelques minutes.

635

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

4. Dans la fenêtre de bienvenue de Windows, cliquez sur [Ctrl]+[Alt]+[Suppr]. Ouvrez une session sur l’ordinateur local en utilisant le nom de compte administrateur (spécifié au cours de la configuration du serveur) et le mot de passe du mode Restauration (spécifié pendant l’installation d’Active Directory). Cliquez sur OK. Nom de compte et mot de passe Il n’est pas possible d’utiliser le nom et le mot de passe administrateur Active Directory car le service est déconnecté et la vérification de compte ne peut avoir lieu. C’est la base de compte SAM qui intervient pour le contrôle des accès à Active Directory sur l’ordinateur pendant que ce dernier est déconnecté. 5. Un message vous avertit que Windows fonctionne en mode sans échec. Cliquez sur OK pour démarrer le contrôleur de domaine en mode sans échec. 6. Pour retourner au fonctionnement normal d’Active Directory, redémarrez votre serveur.

18. L’implémentation des serveurs d’infrastructure AD

Vérifier les journaux d’événements
Après avoir installé Active Directory, jetez un œil dans les journaux des événements pour prendre connaissance des éventuelles erreurs produites lors du processus d’installation. Les messages d’erreur générés lors de l’installation sont enregistrés dans les journaux Système, Service d’annuaire, Serveur DNS et Service de réplication de fichier. 1. Sélectionnez Démarrer, puis cliquez du bouton droit de la souris sur le Poste de travail. 2. Développez le nœud Observateur d’événements, puis parcourez l’ensemble des journaux.

Figure 18.20 : Observateur d’événements

636

Déployer le domaine racine de la forêt puzzmania.com

Configurer le serveur de temps
La synchronisation des horloges entre les contrôleurs de domaine d’un domaine Active Directory est capitale car le protocole Kerberos s’appuie sur cette horloge pour valider les tickets d’authentification. Le contrôleur de domaine ayant le rôle d’émulateur PDC, c’est-à-dire scnercdc01 pour le moment dans le domaine racine, est automatiquement considéré par les autres contrôleurs de domaine du même domaine comme la source de temps à utiliser pour la synchronisation. Les postes clients Windows 2000 ou XP et les serveurs membres Windows 2000 ou 2003 se synchronisent automatiquement avec un contrôleur du domaine auquel ils appartiennent. Les postes clients antérieurs à Windows 2000 ou XP et les serveurs membres antérieurs à Windows 2000 ou 2003 devront être synchronisés avec la commande Net Time ou le service horaire présent dans les ressources kit respectif. Il n’y a aucune action à prévoir dans l’architecture Active Directory pour que les serveurs et les postes conservent en permanence leurs horloges synchronisées. Le seul contrôleur sur lequel il est nécessaire d’intervenir, si l’on souhaite que l’heure système soit exacte est l’émulateur PDC du domaine racine de la forêt. Pour cela, il faut indiquer une référence externe accessible via le protocole NTP sur Internet ou sur une source interne…
j

18. L’implémentation des serveurs d’infrastructure AD

Sur Internet via le protocole NTP : dans ce cas, il faut permettre à l’émulateur PDC de résoudre les noms DNS vers Internet et faire en sorte qu’il puisse dialoguer avec un serveur NTP externe via le port TCP/IP 123. Sur une source interne via le protocole NTP : il faudra dans ce cas permettre à l’émulateur PDC de résoudre le nom DNS de la référence externe et faire en sorte qu’il puisse dialoguer avec le serveur NTP interne via le port TCP/IP 123.

j

Il est possible de synchroniser l’heure de l’émulateur PDC avec celle d’un serveur externe en exécutant la commande net time conformément à la syntaxe net time \\NomServeur /setsntp:SourceHeure. Cela permet à tous les ordinateurs de la forêt qui exécutent Windows Server 2003, Windows 2000 ou Windows XP d’être à la même heure, à quelques secondes près. Les ordinateurs exécutant une version de Windows antérieure doivent disposer de la commande de synchronisation à partir d’une référence horaire lors de l’ouverture de session utilisateur (script de login), conforme à la syntaxe net time \\NomServeur /set.

Configurer le service de temps Windows pour utiliser une horloge matérielle interne
Pour configurer le contrôleur de domaine sans utiliser de source de temps externe, il faut modifier l’indicateur d’annonce sur le serveur émulateur PDC. Cette configuration force le maître émulateur PDC à se déclarer en tant que source de temps fiable et utilise l’horloge temps réel CMOS (Complementary Metal Oxide Semiconductor) intégrée. 637

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config

Tableau 18.3 : Configuration du service de temps Windows pour utiliser une horloge

matérielle interne 18. L’implémentation des serveurs d’infrastructure AD
Paramètre AnnounceFlags Valeur A Observation L’émulateur PDC ne doit pas être configuré pour se synchroniser avec lui-même. Si l’émulateur PDC est configuré pour se synchroniser avec lui-même, plusieurs événements sont enregistrés dans le journal d’application. Ces événements sont des rappels pour utiliser une source de temps externe et peuvent être ignorés.

Configurer le service de temps Windows pour utiliser une source de temps externe
Changer le type de serveur en NTP
j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Parameters

Tableau 18.4 : Changement du type de serveur en NTP Paramètre Type Valeur NTP Observation

Définir l’AnnounceFlags
j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config

Tableau 18.5 : Définition de l’AnnounceFlags Paramètre AnnounceFlags Valeur 5 Observation

Activer NTPServer
j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders

638

Déployer le domaine racine de la forêt puzzmania.com

Tableau 18.6 : Activation de NTPServer Paramètre NTPServer Valeur Homologues Observation Homologues est un espace réservé pour une liste limitée d’homologues à partir desquels votre ordinateur obtient les informations horaires. Chaque nom DNS répertorié doit être unique. Vous devez ajouter ,0x1 à la fin de chaque nom DNS.

18. L’implémentation des serveurs d’infrastructure AD

Sélectionner l’intervalle d’interrogation
j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders\NtpClient

Tableau 18.7 : Sélection de l’intervalle d’interrogation Paramètre SpecialPoll Interval Valeur TempsEn Secondes Observation TempsEnSecondes est un espace réservé pour le nombre de secondes souhaité entre chaque interrogation. La valeur recommandée est 900. Cette valeur configure le serveur de temps pour une interrogation toutes les 15 minutes.

Configurer les paramètres de correction de temps
j

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Configq

Tableau 18.8 : Configuration des paramètres de correction de temps Paramètre Valeur Observation TempsEnSecondes est un espace réservé pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous sélectionnez dépend de l’intervalle d’interrogation, des conditions réseau et de la source de temps externe. TempsEnSecondes est un espace réservé pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous sélectionnez dépend de l’intervalle d’interrogation, des conditions réseau et de la source de temps externe. MaxPos Phase TempsEn Correction Secondes

MaxNeg Phase TempsEn Correction Secondes

639

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Vérifier la résolution de noms récursive sur le premier contrôleur de la forêt
18. L’implémentation des serveurs d’infrastructure AD La résolution de noms DNS récursive est configurée automatiquement durant le processus d’installation d’Active Directory. Si la conception spécifie une configuration différente, vous pouvez utiliser le composant logiciel enfichable DNS ou Dnscmd.exe pour modifier les réglages. Utilisez le composant logiciel enfichable DNS pour vérifier la résolution de noms récursive du serveur DNS sur le premier contrôleur du domaine racine de la forêt. Selon la méthode utilisée dans votre organisation, reportez-vous aux informations fournies dans le tableau suivant :
Tableau 18.9 : Vérification de la résolution de noms récursive du serveur DNS Méthode Résolution de noms récursive par indications de racine Configuration Les indications de racine sont la méthode recommandée pour la résolution de noms récursive dans un environnement Windows Server 2003. Aucune configuration supplémentaire n’est requise. Lorsque le serveur DNS spécifié comme serveur DNS préféré durant le processus d’installation est correctement configuré, les indications de racine sont automatiquement configurées. Pour vérifier les indications de racine en utilisant le composant logiciel enfichable DNS, dans l’arborescence de la console, cliquez du bouton droit de la souris sur le nom du contrôleur de domaine, puis choisissez Propriétés. Sur la page Propriétés du contrôleur de domaine, affichez les indications de racine en cliquant sur l’onglet Indication de racine. N’utilisez les redirecteurs que si la conception de votre organisation le spécifie. Les indications de racine sont la méthode recommandée pour la résolution de noms récursive dans un environnement Windows Server 2003. Redirigez les requêtes non résolues vers des serveurs DNS spécifiés. Pour tester la redirection en utilisant le composant logiciel enfichable DNS, dans l’arborescence de la console, cliquez du bouton droit de la souris sur le nom du contrôleur de domaine, puis choisissez Propriétés. Sous l’onglet Redirecteur, observez la liste d’adresses des redirecteurs et vérifiez que les adresses IP correspondent à celles spécifiées dans votre conception. Aucune configuration supplémentaire n’est requise. Dans cet environnement, si vous souhaitez configurer un serveur DNS interne pour résoudre les requêtes pour des noms externes, configurez ce serveur DNS de manière à rediriger les requêtes non résolues vers un serveur externe, par exemple dans votre réseau de périmètre, ou un serveur hébergé par un prestataire de service Internet.

Résolution de noms récursive par redirection

Aucune infrastructure DNS existante

640

Après l’installation du premier contrôleur de domaine…

18.3. Après l’installation du premier contrôleur de domaine…
Lors de l’installation d’Active Directory sur le premier contrôleur de domaine d’un nouveau domaine, plusieurs objets par défaut sont créés. Ces objets peuvent être des conteneurs, des utilisateurs, des ordinateurs, des groupes et des unités d’organisation. Affichez ces objets par défaut à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Le tableau suivant présente la fonction de certains de ces objets par défaut :
Tableau 18.10 : Objets créés par défaut dans un domaine Active Directory
Objet Builtin Computers Users Contrôleur de domaine Opérateurs Type d’objet Domaine intégré Conteneur Conteneur Unité organisationnelle (OU) Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local prédéfini Groupe de sécurité – local au domaine Groupe de sécurité – local au domaine Emplacement Racine du domaine Racine du domaine Racine du domaine Racine du domaine Interne Fonction Conteneur par défaut des groupes qui permettent d’administrer le serveur Conteneur par défaut des comptes d’ordinateur Conteneur par défaut des comptes d’utilisateur Conteneur par défaut des contrôleurs de domaine Windows Server 2003 Personnes pouvant administrer les groupes utilisateurs/les groupes du domaine Personne pouvant administrer l’ordinateur/le domaine Personnes pouvant passer outre les permissions de fichiers pour faire des sauvegardes Personnes pouvant accéder à l’ordinateur/ au domaine avec des privilèges très limités Personnes pouvant administrer les imprimantes du domaine Gère la réplication de fichiers dans un domaine Personnes pouvant administrer les serveurs du domaine Utilisateurs ordinaires

18. L’implémentation des serveurs d’infrastructure AD

Administrateurs Opérateurs de sauvegarde Invités

Interne Interne

Interne

Opérateurs d’impression Duplicateurs Opérateurs de serveurs Utilisateurs Utilisateurs DHCP DnsAdmins

Interne Interne Interne Interne

Conteneur Personnes pouvant accéder en lecture Users seule au serveur DHCP Conteneur Administrateurs DNS Users

641

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Objet Serveurs RAS et IAS Utilisateurs WINS

Type d’objet Groupe de sécurité – local au domaine Groupe de sécurité – local au domaine Groupe de sécurité – global Groupe de sécurité – Global Groupe de sécurité – global Groupe de sécurité – global Groupe de sécurité – global Groupe de sécurité – global Groupe de sécurité – global Groupe de sécurité – global Groupe de sécurité – global Utilisateur Utilisateur Utilisateur

Emplacement

Fonction

Conteneur Serveurs RAS et IAS Users Conteneur Personnes pouvant accéder en lecture Users seule à WINS Conteneur Certification d’entreprise et agents de Users renouvellement Conteneur Clients DNS pouvant faire des mises à Users jour dynamiques pour le compte d’autres clients (serveurs DHCP par exemple) Conteneur Administrateurs du domaine Users Conteneur Stations et serveurs, membres du Users domaine Conteneur Contrôleurs du domaine Users Conteneur Tous les invités du domaine Users Conteneur Tous les utilisateurs du domaine Users Conteneur Administrateurs désignés de l’entreprise Users Conteneur Administrateurs désignés du schéma Users Conteneur Compte prédéfini pour l’administration de Users l’ordinateur/du domaine Conteneur Compte prédéfini pour les accès du type Users Invité à l’ordinateur/au domaine Conteneur Compte prédéfini pour les accès Users anonymes à IIS (Internet Information Services) Conteneur Compte prédéfini pour les accès Users anonymes aux applications IIS Out-ofprocess Conteneur Compte du service KDC Users

18. L’implémentation des serveurs d’infrastructure AD

Éditeurs de certificats DnsUpdateProxy

Admins du domaine Ordinateurs du domaine Contrôleurs de domaine Invités du domaine Utilisa. du domaine Administrateurs de l’entreprise Administrateurs du schéma Administrateur Invité IUSR_xxx

IWAM_xxx

Utilisateur

Krbtgt

Utilisateur

Résoudre les problèmes d’installation
Lors de l’installation d’Active Directory, vous risquez de rencontrer certains problèmes. Ils peuvent être le résultat d’informations d’identification de sécurité invalides, de l’utilisation de noms qui ne sont pas uniques, d’un réseau qui n’est pas fiable ou de ressources insuffisantes. Le tableau suivant décrit certains problèmes courants que vous

642

Après l’installation du premier contrôleur de domaine…

êtes susceptible de rencontrer lors de l’installation d’Active Directory, ainsi que les stratégies permettant de les résoudre :
Tableau 18.11 : Problèmes liés à l’installation d’Active Directory Problème Accès refusé lors de l’installation ou de l’ajout de contrôleurs de domaine Solution

18. L’implémentation des serveurs d’infrastructure AD

Fermez la session, puis ouvrez-la de nouveau à l’aide d’un compte appartenant au groupe Administrateurs local. Fournissez les informations d’identification d’un compte d’utilisateur membre des groupes Admins du domaine et Administrateurs de l’entreprise. Modifiez le nom de sorte qu’il soit unique. Assurez-vous que la connexion réseau est effective entre le serveur que vous souhaitez promouvoir au titre de contrôleur de domaine et au moins l’un des contrôleurs de domaine du domaine. Utilisez la commande ping à partir de l’Invite de commandes. Pour tester la connexion à un contrôleur de domaine du domaine, vérifiez que le système DNS fournit une résolution de noms à au moins un contrôleur du domaine en vous connectant à un contrôleur de domaine à l’aide de son nom DNS. Pour cela, à l’Invite de commandes, saisissez le nom de domaine pleinement qualifié (FQDN, Fully Qualified Domain Name) du contrôleur de domaine. Si le système DNS est configuré correctement, vous pourrez vous connecter au contrôleur de domaine. Vous pouvez également vous assurer que le système DNS a été configuré correctement en vérifiant les enregistrements A que les contrôleurs de domaine enregistrent dans la base de données DNS. Augmentez la taille de la partition ou installez la base de données et les fichiers journaux Active Directory sur des partitions distinctes.

Les noms de domaine DNS ou NetBIOS ne sont pas uniques Le domaine ne peut pas être contacté

Espace disque insuffisant

Windows Server 2003 propose un ensemble d’outils pour diagnostiquer et résoudre les problèmes susceptibles de survenir durant l’installation d’Active Directory :
j j

Le journal du service d’annuaire. Netdiag.exe : cet utilitaire permet de tester la connectivité réseau. Exécutez netdiag .exe chaque fois qu’un ordinateur rencontre un problème sur le réseau. Cet utilitaire essaiera de diagnostiquer le problème. Il peut même baliser les zones problématiques pour une inspection plus approfondie. Il est capable de remédier à des problèmes de DNS simples grâce à son commutateur /fix.

643

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

18. L’implémentation des serveurs d’infrastructure AD

Figure 18.21 : netdiag.exe
j

Dcdiag.exe : cet outil permet d’examiner les contrôleurs de domaine. Il analyse l’état des contrôleurs de domaine de la forêt ou d’une entreprise et décrit les problèmes éventuels. Dcdiag.exe lance une série de tests pour vérifier différentes fonctions d’Active Directory. Saisissez la commande dcdiag /s:mon_controleur_domaine /test:connectivity depuis une Invite de commandes pour tester la connectivité à un autre contrôleur de domaine.

Figure 18.22 : dcdiag : test de connectivité
j j

Les fichiers Dcpromoui.log, Dcpromos.log et Dcpromo.log. Ntdsutil.exe : il s’agit de l’outil de diagnostic d’Active Directory. Il propose des services de gestion d’Active Directory. Attention, utilisez cet utilitaire très puissant avec précaution !

Saisissez un nom d’utilitaire suivi de /? pour en savoir plus à son sujet. Ces outils sont puissants et complets. Avant d’utiliser certains d’entre eux, il faut installer les supports tools qui se trouvent dans la partie Support\tools\suptools.msi du CD-Rom d’installation de Windows Server 2003. 644

Après l’installation du premier contrôleur de domaine…

Modifier le nom d’un contrôleur de domaine
Dans Windows Server 2003, vous avez la possibilité de renommer un contrôleur de domaine après l’avoir installé. Pour cela, vous devez disposer des droits Administrateurs du domaine. Lorsque vous renommez un contrôleur de domaine, vous devez ajouter le nouveau nom et supprimer l’ancien des bases de données DNS et Active Directory. Vous pouvez renommer un contrôleur de domaine uniquement si le niveau fonctionnel du domaine est défini sur Windows Server 2003. Pour renommer un contrôleur de domaine, procédez ainsi : 1. Dans le Panneau de configuration, double-cliquez sur l’icône Système. 2. Dans la boîte de dialogue Propriétés Système, sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.
Figure 18.23 : Modifier le nom d’un contrôleur de domaine

18. L’implémentation des serveurs d’infrastructure AD 645

3. Lorsque vous y êtes invité, confirmez que vous souhaitez renommer le contrôleur de domaine. 4. Entrez le nom complet de l’ordinateur (notamment le suffixe DNS principal), puis cliquez sur OK. Indisponibilité du contrôleur Le fait de renommer un contrôleur de domaine risque de le rendre provisoirement indisponible : ni les utilisateurs ni les ordinateurs ne pourront y accéder. Lorsque vous renommez un contrôleur de domaine, vous pouvez modifier son suffixe DNS principal. Cependant, cette modification ne permet pas de déplacer le contrôleur de domaine vers un nouveau domaine Active Directory. Par exemple, si vous renommez le serveur stlsrcdc01.corp.puzzmania.com en sncercdc04.puzzmania.com, l’ordinateur reste un contrôleur de domaine pour le domaine corp.puzzmania.com, même si le suffixe DNS principal est puzzmania.com. Pour déplacer un contrôleur de

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

domaine vers un autre domaine, vous devrez préalablement "rétrograder" le contrôleur de domaine, puis le promouvoir au titre de contrôleur de domaine dans le nouveau domaine.

18. L’implémentation des serveurs d’infrastructure AD

Supprimer un contrôleur de domaine dans Active Directory
Dans Windows Server 2003, vous avez la possibilité de supprimer un contrôleur de domaine qui n’est plus nécessaire ou qui a été endommagé. S’il s’agit du dernier contrôleur de domaine, le domaine va être supprimé de la forêt lors du retrait du contrôleur. Si ce domaine est le dernier de la forêt, celle-ci sera également supprimée. Rétrograder un contrôleur de domaine principal Windows NT 4.0 Server permet de rétrograder un contrôleur de domaine principal pour en faire un contrôleur de domaine secondaire, mais, pour transformer un contrôleur en serveur autonome ou en serveur membre, il faut réinstaller le système d’exploitation. Cette limitation a disparu sous Windows 2000 Server et a été améliorée sous Windows Server 2003.

Supprimer le contrôleur depuis l’interface graphique
Pour supprimer depuis l’interface graphique un contrôleur de domaine qui est en ligne et qui n’est plus nécessaire, procédez ainsi : 1. Ouvrez l’Assistant Installation d’Active Directory. 2. Sur la page Supprimer Active Directory, s’il s’agit du dernier contrôleur de domaine du domaine, cochez la case Ce serveur est le dernier contrôleur de domaine du domaine, puis cliquez sur Suivant.
Figure 18.24 : Information sur la suppression du contrôleur de domaine

646

Après l’installation du premier contrôleur de domaine…

3. Sur la page Mot de passe administrateur, saisissez le nouveau mot de passe administrateur dans les boîtes de dialogue Nouveau mot de passe administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
Figure 18.25 : Validation du mot de passe Active Directory pour la suppression du contrôleur de domaine

18. L’implémentation des serveurs d’infrastructure AD

4. Sur la page Résumé, passez en revue le résumé, cliquez sur Suivant, puis sur Terminer. Une fois redémarré, le serveur sera toujours dans le domaine, mais il sera un simple serveur membre du domaine.

Supprimer le contrôleur en ligne de commandes
Pour supprimer en ligne de commandes un contrôleur de domaine qui est en ligne et qui n’est plus nécessaire, procédez de la manière suivante : 1. Tout d’abord, ouvrez une Invite de commandes et saisissez ntdsutil. 2. Saisissez metadata cleanup, puis appuyez sur [Ä]. C’est la section du programme qui supprime les objets. Mais, pour cela, vous devez vous connecter à un contrôleur de domaine. Ensuite, indiquez à Ntdsutil ce que vous souhaitez supprimer. Après cela, vous pourrez supprimer le contrôleur de domaine ou le domaine. 3. À l’invite de commandes metadata cleanup, saisissez connections et appuyez sur [Ä]. 4. À l’invite de commandes server connections, saisissez connect to server localhost, puis appuyez sur [Ä]. 5. Retournez à l’Invite metadata cleanup en saisissant quit, puis en appuyant sur [Ä]. 647

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

6. Maintenant, il faut sélectionner le serveur à supprimer. Pour cela, saisissez select operation target, puis appuyez sur [Ä]. 7. Vous pouvez sélectionner domaines, sites et serveurs en demandant préalablement à Ntdsutil de les lister. Celui-ci les liste en les numérotant. Tout d’abord, saisissez list domains, puis appuyez sur [Ä]. La liste de domaines apparaît. Dans notre exemple, Ntdsutil liste les trois domaines en les numérotant de 0 à 2. 8. Pour sélectionner le domaine puzzmania.com, saisissez select domain 0 et appuyez sur [Ä].
select operation target: list domains 3 domaine(s) trouvé(s) 0 - DC=puzzmania,DC=com 1 - DC=corp,DC=puzzmania,DC=com 2 - DC=rd,DC=puzzmania,DC=com

18. L’implémentation des serveurs d’infrastructure AD

9. Ensuite, choisissez le site dans lequel réside le contrôleur de domaine à supprimer. Vous devez connaître le numéro du site de Nice où réside SNCERCDC03. Pour trouver les sites qui existent et connaître leur numéro, saisissez list sites, puis appuyez sur [Ä]. 10. Le site de Nice porte le numéro 0. Saisissez select site 1 et appuyez sur [Ä] pour le sélectionner.

Figure 18.26 : Suppression d’un contrôleur de domaine en ligne de commandes

11. Maintenant que vous avez le domaine et le site, il faut vous rapprocher du serveur. Pour trouver le numéro du serveur, saisissez list servers for domain in site, puis appuyez sur [Ä].

648

Déployer le deuxième contrôleur de domaine sur le même site

12. Une fois les serveurs listés, sélectionnez le contrôleur de domaine en saisissant select server 2 puisque SCNERCDC03 est le troisième contrôleur de domaine. Appuyez sur [Ä]. 13. À présent, le contrôleur de domaine du site choisi est sélectionné. Saisissez quit pour revenir à l’Invite de commandes metadata cleanup. 14. Saisissez remove selected server et appuyez sur [Ä]. Deux boîtes de dialogue d’avertissement demandent de confirmer votre choix. Confirmez et le serveur est supprimé. Ntdsutil Si vous effectuez les mêmes manipulations au niveau du domaine et que vous saisissiez remove selected domain, après confirmation dans les boîtes de dialogue, votre domaine part en fumée. 15. Saisissez quit et appuyez sur [Ä] pour quitter Ntdsutil. Attention, lorsque vous supprimez un contrôleur de domaine qui est serveur de catalogue global, assurez-vous que les utilisateurs peuvent disposer d’un autre catalogue global avant la suppression ! De même, si le contrôleur de domaine détient un rôle maître d’opération, vous devez transférer ce rôle vers un autre contrôleur avant la suppression. Nous y reviendrons plus loin. 18. L’implémentation des serveurs d’infrastructure AD

18.4. Déployer le deuxième contrôleur de domaine sur le même site
Pour activer la tolérance aux pannes au cas où le contrôleur de domaine se déconnecterait de manière inattendue, vous devez disposer d’au moins deux contrôleurs de domaine dans un seul domaine. Étant donné que tous les contrôleurs de domaine d’un domaine répliquent entre eux les données spécifiques au domaine, leur installation dans le domaine active automatiquement la tolérance aux pannes pour les données enregistrées dans Active Directory. Si l’un d’entre eux tombe en panne, les autres fournissent les services d’authentification et assurent l’accès aux objets d’Active Directory, de sorte que le domaine peut continuer à fonctionner. Les choix possibles quant au positionnement du deuxième contrôleur peuvent différer d’une entreprise à l’autre. Les deux contrôleurs de domaine peuvent être sur un même site ou sur des sites différents. Tout dépend des besoins.

Installer un contrôleur de domaine via le réseau
Nous souhaitons vous montrer les différentes possibilités d’installer Active Directory. En ce sens, nous allons installer le deuxième contrôleur de domaine via le réseau.

649

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

1. Ouvrez une session en tant qu’administrateur. 2. Cliquez sur Démarrer/Exécuter, puis saisissez dcpromo/adv dans la zone Ouvrir. Cliquez sur OK. 3. Sur la page Type de contrôleur de domaine, cochez la case Contrôleur de domaine supplémentaire pour un domaine existant. Sinon, si vous lancez l’Assistant Installation d’Active Directory avec l’option /adv, choisissez sur la page Copie des informations du domaine en cours l’option Via le réseau ou l’option À partir des fichiers de restauration de cette sauvegarde, puis indiquez l’emplacement des fichiers de sauvegarde restaurés.
Figure 18.27 : Installation Active Directory depuis le réseau

18. L’implémentation des serveurs d’infrastructure AD

4. Sur la page Informations d’identification réseau, saisissez le nom d’utilisateur, le mot de passe et le domaine utilisateur du compte d’utilisateur que vous souhaitez utiliser pour cette opération. Le compte d’utilisateur doit être un membre du groupe Admins du domaine pour le domaine cible. 5. Sur la page Contrôleur de domaine supplémentaire, spécifiez le nom de domaine pour lequel ce serveur deviendra un contrôleur de domaine supplémentaire. 6. Sur la page Dossiers de la base de données et du journal, indiquez l’emplacement dans lequel vous souhaitez installer les dossiers de la base de données et du journal, ou cliquez sur Parcourir pour choisir un emplacement. 7. Sur la page Volume système partagé, saisissez l’emplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement.

650

Déployer le deuxième contrôleur de domaine sur le même site

8. Sur la page Mot de passe administrateur de restauration des services d’annuaire, saisissez et confirmez le mot de passe du mode Restauration des services d’annuaire, puis cliquez sur Suivant. 9. Passez en revue la page Résumé, puis cliquez sur Suivant pour commencer l’installation. 10. Lorsque le système vous y invite, redémarrez l’ordinateur. Domaine et fichiers de sauvegarde Pour copier les informations de domaine à partir de fichiers de sauvegarde, vous devez d’abord sauvegarder l’état du système (System State) d’un contrôleur de domaine appartenant au domaine dans lequel le nouveau serveur deviendra contrôleur de domaine supplémentaire. Ensuite, restaurez la sauvegarde de l’état du système localement sur le serveur que vous vous apprêtez à promouvoir. Pour cela, recourez à l’utilitaire de sauvegarde Windows Server 2003, choisissez l’option Restaurez vers : Autre emplacement. Si le contrôleur de domaine à partir duquel vous avez restauré l’état du système était également un catalogue global, l’Assistant Installation d’Active Directory vous demande si vous souhaitez que ce contrôleur de domaine devienne également un catalogue global. 18. L’implémentation des serveurs d’infrastructure AD

Installer un contrôleur de domaine à partir d’un fichier de réponses
Voici une troisième possibilité d’installer Active Directory sur un contrôleur de domaine. Cette possibilité peut être intéressante pour les entreprises souhaitant automatiser et industrialiser le déploiement. 1. Ouvrez une session en tant qu’administrateur. 2. Cliquez sur Démarrer/Exécuter. Dans la zone Ouvrir, saisissez dcpromo /answer : fichier réponse, où fichier réponse représente le nom de ce fichier. Cliquez sur OK.

Pour plus d’informations sur les installations à partir de fichier de réponses, reportez-vous au chapitre L’installation et le déploiement de Windows Server 2003.

Vérifier le deuxième contrôleur de domaine
Suivez les mêmes étapes que celles indiquées dans la procédure concernant le premier contrôleur de domaine. Mais au lieu de vérifier que DomainDnsZones et ForestDnsZones ont été créées, utilisez la commande Repadmin /showreps pour vérifier que les partitions d’applications des annuaires ForestDnsZones et

651

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

DomainDnsZones sont bien répliquées. Utilisez le composant logiciel enfichable DNS pour vérifier que la résolution de noms récursive du serveur DNS est configurée en accord avec la méthode utilisée par votre organisation.

18. L’implémentation des serveurs d’infrastructure AD

Figure 18.28 : Utilisation de la commande repadmin /showreps

Voici un script issu du script center qui vous permet de lister les partenaires de réplications :
strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & _ strComputer & "\root\MicrosoftActiveDirectory") Set colReplicationOperations = objWMIService.ExecQuery _ ("Select * from MSAD_ReplNeighbor") For each objReplicationJob in colReplicationOperations Wscript.Echo "Domain: " & objReplicationJob.Domain Wscript.Echo "Naming context DN: " & objReplicationJob.NamingContextDN Wscript.Echo "Source DSA DN: " & objReplicationJob.SourceDsaDN Wscript.Echo "Last synch result: " & objReplicationJob.LastSyncResult Wscript.Echo "Number of consecutive synchronization failures: " & _ objReplicationJob.NumConsecutiveSyncFailures Next

Reconfigurer le service DNS
Reconfigurez le service DNS afin de tenir compte de l’ajout du deuxième contrôleur de domaine dans le domaine racine de la forêt. Vous pouvez également utiliser ces procédures à mesure que vous déployez des contrôleurs de domaine supplémentaires qui exécutent le service DNS. Pour configurer le service DNS : 1. Activez le vieillissement et le nettoyage pour le DNS.

652

Déployer le deuxième contrôleur de domaine sur le même site

2. Configurez les paramètres DNS clients du premier contrôleur de domaine et des contrôleurs de domaine subséquents. 3. Mettez à jour la délégation DNS.

Activer le vieillissement et le nettoyage pour le DNS
Activez le vieillissement et le nettoyage sur deux contrôleurs de domaine Windows Server 2003 exécutant le service Serveur DNS, afin d’autoriser le nettoyage automatique et la suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler dans les zones au cours du temps. Avec la mise à jour dynamique, les enregistrements de ressources sont automatiquement ajoutés aux zones lorsque des ordinateurs sont introduits sur le réseau. Toutefois, dans certains cas, ces enregistrements ne sont pas automatiquement supprimés lorsque les ordinateurs quittent le réseau. Par exemple, si un ordinateur enregistre son propre enregistrement d’hôte (A) au démarrage et se trouve par la suite incorrectement déconnecté du réseau, son enregistrement (A) peut ne pas être supprimé. Si votre réseau possède des utilisateurs et ordinateurs mobiles, cette situation peut se présenter fréquemment. Lorsqu’ils ne sont pas gérés, les enregistrements de ressources obsolètes peuvent causer des problèmes, notamment :
j j

18. L’implémentation des serveurs d’infrastructure AD

Les enregistrements de ressources obsolètes peuvent consommer l’espace disque du serveur et générer des temps de transfert de zones inutilement longs. Les serveurs DNS chargeant des zones avec des enregistrements de ressources obsolètes risquent d’utiliser des informations qui ne sont pas à jour pour répondre aux requêtes clients, ce qui peut générer des problèmes de résolution de noms pour les clients sur le réseau. L’accumulation d’enregistrements de ressources obsolètes sur le serveur DNS peut dégrader ses performances et sa réactivité. Vieillissement et nettoyage Par défaut, le mécanisme de vieillissement et de nettoyage du service Serveur DNS est désactivé. Ne l’activez qu’après en avoir compris tous les paramètres. Sans cela, le serveur pourrait accidentellement supprimer des enregistrements de ressources qui ne doivent pas l’être. Si un enregistrement de ressource est accidentellement supprimé, les utilisateurs ne parviendront plus à obtenir une réponse à leurs requêtes pour cet enregistrement de ressource ; tout utilisateur pourra en outre créer l’enregistrement de ressource et en devenir le propriétaire, même sur des zones configurées pour les mises à jour dynamiques sécurisées. Pour plus d’informations concernant la manière de configurer le vieillissement et le nettoyage, consultez la page de présentation du vieillissement du nettoyage du centre d’aide et de support de Windows Server 2003.

j

653

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Pour activer les fonctionnalités de vieillissement et de nettoyage, suivez ces étapes : 1. Activez le vieillissement et le nettoyage sur le serveur DNS approprié. Ces paramètres déterminent les propriétés de niveau zone pour toute zone intégrée Active Directory sur le serveur. 18. L’implémentation des serveurs d’infrastructure AD 2. Activez le vieillissement et le nettoyage pour les zones sélectionnées sur le serveur DNS. Lorsque des propriétés de zone sont définies pour une zone sélectionnée, ces paramètres s’appliquent uniquement à la zone en question et à ses enregistrements de ressources. À moins que ces propriétés de niveau zone soient configurées autrement, elles héritent leurs paramètres par défaut de réglages comparables conservés dans les propriétés de vieillissement/nettoyage du serveur DNS.

Définir les propriétés de vieillissement et de nettoyage du serveur DNS
Pour définir les propriétés de vieillissement et de nettoyage sur le serveur, procédez comme suit : 1. Connectez-vous à l’ordinateur qui exécute le service Serveur DNS avec un compte membre du groupe local Administrateur. 2. Dans l’arborescence de la console DNS, cliquez du bouton droit de la souris sur le serveur DNS approprié, puis choisissez Définir le vieillissement/nettoyage pour toutes les zones.
Figure 18.29 :

Vieillissement de serveur/Propriétés de nettoyage

3. Cochez l’option Nettoyer les enregistrements de ressources obsolètes. 4. Modifiez les autres propriétés de vieillissement et de nettoyage comme requis.

654

Déployer les domaines enfants

Figure 18.30 : Vieillissement de serveur/Confirmation de nettoyage

18. L’implémentation des serveurs d’infrastructure AD

Définir les propriétés de vieillissement et de nettoyage pour une zone
Pour définir les propriétés de vieillissement et de nettoyage pour une zone, procédez ainsi : 1. Connectez-vous à l’ordinateur qui exécute le service Serveur DNS avec un compte membre du groupe local Administrateur. 2. Dans l’arborescence de la console DNS, cliquez du bouton droit de la souris sur le serveur DNS approprié, puis choisissez Propriétés. 3. Sous l’onglet Général, cliquez sur Vieillissement et sélectionnez la case à cocher Nettoyer les enregistrements de ressources obsolètes. 4. Modifiez les autres propriétés de vieillissement et de nettoyage comme requis.

18.5. Déployer les domaines enfants
Maintenant que le domaine racine de Puzzmania est en place, il est possible de passer à la mise en place de domaines enfants corp.puzzmania.com et rd.puzzmania.com. Dans cette application pratique, vous allez installer Active Directory et créer un domaine enfant recherche dans le domaine racine de la forêt puzzmania.com. Après l’installation d’Active Directory et la création du domaine enfant, vous effectuerez l’ensemble des vérifications que vous avez précédemment réalisées après l’installation d’un contrôleur de domaine et la création d’un domaine à savoir :
j j j j j j

vérification de la structure des dossiers ; vérification des dossiers partagés ; vérification de la base de données et des fichiers journaux d’Active Directory ; vérification de la configuration DNS ; vérification de l’intégration du DNS à Active Directory ; vérification du mode Restauration des annuaires.

Ces opérations pourront se faire également pour le deuxième domaine enfant de puzzmania.

655

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

Pour installer le premier domaine enfant de puzzmania, procédez comme suit : 1. Connectez-vous en tant que puzzmania\administrateur. 2. Cliquez sur Démarrer, cliquez du bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant que. 18. L’implémentation des serveurs d’infrastructure AD
Figure 18.31 : Commande Exécuter en tant que

3. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant, saisissez un nom d’utilisateur puzzmania\administrateur et le mot de passe, puis cliquez sur OK. 4. À l’Invite de commandes, saisissez dcpromo et appuyez sur [Ä]. 5. Sur la page Assistant Installation d’Active Directory, cliquez sur Suivant. 6. Sur la page Compatibilité du système d’exploitation, cliquez sur Suivant. 7. Sur la page Type de contrôleur de domaine, cliquez sur Contrôleur de domaine pour un nouveau domaine, puis cliquez sur Suivant. 8. Sur la page Créer un nouveau domaine, cliquez sur Domaine enfant dans une arborescence de domaine existante, puis sur Suivant.
Figure 18.32 : Création d’un domaine enfant dans une arborescence existante

656

Déployer les domaines enfants

9. Sur la page Informations d’identification réseau, saisissez Administrateur comme nom d’utilisateur, assurez-vous que puzzmania.com est le domaine, puis cliquez sur Suivant. 10. Sur la page Installation d’un domaine enfant, assurez-vous que le domaine parent est puzzmania.com, saisissez le nom de domaine enfant recherche, puis cliquez sur Suivant.
Figure 18.33 : Création du domaine enfant rd

18. L’implémentation des serveurs d’infrastructure AD

11. Sur la page Nom de domaine NetBIOS, vérifiez que le nom NetBIOS est RD, puis cliquez sur Suivant. 12. Sur la page Dossier de la base de données et du journal, acceptez la sélection par défaut, puis cliquez sur Suivant. 13. Sur la page Volume système partagé, acceptez l’emplacement par défaut d’installation du dossier SYSVOL, puis cliquez sur Suivant. 14. Sur la page Diagnostics des inscriptions DNS, assurez-vous que les paramètres de configuration DNS sont exacts, puis cliquez sur Suivant. 15. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systèmes d’exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 16. Sur la page Mot de passe administrateur de restauration des services d’annuaire, saisissez et confirmez le mot de passe et cliquez sur Suivant. 17. Passez en revue la page Résumé, cliquez sur Suivant pour commencer l’installation, puis sur Terminer. 18. Redémarrez le serveur.

657

Chapitre 18

L’implémentation des serveurs d’infrastructure AD

19. Vous pouvez maintenant installer les deuxièmes contrôleurs de domaine de chaque domaine sur leurs sites respectifs. 20. Testez la réplication à l’aide de la commande repadmin /showrepl pour vous assurer que les réplications fonctionnent correctement entre les contrôleurs de domaine. En cas de problème, vous pouvez dans un premier temps utiliser la commande netdiag /fix.

18. L’implémentation des serveurs d’infrastructure AD

18.6. En résumé
Pour résumer et clore ce chapitre, Active directory est en quelque sorte la colonne vertébrale de votre organisation. Il bénéficie d’une grande souplesse lui permettant de prendre en compte dans son implémentation les notions logiques pour les domaines, par exemple, et les notions physiques telle que les sites. Le mode de réplication multimaître permet à Active Directory de fonctionner de manière désynchronisée durant quelque temps. Nous avons vu qu’Active Directory devait répondre à quelque prérequis pour son bon fonctionnement. Ce qui peut amener à poser la question suivante : "Active Directory est-il tributaire de la configuration du serveur pour pouvoir bénéficier de bonnes performances ?" Oui, Active Directory est tributaire de sa configuration pour de bonnes performances, celle-ci doit répondre aux exigences suivantes :
j j j j j

850 MHz par tranche de 500 utilisateurs ; 512 Mo de RAM par tranche de 500 utilisateurs ; 500 Mo d’espace disque pour SYSVOL ; 400 Mo d’espace disque pour NTDS.dit ; 2 Go d’espace disque pour la partition système.

Lors de l’installation du domaine racine de forêt, nous avons pu constater que l’on pouvait installer Active Directory de plusieurs manières. Combien existe-t-il méthodes pour installer Active Directory sur un contrôleur de domaine ? Il existe quatre méthodes pour installer un contrôleur de domaine.
j j j j

utilisation de l’Assistant Installation d’Active Directory ; utilisation d’un fichier de réponse ; installation depuis le réseau ou un média ; utilisation de l’Assistant Configurer votre serveur.

658

En résumé

Après l’installation d’Active Directory sur les contrôleurs de domaine, il est nécessaire de vérifier et de reconfigurer certains paramètres. Que se passe-t-il une fois que le premier contrôleur de domaine est installé ? Un ensemble d’utilisateurs et de groupes prédéfinis est installé. Le contrôleur possède automatiquement le catalogue global, mais aussi l’ensemble des rôles maître d’opérations. L’évolution de la puissance des processeurs fait qu’aujourd’hui la plupart des contrôleurs de domaine restent sous-exploités. La virtualisation permet d’optimiser et de consolider les contrôleurs de domaines de plusieurs domaines d’un même site sur le même serveur physique. Cependant, il n’est pas recommandé à ce jour de virtualiser l’ensemble des contrôleurs de domaine d’un même domaine. À ce titre, Microsoft met à disposition sur son site un document de 70 pages sur les recommandations de la virtualisation des contrôleurs de domaine. Ce qu’il est important de garder à l’esprit, c’est que les performances d’Active Directory résident dans la puissance processeur, mais également dans la capacité à charger la base de données en mémoire.

659

18. L’implémentation des serveurs d’infrastructure AD

Chapitre 19

Les fonctions et les rôles dans Active Directory
19.1 19.2 19.3 19.4 19.5 Configurer les rôles maîtres d’opération Configurer le catalogue global . . . . . . . Élever les niveaux fonctionnels . . . . . . Les relations d’approbation . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663 . 674 . 681 . 684 . 693

Configurer les rôles maîtres d’opération

B

ien qu’essentiels mais peu utilisés par les administrateurs, nous allons aborder les rôles maîtres d’opération, apporter des explications par le biais de quelques définitions ou travaux pratiques. Nous aborderons également la mise en place de relations d’approbation afin de pouvoir continuer à utiliser des ressources des domaines existants. Afin d’exploiter au mieux les nouvelles fonctionnalités apportées par Windows Server 2003, nous décrirons les niveaux fonctionnels aux niveaux des domaines et de la forêt.

19.1. Configurer les rôles maîtres d’opération
Avant d’aborder la configuration des rôles maîtres en voici d’abord un bref rappel. Même si de façon générale sous Active Directory aucun contrôleur de domaine installé n’est plus important que l’autre, il existe quand même quelques exceptions pour les contrôleurs de domaines qui hébergent les rôles maîtres d’opérations. Par défaut, l’ensemble des rôles maîtres d’opérations appelés aussi FSMO (Flexible Single Master of Operation) sont installés sur le premier contrôleur de domaine et, par conséquent, le premier contrôleur de la forêt. Ce contrôleur de domaine possède donc l’ensemble de cinq FSMO. De plus, ces rôles maîtres sont installés sur le contrôleur de domaine possédant le catalogue global. À ce stade de l’implémentation, cela ne pose aucun problème, mais au fur et à mesure que l’implémentation du service d’annuaire évolue, et une fois encore selon les besoins de l’entreprise, il pourra être judicieux et parfois même obligatoire de déplacer certains rôles maîtres, nous allons voir pourquoi.

19. Les fonctions et les rôles dans Active Directory

Les rôles maîtres au niveau de la forêt
Les rôles du maître d’opérations concernent des tâches irréalisables en mode multimaître. Il en existe cinq différents, et vous pouvez les attribuer à un ou plusieurs contrôleurs de domaine. Certains rôles doivent être définis une fois dans chaque domaine. Mais d’autres ne peuvent être assignés qu’une seule fois dans une forêt de domaines. C’est le cas pour les rôles Contrôleur de schème et le maître d’attribution de nom de domaine.

Le contrôleur de schéma
Le schéma Active Directory définit les types d’objets et les types d’informations qui s’y rapportent pouvant être stockés dans Active Directory. Active Directory stocke ces définitions sous forme d’objets. Active Directory gère les objets du schéma à l’aide des mêmes opérations de gestion d’objet que celles qu’il utilise pour gérer les autres objets de l’annuaire. Le contrôleur de schéma exécute les rôles suivants :
j

Il contrôle toutes les mises à jour d’origine apportées au schéma.

663

Chapitre 19

Les fonctions et les rôles dans Active Directory

j j

Il contient la liste principale des classes d’objets et des attributs utilisés pour la création de tous les objets Active Directory. Il réplique les mises à jour apportées au schéma Active Directory sur tous les contrôleurs de domaine de la forêt en utilisant la réplication de la partition de schéma. Il autorise uniquement les membres du groupe Administrateurs du schéma à modifier le schéma. Chaque forêt possède un seul contrôleur de schéma. Cela permet d’éviter les conflits qu’entraîneraient des tentatives de mise à jour simultanées du schéma par plusieurs contrôleurs de domaine. Si le contrôleur de schéma n’est pas disponible, vous ne pouvez pas modifier le schéma ou installer des applications qui le modifient.

j

19. Les fonctions et les rôles dans Active Directory

Le maître d’attribution de noms de domaine
Lorsque vous ajoutez ou supprimez un domaine dans une forêt, cette modification est enregistrée dans Active Directory. Le maître d’attribution de noms de domaine contrôle l’ajout ou la suppression de domaines dans la forêt. Il n’existe qu’un maître d’attribution de noms de domaine dans chaque forêt. Lorsque vous ajoutez un domaine à la forêt, seul le contrôleur de domaine possédant le rôle de maître d’attribution des noms de domaine peut ajouter le nouveau domaine. Le maître d’attribution de noms de domaine empêche que plusieurs domaines portant le même nom soient ajoutés à la forêt. Lorsque vous utilisez l’Assistant Installation d’Active Directory pour créer un domaine enfant, il contacte le maître d’attribution des noms de domaine pour demander l’ajout ou la suppression. Si le maître d’attribution des noms de domaine est indisponible, vous n’avez pas la possibilité d’ajouter ni de supprimer des domaines. Ces rôles au niveau de la forêt doivent être uniques c’est-à-dire qu’il ne peut exister qu’un seul maître contrôleur de schéma et qu’un seul maître d’attribution de noms de domaine par forêt. C’est pour cela que, pour l’organisation, ces rôles maîtres seront placés sur l’un des contrôleurs de domaine du domaine racine (puzzmania.com) sur le contrôleur de domaine sncercdc02.

Les rôles maîtres au niveau du domaine
Les trois rôles maîtres d’opérations suivants concernent donc les rôles maîtres d’opération agissant au niveau du domaine. Ils seront installés par défaut sur le premier contrôleur enfant de chaque domaine. Et puisque d’un domaine à l’autre les besoins peuvent changer, ces rôles maîtres pourront être positionnés de manière différente.

Le maître des ID relatifs
Le maître des identificateurs relatifs (ou maître RID) est un contrôleur de domaine qui alloue des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque fois qu’un contrôleur de domaine crée une nouvelle entité de sécurité, telle qu’un objet utilisateur, groupe ou ordinateur, il attribue un identificateur de sécurité 664

Configurer les rôles maîtres d’opération

(SID, Security IDentifier) à cet objet. Cet identificateur consiste en un identificateur de sécurité de domaine, qui est le même pour toutes les entités de sécurité créées dans le domaine, et en un identificateur relatif qui est unique pour chaque entité de sécurité créée dans le domaine. Le maître RID prend en charge la création et les déplacements d’objets…
j

Création d’objets : pour permettre à une opération multimaître de créer des objets sur un contrôleur de domaine, le maître RID alloue un bloc d’identificateurs relatifs à un contrôleur de domaine. Lorsqu’un contrôleur de domaine requiert un bloc d’identificateurs relatifs supplémentaires, il contacte le maître RID qui lui alloue un nouveau bloc d’identificateurs relatifs, puis les attribue à de nouveaux objets. Lorsque la réserve d’identificateurs relatifs d’un contrôleur de domaine est vide et que le maître RID est indisponible, la création d’entité de sécurité sur ce contrôleur de domaine est impossible. L’utilitaire de diagnostic du contrôleur de domaine (commande dcdiag) vous permet d’afficher l’attribution de réserve d’identificateurs relatifs. Déplacement d’objets : lorsque vous déplacez un objet d’un domaine à l’autre, le déplacement est initié sur le maître RID qui contient l’objet. De cette façon, il n’y a pas de duplication des objets. Si vous déplaciez un objet sans qu’un seul maître conserve cette information, vous pourriez déplacer l’objet vers plusieurs domaines sans savoir qu’un déplacement précédent a déjà eu lieu. Suppression Lors d’un déplacement d’un domaine à un autre, le maître RID supprime l’objet du domaine d’origine.

19. Les fonctions et les rôles dans Active Directory

j

L’émulateur PDC
L’émulateur PDC agit comme un contrôleur de domaine principal Microsoft Windows NT pour prendre en charge les contrôleurs secondaires de domaine exécutant Windows NT dans un domaine en mode mixte. À la création d’un domaine, Active Directory attribue le rôle d’émulateur PDC au premier contrôleur de domaine du nouveau domaine. L’émulateur PDC exécute les rôles suivants :
j

Il agit en tant que contrôleur de domaine principal pour tous les contrôleurs secondaires de domaine existants. Si un domaine contient des contrôleurs secondaires de domaine ou des ordinateurs clients exécutant Windows NT 4.0 ou une version antérieure, l’émulateur PDC fonctionne en tant que contrôleur de domaine principal Windows NT ; l’émulateur PDC réplique les modifications apportées à l’annuaire sur tous les contrôleurs secondaires de domaine exécutant Windows NT.

665

Chapitre 19

Les fonctions et les rôles dans Active Directory

j

Il gère les modifications de mot de passe des ordinateurs exécutant Windows NT, Microsoft Windows 95 ou Windows 98. Active Directory inscrit directement les modifications de mot de passe dans l’émulateur PDC. Il minimise la latence de réplication des modifications de mot de passe. Le délai nécessaire pour qu’un contrôleur de domaine reçoive une modification apportée à un autre contrôleur de domaine est appelé"latence de réplication". Lorsque le mot de passe d’un ordinateur client exécutant Windows 2000 ou une version ultérieure est modifié sur un contrôleur de domaine, ce dernier transmet immédiatement la modification à l’émulateur PDC. Si une authentification de connexion échoue sur un autre contrôleur de domaine du fait d’un mauvais mot de passe, ce contrôleur de domaine transmet la demande d’authentification à l’émulateur PDC avant de rejeter la tentative de connexion. Il synchronise l’heure de tous les contrôleurs de domaine du domaine en fonction de son heure. Le protocole d’authentification Kerberos, version 5, exige que l’heure des contrôleurs de domaine soit synchrone pour autoriser l’authentification. Les ordinateurs clients d’un domaine synchronisent également leur heure sur celle du contrôleur de domaine authentifiant l’utilisateur. Il interdit toute possibilité d’écrasement des objets de stratégie de groupe (GPO, Group Policy Object). Par défaut, la stratégie de groupe réduit les risques de conflits de réplication en s’exécutant sur le contrôleur de domaine jouant le rôle d’émulateur PDC pour ce domaine.

j

19. Les fonctions et les rôles dans Active Directory

j

j

Le maître d’infrastructure
Le maître d’infrastructure est un contrôleur de domaine qui met à jour les références des objets de son domaine qui pointent vers les objets d’un autre domaine. La référence contient l’identificateur global unique (GUID, Globally Unique IDentifier) de l’objet, son nom unique et éventuellement un identificateur de sécurité (SID). Active Directory met régulièrement à jour le nom unique et l’identificateur de sécurité afin de refléter les modifications apportées à l’objet, par exemple lorsqu’un objet a été déplacé au sein d’un domaine ou entre des domaines, ou qu’il a été supprimé.

Identification de l’appartenance à un groupe
Si l’identificateur de sécurité ou le nom unique d’un compte d’utilisateur ou d’un groupe est modifié dans un autre domaine, Active Directory doit mettre à jour l’appartenance au groupe de votre domaine faisant référence à l’utilisateur ou au groupe modifié. Le maître d’infrastructure du domaine dans lequel réside le groupe (ou la référence) met à jour l’appartenance au groupe en répliquant la modification sur l’ensemble du domaine. Le maître d’infrastructure met à jour l’identification de l’objet en fonction des règles suivantes :
j

Si l’objet est déplacé, son nom unique change car il représente son emplacement exact dans l’annuaire.

666

Configurer les rôles maîtres d’opération

j j j

Si l’objet est déplacé au sein du domaine, son identificateur de sécurité ne change pas. Si l’objet est déplacé vers un autre domaine, l’identificateur de sécurité change afin de refléter le nouvel identificateur de sécurité du domaine. L’identificateur global unique ne change pas quel que soit l’emplacement car il est unique sur tous les domaines. Vérifier le transfert de rôle Dans un environnement à domaines multiples, assurez-vous que le rôle maître d’infrastructure est transféré sur un contrôleur de domaine qui n’héberge pas le catalogue global. Sinon, certains contrôleurs de domaine peuvent finir par disposer d’informations obsolètes sur les appartenances aux groupes.

19. Les fonctions et les rôles dans Active Directory

Le maître d’infrastructure et le catalogue global
Ne nommez pas maître d’infrastructure un contrôleur de domaine qui héberge le catalogue global. Si le maître d’infrastructure et le catalogue global sont sur le même ordinateur, le maître d’infrastructure ne fonctionne pas car il ne renferme aucune référence aux objets qu’il ne contient pas. Régulièrement, le maître d’infrastructure d’un domaine examine les références aux objets non conservés sur ce contrôleur de domaine dans son réplica des données de l’annuaire. Il demande à un serveur de catalogue global les informations en cours relatives au nom unique et à l’identificateur de sécurité de chaque objet référencé. Si ces informations ont changé, le maître d’infrastructure reproduit la modification dans son réplica local, puis réplique les modifications sur les autres contrôleurs de domaine du domaine.

Le transfert des rôles
Puisque nous venons de voir qu’il peut être utile et même parfois quasi obligatoire de modifier l’emplacement des rôles maîtres d’opérations. Puzzmania a choisi en fonction de besoins et des contraintes de positionner les rôles maîtres d’opération de la manière suivante :
Tableau 19.1 : Récapitulatif des rôles maîtres pour l’organisation de puzzmania
Rôles maîtres Contrôleur de schéma Attribution de noms de domaine Puzzmania.com sncdrcdc02 sncdrcdc02 Corp.puzzmania.com Recherche.puzzmania.com Aucun Aucun Aucun Aucun

667

Chapitre 19

Les fonctions et les rôles dans Active Directory

Rôles maîtres ID relatifs Émulateur PDC Infrastructure

Puzzmania.com sncercdc01 sncercdc01 sncercdc02

Corp.puzzmania.com Recherche.puzzmania.com sparcpdc01 sncecpdc01 stlscpdc01 sncerddc01 sncerddc01 sncerddc02

19. Les fonctions et les rôles dans Active Directory

Ce qui nous amène à aborder le transfert de rôles des maîtres d’opérations. Une question légitime pour se poser : "Mais s’il n’y a qu’un seul maître d’opérations pour la forêt ou le domaine ! Que le contrôleur de domaine tombe en panne, comment vais-je faire pour transférer mon rôle maître ? Que va-t-il se passer ?" En fait, dans ce cas, il ne sera plus question de transférer un rôle maître, mais plutôt d’effectuer une prise de ce rôle. Cela comporte un certain nombre de recommandations.

Le transfert du rôle maître de contrôleur de schéma
Commençons tout d’abord par transférer les rôles maîtres d’opérations uniques à la forêt.

Procédure de détermination du contrôleur de schéma
Avant de transférer un rôle, vous devez tout d’abord savoir quel est le contrôleur de domaine qui possède ce rôle maître. Pour cela, deux possibilités s’offrent à vous : le mode graphique ou le mode ligne de commandes. Pour déterminer en lignes de commandes quel serveur est le maître actuel du schéma, tapez dans une fenêtre d’Invite de commandes : Dsquery server –hasfsmo schema.

Figure 19.1 : Ligne de commande

Pour déterminer en mode graphique quel serveur est le contrôleur de schéma, procédez comme suit : 1. Enregistrez le composant logiciel enfichable Schéma Active Directory en exécutant la commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll.
Figure 19.2 :

Enregistrement de la DLL schmmgmt.dll

668

Configurer les rôles maîtres d’opération

2. Cliquez sur OK. 3. Créez une console MMC (Microsoft Management Console) personnalisée, puis ajoutez-lui le composant logiciel enfichable Schéma Active Directory. 4. Dans l’arborescence de la console, développez, puis cliquez avec le bouton droit sur Schéma Active Directory, et cliquez sur Maître d’opérations. 5. Dans la boîte de dialogue Modifier le maître d’opérations, examinez le nom de l’actuel contrôleur de schéma.

Procédure de transfert du rôle de contrôleur de schéma
Pour transférer le rôle de maître d’opérations du schéma, procédez comme suit : 1. Ouvrez Schéma Active Directory. 2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Changer le contrôleur de domaine.
Figure 19.3 : Changer le contrôleur d domaine

19. Les fonctions et les rôles dans Active Directory

3. Cliquez sur Spécifiez un nom, entrez le nom du contrôleur de domaine auquel vous souhaitez transférer le rôle de contrôleur de schéma (scerddc02), puis cliquez sur OK. 4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d’opérations.
Figure 19.4 : Transfert du rôle maître de schéma

669

Chapitre 19

Les fonctions et les rôles dans Active Directory

5. Lorsque vous voyez le nom du contrôleur de domaine scerddc02, cliquez sur Modifier, puis sur Oui. Utiliser le composant logiciel enfichable Schéma Active Directory Avant de pouvoir utiliser le composant logiciel enfichable Schéma Active Directory, vous devez utiliser Regsvr32.exe pour enregistrer ce composant, Schmmgmt.dll, puis créer une nouvelle console MMC personnalisée.

19. Les fonctions et les rôles dans Active Directory

Le transfert du rôle maître d’attribution de noms de domaine
Procédure de détermination du maître d’attribution de noms de domaine
Pour déterminer en lignes de commandes quel serveur est le maître d’attribution de noms de domaine actuel, tapez dans une fenêtre d’Invite de commandes : Dsquery server –hasfsmo name.

Figure 19.5 : Ligne de commande

Pour déterminer en mode graphique quel serveur est le maître d’attribution de noms de domaine actuel, procédez comme suit : 1. Ouvrez Domaines et approbations Active Directory.

Figure 19.6 : Console Domaines et approbations Active Directory

670

Configurer les rôles maîtres d’opération

2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d’opérations. 3. Dans la boîte de dialogue Modifier le maître d’opérations, examinez le nom de l’actuel maître d’attribution de noms de domaine scncercdc01 (premier contrôleur par défaut de la forêt).

Procédure de transfert du rôle de maître d’attribution de noms de domaine
Pour transférer le rôle de maître d’attribution de noms de domaine sur un autre contrôleur de domaine, procédez comme suit : 1. Ouvrez Domaines et approbations Active Directory. 2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine. 3. Sur la liste, sélectionnez un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui deviendra le nouveau maître d’attribution de noms de domaine scncercdc02, puis sur OK. 4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d’opérations.
Figure 19.7 : Transfert du rôle maître d’attribution de noms

19. Les fonctions et les rôles dans Active Directory

5. Lorsque le nom du contrôleur de domaine apparaît, cliquez sur Modifier, puis sur Oui.
Figure 19.8 : Message de validation du transfert

671

Chapitre 19

Les fonctions et les rôles dans Active Directory

Le transfert des rôles maîtres de domaine
La détermination du maître RID, de l’émulateur PDC et du maître d’infrastructure
Avant d’envisager le déplacement d’un rôle de maître d’opérations, identifiez le contrôleur de domaine qui détient un rôle de maître d’opérations particulier. Localisation des rôles maîtres d’opérations Seuls les utilisateurs authentifiés ont l’autorisation de localiser les rôles de maître d’opérations. Selon le rôle de maître d’opérations, utilisez l’un des composants logiciels enfichables Active Directory suivants : Utilisateurs et ordinateurs Active Directory (rôles de maître d’infrastructure, émulateur PDC et maître RID) ; j Domaines et approbations Active Directory (rôle de maître d’attribution de noms de domaine) ;
j j

19. Les fonctions et les rôles dans Active Directory

Schéma Active Directory (rôle de contrôleur de schéma).

Pour déterminer quel contrôleur de domaine exécute le rôle de maître RID, d’émulateur PDC ou de maître d’infrastructure, procédez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.

Figure 19.9 : Console Utilisateurs et Ordinateurs Active Directory

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le domaine pour lequel vous souhaitez afficher les maîtres d’opérations, puis cliquez sur Maîtres d’opérations. 3. Sous les onglets RID, CDP et Infrastructure, sous la rubrique Maîtres d’opérations, visualisez le nom de l’actuel Maître d’opérations.

672

Configurer les rôles maîtres d’opération

Figure 19.10 : Maîtres d’opérations de domaine

19. Les fonctions et les rôles dans Active Directory

Le transfert des rôles de maître RID, d’émulateur PDC et de maître d’infrastructure
Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory vous permet de transférer les trois rôles de maître d’opérations au niveau du système. Pour transférer le rôle de maître d’attribution de noms de domaine, utilisez le composant logiciel enfichable Domaines et approbations Active Directory. Pour transférer le rôle de contrôleur de schéma Active Directory, utilisez l’outil Schéma Active Directory. Pour transférer le rôle de maître RID, d’émulateur PDC ou de maître d’infrastructure, procédez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine. 3. Sur la liste, sélectionnez un contrôleur de domaine disponible, cliquez sur les contrôleurs de domaine pour chaque rôle qui conviendra au nouveau maître d’opérations (voir le tableau récapitulatif des rôles maîtres d’opérations pour puzzmania), puis sur OK. 4. Dans l’arborescence de la console, cliquez avec le bouton droit sur le domaine puzzmania contenant les serveurs qui deviendront les nouveaux maîtres d’opérations, puis cliquez sur Maîtres d’opérations. Effectuez ces tâches autant de fois qu’il y a de domaines.

673

Chapitre 19

Les fonctions et les rôles dans Active Directory

Figure 19.11 : Transfert du rôle maître d’infrastructure

19. Les fonctions et les rôles dans Active Directory

5. Sous les onglets RID, CDP et Infrastructure, sous Maîtres d’opérations, visualisez, cliquez sur Modifier, puis sur Oui. Déterminer les contrôleurs de domaine qui doivent obtenir les rôles Lorsqu’un contrôleur de domaine est rétrogradé au rang de serveur membre, il abandonne les rôles de maître d’opérations qu’il détenait aux autres contrôleurs de domaine. Pour pouvoir déterminer les contrôleurs de domaine qui doivent obtenir les rôles, transférez ces derniers avant de procéder à la rétrogradation.

19.2. Configurer le catalogue global
Maintenant que les rôles maîtres d’opérations sont transférés sur leur contrôleur de domaine respectif, il faut encore configurer les contrôleurs de domaine qui devront répondre au rang de serveur de catalogue global. Mais avant, voici un petit rappel concernant le catalogue global. Le catalogue global est le référentiel central des informations concernant les objets d’une forêt dans Active Directory. La mise en cache de l’appartenance au groupe universel dans Windows Server 2003 réduit le trafic et améliore le temps de connexion entre des liaisons lentes de réseau étendu (WAN, Wide Area Network). Vous devez comprendre les serveurs de catalogue global et la mise en cache de l’appartenance au groupe universel pour planifier le placement de contrôleurs de domaine dans votre réseau. 674

Configurer le catalogue global

Configurer des catalogues globaux
1. Démarrez Sites et services Active Directory.

19. Les fonctions et les rôles dans Active Directory

Figure 19.12 : Console Sites et Services

2. Dans l’arborescence de la console, développez l’arborescence du site avec lequel vous souhaitez travailler, par exemple Nice. 3. Développez le dossier serveur du site, puis cliquez sur le serveur qui devra héberger le catalogue global. Prenons comme exemple scnecpdc01, domaine contrôleur du site de Nice pour le domaine corp. 4. Dans le volet affichage, cliquez du bouton droit de la souris sur le paramètre NTDS, puis sélectionnez Propriétés. 5. Pour activer le catalogue global, cochez la case Catalogue global sous l’onglet Général. Voici l’exemple présenté ci-après :

675

Chapitre 19

Les fonctions et les rôles dans Active Directory

Figure 19.13 : Activer le catalogue global

19. Les fonctions et les rôles dans Active Directory

6. Pour désactiver le catalogue global, décochez tout simplement l’option.

Figure 19.14 : Catalogue global pour puzzmania dans un environnement multidomaine

676

Configurer le catalogue global

Trafic de réplications L’activation d’un serveur de catalogue global peut entraîner un trafic de réplications supplémentaire pendant que le serveur récupère une copie initiale complète de tout le catalogue global. Le contrôleur de domaine ne s’annonce pas comme serveur de catalogue global avant d’avoir reçu les informations du catalogue global via la réplication.

Que se passe-t-il en l’absence de catalogue global ?
Si un catalogue global n’est pas disponible lorsqu’un utilisateur ouvre une session sur un domaine s’exécutant dans le niveau fonctionnel de domaine de Windows 2000 natif ou Windows Server 2003, le contrôleur de domaine qui traite la demande de connexion de l’utilisateur refuse la requête, et l’utilisateur ne peut pas ouvrir de session. Si aucun contrôleur de domaine n’est disponible pour traiter une demande de connexion d’un utilisateur, le contrôleur de domaine traite la demande de connexion à l’aide des informations d’identification de l’utilisateur en mémoire cache. Cette fonctionnalité permet à des utilisateurs d’ouvrir une session sur des ordinateurs portables lorsqu’ils ne sont pas connectés au réseau d’entreprise. Le compte Administrateur du domaine peut toujours ouvrir une session, même lorsqu’aucun serveur de catalogue global n’est disponible. Bénéficier des avantages de réduction du trafic Les ordinateurs clients doivent avoir accès à un serveur de catalogue global pour ouvrir une session. Par conséquent, dans la plupart des cas, vous devez disposer d’au moins un serveur de catalogue global dans chaque site pour bénéficier des avantages de réduction du trafic sur le réseau que permet l’utilisation de sites.

19. Les fonctions et les rôles dans Active Directory

Les niveaux fonctionnels sous Windows Server 2003
Sous Windows Server 2003, les fonctionnalités des forêts et des domaines offrent un moyen d’activer les fonctionnalités Active Directory étendues à l’échelle de la forêt ou du domaine dans votre environnement réseau. Selon votre environnement, différents niveaux de fonctionnalité de forêt et de fonctionnalité de domaine sont disponibles. Outre les fonctionnalités de base d’Active Directory sur les contrôleurs de domaine individuels, de nouvelles fonctionnalités Active Directory étendues à la forêt et au domaine sont disponibles lorsque certaines conditions sont satisfaites.

677

Chapitre 19

Les fonctions et les rôles dans Active Directory

Au niveau des domaines
Par définition la fonctionnalité de domaine active des fonctionnalités qui auront un impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels de domaine sont disponibles :
j j j

Windows 2000 mixte ; Windows 2000 natif ; Windows 2003 Server ; Windows 2003, version préliminaire. Liste des fonctionnalités Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau fonctionnel de la forêt ou du domaine, reportez-vous à la rubrique Fonctionnalité des domaines et des forêts, en ligne, dans Aide et Support.

19. Les fonctions et les rôles dans Active Directory

j

Attention, il n’est pas possible de réduire le niveau fonctionnel d’un domaine après l’avoir élevé !

Conditions requises pour activer de nouvelles fonctionnalités étendues au domaine
Bien évidemment, tout le monde sous Windows 2003 Server ne peut pas élever les niveaux fonctionnels des domaines comme il le souhaite. Pour activer les nouvelles fonctionnalités étendues au domaine, tous les contrôleurs de domaine du domaine doivent exécuter Windows Server 2003, et le niveau fonctionnel du domaine doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un administrateur de domaine. Voici les différents niveaux fonctionnels de domaine de Windows Server 2003 et les contrôleurs de domaine pris en charge pour chaque niveau :
Tableau 19.2 : Niveaux de fonctionnalité dans le domaine Niveau fonctionnel du domaine Windows 2000 mixte Windows 2000 natif Windows Server 2003, version préliminaire Windows Server 2003 Contrôleurs de domaine pris en charge Windows NT 4, Windows 2000, Windows Server 2003 Windows 2000, Windows Server 2003 Windows NT 4, Windows Server 2003 Windows Server 2003

Voici un récapitulatif des différences fonctionnelles entre les modes de domaine :

678

Configurer le catalogue global

Tableau 19.3 : Différences fonctionnelles entre les modes de domaine Fonctionnalité Renommer un contrôleur de domaine Mise à jour de l’heure d’ouverture de session Windows 2000 mixte Non Non Windows 2000 natif Non Non Non Windows Server 2003 Oui Oui Oui

Non Mot de passe de l’utilisateur dans l’objet InetOrgPerson object Groupes Universels Groupes de distribution : oui ; Groupes de sécurité : non

19. Les fonctions et les rôles dans Active Directory

Oui Autorise les groupes de sécurité et de distribution Oui Autorise une imbrication totale des groupes

Oui Autorise les groupes de sécurité et de distribution Oui Autorise une imbrication totale des groupes

Imbrication de groupes Groupes de distribution : oui ; Groupes de sécurité : non (toutefois les groupes de sécurité du domaine local peuvent avoir des groupes globaux comme membres) Conversion de groupes Non Aucune conversion de groupe n’est autorisée

Oui Autorise la conversion entre les groupes de sécurité et les groupes de distribution Oui Autorise les principaux de sécurité à migrer d’un domaine à un autre

Oui Autorise la conversion entre les groupes de sécurité et les groupes de distribution Oui Autorise les principaux de sécurité à migrer d’un domaine à un autre

Historique SID

Non

Au niveau de la forêt
Par définition la fonctionnalité de forêt active les fonctionnalités à travers tous les domaines de votre forêt. Deux niveaux fonctionnels de forêt sont disponibles : Windows 2000 et Windows Server 2003. Par défaut, les forêts opèrent au niveau fonctionnel Windows 2000. Vous pouvez élever le niveau fonctionnel de la forêt vers Windows Server 2003 afin d’activer des fonctionnalités qui ne sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
j j

les approbations de forêt ; une réplication accrue. 679

Chapitre 19

Les fonctions et les rôles dans Active Directory

Liste des fonctionnalités Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau fonctionnel de la forêt ou du domaine, reportez-vous à la rubrique Fonctionnalité des domaines et des forêts, en ligne, dans Aide et Support. Attention, il n’est pas possible de réduire le niveau fonctionnel d’une forêt après l’avoir élevé ! Tout comme pour l’élévation de niveau fonctionnel de domaine, ne peut pas élever qui veut le niveau fonctionnel de forêt. Il est important de rappeler qu’élever ce niveau fonctionnel aura un impact sur toute la forêt. Pour pouvoir effectuer cette manipulation, il est nécessaire de répondre à certainement conditions. Pour activer les nouvelles fonctionnalités étendues à la forêt, tous les contrôleurs de domaine de la forêt doivent exécuter Windows Server 2003, et le niveau fonctionnel de la forêt doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un administrateur d’entreprise. Voici les différents niveaux fonctionnels de forêt de Windows Server 2003 et les contrôleurs de domaine pris en charge pour chaque niveau :
Tableau 19.4 : Niveaux de fonctionnalité de forêt Niveau fonctionnel de forêt Windows 2000 Windows Server 2003, version préliminaire Windows Server 2003 Contrôleurs de domaine pris en charge Windows NT 4, Windows 2000, Windows Server 2003 Windows NT 4, Windows Server 2003 Windows Server 2003

19. Les fonctions et les rôles dans Active Directory

Liste des fonctionnalités Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau fonctionnel de la forêt ou du domaine, reportez-vous à la rubrique Fonctionnalité des domaines et des forêts, en ligne, dans Aide et Support. Voici un récapitulatif des différences fonctionnelles entre les modes de domaine :
Tableau 19.5 : Différences fonctionnelles entre les modes de forêt Fonctionnalité Améliorations de la réplication du catalogue global Windows 2000 Non, à moins que les partenaires de réplication soient tous sous Windows Server 2003 Windows Server 2003 Oui

680

Élever les niveaux fonctionnels

Fonctionnalité Objets du schéma défunts Approbations de forêts Réplication de valeurs liées Changement de nom d’un domaine Algorithmes améliorés de la réplication Active Directory Classes auxiliaires dynamiques Changement dans InetOrgPerson objectClass

Windows 2000 Non Non Non Non Non Non Non

Windows Server 2003 Oui Oui Oui Oui Oui Oui Oui

19. Les fonctions et les rôles dans Active Directory

19.3. Élever les niveaux fonctionnels
En augmentant les fonctionnalités de la forêt et du domaine vers Windows Server 2003, vous activez certaines fonctionnalités comme les approbations de forêt, par exemple qui ne sont pas disponibles à d’autres niveaux fonctionnels. Vous pouvez augmenter les fonctionnalités de la forêt ou du domaine en utilisant le composant logiciel enfichable Domaines et approbations Active Directory.

Figure 19.15 : Console Domaines et approbations Active Directory

Élever le niveau fonctionnel du domaine
Conditions requises pour activer de nouvelles fonctionnalités étendues au domaine :

681

Chapitre 19

Les fonctions et les rôles dans Active Directory

Pour activer les nouvelles fonctionnalités étendues au domaine, tous les contrôleurs de domaine du domaine doivent exécuter Windows Server 2003, et le niveau fonctionnel du domaine doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un administrateur de domaine. Pour augmenter le niveau fonctionnel du domaine, procédez ainsi : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Cliquez du bouton droit de la souris sur le domaine que vous souhaitez faire évoluer et choisissez Augmenter le niveau fonctionnel du domaine. Une boîte de dialogue s’ouvre.
Figure 19.16 : Augmenter le niveau fonctionnel du domaine

19. Les fonctions et les rôles dans Active Directory

3. Sélectionnez le niveau désiré sur la liste déroulante. Seuls les niveaux possibles apparaissent. Cliquez sur Augmenter. Une boîte de confirmation apparaît.

Figure 19.17 : Information de mise en garde

4. Si vous êtes sûr de votre choix, cliquez sur OK. Prudence Vous ne pourrez plus revenir en arrière sans un gros travail de restauration du domaine des sauvegardes Active Directory. Soyez prudent !

Figure 19.18 : Confirme que le niveau fonctionnel a bien été élevé

682

Élever les niveaux fonctionnels

Unique référence aux contrôleurs de domaines d’un domaine particulier Le niveau fonctionnel du domaine fait. Vous pouvez toujours utiliser des contrôleurs de domaines de niveaux inférieurs dans la même arborescence pourvu qu’ils se situent dans des domaines différents.

Changer le niveau fonctionnel d’une forêt
Des conditions sont requises pour activer de nouvelles fonctionnalités étendues à la forêt… Pour activer les nouvelles fonctionnalités étendues à la forêt, tous les contrôleurs de domaine de la forêt doivent exécuter Windows Server 2003, et le niveau fonctionnel de la forêt doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un administrateur d’entreprise. Augmenter le niveau fonctionnel de tous les domaines d’une forêt Vous devez augmenter le niveau fonctionnel de tous les domaines d’une forêt vers Windows 2000 natif ou supérieur avant de pouvoir augmenter celui de la forêt. Pour augmenter le niveau fonctionnel de la forêt, procédez ainsi : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Cliquez du bouton droit de la souris à la racine de l’arborescence. Choisissez Augmenter le niveau fonctionnel de la forêt. 3. Sélectionnez le niveau de fonctionnalité souhaité sur la liste déroulante. Seuls les niveaux possibles apparaissent. Cliquez sur Augmenter. Une boîte de confirmation apparaît. Si le niveau de la forêt ne peut pas être augmenté, la boîte de dialogue apparaît.
Figure 19.19 : Augmenter le niveau fonctionnel de forêt

19. Les fonctions et les rôles dans Active Directory

4. Si vous êtes sûr de votre choix, Cliquez sur OK. Attention car vous ne pourrez plus revenir en arrière ! 683

Chapitre 19

Les fonctions et les rôles dans Active Directory

19.4. Les relations d’approbation
L’implémentation du service d’annuaire Active Directory touche à ça fin ! Il reste encore une étape facultative mais importante à aborder : les relations d’approbation. Une fois l’implémentation et la nouvelle organisation mises en place, c’est par les relations d’approbation avec les différents domaines de l’entreprise que puzzmania pourra continuer à accéder aux ressources des domaines en productions. Sous Windows Server 2003, plusieurs types de relations d’approbation existent. En voici quelques explications… Le composant logiciel enfichable Domaines et approbations Active Directory permet de visualiser tous les domaines de la forêt, de gérer les relations d’approbation entre domaines, de modifier le mode opératoire d’un domaine, de configurer les suffixes de noms principaux d’utilisateurs pour la forêt et enfin d’accéder à l’outil d’administration Utilisateurs et ordinateurs Active Directory. Pour rappel, qu’est-ce qu’une relation d’approbation ? C’est tout simplement un canal sécurisé entre des domaines, des arborescences ou de forêts. Les approbations permettent aux utilisateurs d’un domaine d’être authentifiés par un contrôleur de domaine présent dans d’autres domaines et, par nature, elles peuvent représenter des liaisons transitives, unidirectionnelles ou bidirectionnelles. Les domaines Windows 2003 Server sont plus simples à gérer que les domaines NT4 car les approbations transitives bidirectionnelles sont établies automatiquement entre les domaines parents et enfants dans une arborescence de domaine et entre les domaines racines des arborescences d’une forêt. Cependant, il faut savoir que ces approbations ne sont transitives que lorsque vous avez passé vos domaines au niveau fonctionnel Windows 2000 natif ; autrement dit, lorsqu’il ne reste plus aucun BDC NT.

19. Les fonctions et les rôles dans Active Directory

Les différentes approbations
Approbation racine d’arborescence
Celle-ci s’établit implicitement lorsque vous ajoutez un nouveau domaine racine à une forêt. Par exemple dans le schéma Approbations racine d’arborescence (voir fig. 19.20). Cette relation s’établit entre le domaine puzzmania.com et le domaine creadesign .com. Ce dernier, qui est un nouveau domaine, vient s’ajouter à la forêt. L’approbation est créée entre le domaine que vous vous apprêtez à créer (la racine de la nouvelle arborescence) et le domaine racine de la forêt existante. Cela n’est possible qu’entre les racines de deux arborescences de la même forêt. L’approbation est alors transitive et bidirectionnelle.

684

Les relations d’approbation

19. Les fonctions et les rôles dans Active Directory

Figure 19.20 : Approbations racine d’arborescence

Approbation parent enfant
Celle-ci s’établit implicitement lorsque vous créez un nouveau domaine enfant dans une arborescence. Voyez, par exemple, le schéma suivant :

Figure 19.21 : Approbations parent enfant

685

Chapitre 19

Les fonctions et les rôles dans Active Directory

Une relation d’approbation s’établit entre le domaine puzzmania.com et le corp .puzzmania.com lorsque ce dernier, un nouveau domaine enfant du domaine puzzmania.com, vient s’ajouter à l’arborescence. Le processus d’installation d’Active Directory crée automatiquement une relation d’approbation entre le nouveau domaine et celui qui le précède immédiatement dans la hiérarchie de l’espace de noms (par exemple, corp.puzzmania.com et créé en tant qu’enfant de puzzmania.com). Il en résulte qu’un domaine qui rejoint une arborescence dispose immédiatement des relations d’approbations établies avec tous les domaines de l’arborescence. Cela rend disponibles tous les objets de tous les domaines de l’arborescence pour tous les autres domaines de ladite arborescence. L’approbation est transitive et bidirectionnelle. 19. Les fonctions et les rôles dans Active Directory

Approbation raccourcie
Il s’agit tout simplement d’approbations externes créées pour raccourcir le chemin entre deux domaines d’une même forêt lorsque les utilisateurs de l’un ou des domaines ont besoin d’un accès fréquent aux ressources de l’autre domaine.

Figure 19.22 : Approbations raccourcie

En créant une approbation raccourcie entre deux domaines d’une forêt, le processus d’authentification Kerberos, par lequel un accès à des ressources dans deux domaines différents est accordé à des utilisateurs, est considérablement plus court d’un point de vue du nombre de domaine à traverser, réduisant d’autant le trafic d’authentification et accélérant le processus le processus d’authentification interdomaine. Ce type de relations d’approbations reste utile uniquement pour les organisations possédant plusieurs niveaux de domaines.

686

Les relations d’approbation

Approbation externe
Également appelé "approbation à sens unique", ce type d’approbation est unidirectionnel et non transitif (similaire à NT) et doit être créé explicitement à l’aide de la console Domaines et approbations Active Directory. Dans une approbation externe le domaine approuvant approuve le domaine approuvé et les utilisateurs du domaine approuvé peuvent accéder aux ressources du domaine approuvant, à condition qu’ils disposent des autorisations adéquates sur les ressources auxquelles ils essaient d’accéder. 19. Les fonctions et les rôles dans Active Directory

Figure 19.23 : Approbations raccourcie

Vous pouvez établir explicitement une approbation externe entre un domaine Windows Server 2003 et un autre domaine Windows Server 2003, un domaine Windows 2000 Server ou un domaine NT. Vous pouvez également créer une approbation bidirectionnelle non transitive entre deux domaines en créant deux approbations unidirectionnelles dans des sens opposés. Voici les utilisations types des approbations externes :
j j

pour établir une approbation explicite entre un domaine Windows Server 2003 ou Windows 2000 Server et un domaine NT4 ; pour établir une approbation explicite entre deux domaines Windows Server 2003 et Windows 2000 se trouvant dans des forêts différentes.

687

Chapitre 19

Les fonctions et les rôles dans Active Directory

Approbation au niveau de la forêt
Les approbations de forêt sont nouvelles sous Windows Server 2003. Elles ne sont disponibles que pour les forêts configurées au niveau fonctionnel de forêt Windows 2003. Les approbations de forêt permettent aux utilisateurs d’une forêt d’accéder aux ressources d’une autre forêt en utilisant l’authentification Kerberos ou NTLM. Les approbations de forêts sont des approbations transitives qui peuvent être créées manuellement entre les domaines racines des deux forêts. Elles ajoutent une nouvelle souplesse supplémentaire à la planification d’une implémentation d’Active Directory. Notons toutefois que les approbations de forêt sont des approbations externes créées entre les domaines racines de deux forêts. Que les approbations de forêts ne fonctionnent qu’entre deux forêts. Autrement dit, si une approbation de forêt et créée entre A et B et une seconde entre B et C, il n’y a aucune approbation implicite entre les forêts A et C ; la transitivité n’est valide qu’entre deux forêts connectées par l’approbation.

19. Les fonctions et les rôles dans Active Directory

Approbation domaine kerberos
Encore une des nouveautés sous Windows Server 2003, Il est possible maintenant de réaliser des approbations Kerberos. Ce sujet ne concerne pas le propos de cet ouvrage et son étude de cas, et nous vous invitons à consulter les différents sites Internet traitant de Windows Server 2003.

Le fonctionnement des approbations
Comment fonctionnent les approbations dans une forêt ?
Les approbations permettent aux utilisateurs d’un domaine d’accéder aux ressources d’un autre domaine. Les relations d’approbation peuvent être transitives ou non transitives.

Comment les approbations permettent aux utilisateurs d’accéder aux ressources d’une forêt
Lorsqu’un utilisateur tente d’accéder à une ressource d’un autre domaine, le protocole d’authentification Kerberos, version 5, doit déterminer si le domaine à approuver (c’est-à-dire le domaine qui contient la ressource à laquelle tente d’accéder l’utilisateur) possède une relation d’approbation avec le domaine approuvé (c’est-à-dire le domaine dans lequel l’utilisateur tente d’ouvrir une session). Pour déterminer cette relation, le protocole Kerberos, version 5, suit le chemin d’approbation en utilisant le TDO afin d’obtenir une référence au contrôleur de domaine du domaine cible. Le contrôleur de domaine cible émet un ticket de service pour le service demandé. Le chemin d’approbation est le chemin d’accès le plus court dans la hiérarchie d’approbation. 688

Les relations d’approbation

Lorsqu’un utilisateur du domaine approuvé tente d’accéder aux ressources d’un autre domaine, son ordinateur contacte d’abord le contrôleur de domaine de son domaine afin d’obtenir l’authentification pour la ressource. Si la ressource ne se trouve pas dans le domaine de l’utilisateur, le contrôleur de domaine utilise la relation d’approbation avec son parent et renvoie l’ordinateur de l’utilisateur vers un contrôleur de domaine de son domaine parent. Cette tentative de localisation de la ressource se poursuit jusqu’au sommet de la hiérarchie, si possible vers le domaine racine de la forêt, et vers le bas de la hiérarchie tant qu’un contact n’est pas établi avec un contrôleur de domaine du domaine dans lequel se trouve la ressource.

19. Les fonctions et les rôles dans Active Directory

Comment fonctionnent les approbations entre les forêts ?
Windows Server 2003 prend en charge les approbations entre forêts, qui permettent aux utilisateurs d’accéder aux ressources d’une autre forêt. Lorsqu’un utilisateur tente d’accéder aux ressources d’une forêt approuvée, Active Directory doit préalablement rechercher les ressources. Une fois que les ressources ont été localisées, l’utilisateur peut être authentifié et autorisé à accéder aux ressources. Si vous comprenez bien le fonctionnement de ce processus, vous serez à même de résoudre les problèmes susceptibles de survenir avec les approbations entre forêts.

Comment s’effectue l’accès à une ressource
Nous vous donnons une description de la manière dont un ordinateur client Windows 2000 Professionnel ou Windows XP Professionnel recherche et accède aux ressources d’une autre forêt dotée de serveurs Windows 2000 Server ou Windows Server 2003. 1. Un utilisateur qui a ouvert une session sur le domaine corp.puzzmania.com tente d’accéder à un dossier partagé de la forêt creadesign.com. L’ordinateur de l’utilisateur contacte le KDC d’un contrôleur de domaine de corp.puzzmania.com et demande un ticket de service en utilisant le SPN de l’ordinateur sur lequel résident les ressources. Un SPN peut être le nom DNS d’un hôte ou d’un domaine, ou le nom unique d’un objet point de connexion de service. 2. Les ressources ne sont pas localisées dans corp.puzzmania.com, le contrôleur de domaine de corp.puzzmania.com demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la forêt. Étant donné qu’un catalogue global ne contient que des informations relatives à sa propre forêt, il ne trouve pas le SPN. Il recherche alors dans sa base de données les informations relatives à des approbations de forêt qui ont été établies avec sa forêt. S’il en trouve une, il compare les suffixes de noms répertoriés dans le TDO de l’approbation de forêt par rapport au suffixe du SPN cible. S’il trouve une correspondance, le catalogue global fournit les informations de routage relatives à la manière de localiser les ressources au contrôleur de domaine de corp.puzzmania.com.

689

Chapitre 19

Les fonctions et les rôles dans Active Directory

3. Le contrôleur de domaine de corp.puzzmania.com envoie une référence à son domaine parent, puzzmania.com, à l’ordinateur de l’utilisateur. 4. L’ordinateur de l’utilisateur contacte un contrôleur de domaine de puzzmania.com pour obtenir une référence à un contrôleur de domaine du domaine racine de la forêt creadesign.com. 5. Grâce à la référence renvoyée par le contrôleur de domaine de puzzmania.com, l’ordinateur de l’utilisateur contacte un contrôleur de domaine de la forêt creadesign.com pour obtenir un ticket de service pour le service demandé. 19. Les fonctions et les rôles dans Active Directory 6. Les ressources ne se trouvent pas dans le domaine racine de la forêt creadesign .com, le contrôleur de domaine contacte donc son catalogue global pour trouver le SPN. Le catalogue global trouve une correspondance pour le SPN et l’envoie au contrôleur de domaine. 7. Le contrôleur de domaine envoie une référence à etude.creadesign.com à l’ordinateur de l’utilisateur. 8. L’ordinateur de l’utilisateur contacte le KDC sur le contrôleur de domaine d’etude .creadesign.com et négocie un ticket pour l’utilisateur afin de pouvoir accéder aux ressources du domaine etude.creadesign.com. 9. L’ordinateur de l’utilisateur envoie le ticket de service à l’ordinateur sur lequel se trouvent les ressources partagées, il lit les informations d’identification de sécurité et crée un jeton d’accès permettant à l’utilisateur d’accéder aux ressources.

Créer des approbations
Vous pouvez utiliser Domaines et approbations Active Directory pour créer des relations d’approbation entre des forêts ou entre des domaines de la même forêt. Vous pouvez également l’utiliser pour créer des approbations raccourcies. Avant de créer une relation de forêt, vous devez créer une zone secondaire de recherche inversée sur le serveur DNS dans chaque forêt qui pointe vers le serveur DNS d’une autre forêt. La création de zones secondaires de recherche inversée garantit que le contrôleur de domaine de la forêt dans laquelle vous créez une approbation de forêt est à même de localiser un contrôleur de domaine de l’autre forêt et de définir une relation d’approbation. Pour créer une approbation, procédez comme suit : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Dans l’arborescence de la console, suivez l’une de ces étapes…
j j

Pour créer une approbation de forêt, cliquez avec le bouton droit de la souris sur le nœud de domaine du domaine racine de la forêt, puis cliquez sur Propriétés. Pour créer une approbation raccourcie, cliquez avec le bouton droit de la souris sur le nœud de domaine du domaine avec lequel vous souhaitez établir une approbation raccourcie, puis cliquez sur Propriétés.

690

Les relations d’approbation

j

Pour créer une approbation externe, cliquez avec le bouton droit de la souris sur le nœud de domaine du domaine avec lequel vous souhaitez établir une approbation, puis cliquez sur Propriétés.
Figure 19.24 :

Propriétés de corp.puzzmania.com

19. Les fonctions et les rôles dans Active Directory Pour créer une approbation de domaine, cliquez avec le bouton droit de la souris sur le nœud de domaine du domaine que vous souhaitez administrer, puis cliquez sur Propriétés.

j

3. Sous l’onglet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
Figure 19.25 : Assistant de création de la nouvelle approbation

691

Chapitre 19

Les fonctions et les rôles dans Active Directory

4. Dans la page d’accueil de l’Assistant Nouvelle approbation, cliquez sur Suivant. 5. Sur la page Nom d’approbation, suivez l’une de ces étapes…
j j j j

Si vous créez une approbation de forêt, tapez le nom DNS de la deuxième forêt, puis cliquez sur Suivant. Si vous créez une approbation raccourcie, tapez le nom DNS du domaine, tapez et confirmez le mot de passe de l’approbation, puis cliquez sur Suivant. Si vous créez une approbation externe, tapez le nom DNS du domaine, puis cliquez sur Suivant. Si vous créez une approbation de domaine, tapez le nom DNS du domaine cible, puis cliquez sur Suivant.

19. Les fonctions et les rôles dans Active Directory

6. Sur la page Type d’approbation, suivez l’une de ces étapes…
j j j

Si vous créez une approbation de forêt, cliquez sur Approbation de forêt, puis sur Suivant. Si vous créez une approbation raccourcie, passez à l’étape 7. Si vous créez une approbation externe, cliquez sur Approbation externe, puis sur Suivant.
Figure 19.26 : Type d’approbation

j

Si vous créez une approbation de domaine, cliquez sur Approbation de domaine, puis sur Suivant. Sur la page Transitivité de l’approbation, suivez l’une de ces étapes suivantes…

− Pour créer une relation d’approbation avec le domaine et le domaine Kerberos spécifié, cliquez sur Non transitif, puis sur Suivant. − Pour créer une relation d’approbation avec le domaine et le domaine Kerberos spécifié, cliquez sur Transitif, puis sur Suivant.

692

En résumé

7. Dans la page Direction de l’approbation, suivez l’une de ces étapes…
j j j

Pour créer une approbation bidirectionnelle, cliquez sur Bidirectionnel, puis suivez les instructions de l’assistant. Pour créer une approbation unidirectionnelle entrante, cliquez sur Sens unique : en entrée, puis suivez les instructions de l’assistant. Pour créer une approbation unidirectionnelle sortante, cliquez sur Sens unique : en sortie, puis suivez les instructions de l’assistant.

19.5. En résumé
Concluons ce chapitre par deux questions importantes… Combien y a-t-il de rôles maîtres d’opérations et comment peut-on les administrer ? Il y a cinq rôles maîtres d’opérations deux pour la forêt et trois par domaine, il est possible de les administrer depuis la MMC ou en lignes de commandes à l’aide de NTDSUtil. Pour la forêt…
j j

19. Les fonctions et les rôles dans Active Directory

Contrôleur de schéma : schema master (maître du schéma). Maître d’attribution de noms de domaine : domain naming master (maître nom de domaine).

Pour le domaine…
j j j

Maître des ID relatifs : rid master (maître identificateur relatif). Émulateur PDC : pdc (émulateur de PDC). Maître d’infrastructure : domain naming master (maître nom de domaine).

Nous avons vu également qu’il était possible d’utiliser des fonctionnalités avancées sous Windows Server 2003. Autre question : comment est-il possible d’utiliser les fonctions avancées de Windows Server 2003 ? En élevant les niveaux fonctionnels, de la forêt et des domaines. Voici un récapitulatif des différents niveaux. Au niveau de la forêt :
j j j

Windows 2000 ; Windows Server 2003, version préliminaire ; Windows Server 2003, natif. 693

Chapitre 19

Les fonctions et les rôles dans Active Directory

Au niveau du domaine :
j j j j

Windows 2000 mixte ; Windows 2000 natif ; Windows Server 2003, version préliminaire ; Windows Server 2003 natif.

Nous avons également abordé le catalogue global et les relations d’approbations. 19. Les fonctions et les rôles dans Active Directory Enfin, ne perdez pas de vue deux choses :
j j

N’hypothéquez jamais l’avenir concernant vos machines d’infrastructure. Il n’y a quasiment pas ou peu de mauvaise solution tant que votre implémentation, aussi bizarre soit-elle, répond à vos besoins. L’un des avantages d’Active Directory réside dans sa souplesse.

694

Chapitre 20

La maintenance d’Active Directory
20.1 20.2 20.3 20.4 20.5 Sauvegarder Active Directory . . . . . . . . . Restaurer Active Directory . . . . . . . . . . Défragmenter et déplacer Active Directory Prendre les rôles maîtres . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 . 700 . 704 . 707 . 712

Sauvegarder Active Directory

C

e chapitre décrit les opérations de maintenance d’Active Directory les plus couramment effectuées : la prise de rôles maîtres d’opération, la défragmentation et le déplacement d’Active Directory. Les plus critiques sont, bien sûr, les opérations de sauvegarde et de restauration de l’annuaire. Il est obligatoire en entreprise de nos jours de mettre en place un plan de sauvegarde et de restauration d’Active Directory. Il y va de la survie de l’infrastructure. Commençons justement le chapitre par cette partie.

20.1. Sauvegarder Active Directory
La sauvegarde d’Active Directory est une pierre angulaire de votre infrastructure. C’est une étape importante, bien que la restauration soit en fait l’opération essentielle en cas de défaillance. Mais une restauration réussie implique une sauvegarde minutieusement préparée, implémentée et surveillée. Que signifie sauvegarder Active Directory ? Cela veut dire sauvegarder tous les fichiers nécessaires au bon fonctionnement et à la récupération d’Active Directory. Sous Windows Server 2003, tous ces fichiers sont regroupés dans ce que l’on appelle l’état du système. L’état du système englobe les éléments suivants…
j j j

20. La maintenance d’Active Directory

Le dossier partagé Sysvol : il contient les modèles Stratégie de groupe et les scripts d’ouverture de session. La base de Registre : elle contient les informations sur la configuration de l’ordinateur. Les fichiers de démarrage du système : Windows Server 2003 requiert ces fichiers lors de la phase de démarrage initial. Ils incluent les fichiers système et de démarrage sous la protection de fichier Windows et sont utilisés par Windows pour charger, configurer et exécuter le système d’exploitation. La base de données des inscriptions de classe COM+ : elle contient des informations sur les applications des services de composants. La base de données des services de certificats : elle contient les certificats qu’un serveur exécutant Windows Server 2003 utilise pour authentifier les utilisateurs. Elle est présente uniquement si le serveur fonctionne comme serveur de certificats. Active Directory : la base en elle-même est composée des fichiers suivants : − Ntds.dit : il s’agit de la base de données Active Directory qui stocke tous les objets d’Active Directory au niveau du contrôleur de domaine. L’extension .dit fait référence à l’arborescence des informations de l’annuaire. Son emplacement par défaut est le dossier %systemroot%\NTDS. Active Directory enregistre chaque transaction dans un ou plusieurs fichiers journaux associés au fichier Ntds.dit. 697

j j

j

Chapitre 20

La maintenance d’Active Directory

− Edb*.log : il s’agit du fichier journal des transactions dont le nom par défaut est Edb.log et dont la capacité est de 10 Mo environ. Lorsque le fichier Edb.log est saturé, Active Directory crée un autre fichier dénommé Edbxxxxx.log (où xxxxx correspond à l’ordre chronologique de création). − Edb.chk : il s’agit d’un fichier de points de vérification que la base de données utilise pour garder une trace des données qui ne sont pas encore écrites dans le fichier Ntds.dit. Le fichier de points de vérification est un pointeur qui conserve des données de statut entre la mémoire et le fichier Ntds.dit sur le disque. Il indique le point de début à partir duquel les informations doivent être récupérées en cas de défaillance. − Res1.log et Res2.log : il s’agit des fichiers journaux de transactions. La quantité d’espace disque réservée sur un disque ou dans un dossier pour les journaux de transactions est de 20 Mo. Cet espace disque offre aux fichiers journaux de transactions une marge suffisante de fermeture si le reste de l’espace disque est utilisé. 20. La maintenance d’Active Directory Quels sont les outils qui permettent de sauvegarder Active Directory ? Tous les outils tiers disponibles sur le marché de la sauvegarde sont capables de sauvegarder et de restaurer Active Directory, et donc l’état du système (par exemple, Backup Exec de Symantec Veritas ou BrightStor Arcserve Backup de Computer Associates). Windows Server 2003 propose de sauvegarder de manière simple l’état du système avec l’utilitaire de sauvegarde (NTBackup), en générant un fichier de sauvegarde au format .bkf. Cet outil sera utilisé dans ce qui suit. Utilisation de NTBackup L’utilitaire de sauvegarde NTBackup permet de sauvegarder ou de restaurer tout type de fichier, et pas seulement Active Directory. Pour les petites entreprises, il s’agit d’un outil de sauvegarde et de restauration à part entière. Quels sont les principaux conseils pour la planification de sauvegarde de l’état du système ? Tout dépend si vous souhaitez sauvegarder l’état du système avec votre outil tiers (si vous en possédez un) ou si vous préférez utiliser NTBackup. NTBackup est un outil fiable et robuste lorsqu’il effectue cette tâche de sauvegarde parce qu’il a été conçu dans cette optique par Microsoft. Quant à la fréquence de sauvegarde, sachez qu’elle doit être adaptée au nombre de modifications quotidiennes effectuées dans Active Directory et à la granularité de restauration que vous désirez. Couramment, dans une entreprise de taille moyenne, une sauvegarde par nuit, toutes les nuits, est suffisante. Pour ce qui est de la rétention, elle ne doit pas dépasser soixante jours car, passé ce délai, la sauvegarde n’est plus valide pour la restauration. Sauvegardez et faites des cycles d’archivage tous les 60 jours. Les sauvegardes effectuées doivent être complètes, vu le caractère changeant des fichiers jour après jour.

698

Sauvegarder Active Directory

Par rapport à l’étude de cas, Puzzmania, on a décidé de sauvegarder l’état du système sur la totalité des contrôleurs de domaine. La société possédant un outil tiers de sauvegarde centralisé, il est quand même décidé de configurer NTBackup sur tous les contrôleurs de domaine afin de sauvegarder l’état du système. Cela permet, en cas de panne du logiciel de sauvegarde centralisé, d’avoir au moins une sauvegarde d’Active Directory qui aura fonctionné. NTBackup est configuré pour écrire le fichier de sauvegarde .bkf sur le contrôleur de domaine. Ce fichier sera ensuite sauvegardé ailleurs (soit recopié par scripts sur un point du réseau, soit sauvegardé par l’outil tiers de sauvegarde), puis archivé. Les sauvegardes de l’état du système sont réalisées chaque nuit en mode complet. Pour sauvegarder l’état du système (ici du contrôleur de domaine SNCERCDC01), procédez ainsi : 1. Dans le menu Démarrer, pointez sur Programmes/Accessoires/Outils système, puis cliquez sur Utilitaire de sauvegarde. 20. La maintenance d’Active Directory 2. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 3. Sur la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des paramètres, puis sur Suivant. 4. Sur la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les fichiers à sauvegarder, puis sur Suivant. 5. Sur la page Éléments à sauvegarder, développez la zone Poste de travail, activez la case à cocher System State, puis cliquez sur Suivant.

Figure 20.1 : État du système à sauvegarder

6. Sur la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir. Sélectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer, puis sur Suivant. 7. Sur la page Fin de l’Assistant Sauvegarde ou Restauration, cliquez sur Terminer.

699

Chapitre 20

La maintenance d’Active Directory

Figure 20.2 : Sauvegarde en cours

8. Une fois la sauvegarde terminée, sur la page Sauvegarde en cours, cliquez sur Fermer. 20. La maintenance d’Active Directory Vous pouvez utiliser les options de sauvegarde avancées de l’utilitaire de sauvegarde pour définir ou configurer des paramètres, comme la vérification des données, la compression matérielle et les étiquettes de support. Sauvegarde des contrôleurs de domaine Cette section explique comment sauvegarder Active Directory à titre indicatif. Mais, en entreprise, vous sauvegarderez le contrôleur de domaine, à savoir l’intégralité du disque système (lecteur C), les fichiers de données importants, s’il y en a, et l’état du système.

20.2. Restaurer Active Directory
Active Directory vient de montrer une défaillance, suite à une panne matérielle, à une défaillance logicielle, à une erreur humaine, etc. ? Pas de panique ! Vous allez procéder à une restauration totale ou partielle, en fonction du cas de figure. Si vous avez bien conçu et implémenté votre sauvegarde d’Active Directory, tout va bien se passer. Plusieurs méthodes de restauration s’offrent à vous :
j

Vous pouvez réinstaller le contrôleur de domaine, puis laisser le processus de réplication normale alimenter le nouveau contrôleur de domaine avec les données de ses réplicas. C’est la méthode la plus longue, à n’utiliser qu’en dernier recours. Évidemment, si vous n’avez qu’un seul contrôleur de domaine, elle marche moins bien. Vous pouvez utiliser l’utilitaire de sauvegarde NTBackup pour restaurer des données répliquées à partir d’un support de sauvegarde (un fichier .bkf par exemple) sans réinstaller le système d’exploitation ni reconfigurer le contrôleur de domaine. C’est cette méthode de restauration qui va être développée.

j

700

Restaurer Active Directory

À partir d’une sauvegarde de l’état du système correctement effectuée, vous pouvez restaurer Active Directory en utilisant NTBackup, mais cette restauration doit impérativement s’effectuer en mode de démarrage de Windows Server 2003, appelé mode restauration Active Directory. Dans ce mode, il est possible de restaurer Active Directory de deux façons différentes :
j j

selon une restauration autoritaire ; selon une restauration non autoritaire.

Choisir une restauration non autoritaire
Le principe de ce mode est de restaurer, sur un contrôleur de domaine, l’état du système en date de la dernière sauvegarde afin de résoudre un problème de type remplacement de contrôleur de domaine défectueux ou de dommage dans Active Directory. Si d’autres contrôleurs de domaine sur le réseau font vivre Active Directory (création, suppression d’objets…) pendant le temps de restauration de l’un des leurs, ils répliqueront, lors du redémarrage en mode normal, les modifications (entre ce moment et la dernière sauvegarde) sur le contrôleur de domaine fraîchement restauré. On les dit autoritaires sur la réplication alors que l’on dit du contrôleur de domaine restauré qu’il est non autoritaire. Pour effectuer une restauration non autoritaire d’Active Directory, par exemple sur SNCERCDC01, procédez ainsi : 1. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu d’options avancées de Windows, sélectionnez Mode restauration Active Directory, puis validez. 20. La maintenance d’Active Directory

Figure 20.3 : Redémarrage en mode de restauration Active Directory

701

Chapitre 20

La maintenance d’Active Directory

2. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de l’installation d’Active Directory et démarrez NTBackup. 3. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 4. Sur la page Sauvegarder ou restaurer, cliquez sur Restaurer des fichiers et des paramètres. 5. Sur la page Que voulez-vous restaurer, sous la rubrique Éléments à restaurer, sélectionnez la sauvegarde que vous désirez, développez la liste, activez la case à cocher System State, puis cliquez sur Suivant.

20. La maintenance d’Active Directory

Figure 20.4 : État du système à restaurer

6. Sur la page Fin de l’Assistant Sauvegarde ou Restauration, cliquez sur Terminer. 7. Sur la boîte de dialogue Avertissement, cliquez sur OK.

Figure 20.5 : Restauration en cours

702

Restaurer Active Directory

8. Une fois la restauration terminée, dans la boîte de dialogue Restauration en cours, cliquez sur Fermer. 9. Dans la boîte de dialogue Utilitaire de sauvegarde, cliquez sur Oui.

Choisir une restauration autoritaire
La restauration autoritaire s’appuie sur une restauration non autoritaire (c’est-à-dire qu’elle utilise la même procédure) mais ensuite, avant le redémarrage du contrôleur de domaine en mode normal, elle utilise la commande Ntdsutil pour marquer des objets (unités d’organisation, voire Active Directory tout entier) comme étant autoritaires sur toute autre modification effectuée depuis, dans Active Directory. Cela veut dire que, lors du redémarrage en mode normal du contrôleur de domaine fraîchement restauré, les objets marqués par Ntdsutil sont répliqués vers les autres contrôleurs de domaine, même en cas de version plus récente présente sur les autres contrôleurs de domaine. Les objets font alors autorité, ils sont poussés du contrôleur de domaine restauré vers les autres. Pour effectuer une restauration forcée, procédez ainsi. Dans cet exemple, nous allons restaurer de façon autoritaire l’unité d’organisation qui s’appelle Serveurs. 1. Redémarrez le contrôleur de domaine en mode de restauration Active Directory. 2. Restaurez Active Directory dans son emplacement d’origine (procédure de restauration non autoritaire). 3. Ouvrez une Invite de commandes, saisissez Ntdsutil. 4. À l’invite ntdsutil, saisissez authoritative restore. 5. À l’invite authoritative restore, saisissez ou=serveurs,dc=puzzmania,dc=com et validez.
restore subtree

20. La maintenance d’Active Directory

Figure 20.6 : Restauration autoritaire d’une unité d’organisation

703

Chapitre 20

La maintenance d’Active Directory

6. Saisissez quit et appuyez sur [Ä].

20.3. Défragmenter et déplacer Active Directory
Cette section est consacrée à deux opérations de maintenance qui sont, à tort, souvent négligées : la défragmentation et le déplacement d’Active Directory.

Défragmenter Active Directory
La fragmentation de la base de données se produit au fur et à mesure que des enregistrements sont ajoutés ou supprimés. Lorsque les enregistrements sont fragmentés, l’ordinateur doit parcourir la base de données Active Directory pour rechercher tous les enregistrements, à chaque fois que cette dernière est ouverte. Cette recherche ralentit le temps de réponse. La fragmentation diminue également les performances générales des opérations de la base de données Active Directory. Pour régler les problèmes liés à la fragmentation, vous devez défragmenter la base de données Active Directory. La défragmentation est le processus de réécriture des enregistrements dans des secteurs contigus de la base de données Active Directory : il accroît la vitesse d’accès et d’extraction. Lorsque les enregistrements sont mis à jour, Active Directory enregistre ces mises à jour dans le plus large espace contigu de la base de données Active Directory. Cela revient à recopier ailleurs Active Directory, mais de façon propre. On appelle cette technique "défragmentation hors connexion". Pour défragmenter une base de données Active Directory hors connexion, exécutez les étapes suivantes : 1. Sauvegardez les données d’état du système. 2. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu d’options avancées de Windows, sélectionnez Mode restauration Active Directory, puis validez. 3. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de l’installation d’Active Directory. 4. Ouvrez une Invite de commandes, saisissez ntdsutil et validez. 5. Saisissez files et validez. 6. À l’invite files, saisissez compact to d:\defrag (où d:\defrag définit le chemin d’accès) et validez. Cette étape permet de définir un emplacement avec suffisamment d’espace disque libre pour y stocker la base de données compressée. Une nouvelle base de données Ntds.dit est créée à l’emplacement spécifié.

20. La maintenance d’Active Directory 704

Défragmenter et déplacer Active Directory

20. La maintenance d’Active Directory

Figure 20.7 : Défragmentation d’Active Directory

7. Saisissez quit et validez. Pour revenir à l’Invite de commandes, saisissez de nouveau quit. 8. Remplacez l’ancien fichier Ntds.dit par le nouveau fichier dans le chemin d’accès de la base de données Active Directory. 9. Redémarrez le contrôleur de domaine en mode normal.

Déplacer Active Directory
Vous déplacez une base de données vers un nouvel emplacement lorsque vous défragmentez cette dernière (l’exercice précédent vous l’a montré). Le déplacement ne supprimera pas la base de données originale, que vous pourrez donc utiliser si la base de données défragmentée ne fonctionne pas ou est corrompue. En outre, si votre espace disque est limité, vous pourrez ajouter un autre disque dur pour y placer la base de données défragmentée. Vous pouvez aussi déplacer les fichiers de la base de données en vue d’effectuer une opération de maintenance matérielle. Si le disque de stockage des fichiers doit être mis à niveau ou doit subir une opération de maintenance, vous pouvez déplacer les fichiers vers un autre emplacement de façon temporaire ou permanente. Pour déplacer la base de données Active Directory, procédez ainsi : 1. Par précaution, sauvegardez Active Directory.

705

Chapitre 20

La maintenance d’Active Directory

2. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu d’options avancées de Windows, sélectionnez Mode restauration Active Directory, puis validez. 3. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de l’installation d’Active Directory. 4. À l’invite de commandes, saisissez ntdsutil et validez. 5. Saisissez files et validez. 6. À l’invite files, et après avoir défini un emplacement offrant suffisamment d’espace pour y stocker la base de données, saisissez move DB to d:\newadpath (où d:\newadpath correspond au chemin d’accès sur l’ordinateur local où vous voulez placer la base de données), puis validez.

20. La maintenance d’Active Directory

Figure 20.8 : Déplacement d’Active Directory

La base de données Ntds.dit est déplacée vers l’emplacement spécifié. 7. Saisissez quit et appuyez sur [Ä]. Pour revenir à l’Invite de commandes, saisissez de nouveau quit. 8. Redémarrez le contrôleur de domaine en mode normal. 706

Prendre les rôles maîtres

20.4. Prendre les rôles maîtres
Certains rôles maîtres d’opération sont déterminants pour le fonctionnement d’un réseau. D’autres peuvent être indisponibles pendant un certain temps avant que leur absence ne pose problème.

Pour plus d’informations sur les maîtres d’opération, consultez l’Annexe Les ports et services Active Directory. Si un serveur maître d’opération n’est pas disponible, à la suite d’une défaillance matérielle ou d’un problème du réseau, vous pouvez prendre le rôle maître d’opération. Ce processus est également désigné comme un transfert forcé du rôle maître d’opération. Mais attention, ne prenez pas le rôle maître d’opération si vous pouvez le transférer à la place. Il faut que l’action de prise de rôle soit mûrement réfléchie et que toutes les contraintes soient étudiées. Avant de forcer le transfert, déterminez d’abord la cause et la durée approximative de la panne du contrôleur de domaine ou du réseau. Si le problème est dû à une défaillance du réseau ou du serveur qui sera réparée rapidement, attendez que le propriétaire du rôle soit à nouveau disponible. Par contre, si le contrôleur de domaine qui détient actuellement le rôle est indisponible, vous devez déterminer s’il est possible de le récupérer et de le remettre ligne. En règle générale, la prise du rôle maître d’opération est une étape lourde de conséquences, que vous devez envisager uniquement si vous êtes sûr que le maître d’opération actuel ne sera plus disponible. La décision dépend du rôle et du temps pendant lequel le propriétaire du rôle sera indisponible. Dans les manipulations qui suivent, nous allons transférer un rôle de SNCERCDC01 vers SNCERCDC02.

20. La maintenance d’Active Directory

Prendre le rôle maître de schéma
Une perte temporaire du contrôleur de schéma n’est pas visible pour les utilisateurs sauf s’ils tentent de modifier le schéma ou d’installer une application qui modifie le schéma pendant l’installation. Si le contrôleur de schéma n’est pas disponible pendant un délai trop prolongé, vous pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à recevoir le rôle, uniquement lorsque la défaillance du contrôleur de schéma est définitive.

707

Chapitre 20

La maintenance d’Active Directory

Prise du rôle maître de schéma Un contrôleur de domaine dont le rôle maître de schéma a été pris ne doit jamais être remis en ligne. Pour prendre le rôle maître de schéma, procédez ainsi : 1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur [Ä]. 3. Saisissez connections, puis appuyez sur [Ä]. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä]. 5. À l’invite server connections, saisissez q, puis appuyez sur [Ä]. 20. La maintenance d’Active Directory 6. Saisissez seize schema master.

Figure 20.9 : Prise du rôle maître de schéma

7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.

Prendre le rôle maître d’attribution de noms de domaine
Une perte temporaire du maître d’attribution de noms de domaine n’est pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf s’ils tentent d’ajouter ou de supprimer un domaine de la forêt. Si le maître d’attribution de noms de domaine n’est pas disponible pendant un délai trop prolongé, vous pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à recevoir le rôle, uniquement lorsque la défaillance du maître d’attribution de noms de domaine est définitive.

708

Prendre les rôles maîtres

Prise du rôle maître d’attribution de noms de domaine Un contrôleur de domaine dont le rôle maître d’attribution de noms de domaine a été pris ne doit jamais être remis en ligne. Pour prendre le rôle maître d’attribution de noms de domaine, procédez ainsi : 1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur [Ä]. 3. Saisissez connections, puis appuyez sur [Ä]. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä]. 5. À l’invite server connections, saisissez q, puis appuyez sur [Ä]. 6. Saisissez seize domain naming master. 20. La maintenance d’Active Directory

Figure 20.10 : Prise du rôle maître d’attribution de noms de domaine

7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä}]pour accéder à l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä}]pour quitter Ntdsutil.

Prendre le rôle maître des ID relatifs
Une perte temporaire du maître des ID relatifs n’est pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf s’ils sont en train de créer des objets et si le domaine où ils les créent n’a pas suffisamment d’ID relatifs. Si le maître des ID relatifs n’est pas disponible pendant un délai trop prolongé, vous pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à recevoir le rôle, uniquement lorsque la défaillance du maître d’ID relatifs est définitive.

709

Chapitre 20

La maintenance d’Active Directory

Prise du rôle de maître des ID relatifs Un contrôleur de domaine dont le rôle de maître des ID relatifs a été pris ne doit jamais être remis en ligne. Pour prendre le rôle maître d’ID relatifs, procédez ainsi : 1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur [Ä]. 3. Saisissez connections, puis appuyez sur [Ä]. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä]. 5. À l’invite server connections, saisissez q, puis appuyez sur [Ä]. 20. La maintenance d’Active Directory 6. Saisissez seize RID master.

Figure 20.11 : Prise du rôle maître d’ID relatifs

7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.

Prendre le rôle maître d’émulateur PDC
La perte du maître d’émulateur PDC affecte les utilisateurs. Par conséquent, s’il est indisponible, vous pouvez prendre immédiatement le rôle. Si le maître d’émulateur PDC est indisponible pendant un délai relativement court et que son domaine réunit soit des clients dont le système d’exploitation est antérieur à Windows 2000, soit des contrôleurs secondaires de domaine Windows NT, prenez son rôle et attribuez-le au contrôleur de domaine que vous jugerez apte à recevoir le rôle. Lorsque le maître d’émulateur PDC d’origine est à nouveau en service, vous pouvez attribuer à nouveau le rôle au contrôleur de domaine d’origine.

710

Prendre les rôles maîtres

Pour prendre le rôle maître d’émulateur PDC, procédez ainsi : 1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur [Ä]. 3. Saisissez connections, puis appuyez sur [Ä]. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä]. 5. À l’invite server connections, saisissez q, puis appuyez sur [Ä]. 6. Saisissez seize PDC.

20. La maintenance d’Active Directory

Figure 20.12 : Prise du rôle maître d’émulateur PDC

7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.

Prendre le rôle maître d’infrastructure
La perte temporaire du maître d’infrastructure n’est pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf s’ils ont déplacé ou renommé récemment un nombre important de comptes. Si le maître d’infrastructure n’est pas disponible pendant un délai trop prolongé, vous pouvez prendre le rôle et le transférer à un contrôleur de domaine qui n’est pas un serveur de catalogue global, mais qui est relié correctement à ce type de serveur (à partir de n’importe quel domaine) et situé de préférence sur le même site que lui.

711

Chapitre 20

La maintenance d’Active Directory

Lorsque le maître d’infrastructure d’origine est à nouveau en service, vous pouvez attribuer à nouveau le rôle au contrôleur de domaine d’origine. Pour prendre le rôle maître d’infrastructure, procédez ainsi : 1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur [Ä]. 3. Saisissez connections, puis appuyez sur [Ä]. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä]. 5. À l’invite server connections, saisissez q, puis appuyez sur [Ä]. 6. Saisissez seize infrastructure master. 20. La maintenance d’Active Directory

Figure 20.13 : Prise du rôle maître d’infrastructure

7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.

20.5. En résumé
Ce chapitre décrit quelques opérations de maintenance d’Active Directory. Pour conclure le sujet des sauvegardes et des restaurations d’Active Directory, notez que ce que ne dit pas la procédure c’est : comment vous organisez-vous ? Il vous revient de vous organiser pour conserver les sauvegardes et retrouver la bonne le moment voulu. Effectivement, la réussite d’une restauration dépend aussi de votre capacité à 712

En résumé

copier les sauvegardes sur un support (chemin réseau, disques durs, bandes…), puis à les archiver correctement et à ressortir le bon jeu de sauvegardes au moment opportun. Vous devez inclure la sauvegarde et la restauration d’Active Directory dans votre plan directeur de sauvegarde.

20. La maintenance d’Active Directory 713

Chapitre 21

La sécurisation d’Active Directory
21.1 21.2 21.3 21.4 21.5 21.6 21.7 21.8 21.9 21.10 L’importance de la sécurité Active Directory . . . . . . . . . . . . . Identifier les types de menaces pour la sécurité Active Directory Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . . Sélectionner une structure Active Directory sécurisée . . . . . . . Sécuriser les comptes d’administration des services . . . . . . . . Limiter l’exposition des comptes d’administration des services . Sécuriser les méthodes d’administration des données . . . . . . . Protéger les serveurs DNS et les données DNS . . . . . . . . . . . . Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717 . 717 . 719 . 720 . 720 . 721 . 723 . 728 . 731 . 732

Identifier les types de menaces pour la sécurité Active Directory

V

otre Active Directory correctement en place et sous contrôle, il vous faut le sécuriser. Ce chapitre présente des méthodes avancées qui vous permettront de renforcer la sécurité du service d’annuaire au sein de l’entreprise. En particulier, les thèmes suivants vont être abordés : l’importance de la sécurité d’Active Directory, l’identification des types de menaces pour la sécurité, l’établissement de frontières sûres, la sélection d’une structure Active Directory, la sécurisation des comptes d’administration des services, la limitation de l’exposition des comptes d’administration des services, la sécurisation des méthodes d’administration des données, la protection des serveurs DNS, la protection des données DNS.

21.1. L’importance de la sécurité Active Directory
Active Directory constitue la pièce maîtresse de la sécurisation des infrastructures réseau basées sur Windows Server 2003. Afin de garantir la sécurité de l’environnement informatique, Windows demande à vérifier l’identité de chaque utilisateur avant de l’autoriser à accéder aux ressources réseau. Les deux processus principaux qui gèrent cette vérification et l’accès aux ressources réseau sont les suivants…
j j

L’authentification : lors de l’ouverture de session, la procédure d’authentification vérifie l’identité des utilisateurs. L’autorisation : lorsque les utilisateurs réseau tentent de se connecter à des serveurs ou autres périphériques réseau, la procédure d’autorisation peut leur accorder ou leur refuser l’accès à la ressource.

21. La sécurisation d’Active Directory

Dans la mesure où la structure d’Active Directory abrite toutes les données d’authentification et d’autorisation, ainsi que le service distribué qui gère ces données, sa sécurité est critique. Active Directory fournit de nombreux composants clés pour authentifier les utilisateurs et générer des données d’autorisation qui contrôlent l’accès aux ressources du réseau. Une violation de la sécurité Active Directory peut affaiblir cette fondation et entraîner la perte de l’accès légitime aux ressources réseau ou la divulgation inappropriée ou même la perte d’informations sensibles.

21.2. Identifier les types de menaces pour la sécurité Active Directory
Pour sécuriser un environnement Active Directory, vous devez d’abord évaluer les menaces qui peuvent mettre en danger le déploiement de votre structure Active Directory. Vous pourrez ainsi réunir les informations nécessaires à la mise en œuvre de moyens dissuasifs contre chaque menace avant la survenue de problèmes potentiels. L’identification des sources de menaces contre Active Directory constitue le point de départ pour mieux comprendre et élaborer un plan de sécurité efficace. Active Directory définit les groupes d’utilisateurs et, par défaut, implémente les stratégies qui 717

Chapitre 21

La sécurisation d’Active Directory

limitent l’accès utilisateur aux ressources et aux services réseau. Par conséquent, chaque groupe d’utilisateurs représente une menace potentielle spécifique.
j

Utilisateurs anonymes : ce groupe représente l’accès non authentifié au réseau qui est activé lorsque les paramètres de stratégie de groupe permettent l’accès anonyme et que les autorisations sur les ressources sont définies pour permettre l’accès à une ouverture de session anonyme par le biais du groupe Accès compatible Pré-Windows 2000. Autoriser l’accès à des utilisateurs anonymes peut entraîner une baisse du niveau de sécurité d’Active Directory parce que l’accès non autorisé aux informations stockées dans Active Directory peut entraîner la divulgation de ces informations. Utilisateurs authentifiés : ce groupe s’applique à tout utilisateur qui a réussi le processus d’authentification. Ce processus implique que l’utilisateur a une identité sur le domaine et a fourni des informations d’identification valides. Par défaut, les utilisateurs authentifiés peuvent accéder aux informations contenues dans l’annuaire et sur les contrôleurs de domaine ; ils peuvent également visualiser les journaux d’événements système sur les contrôleurs de domaine. Pour renforcer la sécurité d’Active Directory contre la divulgation d’informations, les accès non nécessaires doivent être supprimés. Administrateur de service : il représente les comptes administratifs utilisés légitimement pour contrôler la configuration et les stratégies des services d’annuaire et pour obtenir un accès physique aux contrôleurs de domaine afin de gérer l’administration des serveurs. Ce groupe est également utilisé pour contrôler l’infrastructure de la forêt en créant ou en supprimant des domaines ou des contrôleurs de domaine, en gérant la configuration des domaines ou des contrôleurs de domaine, et en surveillant la santé des contrôleurs de domaine. Dans la mesure où les administrateurs de services occupent une position qui leur permet de lancer des attaques dans la forêt, vous devez pouvoir leur accorder toute votre confiance. La notion de confiance est primordiale. Le terme "service" dans "administrateur de service" est à rapprocher du sens du contrôle d’accès basé sur un rôle plutôt que service au sens Windows. Administrateur de données : ce groupe gère les données contenues dans Active Directory qui ne permettent pas de contrôler le service d’annuaire ou sa configuration. Il prend en charge les utilisateurs et les ordinateurs de la forêt en ajoutant ou en supprimant les unités d’organisation, les ordinateurs, les utilisateurs et les groupes, et en modifiant les paramètres des stratégies de groupe. Les administrateurs de données disposent de droits délégués leur permettant de gérer les objets contenus dans les Unités d’organisation, mais pas de gérer les contrôleurs de domaine ou la configuration de la forêt. Utilisateurs ayant physiquement accès aux contrôleurs de domaine : ce paramètre s’applique lorsqu’une personne parvient à accéder à un emplacement sur lequel résident des contrôleurs de domaine ou des postes de travail d’administration, ou lorsqu’une personne vole l’un de ces ordinateurs. Si une personne non autorisée parvient à accéder à des ordinateurs qui contiennent des données sensibles, la divulgation d’informations ou la modification de données est possible.

j

j

21. La sécurisation d’Active Directory

j

j

718

Établir des frontières sûres

En comprenant les différentes menaces qui peuvent peser spécifiquement sur votre environnement réseau, vous pouvez planifier et implémenter des stratégies de sécurité avancées et efficaces permettant de sécuriser les frontières administratives et les services, ainsi que les pratiques d’administration des données et les mises en œuvre DNS.

21.3. Établir des frontières sûres
La forêt Active Directory constitue la frontière ultime derrière laquelle les utilisateurs, les ordinateurs, les groupes et les autres objets sont abrités. Tout simplement, la forêt représente la frontière de sécurité pour Active Directory. Chaque domaine Active Directory fait autorité en matière d’identité et d’informations d’authentification pour les utilisateurs, ordinateurs et groupes qui se trouvent dans ce domaine. Les domaines représentent également les frontières de l’administration et de certaines stratégies de sécurité, telles que la complexité des mots de passe et les règles de réutilisation des mots de passe, qui ne peuvent pas être héritées entre deux domaines. Il est cependant important de souligner que les administrateurs de service ont la possibilité de franchir les limites des domaines au sein d’une forêt. Pour cette raison, c’est la forêt et non le domaine qui constitue l’ultime frontière de sécurité. 21. La sécurisation d’Active Directory La première étape pour établir des frontières sûres consiste à planifier la délégation de l’administration. Les entreprises peuvent déléguer le contrôle de l’administration des services et/ou des données. Les deux objectifs de la délégation sont les suivants…
j

L’autonomie : elle permet aux administrateurs d’administrer de manière autonome une partie ou la totalité du service Active Directory ou les données contenues dans le répertoire ou sur les ordinateurs membres. Elle peut être obtenue en déléguant l’administration des services ou des données. L’isolation : elle permet aux administrateurs d’empêcher d’autres administrateurs de modifier ou d’accéder à une partie ou à la totalité du service Active Directory ou aux données contenues dans le répertoire ou sur les ordinateurs membres. Cela nécessite le déploiement d’une forêt distincte contenant ses administrateurs, ses utilisateurs et ses ressources.

j

Avant de choisir un modèle de délégation Active Directory, prenez en compte les points suivants concernant les rôles administratifs Active Directory :
j

Les propriétaires de forêt détiennent le droit de contrôle sur les services au niveau du domaine et le droit d’accès aux données stockées dans n’importe quel domaine de la forêt. Les propriétaires de domaine détiennent le droit d’accès aux données stockées dans le domaine ou sur les ordinateurs de ses membres. Les propriétaires de domaine, bien qu’opérant indépendamment des propriétaires de forêt ou des autres propriétaires de domaines, ne peuvent empêcher un propriétaire de domaine malveillant de contrôler leurs services ou d’accéder à leurs données. 719

j j

Chapitre 21

La sécurisation d’Active Directory

21.4. Sélectionner une structure Active Directory sécurisée
Dans Active Directory, les administrateurs peuvent déléguer aussi bien l’administration des services que celle des données afin de parvenir à l’autonomie départementale ou à l’isolation au sein de l’entreprise. La combinaison des différents besoins d’une entreprise en termes de gestion des services, de gestion des données, d’autonomie et d’isolation a un impact sur les conteneurs Active Directory utilisés pour déléguer l’administration. Les étapes suivantes peuvent vous aider à déterminer si les besoins spécifiques de votre entreprise justifient la délégation du contrôle d’une forêt, d’un domaine ou d’une unité d’organisation distincte : 1. Commencez par placer toutes les organisations au sein d’une forêt contenant un domaine unique. 2. Pour chaque unité commerciale dont les besoins d’administration sont uniques, déterminez le niveau approprié d’autonomie et d’isolation 3. Lorsque vous justifiez chaque décision, notez :
j

21. La sécurisation d’Active Directory

si la délégation est motivée par un besoin organisationnel, opérationnel, juridique ou autre ; si le besoin concerne la délégation en matière de gestion des services et/ou des données.

j

4. Identifiez la structure Active Directory appropriée :
j j j j j

forêt à domaine unique contenant des unités d’organisation pour une autonomie des données ; forêt unique à plusieurs domaines pour une autonomie des services au niveau de chaque domaine ; forêts distinctes pour l’isolation des services ; forêts distinctes pour l’autonomie des services au niveau de chaque forêt ; forêts distinctes pour l’isolation des données des propriétaires de services.

21.5. Sécuriser les comptes d’administration des services
Dans votre environnement réseau, ce sont les administrateurs de service qui ont les pouvoirs les plus étendus. Ils sont chargés de fournir le service d’annuaire et les paramètres de niveau annuaire, d’installer et de tenir à jour les logiciels et d’appliquer les Service Packs et les correctifs du système d’exploitation sur les contrôleurs de domaine. Ils sont également chargés d’administrer la configuration d’ensemble du service d’annuaire, notamment le comportement de réplication, la gestion des schémas 720

Limiter l’exposition des comptes d’administration des services

et la création et la suppression des domaines. Pour assurer la plupart de ces fonctions, les administrateurs de service ont besoin d’un accès physique aux contrôleurs de domaine. En raison des privilèges élevés des administrateurs de services, vous devez prendre les mesures nécessaires pour préserver la sécurité de leurs comptes :
j j j j j

Sécurisez les comptes d’administration des services pour contrôler comment les comptes sont utilisés. Effectuez les tâches d’administration de services uniquement à partir de stations de travail spécifiques et sécurisées. Évitez de déléguer les opérations sensibles sur le plan de la sécurité. Prenez connaissance des fonctionnalités des comptes d’administration des services par défaut. Ne partagez jamais les comptes d’administration des services.

Le partage des mots de passe des comptes d’administration des services est l’un des problèmes de sécurité auxquels de nombreuses entreprises sont confrontées régulièrement. Cette pratique doit être fortement découragée dans la mesure où il est impossible d’identifier l’auteur de modifications si plusieurs administrateurs utilisent le même compte. Le partage des mots de passe peut également poser un problème sécurité lorsque les administrateurs quittent l’équipe ou l’entreprise.

21. La sécurisation d’Active Directory

21.6. Limiter l’exposition des comptes d’administration des services
Les comptes d’administration des services sont assortis de privilèges très élevés, ce qui en fait des cibles très tentantes. Par conséquent, il est particulièrement important de protéger l’intégrité de ces comptes afin de réduire leur vulnérabilité. La limitation de l’exposition des comptes d’administration des services réduit les possibilités d’attaque par des intrus. Suivez ces méthodes conseillées pour limiter l’exposition des comptes d’administration des services.
j

Limitez le nombre de comptes d’administration des services. Maintenez le nombre de membres des comptes d’administration des services au minimum. Les tâches effectuées par les administrateurs de services doivent se limiter à la modification du service Active Directory et à la reconfiguration des contrôleurs de domaine. N’utilisez pas les comptes d’administration des services pour les tâches d’administration quotidiennes. Une stratégie de groupe peut être activée pour faciliter le contrôle de l’appartenance aux comptes d’administration des services. Séparez les comptes administrateur et utilisateur pour les utilisateurs administratifs. Pour les utilisateurs remplissant des rôles d’administration, créez 721

j

Chapitre 21

La sécurisation d’Active Directory

deux comptes : un compte d’utilisateur normal pour effectuer les tâches standards quotidiennes et un compte d’administration réservé aux tâches d’administration. Le compte d’administration ne doit pas être doté d’une messagerie ni être utilisé pour exécuter des applications à usage quotidien, telles que Microsoft Office, ou pour surfer sur Internet.
j

Masquez le compte d’administrateur de domaine. Un compte nommé Administrateur est créé dans chaque domaine lors de l’installation d’Active Directory. Ce compte d’administration par défaut, qui est créé au cours de la configuration du domaine, permet d’accéder au service d’annuaire et de l’administrer. Il s’agit d’un compte spécial que le système protège pour faire en sorte qu’il soit disponible en cas de besoin. Ce compte ne peut être ni désactivé ni verrouillé. Pour cette raison, vous devez lui donner un nom autre qu’Administrateur. Lorsque vous renommez ce compte, veillez à modifier également sa description. Par ailleurs, créez un compte leurre nommé Administrateur qui ne dispose ni d’autorisations spéciales ni de droits d’utilisateur, puis surveillez les ID d’événement 528, 529 et 534 relatifs à la fois au compte renommé et au compte leurre. Attaque du compte Administrateur Sachez qu’il existe un certain nombre d’outils permettant de trouver le nom du compte Administrateur. Même si vous renommez ce compte, ces outils permettent de découvrir son nom, car l’identifiant de sécurité (SID) intégré du compte Administrateur se termine toujours par 500. Vous pouvez remédier à ce problème en implémentant une stratégie de sécurité qui n’affiche pas les comptes et les partages du gestionnaire de comptes de sécurité pour les connexions anonymes.

21. La sécurisation d’Active Directory

j

Nommez un personnel de confiance. Les administrateurs de services contrôlent la configuration et le fonctionnement du service d’annuaire. Par conséquent, cette responsabilité doit incomber uniquement à des utilisateurs fiables et de confiance, ayant fait la preuve de leur sens des responsabilités et qui maîtrisent parfaitement le fonctionnement de l’annuaire. Limitez le groupe Administrateurs du schéma aux membres temporaires. Pour éviter qu’un compte d’administrateur de schéma ne soit utilisé pour lancer une attaque contre Active Directory, n’ajoutez pas de membre au groupe Administrateurs du schéma. Ajoutez un utilisateur de confiance à ce groupe uniquement lorsqu’une tâche d’administration doit être effectuée sur le schéma. Une fois la tâche accomplie, supprimez cet utilisateur. Surveillez le processus d’ouverture de session d’administration. Exigez des cartes à puce pour les ouvertures de session d’administration ou implémentez un système de mot de passe fractionné pour les environnements hautement sécurisés. Répartissez le mot de passe du compte d’administration entre deux utilisateurs partageant ce compte, afin que chaque utilisateur ne connaisse que la moitié du mot de passe.

j

j

722

Sécuriser les méthodes d’administration des données

21.7. Sécuriser les méthodes d’administration des données
Voici la liste des points à retenir lors de la délégation du contrôle à des comptes d’administrateurs de données.
j

Limitation de l’application de la stratégie de groupe à des personnes de confiance : − La stratégie de groupe doit être créée et appliquée uniquement par des personnes totalement fiables. Ces personnes doivent bien connaître les stratégies de sécurité de l’organisation et avoir démontré qu’elles sont prêtes à appliquer ces stratégies. − Les utilisateurs dotés de comptes qui permettent de créer ou de modifier les paramètres de stratégie de groupe peuvent augmenter les privilèges d’un autre compte d’utilisateur grâce à ces stratégies.

j

Appropriation d’un objet de données : si les administrateurs de données ont la possibilité de créer des objets, assurez-vous que vous comprenez bien la portée de ce pouvoir. Lorsqu’un utilisateur crée un objet, il en devient également le propriétaire du fait qu’il en est le créateur ; il est donc appelé "Créateur propriétaire". Dans le modèle de contrôle d’accès discrétionnaire utilisé par Windows Server 2003, le propriétaire d’un objet détient le contrôle total sur cet objet, notamment la possibilité de modifier les autorisations sur cet objet. Réservation de la propriété des objets racine de partition d’annuaire aux administrateurs de services : assurez-vous que les groupes d’administration de services appropriés dans chaque domaine sont propriétaires de l’objet racine pour la partition d’annuaire du domaine. Dans la mesure où les propriétaires de ces objets racine de partition d’annuaire ont la possibilité de modifier les paramètres de sécurité de tous les autres objets de la partition par le biais des entrées de contrôle d’accès pouvant être héritées, il est absolument crucial de s’assurer que l’objet racine de partition d’annuaire appartient à un groupe d’administration hautement fiable. La partition d’annuaire du schéma appartient au groupe Administrateurs du schéma, la partition d’annuaire de configuration appartient au groupe Admins de l’entreprise et la partition d’annuaire de domaine appartient au groupe Administrateurs intégrés. Définition de quotas pour la propriété des objets : − Sur les contrôleurs de domaine qui exécutent Windows Server 2003, vous pouvez définir des quotas qui limitent le nombre d’objets qu’une entité de sécurité (utilisateur, groupe, ordinateur ou service) peut posséder dans une partition d’annuaire de domaine, de configuration ou d’application. Par défaut, l’entité de sécurité qui crée un objet en est le propriétaire, bien que la propriété puisse être transférée. Les quotas Active Directory éliminent la possibilité de créer un nombre illimité d’objets dans une partition d’annuaire, lesquels pourraient être utilisés pour lancer des attaques de déni de service.

21. La sécurisation d’Active Directory

j

j

723

Chapitre 21

La sécurisation d’Active Directory

− Par défaut, les quotas ne sont pas définis. Par conséquent, le nombre d’objets qu’une entité de sécurité peut posséder n’est pas limité. Pour chaque partition d’annuaire cible, vous pouvez définir différentes limites pour différentes entités de sécurité et/ou définir des limites qui s’appliquent à toutes les entités de sécurité. − Vous pouvez définir des quotas pour chaque partition d’annuaire, à l’exception de la partition d’annuaire schéma, qui ne prend pas en charge les quotas. Vous pouvez configurer les quotas pour qu’ils s’appliquent aux entités de sécurité d’une partition d’annuaire en utilisant les commandes en ligne. Les commandes dsadd, dsmod et dsquery possèdent toutes un commutateur quota qui vous permet de définir les quotas pour la partition d’annuaire, modifier les quotas existants, modifier les paramètres de quota par défaut d’une partition et rechercher l’affectation et l’utilisation des quotas.

DSADD QUOTA
21. La sécurisation d’Active Directory Ajoute une spécification de quota à une partition d’annuaire. Une spécification de quota détermine le nombre maximal d’objets d’annuaire pouvant appartenir à une entité de sécurité donnée dans une partition d’annuaire donnée.

Syntaxe :

dsadd quota −part <DN_partition> [−rdn <RDN>] −acct <nom> −qlimit <valeur> | −1 [−desc <description>] [{−s <serveur> | −d <domaine>}] [−u <nom_utilisateur>] [−p {<mot_passe> | *}] [−q] [{−uc | −uco | −uci}] Requis. Spécifie le nom unique de la partition d’annuaire sur laquelle vous voulez créer un quota. Si le nom unique est omis, il sera pris du mode d’entrée standard (stdin). Spécifie le nom unique relatif (RDN) de la spécification de quota en cours de création. Si l’option −rdn est omise, elle sera définie à <domaine>\<nom_utilisateur>. Requis. Spécifie le principal de sécurité (utilisateur, groupe, ordinateur, InetOrgPerson) pour lequel le quota est en cours de spécification. L’option −acct peut être fournie dans un des formats suivants : DN du principal de sécurité ou domaine\nom de compte SAM du principal de sécurité Requise. Spécifie le nombre d’objets dans la partition d’annuaire pouvant appartenir au principal de sécurité. Entrez nolimit ou −1 pour spécifier un quota non limité.

−part <DN _partition>

−rdn <RDN>

−acct <nom>

−qlimit <valeur> | −1}

724

Sécuriser les méthodes d’administration des données

−desc <description> {−s <serveur>| −d <domaine>}

Spécifie une description pour la spécification de quota que vous voulez ajouter. Connecte l’ordinateur au domaine spécifié ou au serveur spécifié. Par défaut, l’ordinateur est connecté au contrôleur de domaine dans le domaine d’ouverture de session. Spécifie le nom d’utilisateur avec lequel l’utilisateur va se connecter au serveur distant. Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez spécifier un nom d’utilisateur en utilisant l’un des formats suivants : nom d’utilisateur, domaine\nom d’utilisateur, nom principal d’utilisateur (UPN).

−u <nom _utilisateur>

−p {<mot_passe> | *} Spécifie l’utilisation d’un mot de passe spécifique ou une * pour se connecter à un serveur distant. Si vous entrez *, alors un mot de passe vous sera demandé. −q {−uc | −uco | −uci} Supprime toutes les informations sortantes vers le mode sortant standard (mode silencieux). Spécifie que les données entrantes et sortantes sont formatées en Unicode. La valeur −uc spécifie un format Unicode pour les données entrantes ou sortantes vers le canal. La valeur −uco spécifie un format Unicode pour les données sortantes du canal vers le fichier. La valeur −uci spécifie un format Unicode pour les données entrantes du canal ou du fichier. 21. La sécurisation d’Active Directory

DSMOD QUOTA
Modifie les attributs d’une ou de plusieurs spécifications de quotas dans le répertoire. Une spécification de quota détermine le nombre maximal d’objets annuaires qu’une entité de sécurité donnée peut posséder dans une partition d’annuaire spécifique.

Syntaxe :

dsmod quota <DN_quota ...> [−qlimit <valeur>] [−desc <description>] [{−s <serveur> | −d <domaine>}] [−u <utilisateur>] [−p {<mot de passe> | *}] [−c] [−q] [{−uc | −uco | −uci}] Spécifie les noms uniques d’une ou de plusieurs spécifications de quotas à modifier. Si les valeurs sont omises, elles peuvent être

<DN_quota ...>

725

Chapitre 21

La sécurisation d’Active Directory

obtenues par une entrée standard (stdin) pour prendre en charge la canalisation des sorties d’une autre commande à partir de cette commande. −qlimit <valeur> Spécifie le nombre d’objets dans la partition de répertoire pouvant être créée par l’entité de sécurité à laquelle est assignée la spécification de quota. Pour spécifier un quota illimité, utilisez nolimit ou −1. Définit la description de la spécification de quota dans <description>. Connecte à un domaine ou un serveur distant spécifié. Par défaut, l’ordinateur est connecté à un contrôleur de domaine sur le domaine connecté. Spécifie le nom d’utilisateur avec lequel l’utilisateur ouvre une session sur un serveur distant. Par défaut, −u utilise le nom du serveur sur lequel l’utilisateur a ouvert une session. Vous pouvez utiliser n’importe lequel des formats suivants pour spécifier un nom d’utilisateur : nom d’utilisateur, domaine\nom d’utilisateur, nom de l’utilisateur principal (UPN). Spécifie soit d’utiliser un mot de passe, soit un astérisque pour ouvrir une session sur un serveur distant. Si vous entrez *, vous serez invité à entrer un mot de passe. Spécifie un mode d’opération continue. Les erreurs sont signalées, mais le processus continue avec l’objet suivant dans la liste d’arguments lorsque vous spécifiez plusieurs objets cibles. Si vous n’utilisez pas −c, la commande s’arrête après la première survenance de l’erreur. Supprime toute sortie à une sortie standard (mode silencieux). Spécifie le formatage Unicode de données d’entrées ou de sortie. –uc spécifie un format Unicode pour une entrée ou une sortie vers une canalisation. −uco spécifie un format Unicode pour une sortie

−desc <description> {−s <serveur> | −d <domaine>}

−u <nom _utilisateur> 21. La sécurisation d’Active Directory

−p {<mot_de_ passe> | *}

−c

−q {−uc | −uco | −uci}

726

Sécuriser les méthodes d’administration des données

vers une canalisation ou un fichier. −uci spécifie un format Unicode pour une entrée à partir d’une canalisation ou d’un fichier.

DSQUERY QUOTA
Spécifications de quotas dans l’annuaire correspondant au critère de recherche spécifié. Une spécification de quota détermine le nombre maximal d’objets annuaires pouvant appartenir à une entité de sécurité dans une partition d’annuaire spécifique.

Syntaxe :

dsquery quota startnode {domain root | <DN_Objet>} [−o {dn | rdn}] [−acct <Nom>] [−qlimit <Filtre>] [−desc <Description>] [{−s <Serveur> | −d <Domaine>}] [−u <Utilisateur>] [−p {<Mot de passe> | *}] [−q] [−r] [−limit <Nombre d’objets>] [{−uc | −uco | −uci}]

startnode {domain root | <DN_Objet>}

Requis. Spécifie où la recherche devrait commencer. Utiliser DN_Objet pour spécifier le nom unique (ou DN), ou utiliser la racine du domaine pour spécifier la racine du domaine actuel. Spécifie le format de sortie. Le format par défaut est le nom unique (DN). Recherche les spécifications de quota assignés à l’entité de sécurité (utilisateur, groupe, ordinateur, InetOrgPerson) tel que représenté par <nom>. L’option −acct peut être indiquée au format du nom unique de l’entité de sécurité ou au format domaine\nom_compte_SAM de l’entité de sécurité. Recherche les spécifications de quota dont la limite correspond au filtre. Recherche les spécifications de quota dont l’attribut de description correspond à <description>.

21. La sécurisation d’Active Directory

−o {dn | rdn} −acct <nom>

−qlimit <filtre> −desc <description>

{−s <serveur> | −d <domaine>} Se connecte à un domaine ou à un serveur distant spécifié. Par défaut l’ordinateur est connecté à un contrôleur de domaine dans le domaine de connexion.

727

Chapitre 21

La sécurisation d’Active Directory

−u <nom _utilisateur>

Spécifie le nom d’utilisateur avec lequel l’utilisateur se connecte à un serveur distant. Par défaut, −u utilise le nom d’utilisateur avec lequel l’utilisateur s’est connecté. Vous pouvez utiliser l’un des formats suivants pour spécifier un nom d’utilisateur : nom d’utilisateur, domaine\nom d’utilisateur, nom principal de l’utilisateur (UPN). Spécifie d’utiliser un mot de passe ou * pour se connecter à un ordinateur distant. Si vous entrez *, un mot de passe vous sera demandé. Supprime toutes les données sortantes vers la sortie standard (mode silencieux). Spécifie que la recherche utilise la récurrence ou suit les références pendant la recherche. Par défaut, la recherche ne suit pas les références. Spécifie que la recherche utilise le catalogue global Active Directory. Spécifie le nombre d’objets qui correspondent au critère donné devant être renvoyé. Si la valeur NbObjets est 0, tous les objets correspondants sont renvoyés. Si ce paramètre n’est pas spécifié, les 100 premiers résultats sont affichés par défaut. Spécifie que les données entrantes et sortantes sont formatés au format Unicode, comme suit : −uc spécifie un format Unicode pour l’entrée ou la sortie vers une canalisation. −uco spécifie un format Unicode pour la sortie vers une canalisation ou un fichier. −uci spécifie un format Unicode pour l’entrée d’une canalisation ou d’un fichier.

−p {<mot_passe> | *}

−q −r

−gc 21. La sécurisation d’Active Directory −limit <Nb _Objets>

{−uc | −uco | −uci}

21.8. Protéger les serveurs DNS et les données DNS
Lorsque l’intégrité des réponses d’un serveur DNS est compromise ou endommagée, ou lorsque les données DNS sont modifiées, les clients peuvent à leur insu être envoyés par erreur vers des emplacements non autorisés. Dès que les clients commencent à communiquer avec ces emplacements non autorisés, ils peuvent subir des tentatives

728

Protéger les serveurs DNS et les données DNS

d’accès aux informations stockées sur leur ordinateur. L’usurpation d’identité et la pollution de cache sont des exemples de ce type d’attaque. Un autre type d’attaque, le déni de service, tente de neutraliser le serveur DNS afin de rendre l’infrastructure DNS inaccessible au sein de l’entreprise. Pour protéger vos serveurs DNS contre ces types d’attaques :
j

Surveillez l’activité du réseau. Les attaques de déni de service provoquent l’inondation d’un serveur DNS par un si grand nombre de demandes client que ce dernier n’arrive plus à traiter les demandes légitimes et arrête de répondre aux demandes DNS. Pour prévenir de telles attaques, surveillez les hausses inhabituelles de trafic et recherchez les anomalies telles qu’un volume élevé provenant du même emplacement ou un volume élevé de trafic du même type. Fermez tous les ports de pare-feu non utilisés. Les pare-feu sont un moyen simple de se protéger contre les attaques qui proviennent de l’extérieur. Les pare-feu limitent le nombre de ports disponibles permettant la communication entre plusieurs points sur votre réseau. Les serveurs DNS utilisent le port UDP 53 pour communiquer entre eux. Ouvrez le port 53 sur les pare-feu lorsqu’ils séparent les entités suivantes : − les serveurs DNS qui effectuent les transferts de zone ; 21. La sécurisation d’Active Directory − les serveurs DNS qui délèguent les zones et le serveur de référence de chaque zone ; − les clients DNS et leurs serveurs DNS ; − les redirecteurs et les serveurs DNS qui sont à un niveau supérieur dans la hiérarchie de l’espace de noms DNS.

j

Si un intrus parvient à accéder au serveur lui-même, il peut tenter de modifier les données stockées dans les fichiers de zone DNS. Pour renforcer la sécurisation de vos données contre une attaque directe :
j

Utilisez une mise à jour dynamique sécurisée. Pour que seuls les utilisateurs authentifiés et de confiance puissent effectuer des enregistrements, utilisez la mise à jour dynamique sécurisée. Grâce à cette procédure, les demandes d’enregistrement ne sont traitées que si elles proviennent de clients authentifiés appartenant à la forêt. Cette condition rend plus difficile le lancement d’attaques de ce type par un utilisateur, car il faudrait que ce dernier appartienne au groupe Utilisateurs authentifiés ou détienne des informations d’authentification plus puissantes pour obtenir l’accès. Définissez des quotas pour limiter le nombre d’enregistrements de ressources DNS. Par défaut, les membres du groupe Utilisateurs authentifiés peuvent créer des enregistrements de ressources sur les serveurs DNS appartenant au même domaine que l’ordinateur client. Ceci permet aux ordinateurs d’effectuer une mise à jour dynamique des données de la zone DNS. Un utilisateur authentifié effectue un maximum de 10 enregistrements dans le DNS. Pour vous assurer que des utilisateurs ou des applications malveillantes n’effectuent pas d’enregistrements 729

j

Chapitre 21

La sécurisation d’Active Directory

inappropriés de ressources, définissez un quota par défaut sur les partitions d’annuaire d’application ForestDnsZones et DomainDnsZones. C’est valable pour les serveurs DNS Windows Server 2003 (et ultérieur) si les données DNS sont répliquées sur tous les contrôleurs de domaine qui sont des serveurs DNS dans la forêt ou le domaine. Pour les serveurs DNS Windows 2000, définissez un quota sur les partitions d’annuaire de domaine si les données DNS sont répliquées sur tous les contrôleurs de ce domaine. En appliquant une limite par défaut de 10 objets, les ordinateurs peuvent légitimement mettre à jour les données DNS, mais ils ne peuvent pas lancer d’attaque de déni de service.
j

Assurez-vous que les administrateurs DNS sont fiables. Les membres du groupe Admins du DNS contrôlent la configuration de l’environnement DNS. Cela signifie qu’ils peuvent perturber le fonctionnement du service d’annuaire en lançant des attaques de déni de service ou en envoyant les clients vers des serveurs cachés. Sélectionnez uniquement des personnes qui connaissent bien vos stratégies de fonctionnement et qui ont prouvé leur intention d’appliquer ces stratégies. Par ailleurs, accordez à chacune uniquement l’accès à la partie de l’infrastructure DNS dont elle est responsable. Déléguez l’administration des données DNS. Vous pouvez définir des autorisations sur les conteneurs de zone pour empêcher l’accès d’utilisateurs qui pourraient tenter de les modifier à l’aide d’outils d’administration, tels que le composant logiciel enfichable DNS ou ADSI Edit. Par défaut, les groupes Administrateurs, Admins du domaine, Admins de l’entreprise et Admins du DNS ont l’accès Contrôle total à tous les composants du DNS. Les autres groupes ont l’accès en lecture. Utilisez un mécanisme de routage adapté à votre environnement : − des redirecteurs conditionnels pour spécifier le serveur auquel adresser la demande pour un suffixe donné ; − des zones secondaires pour fournir la redondance des données de la zone DNS ; − des indicateurs de racine pour permettre à un client DNS de trouver le serveur DNS correspondant à un nom contenu dans l’espace de noms en utilisant les délégations qui commencent dans la zone du domaine racine.

j

21. La sécurisation d’Active Directory

j

j

Utilisez des espaces de noms DNS internes et externes distincts. Si l’entreprise a besoin d’une présence sur Internet (indispensable de nos jours), créez des espaces de noms distincts pour Internet et pour votre intranet. DNS a été conçu pour distribuer des informations en réponse à des demandes émanant des clients. Il n’a pas été conçu pour fournir un accès sécurisé aux informations qu’il distribue. Désactivez la récursivité sur les serveurs DNS qui ne répondent pas directement aux clients DNS et qui ne sont pas configurés avec des redirecteurs. Par défaut, la récursivité est activée pour le service Serveur DNS et, de manière générale, les clients demandent que le serveur utilise la récursivité pour résoudre un nom lorsqu’ils envoient une demande. Un serveur DNS a besoin de la récursivité uniquement s’il doit répondre à des demandes récurrentes de clients DNS ou s’il est configuré avec un redirecteur. Si la récursivité est désactivée, le service Serveur DNS utilise systématiquement les références, indépendamment de la demande du client.

j

730

Sécuriser les relations interforêts

Retrouvez tout sur la conception et l’implémentation technique de DNS dans le tome II de cet ouvrage.

21.9. Sécuriser les relations interforêts
Dans le cas où votre forêt Active Directory, la forêt étant le plus haut niveau d’isolation, doit approuver une autre forêt (dans le cadre d’une relation de travail avec un partenaire ou une acquisition par exemple), vous avez la possibilité de sécuriser cette approbation en activant l’authentification sélective. Cela vous permettra de totalement contrôler ce qui rentre et ce qui sort de votre forêt Active Directory. Pour créer une approbation de forêt avec authentification sélective :
j

Vous pouvez utiliser le composant Domaines et approbations Active Directory pour configurer l’étendue de l’authentification entre deux forêts liées par une approbation de forêt. Vous pouvez configurer différemment l’authentification sélective pour les approbations de forêt sortantes et entrantes. 21. La sécurisation d’Active Directory Avec des approbations sélectives, les administrateurs peuvent prendre des décisions de contrôle d’accès souples à l’échelle de la forêt pour gérer l’authentification à travers les frontières de sécurité Active Directory.

j j

La procédure suivante explique comment créer une approbation de forêt et activer l’authentification sélective pour la relation d’approbation. Pour créer une approbation de forêt et activer l’authentification sélective : 1. Démarrez Domaines et approbations Active Directory en cliquant sur Démarrer/ Tous les Programmes/Outils d’administration. 2. Créez une approbation de forêt à sens unique ou bidirectionnelle. 3. Ouvrez la boîte de dialogue Propriétés de la relation d’approbation. 4. Sous l’onglet Authentification, activez l’option Authentification sélective pour l’approbation. Une fois qu’une approbation de forêt avec authentification sélective a été créée et configurée, les utilisateurs situés dans la forêt approuvée ne peuvent toujours pas accéder aux ordinateurs de la forêt qui donne l’approbation tant que l’authentification sélective n’a pas été configurée pour des serveurs spécifiques de la forêt approbatrice. La forêt approbatrice est celle où se trouvent les ressources. Voici comment permettre à un serveur de votre domaine d’authentifier des utilisateurs et des groupes sélectionnés appartenant à une autre forêt. Pour configurer l’authentification sélective pour un serveur spécifique :

731

Chapitre 21

La sécurisation d’Active Directory

1. Démarrez Domaines et approbations Active Directory en cliquant sur Démarrer/ Tous les Programmes/Outils d’administration. 2. Ouvrez la boîte de dialogue Propriétés associée au serveur que vous souhaitez configurer. 3. Sous l’onglet Sécurité, ajoutez les utilisateurs ou les groupes de la forêt approuvée auxquels vous voulez permettre d’accéder aux ressources du serveur, puis affectez-leur l’autorisation Autorisation d’authentifier pour le serveur.

21.10. En résumé
La sécurisation d’Active Directory est très importante, elle découle d’un certain nombre de bonnes pratiques exposées ici. Certaines de ces bonnes pratiques peuvent vous paraître des évidences. Tant mieux, cela veut dire que vous avez la fibre sécuritaire, mais n’oubliez tout de même pas de les appliquer.

21. La sécurisation d’Active Directory 732

Chapitre 22

Active Directory Application Mode et Active Directory Federation Services
22.1 22.2 22.3 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . . . . 735 Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . . . . 754 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764

Active Directory Application Mode dit ADAM

L

a version R2 de Windows Server 2003 apporte deux nouvelles fonctionnalités, ADAM et ADFS, qui permettent d’étendre le champ d’action d’Active Directory. Ces deux nouveautés offrent aux administrateurs et aux utilisateurs la possibilité d’explorer des scénarios de communication inédits, que ce soit d’applications ou d’utilisateurs, même lorsque ceux-ci sont d’organisations (forêts) différentes.

22.1. Active Directory Application Mode dit ADAM
ADAM (Active Directory Application Mode) est un mode indépendant du service d’annuaire Active Directory, dépourvu de fonctionnalités d’infrastructure. Il fournit des services d’annuaire pour les applications. Par exemple, lorsque vous souhaitez déployer des applications qui modifient le schéma d’Active Directory (qui ajoutent des attributs), mais que vous ne souhaitez pas le faire pour le schéma de l’infrastructure, vous pouvez alors utiliser ADAM pour fournir un magasin de données et des services d’accès à celle-ci. ADAM utilise des API standards pour accéder aux données d’applications et fonctionne soit comme un magasin de données autonome, soit avec une réplication. Son indépendance permet un contrôle local et une autonomie des services d’annuaire pour des applications spécifiques. Cela facilite des schémas indépendants et flexibles, ainsi que des contextes de nommage.

Les principes d’ADAM
ADAM est utile pour les entreprises qui nécessitent une prise en charge souple des applications utilisant un annuaire. ADAM est un service d’annuaire LDAP que vous pouvez utiliser sur des serveurs fonctionnant sous Windows Server 2003 R2, mais aussi sur des clients exécutant Windows XP Professionnel en téléchargeant ADAM du site de Microsoft. ADAM assure le stockage et la récupération de données pour les applications utilisant un annuaire, sans les dépendances requises par Active Directory. ADAM met en œuvre les mêmes fonctionnalités qu’Active Directory sans imposer le déploiement de domaines, ni de contrôleurs de domaines. Vous pouvez exécuter plusieurs instances d’ADAM sur un ordinateur, avec un schéma géré indépendamment pour chaque instance ADAM. ADAM utilise la même architecture (et la même base de code) qu’Active Directory et fournit un magasin de données hiérarchique, un composant de service d’annuaire et des interfaces que les clients peuvent utiliser pour communiquer avec le service d’annuaire. ADAM ne nécessite ni contrôleur de domaine ni même de serveur DNS. Le tableau suivant répertorie les composants ADAM de base, ainsi que leurs contreparties Active Directory : 22. ADAM et ADFS 735

Chapitre 22

ADAM et ADFS

Tableau 22.1 : Composants ADAM de base et contreparties AD Composant Magasin de données Active Directory ADAM Adamntds.dit Active Directory Ntds.dit Finalité Fournit un magasin de données hiérarchique pour les données d’annuaire Traite les demandes de clients d’annuaire et d’autres services d’annuaire Fournit des interfaces au service d’annuaire pour effectuer des demandes associées aux annuaires

Service d’annuaire Dsamain.exe, Adamdsa.dll Interface de services d’annuaire Protocole LDAP, réplication

Ntdsa.dll (s’exécute dans Lsass.exe) LDAP, réplication, MAPI (Messaging API)

Serveur d’annuaire Windows Server 2003 R2, Windows XP Professionnel

Fournit la plate-forme sur laquelle Windows 2000 s’exécute le service d’annuaire Server ou contrôleur de domaine Windows Server 2003 ou R2

L’illustration suivante montre la relation entre les composants d’ADAM :

22. ADAM et ADFS

Figure 22.1 : Relation entre les composants ADAM

736

Active Directory Application Mode dit ADAM

Le service d’annuaire
Le service d’annuaire ADAM gère le magasin de données d’annuaire. Il répond aux demandes d’annuaire provenant de clients d’annuaire, ainsi que d’autres services d’annuaire. Le service d’annuaire ADAM s’exécute dans le contexte de sécurité du compte qui est spécifié comme compte de service ADAM. Le service d’annuaire ADAM met en œuvre toutes les fonctions suivantes :
j j j j

l’authentification des utilisateurs d’annuaire ; la réponse aux demandes de données ; la synchronisation des données entre des serveurs d’annuaire (par réplication multimaître) ; la gestion des données.

Le service d’annuaire ADAM autorise ou refuse l’accès aux clients selon les informations d’identification fournies par ces derniers. ADAM prend en charge les mêmes méthodes d’authentification ou de liaison qu’Active Directory.

Les instances ADAM
Dans ADAM, une instance de service (ou simplement une instance) se réfère à une copie d’exécution unique du service d’annuaire ADAM. Contrairement à Active Directory, plusieurs copies du service d’annuaire ADAM peuvent s’exécuter simultanément sur le même ordinateur. Chaque instance du service d’annuaire ADAM dispose d’un magasin de données d’annuaire distinct, d’un nom de service unique et d’une description de service unique qui est affectée lors de l’installation.

22. ADAM et ADFS

L’interface de services d’annuaire
ADAM fournit les interfaces de services d’annuaire pour la communication avec des clients d’annuaire et d’autres instances ADAM. ADAM fournit une interface LDAP destinée aux clients pour l’authentification et pour effectuer des demandes de services d’annuaire. ADAM fournit une interface RPC pour la réplication avec d’autres serveurs ADAM et pour l’administration.

Les dépendances de service
ADAM ne nécessite ni le service DNS ni le service FRS (File Replication Service). Les clients s’adressent à ADAM directement, en utilisant le nom ou l’adresse IP de l’ordinateur sur lequel ADAM s’exécute, avec le numéro de port de communication utilisé par l’instance ADAM. Comme ADAM n’utilise ni domaines ni contrôleurs de domaine, la réplication ADAM ne nécessite pas FRS.

737

Chapitre 22

ADAM et ADFS

Les nouveautés d’ADAM dans Windows Server 2003 R2
ADAM était disponible depuis la première édition de Windows Server 2003 sous forme de téléchargement complémentaire sur le site de Microsoft à l’adresse www.microsoft.com/ downloads, le mot-clé de recherche étant ADAM. Les fonctions suivantes sont nouvelles dans ADAM sous Windows Server 2003 R2 :
j j j

Des utilisateurs peuvent maintenant être créés dans la partition de configuration afin que les utilisateurs ADAM puissent être administrateurs d’ADAM. Un outil, nommé Adaminstall, synchronise des objets d’Active Directory vers une instance ADAM. Les utilisateurs ADAM peuvent se lier à une instance ADAM en utilisant l’authentification Digest. Cette méthode d’authentification utilise les informations d’identification des applications serveurs et élimine la nécessité de conserver en mémoire une version en texte clair du mot de passe de l’application. La liaison Digest est prise en charge dans LDP. Un outil d’analyse de schéma Active Directory, nommé ADSchemaAnalyzer, simplifie la migration du schéma Active Directory vers ADAM. Une nouvelle version de l’outil LDP est livrée avec l’éditeur d’ACL.

j j

ADAM peut maintenant chaîner des demandes de mot de passe d’utilisateur dans ADAM vers l’objet utilisateur dans Active Directory afin qu’un mot de passe puisse être changé dans les deux services d’annuaire. Lorsqu’un utilisateur dans ADAM, qui est également un utilisateur dans Active Directory, tente de changer le mot de passe d’utilisateur dans ADAM, ce changement est traité de la même manière qu’un changement de mot de passe d’utilisateur dans Active Directory. L’ancien et le nouveau mot de passe doivent être fournis (sauf pour les administrateurs Active Directory, qui doivent uniquement fournir le nouveau mot de passe), et le nouveau mot de passe doit être conforme aux stratégies de mot de passe définies dans Active Directory. Active Directory effectue toute la vérification de la stratégie.

22. ADAM et ADFS

Configuration requise par ADAM
La configuration requise suivante s’applique à ADAM…

Configuration requise en matière de plateforme
ADAM nécessite l’une des plateformes suivantes :
j j j j

Windows Server 2003 (version R2 ou pas), Standard Edition ; Windows Server 2003 (version R2 ou pas), Enterprise Edition ; Windows Server 2003 (version R2 ou pas), Datacenter Edition ; la version 64 bits de Windows Server 2003 (version R2 ou pas), Enterprise Edition ;

738

Active Directory Application Mode dit ADAM

j j j

la version 64 bits de Windows Server 2003 (version R2 ou pas), Datacenter Edition ; Windows XP Professionnel Service Pack 1 (SP1) au minimum ; Windows XP, édition 64 bits, Service Pack 1 (SP1) au minimum.

Configuration requise en matière de groupe de travail et de domaine
ADAM ne nécessite pas de forêt, de domaine ou de contrôleur de domaine. Vous pouvez installer ADAM sur des ordinateurs configurés en tant que contrôleurs de domaine, membres de domaine ou ordinateurs autonomes.

Prise en charge des clients LDAP
ADAM prend en charge les clients LDAP (Lightweight Directory Access Protocol) écrits conformément à la spécification technique LDAP v3.

Prise en charge des clients ADSI
ADAM prend en charge les interfaces ADSI (Active Directory Service Interfaces) pour les clients qui exécutent les systèmes d’exploitation suivants :
j j j j

Windows XP Professionnel ; Windows XP Édition familiale ; la famille Windows Server 2003 et R2 ; Windows 2000. 22. ADAM et ADFS

Comparaison d’ADAM avec Active Directory
Voici un résumé des différences et des similitudes fonctionnelles entre ADAM et Active Directory :
Tableau 22.2 : Comparatif technique entre ADAM et AD Fonction du composant Prise en charge de plusieurs schémas par serveur Prise en charge de plusieurs instances d’annuaire par serveur Fonctionnement sous Windows XP Professionnel Fonctionnement sur des serveurs membres Prise en charge de l’affectation de noms X.500 pour les partitions d’annuaire de niveau supérieur Prise en charge de l’installation, du démarrage et de l’arrêt sans redémarrage Stratégie de groupe ADAM Oui Oui Oui Oui Oui Oui Non Active Directory Non Non Non Non Non Non Oui

739

Chapitre 22

ADAM et ADFS

Fonction du composant Catalogue global Gestion du bureau IntelliMirror Distribution des logiciels automatisée Approbations de domaines et de forêts Infrastructure de clé publique (PKI) /X.509 Prise en charge des enregistrements de ressources de service DNS (SRV) Prise en charge de l’interface de programmation d’application (API) LDAP Prise en charge de l’API ADSI Prise en charge de MAPI (Messaging API) Administration déléguée Réplication multimaître InetOrgPerson LDAP sur SSL (Secure Sockets Layer) Sécurité de niveau attribut Prise en charge de la liste de contrôle d’accès ACL LDAP Schéma extensible Prise en charge des partitions d’annuaire d’applications

ADAM Non Non Non Non Non Non Oui Oui Non Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui

Active Directory Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui

22. ADAM et ADFS

Prise en charge de l’installation d’un réplica à partir d’un support Prise en charge des serveurs 64 bits Prise en charge de la liaison LDAP concurrente

Implémenter ADAM
Voici les procédures d’implémentation relatives à ADAM :

Installer ADAM
Pour installer ADAM à partir de Windows Server 2003 R2, procédez comme ceci : 1. Dans le Panneau de configuration, activez le lien Ajout/Suppression de programmes. 2. Cliquez sur Ajouter/Supprimer des composants Windows. 3. Sélectionnez Services Active Directory, sous la rubrique Composants, puis cliquez sur Détails. 4. Activez la case à cocher Active Directory Application Mode (ADAM) sous la rubrique Sous-composants de Services Active Directory, puis cliquez sur OK. 740

Active Directory Application Mode dit ADAM

Figure 22.2 : Choix de l’installation d’ADAM

5. Cliquez sur Suivant dans la page Composants Windows. 6. Après avoir inséré le CD 2 de Windows Server 2003 R2 si besoin, prenez connaissance du message qui s’affiche, puis cliquez sur Terminer dans la dernière fenêtre qui apparaît. 7. Si une erreur se produit lors de l’exécution de l’Assistant Installation de Active Directory en mode application avant l’affichage de la page Fin de l’Assistant Installation de Active Directory en mode Application : 1. Consultez tout d’abord le message d’erreur qui décrit l’origine du problème. 2. Cliquez ensuite sur Démarrer/Exécuter, puis tapez %windir%\Debug\ dans la zone de saisie. 22. ADAM et ADFS

Figure 22.3 : Fin de l’installation d’ADAM

741

Chapitre 22

ADAM et ADFS

Créer une instance ADAM
La suite des opérations consiste à créer une instance ADAM : 1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Créer une instance ADAM. 2. Dans la page Bienvenue dans l’Assistant Installation de Active Directory en mode Application, cliquez sur Suivant. 3. Dans la page Options d’installation, choisissez de créer soit Une instance unique, soit Un réplica d’une instance existante, puis cliquez sur Suivant.
Figure 22.4 : Options d’installation de l’instance ADAM

22. ADAM et ADFS

Une instance ADAM consiste en une copie unique du service d’annuaire ADAM, avec son magasin d’annuaires associé, les ports LDAP et SSL affectés et le journal d’événements d’application. Vous pouvez exécuter plusieurs instances ADAM simultanément sur un seul ordinateur. Si vous choisissez d’installer une instance ADAM unique, l’instance ADAM que vous installez ne fera pas partie d’un jeu de configurations existant et n’aura pas de partenaires de réplication. Si vous choisissez d’installer un réplica d’une instance ADAM existante, l’instance ADAM que vous installez contiendra des copies des partitions d’annuaire de configuration et de schéma (notamment toutes les extensions du schéma) depuis l’instance à partir de laquelle vous avez choisi de répliquer. 4. Entrez le nom de l’instance ADAM et cliquez sur Suivant (voir fig. 22.5). 5. Entrez les numéros de port LDAP et SSL associés et cliquez sur Suivant (voir fig. 22.6).

742

Active Directory Application Mode dit ADAM

Figure 22.5 : Nom de l’instance ADAM

Figure 22.6 : Numéros de ports de l’instance ADAM

22. ADAM et ADFS

6. Dans la page Partition de l’annuaire d’applications, vous pouvez créer une nouvelle partition d’annuaire d’applications pendant l’installation d’ADAM. Une partition d’annuaire d’applications contient des données spécifiques d’une ou de plusieurs applications utilisant un annuaire. Vous pouvez cliquer sur Non, ne pas créer de partition d’annuaire d’applications ou cliquer sur Oui, créer une partition d’annuaire d’applications, puis spécifier un nom unique pour la nouvelle partition. ADAM prend en charge les noms uniques de style X.500 et de style DNS (Domain Name System). Cliquez sur Suivant.

743

Chapitre 22

ADAM et ADFS

Figure 22.7 : Option de création de partition de l’annuaire d’applications de l’instance ADAM

7. Spécifiez l’emplacement où seront stockés les fichiers de l’instance et cliquez sur Suivant.
Figure 22.8 : Emplacement des fichiers de l’instance ADAM

22. ADAM et ADFS

8. Sélectionnez un compte de services à utiliser et cliquez sur Suivant (voir fig. 22.9). 9. Sélectionnez l’utilisateur ou le groupe auquel vous voulez attribuer le rôle d’administrateur ADAM et cliquez sur Suivant (voir fig. 22.10).

744

Active Directory Application Mode dit ADAM

Figure 22.9 : Compte de services de l’instance ADAM

Figure 22.10 : Choix de l’administrateur ADAM de l’instance ADAM

22. ADAM et ADFS

10. Dans la page Importer les fichiers LDIF, vous pouvez spécifier l’importation des fichiers LDIF facultatifs ms-InetOrgPerson.ldf, ms-User.ldf, ms-UserProxy.ldf et MS-AZMan.ldf. Ces fichiers contiennent plusieurs définitions de schémas de classes des utilisateurs, ainsi que les objets à utiliser avec le Gestionnaire d’autorisations Windows, qui peuvent être importés dans le schéma de la nouvelle instance ADAM en cours d’installation. Cliquez sur Suivant.

745

Chapitre 22

ADAM et ADFS

Figure 22.11 : Importation des fichiers LDIF de l’instance ADAM

11. Tout est prêt pour l’installation de la nouvelle instance. Dans la fenêtre de résumé, cliquez sur Suivant et l’installation s’effectue.
Figure 22.12 : Installation de l’instance ADAM

22. ADAM et ADFS

12. Cliquez sur Terminer pour sortir de l’assistant.

Se connecter à une instance ADAM
Une fois l’instance créée, vous devez vous y connecter pour pouvoir commencer à travailler. Pour vous connecter à une instance ADAM à l’aide de l’éditeur ADSI ADAM : 1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Éditeur ADSI ADAM. 2. Dans l’arborescence de la console, cliquez sur Éditeur ADSI ADAM.

746

Active Directory Application Mode dit ADAM

Figure 22.13 : Éditeur ADSI ADAM

3. Dans le menu Action, cliquez sur Établir une connexion.
Figure 22.14 : Établissement d’une connexion

22. ADAM et ADFS

4. Dans la zone Nom de la connexion, tapez un nom. 5. Dans la zone Nom du serveur, tapez le nom DNS, le nom NetBIOS ou l’adresse IP de l’ordinateur sur lequel l’instance ADAM s’exécute. 6. Dans le champ Port, tapez le port de communication LDAP utilisé par l’instance ADAM à laquelle vous voulez vous connecter. 7. Sous la rubrique Établir une connexion au nœud suivant, cliquez sur Nom unique (DN) ou contexte de nom, puis spécifiez le nom unique auquel vous voulez vous connecter, ou cliquez sur Contexte d’attribution de noms connu puis sur Configuration, RootDSE ou Schéma.

747

Chapitre 22

ADAM et ADFS

8. Sous la rubrique Établir une connexion en utilisant ces informations d’identification, cliquez sur Le compte de l’utilisateur ayant ouvert la session, ou cliquez sur Ce compte puis spécifiez le nom d’utilisateur et le mot de passe du compte auquel vous voulez vous connecter.

Gérer l’instance ADAM
Une fois que vous êtes connecté à l’instance ADAM, vous pouvez la manipuler comme s’il s’agissait d’Active Directory et créer votre propre contexte en fonction de l’application qui s’y connectera. Par exemple, vous pouvez créer un utilisateur et une unité d’organisation.

Créer un utilisateur dans ADAM
L’interface graphique
1. Ouvrez l’Éditeur ADSI ADAM. 2. Connectez-vous et effectuez la liaison avec l’instance et la partition d’annuaire ADAM à laquelle vous voulez ajouter l’utilisateur. 3. Dans l’arborescence de la console, double-cliquez sur la partition d’annuaire à laquelle vous voulez ajouter l’utilisateur. 4. Dans l’arborescence de la console, cliquez avec le bouton droit de la souris sur le conteneur auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis cliquez sur Objet.

22. ADAM et ADFS

Figure 22.15 : Création d’un nouvel utilisateur dans une instance ADAM

748

Active Directory Application Mode dit ADAM

5. Dans la zone Sélectionner une classe, cliquez sur la classe que vous voulez utiliser (user, inetOrgPerson, person ou OrganizationalPerson), puis cliquez sur Suivant. 6. Dans le champ Valeur, tapez une valeur pour l’attribut nom commun (CN) du nouvel utilisateur, puis cliquez sur Suivant.
Figure 22.16 : Paramètres du nouvel utilisateur

7. Après avoir défini tout éventuel attribut pour le nouvel utilisateur, cliquez sur Terminer.

Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next Set objOU = GetObject("LDAP://localhost:50000/ ✂ ou=Techniciens,dc=corp,dc=puzzmania, dc=com") Set objUser = objOU.Create("user", "cn=mmolist") objUser.Put "displayName", "Martin Molist" objUser.Put "userPrincipalName", "[email protected]" objUser.SetInfo

22. ADAM et ADFS

2. Enregistrez ce fichier sous le nom CreerADAMUser.vbs, par exemple, et lancez la commande wscript CreerADAMUser.vbs dans une Invite de commandes.

749

Chapitre 22

ADAM et ADFS

Créer une unité d’organisation dans ADAM
L’interface graphique
1. Ouvrez l’éditeur ADSI ADAM. 2. Connectez-vous et effectuez la liaison avec l’instance et la partition d’annuaire ADAM à laquelle vous voulez ajouter l’utilisateur. 3. Dans l’arborescence de la console, double-cliquez sur la partition d’annuaire à laquelle vous voulez ajouter l’utilisateur. 4. Dans l’arborescence de la console, cliquez avec le bouton droit sur le conteneur auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis cliquez sur Objet. 5. Dans la zone Sélectionnez une classe, cliquez sur organizationalUnit, puis sur Suivant. 6. Dans la zone Valeur, tapez un nom pour la nouvelle unité d’organisation, puis cliquez sur Suivant. 7. Si vous voulez définir les valeurs d’autres attributs, cliquez sur Autres attributs sinon cliquez sur Terminer.

Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next

22. ADAM et ADFS

Set objDomain = ✂ GetObject("LDAP://localhost:50000/dc=corp,dc=puzzmania,dc=com") Set objOU = objDomain.Create("organizationalUnit", "ou=Techniciens") objOU.SetInfo

2. Enregistrez ce fichier sous le nom CreerADAMOU.vbs par exemple et lancez la commande wscript CreerADAMOU.vbs dans une Invite de commandes.

La maintenance d’ADAM
Comme pour Active Directory, la sauvegarde et la restauration d’ADAM sont importantes.

Sauvegarder ADAM
Pour sauvegarder une instance ADAM dans un fichier, procédez ainsi :

750

Active Directory Application Mode dit ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, sur Outils système, puis cliquez sur Utilitaire de sauvegarde. 2. Dans l’Assistant Sauvegarde ou Restauration, cliquez sur le lien correspondant au mode avancé. 3. Cliquez sur l’onglet Utilitaire de sauvegarde, puis, dans le menu Tâche, cliquez sur Nouveau. 4. Pour sélectionner les dossiers d’instance ADAM à sauvegarder, cochez la case située à gauche des dossiers. Par défaut, les fichiers ADAM sont situés dans le répertoire \%ProgramFiles%\Microsoft ADAM\nom_instance (où nom_instance représente le nom de l’instance ADAM) qui contient les fichiers de base de données et fichiers journaux et le répertoire \%windir%\ADAM qui contient les fichiers de programmes et d’outils d’administration. 5. Dans la zone Effectuer la sauvegarde vers, sélectionnez votre chemin de sauvegarde. 6. Dans la zone Nom du fichier ou média de sauvegarde, tapez le bon emplacement et le nom. 7. Cliquez sur Démarrer, puis apportez les modifications nécessaires dans la boîte de dialogue Informations sur la sauvegarde. 8. Pour définir les options avancées de sauvegarde telles que la vérification des données ou la compression matérielle, cliquez sur Avancé. 9. Cliquez sur Démarrer la sauvegarde pour démarrer l’opération de sauvegarde. 22. ADAM et ADFS

Restaurer ADAM
Pour effectuer une restauration faisant autorité des données ADAM sur une instance ADAM appartenant à un jeu de configurations : 1. Si elle est en cours d’exécution, arrêtez l’instance ADAM pour laquelle des données seront restaurées. 2. Ouvrez l’utilitaire de sauvegarde. 3. Cliquez sur l’onglet Restaurer et gérer le média. 4. Dans le volet d’informations, sélectionnez l’instance ADAM que vous souhaitez restaurer en cochant la case à gauche du dossier qui représente l’instance ADAM que vous souhaitez restaurer. 5. Dans Restaurer les fichiers vers, cliquez sur Emplacement d’origine. 6. Dans le menu Outils, cliquez sur Options, cliquez sur l’onglet Restaurer, cliquez sur Toujours remplacer les fichiers sur mon ordinateur, puis cliquez sur OK. 7. Cliquez sur Démarrer.

751

Chapitre 22

ADAM et ADFS

8. Une fois la restauration terminée, fermez l’utilitaire de sauvegarde. Pour forcer la restauration : 1. Ouvrez une Invite de commandes des outils ADAM. Pour cela, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur ADAM, puis cliquez sur Invite de commande des outils ADAM. 2. Dans la fenêtre d’Invite de commandes, tapez dsdbutil. 3. À l’invite dsdbutil:, tapez activate instance nominstance (où nominstance représente le nom de service de l’instance ADAM sur laquelle vous souhaitez restaurer les données). 4. Tapez ensuite authoritative restore. 5. À l’invite authoritative restore:, tapez l’une des commandes suivante :
j j j

restore database pour effectuer une restauration faisant autorité de toute la base de données d’annuaire ; restore object dn pour effectuer une restauration faisant autorité de l’objet annuaire, dont le nom unique est représenté par dn ; restore subtree dn pour effectuer une restauration faisant autorité de la sous-arborescence d’annuaire dont le nom unique est représenté par dn.

22. ADAM et ADFS

Figure 22.17 : Résultat de la commande dsdbutil lors d’une restauration

Synchroniser les données entre Active Directory et une instance ADAM
L’outil de synchronisation AD vers ADAM est un outil de ligne de commande qui synchronise les données entre une forêt Active Directory et le jeu de configurations d’une instance ADAM. Pour synchroniser les données entre Active Directory et une instance ADAM : 1. Ouvrez une Invite de commandes des outils ADAM. 2. Dans la fenêtre d’invite de commandes, tapez
adamsync /install nom_serveur:port nom_fichier_xml.

752

Active Directory Application Mode dit ADAM

adamsync
/l ou /list /d ou /delete nom_unique _configuration /i ou /install fichier _entrée /download nom_unique _configuration fichier_sortie /export nom _unique _configuration fichier_sortie Affiche toutes les configurations disponibles de l’outil de synchronisation d’Active Directory vers ADAM.

Supprime la configuration spécifiée. Installe la configuration contenue dans le fichier d’entrée spécifié.

Crée un fichier de sortie au format XML contenant la configuration spécifiée.

Enregistre la configuration actuelle dans le fichier de sortie spécifié.

/sync nom_unique _configuration Synchronise la configuration spécifiée. 22. ADAM et ADFS /reset nom _unique _configuration /mai nom_unique _configuration /fs nom_unique _configuration /ageall nom _unique _configuration

Réinitialise le cookie de réplication de la configuration spécifiée. Définit la configuration spécifiée en tant qu’instance faisant autorité. Effectue une synchronisation de réplication complète de la configuration spécifiée.

Effectue une passe de vieillissement pour la configuration spécifiée.

/so nom_unique _configuration nom_unique_objet Effectue une synchronisation de réplication pour l’objet spécifié dans la configuration spécifiée. Utilisez le nom unique de l’objet. /passPrompt Demande les informations d’identification de l’utilisateur.

753

Chapitre 22

ADAM et ADFS

22.2. Active Directory Federation Services (ADFS)
ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies d’ouverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs applications web, à travers la durée de vie d’une session en ligne unique. ADFS y parvient en partageant de manière sécurisée l’identité numérique et les droits accordés, ou "revendications", à travers des limites de sécurité et d’entreprise.

Les principales fonctionnalités d’ADFS
Découvrez quelques-unes des principales fonctionnalités d’ADFS dans Windows Server 2003 R2…
j

SSO de fédération et Web : lorsqu’une organisation utilise le service d’annuaire Active Directory, il bénéficie des avantages procurés par la fonctionnalité SSO, à travers l’authentification intégrée à Windows au sein de la sécurité de l’organisation ou des frontières de l’entreprise. ADFS étend cette fonctionnalité aux applications confrontée à Internet, ce qui permet aux clients, aux partenaires et aux fournisseurs de disposer d’une expérience utilisateur SSO web similaire et rationnelle lorsqu’ils accèdent aux applications basées sur le Web de l’organisation. En outre, des serveurs de fédération peuvent être déployés dans différentes organisations pour faciliter les transactions fédérées interentreprises (B2B) entre des organisations partenaires. Services Web WS-* interopérabilité : ADFS fournit une solution de gestion d’identité fédérée qui interagit avec d’autres produits de sécurité qui prennent en charge l’architecture de services Web WS-*. ADFS emploie pour cela la spécification de fédération de WS-*, appelée WS-Federation. La spécification WS-Federation permet à des environnements qui n’utilisent pas le modèle d’identité Windows de créer une fédération avec les environnements Windows. Architecture extensible : ADFS fournit une architecture extensible qui prend en charge le type de jeton SAML (Security Assertion Markup Language) et l’authentification Kerberos (dans le SSO web fédéré avec le scénario d’approbation de forêt). ADFS peut également effectuer un mappage de revendication, par exemple, en modifiant les revendications à l’aide d’une logique d’entreprise personnalisée en tant que variable dans une demande d’accès. Des organisations peuvent utiliser cette extensibilité pour modifier ADFS en vue d’une coexistence avec leurs infrastructures de sécurité et stratégies d’entreprise actuelles.

j

22. ADAM et ADFS

j

754

Active Directory Federation Services (ADFS)

L’extension d’Active Directory à Internet
Active Directory tient un rôle de service d’identité et d’authentification principal dans de nombreuses organisations. Avec Active Directory, des approbations de forêt peuvent être créées entre deux forêts ou plus, afin de fournir un accès à des ressources qui se trouvent dans des services d’entreprise ou des organisations différents. Cependant, il existe des scénarios dans lesquels des approbations de forêt ne représentent pas une option viable. Par exemple, l’accès à travers des organisations peut nécessiter une limitation à un sous-ensemble constitué d’un faible nombre d’individus uniquement, et pas à chaque membre d’une forêt. En utilisant ADFS, les organisations peuvent étendre leurs infrastructures Active Directory existantes pour fournir un accès à des ressources proposées par des partenaires approuvés à travers Internet. Ces partenaires approuvés peuvent inclure des tiers externes ou d’autres services ou des filières dans la même organisation. ADFS est étroitement intégré à Active Directory et extrait des attributs d’utilisateur à partir d’Active Directory, puis il authentifie les utilisateurs par rapport à Active Directory. ADFS utilise également l’authentification intégrée à Windows. ADFS fonctionne avec Active Directory et ADAM. Plus précisément, ADFS fonctionne avec des déploiements à l’échelle de l’entreprise d’Active Directory ou des instances d’ADAM. Utilisé avec Active Directory, ADFS peut bénéficier des performances d’authentification performantes contenues dans Active Directory, y compris Kerberos, les certificats numériques X.509 et les cartes à puce. Avec ADAM, ADFS utilise la liaison LDAP pour authentifier des utilisateurs. ADFS prend en charge l’authentification distribuée et l’autorisation via Internet. ADFS peut être intégré à la solution de gestion d’accès existante d’une organisation ou d’un service, afin de traduire les termes utilisés au sein de l’organisation en revendications qui ont été acceptées comme faisant partie d’une fédération. ADFS peut créer, sécuriser et vérifier les revendications échangées entre des organisations. Il peut aussi auditer et analyser l’activité entre des organisations et des services pour aider à garantir la sécurité des transactions.

22. ADAM et ADFS

Les rôles des serveurs ADFS
Les services de fédération Active Directory ne sont opérationnels que si les serveurs exécutant Windows Server 2003 R2 sont configurés correctement. Selon l’environnement de votre organisation, des rôles de serveur ADFS spécifiques doivent être déployés. Selon les scénarios d’entreprise, ils seront développés soit dans la forêt de ressources, soit dans la forêt de clients. Voici la description des rôles de serveurs qui peuvent être utilisés pour fournir une solution ADFS de gestion fédérée des identités…

755

Chapitre 22

ADAM et ADFS

Les serveurs de fédération
Les serveurs de fédération hébergent le composant Service de fédération du service ADFS. Ils servent à acheminer les requêtes d’authentification émises à partir de comptes d’utilisateurs situés dans d’autres organisations ou à partir de clients pouvant se trouver n’importe où sur Internet (dans le scénario SSO web). Les serveurs de fédération hébergent aussi un service de jetons de sécurité qui émet des jetons reposant sur les informations d’identification (par exemple, le nom d’utilisateur et le mot de passe) qui lui sont indiquées. Après la vérification des informations d’identification (effectuée lors de l’ouverture de session de l’utilisateur), les revendications de l’utilisateur sont collectées par l’examen des attributs de cet utilisateur, lesquels sont stockés dans Active Directory ou ADAM. Dans des scénarios SSO de Web fédéré, les revendications peuvent ensuite être modifiées par des mappages de revendications pour un partenaire de ressources spécifique. Les revendications sont intégrées dans un jeton qui est envoyé à un serveur de fédération dans le partenaire de ressources. Dès qu’un serveur de fédération du partenaire de ressources reçoit les revendications entrantes, il les associe à celles de son organisation. Les revendications de l’organisation sont ensuite intégrées dans un nouveau jeton, lequel est envoyé à l’Agent Web ADFS. Le rôle que joue un serveur de fédération dans l’un ou l’autre des scénarios SSO de Web fédéré (SSO de Web fédéré ou SSO de Web fédéré avec approbation de forêt) peut varier selon que votre organisation est définie comme étant le partenaire de comptes ou le partenaire de ressources : 22. ADAM et ADFS
j

Dans le partenaire de comptes, les serveurs de fédération servent à se connecter à des comptes d’utilisateurs locaux, que ce soit dans un magasin Active Directory ou dans un magasin ADAM. Les serveurs de fédération émettent également des jetons de sécurité initiaux que les comptes d’utilisateurs locaux peuvent utiliser pour accéder à des applications web hébergées dans le partenaire de ressources. De plus, les serveurs de fédération du partenaire de comptes émettent des cookies au niveau des utilisateurs pour gérer le statut des connexions. Ces cookies incluent des revendications pour ces utilisateurs. Ces cookies offrent des fonctionnalités SSO. Ainsi, les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification chaque fois qu’ils visitent des applications Web du partenaire de ressources. Sur le partenaire de ressources, les serveurs de fédération valident les jetons de sécurité qui sont émis par les serveurs de fédération au niveau du partenaire de comptes. Sur le partenaire de ressources, les serveurs de fédération émettent aussi des jetons de sécurité à l’intention des applications web du partenaire de ressources. De plus, les serveurs de fédération du partenaire de ressources émettent des cookies dans les comptes d’utilisateurs, qui proviennent du partenaire de comptes. Ces cookies offrent des fonctionnalités SSO. Ainsi, les utilisateurs n’ont pas besoin d’ouvrir à nouveau une session sur leurs serveurs de fédération du partenaire de comptes pour accéder à différentes applications web du partenaire de ressources.

j

756

Active Directory Federation Services (ADFS)

Les proxies de serveur de fédération
Un proxy de serveur de fédération héberge le composant Proxy du service de fédération du service ADFS. Les proxies peuvent être déployés dans le réseau de périmètre d’une organisation (DMZ) pour transmettre les demandes aux serveurs de fédération qui ne sont pas accessibles par le biais d’Internet. Bien que vous puissiez déployer des serveurs distincts pour héberger le composant Proxy du service de fédération, il n’est pas nécessaire de déployer un serveur différent comme proxy de serveur de fédération dans la forêt intranet du partenaire de comptes ou du partenaire de ressources. Le serveur de fédération remplit automatiquement ce rôle. Le rôle que joue un proxy de serveur de fédération dans votre organisation varie selon que celle-ci est le partenaire de comptes ou le partenaire de ressources :
j

Au niveau du partenaire de comptes, les proxies de serveur de fédération font office de proxies pour les connexions d’utilisateurs aux serveurs de fédération situés sur l’intranet. Ils peuvent aussi faire office de proxies pour les jetons de sécurité émis par le serveur de fédération du partenaire de comptes, aussi bien pour ses propres jetons que ceux qui sont destinés aux partenaires de ressources. Au niveau du partenaire de ressources, les proxies du service de fédération font office de proxies pour les jetons de sécurité des utilisateurs, qui sont émis à partir des serveurs de fédération aussi bien au niveau du partenaire de comptes que du partenaire de ressources, à l’intention des applications web du partenaire de ressources. 22. ADAM et ADFS

j

Les serveurs web
Dans ADFS, les serveurs web de la forêt de ressources hébergent le composant Agent Web ADFS en vue d’offrir un accès sécurisé aux applications web qui sont hébergées sur ces serveurs web. L’Agent Web ADFS gère les jetons de sécurité et les cookies d’authentification qui sont envoyés à un serveur web. Le serveur web nécessite une relation avec un service de fédération de façon à ce que tous les jetons d’authentification proviennent de ce service de fédération. L’Agent Web ADFS prend en charge deux types d’applications : les applications qui savent reconnaître les revendications et les applications Windows NT à base de jetons.

Configuration requise pour ADFS
Des prérequis matériels ainsi que logiciels sont nécessaires à la mise en place d’ADFS. La configuration matérielle requise est la suivante…
j j

Vitesse du processeur : 133 MHz. Mémoire vive minimale recommandée : 256 Mo.

757

Chapitre 22

ADAM et ADFS

j

Espace disque libre pour l’installation : 10 Mo.

Quant à la configuration logicielle requise, les services ADFS reposent sur la fonctionnalité de serveur qui est intégrée au système d’exploitation Windows Server 2003 R2. Les composants Service de fédération, Proxy du service de fédération et Agent Web ADFS ne peuvent pas s’exécuter sur des systèmes d’exploitation plus anciens. Répartition des composants d’ADFS Les composants Service de fédération et Proxy du service de fédération ne peuvent pas se trouver sur le même ordinateur et ils ne peuvent être installés que sur des ordinateurs exécutant Windows Server 2003 R2, Enterprise Edition.

Configuration requise pour Active Directory et le magasin de comptes ADAM
ADFS requiert la présence de comptes d’utilisateurs dans Active Directory ou ADAM pour le service de fédération des comptes. Les contrôleurs de domaine Active Directory ou les ordinateurs qui hébergent les magasins de comptes peuvent tourner des versions Windows 2000 Server SP4 jusqu’à Windows Server 2003 R2. ADFS ne nécessite pas de modifications de schéma ou de fonctionnalités pour Active Directory. 22. ADAM et ADFS Pour garantir le bon fonctionnement d’ADAM avec ADFS, installez la version d’ADAM qui est fournie avec Windows Server 2003 R2.

Le service de fédération
Le serveur exécutant le service de fédération doit être configuré avec les composants suivants :
j j j j j j

Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par défaut configuré avec TLS/SSL (Transport Layer Security et Secure Sockets Layer) ; un certificat, de signature numérique X.509, pour le service de fédération, utilisé pour la signature des jetons.

758

Active Directory Federation Services (ADFS)

Le proxy du service de fédération
Le serveur exécutant le proxy du service de fédération doit être configuré avec les composants suivants :
j j j j j

Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par défaut configuré avec TLS/SSL (Transport Layer Security et Secure Sockets Layer).

L’agent web ADFS
Le serveur exécutant l’Agent Web ADFS doit être configuré avec les composants suivants :
j j j j

Windows Server 2003 R2, Standard Edition, ou Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0. 22. ADAM et ADFS

Lorsque l’installation de l’Agent Web ADFS est terminée, il faut configurer au moins un site web dans IIS avec TLS/SSL, de façon à ce que les utilisateurs fédérés puissent accéder aux applications web qui sont hébergées sur le serveur web.

Les autorités de certification approuvées
Comme TLS/SSL et la signature des jetons reposent sur les certificats numériques, les autorités de certification constituent une partie importante d’ADFS. Vous pouvez recourir à des autorités de certification d’entreprise, comme les services de certificats Microsoft, pour fournir la signature de jetons et d’autres services de certificats internes. Si un client se voit proposer un certificat d’authentification d’un serveur, il s’assure que l’autorité de certification qui l’a émise se trouve sur sa liste d’autorités de certification approuvées et que l’autorité de certification n’a pas révoqué le certificat. Cette vérification garantit que le client a bien atteint le serveur souhaité. Lorsqu’il utilise un certificat pour vérifier des jetons signés, le client s’assure que le jeton a bien été émis par le bon serveur de fédération et que ce jeton n’a pas été falsifié.

759

Chapitre 22

ADAM et ADFS

La connectivité de réseau TCP/IP
Pour que le service ADFS fonctionne, il doit y avoir une connectivité de réseau TCP/IP entre le client, un contrôleur de domaine et les ordinateurs qui hébergent le service de fédération, le proxy du service de fédération (s’il est utilisé) et l’Agent Web ADFS.

Les serveurs DNS
Pour ce qui concerne l’authentification des utilisateurs d’un intranet, les serveurs DNS de la forêt de l’intranet doivent être configurés pour retourner le nom complet (CNAME) du serveur interne qui exécute le service de fédération. N’utilisez pas de fichiers Hosts avec le DNS.

Le navigateur web
Bien que n’importe quel navigateur web actuel compatible JScript puisse faire office de client ADFS, seuls Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et Safari sur Macintosh ont été testés par Microsoft. Pour des raisons de performance, il est fortement recommandé d’activer JScript. Les cookies doivent être acceptés, ou du moins approuvés, pour les serveurs de fédération et les applications web auxquels on accède.

Implémenter des composants ADFS
22. ADAM et ADFS Vous allez maintenant apprendre comment installer les composants ADFS.

Installer le composant Service de fédération
1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur le lien Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows. 3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Détails. 4. Dans la boîte de dialogue Services Active Directory, cliquez sur Services de fédération Active Directory (ADFS), puis cliquez sur Détails. 5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cochez la case Service de fédération, puis cliquez sur OK. Si ASP.NET 2.0 n’a pas été préalablement activé, cliquez sur Oui pour l’activer, puis sur OK. 6. Dans la boîte de dialogue Services Active Directory, cliquez sur OK. 7. Dans l’Assistant Composants de Windows, cliquez sur Suivant.

760

Active Directory Federation Services (ADFS)

8. Dans la page Service de fédération, cliquez sur Créer un certificat de signature de jetons auto-signé. 9. Sous la rubrique Stratégie d’approbation, cliquez sur Créer une nouvelle stratégie d’approbation, puis sur Suivant. 10. Si vous êtes invité à fournir l’emplacement des fichiers d’installation, accédez à Dossier d’installation de R2\cmpnents\r2, puis cliquez sur OK. 11. Dans la page Fin de l’Assistant Composants de Windows, cliquez sur Terminer.

Installer le composant Agent web
1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows. 3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Détails. 4. Dans la boîte de dialogue Services Active Directory, cliquez sur Services de fédération Active Directory (ADFS), puis cliquez sur Détails. 5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cliquez sur Agents Web ADFS, puis sur Détails. 6. Dans la boîte de dialogue Agents Web ADFS, cochez les cases Applications reconnaissant les réclamations et Applications basées sur les jetons Windows NT, puis cliquez sur OK. 7. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cliquez sur OK. 8. Dans la boîte de dialogue Services Active Directory, cliquez sur OK. 9. Dans l’Assistant Composants de Windows, cliquez sur Suivant. 10. Si vous êtes invité à fournir l’emplacement des fichiers d’installation, accédez à Fichiers d’installation de R2\cmpnents\r2, puis cliquez sur OK. 11. Dans la page Fin de l’Assistant Composants de Windows, cliquez sur Terminer. 22. ADAM et ADFS

Installer le composant Proxy du service de fédération
1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows.

761

Chapitre 22

ADAM et ADFS

3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Détails. 4. Dans la boîte de dialogue Services Active Directory, cliquez sur Services de fédération Active Directory (ADFS), puis cliquez sur Détails. 5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cochez la case Proxy du Service de fédération, puis cliquez sur OK. Si ASP.NET 2.0 n’a pas été préalablement activé, cliquez sur Oui pour l’activer, puis sur OK. 6. Dans la boîte de dialogue Services Active Directory, cliquez sur OK. 7. Dans l’Assistant Composants de Windows, cliquez sur Suivant. Configuration des composants Pour aller plus loin dans la configuration des composants, consultez l’adresse http://technet2.microsoft.com/windowsserver/en/technologies/featured/adfs/default.mspx.

La terminologie ADFS
Afin de mieux comprendre les différents termes employés dans l’approche ADFS, aidez-vous du tableau suivant :
Tableau 22.3 : Termes employés lors de la mise en place d’ADFS

22. ADAM et ADFS

Terme Partenaire de comptes

Description Partenaire de fédération approuvé par le service de fédération pour fournir des jetons de sécurité. Le partenaire de comptes émet ces jetons de sécurité à ses utilisateurs (les utilisateurs présents dans le domaine du partenaire de comptes), afin qu’ils puissent accéder à des applications basées sur le Web dans le partenaire de ressource. Composant Windows Server 2003 R2 qui fournit des technologies d’ouverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs applications web, à travers la durée de vie d’une session en ligne unique. ADFS y parvient en partageant de manière sécurisée l’identité numérique et les droits accordés, à travers des limites de sécurité et d’entreprise. ADFS dans Windows Server 2003 R2 prend en charge WS-F PRP (WS-Federation Passive Requestor Profile). Revendication effectuée par un serveur (nom, identité, clé, groupe, privilège ou fonctionnalité, par exemple) sur un client. Application ASP.NET qui effectue une autorisation basée sur les revendications présentes dans un jeton de sécurité ADFS. Paire de domaines Kerberos ou de domaines ayant établi une approbation de fédération.

ADFS (Active Directory Federation Services)

Revendication Application compatible avec les revendications Fédération

762

Active Directory Federation Services (ADFS)

Terme Service de fédération

Description Service de jeton de sécurité conçu dans Windows Server 2003 R2. Le service de fédération fournit des jetons en réponse aux demandes de jetons de sécurité. Proxy vers le service de fédération dans le réseau de périmètre (également appelé "zone démilitarisée" et "sous-réseau filtré"). Le proxy du service de fédération utilise des produits PRP WS-F pour récupérer des informations d’identification d’utilisateur à partir de clients de navigateur et d’applications web, puis envoie les informations au service de fédération de leur part. Partenaire de fédération qui approuve le service de fédération pour émettre des jetons de sécurité basés sur des revendications. Le partenaire de ressource contient des applications basées sur le Web et publiées, auxquelles les utilisateurs du partenaire de comptes peuvent accéder. Unité de donnée signée et cryptée qui exprime une ou plusieurs revendications. Service web qui émet des jetons de sécurité. Un service de jetons de sécurité effectue des assertions basées sur une preuve qu’il approuve et pour quiconque l’approuve (ou pour des destinataires spécifiques). Pour communiquer une approbation, un service nécessite une preuve, telle qu’une signature pour attester de la connaissance d’un jeton de sécurité ou d’un ensemble de jetons de sécurité. Un service même peut générer des jetons ou dépendre d’un service de jetons de sécurité pour émettre un jeton de sécurité avec sa propre déclaration d’approbation. Cela compose la base de la répartition d’approbation. Dans les services ADFS, le service de fédération est un service de jetons de sécurité. Dans les services ADFS, ensemble de serveurs de fédération avec répartition de charge, proxies de serveur de fédération ou serveurs web hébergeant l’Agent Web ADFS. Optimisation de la séquence d’authentification pour éliminer la charge de travail que représentent des ouvertures de session répétées d’un utilisateur final. Certificat X509 dont la paire de clés publique/privée associée sert à fournir une intégrité pour des jetons de sécurité. Spécifications d’une architecture de services web fondées sur des normes industrielles telles que SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) et UDDI (Universal Description, Discovery, and Integration). WS-* fournit une base pour créer des solutions d’entreprise complètes et qui interagissent pour l’ensemble de l’entreprise, y compris la possibilité de gérer une identité et une sécurité fédérées. Application Windows dépendant d’un jeton Windows NT pour procéder à l’autorisation d’utilisateurs.

Proxy du service de fédération

Partenaire de ressource

Jeton de sécurité Service de jetons de sécurité

22. ADAM et ADFS

Ferme de serveurs

Ouverture de session unique (ou SSO) Certificat de signature de jetons Services web (ou WS-*)

Application basée sur des jetons Windows NT

763

Chapitre 22

ADAM et ADFS

Terme WS-Federation

Description Spécification qui définit un modèle et un ensemble de messages pour la répartition d’approbation et la fédération d’identité, ainsi que les informations d’authentification à travers différents modèles Kerberos d’approbation. La spécification WS-Federation identifie deux sources d’identité et des demandes d’authentification à travers des domaines Kerberos d’approbation : les requêtes actives, telles que les applications compatibles avec SOAP, ainsi que les requêtes passives, définies en tant que navigateurs HTTP avec une large prose en charge de HTTP, par exemple HTTP 1.1.

22.3. En résumé
Active Directory Application Mode (ADAM) est un mode indépendant du service d’annuaire Active Directory, dépourvu de fonctionnalités d’infrastructure. Il fournit des services d’annuaire pour les applications et ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies d’ouverture de session Web unique (SSO) pour authentifier un utilisateur dans plusieurs applications Web, à travers la durée de vie d’une session en ligne unique.

22. ADAM et ADFS 764

Partie

C
Sécurités

Partie

C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26

Sécurités
Introduction à la sécurité . . . . . . . . . . . . . 767 La conception de la sécurité des serveurs . . . . . . . 789 Évaluation de la sécurité . . . . . . . . . . . . . 805 La sécurisation des postes de travail . . . . . . . . . 823

Chapitre 23

Introduction à la sécurité
23.1 23.2 23.3 23.4 23.5 23.6 23.7 23.8 23.9 23.10 Qu’est ce que la défense en profondeur . . . La couche physique . . . . . . . . . . . . . . . La couche Périmètre . . . . . . . . . . . . . . . La couche réseau interne . . . . . . . . . . . . La couche hôte . . . . . . . . . . . . . . . . . . La couche application . . . . . . . . . . . . . . La couche Données . . . . . . . . . . . . . . . Les notions fondamentales liées à la sécurité Les dix commandements de la sécurité . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769 . 770 . 773 . 775 . 778 . 780 . 782 . 784 . 786 . 787

Qu’est ce que la défense en profondeur

A
j j j j j j j j

vant de commencer cette suite de chapitres destinés à la sécurité, il est nécessaire de comprendre les risques, les enjeux et les impacts de la sécurité. Un tel impact peut rapidement avoir des conséquences sur les points suivants : le manque à gagner ou l’augmentation des coûts ; la perte ou l’endommagement de données ; l’interruption des processus de l’entreprise ; la perte de confiance des clients ; la perte de confiance des investisseurs ; les conséquences juridiques associées au manquement à la sécurisation du système dans de nombreux États et pays ; le non-respect des exigences légales en matière de sécurité ; la réputation de l’entreprise entachée.

Résultat : la sécurité de l’informatique devient un point crucial au cœur du système d’information et, de facto, elle devient un centre de coût très élevé. Cependant, l’entreprise tire certains avantages à investir dans la sécurité :
j j j j

la réduction des temps morts et des coûts associés aux périodes d’indisponibilité des systèmes et des applications ; la réduction des coûts de main-d’œuvre associés au déploiement inefficace de mises à jour de la sécurité ; la réduction des pertes de données dues aux virus destructeurs ou aux violations de la sécurité des informations ; la protection renforcée de la propriété intellectuelle. 23. Introduction à la sécurité

Pour que les investissements soient rentables et que la sécurité soit efficace devant les particularités de votre infrastructure, il est nécessaire de catégoriser ses différentes parties comme la sécurité client/serveur, la sécurité du réseau et des données ou encore celle des postes utilisateurs. Une fois cette liste établie, il vous faudra définir alors pour chaque catégorie une stratégie de conception avant la phase d’implémentation. L’objectif de ce chapitre est de vous présenter les notions de défense en profondeur.

23.1. Qu’est ce que la défense en profondeur
La défense en profondeur consiste à modéliser cette défense par couches, Elles sont au nombre de cinq. Chaque couche physique est modélisée en fonction de ce qu’elle couvre et ce qui risque d’être compromis. Ensuite, un ensemble de bonnes pratiques est apporté pour chaque couche en fonction de ces spécificités.

769

Chapitre 23

Introduction à la sécurité

j j j

La couche Périmètre : pare-feu matériels et/ou logiciels et réseaux privés virtuels utilisant des procédures de mise en quarantaine. La couche Réseau interne : segmentation réseau, sécurité IP (IPSec) et systèmes de détection d’intrusion réseau (NIDS, Network Intrusion Detection Systems). La couche Hôte : renforcement de la sécurité des systèmes d’exploitation serveur et client, outils de gestion des correctifs, méthodes d’authentification renforcées et systèmes de détection d’intrusion hôte. La couche Application : renforcement de la sécurité des applications et logiciels antivirus. La couche Données : listes de contrôle d’accès (ACL, Access Control Lists), chiffrement, système de fichiers EFS (Encrypting File System) et technologie DRM (Digital Rights Management).

j j

23. Introduction à la sécurité

Figure 23.1 : Vision de la sécurité par couches

23.2. La couche physique
La sécurité physique est l’un des éléments clés de la sécurité des entreprises. La couche Sécurité physique englobe les cinq autres couches du modèle de défense en profondeur : périmètre, réseau interne, hôte, application et données. Le principe de base de la couche Sécurité physique est que toutes les ressources de l’infrastructure informatique d’une entreprise doivent être sécurisées physiquement. Ces ressources ne comprennent pas seulement du matériel, mais aussi des logiciels, des données et des informations professionnelles critiques stockées sur divers périphériques. La sécurité physique est un élément clé de la stratégie de sécurité globale d’une entreprise.

770

La couche physique

Sécurité physique Le principe de base de la couche Sécurité physique est que toutes les ressources de l’infrastructure informatique d’une entreprise doivent être sécurisées physiquement. Ces ressources ne comprennent pas seulement des équipements, mais aussi des logiciels, des données et des informations professionnelles critiques stockées sur divers périphériques.

Corruption possible de la couche physique
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

La mobilité est un sujet de plus en plus présent dans les entreprises. L’accès physique aux appareils mobiles de votre organisation constitue un danger pour la couche Sécurité physique. L’action d’un individu mal intentionné sera considérablement facilitée s’il a accès à des listes de contacts ou à des numéros de téléphone, s’il a la possibilité d’envoyer des messages électroniques ou de répondre au téléphone en se faisant passer pour le propriétaire légitime. L’accès physique à un système permet également à un individu mal intentionné d’installer des logiciels ou du matériel malveillants, par exemple des rootkits, des logiciels espions ou d’autres virus. Ces logiciels passent parfois inaperçus et s’exécutent sur un système pendant un certain temps, collectant des données critiques sur l’entreprise. Cela peut avoir des conséquences désastreuses pour l’entreprise. Dans certains cas, une attaque n’est que du vandalisme. Les dommages physiques causés aux équipements ou leur destruction peuvent constituer un problème majeur, mais il est néanmoins plus grave qu’un intrus parvienne à voir, à modifier ou à supprimer des données supposées être sécurisées. Si un individu mal intentionné accède physiquement à des systèmes, Il est possible de considérer que celles-ci deviennent les propriétaires de ces systèmes.

j

j

23. Introduction à la sécurité

j

Défense de la couche physique
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

La sécurité physique concerne tous les composants de votre infrastructure informatique. Si une personne non autorisée dispose d’un accès physique à l’environnement, ce dernier ne peut pas être considéré comme sécurisé.

771

Chapitre 23

Introduction à la sécurité

j

L’accès doit être surveillé à l’aide d’un circuit fermé de télévision et, dans certains cas, par des gardes. Les enregistrements vidéo peuvent être utilisés pour un audit et la présence de caméras peut avoir un effet dissuasif contre les accès non autorisés. Les ordinateurs portables d’une société peuvent contenir des informations très utiles à un intrus. Ils doivent toujours être stockés de façon sécurisée lorsqu’ils ne sont pas utilisés. Séparez les serveurs des opérateurs humains et des utilisateurs. Toutes les salles serveur doivent être fermées à clé. L’accès à ces salles doit être strictement réglementé et les entrées enregistrées. S’il n’existe pas de salles dédiées aux serveurs, il convient de sécuriser ces derniers à l’aide de coffrages ou, faute de mieux, de verrouiller les baies. Comme la plupart des baies de serveur peuvent être ouvertes à l’aide d’une clé standard, ne faites pas confiance aux verrous prévus par le fournisseur. L’accès physique s’étend aux consoles d’administration à distance en plus des serveurs. Il n’est pas très utile de sécuriser l’accès aux claviers et aux écrans si l’accès aux serveurs est possible via des services Terminal Server à partir de tout point du réseau interne. L’accès administratif à distance doit être sécurisé par des contre-mesures appropriées, par exemple l’authentification multifactorielle et le chiffrement des canaux de communication. Cette recommandation s’applique aux solutions KVM (Keyboard Video Monitor) réseau ainsi qu’au matériel de gestion à distance. Protégez physiquement les sauvegardes de vos données et des configurations de vos périphériques réseaux. Les copies de sauvegarde peuvent divulguer des informations sur le réseau susceptible d’être utiles à un intrus. Vous pouvez également utiliser les sauvegardes pour restaurer rapidement des données ou rétablir une configuration plus sécurisée d’un périphérique. Vérifiez que tout le matériel réseau est protégé physiquement. Les routeurs et les commutateurs réseau doivent être sécurisés physiquement. Dans le cas contraire, un intrus peut facilement se connecter à un ordinateur portable ou à un ordinateur de bureau et attaquer les serveurs au sein du périmètre. La gestion des périphériques réseau doit être contrôlée de façon à ne jamais voir ces équipements utilisés pour monter une attaque contre l’infrastructure réseau. De même, réduire les opportunités pour les individus, bien intentionnés ou autres, d’infecter ou de mettre en danger un système est important. Supprimez les périphériques d’entrée de données tels que les lecteurs de disquettes et les lecteurs de CD-Rom sur les systèmes qui n’en ont pas besoin.

j

j

j

j

j

23. Introduction à la sécurité

j

772

La couche Périmètre

23.3. La couche Périmètre

Figure 23.2 : Défense de la couche périmètre

Votre périmètre réseau est la pierre angulaire entre le réseau interne de votre entreprise et les réseaux non approuvés. Beaucoup de personnes pensent que le périmètre recouvre uniquement la connexion entre le réseau interne et Internet, mais cette définition est trop limitative. Avec l’approche de défense en profondeur, le périmètre réseau comprend tous les points où le réseau interne est connecté aux réseaux et hôtes qui ne sont pas gérés par l’équipe informatique de l’entreprise. Il peut s’agir de connexions à :
j j j j j j j

Internet ; des succursales qui ne sont pas gérées par l’équipe informatique de l’entreprise ; des partenaires commerciaux ; des utilisateurs distants ; des réseaux sans fil ; des applications Internet ; d’autres segments réseau internes. 23. Introduction à la sécurité

Le périmètre d’un réseau est la zone de ce réseau qui est la plus vulnérable aux attaques venant de l’extérieur. Les équipements utilisés dans le périmètre réseau comprennent notamment :
j j j

des routeurs ; des serveurs de messagerie et des serveurs web ; des logiciels et équipements pare-feu.

773

Chapitre 23

Introduction à la sécurité

Corruption possible de la couche Périmètre
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

Il peut sembler logique de concentrer les efforts sur la zone où les attaques sont plus probables, comme Internet. Cependant, une personne mal intentionnée peut également essayer d’attaquer votre réseau par tout autre point d’accès. Il est très important que toutes les entrées et les sorties de votre réseau soient sécurisées. Certaines attaques de périmètre ne portent pas directement sur le périmètre réseau. Par exemple, dans une attaque type hameçonnage (phishing), l’agresseur diffuse un message électronique qui, examiné superficiellement, paraît provenir d’une entreprise authentique. En général, de tels messages essaient de leurrer le destinataire pour l’inciter à fournir des informations sensibles sur son compte. Par exemple, ces messages contiennent souvent une URL permettant d’accéder à des sites web conçus pour reproduire de façon très convaincante le site d’une entreprise authentique. L’escroquerie par hameçonnage cause un dommage à l’individu trompé et à l’entreprise authentique dont la réputation est ternie. Il est important que vous considériez la sécurité du réseau comme un tout, en tenant compte de tous les points d’accès à votre réseau et non seulement de zones individuelles. Comme il est peu probable que vous soyez chargé de mettre en œuvre la sécurité chez vos partenaires commerciaux, vous ne pouvez pas avoir une confiance totale dans les accès provenant de leur environnement. De même, vous n’exercez aucun contrôle sur le matériel des utilisateurs distants et ne pouvez pas non plus faire confiance à cet environnement. Les succursales ne possédant pas toujours des informations aussi sensibles qu’une maison mère, les mesures de sécurité qui y sont mises en place sont parfois moindres. Cependant, elles peuvent avoir des connexions directes avec le siège, qu’un intrus peut utiliser.

j

j

j

23. Introduction à la sécurité

Défense de la couche Périmètre
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

Lorsque des ordinateurs distants établissent des communications sur un VPN, les entreprises peuvent examiner ces ordinateurs de plus près afin de s’assurer qu’ils respectent la stratégie de sécurité prédéterminée. Les systèmes qui veulent se connecter doivent être mis en quarantaine sur une partie séparée du réseau jusqu’à ce que les vérifications de sécurité soient terminées. Vous pouvez également mettre en œuvre la Protection de l’accès au réseau (NAP, Network Access Protection) comme un moyen de filtrer les clients internes avant d’autoriser l’accès au réseau. Les systèmes d’exploitation Microsoft Windows récents facilitent le blocage des ports de communication superflus afin de limiter la surface d’attaque d’un

j

774

La couche réseau interne

ordinateur. Vous pouvez également utiliser des Systèmes de détection d’intrusion hôte (HIDS, Host Intrusion Detection Systems) et des pare-feu basés sur l’hôte.
j

La sécurisation des périmètres est essentiellement assurée à l’aide de pare-feu. La configuration d’un pare-feu peut présenter des difficultés techniques. C’est pourquoi les procédures doivent détailler précisément la configuration requise. Le protocole de tunneling utilisé par les systèmes Microsoft est le protocole PPTP (Point-to-Point Tunneling Protocol) avec le chiffrement MPPE (Microsoft Point-to-Point Encryption) ou le protocole L2TP (Layer 2 Tunneling Protocol) avec le chiffrement IPSec. Lorsque des données quittent l’environnement dont vous êtes responsable, il est important qu’elles soient dans un état garantissant leur arrivée à destination. Pour cela, vous pouvez utiliser le chiffrement et les protocoles de tunneling afin de créer un réseau privé virtuel (VPN, Virtual Private Network). Vous pouvez utiliser S/MIME ou PGP pour chiffrer et signer les messages électroniques quittant votre organisation. Les systèmes du périmètre doivent également avoir une utilisation clairement définie. Bloquez ou désactivez toutes les autres fonctionnalités. La traduction d’adresses réseau (NAT, Network Address Translation) permet à une entreprise de masquer les configurations de port interne et d’adresse IP afin d’empêcher les utilisateurs malveillants d’attaquer les systèmes internes avec des informations réseau volées. Les mécanismes de sécurité de périmètre peuvent également masquer des services internes (même ceux qui doivent être accessibles à l’extérieur) pour que les intrus ne puissent jamais communiquer directement avec un autre système que le pare-feu à partir d’Internet.

j

j

j j

23.4. La couche réseau interne
23. Introduction à la sécurité

Figure 23.3 : Défense de couche réseau interne

775

Chapitre 23

Introduction à la sécurité

La couche Réseau interne comprend l’intranet d’entreprise dont le contrôle et la gestion sont assurés par l’équipe informatique de l’entreprise. Cet intranet peut comprendre les éléments suivants :
j j j j

le réseau local (LAN, Local Area Network) ; le réseau étendu (WAN, Wide Area Network) ; le réseau métropolitain (MAN, Metropolitan Area Network) ; le réseau sans fil.

Les attaques ne proviennent pas uniquement de sources externes. Qu’il s’agisse de véritables attaques internes ou juste d’accidents, de nombreux systèmes et services peuvent être endommagés. Il est important de mettre en œuvre une sécurité réseau interne pour arrêter les menaces malveillantes et accidentelles. La segmentation du réseau interne est l’un des moyens utilisés à cet effet. En fournissant une couche supplémentaire dans le modèle de défense en profondeur, la segmentation interne permet de détecter l’intrus plus facilement et l’empêche d’accéder à toutes les ressources du réseau principal de l’entreprise.

Corruption possible de la couche réseau
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

23. Introduction à la sécurité

L’accès à l’infrastructure réseau permet également à un intrus de surveiller le réseau et d’observer le trafic qu’il transmet. Les réseaux entièrement routés facilitent la communication, mais ils permettent aux intrus d’accéder à leurs ressources, quel que soit l’emplacement de l’intrus sur le réseau. Par exemple, si les intrus peuvent accéder au réseau, ils peuvent utiliser un renifleur de réseau pour capturer le trafic réseau et, éventuellement, se procurer des informations confidentielles ou des informations d’authentification. L’accès aux systèmes internes et aux ressources réseau permet à un intrus d’accéder plus facilement aux données d’une entreprise. Les systèmes d’exploitation réseau installent de nombreux services, or chaque service réseau est un point d’attaque potentiel. Un intrus peut utiliser un service vulnérable sur un ordinateur pour prendre le contrôle de cet ordinateur afin de l’utiliser pour lancer d’autres attaques. Les réseaux sans fil se prêtent à l’écoute clandestine parce que les intrus peuvent y accéder sans entrer physiquement dans les locaux de l’organisation. S’il parvient à accéder au réseau sans fil, l’intrus est en mesure de capturer des informations confidentielles, et même de contourner tout pare-feu de périmètre.

j j

j

776

La couche réseau interne

Défense de la couche réseau
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

Chiffrez les communications réseau. Tenez compte de la façon dont les périphériques réseau, tels que les commutateurs, seront gérés. Par exemple, votre équipe réseau peut utiliser Telnet pour s’attacher à un commutateur ou un routeur en vue d’effectuer des modifications de configuration. Telnet transmet toutes les informations d’authentification de sécurité en texte clair. Autrement dit, les noms d’utilisateurs et les mots de passe sont accessibles à toute personne qui espionne ce segment du réseau. Cela peut représenter une faille de sécurité majeure. Songez à autoriser uniquement l’utilisation d’une méthode chiffrée et sécurisée comme SSH (Secure Shell) ou un accès terminal série direct. Signez les paquets réseau. Mettez en œuvre des technologies de chiffrement et de signature telles que IPSec ou la signature SMB (Server Message Block) pour empêcher les intrus d’espionner les paquets du réseau et de les réutiliser. Appliquez des filtres de port IPSec pour restreindre le trafic vers les serveurs. Bloquez tous les ports qui ne sont pas indispensables aux fonctionnalités du serveur. Exigez l’authentification mutuelle. Pour aider à sécuriser l’environnement du réseau interne, demandez à chaque utilisateur de s’authentifier de façon sécurisée auprès d’un contrôleur de domaine et des ressources auxquelles il accède. Utilisez l’authentification mutuelle (qui permet au poste client de connaître l’identité du serveur) pour empêcher la copie accidentelle de données vers le système d’un intrus. Segmentez le réseau. Les commutateurs doivent segmenter ou partitionner physiquement un réseau pour qu’il ne soit pas disponible dans son intégralité à partir d’un point unique. Vous pouvez réaliser le partitionnement en utilisant des commutateurs et des routeurs réseau séparés ou en créant plusieurs réseaux locaux virtuels (VLAN, Virtual Local Area Network) sur le même commutateur physique. La segmentation de réseau est utile lorsqu’il est impossible d’installer des correctifs logiciels sur certains systèmes ou de renforcer leur sécurité par des contre-mesures sous peine d’endommager l’application ou les données de l’application. Elle peut également constituer une réponse à des menaces comme la connexion au réseau d’utilisateurs dont les ordinateurs portables sont infectés par des virus. Pour ces systèmes, une segmentation physique supplémentaire utilisant des pare-feu, la sécurité IPSec ou d’autres mesures doit faire partie de la stratégie de sécurité de l’organisation. Limitez le trafic même s’il est segmenté. Pour les réseaux locaux filaires et sans fil, utilisez 802.1X pour fournir un accès chiffré et authentifié. Cette solution peut utiliser des comptes et des mots de passe Active Directory ou des certificats numériques pour l’authentification. Si vous utilisez des certificats, vous aurez besoin d’une infrastructure à clé publique (PKI, Public Key Infrastructure) basée sur les services de certificats Windows ; pour les mots de passe comme pour les certificats, vous aurez également besoin d’un serveur RADIUS (Remote Authentication Dial-In User Service) basé sur le service d’authentification Internet (IAS, Internet 777

j

j j

j

23. Introduction à la sécurité

j

Chapitre 23

Introduction à la sécurité

Authentication Service). Les Services de certificat et le service IAS sont inclus dans Windows Server 2003. Pour les organisations de petite taille, il peut s’avérer avantageux d’utiliser WPA (Wi-Fi Protected Access), un mécanisme qui permet le chiffrement du trafic sans fil avec changement automatique des clés de chiffrement (fonction appelée "régénération des clés") soit au bout d’un certain temps, soit après la transmission du nombre de paquets spécifié. WPA ne requiert pas une infrastructure complexe comme 802.1X, mais fournit un niveau de sécurité inférieur.

23.5. La couche hôte

23. Introduction à la sécurité

Figure 23.4 : Défense de la couche hôte

La couche Hôte contient des systèmes individuels du réseau. Ces systèmes remplissent souvent des rôles ou des fonctions spécifiques. La prise en charge des fonctionnalités de sécurité diffère d’un système d’exploitation à l’autre. Les systèmes d’exploitation les plus courants comme, Windows XP et Windows Vista pour les postes clients ou encore Windows Server 2003 ou Windows Server 2008 comprennent des fonctionnalités de sécurité intégrées comme les noms et les mots de passe uniques pour chaque utilisateur, les listes de contrôle d’accès et l’audit. Les systèmes d’exploitation Microsoft plus anciens comme Windows 95/98/Me ne comprennent pas les fonctionnalités de base requises d’un système d’exploitation sécurisé. Une sécurisation efficace des hôtes implique de parvenir à un équilibre entre le degré de sécurité et la facilité d’utilisation. Par exemple, si vous activez tous les services d’un serveur réseau ou si vous autorisez les connexions réseau à partir de n’importe quel client, le serveur sera facile à utiliser, mais non sécurisé. Inversement, si vous désactivez 778

La couche hôte

des services, vous pouvez compromettre la facilité d’utilisation du serveur. Si vous activez un pare-feu basé sur l’hôte, vous risquez d’empêcher des clients légitimes de se connecter au serveur. Souvent, l’augmentation de la sécurité d’un ordinateur entraîne une diminution de sa facilité d’utilisation.

Corruption possible de la couche hôte
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

Un intrus peut essayer d’exploiter les faiblesses d’un système d’exploitation. Vous pouvez vous protéger de ces attaques en veillant à installer les correctifs de sécurité et les mises à jour les plus récents. Une configuration de système d’exploitation non sécurisée peut exposer l’hôte aux attaques. Un intrus peut utiliser et exploiter les services qu’il sait disponibles par défaut sur de nombreux systèmes, par exemple les services Internet (IIS). En règle générale, les services dont un serveur n’a pas besoin pour remplir son rôle dans le réseau ne doivent pas être activés ; si ces services sont nécessaires, ils doivent être configurés dans un souci de sécurité. Les accès non surveillés rendent la couche Hôte vulnérable. Lorsque les accès et les tentatives d’accès ne sont pas audités et surveillés, l’efficacité potentielle d’une attaque est accrue parce que vous risquez de découvrir l’attaque seulement après qu’elle a causé des dommages substantiels. La couche Hôte peut également être compromise par la diffusion de virus, la plupart du temps via le courrier électronique, dans le cadre d’une attaque automatisée. Par exemple, le ver informatique Nimda crée sur l’ordinateur infecté des partages réseau ouverts autorisant l’accès au système. Pendant ce processus, le ver crée également un compte d’invité bénéficiant des privilèges d’administrateur. De plus, des intrus peuvent utiliser ce virus pour installer des rootkits ou des logiciels espions afin de compromettre la sécurité du système d’exploitation.

j

j

j

23. Introduction à la sécurité

Défense de la couche hôte
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

Utilisez des techniques de renforcement de la sécurité sur les systèmes d’exploitation client et serveur. Le choix de ces techniques dépend du rôle de l’ordinateur. Dans chaque cas, vous pouvez utiliser les modèles de sécurité et les modèles d’administration de la stratégie de groupe pour protéger ces systèmes. Sur les systèmes client, vous pouvez également utiliser la stratégie de groupe pour limiter les droits des utilisateurs et pour contrôler l’installation des logiciels. Avec une stratégie de groupe limitant les applications exécutées par un utilisateur, vous pouvez empêcher cet utilisateur d’exécuter accidentellement un cheval de Troie. 779

j

Chapitre 23

Introduction à la sécurité

j

Sur les systèmes serveurs, les techniques de renforcement de la sécurité comprennent également la désactivation ou la suppression des services inutiles, l’installation d’un système de détection d’intrusion hôte (HIDS), l’application d’autorisations NTFS, la définition de stratégies d’audit, le filtrage des ports et l’exécution de tâches supplémentaires basées sur le rôle du serveur. − Surveillez et auditez les accès et les tentatives d’accès aux ressources réseau. − Installez et tenez à jour des programmes de détection de virus et de logiciels espions. − Utilisez des pare-feu. L’utilisation du pare-feu Windows disponible avec Windows XP et les systèmes d’exploitation ultérieurs peut réduire considérablement la surface d’attaque sur un ordinateur client.

23.6. La couche application

23. Introduction à la sécurité

Figure 23.5 : Défense de la couche application

Bien que Windows XP Service Pack 2 et Windows Vista, côté poste client, ainsi que Windows Server 2003 Service Pack 2 et Windows Server 2008, côté serveur, augmentent la sécurité des systèmes d’exploitation hôtes, vous devez faire en sorte que les applications qui s’exécutent sur les serveurs soient aussi sécurisées que possible. Elle comprend les applications réseau des clients et des serveurs. Les applications clientes s’exécutent généralement sur les ordinateurs des utilisateurs finaux, tandis que les applications serveurs sont hébergées sur des ordinateurs serveurs dédiés. Les applications réseau permettent aux postes clients d’accéder aux données et de les manipuler. Elles sont également un point d’accès au serveur sur lequel ces applications s’exécutent. N’oubliez pas que l’application fournit un service au réseau. La solution de 780

La couche application

sécurité à utiliser ne doit pas empêcher cette application de fonctionner. Recherchez les problèmes de sécurité pour les applications développées en interne, ainsi que pour les applications commerciales.

Corruption possible de la couche application
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

Un intrus peut parvenir à exploiter une faiblesse d’une application pour exécuter un code malveillant sur le système. L’un des types d’attaques les plus répandus contre les bases de données est l’injection SQL. Une attaque par injection SQL se produit lorsqu’un intrus modifie des requêtes SQL soumises au serveur de base de données de façon à pouvoir injecter des commandes dans la base de données. La restriction des types d’informations qui peuvent être entrées dans un champ d’entrée peut réduire considérablement ce type de vulnérabilité. Un intrus qui cible une application peut réussir à l’endommager pour la rendre inopérante. Par exemple, une application peut s’arrêter à la suite d’une attaque de dépassement de mémoire tampon. Un intrus peut utiliser une application existante pour qu’elle effectue involontairement des tâches indésirables comme le routage de messages électroniques. Si un serveur SMTP n’est pas configuré pour bloquer le relais de messagerie, un intrus peut router des messages électroniques indésirables par l’intermédiaire du serveur. En pareil cas, les organisations peuvent réagir en bloquant tout le courrier électronique en provenance de votre serveur. Un intrus peut saturer une application pour interdire toute utilisation légitime ; ce type d’attaque est appelé "déni de service". Si un intrus peut compromettre plusieurs stations de travail qui ne sont pas sécurisées, il est peut-être capable d’utiliser ces stations de travail pour lancer une attaque par déni de service distribuée contre un serveur sur le réseau.

j

j

j

23. Introduction à la sécurité

Défense de la couche application
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

Les installations d’applications ne doivent inclure que les services et les fonctionnalités requises. En exécutant l’Assistant Configuration de la sécurité, vérifiez que tous les services non requis par les applications sont désactivés. Lorsque de nouvelles applications personnalisées sont développées, utilisez les méthodes conseillées les plus récentes relatives à l’ingénierie de sécurité lors du développement des applications. Si la sécurité d’une application ou d’un service est compromise, l’intrus peut être en mesure d’accéder au système avec les mêmes privilèges que ceux qui sont associés à 781

j

j

Chapitre 23

Introduction à la sécurité

l’application. C’est pourquoi il faut exécuter les services et les applications avec le plus faible niveau de privilège possible.
j j

Les applications qui s’exécutent sur le réseau doivent être installées de façon sécurisée avec les Service Packs et les correctifs les plus récents. Les applications développées en interne doivent être conçues avec un souci particulier de sécurité et leurs vulnérabilités doivent être continuellement évaluées ; pour toute vulnérabilité identifiée, des correctifs doivent être développés et déployés. Utilisez des stratégies de restriction logicielle. Les stratégies de restriction logicielle vous permettent de protéger votre environnement informatique contre le code non fiable en identifiant et en spécifiant les applications autorisées à s’exécuter. Les applications peuvent être identifiées dans la stratégie au moyen d’une règle de hachage, une règle de certificat, une règle de chemin d’accès ou une règle de zone Internet. Les logiciels peuvent s’exécuter sur deux niveaux : non restreint et non autorisé. Le logiciel antivirus doit s’exécuter afin d’empêcher l’exécution de code malveillant. Un logiciel antivirus doit être déployé sur les ordinateurs clients, les serveurs et les pare-feu ou les serveurs proxy par lesquels les données entrent dans le réseau.

j

j

23.7. La couche Données

23. Introduction à la sécurité

Figure 23.6 : Défense de la couche Données

NTFS prend en charge des fonctionnalités supplémentaires, comme l’audit et le système de fichiers EFS (Encrypting File System), qui peuvent être utilisées pour mettre en œuvre la sécurité des données. Sur un réseau, les données peuvent être stockées sous différentes formes. Elles peuvent être stockées dans des documents, dans des fichiers de 782

La couche Données

données Active Directory ou dans des fichiers créés à l’aide de diverses applications. Le système informatique conserve les données sur des supports de stockage de masse, en général un disque dur. Toutes les versions récentes de Windows prennent en charge plusieurs systèmes de fichiers pour le stockage et l’accès aux fichiers sur un disque. Le système NTFS est pris en charge par Microsoft Windows NT, Windows 2000, Windows XP et Microsoft Windows Server 2003. Il fournit des autorisations sur les fichiers et sur les dossiers pour assurer la protection des données. La dernière couche du modèle de défense en profondeur est la couche Données. Les systèmes informatiques stockent, traitent et servent des données. Lorsque les données sont traitées sous une forme qui a du sens, elles deviennent des informations utiles.

Corruption possible de la couche Données
Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j

Les fichiers d’application sont également stockés sur disque et exposés aux attaques, ce qui permet aux intrus d’endommager l’application ou de la manipuler à des fins malveillantes. Le service d’annuaire Active Directory utilise des fichiers sur le disque pour stocker des informations d’annuaire. Ces fichiers sont stockés sur un emplacement par défaut lorsque le système est promu contrôleur de domaine. Lors de cette promotion, il est conseillé de stocker ces fichiers à un emplacement autre que l’emplacement par défaut car cela permet de les cacher aux intrus. Dans la mesure où leur nom est connu (avec le nom de fichier NTDS.dit), le déplacement de ces fichiers ne fait que ralentir l’action des intrus. Si les fichiers d’annuaire sont compromis, tout l’environnement du domaine est en danger. Les intrus qui accèdent à un système de fichiers peuvent faire des dégâts importants ou obtenir de grandes quantités d’informations. Ils peuvent afficher des fichiers de données et des documents qui contiennent des informations confidentielles. Ils peuvent également modifier ou supprimer des informations, ce qui peut poser des problèmes importants à une entreprise.

j

j

23. Introduction à la sécurité

Défense de la couche Données
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette couche en prenant en compte les points suivants :
j

Dans la mesure où les données sont les éléments fondamentaux d’une société, il est important de disposer d’une procédure de récupération testée et éprouvée. Si des sauvegardes sont effectuées régulièrement, les données modifiées ou supprimées accidentellement ou par un acte de malveillance peuvent être récupérées assez rapidement grâce à ces sauvegardes. Un processus de sauvegarde et de restauration fiable est essentiel dans n’importe quel environnement de données. Les bandes de sauvegarde et de restauration doivent également être sécurisées pendant qu’elles se 783

Chapitre 23

Introduction à la sécurité

trouvent dans le bureau. Il convient en outre de conserver des copies de ces bandes en lieu sûr à l’extérieur du bureau. De plus, les bandes doivent être transportées de façon sécurisée. L’accès non autorisé aux bandes de sauvegarde est tout aussi dangereux qu’une violation physique de votre infrastructure.
j

Une protection accrue de la couche Données doit combiner chiffrement et listes de contrôle d’accès. Le chiffrement d’un fichier empêche uniquement une lecture non autorisée ; il n’empêche pas les actions qui n’impliquent pas la lecture du fichier, une suppression par exemple. Pour empêcher la suppression de fichiers, utilisez les listes de contrôle d’accès. EFS permet le chiffrement de fichiers lorsqu’ils résident sur le système de fichiers. Le processus de chiffrement utilise une clé de chiffrement de fichier pour chiffrer le fichier et une technologie de clé privée/publique pour protéger la clé de chiffrement. Il est important de comprendre qu’EFS ne chiffre pas les fichiers lorsqu’ils transitent sur un réseau. NTFS fournit également une sécurité au niveau du fichier et au niveau du dossier. Cela permet la création de listes de contrôle d’accès pour définir qui a accès à un fichier et avec quel type d’accès. Installez les applications et le système d’exploitation à un emplacement autre que l’emplacement par défaut. Beaucoup de fichiers critiques des systèmes d’exploitation ont des noms et des emplacements par défaut bien connus. Il est souvent sage de déplacer ces fichiers pour que les intrus réussissant à accéder à votre système ne les trouvent pas trop facilement. Les listes de contrôle d’accès ne fonctionnent que sur les documents au sein du système de fichiers pour lesquels ils ont été activés. Une fois les documents copiés à un autre emplacement (par exemple, le disque dur local d’un utilisateur), il n’y a plus de contrôle d’accès. Les services RMS (Rights Management Services) fournis avec Windows Server 2003 déplacent la fonction de contrôle d’accès vers l’objet lui-même, de sorte que le contrôle d’accès est actif quel que soit l’emplacement de stockage physique du document. Les services RMS offrent également aux créateurs de contenu un contrôle supplémentaire sur les actions qu’un poste client peut effectuer ; par exemple, le destinataire d’un document peut être autorisé à le lire, mais pas à l’imprimer ou à le copier-coller ; pour le courrier envoyé avec Microsoft Office Outlook 2003, l’expéditeur peut empêcher les destinataires de transférer le message. Vous pouvez également utiliser S.MIME et PGP pour sécuriser les messages électroniques pendant qu’ils sont en transit d’un client à un autre.

j

j

j

j

23. Introduction à la sécurité

23.8. Les notions fondamentales liées à la sécurité
Le processus de gestion des risques de sécurité est une approche mixte qui associe les meilleurs éléments des méthodes quantitatives et qualitatives. Dans une approche d’évaluation des risques quantitative, l’objectif est d’essayer de définir des valeurs numériques objectives pour chaque composant. Lorsque vous utilisez une approche qualitative de la gestion des risques, vous n’essayez pas d’assigner des valeurs financières 784

Les notions fondamentales liées à la sécurité

absolues à des ressources, des pertes attendues et des coûts de contrôles. Au lieu de cela, vous calculez des valeurs relatives. Bien que cela soit considérablement plus rapide qu’une approche quantitative traditionnelle, l’approche de la gestion des risques de sécurité fournit toutefois des résultats qui sont plus détaillés et plus faciles à justifier devant les responsables de l’entreprise. En combinant la simplicité et la clarté de l’approche qualitative avec une partie de la rigueur de l’approche quantitative, la gestion des risques de sécurité représente un processus à la fois efficace et facile à utiliser, pour gérer les risques de sécurité. La gestion des risques de sécurité se découpe en quatre étapes. 1. Évaluer les risques : cette phase combine des aspects des méthodes quantitative et qualitative d’évaluation des risques. Une approche qualitative est utilisée pour classer rapidement la liste complète des risques de sécurité. Ensuite, les risques les plus sérieux sont analysés plus en détail selon une approche quantitative. Le résultat est une liste relativement courte des risques les plus importants qui ont fait l’objet d’une étude approfondie. 2. Définir des solutions : la liste créée pendant la phase d’évaluation des risques est utilisée pour proposer et évaluer des solutions de contrôle possibles. Les meilleures solutions pour atténuer les risques les plus importants sont ensuite recommandées au service de la sécurité. 3. Mettre en place des solutions : pendant cette troisième phase, les responsables de la minimisation des risques mettent réellement en place des solutions de contrôle. 4. Valider des solutions : la quatrième phase est utilisée pour vérifier que les contrôles fournissent réellement le degré de protection attendu et pour surveiller les modifications de l’environnement, par exemple l’apparition de nouvelles applications d’entreprise ou de nouveaux outils d’attaque susceptibles de modifier le profil de risque de l’organisation. En outre, les contrôles actuels doivent être réévalués régulièrement et remplacés s’il y a lieu par de nouveaux contrôles compte tenu de l’évolution de la technologie et des avancées dans la protection contre les attaques. Comme la gestion des risques de sécurité est un processus continu, le cycle recommence avec chaque nouvelle évaluation des risques. La fréquence selon laquelle le cycle se reproduit est susceptible de varier d’une organisation à l’autre.

23. Introduction à la sécurité

Figure 23.7 : Processus en quatre étapes

785

Chapitre 23

Introduction à la sécurité

23.9. Les dix commandements de la sécurité
Pour conclure cette introduction sur la sécurité, voici la liste des dix commandements à ne pas négliger : 1. Lorsque vous choisissez d’exécuter un programme, vous lui donnez le contrôle sur votre ordinateur. Une fois qu’un programme est en cours d’exécution, il peut tout faire, dans les limites de ce que vous pouvez vous-même faire sur l’ordinateur. 2. Un système d’exploitation n’est qu’une série de 0 et de 1 qui, interprétée par un processeur, commande à l’ordinateur d’effectuer certaines actions. Si vous modifiez les uns et les zéros, l’ordinateur agira différemment. Ces uns et zéros sont stockés dans des fichiers sur l’ordinateur. Si un intrus peut y accéder et les modifier, l’ordinateur peut subir des dommages importants. 3. Si une personne a physiquement accès à votre ordinateur, elle dispose d’un contrôle total sur l’ordinateur et peut tout faire, par exemple modifier des données, voler des données, prendre le matériel ou détruire physiquement l’ordinateur. 4. Si vous gérez un site Web, vous devez limiter les opérations des visiteurs. N’autorisez l’exécution d’un programme sur votre site que si vous l’avez développé vous-même ou si vous faites confiance au développeur qui l’a écrit. Une telle stratégie peut toutefois s’avérer insuffisante. Si votre site Web est hébergé avec beaucoup d’autres sur un serveur partagé, vous devez prendre des précautions supplémentaires. Si une personne mal intentionnée peut compromettre l’un des autres sites hébergés sur le serveur, elle a peut-être la possibilité d’étendre son contrôle au serveur lui-même et donc de contrôler tous les sites qu’il héberge, y compris le vôtre. 5. Si un pirate peut compromettre votre mot de passe, il peut ouvrir une session sur votre ordinateur et faire tout ce que vous avez le droit de faire. Définissez systématiquement un mot de passe. Trop de comptes d’utilisateur ont encore des mots de passe vierges. Choisissez toujours un mot de passe complexe. N’utilisez pas le nom de votre chien ou de votre chat, votre date d’anniversaire ou le nom de l’équipe de football locale. N’utilisez pas non plus le terme motdepasse ou password. 6. Un administrateur qui n’est pas digne de confiance peut neutraliser toutes les autres mesures de sécurité que vous avez prises. L’administrateur peut changer les autorisations sur l’ordinateur, modifier les stratégies de sécurité du système, installer des logiciels malveillants, ajouter des utilisateurs fictifs, etc. Il peut corrompre pratiquement toutes les mesures protectrices du système d’exploitation car il le contrôle. Pire encore, il peut brouiller les pistes. Si votre administrateur n’est pas digne de confiance, alors vous n’êtes absolument pas protégé. 7. De nombreux systèmes d’exploitation et logiciels de chiffrement vous permettent de stocker des clés de chiffrement sur l’ordinateur. C’est pratique, car vous n’avez pas à gérer la clé, mais cela compromet la sécurité. Les clés sont généralement

23. Introduction à la sécurité 786

En résumé

masquées. Mais même masquée, une clé peut être trouvée si elle se trouve sur l’ordinateur. Lorsque cela est possible, utilisez un stockage hors connexion pour les clés. 8. Les logiciels antivirus comparent les données stockées sur votre ordinateur à une série de signatures de virus. Chaque signature correspond à un virus spécifique ; Lorsque l’antivirus trouve des données qui correspondent à cette signature dans un fichier, dans un message électronique ou ailleurs, il en conclut qu’il a trouvé un virus. Cependant, un programme antivirus ne peut détecter que les virus qu’il connaît. Il est indispensable de tenir le logiciel antivirus à jour dans la mesure où de nouveaux virus sont créés en permanence. 9. La meilleure façon de protéger des données confidentielles, que ce soit sur Internet ou dans la vie courante, réside dans votre comportement. Prenez connaissance des déclarations de confidentialité sur les sites web que vous visitez et ne traitez qu’avec ceux dont les règles vous conviennent. Si les cookies vous inquiètent, désactivez-les. Surtout, évitez de naviguer au hasard sur le Web. 10. Une sécurité infaillible requiert un niveau de perfection qui n’existe pas et ne pourra sans doute jamais exister. Le développement de logiciels est une science imparfaite et presque tous les logiciels ont des bogues. Certains bogues peuvent être exploités pour provoquer des violations de la sécurité. Même si les logiciels étaient parfaits, cela ne résoudrait pas complètement le problème de la sécurité. En effet, la plupart des attaques impliquent une part plus ou moins importante d’exploitation de la nature humaine, souvent sous la forme d’ingénierie sociale.

23.10. En résumé
Pour mettre en place la sécurité d’un système d’information, il ne suffit pas d’appliquer quelques correctifs ou procédure. Il est primordial de mener une véritable réflexion sur les éléments à protéger et la manière de les sécuriser. Il est également important de réaliser une défense en profondeur de son système. Il faut garder à l’esprit que votre système est aussi fort que le plus faible de ses maillons. 23. Introduction à la sécurité 787

Chapitre 24

La conception de la sécurité des serveurs
24.1 24.2 24.3 24.4 24.5 24.6 24.7 Les problématiques de base . . . . . . . . . . . . . Les concessions en matière de sécurité . . . . . . La sécurité de base des serveurs . . . . . . . . . . La sécurité Active Directory . . . . . . . . . . . . . Protéger les serveurs membres . . . . . . . . . . . Protéger les serveurs pour des rôles spécifiques En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 . 792 . 793 . 795 . 799 . 800 . 803

Les problématiques de base

L

a sécurité des serveurs dans l’entreprise est un point crucial, et c’est bien parce qu’il y a plusieurs types de rôles et qu’il est important de prendre en compte les contraintes de chaque serveur. Vous l’aurez compris, il n’est pas possible d’appliquer les paramètres d’un serveur IIS à un contrôleur de domaine Active Directory. Cependant, il peut arriver parfois qu’un serveur endosse plusieurs rôles, c’est pour cela que nous allons aborder dans ce chapitre la conception de la sécurité en fonction des rôles simples ou mutualisés.

24.1. Les problématiques de base
Les serveurs assurant plusieurs rôles.
Les serveurs peuvent assurer plusieurs rôles dans les entreprises disposant de ressources limitées. Vous pouvez facilement appliquer plusieurs modèles de sécurité à un serveur, mais des conflits peuvent se présenter entre ces modèles. Un serveur qui remplit plusieurs rôles est plus difficile à protéger. En outre, il présente une surface d’attaque plus importante. En cas de violation de la sécurité, tous les rôles assurés par ce serveur peuvent être compromis. Par exemple, beaucoup de petites entreprises ont déployé Microsoft Windows Small Business Server 2003, qui fonctionne comme un contrôleur de domaine, un serveur Exchange, un serveur de fichiers, un serveur de base de données, un serveur d’accès à distance et, éventuellement, comme un pare-feu. Les serveurs qui fournissent plusieurs services doivent être isolés d’Internet, et tous les services et applications inutiles doivent être désactivés ou désinstallés.

Des ressources limitées pour la mise en œuvre de solutions de sécurisation
Une entreprise disposant de ressources limitées peut ne pas être en mesure de se munir des composants nécessaires à la sécurisation de ses systèmes. Par exemple, la mise en œuvre de plusieurs pare-feu représente un investissement que certaines entreprises ne peuvent même pas envisager. 24. La conception de la sécurité des serveurs

La menace interne ou accidentelle
L’endommagement interne des systèmes, qu’il soit d’origine malveillante ou accidentelle, représente un pourcentage élevé des attaques. Une attaque est plus facile à mener si l’intrus a un accès interne au réseau (accès personnel ou à l’aide d’un complice involontaire ou compromis).

Le manque de compétences en matière de sécurité
Les petits services informatiques peuvent manquer de personnel ayant la compétence appropriée en matière de sécurité. Cela peut aboutir à la négligence de certains 791

Chapitre 24

La conception de la sécurité des serveurs

problèmes de sécurité. Dans ce cas, l’utilisation de modèles de sécurité standards peut constituer un avantage.

Les possibilités d’accès physique
Elles réduisent à néant de nombreuses mesures de sécurité. L’accès physique à un système peut permettre à un intrus d’exécuter des utilitaires, d’installer des programmes nuisibles, de modifier des configurations, de supprimer des composants et de provoquer des dommages physiques.

Les conséquences juridiques
Les violations de la sécurité peuvent avoir des conséquences juridiques. Selon l’état ou le pays dont dépend l’organisation, sur un plan juridique, une entreprise peut avoir à assumer une responsabilité légale à la suite de la violation de la sécurité de ses serveurs. Citons notamment les lois américaines Sarbanes-Oxley.

L’utilisation de systèmes anciens
Les systèmes anciens nécessiteront peut-être une mise à niveau pour prendre en charge certaines configurations de sécurité. Si ces systèmes ne sont pas mis à niveau, le risque de violation de la sécurité y est plus important que sur les systèmes récents.

24.2. Les concessions en matière de sécurité
Lorsque vous planifiez votre stratégie de sécurité réseau, vous devez inévitablement gérer des compromis. Commencez par examiner les conflits évidents énumérés ici, qui sont à l’origine des compromis à envisager :
j

L’administration de la sécurité a pour but de préserver les ressources réseau en limitant les accès à ces ressources. L’administration d’un réseau vise à assurer que les utilisateurs peuvent accéder à toutes les applications et tous les programmes du réseau dont ils ont besoin pour remplir leurs fonctions.

24. La conception de la sécurité des serveurs

j

Sécurité et facilité d’emploi
Voici le premier compromis fondamental que vous devez résoudre en matière de sécurité. Lorsque vous installez une application sur un système d’exploitation, quel qu’il soit, vous activez des fonctionnalités supplémentaires qui risquent de fragiliser la sécurité du système parce qu’elles augmentent la surface d’attaque. Vous pouvez augmenter le niveau de sécurité des technologies, mais en sacrifiant généralement leur

792

La sécurité de base des serveurs

facilité d’emploi. Le système le plus sécurisé est celui qui n’est pas connecté et qui est enfermé dans un coffre-fort. Un tel système est parfaitement sécurisé, mais il est inutilisable.

Un faible coût
Le compromis suivant concerne le coût de la sécurisation. Dans un monde idéal où les ressources seraient illimitées, tout le monde serait d’accord pour créer des réseaux aussi sécurisés et faciles d’emploi que possible. Dans la réalité, les considérations de coût pèsent souvent très lourd quand il s’agit de concilier sécurité et facilité d’emploi. Vous connaissez peut-être le principe qui consiste à choisir deux seulement des trois avantages suivants : efficacité, rapidité et moindre coût. Les compromis relatifs à la sécurité sont établis selon un principe similaire, à ceci près que les trois options sont ici la sécurité, la facilité d’emploi et le moindre coût. Il est possible de cumuler un niveau de sécurité élevé et une grande facilité d’emploi, mais moyennant un coût important en termes d’investissements, de temps et de personnel.

24.3. La sécurité de base des serveurs
Il existe plusieurs méthodes pour assurer la sécurité de base des serveurs. La liste suivante n’est pas exhaustive, mais elle présente quelques-unes des méthodes fréquemment utilisées pour la sécurisation des serveurs. Vous utilisez sans doute déjà beaucoup, sinon la plupart, de ces méthodes de sécurité sur les serveurs de votre réseau.

Sécuriser les serveurs
L’application du dernier Service Pack est nécessaire ; des mises à jour de sécurité sont disponibles. Les Service Packs augmentent la sécurité et la stabilité du système d’exploitation. La plupart des attaques menées contre des serveurs exploitent des vulnérabilités qui ont été précédemment signalées et corrigées dans un Service Pack ou dans une mise à jour de sécurité du système d’exploitation. Les ordinateurs sur lesquels les derniers Service Packs et les mises à jour de sécurité n’ont pas été installés sont vulnérables. Une stratégie de groupe est également nécessaire pour renforcer la protection des serveurs. Vous pouvez utiliser une stratégie de groupe dans les cas suivants :
j

24. La conception de la sécurité des serveurs

Vous voulez désactiver les services qui ne sont pas indispensables. Chaque service ou application est un point d’attaque potentiel. Par conséquent, désactivez ou supprimez tous les services inutiles afin de réduire la surface d’attaque. Vous voulez mettre en œuvre des stratégies de mots de passe sécurisés. Vous pouvez renforcer les paramètres de stratégie de mot de passe et de verrouillage des comptes pour un contrôleur de domaine, un serveur membre ou un serveur autonome en appliquant les paramètres d’un modèle de sécurité adéquats. 793

j

Chapitre 24

La conception de la sécurité des serveurs

j

Vous voulez désactiver l’authentification LAN Manager et NTLMv1 et le stockage des valeurs de hachage de LAN Manager. La mise en œuvre de cette méthode peut empêcher l’accès de clients hérités ; aussi est-il nécessaire de vérifier que vous pouvez configurer ces paramètres sans désactiver les fonctionnalités dont vous avez besoin. Vous avez besoin d’utiliser MBSA (Microsoft Baseline Security Analyzer) pour analyser la configuration de la sécurité des serveurs. MSBA peut effectuer localement ou à distance des analyses de systèmes Windows pour identifier les mises à jour de sécurité manquantes et les problèmes de configuration potentiels. MBSA affiche les résultats de l’analyse sous la forme d’un rapport web. Vous voulez limiter l’accès physique et réseau aux serveurs. Stockez les serveurs dans une salle fermée à clé. Exigez des dispositifs à carte magnétique ou à code à l’entrée de la salle fermée à clé. Empêchez les contrôleurs de domaine de démarrer sur un autre système d’exploitation. Vous ne devez autoriser uniquement des personnes dignes de confiance à accéder aux serveurs. Vous devez également élaborer des méthodes de sécurité pour les administrateurs de services et de données afin que seul le personnel ayant besoin d’un accès aux serveurs y ait effectivement accès. Il est nécessaire d’attribuer à chaque utilisateur de votre entreprise uniquement les autorisations et droits d’utilisateur dont il a besoin.

j

j

En plus de ces méthodes de sécurité de base des serveurs, vous pouvez utiliser diverses méthodes avancées. Ces méthodes avancées de sécurisation des serveurs comprennent notamment l’application de modèles de sécurité personnalisés et la configuration de filtres de port IPSec en fonction des rôles remplis par les serveurs.

Quelques recommandations
Voici quelques recommandations à prendre en compte dans le cadre de la sécurité de vos serveurs. L’un des premiers points et de renforcer les comptes prédéfinis sur les serveurs. Pour cela, appliquez les règles suivantes : 24. La conception de la sécurité des serveurs
j

Renommez les comptes prédéfinis Administrateur et Invité et modifiez leur description. Le fait d’attribuer à ces comptes des noms uniques peut faciliter l’identification des tentatives d’attaque à leur encontre. Dans presque tous les cas, le compte Invité doit être désactivé. Affectez des mots de passe longs et complexes à ces comptes prédéfinis, ou utilisez des expressions comme mots de passe. Utilisez des scripts ou des utilitaires tiers pour vérifier périodiquement les mots de passe locaux sur toutes les stations de travail et tous les serveurs de l’entreprise. Utilisez pour ces comptes des mots de passe différents sur chaque serveur. Ainsi, si un intrus réussit à compromettre l’un de ces comptes sur un serveur, il ne sera pas immédiatement à même de compromettre d’autres serveurs.

j j j

794

La sécurité Active Directory

Il est important de limiter le nombre des utilisateurs qui peuvent ouvrir une session localement sur les serveurs. Pour cela, utilisez la stratégie de groupe pour configurer les droits de l’utilisateur afin que seuls les administrateurs autorisés puissent ouvrir une session localement sur les serveurs. Il est nécessaire d’utiliser des groupes restreints pour limiter le nombre de membres des groupes d’administration. L’option Groupes restreints du service d’annuaire Active Directory vous permet de faire en sorte que les groupes d’administration contiennent uniquement des utilisateurs autorisés. Vous devez également limiter l’accès au système des comptes prédéfinis et des comptes de service non liés au système d’exploitation. Configurez manuellement l’attribution des droits utilisateurs de la manière suivante :
j

Refusez l’accès à cet ordinateur à partir du réseau pour les comptes prédéfinis Administrateur, Support (compte utilisé pour l’assistance à distance) et Invité, ainsi que pour tous les comptes de service non liés au système d’exploitation. Interdisez l’ouverture de session en tant que tâche pour les comptes Support et Invité. Interdisez l’ouverture de session via les services Terminal Server pour les comptes prédéfinis Administrateur, Support et Invité, ainsi que pour tous les comptes de service non liés au système d’exploitation.

j j

Il faut éviter autant que possible de configurer un service de sorte qu’il ouvre une session à l’aide d’un compte de domaine. Chaque fois que c’est possible, utilisez un compte local pour chaque service. Par ailleurs, n’utilisez pas le même nom de compte d’utilisateur et le même mot de passe pour un service exécuté sur plusieurs serveurs. Vous devez utiliser des autorisations NTFS pour sécuriser les fichiers et les dossiers. Convertissez les volumes FAT ou FAT32 au système NTFS, puis appliquez les autorisations appropriées aux fichiers et aux dossiers de ces volumes.

24.4. La sécurité Active Directory
Nous allons voir à présent les principaux composants intervenants dans le processus de sécurisation du service d’annuaire Active Directory. Nous aborderons les étapes suivantes :
j j j j

24. La conception de la sécurité des serveurs

la planification de la sécurité ; l’établissement de frontières de sécurité ; le renforcement de la stratégie de domaine ; l’établissement d’une stratégie en fonction des rôles.

795

Chapitre 24

La conception de la sécurité des serveurs

Active Directory se compose de nombreux types d’objets remplissant chacun une fonction différente. Les composants Active Directory s’assemblent à d’autres composants pour faciliter la mise en œuvre de la sécurité dans un environnement réseau. Dans Active Directory, la stratégie de groupe permet de centraliser les modifications et la gestion de la configuration des paramètres de l’utilisateur et de l’ordinateur, notamment en matière de sécurité et de données utilisateurs. Cependant, vous pouvez utiliser des stratégies de groupe pour définir la configuration de groupes d’utilisateurs et d’ordinateurs. Avec une stratégie de groupe, vous pouvez spécifier des paramètres pour des stratégies basées sur le Registre, pour mettre en œuvre la sécurité, pour l’installation de logiciels, pour des scripts, pour la redirection des dossiers, pour des services d’installation à distance et pour la maintenance d’Internet Explorer. Vous pouvez également contrôler automatiquement la composition des groupes avec la fonction Groupes restreints. Les paramètres de stratégie de groupe que vous créez sont contenus dans un objet de stratégie de groupe. De ce fait, en associant un objet de stratégie de groupe à des conteneurs système Active Directory sélectionnés (sites, domaines et unités d’organisation), vous pouvez appliquer les paramètres de stratégie de cet objet aux utilisateurs et ordinateurs compris dans ces conteneurs Active Directory. Pour gérer les objets de stratégie de groupe au sein d’une entreprise, vous pouvez utiliser la console de gestion des stratégies de groupe (GPMC). Les stratégies de groupe sont l’un des outils fondamentaux dont vous disposez pour mettre en œuvre la sécurité de votre réseau. Le reste de cette présentation est essentiellement consacré à la manière d’utiliser les stratégies de groupe pour sécuriser un environnement réseau.

Planifier la sécurité
Lorsqu’on parle de la sécurité d’Active Directory, certaines tâches sont primordiales… Ainsi, vous devez dans un premier temps analyser l’environnement dans lequel vous prévoyez de déployer Active Directory. L’étendue de l’environnement détermine les mesures qui devront être prises pour le sécuriser. Trois environnements d’exploitation sont rencontrés le plus souvent. 24. La conception de la sécurité des serveurs
j

Le centre de données interne : c’est le type d’environnement dans lequel il est le plus facile de mettre en œuvre la sécurité Active Directory car les membres de l’équipe informatique se trouvent généralement sur place. L’accès au centre de données et les tâches administratives peuvent donc être aisément limités à ces personnes. Par ailleurs, les contrôleurs de domaine sont situés dans des locaux centralisés et sécurisés. En raison de la présence de composants système centralisés et du personnel informatique, la surveillance et la résolution des problèmes liés aux contrôleurs de domaine sont simplifiées et les attaques peuvent être rapidement détectées et traitées. La succursale : c’est dans ce type d’environnement qu’il est le plus difficile de mettre en œuvre la sécurité Active Directory. En effet, le personnel informatique est généralement hors site, de sorte qu’il n’est pas facile de restreindre toutes les tâches

j

796

La sécurité Active Directory

administratives à ses seuls membres. De plus, il n’y a pas de locaux dédiés et sécurisés pour le stockage et la gestion des contrôleurs de domaine et il peut être difficile de restreindre l’accès physique aux contrôleurs de domaine. Enfin, la détection et le traitement des attaques peuvent exiger un processus lent et coûteux.
j

Le centre de données extranet : ce type d’environnement est similaire à un centre de données intranet. Il est légèrement plus difficile d’y mettre en œuvre la sécurité Active Directory car le personnel informatique travaille généralement pour un partenaire commercial de l’entreprise ou pour un tiers.

Vous devez également effectuer une analyse des menaces. L’analyse des menaces comprend les étapes suivantes :
j

Identifiez les menaces pour Active Directory. Déterminez d’abord leur type, par exemple l’usurpation d’identité, la falsification de données, la répudiation, la divulgation d’informations, le déni de service, l’élévation de privilèges et l’ingénierie sociale, puis les sources (les utilisateurs anonymes, les utilisateurs authentifiés, l’administrateur de service, l’administrateur de données et les utilisateurs ayant physiquement accès aux contrôleurs de domaine). Déterminez des mesures de sécurité pour réduire la vulnérabilité exploitée par chaque type de menace et pour résoudre les problèmes potentiels avant qu’ils ne se manifestent. Établissez des plans de secours contenant des instructions détaillées que le personnel informatique devra suivre en cas de violation de la sécurité.

j

j

Établir des frontières de sécurité
L’établissement de frontières de sécurité constitue une part essentielle de la sécurisation d’Active Directory. Pour les réseaux Windows 200x, les domaines sont des frontières pour l’administration et pour certaines stratégies de sécurité. Ce qui veut dire que chaque domaine Active Directory fait autorité en matière d’informations d’identification et d’authentification des utilisateurs, des groupes et des ordinateurs qui se trouvent dans ce domaine. Cependant, dans la mesure où les administrateurs de service ont la possibilité de traverser les frontières d’un domaine, c’est la forêt, et non le domaine, qui constitue l’ultime frontière de sécurité. Pour établir des frontières de sécurité Active Directory, pensez à appliquer les recommandations suivantes :
j j j j

24. La conception de la sécurité des serveurs

Spécifiez des frontières de sécurité et d’administration basées sur les besoins de l’organisation en matière de délégation de l’administration. Déterminez si la délégation est motivée par des impératifs d’organisation, d’exploitation ou d’ordre juridique. Déterminez si ces impératifs indiquent un besoin d’autonomie, d’isolement ou les deux. Évaluez le niveau de confiance que vous accordez aux administrateurs de service (propriétaires de forêts et propriétaires de domaines). 797

Chapitre 24

La conception de la sécurité des serveurs

j j

Concevez une structure Active Directory basée sur les besoins en matière de délégation. Placez les contrôleurs de domaine déployés dans un extranet et orientés vers l’extérieur dans une forêt distincte.

Renforcer la stratégie de domaine
Active Directory contient des paramètres de stratégie de sécurité pour le domaine dans l’objet de stratégie de groupe Domaine par défaut. Dans de nombreux cas, les paramètres par défaut protègent efficacement le domaine contre divers types de menaces. Toutefois, certains paramètres par défaut peuvent être renforcés afin d’améliorer le niveau de protection. Pour renforcer les paramètres de stratégie de domaine :
j

Renforcez les paramètres de stratégie pour le domaine en créant et en liant au niveau du domaine un nouvel objet de stratégie de groupe contenant des paramètres de sécurité plus forts. Vous pouvez configurer ces paramètres manuellement, en suivant les recommandations fournies par le guide Windows Server 2003 Security Guide, ou utiliser l’un des modèles de sécurité prédéfinis compris dans ce guide. Vérifiez que les stratégies de mot de passe et de compte répondent aux besoins de votre organisation en matière de sécurité. Si nécessaire, renforcez les paramètres de stratégie de mot de passe et de verrouillage des comptes du domaine et passez en revue les paramètres de stratégie de l’authentification Kerberos du domaine. Analysez les menaces et mettez à jour la stratégie de sécurité pour tenir compte de ces menaces et les contrer. Il ne sert à rien d’essayer de configurer des paramètres de sécurité sans avoir une vision claire des menaces auxquelles le réseau est exposé. Vous pourriez théoriquement modifier des centaines de paramètres de sécurité, mais beaucoup d’entre eux sont désactivés parce qu’ils entraîneraient une perte de fonctionnalité. Ces paramètres ne dégraderaient peut-être rien dans votre environnement, mais pourquoi courir le risque de les activer s’ils ne vous permettent pas de combattre une menace que votre stratégie de sécurité juge importante ?

j

j

24. La conception de la sécurité des serveurs

Établir une hiérarchie basée sur les rôles
La mise en place d’une hiérarchie d’unités d’organisation appropriée est un élément important dans la sécurisation d’une infrastructure Active Directory et de serveurs. Une hiérarchie d’unités d’organisation basée sur les rôles de serveurs dans votre entreprise peut simplifier les aspects de la gestion de la sécurité, car l’administration d’une unité d’organisation peut être déléguée à un groupe d’administration spécifique. Cette hiérarchie basée sur les rôles de serveurs applique également les paramètres de stratégie de sécurité appropriés aux serveurs et aux autres objets de chaque unité d’organisation. Elle est une approche en couches de l’application de paramètres de stratégie de sécurité.

798

Protéger les serveurs membres

Les unités d’organisation des niveaux inférieurs héritent des paramètres appliqués aux unités d’organisation des niveaux supérieurs. Ces paramètres de stratégie de sécurité sont appliqués par l’intermédiaire des objets de stratégie de groupe. Les modèles de sécurité contiennent des paramètres de configuration de la sécurité qui peuvent être appliqués aux systèmes. Ils peuvent être importés dans un objet de stratégie de groupe.

24.5. Protéger les serveurs membres
À présent, nous allons aborder la mise en œuvre de la sécurité sur les nombreux types de serveurs existant dans les environnements Windows Server.

Le modèle de sécurité Member Server Baseline
Vous pouvez appliquer des paramètres de sécurité de base à tous les serveurs membres, sauf les contrôleurs de domaine, en utilisant le modèle de sécurité Member Server Baseline. Après avoir modifié le modèle pour l’adapter aux besoins de votre organisation et après avoir testé les configurations de sécurité du modèle avec les applications de l’entreprise, importez les paramètres de ce modèle dans un objet de stratégie de groupe et liez cet objet à l’unité d’organisation Serveurs membres. N’appliquez pas le modèle de serveur membre aux contrôleurs de domaine, mais le modèle de contrôleur de domaine à l’unité d’organisation Contrôleurs de domaine. Le modèle de sécurité Member Server Baseline contient de nombreux paramètres de sécurité, notamment…
j

Les paramètres de stratégie d’audit : ces paramètres spécifient les événements liés à la sécurité qui sont enregistrés dans le journal des événements. Vous pouvez surveiller les activités liées à la sécurité pour savoir, par exemple, qui tente d’accéder à un objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur ou encore quand une modification est apportée à un paramètre de stratégie d’audit. Les paramètres d’attribution des droits utilisateurs : ils spécifient les utilisateurs ou les groupes ayant des droits ou des privilèges d’ouverture de session sur les serveurs membres du domaine. Les paramètres d’options de sécurité : ils servent à activer ou à désactiver des paramètres de sécurité pour des serveurs, comme la signature numérique de données, les noms des comptes Administrateur et Invité, l’accès aux lecteurs de disquette et de CD-Rom, le comportement d’installation des pilotes et les invites d’ouverture de session. Les paramètres du journal des événements : ils spécifient la taille de chaque journal des événements et les actions à entreprendre lorsqu’il arrive à saturation. Les événements de sécurité enregistrés sont stockés dans plusieurs journaux dont le journal des applications, le journal de sécurité et le journal système.

j

24. La conception de la sécurité des serveurs

j

j

799

Chapitre 24

La conception de la sécurité des serveurs

j

Les paramètres des services système : ils spécifient le comportement de démarrage et les autorisations pour chaque service présent sur le serveur.

24.6. Protéger les serveurs pour des rôles spécifiques
Voyons maintenant la mise en œuvre de la sécurité des serveurs pour des rôles spécifiques. Elle concerne en particulier le renforcement de la protection des serveurs suivants :
j j j j

les serveurs d’infrastructure ; les serveurs de fichiers ; les serveurs d’impression ; les serveurs IIS.

Renforcer la protection des serveurs d’infrastructure
Les serveurs d’infrastructure fournissent des services réseau tels que le protocole DHCP et WINS. Le renforcement de la protection des serveurs d’infrastructure passe par l’application à ces serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité recommandés sont appliqués aux serveurs d’infrastructure au moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, du modèle de sécurité Infrastructure Server. Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la protection des serveurs d’infrastructure. Ces paramètres doivent être configurés manuellement sur chaque serveur d’infrastructure.
j j

Configurez l’enregistrement DHCP. Pour cela, utilisez l’outil d’administration DHCP. Protégez-vous contre les attaques par déni de service DHCP. Pour cela, configurez la tolérance de pannes de vos serveurs DHCP de telle sorte qu’une attaque par déni de service sur un serveur DHCP ne perturbe pas tous les services DHCP de votre réseau. Utilisez les zones DNS intégrées à Active Directory. L’intégration Active Directory fournit une sécurité renforcée : vous pouvez limiter le nombre de personnes pouvant effectuer des enregistrements DNS, et les données DNS sont stockées et transmises de façon plus sûre. Les zones DNS exposées à Internet ne doivent jamais être stockées dans Active Directory. À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables aux applications serveurs.

24. La conception de la sécurité des serveurs

j

j

800

Protéger les serveurs pour des rôles spécifiques

Renforcer la protection des serveurs de fichiers
Le renforcement de la protection des serveurs de fichiers passe par l’application à ces serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité recommandés sont appliqués aux serveurs de fichiers au moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, du modèle de sécurité File Server. Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la protection des serveurs de fichiers. Ces paramètres doivent être configurés manuellement sur chaque serveur de fichiers :
j j j

Désactivez le système de fichiers distribués (DFS) et le service de réplication de fichiers (FRS) s’ils ne sont pas nécessaires sur un serveur de fichiers. Sécurisez tous les fichiers et dossiers partagés du serveur de fichiers en utilisant NTFS et des autorisations de partage. Activez l’audit des fichiers critiques. Auditez toutes les modifications, celles qui ont échoué comme celles qui ont abouti, apportées à des données hautement confidentielles. À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage de fichiers.

j

Renforcer la protection des serveurs d’impression
Le renforcement de la protection des serveurs d’impression passe par l’application à ces serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité recommandés sont appliqués aux serveurs d’impression au moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, du modèle de sécurité Print Server. Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la protection des serveurs d’impression. Ces paramètres doivent être configurés manuellement sur chaque serveur d’impression.
j

Assurez-vous que la signature SMB n’est pas requise par le serveur d’impression. Désactivez le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours). Désactiver ce paramètre permet de s’assurer que la signature SMB ne sera pas demandée par le serveur d’impression. Si ce paramètre est activé, les utilisateurs ne pourront pas afficher la file d’attente d’impression. À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage d’imprimantes.

24. La conception de la sécurité des serveurs

j

Renforcer la protection des serveurs IIS
Le renforcement de la protection des serveurs IIS passe par l’application à ces serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité recommandés sont appliqués aux serveurs IIS au moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, du modèle de sécurité IIS Server. 801

Chapitre 24

La conception de la sécurité des serveurs

j

Si possible, mettez à niveau tous vos serveurs web vers Windows Server 2003 et IIS 6.0. Il n’est pas nécessaire d’exécuter l’outil IIS Lockdown sur les systèmes IIS 6.0 puisque cette version des services Internet est verrouillée par défaut à l’installation. L’Assistant IIS Lockdown fonctionne en désactivant des fonctionnalités inutiles, ce qui réduit la surface d’attaque offerte aux intrus. Il vous donne la possibilité de supprimer ou de désactiver des services IIS comme HTTP, FTP, SMTP et NNTP. L’outil IIS Lockdown fournit une fonctionnalité d’annulation qui permet d’inverser les effets du verrouillage le plus récent. Pour assurer la défense en profondeur, URLScan est intégré à l’Assistant IIS Lockdown avec des modèles personnalisés pour chaque rôle de serveur pris en charge. Cette intégration permet à l’assistant de fournir la sécurité supplémentaire appliquée par URLScan sans obliger l’administrateur à concevoir un filtre URLScan personnalisé pour la configuration et l’application serveur considérées. URLScan est un filtre ISAPI (Internet Server Application Programming Interface) qui analyse les requêtes HTTP (Hypertext Transfer Protocol) à mesure qu’elles sont reçues par les services Internet. Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la protection des serveurs IIS. Ces paramètres doivent être configurés manuellement sur chaque serveur IIS. N’activez que les composants IIS essentiels. Assurez-vous en particulier que seules les extensions d’applications voulues sont activées. Par sécurité, les services Internet (IIS) ne sont pas installés par défaut sur Windows Server 2003. Lorsqu’ils sont installés, de nombreuses fonctionnalités restent désactivées tant qu’elles n’ont pas été spécifiquement activées. Vous devez activer manuellement chaque service requis par votre installation IIS. Installez IIS et stockez le contenu web sur un volume de disque dédié, distinct du volume système. Cela réduit la probabilité qu’un intrus réussisse à ouvrir et à modifier des fichiers de système d’exploitation sur le serveur. Configurez des autorisations NTFS pour tous les dossiers renfermant du contenu web. Appliquez les autorisations minimales requises pour activer la fonctionnalité de site web nécessaire. N’activez pas à la fois les autorisations d’exécution et d’écriture sur le même site web. Cette combinaison d’autorisations pourrait permettre à un intrus de placer du contenu nuisible sur le serveur, puis de l’exécuter. Sur les serveurs IIS 5.0, exécutez les applications en utilisant la protection d’application moyenne ou élevée pour éviter qu’elles ne s’exécutent dans le contexte système du processus Inetinfo. Utilisez des filtres IPSec pour bloquer toutes les communications entrantes, à l’exception du trafic entrant sur les ports TCP 80 et 443.

j

j j

j

j

j

j

24. La conception de la sécurité des serveurs

j

j

j

802

En résumé

Les méthodes conseillées pour renforcer la protection des serveurs pour des rôles spécifiques
Le renforcement de la protection des serveurs pour des rôles spécifiques passe par l’application des modèles de sécurité appropriés et par la configuration manuelle des paramètres de serveur appropriés pour ces rôles. La plupart des paramètres de sécurité recommandés sont appliqués à un serveur membre au moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, d’un modèle de sécurité basé sur le rôle spécifique de ce serveur. Tenez compte des méthodes conseillées suivantes lorsque vous renforcez la protection de serveurs pour des rôles spécifiques :
j

Modifiez les modèles selon les besoins pour les serveurs qui assurent plusieurs rôles. Les serveurs qui assurent plusieurs rôles ont besoin d’un modèle personnalisé qui configure les paramètres de sécurité du serveur pour lui permettre de remplir ces rôles. Vous devrez peut-être commencer avec le modèle prédéfini pour l’un des rôles assurés par le serveur, puis modifier le modèle en question de telle sorte que les services et les autres paramètres de sécurité requis par les autres rôles soient correctement configurés. Activez uniquement les services requis par le rôle. Tous les services dont le serveur n’a pas besoin pour remplir le rôle qui lui a été attribué doivent être désactivés. Activez l’enregistrement des événements liés aux services pour capturer les informations pertinentes. Pensez à activer l’enregistrement pour les services critiques requis par le rôle du serveur. Par exemple, activez l’enregistrement DHCP pour un serveur DHCP. Utilisez des filtres IPSec pour bloquer tous les ports qui ne sont pas requis par le rôle du serveur. Pour plus d’informations sur les ports spécifiques à autoriser sur un serveur pour un rôle spécifique, consultez le chapitre correspondant du Windows Server 2003 Security Guide. Sécurisez les comptes de service et les comptes d’utilisateur connus. Sauf nécessité absolue, ne configurez pas un service de sorte qu’il ouvre une session à l’aide d’un compte de domaine. Renommez les comptes prédéfinis Administrateur et Invité et modifiez leur description. Affectez des mots de passe longs et complexes à ces comptes prédéfinis. Utilisez pour ces comptes des mots de passe différents sur chaque serveur. Si un intrus réussit ainsi à compromettre l’un de ces comptes sur un serveur, il ne sera pas immédiatement à même de compromettre d’autres serveurs.

j j

j

j

24. La conception de la sécurité des serveurs

24.7. En résumé
La sécurité des serveurs joue un rôle important dans l’entreprise à condition que celle-ci soit adaptée au rôle présent sur le serveur. Cela passe forcément par des compromis entre la sécurité et les fonctionnalités.

803

Chapitre 25

Évaluation de la sécurité
25.1 25.2 25.3 25.4 25.5 25.6 25.7 25.8 25.9 25.10 Pourquoi réaliser des évaluations de la sécurité ? Planification de l’évaluation de sécurité . . . . . . Le concept de défense en profondeur . . . . . . . Définition du cadre de l’évaluation de sécurité . Les objectifs de l’évaluation de sécurité . . . . . . Les types d’évaluations de sécurité . . . . . . . . . L’audit de sécurité informatique . . . . . . . . . . Publier les résultats de l’évaluation de sécurité . Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807 . 808 . 810 . 811 . 812 . 813 . 816 . 818 . 818 . 821

Pourquoi réaliser des évaluations de la sécurité ?

U

ne évaluation de sécurité peut jouer de nombreux rôles dans la sécurité du réseau. Vous pouvez effectuer des évaluations de sécurité pour détecter des erreurs de configuration courantes ou pour identifier les ordinateurs qui ne disposent pas des derniers correctifs de sécurité. Vous pouvez effectuer des évaluations de sécurité pour connaître le niveau d’efficacité des mesures de sécurité défensives d’une application depuis la précédente mise à jour de sécurité. Une évaluation de la sécurité peut également révéler des faiblesses inattendues de la sécurité de votre organisation. Une fois les faiblesses découvertes, vous devez rapidement signaler tous les problèmes identifiés au cours de l’évaluation et y remédier.

25. Évaluation de la sécurité

25.1. Pourquoi réaliser des évaluations de la sécurité ?
La sécurité des informations est généralement envisagée d’un point de vue défensif, en tentant de protéger les ressources de l’organisation contre les attaques connues et bien cernées. Bien que cette stratégie soit efficace, elle ne peut garantir le respect systématique de toutes les stratégies de sécurité. Par exemple, nous l’avons déjà cité, mais la mise en œuvre d’une stratégie de mot de passe complexe ne garantit pas que les utilisateurs recourent réellement à une protection par mot de passe efficace. Les évaluations de sécurité tentent de fournir aux entreprises les processus et procédures nécessaires pour appliquer une approche offensive de la sécurité du réseau et évaluent les mesures mises en œuvre pour combattre les attaques réseau. La mise en place de mesures de sécurité défensives et l’exécution proactive d’évaluations de sécurité permettent de garantir la robustesse de la sécurité du réseau. Les évaluations de sécurité permettent :
j j

de répondre à quelques questions (du type "Le réseau est-il sécurisé ?" ou "Comment savoir si le réseau est sécurisé ?") ; d’offrir une base de référence pour faciliter, à la longue, l’amélioration de la sécurité et d’estimer le niveau d’efficacité des mesures de sécurité défensives précédentes, depuis la dernière mise à jour de sécurité ; de découvrir les erreurs de configuration ou les mises à jour de sécurité manquantes ; de révéler les faiblesses cachées de la sécurité de l’entreprise ; de veiller au respect de la législation la plus récente en termes de sécurité.

j j j

807

Chapitre 25

Évaluation de la sécurité

25. Évaluation de la sécurité

25.2. Planification de l’évaluation de sécurité
La planification de l’évaluation de sécurité vous permet de définir les objectifs et le cadre de votre projet. Elle vous offre également l’opportunité de choisir les technologies et les tâches d’évaluation appropriées, afin de vérifier que vos mesures de sécurité actuelles sont aussi efficaces que possible. Lorsque vous évaluez la sécurité de votre organisation, n’oubliez pas que les défaillances peuvent survenir dans de nombreux domaines. Les défaillances de la sécurité du réseau ont des origines diverses, y compris les suivantes…
j

Le facteur humain : l’homme ; il s’agit d’une source majeure de défaillance de la sécurité du réseau, si ce n’est la source majeure de défaillance. Voici quelques exemples de facteurs humains… − Mots de passe faibles : le moyen le plus couramment utilisé pour introduire des vulnérabilités dans la sécurité du réseau consiste à créer et à utiliser des mots de passe faibles. − Sécurité physique : elle fait référence aux utilisateurs qui ne ferment pas les portes ou laissent leur ordinateur dans des lieux non protégés. − Ingénierie sociale : elle fait référence aux utilisateurs amenés par la ruse à révéler leurs mots de passe ou à autoriser l’accès à des ressources sécurisées.

j

Les facteurs liés à la stratégie : la qualité et l’exhaustivité de la stratégie de sécurité d’une organisation reposent fortement sur l’efficacité globale de sa sécurité réseau. Une mauvaise stratégie peut engendrer des défaillances de la sécurité du réseau de différentes façons… − Stratégies vagues : une stratégie de sécurité vague peut conduire les administrateurs à choisir le chemin de la facilité pour la respecter. − Stratégies sans instructions de conformité : de nombreuses stratégies de sécurité stipulent des critères de conformité mais aucune instruction quant aux moyens de respecter ces critères. − Stratégies obsolètes : les besoins d’une organisation concernant le réseau et la sécurité évoluant en permanence, les stratégies de sécurité peuvent devenir obsolètes. − Stratégies mal appliquées ou non appliquées : la non-application des stratégies de sécurité engendre souvent le mépris de celles-ci et, par extension, l’absence de bonnes pratiques de sécurité. − Stratégies inapplicables : une stratégie de sécurité trop stricte peut ne pas être applicable, si elle entrave le travail quotidien des utilisateurs (par exemple, l’utilisateur qui a obligation d’avoir un mot de passe trop complexe sera tenté de l’écrire sur un papier accolé à son écran). Tout est question de compromis.

808

Planification de l’évaluation de sécurité

j

Les erreurs de configuration : la mise en œuvre des configurations matérielles ou logicielles par défaut peut offrir aux intrus un terrain propice aux attaques. Un administrateur peut également mal configurer un système en ne suivant pas les bonnes pratiques de sécurité, introduisant ainsi d’autres vulnérabilités exploitables par un intrus. Les erreurs de jugement : les administrateurs peuvent avoir une fausse idée du comportement des utilisateurs, du fonctionnement d’une technologie ou de la réalisation de certaines tâches. Une simple petite négligence résultant d’un jugement infondé peut aider un intrus à compromettre un réseau. On appelle cela "faire la chasse aux faux positifs". L’ignorance : souvent, les administrateurs ne sont tout simplement pas conscients des conséquences de leurs actions ou des menaces que les intrus font peser sur leurs réseaux. L’incapacité à maintenir les systèmes à jour : en effet, il y a une course entre les administrateurs et les intrus, dès lors qu’une mise à jour de sécurité est publiée. La sécurité de votre réseau n’est pas meilleure que la dernière mise à jour de sécurité installée.

25. Évaluation de la sécurité

j

j

j

La planification d’une évaluation de sécurité est importante pour structurer correctement le projet. Les phases suivantes peuvent être utilisées pour orienter votre planification…
j

La pré-évaluation : la phase de pré-évaluation consiste à déterminer le cadre et les objectifs du projet global d’évaluation de sécurité. Une fois ces derniers déterminés, un calendrier prévisionnel approprié peut être établi pour la durée du projet. Vous devez également définir les règles à suivre pendant l’évaluation. L’évaluation : la phase d’évaluation vise à choisir les technologies et à effectuer l’évaluation proprement dite. Il est important de noter que les outils que vous choisissez doivent être en adéquation avec les objectifs déterminés durant la phase de pré-évaluation. Vous ne devez pas associer votre évaluation directement à un type spécifique d’outils ou de technologies. La dernière tâche de la phase d’évaluation consiste à organiser vos résultats. La préparation des résultats : la phase de préparation des résultats consiste à estimer les risques liés à chaque faiblesse découverte. Une part importante de vos résultats vise à inclure également une parade pour chaque vulnérabilité découverte. Si vous projetez de réaliser un suivi des évaluations, vous devez identifier les vulnérabilités qui n’ont pas été résolues depuis la dernière évaluation et en déterminer les raisons. Ces résultats permettront de déterminer les améliorations à apporter à votre sécurité réseau. La présentation des conclusions : la phase finale vise à créer votre rapport de synthèse et à présenter vos conclusions. Il est également important de fixer la date de la prochaine évaluation.

j

j

j

809

Chapitre 25

Évaluation de la sécurité

25. Évaluation de la sécurité

25.3. Le concept de défense en profondeur
L’évaluation de sécurité réseau consiste à analyser et à mettre en place des mesures de sécurité à différents niveaux au sein de votre réseau, sous forme de différentes couches. Il est important de comprendre ces couches et comment chacune d’elles peut renforcer la sécurité globale de votre environnement.

Figure 25.1 : Les couches du modèle de sécurité Défense en profondeur

La liste suivante définit les couches du modèle de sécurité de défense en profondeur…
j

Les données : les risques inhérents à la couche Données sont liés aux vulnérabilités qu’un intrus pourrait exploiter pour accéder aux données d’une entreprise ou d’un particulier. Ces données peuvent être protégées par l’utilisation de mots de passe forts, les ACL sur les fichiers et les dossiers, ou encore par l’utilisation d’une stratégie de sauvegarde et de restauration efficace. L’application : les risques inhérents à la couche Application sont liés aux vulnérabilités qu’un intrus pourrait exploiter pour accéder à des applications en cours d’exécution. Il peut tout aussi bien s’agir d’applications réseau clientes ou serveur. Les applications serveur sont susceptibles d’être compromises via différentes méthodes, notamment les attaques par dépassement de la mémoire tampon, les attaques par détection de mot de passe ou les attaques par traversée de répertoires, de même que par des applications réseau mal configurées qui exposent les données à des utilisateurs non autorisés. La couche Application peut être défendue en appliquant les bonnes pratiques de renforcement de la sécurité des applications, tout particulièrement pour les applications relatives aux services web, aux services de messagerie électronique ou aux services de base de données. L’hôte : les risques inhérents à la couche Hôte sont liés aux intrus qui exploiteraient les vulnérabilités des services offerts par l’hôte ou le périphérique. Les défenses de

j

j

810

Définition du cadre de l’évaluation de sécurité

l’hôte peuvent passer par le renforcement de la sécurité du système d’exploitation, l’utilisation de méthodes d’authentification fortes, la gestion des mises à jour de sécurité, les mises à jour d’antivirus et la réalisation d’audits efficaces.
j

25. Évaluation de la sécurité

Le réseau interne : les risques au niveau des réseaux internes d’une organisation concernent dans une large mesure les données critiques transmises via les réseaux. La connectivité requise pour les stations de travail clientes sur ces réseaux internes présente elle aussi des risques. La sécurité peut être renforcée via la mise en œuvre de segments réseau et de systèmes de détection d’intrusion réseau (comme NIDS, Network based Intrusion Detection System, pour les puristes). Le périmètre : le réseau de périmètre englobe chaque point où le réseau interne est connecté à un réseau ou à un hôte qui n’est pas géré par l’équipe informatique de l’organisation. Cela comprend les connexions à Internet, aux partenaires commerciaux et aux réseaux privés virtuels ainsi que les connexions d’accès à distance. Les principaux risques inhérents à cette couche concernent les intrus qui réussiraient à accéder aux ressources du réseau de périmètre, voire potentiellement aux couches réseau qui sont connectées. Les défenses du réseau de périmètre passent par des pare-feu et des routeurs correctement configurés, ainsi que par des réseaux VPN utilisant des procédures de quarantaine. La sécurité physique : les risques inhérents à la couche physique concernent les intrus qui parviendraient à accéder physiquement à une ressource physique. Cette couche englobe toutes les couches précédentes, dans la mesure où l’accès physique à une ressource peut à son tour permettre l’accès à toutes les autres couches du modèle Défense en profondeur. Les défenses de la sécurité physique passent par le verrouillage du matériel dans les centres de données accessibles à l’aide d’un badge, par des gardiens et par des dispositifs de suivi. Les stratégies, les procédures et la sensibilisation : les fondations de l’ensemble du modèle incluent les stratégies et les procédures que votre organisation doit mettre en place pour répondre aux besoins de chaque couche et l’épauler. Les composants de ce niveau comprennent des stratégies et des procédures de sécurité, ainsi que des programmes de sensibilisation à la sécurité.

j

j

j

25.4. Définition du cadre de l’évaluation de sécurité
Plusieurs composants clés permettent de définir le cadre d’un projet d’évaluation de sécurité.
j

Définir la cible : cibler votre analyse des vulnérabilités inclut la connaissance des ressources installées sur votre réseau. Vous pourrez ainsi déterminer le type de vulnérabilités à rechercher, les types de logiciels d’analyse des vulnérabilités que vous utiliserez et les compétences que le projet nécessitera. Pour définir votre cible, vous devez décomposer votre réseau en éléments spécifiques tels que les segments réseau, les périphériques réseau, les systèmes d’exploitation et les applications.

811

Chapitre 25

Évaluation de la sécurité

j

25. Évaluation de la sécurité

Définir la zone cible : la zone cible peut inclure les types d’analyses suivants, comprenant des composants tels que le calendrier prévisionnel de l’évaluation… − L’analyse verticale : ce type d’analyse recherche plusieurs vulnérabilités sur un hôte ou plusieurs hôtes de même type. Par exemple, vous pouvez analyser tous les ordinateurs exécutant Windows XP pour rechercher le niveau de mise à jour de sécurité, les vulnérabilités Windows courantes et les mots de passe faibles. − L’analyse horizontale : ce type d’analyse recherche une vulnérabilité sur des types d’hôtes ou d’applications. Par exemple, vous pouvez analyser tous les périphériques et ordinateurs de votre réseau pour rechercher les vulnérabilités aux attaques par déni de service. − L’analyse verticale et horizontale : ce type d’analyse associe les avantages des analyses verticale et horizontale en recherchant diverses vulnérabilités sur plusieurs plateformes.

j j

Déterminer un calendrier prévisionnel pour l’évaluation : il est important de déterminer et de communiquer le calendrier prévisionnel exact de l’évaluation. Définir les types de vulnérabilités à analyser : après avoir déterminé la cible de votre projet, y compris les périphériques, les systèmes d’exploitation et les applications qui seront analysés ainsi que la taille et le type de l’analyse, vous devez définir les types de vulnérabilités à analyser. Par exemple, si vous décidez d’analyser tous les serveurs Windows 2000 et Windows Server 2003 de trois sous-réseaux spécifiques (comme pour Puzzmania), vous pouvez décider de rechercher uniquement les risques d’exploitation des vulnérabilités connues des produits.

À la fin de cette phase de planification, vous disposez d’une série d’éléments qui définissent clairement les limites du projet, constituent les fondements de ses objectifs et guident vos choix technologiques.

25.5. Les objectifs de l’évaluation de sécurité
L’objectif de tout projet d’évaluation de sécurité est de localiser les faiblesses des hôtes ou du réseau et d’y remédier. Après avoir défini le cadre du projet, déterminez ses objectifs. Le succès global du projet peut être déterminé par la façon dont il atteint ses objectifs. Lors de la phase de planification, vous devez définir des objectifs clairs et accessibles afin que tous les membres de l’équipe comprennent le projet (ses objectifs, son calendrier prévisionnel, etc.) et que celui-ci ne déraille pas. En définissant précisément le cadre du projet, vous aurez des bases solides pour en définir les objectifs. La définition du cadre constitue la première partie de l’objectif, et la mise en œuvre de parades la deuxième partie. En voici un exemple sous forme de tableau :

812

Les types d’évaluations de sécurité

Tableau 25.1 : Un exemple de formalisation des objectifs d’une évaluation de sécurité Objectif du projet Tous les serveurs Windows Server 2003 sur le sous-réseau R&D de Nice seront analysés pour détecter et résoudre les vulnérabilités suivantes : Vulnérabilité Vulnérabilité RPC sur DCOM (MS 03−026) Énumération SAM anonyme Activation du compte Invité Plus de 10 comptes dans le groupe local des administrateurs Parade Installer les mises à jour de sécurité Microsoft 03−026 et 03−039 Configurer le paramètre RestrictAnonymous sur 1 Désactivation du compte Invité Réduire le nombre de compte dans le groupe local des administrateurs de chaque serveur

25. Évaluation de la sécurité

25.6. Les types d’évaluations de sécurité
Plusieurs types d’évaluations permettent de vérifier le niveau de sécurité des ressources réseau. Lorsque vous planifiez votre évaluation de sécurité, choisissez la méthode qui convient le mieux aux besoins de votre entreprise. Chaque type d’évaluation de sécurité requiert des compétences spécifiques de la part des personnes qui réalisent l’évaluation. Vous devez être sûr que les personnes qui effectuent l’évaluation possèdent l’expérience et les compétences requises pour effectuer le type d’évaluation choisi. Les types d’évaluation de sécurité les plus courants sont les suivants…
j

L’analyse des vulnérabilités : c’est l’évaluation de sécurité la plus fondamentale, elle requiert généralement le moins de compétences. Elle analyse un réseau pour y rechercher des faiblesses potentielles de sécurité, connues et cernées. Elle est généralement effectuée par un logiciel, mais elle peut également être automatisée via des scripts personnalisés. La qualité des résultats de l’analyse des vulnérabilités dépend de celle du logiciel utilisé. Le test d’intrusion : le test de pénétration est un type d’évaluation de sécurité plus sophistiqué, qui requiert des testeurs très qualifiés et dignes de confiance. Il se concentre sur les faiblesses de sécurité connues et inconnues du réseau et décrit la façon dont les vulnérabilités sont exploitées ainsi que les faiblesses du personnel et des processus. Le test de pénétration permet de sensibiliser les administrateurs réseau, les responsables informatiques et les dirigeants sur les conséquences possibles d’une intrusion réseau. Parce que seule l’intention distingue un testeur d’intrusion d’un intrus, vous devez faire preuve de prudence lorsque vous autorisez des employés ou des experts externes à effectuer des tests d’intrusion. Un test de

j

813

Chapitre 25

Évaluation de la sécurité

25. Évaluation de la sécurité

pénétration qui n’est pas professionnellement réalisé peut conduire à une interruption de services et perturber l’activité de l’entreprise.
j

L’audit de sécurité informatique : il se concentre généralement sur les personnes et les processus utilisés pour concevoir, mettre en œuvre et gérer la sécurité d’un réseau. Dans un audit de sécurité informatique, la personne en charge de l’audit, ainsi que les stratégies et les procédures de sécurité de votre organisation utilisent une référence de base. Un audit adéquat permettra de déterminer si votre organisation possède les composants nécessaires pour créer et exploiter un environnement informatique sécurisé. Les audits de sécurité informatiques sont également des éléments essentiels pour prouver que la réglementation est respectée.

L’analyse des vulnérabilités
L’exécution ponctuelle d’un outil d’analyse des vulnérabilités donnera certainement des résultats susceptibles d’améliorer la sécurité du réseau de votre organisation. Toutefois, pour que l’outil soit vraiment efficace, vous devez mettre au point un processus d’analyse des vulnérabilités…
j

Détecter les vulnérabilités : après avoir effectué une analyse, vous devez valider les résultats en vous assurant qu’ils sont complets et exacts. Comparez le nombre d’hôtes analysés avec le nombre d’hôtes défini par le cadre de l’évaluation et déterminez s’il existe des divergences. Même les meilleurs outils peuvent ne pas produire un rapport complet, et l’outil d’analyse lui-même peut avoir des défauts. Assigner des niveaux de risque aux vulnérabilités découvertes : vous devez assigner des niveaux de risque à chacune des vulnérabilités que vous découvrez. Le niveau de risque aide les administrateurs et les responsables informatiques à déterminer le domaine de la sécurité du réseau à traiter en premier et où affecter le plus de ressources pour traiter les vulnérabilités. Identifier les vulnérabilités qui n’ont pas été résolues : en analysant périodiquement le réseau, vous saurez si des vulnérabilités précédemment identifiées n’ont pas été résolues. Ces informations vous permettront de faire remonter les efforts d’amélioration de la sécurité au sein de la hiérarchie de votre organisation. Vous ne pourrez probablement pas résoudre toutes les vulnérabilités signalées par le logiciel d’analyse. Ainsi, il se peut que la parade endommage les applications qui s’exécutent sur l’hôte ou qui communiquent avec lui. Il se peut également qu’il n’existe pas de parade efficace au moment de l’analyse ou que les administrateurs ne puissent pas faire les modifications nécessaires. Déterminer les améliorations de la sécurité du réseau au fil du temps : avec le temps, vous pouvez mesurer les améliorations de la sécurité du réseau en examinant les résultats des analyses. La liste des éléments que vous pouvez mesurer en permanence inclut… − le nombre de nouvelles vulnérabilités découvertes sur les hôtes ; − le nombre d’hôtes sensibles à une nouvelle vulnérabilité ;

j

j

j

814

Les types d’évaluations de sécurité

− le nombre de vulnérabilités non résolues et le nombre d’hôtes qui restent vulnérables ; − la période de temps pendant laquelle un hôte est resté vulnérable ; − le nombre total de vulnérabilités détectées et résolues.

25. Évaluation de la sécurité

Le test de pénétration
Les testeurs d’intrusion efficaces tentent rarement de compromettre un réseau en l’attaquant de façon aléatoire. Une telle action serait inefficace, longue et augmenterait leurs chances d’être attrapé. En suivant une méthodologie de base, vous améliorez vos chances de localiser et d’exploiter les faiblesses dans les délais impartis. En outre, vous disposez d’une infrastructure naturelle pour enregistrer vos résultats, ce qui simplifie la phase de création de rapports. Les étapes suivantes constituent une méthodologie de base que vous pouvez utiliser…
j

Déterminer la méthode que l’intrus est le plus susceptible d’utiliser pour attaquer un réseau ou une application : cette étape a très probablement été prise en compte lorsque vous avez défini le cadre et les objectifs de l’évaluation de sécurité. Le cadre et les objectifs ont dû déterminer le choix des méthodes et des outils à utiliser pour mettre en place votre test de pénétration. Localiser les zones de faiblesse du réseau ou des défenses applicatives : l’étape suivante consiste à obtenir des informations sur la cible. Lorsque vous commencez votre test de pénétration, n’ignorez pas les évidences. Par exemple, après avoir identifié la plateforme système à exploiter, l’un des premiers endroits où rechercher la liste des vulnérabilités du produit est le site web du fournisseur. Déterminer comment un intrus pourrait exploiter les faiblesses : après avoir suffisamment inspecté votre cible, catalogué les informations rassemblées et déterminé comment un intrus pourrait les utiliser pour exploiter le réseau, vous pouvez procéder au test de pénétration. L’un des principaux objectifs de tout test de pénétration est d’obtenir un accès administrateur ou système. Une fois ce niveau de privilège obtenu sur un système, il y a de fortes chances pour que celui-ci concède d’autres comptes administrateur ou d’autres comptes bénéficiant de privilèges. Localiser les ressources qui pourraient être atteintes, modifiées ou détruites : après avoir obtenu un certain niveau d’accès à votre cible, prenez le temps de noter les ressources qui pourraient être atteintes, modifiées ou détruites. Plus tard, lors de la publication de vos conclusions, il sera primordial d’identifier ces ressources et les parades potentielles à mettre en place. Déterminer si l’attaque a été détectée : une fois votre test actif terminé, il est judicieux d’étudier si tous les éléments du test de pénétration ont été détectés pendant l’attaque et de comprendre pourquoi ils l’ont été. Ces informations vous permettront d’approfondir vos compétences et aideront considérablement les administrateurs réseau à optimiser leurs outils de détection d’intrusion.

j

j

j

j

815

Chapitre 25

Évaluation de la sécurité

j

25. Évaluation de la sécurité

Établir un inventaire des attaques : lors d’un test de pénétration, réalisez soigneusement un inventaire des attaques réseau qui aboutiraient dans des conditions normales. À l’aide de ces informations, les administrateurs pourront être en mesure d’améliorer leurs processus, leurs technologies et leurs opérations afin de mieux empêcher et de mieux détecter les attaques que vous avez découvertes. Faire des recommandations : plus vous communiquerez clairement sur la façon dont vous avez attaqué un réseau avec succès, mieux les administrateurs réseau pourront ajuster les paramètres de sécurité. Vous pouvez passer en revue la documentation détaillée de la méthodologie utilisée lors du test, qu’elle ait permis de compromettre le réseau ou non, afin d’identifier les domaines que votre organisation doit modifier pour sécuriser le réseau. Prévenir avant de lancer le test de pénétration Avant d’effectuer un test de pénétration sur le réseau d’une organisation, il est vital de définir et de communiquer les objectifs, le cadre et les règles du test de pénétration. Un manque de planification et de communication peut engendrer une interruption du service réseau et bien d’autres problèmes.

j

25.7. L’audit de sécurité informatique
Un audit de sécurité informatique évalue la capacité de votre organisation à sécuriser ses informations au niveau de la stratégie, des processus, des procédures et des opérations.

Figure 25.2 : Schématisation du contenu de l’audit de sécurité

816

L’audit de sécurité informatique

À des fins d’évaluation, la sécurité informatique globale peut être décomposée de la façon suivante…
j

25. Évaluation de la sécurité

La stratégie : la stratégie de sécurité peut être définie comme étant les règles de sécurité des informations de l’organisation. La stratégie de sécurité définit également la position d’une organisation en matière de sécurité, à savoir la façon dont elle conçoit et considère les stratégies ainsi que le niveau d’implication de l’équipe informatique. Il existe trois types de stratégies de sécurité. Chacune d’entre elles est basée sur sa méthode d’application principale. − Les stratégies administratives : elles sont appliquées par la direction ou par l’utilisateur. − Les stratégies techniques : elles sont appliquées par le système d’exploitation, les applications ou d’autres contrôles techniques. Les stratégies techniques doivent avoir des stratégies administratives correspondantes. − Les stratégies physiques : appliquez les stratégies physiques en implémentant des contrôles physiques pour empêcher la falsification ou le vol.

j j j j j

Les processus et les procédures : ils décrivent et prescrivent la façon dont les administrateurs et les utilisateurs doivent se conformer à la stratégie de sécurité. La technologie : elle décrit la méthodologie et les outils utilisés pour appliquer les processus et procédures d’une stratégie. La mise en œuvre : elle décrit le fonctionnement d’une stratégie spécifique sur le réseau, ce qui comprend l’énumération des paramètres activés ou désactivés. La documentation : elle consiste à noter ce qui a été mis en œuvre, y compris la configuration et les paramètres de sécurité. Les opérations : elles fournissent des informations sur l’utilisation et la gestion précise de la stratégie sur le réseau.

Un bon audit de sécurité informatique évalue la capacité de l’organisation à sécuriser ses informations au niveau de la stratégie, des processus et des procédures, ainsi que des opérations. Ces trois composants, décrits précédemment, sont au cœur de la sécurité de l’entreprise. Par conséquent, construisez votre infrastructure d’audit autour d’eux. Une infrastructure d’audit de sécurité très simple mais efficace consiste à comparer ces trois composants. En utilisant ce modèle, vous pouvez vous assurer que la direction (les propriétaires habituels de la stratégie), les responsables informatiques (les propriétaires habituels des processus et des procédures) et l’équipe informatique (chargée du fonctionnement du réseau) ont une position identique en matière de sécurité. Idéalement, la stratégie de sécurité possède des processus et des procédures correspondants, qui sont documentés et suivis quotidiennement par les administrateurs et les utilisateurs.

817

Chapitre 25

Évaluation de la sécurité

25. Évaluation de la sécurité

25.8. Publier les résultats de l’évaluation de sécurité
Une fois votre évaluation de sécurité terminée, vous aurez vraisemblablement beaucoup de données à publier. Pour toutes les vulnérabilités découvertes lors de votre évaluation de sécurité, vous pouvez organiser les informations comme suit…
j

Définir la vulnérabilité : la définition de la vulnérabilité permet de répondre à des questions telles que "Quels sont l’origine et l’impact potentiel de la vulnérabilité ?" et "Quelle est la probabilité d’exploitation de la vulnérabilité ?". Documenter les plans visant à réduire la vulnérabilité : il est important de présenter des solutions et des réductions potentielles, ou d’autres suggestions visant à réduire ou à supprimer la vulnérabilité. Identifier les modifications à apporter : documentez tout ce qui doit être modifié. Attribuer les responsabilités pour mettre en œuvre les recommandations approuvées : votre rapport doit mentionner les personnes chargées d’appliquer les recommandations. Prescrire la prochaine date d’évaluation de sécurité : vous devez également prescrire une date pour la prochaine évaluation de sécurité.

j

j j

j

25.9. Utiliser l’outil MSAT
Face aux bonnes pratiques de l’évaluation de la sécurité, Microsoft propose gratuitement l’outil MSAT. MSAT (Microsoft Security Assessment Tool) permet de mesurer le niveau de sécurité dans un environnement informatique. Cet outil vous donnera des conseils et des méthodes pour analyser les risques et mieux sécuriser votre domaine à la fois au niveau de l’organisation, du processus et de la technologie. Cette application est destinée à aider les entreprises de moins de 1000 salariés à évaluer les faiblesses de leur environnement en matière de sécurité informatique. Elle permet, effectivement, d’identifier les processus, ressources et technologies destinés à favoriser des pratiques efficaces de planification de la sécurité et d’atténuation des risques au sein de l’entreprise. Téléchargement gratuit de MSAT, dernière version 3.0 en anglais
www.microsoft.com/france/technet/security/tools/msat/default.mspx

Le principe de MSAT est simple : proposer une évaluation de la sécurité de l’entreprise au travers une série de questions très ciblées. Dans le détail : 1. Téléchargez puis installez MSAT sur votre ordinateur. Il n’y a pas de difficulté lors de l’installation, vous n’avez qu’à suivre les instructions.

818

Utiliser l’outil MSAT

2. Lancez l’application en cliquant sur Démarrer/Tous les programmes/Microsoft Security Assessment Tool/MSAT. 3. Passez le message de bienvenue en cliquant sur Start. Vous devez créer un nouveau profil de risque, tapez le nom de votre entreprise.

25. Évaluation de la sécurité

Figure 25.3 : Création du profil dans MSAT

4. Commencez à répondre aux questions qui vous sont posées. Une fois que vous avez répondu à une page de questions, cliquez sur Next pour passer à la page suivante. Ces questions vont servir à qualifier le profil de risque de la société.

Figure 25.4 : Premières questions basiques posées par MSAT

819

Chapitre 25

Évaluation de la sécurité

Continuez à répondre aux questions, il y en a plus d’une trentaine. 25. Évaluation de la sécurité En voici un autre exemple :

Figure 25.5 : Autre exemple de questions posées par MSAT

5. À la fin de toutes les questions, nommez l’évaluation qui en résulte (choisissez un nom en adéquation avec votre profil de risque) et cliquez sur OK.

Figure 25.6 : Donnez un nom à l’évaluation

820

En résumé

6. C’est parti pour les questions techniques de l’évaluation à proprement parler. Ces questions sont classées en différentes sections : tout d’abord des questions d’informations de base sur l’entreprise (nom, nombre d’ordinateurs, de serveurs, pays), puis une série de questions sur la sécurité, à savoir la sécurité de l’infrastructure, des applications, des opérations et du personnel (si vous utilisez une connexion Internet, si vous utilisez un serveur Exchange, un serveur VPN, etc.). Et enfin des questions sur l’environnement (activité, nombre d’employés, nombre de sites, etc.). Une fois que vous avez répondu à une page de questions, cliquez sur Next pour passer à la page suivante.

25. Évaluation de la sécurité

Figure 25.7 : Des questions de l’évaluation

Continuez à répondre aux questions, il y en a plus d’une centaine. À la fin, vous pourrez visualiser et conserver le résultat de l’évaluation selon trois rapports : un rapport récapitulatif, un rapport complet et un rapport comparatif.

25.10. En résumé
L’évaluation de la sécurité est très importante pour analyser la manière dont vous êtes protégé. Cela peut toucher le cœur du système d’exploitation et, par méconnaissance sur la sécurité, être parfois fatal à l’entreprise si celle-ci se fait attaquer et dépouiller de ce qui fait son unicité sur le marché. Les bonnes pratiques décrites ici vont vous aider à monter une évaluation dans les plus brefs délais. De plus, MSAT peut vous donner un cadre, voire une évaluation toute faite et pertinente du niveau de sécurité de vôtre entreprise. C’est gratuit, profitez-en et même si les questions sont plus adaptées à une société de moins de 1000 employés, vous pourrez toujours vous inspirer de ces questions si vous travaillez dans une entreprise beaucoup plus grande. 821

Chapitre 26

La sécurisation des postes de travail
26.1 26.2 26.3 26.4 26.5 Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . L’antivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implémenter la sécurité des postes de travail à l’aide d’Active Directory En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825 . 826 . 847 . 849 . 857

Gérer les mises à jour des logiciels

L
j j

a sécurisation des postes de travail s’articule autour d’un ensemble de rubriques de base… Les mises à jour de logiciels : faites en sorte que les systèmes d’exploitation et les applications des ordinateurs clients soient équipés des dernières mises à jour de sécurité et des derniers correctifs et Service Packs. 26. La sécurisation des postes de travail Les logiciels antivirus : installez un logiciel antivirus et tenez à jour les fichiers de signatures pour empêcher l’introduction de code malveillant et l’exploitation des logiciels installés. Le pare-feu : installez et configurez un équipement et/ou un logiciel pare-feu. L’informatique mobile : implémentez des stratégies et des technologies permettant de protéger les périphériques mobiles comme les ordinateurs portables et les ordinateurs de poche (PDA) et de limiter les vulnérabilités possibles lors de la connexion de ces périphériques aux équipements de l’entreprise. La protection des données : protégez les documents et les informations sensibles en implémentant une stratégie de sauvegarde, en utilisant des technologies de cryptage et en limitant l’accès au moyen des méthodes d’authentification appropriées. La sécurité des applications : réduisez les sources de vulnérabilité des applications en utilisant des technologies de gestion de configuration telles que la stratégie de restriction logicielle, la stratégie de groupe et les outils de déploiement. Les outils de gestion des clients : utilisez des technologies de gestion de la sécurité comme Active Directory, les modèles de sécurité, le contrôle de quarantaine pour l’accès réseau et la stratégie de groupe pour rationaliser le déploiement et l’application des stratégies de sécurité. Les méthodes conseillées pour les mots de passe : sécurisez l’accès aux ordinateurs clients en utilisant des mots de passe forts et en appliquant les méthodes conseillées en ce qui concerne l’utilisation des mots de passe en général.

j j

j

j

j

j

Ces rubriques, aussi évidentes qu’elles puissent paraître, sont plus complexes à mettre en œuvre en entreprise car l’étendue des ordinateurs à contrôler est beaucoup plus grande qu’un simple PC à la maison.

26.1. Gérer les mises à jour des logiciels
Il est capital d’établir une solution de gestion des mises à jour de logiciels pour maintenir la sécurité des ordinateurs clients. Vous devez implémenter une solution de gestion des mises à jour pour éviter toute vulnérabilité connue corrigée. Microsoft propose un certain nombre d’outils et de technologies d’aide à la gestion des mises à jour de logiciels. La solution retenue dépend des besoins de l’entreprise. Pour les petites entreprises, WSUS (Windows Software Update Services) est la solution logique. Si vous disposez d’au moins un serveur Windows et un administrateur

825

Chapitre 26

La sécurisation des postes de travail

informatique qualifié, vous avez probablement intérêt à opter pour le service WSUS. Dans le cas contraire, utilisez Windows Update. Pour les moyennes ou grandes entreprises, WSUS et SMS (Systems Management Server) sont les solutions logiques. Si vous avez besoin d’une solution de gestion des mises à jour simple, choisissez WSUS. Si vous voulez une distribution complète des logiciels comprenant des fonctionnalités de gestion des mises à jour, choisissez SMS.

26. La sécurisation des postes de travail

La gestion des correctifs est abordée en détail dans le tome II.

26.2. La sécurité sous Windows Vista
L’actualité étant l’intégration de Windows Vista dans les systèmes d’information, voici un point complet sur le niveau de sécurité et les outils associés, du niveau système d’exploitation de Microsoft. Les menaces pour la sécurité sont en constante évolution. Or, chacun le sait, la sécurité est une préoccupation majeure pour les entreprises. S’il doit rester protégé contre les menaces sur Internet et sur les réseaux sans fil, le système d’exploitation client doit également évoluer. Par le biais de plusieurs scénarios, vous allez voir comment Windows Vista améliore la sécurité de manière significative en atténuant les menaces et la vulnérabilité.

Windows Defender
Windows Defender est un antispyware intégré à Windows Vista et destiné à un usage domestique. Il faut entendre par "usage domestique" l’absence de fonctionnalités d’administration. Windows Defender est le logiciel de Microsoft pour lutter contre les malwares, il est intégré à Windows Vista. Il rassemble des fonctions de détection, de nettoyage et blocage en temps réel des spywares. Parmi ces actions, Windows Defender est ainsi capable de surveiller Internet Explorer et les composants logiciels chargés dans le navigateur, de vérifier les téléchargements. Windows Defender surveille aussi un certain nombre de points d’entrée fréquemment utilisés sur la machine par les spywares. Il peut s’agir par exemple de la clé de registre HKLM\… \RUN qui permet à des logiciels de se maintenir à chaque redémarrage. La technologie de Windows Defender repose sur neuf agents de surveillance. Il offre la possibilité de réaliser une analyse du système rapide ou complète. Pour découvrir l’interface de Windows Defender, sélectionnez le menu Démarrer (le logo de Windows Vista), puis cliquez sur Tous les programmes et Windows Defender.

826

La sécurité sous Windows Vista

26. La sécurisation des postes de travail

Figure 26.1 : La page d’accueil de Windows Defender

Dans la partie supérieure de la fenêtre Windows Defender, vous voyez les menus proposés :
j

Le menu Accueil affiche l’état général de Windows Defender. Vous y retrouvez la date de la dernière recherche, l’état de la protection en temps réel et la version des signatures utilisées par Windows Defender. Le menu Analyser analyse l’ordinateur à la recherche de spywares. Différentes analyses sont proposées (Quick Scan, Full Scan, Custom Scan…). Le menu Historique affiche l’historique de toutes les activités de Windows Defender. Le menu Outils regroupe plusieurs paramètres et outils et se décompose en quatre sections : − La section Options affiche les paramètres généraux de Windows Defender. − La section Microsoft SpyNet permet d’échanger de conseils avec la communauté Spynet. − La section Eléments en quarantaine contient les éléments qui ont été mis en quarantaine. 827

j j j

Chapitre 26

La sécurisation des postes de travail

− La section Explorateur de logiciels affiche les logiciels qui s’exécutent sur la machine, qui écoutent le réseau et le niveau de classification associé.

26. La sécurisation des postes de travail

Figure 26.2 : Affichage des options de Windows Defender

Utilisation de Windows Defender Les utilisateurs visés par Windows Defender se limitent aux particuliers. Windows Defender ne rentre pas dans le cadre de la gestion d’entreprise, c’est-à-dire qu’il n’exploite pas les stratégies de groupe ou la console d’administration centralisée. Il sera possible d’utiliser une version d’entreprise pour la gestion des malwares, mais cela sera proposé dans une version payante du produit qui s’appelle Microsoft Client Protection. Cette version ne se limitera pas à la simple gestion de spywares, elle intégrera également l’antivirus de Microsoft et pourra être administrée sous la forme d’une solution.

Utiliser Windows Defender
Même si Windows Defender n’est pas un logiciel d’entreprise car il ne possède pas de fonctions d’administration centralisées, il possède plusieurs fonctions, il est possible de paramétrer des analyses automatiques et il est nécessaire de le mettre à jour. Pour mettre Windows Defender à jour, procédez ainsi : 828

La sécurité sous Windows Vista

1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Vérifier maintenant. Dans la fenêtre Contrôle de compte utilisateur, sélectionnez Continuer. Une fois la mise à jour terminée, le bouclier devient vert et il est possible de voir la date de la dernière définition de signatures. 26. La sécurisation des postes de travail

Figure 26.3 : Mise à jour de Windows Defender

Pour planifier les analyses automatiques, suivez ces étapes : 1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender. Dans la partie supérieure de la fenêtre Windows Defender, vous retrouvez les sections de l’outil. 2. Sélectionnez Outils, dans la fenêtre Outils et options, cliquez sur Options sous la rubrique Paramètres. 3. Vérifiez que la case Analyser automatiquement mon ordinateur (recommandé) est cochée. C’est impératif pour pouvoir paramétrer les différentes options. 4. Dans Fréquence d’analyse, sélectionnez Mercredi. 5. Dans Heure, choisissez 13:00.

829

Chapitre 26

La sécurisation des postes de travail

6. Dans le type d’analyse, laissez (Analyse rapide). 7. Cochez la case Rechercher les définitions mises à jour avant l’analyse. 8. Cochez la case Appliquer les actions par défaut aux éléments détectés lors d’une analyse. 26. La sécurisation des postes de travail 9. Cliquez sur Enregistrer.

Figure 26.4 : Configuration de l’analyse automatique de Windows Defender

Pour lancer une analyse manuelle, procédez ainsi : 1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender. Dans la partie supérieure de la fenêtre Windows Defender, vous retrouvez les sections de l’outil. 2. Sélectionnez la flèche du menu Analyser. La fenêtre de sélection vous propose trois options d’analyse :
j

Analyse rapide ;

830

La sécurité sous Windows Vista

j j

Analyse complète ; Analyser les fichiers et les dossiers sélectionnés.

3. Choisissez une des options d’analyse proposée, puis cliquez sur Analyser maintenant. 26. La sécurisation des postes de travail Pour désactiver ou activer la protection en temps réel de Windows Defender, procédez comme suit : 1. Cliquez sur le menu Démarrer, puis sur Panneau de configuration. 2. Sélectionnez l’icône Sécurité. 3. Cliquez sur l’icône Windows Defender. 4. Cliquez sur Outils, puis sur Options. 5. Sous la rubrique Options de protection en temps réel, activez la case à cocher Utiliser la protection en temps réel (recommandé). 6. Sélectionnez les options voulues. Pour préserver vos données personnelles et protéger votre ordinateur, il est recommandé de sélectionner toutes les options de protection en temps réel. 7. Choisissez enfin si Windows Defender doit vous avertir lors de certains événements. Sélectionnez les options requises, puis cliquez sur Enregistrer.

Consulter l’historique
Vous pouvez si vous le souhaitez connaître l’activité de Windows Defender car il garde une trace d’un grand nombre d’actions. Pour afficher l’historique de Windows Defender, procédez de la façon suivante : 1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Historique. 3. Pour supprimer tous les éléments de la liste, cliquez sur Effacer l’historique. Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation. Informations complémentaires Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants : www.microsoft.com/athome/security/spyware/software/default.mspx ; http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID =1032293588&EventCategory=5&culture=en-US&CountryCode=US ; j www.microsoft.com/athome/security/spyware/software/support/reportspyware .mspx ;
j j

831

Chapitre 26

La sécurisation des postes de travail

26. La sécurisation des postes de travail

www.microsoft.com/athome/security/spyware/software/newsgroups/default .mspx ; j www.microsoft.com/athome/security/spyware/spywaresigns.mspx ; j www.microsoft.com/technet/windowsvista/security/default.mspx ; j www.microsoft.com/france/technet/content/produits/windowsvista/wv _windowsdefender.asx.
j

Le Centre de sécurité
Bien qu’il soit important de rester informé des dernières mises à jour logicielles, la gestion des mises à jour peut devenir coûteuse et longue, et perturber les entreprises et les utilisateurs. Windows Vista répond à ces problèmes en imposant un redémarrage moins fréquent des ordinateurs, ce qui simplifie le processus de déploiement des mises à jour, l’utilisation plus efficace de la bande passante, la possibilité pour les administrateurs de suivre les mises à jour ayant réussi ou échoué, ainsi que des améliorations de l’agent WUA (Windows Update Agent). Avec l’arrivée de Redémarrer Managers, les utilisateurs n’ont pas besoin de redémarrer Windows Vista lors de l’installation ou de la mise à jour d’une application. Certaines mises à jour peuvent installer une nouvelle version d’un fichier mis à jour même si l’ancien fichier est en cours d’utilisation par une autre application. Windows Vista remplace le fichier lors du prochain redémarrage de l’application. L’objectif avec Redémarrer Manager est de pouvoir diviser le nombre de redémarrages par deux concernant l’application de correctifs de sécurité. Freeze Dry est l’un des composants de Redémarrer Managers, il permet à Windows Vista de déterminer quelle application utilise un fichier devant être mis à jour. Ainsi, si l’application tire parti des API de notifications d’arrêt et de redémarrage, les données de l’application seront enregistrées, l’application fermée, les fichiers mis à jour, puis l’application sera redémarrée. Par conséquent, la plupart des mises à jour ne perturbent pas le travail des utilisateurs, ce qui permet de ne plus gêner la productivité et ainsi de réduire les coûts de gestion des mises à jour. Office 12 est l’exemple d’un logiciel qui tire parti des API de notifications d’arrêt et de redémarrage. WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software Update Services). Il permet d’améliorer la gestion des mises à jour. Les administrateurs peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises à jour disponibles et déterminer si ces mises à jour sont nécessaires dans leurs environnements. Pour les environnements qui utilisent les mises à jour automatiques, les administrateurs peuvent utiliser WSUS afin de déployer toutes les mises à jour. Dans les versions antérieures de Windows, seules les mises à jour critiques pouvaient être déployées à l’aide de la fonctionnalité Mises à jour automatiques.

832

La sécurité sous Windows Vista

L’agent WUA (Windows Update Agent) est désormais une application autonome pouvant télécharger des mises à jour directement à partir du site de Microsoft ou d’un serveur WSUS interne. Dans la mesure où WUA offre une interface unique vers les mises à jour téléchargées à partir du site de Microsoft ou d’un serveur d’entreprise interne, les utilisateurs n’ont pas à apprendre comment utiliser deux outils distincts. 26. La sécurisation des postes de travail Pour découvrir le Centre de sécurité Windows, procédez comme suit : 1. Ouvrez le menu Démarrer et cliquez sur Panneau de configuration. 2. Dans le Panneau de configuration, cliquez sur les liens Sécurité, puis sur Centre de Sécurité Windows. Dans la fenêtre Centre de Sécurité Windows, deux nouvelles catégories ont fait leur apparition :
j j

La rubrique Protection contre les programmes malveillants comprend les logiciels antispywares ainsi que l’antivirus. La rubrique Autres paramètres de sécurité affiche l’état des paramètres d’Internet Explorer Paramètres de sécurité Internet et Contrôle du compte utilisateur.

Figure 26.5 : Le Centre de sécurité

833

Chapitre 26

La sécurisation des postes de travail

Pour découvrir les nouvelles options des mises à jour automatiques (Windows Update) : 1. Dans la partie gauche de la fenêtre, cliquez sur Windows Update. La fenêtre Windows Update s’ouvre. 26. La sécurisation des postes de travail

Figure 26.6 : La fenêtre d’option de Windows Update

Plusieurs options apparaissent dans la partie gauche de la fenêtre :
j

Rechercher les mises à jour lance une vérification des mises à jour sans passer par le site web Windows Update. Avant, cette fonctionnalité n’était disponible qu’en ligne de commande avec wuauclt.exe /detectnow. Modifier les paramètres change les paramètres de Windows Update. Afficher l’historique des mises à jour affiche l’historique des mises à jour. L’historique comprend le nom, la date, le statut de l’installation et l’importance de la mise à jour pour la sécurité. Restaurer les mises à jour maquées restaure les mises à jour cachées. Les mises à jour comprennent aussi les signatures pour l’antispyware intégré à Windows Vista (Windows Defender).

j j

j

2. Fermez la fenêtre Windows Update, le Centre de sécurité et le Panneau de configuration.

834

La sécurité sous Windows Vista

Le pare-feu personnel
Un grand nombre d’applications potentiellement dangereuses, telles que les applications clientes de partage poste à poste susceptibles de transmettre des informations personnelles sur Internet, sont conçues pour ignorer les pare-feu qui bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux administrateurs d’entreprise de configurer les paramètres des Stratégies de groupe pour les applications devant être autorisées ou bloquées, en leur donnant le contrôle sur les applications pouvant communiquer sur le réseau. L’un des moyens les plus importants pour les services informatiques pour atténuer les risques de sécurité consiste à limiter les applications pouvant accéder au réseau. Le pare-feu personnel intégré à Windows Vista constitue une part importante de cette stratégie. Avec le pare-feu personnel, les administrateurs peuvent autoriser l’exécution locale d’une application sur des ordinateurs, mais l’empêcher de communiquer sur le réseau. Cela donne aux administrateurs la finesse de contrôle dont ils ont besoin pour atténuer les risques de sécurité sans compromettre la productivité des utilisateurs.

26. La sécurisation des postes de travail

Utiliser le pare-feu standard de Windows Vista
Pour lancer le pare-feu Windows, procédez de la façon suivante : 1. Cliquez sur le menu Démarrer/Panneau de configuration.

Figure 26.7 : Le Panneau de configuration de Windows Vista

835

Chapitre 26

La sécurisation des postes de travail

2. Cliquez sur Sécurité.

26. La sécurisation des postes de travail

Figure 26.8 : La section sécurité du Panneau de configuration

3. Sélectionnez Pare-feu Windows. L’onglet Général du pare-feu Windows comporte trois paramètres. Voici ce que vous pouvez faire avec ces paramètres et quand les utiliser…

L’option Activé
Ce paramètre est sélectionné par défaut. Lorsque le pare-feu Windows est activé, la communication est bloquée pour la plupart des programmes. Si vous souhaitez débloquer un programme, vous pouvez l’ajouter à la liste des exceptions (sous l’onglet Exceptions). Par exemple, vous ne pourrez peut-être pas envoyer des photos à l’aide d’un programme de messagerie instantanée avant d’avoir ajouté ce programme sur la liste des exceptions. Pour activer le pare-feu Windows, procédez de la façon suivante : 1. Cliquez sur le menu Démarrer/Panneau de configuration. 2. Sélectionnez Centre de sécurité. 836

La sécurité sous Windows Vista

3. Dans le volet gauche de la fenêtre Centre de sécurité Windows, sélectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Désactiver le pare-feu Windows. 5. Cliquez sur Activé (recommandé), puis sur OK. 26. La sécurisation des postes de travail
Figure 26.9 : Activer le pare-feu

L’option Désactivé
Évitez d’utiliser ce paramètre à moins qu’un autre pare-feu ne soit exécuté sur votre ordinateur. La désactivation du pare-feu Windows peut rendre votre ordinateur (et votre réseau si vous en utilisez un) plus vulnérable à des attaques de pirates informatiques ou de logiciels malveillants tels que des vers. Pour désactiver le pare-feu Windows, procédez de la façon suivante : 1. Cliquez sur Démarrer/Panneau de configuration. 2. Sélectionnez Centre de sécurité. 3. Dans le volet gauche de la fenêtre Centre de sécurité Windows, sélectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Désactiver le pare-feu Windows. 5. Cliquez sur Désactivé (non recommandé), puis sur OK.

837

Chapitre 26

La sécurisation des postes de travail

Figure 26.10 : Désactiver le pare-feu

26. La sécurisation des postes de travail

L’option Bloquer toutes les connexions
Ce paramètre bloque toutes les tentatives non sollicitées de connexion à votre ordinateur. Utilisez ce paramètre lorsque vous avez besoin d’une protection maximale pour votre ordinateur, par exemple lorsque vous vous connectez à un réseau public dans un hôtel ou un aéroport ou lorsqu’un ver dangereux se répand sur Internet. Si ce paramètre est activé, vous n’êtes pas averti lorsque le pare-feu Windows bloque tous les programmes, et les programmes de la liste des exceptions sont ignorés. Lorsque vous sélectionnez Bloquer toutes les connexions, vous pouvez quand même afficher la plupart des pages web, recevoir et envoyer du courrier électronique ainsi que des messages instantanés. 1. Cliquez sur Démarrer/Panneau de configuration. 2. Sélectionnez Centre de sécurité. 3. Dans le volet gauche de la fenêtre Centre de sécurité Windows, sélectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Désactiver le pare-feu Windows. 5. Cliquez sur Activé (recommandé), puis sur Bloquer toutes les connexions entrantes et terminez en cliquant sur OK.

838

La sécurité sous Windows Vista

Figure 26.11 : Blocage de toutes les connexions entrantes

26. La sécurisation des postes de travail

Utiliser le pare-feu avancé
Pour lancer le pare-feu avancé de Windows par la MMC (Microsoft Management Console), procédez ainsi : 1. Dans le menu Démarrer, sélectionnez la commande Exécuter, puis tapez mmc dans le champ de saisie et validez par [Ä]. 2. Dans la fenêtre Contrôle du compte utilisateur, cliquez sur Continuer. 3. Dans la fenêtre de la console, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable ([Ctrl]+[M]). 4. Sur la liste Composants logiciels enfichables disponibles, sélectionnez Pare-feu Windows avec sécurité avancée, puis cliquer sur Ajouter (voir fig. 26.12). 5. Une fenêtre s’ouvre vous invitant à sélectionner un ordinateur. Cliquez sur L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) et cliquez sur Terminer. 6. Dans la MMC, cliquez sur OK. 7. Dans la partie droite de la console, cliquez sur le lien Pare-feu Windows avec sécurité avancée Ordinateur Local. La partie centrale présente les paramètres généraux du pare-feu. Prenez le temps d’examiner les paramètres par défaut affectés aux différents profils du pare-feu.

839

Chapitre 26

La sécurisation des postes de travail

26. La sécurisation des postes de travail

Figure 26.12 : Configuration de la MMC pour utiliser les options avancées du pare-feu

de Windows Vista

Figure 26.13 : Présentation du pare-feu Windows avec la sécurité avancée sur

l’ordinateur local

840

La sécurité sous Windows Vista

À présent, vous allez tester le pare-feu et créer pour cela une règle de restriction sortante pour le Lecteur Windows Media. Dans un premier temps, le test consiste à lancer une station de radio sur Internet à partir du Lecteur Windows Media. Pour ouvrir une radio en ligne à l’aide de Windows Media Player, procédez comme suit : 1. Dans le menu Démarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Dans le Lecteur Windows Media, appuyez sur les touches [Ctrl]+[U] pour ouvrir la fenêtre Ouvrir une URL. 3. Dans la fenêtre Ouvrir une URL, taper l’URL de la radio en ligne : http://www .ouirock.com/player/metafile/windows.asx. Cliquez sur OK. Le Lecteur Windows Media accède à l’URL indiquée. Par défaut, toutes les applications sont autorisées à traverser le pare-feu.

26. La sécurisation des postes de travail

Figure 26.14 : Saisie de l’URL de la radio dans le Lecteur Windows Media

URL Il s’agit ici d’une URL prise à titre d’exemple. Il existe un grand nombre d’autres liens sur Internet pouvant être utilisés pour cet exercice. 4. Fermez le Lecteur Windows Media. 841

Chapitre 26

La sécurisation des postes de travail

Puisque l’accès à la radio fonctionne, il est possible d’en restreindre l’accès en créant une règle dont les caractéristiques seront les suivantes…
j j

Nom : Lecteur Windows Media. Appliquer à : %ProgramFiles%\Windows Media Player\wmplayer.exe. Action : Block.

26. La sécurisation des postes de travail

j

Pour créer la règle qui pourra bloquer le Lecteur Windows Media, procédez comme suit : 1. Dans la MMC, au centre, cliquez sur Règles du trafic sortant situé dans la catégorie Démarrer. Vous retrouvez dans la partie centrale de la fenêtre toutes les règles utilisées par le pare-feu pour filtrer le trafic entrant.

Figure 26.15 : Sélection des règles en sortie du pare-feu

2. Dans la partie droite de la fenêtre, cliquez sur Nouvelle règle… pour créer une nouvelle règle. 3. Dans la fenêtre Assistant Nouvelle règle sortante, dans la section Quel type de règle voulez-vous créer?, sélectionnez Programme, puis cliquez sur Suivant.

842

La sécurité sous Windows Vista

26. La sécurisation des postes de travail

Figure 26.16 : Sélection du type de règles

Dans la section Quels programmes sont concernés par cette règle?, deux choix vous sont proposés.
j j

Tous les programmes : la règle s’appliquera à tout le trafic de l’ordinateur. Ce programme : cette règle permet de restreindre l’accès à un programme uniquement en spécifiant son chemin.

4. Sélectionnez Ce Programme et saisissez %ProgramFiles%\Windows Media Player\wmplayer.exe, puis cliquez sur Suivant.

Figure 26.17 : Spécification du chemin d’accès du programme pour lequel la règle va

s’appliquer 843

Chapitre 26

La sécurisation des postes de travail

5. Dans la section Action, sélectionnez Refuser, puis cliquez sur Suivant. Dans la fenêtre Profil, sous la rubrique Quels profils sont concernés par cette règle?, vous pouvez définir trois possibilités.
j

26. La sécurisation des postes de travail

Domaine : s’applique lors de la connexion d’un ordinateur à son domaine d’entreprise. Privées : s’applique lors de la connexion d’un ordinateur à un groupe de réseau privé. Publiques : s’applique lors de la connexion d’un ordinateur au groupe de réseau public.

j j

6. Laissez les trois profils sélectionnés et cliquez sur Suivant. 7. Tapez Lecteur Windows Media dans le champ Nom, puis cliquez sur Terminer.

Figure 26.18 : Règles de trafic sortant

Modification d’une règle Si vous souhaitez modifier une règle après sa création, double-cliquez dessus. Les étapes sont représentées par des onglets.

844

La sécurité sous Windows Vista

26. La sécurisation des postes de travail

Figure 26.19 : Modification d’une règle

Pour terminer, il ne reste plus qu’à tester le bon fonctionnement de la règle Lecteur Windows Media en ouvrant une radio en ligne à l’aide du Lecteur Windows Media. Pour tester la règle, procédez comme suit : 1. Dans le menu Démarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Une fois que le lecteur Windows Media est ouvert, appuyez sur les touches [Ctrl]+[U]. La fenêtre Ouvrir une URL s’affiche. 3. Dans la fenêtre Ouvrir une URL, tapez l’URL de la radio en ligne http://www .ouirock.com/player/metafile/windows.asx, puis cliquez sur OK. Après quelques secondes, un message apparaît indiquant que le fichier n’a pas été trouvé (le Lecteur Windows Media ne trouve pas). Le Lecteur Windows Media n’est plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu. 4. Cliquez sur Fermer. 5. Fermez le Lecteur Windows Media. 6. Fermez la Console Microsoft Management et cliquez sur Non.

845

Chapitre 26

La sécurisation des postes de travail

Informations complémentaires Vous en saurez plus sur le pare-feu de Windows Vista en visitant les sites suivants :
j

www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx www.microsoft.com.

26. La sécurisation des postes de travail

j

Le contrôle des comptes utilisateurs (UAC)
L’un des grands problèmes pour la sécurité se pose lorsque les utilisateurs s’exécutent avec un compte Administrateur sur le Poste de travail ou, pire encore, lorsque les administrateurs du domaine utilisent leur compte pour effectuer des tâches quotidiennes n’ayant pas besoin de droits administratifs (lecture des courriels, navigation sur Internet, etc.). Peut-être que l’une des bonnes raisons à cela est que, sous Windows XP, il reste très difficile d’être productif sans avoir besoin de droits administrateurs. Prenons comme exemple les utilisateurs de portable… Pour corriger ce problème, Windows Vista a introduit l’UAC (User Account Control). L’objectif d’UAC reste multiple : faciliter la vie des utilisateurs qui ne possèdent pas de droits d’administrateurs ; protéger le système de l’utilisation d’anciens programmes tout en gardant une compatibilité (bien souvent, les anciens programmes demandent des droits d’administrateurs et cette demande est trop souvent liée à un mauvais développement du programme plutôt qu’à une réelle nécessité). Pour protéger le système, Windows Vista virtualise le répertoire Program files de façon à ce que l’utilisateur écrive dans une partie de son profil plutôt que dans le répertoire Program files lui-même. Cela apporte une certaine isolation qui permet de ne pas polluer les autres utilisateurs en cas de problème. L’un des autres points sur lequel nous allons nous attarder un peu plus longuement est l’Admin Approval Mode. Ce principe consiste à restreindre les droits d’une personne ayant des droits administratifs. Pour cela, sous Windows Vista, les membres du groupe local administrateurs possèdent deux jetons de sécurité (token), un jeton complet ainsi qu’un jeton restreint (filtré). Le jeton filtré est le jeton complet auquel on a retiré tous les privilèges. Les utilisateurs membres du groupe local administrateur utilisent par défaut le jeton restreint. Lorsqu’une tâche nécessite un privilège élevé, l’UAC demande la permission d’utiliser le jeton complet (élévation de privilèges). En fonction du paramétrage de l’UAC, cela peut être fait de manière transparente, c’est-à-dire sans prompt, par consentement ou saisie de mot de passe. Le mode par défaut pour les membres du groupe administrateur est celui du consentement Admin Approval Mode. Le compte intégré administrateur utilise, quant à lui, son jeton complet, il n’a donc pas besoin de donner son consentement pour utiliser un autre jeton. L’élévation des privilèges s’opère donc pour les comptes possédant deux jetons. Un utilisateur standard n’ayant qu’un jeton restreint, l’UAC ne leur proposera pas d’utiliser un autre jeton et

846

L’antivirus en entreprise

l’utilisateur recevra un Access Denied ou son équivalent en tentant d’exécuter une tache nécessitant des privilèges plus élevés. Par contre, s’il exécute une application en tant qu’administrateur ou par un runas, il ne passe pas par le mécanisme UAC. En effet, cela crée tout d’abord un nouveau jeton d’administration complet qui est alors utilisé pour lancer l’application CreateProcessAsUser auquel on passe le jeton d’administrateur en paramètre. C’est pourquoi l’exécution d’une Invite de commandes en tant qu’administrateur ou runas /user:admin cmd ouvre une fenêtre dans laquelle vous avez les privilèges complets. Différences entre le compte intégré administrateur et les membres du groupe Administrateurs Par défaut, le compte intégré administrateur est désactivé et n’apparaît pas dans la fenêtre de lancement. Par défaut, les membres du groupe local Administrateurs exécutent les applications avec leur jeton restreint et doivent approuver toute demande d’exécution avec des privilèges plus élevés : Mode Admin Approval. Le compte intégré administrateur exécute les applications directement avec son jeton complet, l’UAC n’a donc bas besoin de rentrer en jeu. Toutefois, le fonctionnement de l’UAC peut être désactivé à plusieurs niveaux, mais il n’est pas recommandé de le faire encore une fois pour des raisons de sécurité. Informations complémentaires Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants : www.microsoft.com/france/technet/produits/windowsvista/deploy/appcompat /acshims.mspx ; j www.microsoft.com/france/events/event.aspx?EventID=118769731 ; j www.microsoft.com/france/events/event.aspx?EventID=118769729 ; j www.microsoft.com/france/events/event.aspx?EventID=118769730 ;
j j

26. La sécurisation des postes de travail

www.microsoft.com/france/technet/produits.

26.3. L’antivirus en entreprise
Aujourd’hui plus personne ne peut nier, passer à côté ou ignorer la problématique des virus. On en deviendrait même blasés, routiniers du fait qu’un antivirus est indissociable d’un PC (cela ne veut pas dire pour autant qu’il y en ait un qui soit intégré à Windows ; concurrence oblige, chacun en tirera les conclusions qu’il veut…). En entreprise, la gestion et la mise à jour de l’antivirus relèvent de procédures à respecter, de vigilance et de rigueur : il ne faut jamais baisser la garde.

847

Chapitre 26

La sécurisation des postes de travail

Si l’on en croit plusieurs rapports internationaux, les virus informatiques ont un impact économique mondial qui dépasse les 10 milliards de dollars par an. Pour quelque chose de familier et de routinier, on s’aperçoit quand même que les virus frappent encore de nos jours. Il s’agit de coûts aussi bien directs qu’indirects. 26. La sécurisation des postes de travail Le coût direct d’une attaque de virus correspond aux dépenses nécessaires pour réparer les dommages causés. Cette réparation peut demander un effort important à l’équipe informatique locale ou aux fournisseurs de services externes. Il s’agit notamment d’effacer les dommages créés par le virus, de récupérer les données à partir de sauvegardes, de réinstaller des systèmes d’exploitation et des applications. Les coûts indirects d’une attaque virale sont plus difficiles à déterminer. Certaines organisations ont connu une baisse de productivité et de chiffre d’affaires après avoir été privées de leur messagerie électronique ou d’un autre système vital pour leur activité pendant plusieurs semaines à cause d’un virus. Une attaque virale peut provoquer une perte de données ou compromettre des informations confidentielles. Une attaque virale réussie peut également nuire à la réputation de l’entreprise en dégradant la confiance des clients, des investisseurs et des créanciers. Bien que le montant des coûts indirects soit plus difficile à estimer, il est évident que ces coûts existent et qu’ils sont considérables. Imaginez les dommages que cela peut causer à une petite entreprise qui n’a pas forcément les moyens d’investir dans son système d’information.

Déploiement des logiciels antivirus
La solution adéquate de déploiement de logiciel antivirus dépend de la taille et des besoins spécifiques de l’organisation. Les particuliers et les très petites entreprises peuvent acheter des produits antivirus autonomes et les installer sur chaque ordinateur client. Les petites et moyennes entreprises peuvent utiliser une stratégie de groupe pour déployer un logiciel antivirus vers les ordinateurs clients de manière centralisée. Pour les grandes entreprises, la plupart des fournisseurs de logiciels antivirus proposent des produits pour l’entreprise qui permettent de déployer ces logiciels de manière centralisée vers les ordinateurs clients de l’ensemble de l’infrastructure. Vous pouvez généralement déployer le logiciel antivirus via le service d’annuaire Active Directory ou par le biais d’une console d’administration proposée par le fournisseur. Les fournisseurs utilisent des méthodes de distribution propriétaires pour prendre en charge les versions antérieures de Windows et les systèmes d’exploitation tiers. Ces produits pour entreprise peuvent répondre aux besoins des organisations de taille moyenne, mais ils risquent d’être trop complexes ou trop coûteux pour les petites entreprises.

848

Implémenter la sécurité des postes de travail à l’aide d’Active Directory

Mise à jour des logiciels antivirus
Le délai entre la détection initiale d’un virus et sa propagation à grande échelle est parfois très court, parfois le jour même, principalement à cause des capacités de diffusion rapide des messageries électroniques et de la réplication spontanée. Il est donc essentiel de diffuser la mise à jour d’une définition de virus aux clients dès que le fournisseur est en mesure de la communiquer. Pour les ordinateurs de bureau qui sont en permanence connectés au réseau de l’entreprise, la solution idéale consiste à télécharger les mises à jour des définitions de virus vers les serveurs du réseau local, puis à les distribuer aux clients à partir de ces serveurs. La solution de distribution idéale repose sur un modèle d’émission où les définitions sont immédiatement copiées vers les clients. Malheureusement, bon nombre de solutions antivirus actuelles doivent prendre en charge des clients hérités et s’appuient donc sur un modèle de collecte où les clients vérifient les mises à jour à intervalles réguliers (quelques heures). En règle générale, il n’est pas conseillé de laisser les utilisateurs télécharger eux-mêmes les mises à jour de leur logiciel antivirus. Il est préférable que les administrateurs puissent contrôler l’application en masse de ces paramètres. Pour les ordinateurs portables, il est également important de prévoir de quelle manière ils seront mis à jour une fois qu’ils seront déconnectés du réseau d’entreprise. Dans la mesure où un nouveau virus peut facilement s’introduire dans un ordinateur portable, via les supports amovibles ou une connexion fugace à Internet, il peut être utile de télécharger les mises à jour de logiciels antivirus sur les portables à partir du site d’un fournisseur.

26. La sécurisation des postes de travail

26.4. Implémenter la sécurité des postes de travail à l’aide d’Active Directory
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez Active Directory et la stratégie de groupe pour appliquer des paramètres de sécurité à des ordinateurs clients :
j

Concevez une structure d’unités d’organisation qui favorise la mise en œuvre de la sécurité des ordinateurs clients. La structure d’unités d’organisation doit prendre en charge l’utilisation d’une stratégie de groupe permettant de gérer efficacement l’application de paramètres de sécurité à tous les objets utilisateur et ordinateur client d’Active Directory. Veillez à ce que cette implémentation respecte les normes de sécurité de votre organisation. Concevez une structure d’unités d’organisation qui sépare les objets utilisateur et ordinateur en fonction de leur rôle. − Vous devez concevoir la structure d’unités d’organisation de manière à pouvoir définir des paramètres de sécurité appropriés pour les différents types d’utilisateurs de votre organisation. Par exemple, les développeurs peuvent être 849

j

Chapitre 26

La sécurisation des postes de travail

autorisés à effectuer sur leurs stations de travail des tâches interdites à l’utilisateur moyen. De même, les utilisateurs d’ordinateurs portables peuvent présenter des besoins (en matière de sécurité) légèrement différents de ceux des utilisateurs d’ordinateurs de bureau. 26. La sécurisation des postes de travail − Concevez la structure d’unités d’organisation de manière à pouvoir définir des paramètres de sécurité appropriés aux différents types d’ordinateurs clients de votre organisation. Envisagez de créer des unités d’organisation distinctes pour les différents systèmes d’exploitation utilisés par les ordinateurs clients. Vous avez également la possibilité de créer des unités d’organisations distinctes pour différents types d’ordinateurs clients, par exemple les ordinateurs de bureau et les ordinateurs portables.
j

Créez pour chaque unité d’organisation un objet de stratégie de groupe contenant les paramètres de sécurité appropriés aux utilisateurs ou aux ordinateurs clients de cette unité d’organisation. Par exemple, vous pouvez vouloir appliquer des paramètres différents aux ordinateurs portables et aux ordinateurs de bureau dans la mesure où les portables sont souvent utilisés hors des locaux de l’entreprise et risquent de se connecter au réseau d’entreprise via des liaisons non sécurisées.

L’implémentation des stratégies de groupe est traitée dans le tome II.

Utiliser des modèles de sécurité pour sécuriser les postes de travail
Les modèles de sécurité sont des jeux de paramètres de sécurité prédéfinis qui peuvent être appliqués à des utilisateurs et à des ordinateurs. Les modèles de sécurité contiennent des paramètres de configuration qui peuvent être importés dans un objet de stratégie de groupe. Télécharger des modèles de sécurité Vous pouvez récupérer gratuitement sur Internet le Windows Vista Security Guide (ou le Windows XP Security Guide) en recherchant leur nom sur www.microsoft.com/ downloads. Ces guides contiennent des modèles tout fait. Les guides de sécurité de Windows Vista et Windows XP fournissent trois types de modèles…
j j

Les modèles pour domaines (Domain) : ces modèles contiennent des paramètres de sécurité qui sont appliqués à tous les utilisateurs et ordinateurs du domaine. Les modèles pour ordinateurs de bureau (Desktop) : ces modèles contiennent des paramètres qui peuvent être appliqués aux ordinateurs de bureau directement connectés à un réseau.

850

Implémenter la sécurité des postes de travail à l’aide d’Active Directory

j

Les modèles pour ordinateurs portables (Laptop) : ces modèles contiennent des paramètres conçus pour résoudre les problèmes de sécurité liés à la portabilité de ces ordinateurs.

Chacun de ces modèles de sécurité est disponible en deux versions : environnement client d’entreprise (Enterprise Client) et environnement haute sécurité (High Security). Les ordinateurs clients d’entreprise sont généralement situés dans un domaine Active Directory. Ces clients sont administrés via l’application d’une stratégie de groupe à des conteneurs, des sites, des domaines et des unités d’organisation. Les ordinateurs clients des environnements à haute sécurité sont ceux qui nécessitent une sécurité extrêmement forte. Dans ce cas, la fonctionnalité utilisateur est limitée aux seules fonctions nécessaires à l’exécution de tâches spécifiques. L’accès est limité aux applications, services et environnements d’infrastructure approuvés. Vous pouvez utiliser ces modèles tels quels si les paramètres qu’ils contiennent conviennent à votre environnement réseau. Pour adapter un modèle aux besoins de votre organisation, utilisez le composant logiciel enfichable Modèles de sécurité. Après l’avoir correctement configuré, vous pouvez importer un modèle dans un objet de stratégie de groupe qui s’applique au domaine ou à une unité d’organisation spécifique de ce domaine. La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) permet de modifier des objets de stratégie de groupe et d’y importer des modèles de sécurité.

26. La sécurisation des postes de travail

Utiliser des modèles d’administration
En plus des modèles de sécurité, vous pouvez utiliser des modèles d’administration pour appliquer des paramètres de sécurité à des utilisateurs et à des ordinateurs clients. Les modèles administratifs contiennent des configurations pour les paramètres figurant dans Configuration ordinateur\Modèles d’administration, dans Configuration utilisateur\Modèles d’administration ou dans les ruches HKEY_Local_Machine et HKEY_Current_User du Registre. Windows Server 2003 est fourni avec un jeu de modèles d’administration qui prend en charge les ordinateurs exécutant Windows Server 2003, Windows XP Professionnel et Windows 2000. Ils prennent partiellement en charge Windows Vista. Il faudra créer la stratégie de groupe à partir de Windows Vista. Les guides de sécurité Windows Vista et Windows XP comprennent des modèles d’administration qui vous permettent de personnaliser l’environnement d’exploitation de l’utilisateur et de configurer des paramètres de sécurité pour diverses applications. Adaptation des modèles d’administration provenant des guides de sécurité Les paramètres d’un modèle d’administration ne sont pas forcément préconfigurés. Après avoir importé un modèle d’administration dans un objet de stratégie de groupe, 851

Chapitre 26

La sécurisation des postes de travail

26. La sécurisation des postes de travail

il se peut que vous deviez configurer manuellement les paramètres de ce modèle que vous souhaitez utiliser avant de les appliquer aux ordinateurs et utilisateurs de votre entreprise. Il vous faut bien sûr passer par une phase de retouches pour l’adapter à vos besoins. Sachez également que les fournisseurs d’applications tiers peuvent inclure d’autres modèles dans leurs logiciels.

Vue d’ensemble des paramètres de sécurité des stratégies de groupe
Chaque objet de stratégie de groupe contient un grand nombre de paramètres de sécurité. Certains paramètres ne peuvent être définis qu’au niveau d’un domaine, notamment la stratégie de mot de passe. D’autres peuvent être définis au niveau du domaine, du site ou de l’unité d’organisation. Voici une liste non exhaustive des paramètres de sécurité…
j

Stratégie de mot de passe des comptes : ce paramètre définit la stratégie des mots de passe et du verrouillage des comptes pour le domaine. Les mots de passe complexes et régulièrement modifiés réduisent les chances de succès d’une attaque de mot de passe. Stratégie de verrouillage de compte : ce paramètre spécifie le nombre de tentatives d’ouverture de session infructueuses au bout duquel un compte d’utilisateur est verrouillé. Stratégie d’audit : ce paramètre spécifie les événements de sécurité qui sont enregistrés dans le journal de la sécurité. Journal des événements : les paramètres du journal des événements sont utilisés pour enregistrer les événements système. Le journal de la sécurité contient des événements d’audit. Ce paramètre indique la taille maximale des journaux, les droits d’accès à chaque journal, la période et les méthodes de rétention. Système de fichiers : ce paramètre spécifie des autorisations et des paramètres d’audit pour les objets du système de fichiers. Il peut être utilisé pour définir des listes de contrôle d’accès sur des fichiers et des dossiers. Stratégies de sécurité IP : ce paramètre permet de spécifier des filtres IPSec, les actions associées à ces filtres et des règles de filtrage pour l’ensemble du trafic TCP/IP rencontré par l’ordinateur. Paramètres du Registre : ce paramètre permet de configurer des paramètres de Registre spécifiques sur tous les ordinateurs concernés par la stratégie et d’empêcher toute modification de ces paramètres. Il permet de spécifier les autorisations d’accès et les paramètres d’audit associés à des clés du Registre. Groupes restreints : ce paramètre permet d’empêcher l’ajout d’utilisateurs à des groupes de sécurité spécifiés dans Windows 2000, Windows XP Professionnel,

j

j j

j

j

j

j

852

Implémenter la sécurité des postes de travail à l’aide d’Active Directory

Windows Vista et Windows Server 2003. Il spécifie les comptes qui sont membres d’un groupe et les groupes dont ce groupe est membre.
j

Options de sécurité : ce paramètre permet d’activer ou de désactiver un grand nombre de paramètres de sécurité divers relatifs aux utilisateurs et aux ordinateurs, notamment la signature numérique des données, les noms des comptes d’administrateur et d’invité, les méthodes d’authentification pour le contrôle d’accès, le comportement de l’installation des pilotes et les invites d’ouverture de session. Stratégies de restriction logicielle : les stratégies de restriction logicielle permettent de spécifier quel logiciel peut ou ne peut pas s’exécuter sur un ordinateur client. Elles utilisent des règles de hachage, de chemin d’accès, de zone et de certificat. Services système : ce paramètre définit le mode de démarrage par défaut et la configuration de sécurité des services, y compris les autorisations d’accès. Sécurité des services N’oubliez pas que tout service, toute application représente un point d’attaque potentiel. Par conséquent, désactivez ou supprimez de votre environnement les services et les fichiers exécutables inutiles.

26. La sécurisation des postes de travail

j

j

j

Attribution des droits utilisateur : ce paramètre indique les opérations système que les utilisateurs et les groupes sont autorisés à effectuer.

Configuration recommandée des options de sécurité pour les postes de travail
Le nœud Options de sécurité du composant Stratégie de groupe comprend un grand nombre de paramètres de sécurité que vous pouvez configurer pour les ordinateurs clients Windows 2000, Windows XP et Windows Vista. On le rappelle, Windows Server 2003 est antérieur à Windows Vista, donc les paramètres applicables par stratégie de groupe sur Windows Vista ne se retrouvent pas tous quand vous créez une stratégie de groupe à partir de Windows Server 2003. Préférez alors créer votre stratégie de groupe directement à partir d’un ordinateur Windows Vista. Ces paramètres se trouvent à l’emplacement suivant : Configuration ordinateur \Paramètres Windows\Paramètres de Sécurité\Stratégies locales\Options de sécurité. Pour renforcer la sécurité de votre environnement d’ordinateurs de bureau, vous pouvez utiliser les options de sécurité recommandées…

Sécurité réseau : Niveau d’authentification LAN Manager
Ce paramètre détermine le protocole d’authentification par stimulation/réponse à utiliser pour les ouvertures de session réseau. C’est un choix qui affecte le niveau du 853

Chapitre 26

La sécurisation des postes de travail

26. La sécurisation des postes de travail

protocole d’authentification utilisé par les ordinateurs clients ainsi que le niveau négocié de sécurité de la session. Plusieurs options sont disponibles pour ce paramètre. Nous vous recommandons de définir le plus fort niveau d’authentification possible pour votre infrastructure. Dans un environnement d’ordinateurs de type entreprise, il est conseillé de sélectionner Envoyer uniquement les réponses NTLMv2. Voici les options disponibles…
j

Envoyer les réponses LM et NTLM : les clients utilisent l’authentification LM et NTLM, mais jamais la sécurité NTLMv2 de niveau session. Les contrôleurs de domaines acceptent l’authentification LM, NTLM et NTLMv2. Envoyer LM et NTLM : utiliser la sécurité de session NTLM version 2 si négociée : les clients utilisent l’authentification LM et NTLM, plus la sécurité de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les réponses NTLM : les clients utilisent l’authentification NTLM uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les réponses NTLMv2 : les clients utilisent l’authentification NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les réponses NTLMv2 \ refuser LM : les clients utilisent l’authentification NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les réponses NTLMv2 \ refuser LM et NTLM : les clients utilisent l’authentification NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en charge.

j

j

j

j

j

Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe
Lorsque vous définissez ou modifiez le mot de passe d’un compte d’utilisateur pour imposer un mot de passe de moins de 15 caractères, Windows génère un hachage LAN Manager (LM) et le hachage Windows NT (NTLM) de ce mot de passe. Ces hachages sont stockés dans la base de données du Gestionnaire de comptes de sécurité (SAM) ou dans Active Directory.
j j

Les protocoles d’authentification NTLM, NTLMv2 et Kerberos utilisent tous le hachage NTLM. Le protocole d’authentification LM utilise le hachage LM. Le hachage LM est relativement faible par rapport au hachage NTLM ; il est donc plus susceptible de succomber à un forçage rapide et brutal. C’est pourquoi vous avez la possibilité d’empêcher Windows de stocker les hachages LM des mots de passe. Pour empêcher les ordinateurs clients de générer un hachage LM, affectez à ce paramètre la valeur Activé.

j

854

Implémenter la sécurité des postes de travail à l’aide d’Active Directory

j

Les hachages LM existants sont supprimés lorsque les utilisateurs modifient leurs mots de passe.

Options de signature SMB pour les ordinateurs clients
Le protocole d’authentification SMB de Windows 2000 Server, Windows 2000 Professionnel et Windows XP Professionnel prend en charge l’authentification mutuelle qui permet de mettre fin à une attaque de l’intercepteur et l’authentification des messages qui empêche les attaques par messages actifs. La signature SMB assure cette authentification en plaçant dans chaque bloc SMB une signature numérique qui est ensuite vérifiée à la fois par le client et par le serveur.
j

26. La sécurisation des postes de travail

Pour utiliser la signature SMB, vous devez l’activer ou la rendre obligatoire sur le client et le serveur SMB. Si la signature SMB est activée sur un serveur, les clients qui sont aussi activés pour la signature SMB utilisent le protocole de signature des paquets pendant toutes les sessions qui suivent. Si la signature SMB est obligatoire sur un serveur, un client ne peut établir une session que s’il est au moins activé pour la signature SMB. Lorsque cette stratégie est activée, elle exige du client SMB de signer les paquets. Lorsque cette stratégie est désactivée, le client SMB n’est pas obligé de signer les paquets. Voici les options de signature SMB pour les ordinateurs Windows 2000 et plus récents, ainsi que leur configuration recommandée dans un environnement de sécurité de type client d’entreprise : Client réseau Microsoft : Communications signées numériquement (toujours) prend la valeur Désactivé et Client réseau Microsoft : Communications signées numériquement (lorsque le serveur l’accepte) prend la valeur Activé.

j

j

Appliquer les modèles de sécurité et les modèles d’administration
Pour appliquer des modèles de sécurité et des modèles d’administration à des ordinateurs clients, procédez de la façon suivante : 1. Ouvrez le composant Gestion des stratégies de groupe, puis ouvrez l’objet de stratégie de groupe associé à l’unité d’organisation à laquelle vous souhaitez appliquer le modèle de sécurité ou d’administration. 2. Pour importer un modèle de sécurité, accédez à Configuration ordinateur\Paramètres Windows, cliquez avec le bouton droit de la souris sur le nœud Paramètres de sécurité et sélectionnez Importer une stratégie. Naviguez jusqu’à l’emplacement du modèle de sécurité approprié et sélectionnez le modèle à importer. 3. Pour importer un modèle d’administration, sélectionnez le nœud Configuration ordinateur\ Modèles d’administration ou Configuration Utilisateurs\Modèles d’administration, cliquez avec le bouton droit de la souris sur Modèles 855

Chapitre 26

La sécurisation des postes de travail

d’administration, cliquez sur Ajout/Suppression de modèles, recherchez l’emplacement du modèle d’administration à importer, puis sélectionnez le modèle de votre choix.

26. La sécurisation des postes de travail

Figure 26.20 : Ajout/Suppression de modèles

4. Configurez des paramètres de sécurité et d’administration supplémentaires en fonction des besoins de votre organisation, puis fermez l’éditeur d’objets de stratégie de groupe.

Les méthodes conseillées pour sécuriser les postes de travail à l’aide d’une stratégie de groupe
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez une stratégie de groupe pour appliquer des modèles de sécurité et d’administration aux ordinateurs clients du réseau de votre entreprise :
j

Utilisez comme ligne de base, dans la mesure du possible, les modèles pour client d’entreprise fournis par les guides de sécurité Windows Vista Security Guide et Windows XP Security Guide et modifiez-les en fonction des besoins de votre organisation. Lorsque vous réfléchissez sur les paramètres de sécurité de votre entreprise, vous devez absolument établir un compromis entre la sécurité et la productivité des utilisateurs. Votre objectif consiste à protéger les utilisateurs contre les programmes malveillants et les virus tout en leur permettant de profiter de tous les avantages de l’informatique. Vous devez faire en sorte que les efforts des utilisateurs ne soient jamais découragés par des paramètres de sécurité trop restrictifs. Tout est affaire de compromis, en sécurité informatique bien plus qu’ailleurs, et c’est bien ce qui en fait une activité difficile. Implémentez des stratégies de compte et d’audit strictes au niveau des domaines. Utilisez le modèle de niveau domaine pour clients d’entreprise comme ligne de base, en le modifiant si nécessaire.

j

856

En résumé

j

Testez soigneusement les modèles avant leur déploiement. Testez systématiquement et rigoureusement les paramètres des modèles de sécurité et d’administration avant de les appliquer à un grand nombre d’utilisateurs et d’ordinateurs dans votre organisation. Certains paramètres qui vous semblent appropriés peuvent néanmoins donner de mauvais résultats dans votre environnement. Utilisez des modèles d’administration supplémentaires. Consultez le site web Microsoft et contactez vos autres fournisseurs de logiciels pour obtenir des modèles d’administration supplémentaires. Microsoft fournit des modèles d’administration pour beaucoup de ses produits, y compris Office et Internet Explorer.

26. La sécurisation des postes de travail

j

26.5. En résumé
Certes, la sécurité des postes de travail de l’entreprise tient à la bonne configuration des outils de sécurité tels l’antivirus, le pare-feu, l’antispyware, etc., mais pas seulement. La sécurité des postes de travail tient pour beaucoup des paramètres qui sont poussés par les mécanismes de l’infrastructure (les stratégies de groupe dans Active Directory). Tout est lié. Tout doit être bien harmonieux. Si vous sécurisez l’infrastructure sans vous soucier de l’antivirus local alors vous êtes vulnérable et inversement. Dans le cadre d’une démarche de sécurisation normalisée basée sur le principe de la roue de Deming : Plan, Do, Check, Act (que l’on pourrait traduire en français pas "planifier, produire, contrôler, améliorer") les stratégies de groupe sont essentielles car elles permettent d’appliquer les paramètres de sécurité de façon centralisée, de les pousser en masse sur tous les utilisateurs et ordinateurs, de les contrôler, de les modifier et de les forcer si nécessaire.

857

Partie

D
Annexes

Partie

D
Chapitre 27 Chapitre 28 Chapitre 29

Annexes
Annexe I - Liste alphabétique des commandes . . . . . 861 Annexe II - Les services et les ports réseau sous Windows Server 2003 . . . . . . . . . . . . . . . . . . 927 Annexe III - Glossaire . . . . . . . . . . . . . . 967

Chapitre 27

Annexe I - Liste alphabétique des commandes
27.1 27.2 27.3 27.4 27.5 27.6 27.7 27.8 27.9 27.10 27.11 27.12 27.13 27.14 A B C D E F G L M N P R S T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863 . 866 . 867 . 877 . 885 . 886 . 890 . 893 . 895 . 896 . 906 . 913 . 916 . 922

A

L’

administration en lignes de commandes constitue un bon exemple des améliorations qui font la puissance d’administration de Windows Server 2003.

Même si ce mode d’administration reste beaucoup moins intuitif et assisté que le mode graphique, l’administration depuis la ligne de commandes a été largement étendue sous Windows Server 2003. Des dizaines de nouvelles commandes et de nouveaux scripts ont été ajoutés pour l’administration d’Active Directory, des imprimantes, Internet Information Server, les journaux d’événements ou des stratégies de groupes. Toutes ces nouvelles commandes et scripts font qu’aujourd’hui, 98 % de Windows Server 2003 peut s’administrer par script ou ligne de commandes. Et bien que nous tenions à vous présenter au travers de cette annexe un certain nombre de commandes, cette liste n’est en rien exhaustive. Ce chapitre a pour objectif de présenter un ensemble de commandes qui n’ont pas été illustrées au long de cet ouvrage.

27. Annexe I Liste alphabétique des commandes

27.1. A ADPREP
(Nouvelle commande sous Windows Server 2003).

Syntaxe :
/forestPrep /domainPrep

adprep <cmd> [option] <cmd> La mise à jour des informations au niveau de la forêt doit être exécutée sur le contrôleur de rôle de schéma. La mise à jour des informations au niveau du domaine doit être exécutée sur le contrôleur de rôle d’infrastructure. Doit être exécutée lorsque /forestPrep est terminé. [option] adprep ne copie aucun fichier de la source sur l’ordinateur local. adprep supprimera l’avertissement demandant Windows 2000 Service Pack 2 lors de l’opération /forestprep.

/noFileCopy /noSPWarning

j

Cet outil en ligne de commandes se trouve dans le dossier \I386 sur le CD-Rom de Windows Server 2003. adprep dépend de plusieurs fichiers se trouvant dans cd dossier ; vous ne pouvez donc pas le retirer du CD-Rom et l’exécuter de façon indépendante.

863

Chapitre 27

Annexe I - Liste alphabétique des commandes

j j

Consultez les journaux de adprep de \System32\Debug\Adprep\Logs chaque fois que vous exécutez cette commande. La réplication des modifications du schéma au sein d’un site ne prend que 15 minutes, mais si votre entreprise possède plusieurs sites, cela peut se révéler plus long. Il peut être préférable d’attendre environ une journée après chaque utilisation d’adprep, afin d’être certain que les effets ont correctement répliqué. Si vous essayez d’exécuter adprep /domainprep sans attendre suffisamment longtemps après l’exécution de adprep /forestprep, un message d’avertissement indique que le processus de réplication n’est pas terminé. Si vous essayez de mettre à niveau vers Windows Server 2003 un contrôleur de domaine Windows 2000 après avoir exécuté adprep /domainprep dans le domaine, un message d’avertissement similaire est affiché. Lorsque vos forêts et domaines ont été préparés par l’exécution de adprep, les contrôleurs de domaine restants peuvent continuer à fonctionner sous Windows 2000, jusqu’à ce que vous décidiez de les mettre à niveau. Envisagez d’installer les Service Pack 3 sur vos contrôleurs de domaines Windows 2000 avant d’utiliser adprep. Si des contrôleurs de domaine Windows 2000 fonctionnent avec le Service Pack 3, il est plus facile de les administrer à distance depuis Windows XP Professionnel ou depuis des machines Windows Server 2003 utilisant le jeu des outils d’administration Windows Server 2003.

27. Annexe I Liste alphabétique des commandes

j

j

AT
La commande AT planifie l’exécution des commandes et programmes sur l’ordinateur à une date et à une heure spécifiées. Le service Planification doit fonctionner pour utiliser la commande AT.

Syntaxe :

AT [\\ordinateur] [ [id] [/DELETE] | /DELETE [/YES]] AT [\\ordinateur] heure [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] "commande" Spécifie un ordinateur distant. Les commandes sont planifiées sur l’ordinateur local si ce paramètre est omis. Identificateur (nombre) affecté à une commande planifiée. Supprime une commande planifiée. Si id est omis, toutes les commandes sur l’ordinateur sont supprimées. Utilisée pour supprimer toutes les tâches sans demande de confirmation. Heure de l’exécution de la commande.

\\ordinateur id /DELETE /YES heure

864

A

/INTERACTIVE

Permet au travail d’interagir avec le bureau de l’utilisateur qui est connecté au moment où le travail est effectué.

/EVERY:date[,...]Exécute la commande tous les jours spécifiés de la semaine ou du mois. Si la date est omise, le jour en cours du mois est utilisé par défaut. /NEXT:date[,...] Exécute la commande lors de la prochaine occurrence du jour (par exemple, jeudi prochain). Si la date est omise, le jour en cours du mois est utilisé par défaut. "commande"
j

Commande Windows NT ou programme de commandes à exécuter.

27. Annexe I Liste alphabétique des commandes

Les tâches planifiées avec at sont affichées dans le dossier tâches planifiées, mais si vous modifiez ensuite les paramètres de la tâche en utilisant tâches planifiées, vous ne pouvez plus y accéder depuis la ligne de commandes at. Vous devez être membre du groupe local Administrateurs pour utiliser cette commande. Le service Planificateur de tâches doit être en cours d’exécution pour utiliser cette commande. Si nécessaire, employez la console Services pour le démarrer. (Par défaut, ce service est configuré de manière à se lancer automatiquement au démarrage du système.) Les tâches planifiées sont stockées dans le Registre et ne sont pas perdues si vous redémarrez le service Planificateur de tâches. Le répertoire courant pour l’exécution d’une tâche planifiée est %Systemroot%. Les tâches planifiées s’exécutent comme des processus en arrière-plan et aucune sortie n’est affichée sur l’écran. Vous pouvez rediriger la sortie écran vers un fichier en utilisant le symbole de redirection (>). Si vous modifiez l’heure système d’un ordinateur après avoir planifié l’exécution d’une tâche sur celui-ci, n’oubliez pas de synchroniser le planificateur de commandes avec la nouvelle heure lançant at sans options. Si une tâche planifiée utilise une lettre de lecteur afin de se connecter à un partage réseau, n’oubliez pas de planifier une seconde tâche afin de déconnecter le lecteur lorsque vous ne l’utilisez plus. Sinon, la lettre de lecteur ne sera pas disponible depuis l’Invite de commandes.

j j

j j j

j

j

ATTRIB
Affiche ou modifie des attributs de fichier.

865

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :
+ − R A S 27. Annexe I Liste alphabétique des commandes H [Lecteur:] [Chemin] [NomFichier] /S /D
j j

ATTRIB [+R | −R] [+A | −A ] [+S | −S] [+H | −H] [[lect:] [chemin] fichier] [/S [/D]] Définit un attribut. Efface un attribut. Attribut de fichier en lecture seule. Attribut de fichier archive. Attribut de fichier système. Attribut de fichier caché.

Spécifie le ou les fichiers que ATTRIB doit traiter. Traite les fichiers dans le dossier courant et dans tous les sous-dossiers. Traite aussi les dossiers.

Si les attributs System ou Cached sont définis sur un fichier, ils doivent être supprimés avant de pouvoir modifier tout autre attribut de ce fichier.
Attrib est également disponible depuis la console de récupération.

27.2. B BOOTCFG
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes peut être utilisé pour configurer, interroger, modifier ou supprimer les paramètres de l’entrée de démarrage dans le fichier boot.ini.

Syntaxe :
/Copy

BOOTCFG /paramètre [arguments] Effectue une copie d’une entrée de démarrage existante pour la section [operating systems] à laquelle vous pouvez ajouter des options du système d’exploitation. Supprime une entrée de démarrage existante dans la section [operating systems] section du fichier BOOT.INI. Vous devez spécifier l’entrée à supprimer.

/Delete

866

C

/Query /Raw /Timeout /Default /EMS /Debug /Addsw /Rmsw /Dbg1394 /?
j j

Affiche les paramètres actuels d’entrée de démarrage. Autorise l’utilisateur à spécifier des options de commutateur pour une entrée de démarrage spécifiée. Permet de modifier la valeur du délai d’attente. Permet de modifier le système d’exploitation par défaut. Permet à l’utilisateur de paramétrer l’option /redirect pour la prise en charge headless d’une entrée de démarrage. Autorise l’utilisateur à spécifier le port et le taux en bauds du débogage à distance d’une entrée de démarrage spécifiée. Autorise l’utilisateur à ajouter des commutateurs prédéfinis pour une entrée de démarrage spécifiée. Autorise l’utilisateur à supprimer des commutateurs prédéfinis pour une entrée de démarrage spécifiée. Autorise l’utilisateur à configurer le débogage du port 1394 pour une entrée de démarrage spécifiée. Affiche cet écran d’aide. 27. Annexe I Liste alphabétique des commandes

Bootcgf est également disponible dans la console de récupération.

Vous pouvez aussi configurer certaines options du menu Démarrer (système d’exploitation par défaut, délai de sélection) depuis l’interface graphique ou en modifiant Boot.ini.

Pour cela : 1. Dans le Panneau de configuration, choisissez Système/Avancé/Démarrage et récupération. 2. Sélectionnez Paramètres et choisissez le système d’exploitation par défaut. Modifiez le délai de sélection. 3. Cliquez sur Modifier pour éditer Boot.ini.

27.3. C CACLS
Affiche ou modifie les listes de contrôle d’accès (ACL) des fichiers.

867

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :

CACLS nom_fichier [/T] [/M] [/S[:SDDL]] [/E] [/C] [/G util:perm] [/R util [...]] [/P util:perm [...]] [/D util [...]] Affiche les listes ACL. Modifie les listes ACL des fichiers spécifiés dans le répertoire en cours et tous les sous-répertoires. Modifie les listes ACL des volumes montés sur un répertoire. Affiche la chaîne SDDL de la liste DACL. Remplace les listes ACL par celles spécifiées dans SDDL (non valide avec /E, /G, /R, /P ou /D). Modifie la liste ACL au lieu de la remplacer. Continue en ignorant les erreurs d’accès refusé. Accorde à l’utilisateur les droits d’accès. Perm peut être : - R Lecture - W Écriture - C Modification (en écriture) - F Contrôle total. Retire les droits d’accès de l’utilisateur (avec /E). Remplace les droits de l’utilisateur. Perm peut être : - N Aucun - R Lecture - W Écriture C Modification (en écriture) - F Contrôle total. Refuse l’accès à l’utilisateur spécifié. Des caractères génériques peuvent être utilisés pour préciser plusieurs fichiers dans une commande. Vous pouvez spécifier plus d’un utilisateur dans une commande. Abréviations : Héritage de conteneur (Container Inherit). Les répertoires héritent de l’entrée de contrôle d’accès. Héritage d’objet (Object Inherit). Les fichiers héritent de l’entrée de contrôle d’accès. Héritage uniquement (Inherit Only). L’entrée de contrôle d’accès ne s’applique pas au fichier ou répertoire en cours.

nom_fichier /T /M 27. Annexe I Liste alphabétique des commandes /S /S:SDDL /E /C /G util:perm

/R util /P util:perm /D util

CI OI IO

j

cacls ne peut être utilisée pour créer des autorisations spéciales, uniquement des autorisations standards. De ce point de vue, elle est moins fine que l’interface graphique.

j

Vous pouvez spécifier plusieurs fichiers ou utilisateurs dans une commande.

868

C

j j

cacls ne peut être utilisée pour définir des autorisations sur la racine d’un volume NTFS monté sur un dossier d’un volume NTFS différent.

Pour employer cacls dans un fichier de commande, vous devez fournir un moyen de répondre automatiquement aux invites qu’elle peut générer. Puisque cacls n’a pas d’option /y, utilisez la commande Echo afin d’envoyer y comme réponse au message "Êtes-vous sûr ?" que calcs pourrait générer : Echo y | cacls NomFichier /g NomUtilisateur:autorisation.
cacls est utile pour ajouter automatiquement le groupe Administrateurs aux ACL des répertoires d’accueil des utilisateurs. Consultez l’article Q180464 de la Base de connaissance sur Microsoft TechNet pour voir plusieurs scripts réalisant cette action.

j

27. Annexe I Liste alphabétique des commandes

CHKDSK
Vérifie un disque et affiche un rapport d’état.

Syntaxe :
volume nom_de _fichier /F /V

CHKDSK [volume[[chemin]nom_de_fichier]] [/F] [/V] [/R] [/B] [/L[:taille]] Spécifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. FAT/FAT32 seulement : Spécifie les fichiers dont la fragmentation est à vérifier. Corrige les erreurs sur le disque. FAT/FAT32 : affiche les chemins d’accès et nom complets de tous les fichiers du disque. Sur NTFS : affiche également les éventuels messages de nettoyage. Localise les secteurs défectueux et récupère les informations lisibles (implique /F). NTFS seulement : change la taille du fichier journal en la valeur spécifiée en kilo-octets. Si aucune taille n’est donnée, affiche la taille actuelle. Force le démontage préalable du volume si nécessaire. Les handles ouverts vers le volume ne seront plus valides (implique /F). NTFS seulement : Vérifie sommairement les entrées d’index.

/R /L:taille

/X /I

869

Chapitre 27

Annexe I - Liste alphabétique des commandes

/C

NTFS seulement : Ignore la vérification des cycles à l’intérieur de l’arborescence de dossiers. Les options /I ou /C réduisent le temps d’exécution de CHKDSK en ignorant certaines vérifications sur le volume. Vous devez être membre du groupe Administrateur pour utiliser la commande
chkdsk.

j j j

27. Annexe I Liste alphabétique des commandes

L’exécution de chkdsk peut prendre plusieurs heures ou jours sur de très gros volumes. Pour accélérer chkdsk, utilisez les options /i et /c qui n’effectuent pas certaines vérifications sur le volume. Si vous choisissez de corriger avec CHKDSK /f, il existe une possibilité de perte de données (en particulier FAT). C’est pourquoi il vous est demandé de confirmer si chkdsk doit effectuer ou non les modifications nécessaires à la table d’allocation des fichiers. Effectuez également toujours une sauvegarde complète des volumes contenant des données importantes avant d’exécuter chkdsk /f sur eux. Le fichier %systemRoot%\System32\ autochk.exe est requis par chkdsk pour son exécution. Autochk écrit un message dans le journal de l’application pour chaque lecteur vérifié. Vous pouvez également visiter les erreurs présentes sur un disque depuis l’interface graphique en utilisant le bouton Vérifier maintenant sous l’onglet Outils de la feuille de propriété d’un disque.
chkdsk ne peut corriger les erreurs dans la table de fichiers maîtres (MFT, Master File Table) d’un volume NTFS. Si vous avez un fichier ou un répertoire que vous ne pouvez ouvrir, renommer, copier ou supprimer sur un volume NTFS, sauvegardez le volume sur une bande en omettant le fichier à problème puis restaurez le volume.

j

j j j

j

CHKNTFS
Affiche ou modifie la vérification du disque au démarrage.

Syntaxe :

CHKNTFS volume [...] CHKNTFS /D CHKNTFS /T[:durée] CHKNTFS /X volume [...] CHKNTFS /C volume [...]

volume

Spécifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume.

870

C

/D

Restaure le comportement par défaut de l’ordinateur ; tous les lecteurs sont vérifiés au démarrage et CHKDSK est exécuté pour ceux dont l’intégrité est incertaine. Indique la durée du compte à rebours du démarrage d’AUTOCHK avec le temps spécifié en secondes. Si la durée n’est pas spécifiée, affiche le paramètre en cours. Exclut un lecteur de la vérification par défaut au démarrage. Les lecteurs exclus ne sont pas accumulés entre les appels de commande. Vérifie le lecteur spécifié au démarrage ; CHKDSK s’exécutera si l’intégrité du lecteur est incertaine. Vous devez être membre du groupe Administrateur pour utiliser la commande
chkntfs. chkntfs vérifie tous les volumes au démarrage.

/T:durée

/X /C

27. Annexe I Liste alphabétique des commandes

j j j

Ne fixez pas la durée du compte à rebours à zéro car la vérification du système de fichiers peut être très longue et l’utilisateur ne sera pas en mesure d’annuler cette opération. (chkntsf ne peut être stoppé lorsque son exécution est lancée.)

CIPHER
Affiche ou modifie le cryptage de répertoires (fichiers) sur partitions NTFS.

Syntaxe :

CIPHER [/E | /D] [/S:répert] [/A] [/I] [/F] [/Q] [/H] [chemin [...]] CIPHER /K CIPHER /R:nom_fich CIPHER /U [/N] CIPHER /W:répert CIPHER /X[:fich_EFS] [nom_fich]

/A

Traite les fichiers et les répertoires. Un fichier crypté peut être décrypté s’il est modifié et que le répertoire parent n’est pas crypté. Il est recommandé de crypter le fichier et le répertoire parent. Décrypte les répertoires spécifiés. Les répertoires sont marqués afin que les fichiers ajoutés ultérieurement ne soient pas cryptés.

/D

871

Chapitre 27

Annexe I - Liste alphabétique des commandes

/E /F

Crypte les répertoires spécifiés. Les répertoires sont marqués afin que les fichiers ajoutés ultérieurement soient cryptés. Force l’opération de cryptage sur tous les objets spécifiés, y compris ceux qui sont déjà cryptés. Les objets déjà cryptés sont ignorés par défaut. Affiche les fichiers avec l’attribut caché ou système. Ces fichiers sont exclus par défaut. Poursuit l’opération spécifiée même en cas d’erreur. Par défaut, CIPHER s’arrête lorsqu’une erreur se produit. Crée une nouvelle clé de cryptage de fichier pour l’utilisateur exécutant CIPHER. Si cette option est choisie, les autres options sont ignorées. Cette option ne fonctionne qu’avec /U. Elle empêche les clés d’être mises à jour. Elle permet de trouver tous les fichiers cryptés sur les lecteurs locaux. Signale uniquement les informations les plus importantes. Génère une clé et un certificat d’agent de récupération EFS, et les enregistre dans un fichier .PFX (contenant la clé privée et le certificat) et dans un fichier .CER (ne contenant que le certificat). Un administrateur peut ajouter le contenu du fichier .CER à la stratégie de récupération EFS afin de créer un agent de récupération pour les utilisateurs, et importer le fichier .PFX pour récupérer des fichiers spécifiques. Effectue l’opération spécifiée sur le répertoire donné et tous ses sous-répertoires. Tente d’atteindre tous les fichiers cryptés sur les lecteurs locaux. Cette option permet de mettre à jour la clé de cryptage de fichier de l’utilisateur ou la clé de l’agent de récupération avec les clés en cours si elles ont été modifiées. Cette option ne fonctionne pas avec les autres options à l’exception de /N. Supprime les données de l’espace disque inutilisé sur tout le volume. Si cette option est sélectionnée, les autres options sont ignorées. Le répertoire spécifié peut se trouver n’importe où dans un volume local. S’il s’agit d’un ou de plusieurs points de montage vers un répertoire sur un autre volume, les données sur ce volume seront supprimées.

/H /I 27. Annexe I Liste alphabétique des commandes /K

/N

/Q /R

/S /U

/W

872

C

/X

Sauvegarde le certificat et les clés EFS dans nom_fichier. Si fichier_EFS est fourni, les certificats utilisateur actuels employés pour crypter le fichier seront sauvegardés. Sinon, le certificat et les clés EFS actuels de l’utilisateur seront sauvegardés. Le chemin d’accès d’un répertoire. Un nom de fichier sans son extension. Spécifie un motif, un fichier ou un répertoire. Le chemin d’accès d’un fichier crypté. 27. Annexe I Liste alphabétique des commandes

répert nom_fich chemin fich_EFS
j j

Les caractères génériques sont utilisables avec les fichiers, mais pas avec les répertoires. Vous ne pouvez pas chiffrer les fichiers système ou compressés.

CLIP
(Nouvelle commande sous Windows Server 2003). Redirige la sortie des outils de ligne de commandes vers le Presse-papiers. Ce texte peut ensuite être collé dans d’autres programmes. Exemples : DIR | CLIP CLIP < README .TXT Copie le contenu du répertoire en cours dans le Presse-papiers Windows. Copie le contenu du fichier readme.txt dans le Presse-papiers Windows.

CMD
Démarre une nouvelle instance de l’interpréteur de commandes de Windows.

Syntaxe :
/C

CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF] [[/S] [/C | /K] chaîne] Exécute la commande donnée par la chaîne de caractères puis se termine.

873

Chapitre 27

Annexe I - Liste alphabétique des commandes

/K /S /Q /D /A 27. Annexe I Liste alphabétique des commandes /U /T:fg /E:ON /E:OFF /F:ON /F:OFF /V:ON

Exécute la commande donnée par la chaîne de caractères puis reste actif. Modifie le traitement de la chaîne après /C ou /K (voir ci-après). Exécute (sans interactions) la commande donnée puis reste actif. Désactive l’exécution d’AutoRun à partir du Registre (voir ci-après). Redirige la sortie de commandes internes vers un canal ou un fichier ANSI. Redirige la sortie de commandes internes vers un canal ou un fichier Unicode. Change la couleur du premier ou de l’arrière-plan (voir aussi COLOR /?). Active les extensions de commande (voir ci-après). Désactive les extensions de commande (voir ci-après). Active les caractères de fin des noms de fichiers et de répertoires (voir ci-après). Désactive les caractères de fin des noms de fichiers et de répertoires (voir ci-après). Active l’expansion retardée des variables d’environnement en utilisant ! comme délimitation. Par exemple, /V:ON permet à !var! de développer la variable var à l’exécution. La syntaxe var développe les variables lorsqu’elles sont entrées, ce qui est différent lorsqu’il est utilisé à l’intérieur d’une boucle FOR. Désactive l’expansion retardée des variables d’environnement.

/V:OFF
j j j

Utilisez les guillemets pour entourer les commandes contenant des espaces. Utilisez $$ pour séparer de multiples commandes entourées de guillemets au sein d’une ligne de commandes.
/x est identique à /e :on et /y est identique /e :off, pour des raisons de compatibilité avec l’interpréteur de commandes de Windows NT.

874

C

j

L’installation de nouveaux composants du système d’exploitation ou de nouvelles applications peut créer des variables d’environnement supplémentaires ou modifier celles existantes, comme PATH.

CMDKEY
(Nouvelle commande sous Windows Server 2003). Crée, affiche et supprime les noms et mots de passe utilisateur enregistrés. 27. Annexe I Liste alphabétique des commandes

Syntaxe :

CMDKEY [{/add | /generic}:nom_cible {/smartcard | /user:nom_utilisateur {/pass{:mot_passe}}} | /delete{:nom_cible | /ras} | /list{:nom_cible}]

Quelques exemples
j

Pour répertorier les informations d’identification disponibles :
cmdkey /list cmdkey /list:nom_cible

j

Pour créer des informations d’identification de domaine :
cmdkey /add:nom_cible /user:nom_utilisateur /pass:mot_passe cmdkey /add:nom_cible /user:nom_utilisateur /pass cmdkey /add:nom_cible /user:nom_utilisateur cmdkey /add:nom_cible /smartcard

j j

Pour créer des informations d’identification génériques, le commutateur /add peut être remplacé par /generic. Pour supprimer des informations d’identification existantes :
cmdkey /delete:nom_cible

j

Pour supprimer les informations d’identification RAS :
cmdkey /delete /ras

Vous pouvez également gérer les informations d’identification enregistrées depuis l’interface graphique à l’aide de l’utilitaire Noms et Mots de passe utilisateurs enregistré du Panneau de configuration.

875

Chapitre 27

Annexe I - Liste alphabétique des commandes

CSVDE
Échange d’annuaires CSV. −i −f NomFichier −s NomServeur 27. Annexe I Liste alphabétique des commandes −v −c NDsrc NDcib −j Chemin −t Port −u −d NDracine −r Filtre −p ÉtendueRech −l liste −o liste −g −m −n −k Active l’importation (l’exportation est activée par défaut). Nom de fichier d’entrée ou de sortie. Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de domaine du domaine de l’ordinateur). Affiche les commentaires. Remplace les occurrences de NDsrc par NDcib. Emplacement du fichier journal. Numéro de port (par défaut = 389). Utilise le format Unicode. Racine de la recherche LDAP (utilise le contexte de nommage par défaut). Filtre de recherche LDAP (par défaut, "(objectClass=*)"). Étendue de recherche (Base/Un niveau/Sous-arborescence). Liste d’attributs (séparée par des virgules) à rechercher lors d’une recherche LDAP. Liste d’attributs (séparée par des virgules) à omettre de l’entrée. Désactive la recherche paginée. Active la logique SAM pour l’exportation. N’exporte pas les valeurs binaires. Ignore les erreurs ’Non-respect de contrainte’ et ’Objet existant’ lors de l’importation. Si aucune information d’identification n’est spécifiée, csvde établira la liaison en tant qu’utilisateur actuellement connecté, en employant SSPI.

−a NDUtilisateur [Mot_passe | *] Authentification simple.

876

D

−b NomUtilisateur Domaine [Mot _passe | *] Méthode de liaison SSPI.
j

csvde est utilisé pour créer de multiples comptes utilisateurs. Pour cela :

− Le fichier csv que vous importez doit contenir une première ligne, appelée "ligne d’attribut" qui spécifie le nom de chaque attribut défini dans le fichier. − Il doit contenir une ligne supplémentaire pour chaque compte d’utilisateur que vous souhaitez créer. Les attributs de cette ligne correspondront à ceux de la ligne d’attributs (la première ligne). Utilisez les guillemets pour inclure des valeurs présentant des virgules. − Il doit contenir le chemin du compte utilisateur dans Active Directory, le type d’objet et le nom d’ouverture de session utilisateur (antérieur à Windows 2000/ 2003) pour chaque utilisateur. − Il doit contenir le nom d’utilisateur principal (UPN) pour chaque utilisateur. − Il doit spécifier si le compte est activé ou désactivé (par défaut activé). − Il peut inclure toute information personnelle qui est un attribut d’un compte d’utilisateur, comme une adresse ou un numéro de téléphone.
j

27. Annexe I Liste alphabétique des commandes

Les mots de passe ne sont pas inclus dans les fichiers de csvde car ce sont des fichiers texte (fichiers .csv) et ils ne sont donc pas sécurisés. csvde crée de nouveaux comptes d’utilisateurs et leur attribue un mot de passe vide. C’est pourquoi il est préférable que ces comptes soient désactivés à leur création car n’importe qui peut ouvrir une session en utilisant des comptes dont le mot de passe est vide.
csvde ne peut être utilisé que pour ajouter des objets à Active Directory ; elle ne peut modifier ou supprimer des objets existants.

j j

Microsoft Excel est un bon outil pour la création de fichiers csvde car il peut exporter ces derniers au format de données csv.

27.4. D DATE
Affiche ou modifie la date.

Syntaxe :

DATE [date]

Entrez DATE sans paramètres pour afficher la date système et être invité à la modifier. Appuyez sur [Ä] pour conserver la même date.

877

Chapitre 27

Annexe I - Liste alphabétique des commandes

Si les extensions de commandes sont activées, la commande DATE prend en charge le commutateur /T ; la commande n’indique que la date, sans demander d’en entrer une nouvelle.
j

Les années valides vont de 80 à 99 ou de 1980 à 2099.

DCGPOFIX
27. Annexe I Liste alphabétique des commandes Recrée les objets de stratégie de groupe par défaut d’un domaine.

Syntaxe :
/target: {Domain | DC | BOTH}

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

Facultatif. Spécifie l’objet de stratégie de groupe à restaurer : l’objet de stratégie de groupe de la stratégie de domaine par défaut et/ou l’objet de stratégie de groupe de la stratégie par défaut des contrôleurs de domaine. Facultatif. Utilisez ce commutateur pour que cet outil ignore la version de schéma Active Directory. Sinon, cet outil fonctionnera uniquement sur la même version de schéma que la version Windows dans laquelle il a été fourni.

/ignoreschema

j j

Lorsque vous exécutez dcgpofix, vous perdez toutes les modifications effectuées aux objets de stratégies de groupes. L’option /ignore schéma permet à dcgpofix de fonctionner avec des versions différentes d’Active Directory, mais assurez-vous d’utiliser la version de dcgpofix incluse avec votre version courante d’Active Directory.

DEFRAG
(Nouvelle commande sous Windows Server2003) Défragmente le volume.

Syntaxe :
volume −a

defrag <volume> [−a] [−f] [−v] [−?] Lettre de lecteur ou d:\vol\mountpoint). Analyse uniquement. point de montage (d: ou

878

D

−f −v
j j

Force la défragmentation même si l’espace libre est bas. Sortie détaillée. Il n’est pas possible d’exécuter en même temps la commande defrag et l’utilitaire Défragmenteur de disques dans la Gestion de l’ordinateur. Un minimum de 15 % d’espace libre sur les volumes est requis pour les défragmenter totalement. Si vous forcez la défragmentation alors que l’espace libre n’est pas suffisant, la défragmentation est souvent partielle. Pour arrêter le processus de défragmentation, appuyez sur [Ctrl]+[C]. 27. Annexe I Liste alphabétique des commandes

j

DFSCMD
DFSCMD configure une arborescence DFS.

Syntaxe :
/map \\nom_dfs \partage_dfs \chemin \ \srv\partage\ chemin [commentaire] [/restore]

DFSCMD [options]

Créer un volume DFS. Mapper un chemin d’accès DFS à un chemin d’accès de serveur. Avec l’option /restore, ne vérifie pas le serveur de destination.

/unmap \\nom_dfs \partage_dfs \chemin Supprimer un volume DFS. Supprimer tous ses réplicas. /add \\nom_dfs \partage_dfs \chemin \\serveur \partage\chemin [/restore] Ajouter un réplica à un volume DFS. Avec /restore, ne vérifie pas le serveur de destination. /remove \\nom _dfs\partage _dfs\chemin \\ serveur\partage \chemin

Supprimer un réplica d’un volume DFS.

879

Chapitre 27

Annexe I - Liste alphabétique des commandes

27. Annexe I Liste alphabétique des commandes

/view \\nom_dfs \partage_dfs [/partial | /full | /batch || /batchrestore] Afficher tous les volumes du système DFS. Sans arguments, affiche seulement les noms de volumes. Avec l’option /partial, affiche également les commentaires. Avec l’option /full, affiche la liste des serveurs d’un volume. Avec /batch, crée un fichier batch permettant de recréer le DFS. Avec /batchrestore, crée un fichier batch permettant de recréer le DFS à l’aide de l’option /restore. /move \\nom_dfs\ partage_dfs \chemin1 \\nom _dfs\partage _dfs\chemin2 [/force] Déplacer un dossier situé dans le DFS vers un autre chemin d’accès logique. Si l’option /force est utilisée, les liens existants sont remplacés si nécessaire. Les chemins d’accès et les commentaires contenant des espaces doivent être placés entre guillemets.
j

La commande dfscmd peut gérer des arborescences DFS existantes (de domaine ou autonomes) mais elle ne peut être utilisée pour en créer de nouvelles. Vous devez utiliser la console Système de fichiers distribués pour créer une nouvelle arborescence dfs en définissant une nouvelle racine dfs. Les chemins qui contiennent des espaces doivent être placés entre guillemets.

j

DISKPART
(Nouvelle commande sous Windows Server 2003). Permet de manipuler un espace disque.

Syntaxe :
/s <script> ADD ACTIVE

diskpart [/s <script>] [options] Utilise un script. Ajoute un miroir à un volume simple. Indique la partition de base actuelle comme étant active.

880

D

ASSIGN AUTOMOUNT BREAK CLEAN CONVERT CREATE DELETE DETAIL ATTRIBUTES EXIT EXTEND GPT HELP IMPORT INACTIVE LIST ONLINE REM REMOVE REPAIR RESCAN RETAIN SELECT
j

Assigne une lettre de lecteur ou un point de montage au volume sélectionné. Active et désactive le montage automatique des volumes de base. Détruit un jeu de miroir. Efface les informations de configuration ou toutes les informations du disque. Convertit à différents formats de disque. Crée un volume ou une partition. Supprime un objet. Fournit des détails concernant un objet. Manipule les attributs de volume. Quitte DiskPart. Étend un volume. Assigne des attributs à la partition GPT sélectionnée. Imprime une liste de commandes. Importe un groupe de disques. Marque la partition de base actuelle comme inactive. Imprime une liste des objets. Indique en ligne un disque actuellement indiqué hors ligne. Ne fait rien. Utilisé pour commenter des scripts. Supprime une lettre de lecteur ou l’assignation à un point de montage. Répare un volume RAID-5 avec un membre défectueux. Analyse à nouveau l’ordinateur à la recherche de disques et de volumes. Place une partition nominale sous un volume simple. Déplace le focus vers un objet. 27. Annexe I Liste alphabétique des commandes 881

Lorsque des commandes diskpart sont exécutées depuis un script, il est possible de rediriger la sortie vers un fichier texte afin de consulter ce dernier ultérieurement :

Chapitre 27

Annexe I - Liste alphabétique des commandes

Diskpart /s script > fichier.txt
j

Si vous utilisez plusieurs scripts avec diskpart dans un fichier de commandes, ajoutez TimeOut /t 15 avant chaque commande diskpart /s script afin d’être certain que les premières tâches sont terminées avant que les suivantes ne commencent. Si une erreur se produit pendant l’exécution d’une commande diskpart, la tâche s’arrête et un code d’erreur est affiché. Si vous ajoutez l’option noerr à la commande, celle-ci est traitée comme si aucune erreur ne s’était produite. En voici les codes : − 0 : pas d’erreur, le script s’est exécuté avec succès. − 1 : exception fatale. − 2 : paramètres incorrects pour la commande diskpart. − 3 : impossible d’ouvrir les scripts ou le fichier de sortie spécifiés. − 4 : un service a renvoyé une erreur. − 5 : syntaxe de la commande invalide.

j

27. Annexe I Liste alphabétique des commandes

DSGET
(Nouvelle commande sous Windows Server 2003). Les commandes de cet outil affichent les propriétés sélectionnées d’un objet spécifique de l’annuaire.

Syntaxe :
dsget computer dsget contact dsget subnet dsget group dsget ou dsget server dsget site dsget user dsget quota

dsget <option> Affiche les propriétés des ordinateurs dans l’annuaire. Affiche les propriétés des contacts dans l’annuaire. Affiche les propriétés des sous-réseaux dans l’annuaire. Affiche les propriétés des groupes dans l’annuaire. Affiche les propriétés des unités d’organisation dans l’annuaire. Affiche les propriétés des serveurs dans l’annuaire. Affiche les propriétés des sites dans l’annuaire. Affiche les propriétés des utilisateurs dans l’annuaire. Affiche les propriétés des quotas dans l’annuaire.

882

D

dsget partition

Affiche les propriétés des partitions dans l’annuaire.

DSMOVE
(Nouvelle commande sous Windows Server 2003). Cette commande déplace ou renomme un objet au sein de l’annuaire.

Syntaxe :

dsmove <DN_Objet> [−newparent <DN_Parent>] [−newname <Nouveau_Nom>] [{−s <Serveur> | −d <Domaine>}] [−u <Nom_Utilisateur>] [−p {<Mot_de_passe> | *}] [−q] [{−uc | −uco | −uci}] Requis/stdin. Nom unique (DN) de l’objet à déplacer ou renommer. Si ce paramètre est omis, il est lu à partir de l’entrée standard (stdin). DN de l’emplacement du nouveau parent vers lequel l’objet doit être déplacé. Nouvelle valeur de nom unique relatif (RDN) sous laquelle l’objet doit être renommé. −s <Serveur> se connecte au contrôleur de domaine (DC) sous le nom <Serveur>. −d <Domaine> se connecte à un contrôleur de domaine dans le domaine <Domaine>. Par défaut, un contrôleur de domaine du domaine de connexion. Se connecte en tant que <Nom_Utilisateur>. Par défaut : l’utilisateur connecté. Un nom d’utilisateur peut être : un nom d’utilisateur, domaine\nom_utilisateur, ou un nom d’utilisateur principal (UPN). Mot de passe de l’utilisateur <Nom_Utilisateur>. Si * est utilisé, un mot de passe est demandé. Mode silencieux : supprime tout affichage sur la sortie standard.

27. Annexe I Liste alphabétique des commandes

<DN_Objet>

−newparent <DN_Parent> −newname <Nouveau_Nom> {−s <Serveur> | −d <Domaine>}

−u <Nom _Utilisateur>

−p <Mot_de _passe> −q

883

Chapitre 27

Annexe I - Liste alphabétique des commandes

{−uc | −uco | −uci}

−uc indique que l’entrée à partir du pipe ou la sortie vers le pipe est au format Unicode. −uco indique que la sortie vers le pipe ou le fichier est au format Unicode. −uci indique que l’entrée à partir du pipe ou du fichier est au format Unicode.

j j

Vous pouvez déplacer et renommer un objet en une seule étape en utilisant les options –newparent et –newname.
dsmove peut déplacer des objets uniquement au sein d’un domaine. Pour déplacer des objets entre des domaines, employez l’utilitaire MoveTreee qui se trouve sur le CD-Rom du produit.

27. Annexe I Liste alphabétique des commandes

DSQUERY
(Nouvelle commande sous Windows Server 200). L’ensemble de commandes de cet outil vous permet d’effectuer des requêtes sur l’annuaire selon des critères spécifiés. Chacune des commandes dsquery suivantes permet de rechercher des objets d’un type spécifique, à l’exception de la commande dsquery *, qui permet d’effectuer des requêtes pour n’importe quel type d’objet. dsquery computer recherche des ordinateurs dans l’annuaire. dsquery contact dsquery subnet dsquery group dsquery ou dsquery site dsquery server dsquery user dsquery quota recherche des contacts dans l’annuaire. recherche des sous-réseaux dans l’annuaire. recherche des groupes dans l’annuaire. recherche des unités d’organisation dans l’annuaire. recherche des sites dans l’annuaire. recherche des contrôleurs de domaine dans l’annuaire. recherche des utilisateurs dans l’annuaire. recherche les spécifications de quotas dans l’annuaire.

dsquery partition recherche les partitions dans l’annuaire. dsquery * recherche n’importe quel objet dans l’annuaire à l’aide d’une requête LDAP générique.

884

E

27.5. E EVENTQUERY
(Nouvelle commande sous Windows Server 2003). Répertorie les événements et les propriétés d’événements dans un ou plusieurs journaux 27. Annexe I Liste alphabétique des commandes

Syntaxe :

eventquery[.vbs] [/s Ordinateur [/u Domaine\Utilisateur [/p MotDePasse]]] [/fi NomFiltre] [/fo {TABLE | LIST | CSV}] [/r PlageÉvénement [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDéfini ParUtilisateur] [NomJournalRépertoire] [*] ] Spécifie le nom ou l’adresse IP d’un ordinateur distant (n’utilisez pas de barres obliques inversées). Il s’agit par défaut de l’ordinateur local. Exécute le script avec les autorisations de compte de l’utilisateur spécifié par Utilisateur ou Domaine \Utilisateur. Il s’agit par défaut des autorisations de l’utilisateur actuellement connecté sur l’ordinateur où est émise la commande. Spécifie le mot de passe du compte d’utilisateur spécifié par le paramètre /u. Spécifie les types d’événements à inclure ou à exclure de la requête Spécifie le format à utiliser pour la sortie. Les valeurs valides sont table, list et csv. Spécifie la plage d’événements à répertorier. Supprime les en-têtes de colonnes dans la sortie. Valide uniquement pour les formats table et csv. Spécifie l’affichage des commentaires sur les événements dans la sortie.

/s Ordinateur

/u Domaine\ Utilisateur

/p MotDePasse /fi NomFiltre /fo {TABLE | LIST | CSV} /r Plage Événement /nh /v

885

Chapitre 27

Annexe I - Liste alphabétique des commandes

27. Annexe I Liste alphabétique des commandes

/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDéfini ParUtilisateur] [NomJournal Répertoire] [*] Spécifie le ou les journaux à surveiller. Les valeurs valides sont Application, System, Security, "DNS server", un journal défini par l’utilisateur et un journal de répertoire. "DNS server" peut être utilisé uniquement si le service DNS est exécuté sur l’ordinateur spécifié par le paramètre /s. Pour spécifier plusieurs journaux à surveiller, utilisez à nouveau le paramètre /l. Le caractère générique (*) peut être utilisé et est la valeur par défaut.
j

Cette commande est un script .vbs et a besoin de CScript pour s’exécuter. Voici comment faire de Cscript votre environnement de script par défaut : cscript \\h: cscript \\.

27.6. F FINGER
Affiche des informations sur un ou plusieurs utilisateurs sur un ordinateur distant spécifié (généralement un ordinateur sous Unix) qui exécute le service Finger ou démon. L’ordinateur distant spécifie le format et la sortie de l’affichage des informations de l’utilisateur. Utilisé sans paramètres, finger affiche des informations d’aide.

Syntaxe :
−l Utilisateur

finger [−l] [Utilisateur] [@Hôte] Affiche les informations utilisateur sous forme de liste longue. Spécifie l’utilisateur sur lequel vous voulez des informations. Si vous omettez le paramètre Utilisateur, finger affiche des informations sur tous les utilisateurs de l’ordinateur spécifié. Spécifie l’ordinateur distant exécutant le service Finger dans lequel vous recherchez des informations utilisateur. Vous pouvez spécifier un nom ou une adresse IP d’ordinateur.

@Hôte

886

F

La machine distante doit exécuter le démon ou le service Finger. Si ce n’est pas le cas, vous recevez un message "Connexion refusé" en réponse à la commande finger. Windows Server 2003 n’inclut pas de service Finger ; uniquement un client en ligne finger.

FORMAT
Formate un disque utilisable avec Windows. 27. Annexe I Liste alphabétique des commandes

Syntaxe :

FORMAT volume [/FS:sys_fich] [/V:nom_volume] [/Q] [/A:taille] [/C] [/X] FORMAT volume [/V:nom_volume] [/Q] [/F:taille] FORMAT volume [/V:nom_volume][/Q][/T:pistes /N:secteurs] FORMAT volume [/V:nom_volume][/Q] FORMAT volume [/Q]

volume /FS:sys_fich

Spécifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. Spécifie le type de système de fichiers (FAT, FAT32 ou NTFS).

/V:nom_de_volume Spécifie le nom de volume. /Q /C /X /A:taille Effectue un formatage rapide. NTFS uniquement. Les fichiers créés sur le nouveau volume seront compressés par défaut. Force le volume à être démonté d’abord si nécessaire. Tous les descripteurs ouverts sur le volume ne seront plus valides. Remplace la taille d’unité d’allocation par défaut. Les paramètres par défaut sont très fortement recommandés dans le cas général. NTFS gère 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. FAT gère 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko (128 ko, 256 ko pour taille de secteur > 512 octets). FAT32 gère 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. (128 ko, 256 ko pour taille de secteur > 512 octets). Les systèmes de fichiers FAT et FAT32 imposent les restrictions suivantes sur le nombre de clusters par volume : FAT : nombre de clusters <= 65 526 FAT32 : 65 526 < nombre de clusters < 4 177 918. Le formatage cessera immédiatement s’il est jugé que ces conditions ne peuvent pas être remplies en utilisant la taille de

887

Chapitre 27

Annexe I - Liste alphabétique des commandes

clusters spécifiée. La compression NTFS n’est pas prise en charge pour les tailles d’unités d’allocation supérieures à 4096. /F:taille /T:pistes /N:secteurs Spécifie la taille de la disquette à formater (1,44). Spécifie le nombre de pistes par face de disque. Spécifie le nombre de secteurs par piste.

Lorsque format est utilisé avec la console de récupération, seules les options /fs et /q sont disponibles. 27. Annexe I Liste alphabétique des commandes

FREEDISK
Cet outil vérifie si la quantité spécifiée d’espace libre est disponible sur le lecteur spécifié. Renvoie 0 si l’espace est disponible et 1 si l’espace n’est pas disponible. Lorsqu’une valeur n’est pas spécifiée, l’espace libre disponible est affiché. La valeur par défaut est le lecteur ou le volume en cours.

Syntaxe :
/S système /U [domaine\] utilisateur /P [mot_de _passe] /D lecteur/ volume

FREEDISK [/S système [/U utilisateur [/P [mot_de_passe]]]] [/D lecteur/volume] [valeur] Spécifie le système distant auquel se connecter. Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter. Spécifie le mot de passe du contexte utilisateur donné. Il est demandé s’il est omis. Spécifie le lecteur ou le volume pour lequel la disponibilité d’espace libre doit être connue. Cette option doit être spécifiée pour un système distant. Spécifie la quantité d’espace libre en octets. Elle peut être spécifiée en kilo-octets, en mégaoctets, en gigaoctets, en téraoctets, Po, Eo, Zo et Yo.

<valeur>

Lors de l’installation sans assistance, utilisez freedisk dans un fichier de commandes pour vérifier si l’espace libre est suffisant pour la suite de l’installation.

888

F

FTP
Transfère des fichiers vers et depuis un ordinateur exécutant un service de serveur FTP (File Transfer Protocol) tel que les services Internet (IIS). Ftp peut être utilisée de manière interactive ou en mode Batch, en traitant des fichiers texte ASCII.

Syntaxe :
−v −d −i −n −g

ftp [−v] [−d] [−i] [−n] [−g] [−s:Nom_Fichier] [−a] [−w:Taille_Tampon] [−A] [Hôte] Supprime l’affichage des réponses du serveur FTP. 27. Annexe I Liste alphabétique des commandes Active le débogage, en affichant toutes les commandes transmises entre le client FTP et le serveur FTP. Désactive les messages interactifs lors des transferts de fichiers multiples. Supprime la possibilité d’ouvrir automatiquement une session une fois la connexion initiale établie. Désactive la globalisation des noms de fichiers. Glob permet l’utilisation de l’astérisque (*) et du point d’interrogation (?) comme caractères génériques dans les noms de fichiers et les chemins d’accès. Pour plus d’informations, consultez Rubriques connexes. Spécifie un fichier texte contenant des commandes FTP. Ces commandes s’exécutent automatiquement après le démarrage de FTP. Ce paramètre n’admet aucun espace. Utilisez ce paramètre au lieu du symbole de redirection (<). Spécifie que n’importe quelle interface locale peut être utilisée lors de la liaison de la connexion de données FTP.

−s:Nom_Fichier

−a

−w:Taille_Tampon Spécifie la taille du tampon de transfert. La taille de tampon par défaut est de 4096 octets. −A Hôte Ouvre une session sur le serveur FTP en tant que session anonyme. Spécifie le nom d’ordinateur, l’adresse IP ou l’adresse IPv6 du serveur FTP auquel vous souhaitez vous connecter. S’il est spécifié, le nom ou l’adresse de l’hôte doit être le dernier paramètre de la ligne.

j

La commande ftp est un client par opposition au service ou au démon FTP qui réside sur le serveur.

889

Chapitre 27

Annexe I - Liste alphabétique des commandes

j

Windows Server 2003 propose Service de publication FTP avec IIS (Internet Information Service). Par défaut, le répertoire d’accueil ou racine de ce service correspond au répertoire C:\Inetpub\ftproot sur le serveur. FTP est non sécurisé car il transmet les mots de passe en clair.

j

Pour utiliser FTP dans un fichier de commandes : 1. Effectuez une session FTP interactive et copiez-la dans l’éditeur de texte comme le Bloc-notes. 27. Annexe I Liste alphabétique des commandes 2. Enlevez les réponses ; pour ne laisser que la commande. 3. Utilisez l’option −S pour exécuter le fichier de commandes avec FTP.

27.7. G GETMAC
Cet outil permet à un administrateur d’afficher l’adresse MAC des cartes réseau d’un ordinateur.

Syntaxe :
/S système /U [domaine\] utilisateur

GETMAC [/S système [/U nom_utilisateur [/P [mot_de_passe]]]] [/FO format] [/NH] [/V] Spécifie le système distant auquel se connecter. Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter.

GPRESULT
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes affiche le jeu de stratégies résultantes (RSoP). Information pour ordinateurs et utilisateurs cibles.

Syntaxe :
/S système

GPRESULT [/S système [/U utilisateur [/P mot_de_passe]]]] [/SCOPE étendue] [/USER utilisateur_cible] [/V | /Z] Spécifie le système distant auquel se connecter.

890

G

/U [domaine\] utilisateur

Spécifie le contexte utilisateur sous lequel cette commande doit s’exécuter.

/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est demandé s’il est omis. /SCOPE étendue Précise si les paramètres de l’ordinateur doivent être affichés. Valeurs autorisées : USER, COMPUTER.

/USER [domaine\] utilisateur Spécifie le nom d’utilisateur pour lequel les données RSOP sont affichées. /V Indique que les informations détaillées doivent être affichées. Ces informations présentent d’autres paramètres détaillés qui ont été appliqués avec une priorité de 1. Spécifie que les informations extrêmement détaillées doivent être affichées. Ces informations présentent d’autres paramètres détaillés qui ont été appliqués avec une priorité de 1 et plus. Ceci vous permet de savoir si un paramètre a été appliqué en plusieurs endroits. Consultez l’aide en ligne des stratégies de groupe pour plus de détails.

27. Annexe I Liste alphabétique des commandes

/Z

Si vous exécutez GPRESULT sans paramètres, il renvoie les données RSoP de l’utilisateur en session sur l’ordinateur exécutant le programme.

GPUPDATE
(Nouvelle commande sous Windows Server 2003). Actualise les paramètres des stratégies de groupe.

Syntaxe :
/Target : {Ordinateur | Utilisateur}

GPUpdate [/Target:{Ordinateur | Utilisateur}] [/Force] [/Wait:<valeur>] [/Logoff] [/Boot] [/Sync]

Spécifie que les paramètres de stratégie utilisateur uniquement ou les paramètres de stratégie ordinateur uniquement sont actualisés. Par défaut, les paramètres des stratégies utilisateur et ordinateur sont actualisés tous les deux.

891

Chapitre 27

Annexe I - Liste alphabétique des commandes

/Force

Applique à nouveau tous les paramètres de stratégie. Par défaut, seuls les paramètres de stratégie ayant été modifiés sont appliqués.

/Wait : {valeur} Définit le nombre de secondes d’attente afin que le processus de stratégie soit terminé. Par défaut : 600 secondes. La valeur "0" signifie "Aucune attente". La valeur "−1" signifie "Indéterminé". Lorsque l’une de ces limites de temps est dépassée, l’Invite de commandes revient mais le traitement de la stratégie continue. /Logoff 27. Annexe I Liste alphabétique des commandes Provoque la fermeture de session suite à l’actualisation du paramétrage de la stratégie de groupe. Ceci est nécessaire pour les extensions côté client de la stratégie de groupe qui ne traitent pas la stratégie par un cycle d’actualisation à l’arrière-plan, mais au moment où l’utilisateur ouvre une session. Les exemples incluent l’installation du logiciel ciblé sur l’utilisateur et la redirection de dossier. Cette option n’a pas d’effet s’il n’y a pas d’extensions appelées nécessitant une fermeture de session. Provoque un redémarrage après l’actualisation des paramètres de la stratégie de groupe. Cela n’est pas demandé pour les extensions côté client de la stratégie de groupe qui traitent la stratégie dans un cycle d’actualisation en arrière-plan mais pour celles qui traitent la stratégie au démarrage de l’ordinateur. Les exemples contiennent l’installation du logiciel. Cette option n’a pas de conséquence s’il n’y a pas d’extension appelée à redémarrer. Provoque la synchronisation de l’application suivante de la stratégie en arrière-plan. Les applications de stratégie à l’arrière-plan surviennent au démarrage de l’ordinateur et à l’ouverture de session de l’utilisateur. Vous pouvez l’indiquer pour l’utilisateur, l’ordinateur ou les deux en employant le paramètre /Target. Les paramètres /Force et /Wait seront ignorés si spécifié.

/Boot

/Sync

j j

Cette commande peut actualiser les paramètres de la stratégie de groupe sur des ordinateurs autonomes ou dans Active Directory. La commande gpudate remplace la commande secedit /refreshpolicy.

892

L

27.8. L LDIFDE
Échange de répertoires LDIF.

Syntaxe :
−i −f NomFichier −s NomServeur −c NDsrc NDcib −v −j Chemin −t Port −u −w timeout

ldifde [options] 27. Annexe I Liste alphabétique des commandes Active l’importation (l’exportation est activée par défaut). Nom de fichier d’entrée ou de sortie. Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de domaine du domaine de l’ordinateur). Remplace les occurrences de NDsrc par NDcib. Affiche les commentaires. Emplacement du fichier journal. Numéro de port (par défaut = 389). Utilise le format Unicode. Termine l’exécution si le serveur prend plus de temps que le nombre de secondes spécifiées pour répondre à l’opération (par défaut = aucun délai d’expiration spécifié). Active le cryptage de la couche SASL. Racine de la recherche LDAP (utilise le contexte d’attribution de nom par défaut). Filtre de recherche LDAP (par défaut(objectClass=*)). Étendue de recherche arborescence). (Base/Un niveau/Sous−

−h −d NDracine −r Filtre −p Étendue Rech −l liste −o liste −g −m

Liste d’attributs (séparée par virgules) à rechercher lors d’une recherche LDAP. Liste d’attributs (séparée par virgules) à omettre de l’entrée. Désactive la recherche paginée. Active la logique SAM pour l’exportation.

893

Chapitre 27

Annexe I - Liste alphabétique des commandes

−n −k −y −e −q threads 27. Annexe I Liste alphabétique des commandes

N’exporte pas les valeurs binaires. Ignore les erreurs "Non-respect de contrainte" et "Objet existant" lors de l’importation. L’importation utilisera l’écriture différée pour des performances accrues (activé par défaut). L’importation n’utilise pas l’écriture différée. L’importation utilise le nombre de threads spécifié (1 par défaut). Si aucune information d’identification n’est spécifiée, LDIFDS établira la liaison en tant qu’utilisateur actuellement connecté en employant SSPI.

−a DN_utilisateur [Mot_de_passe | *] Authentification simple. −b Nom_ utilisateur Domaine [Mot_de _passe | *] Méthode de liaison SSPI.
j j

Contrairement à csvde, qui peut uniquement ajouter de nouveaux objets à Active Directory, ldifde permet d’en ajouter, sans en supprimer, ou de les modifier. Si un attribut n’est pas spécifié dans le fichier LDFIF, utilisez FILL SEP comme valeur pour l’attribut.

LPQ
Affiche l’état d’une file d’attente lpd distante.

Syntaxe :
−S Serveur −P Imprimante −I
j

lpq −S Serveur −P Imprimante [−I] Nom ou adresse IP de l’hôte fournissant le service lpd. Nom de la file d’attente d’impression. Commentaires.

Lpq peut également interroger des serveurs non LPD (par exemple des serveurs d’impression Microsoft Windows). Cependant, elle ne vous permet pas d’envoyer des travaux à ces serveurs d’impression.

j

Voici comment interroger la file d’attente d’impression TPC/IP de la machine locale : Lpq –S localhost –P NomImprimante.

894

M

LPR
Envoie un travail d’impression vers une imprimante du réseau.

Syntaxe :
−S Serveur −P Imprimante −C Classe −J Travail −o Option

lpr −S Serveur −P Imprimante [−C Classe] [−J Travail] [−o Option] [−x] [−d] nom du fichier Nom ou adresse IP de l’hôte fournissant le service lpd. Nom de la file d’attente d’impression. 27. Annexe I Liste alphabétique des commandes Classification du travail pour utilisation sur la page de salve. Nom du travail à imprimer sur la page de salve. Indique le type de fichier (suppose par défaut que c’est un fichier texte). Utilisez −o l pour les fichiers binaires (par exemple Postscript). Compatibilité avec SunOS 4.1.x et versions antérieures. Envoyer d’abord le fichier de données.

−x −d

27.9. M MOUNTVOL
Crée, supprime ou liste un point de montage du volume.

Syntaxe :

MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL

[lecteur:]chemin [lecteur:]chemin [lecteur:]chemin [lecteur:]chemin /R /N /E

d’accès d’accès d’accès d’accès

de Nom_volume /D /L /P

Chemin Nom_volume /D

Spécifie le répertoire NTFS existant dans lequel le point de montage résidera. Spécifie le nom du volume cible du point de montage. Supprime le point de montage du volume du répertoire spécifié.

895

Chapitre 27

Annexe I - Liste alphabétique des commandes

/L /P

Liste le nom de volume monté pour le répertoire spécifié. Supprime le point de montage du volume du répertoire spécifié, démonte le volume et le rend non montable. Vous pouvez rendre montable le volume en créant un nouveau point de montage de volume. Supprime les paramètres du Registre pour les volumes non listés ci-après. Désactive le montage automatique de nouveaux volumes. Active le montage automatique de nouveaux volumes. Vous pouvez également créer des points de montage à l’aide de la Gestion de disques. Les points de montages peuvent être utilisés lorsque vous ne disposez plus d’aucune lettre de lecteur pour les volumes locaux et pour augmenter l’espace sur un volume sans avoir à le reformater ou à remplacer le disque dur (ajoutez simplement un chemin de montage vers un autre volume). Vous pouvez également utiliser un volume avec plusieurs chemins de montage afin d’obtenir un accès à tous vos volumes locaux par le biais d’une seule lettre de lecteur. Ne supprimez pas un point de montage avec l’Exploreur Windows ou del /s car cela supprime le répertoire cible et tous ces sous-répertoires. À la place, utilisez mountvol /d.

/R /N 27. Annexe I Liste alphabétique des commandes /E
j j

j

27.10. N NET
ACCOUNTS, COMPUTER, CONFIG, CONTINUE, FILE, GROUP, HELPMSG, LOCALGROUP, NAME, PAUSE, PRINT, SEND, SESSION, SHARE, START, STATISTICS, STOP, TIME, USE, USER, VIEW.
j

Pour voir la syntaxe d’une commande net depuis la ligne de commandes, entrez net help suivi de l’option qui définit la commande. Par exemple, pour connaître la syntaxe de net account, entrez net help account. Toutes les commandes net acceptent également les options suivantes : − /y répond automatiquement par oui à toutes les invites générées par la commande (utile dans les fichiers de traitement par lots). − /n répond automatiquement par non à toutes les invites.

j

896

N

NET CONFIG
Configure les services Serveur et Station de travail.

Syntaxe :

NET CONFIG [SERVER | WORKSTATION]

Pour configurer les services Serveur et Station de travail, consultez net config
serveur et netconfig workstation.

27. Annexe I Liste alphabétique des commandes

NET CONFIG SERVER
Cette commande permet de configurer le service Serveur.

Syntaxe :
j j

NET CONFIG SERVER [/AUTODISCONNECT:minutes] [/SRVCOMMENT:"texte"] [/HIDDEN:{YES | NO}]

Les modifications apportées par cette commande prennent effet immédiatement et sont permanentes. Il est préférable de modifier les paramètres du service Serveur en modifiant directement le Registre au lieu d’utiliser cette commande avec m’importe laquelle de ces trois options. Cette commande enregistre en effet de façon permanente les paramètres courants du service Serveur dans le Registre et désactive l’ajustement automatique de ce service. L’ajustement automatique est un mécanisme grâce auquel Windows Server 2003 essaie de maintenir des performances optimales pour le service Serveur. Par exemple, si vous ajoutez de la mémoire à votre serveur après avoir exécuté net config server /autosiconnect :5, Windows Server 2003 ne sera pas en mesure de se configurer automatiquement afin d’effectuer la meilleure utilisation de la mémoire supplémentaire. Cependant, l’utilisation de net config server sans autre paramètre n’a pas cet effet négatif. Pour savoir comment annuler ce problème s’il devait arriver, consultez l’article 128167 de la Base de connaissances. Pour configurer le service Station de travail, utilisez net config workstation.

j

NET CONFIG WORKSTATION
Cette commande permet de configurer le service Station de travail.

897

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :
j j

net config workstation

Les modifications apportées prennent effet immédiatement et sont permanentes. Pour configurer le service Serveur, utilisez net config server.

NET GROUP
27. Annexe I Liste alphabétique des commandes Cette commande permet de configurer des groupes

Syntaxe :

NET GROUP nom de groupe [/COMMENT:"texte"] [/DOMAIN] NET GROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET GROUP nom de groupe nom d’utilisateur [...] {/ADD | /DELETE} [/DOMAIN]

j j j

net group peut également être entré sous la forme net groups.

Utilisez des guillemets autour des noms de groupes comprenant des espaces : " Utilisateur du domaine ". Dans la sortie de net group, l’astérisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.

NET HELPMSG
Cette commande aide à interpréter un numéro de message d’erreur Windows.

Syntaxe :

NET HELPMSG numéro de message

NET LOCALGROUP
Cette commande permet de configurer des groupes locaux.

898

N

Syntaxe :

NET LOCALGROUP [nom de groupe [/COMMENT:"texte"]] [/DOMAIN] NET LOCALGROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET LOCALGROUP nom de groupe nom [...] {/ADD | /DELETE} [/DOMAIN]

j j j

net localgroup peut également être entré sous la forme net localgroups.

Utilisez des guillemets autour des noms de groupes comprenant des espaces : « Utilisateur du domaine ». Dans la sortie de net localgroup, l’astérisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
C:\>net localgroup Alias de \\SNCECPDC01 *Accès compatible pré-Windows 2000 *Administrateurs *Administrateurs DHCP *Duplicateurs *Éditeurs de certificats *Groupe d’accès d’autorisation Windows *HelpServicesGroup *Invités *Opérateurs de compte *Opérateurs de configuration réseau *Opérateurs de sauvegarde *Opérateurs de serveur *Opérateurs d’impression *Serveurs de licences des services Terminal Server *Serveurs RAS et IAS *TelnetClients *Utilisateurs *Utilisateurs de l’Analyseur de performances *Utilisateurs DHCP *Utilisateurs du Bureau à distance *Utilisateurs du journal de performances *Utilisateurs du modèle COM distribué La commande s’est terminée correctement.

27. Annexe I Liste alphabétique des commandes

NET PRINT
Affiche des informations sur une file d’attente d’impression ou une tâche d’impression spécifique, ou contrôle une tâche d’impression donnée.

899

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :

NET PRINT \\nom d’ordinateur\nom de partage NET PRINT [\\nom d’ordinateur] numéro de travail [/HOLD | /RELEASE | /DELETE]

j j

Pour déterminer le nom de partage de votre imprimante partagée, entrez net
share sur la ligne de commandes.

Si un serveur d’impression possède plusieurs imprimantes partagées, chacune a sa propre file d’attente. Cependant, des travaux de différentes files d’impression sur le même serveur peuvent avoir un même numéro d’identification.

27. Annexe I Liste alphabétique des commandes

NET SEND
Envoie des messages à d’autres utilisateurs, ordinateurs ou noms de messagerie sur le réseau

Syntaxe :
j j j j

NET SEND {alias | * | /DOMAIN[:nom] | /USERS} message

Pour qu’un utilisateur reçoive des messages, le service Affichage des messages doit être en exécution. Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur contenant des espaces. Les messages peuvent présenter jusqu’à 128 caractères. La file d’attente de messages qui conserve temporairement les messages pour le compte du service Affichage des messages peut stocker un maximum de six messages ; les autres messages sont ignorés si les précédents n’ont pas été validés.
Net send* est identique à netsend/domain.

j j

Les messages diffusés (options * et /domain) sont envoyés sur tous les protocoles réseau. Par exemple, si TCP/IP et NWLink sont installés, les messages apparaîtront deux fois sur la machine réceptrice. Les messages envoyés à des destinataires spécifiques ne sont reçus qu’une fois. Les messages sont reçus uniquement sur le sous-réseau local, sauf si des routeurs sont configurés spécifiquement pour retransmettre les paquets name query de NetBIOS. Les messages envoyés avec l’option /user sont expédiés à chaque session établie avec le serveur. Si un utilisateur a trois sessions ouvertes avec le serveur, le message sera reçu trois fois.

j

j

900

N

NET SESSION
Gère les connexions à un serveur. Utilisée sans paramètre, la commande net session affiche des informations sur toutes les sessions actuellement ouvertes sur l’ordinateur local.

Syntaxe :
j j j j

NET SESSION [\\nom d’ordinateur] [/DELETE]

net sessions est équivalent à net session.

Une session est initiée lorsqu’une machine cliente parvient à contacter un serveur, par exemple pour accéder à un dossier ou une imprimante partagée. Un client ne peut établir qu’une session avec un serveur, mais peut avoir plusieurs connexions à des ressources sur ce serveur. Utilisez net send pour demander aux clients d’enregistrer leur travail avant de terminer leurs connexions avec le serveur.

27. Annexe I Liste alphabétique des commandes

NET SHARE
Gère les ressources partagées. Utilisée sans paramètre, la commande net share affiche des informations sur toutes les ressources actuellement partagées sur l’ordinateur local.

Syntaxe :

NET SHARE nom de partage nom de partage=lecteur:chemin [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents| Programs | e ] nom de partage [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [CACHE:Manual | Documents | Programs | None] {nom de partage | nom de périphérique | lecteur:chemin} /DELETE

j j

Entourez le chemin absolu par des guillemets s’il contient des espaces. Si vous supprimez un partage avec net share /delete, il restera visible dans le Poste de travail et dans l’Explorateur Windows, même si vous redémarrez. L’astuce consiste à appuyer sur [F5] afin de vider les informations contenues dans le cache. L’option /cache permet de configurer le mode de mise en service du partage lorsque les dossiers hors connexion sont implantés. Pour une description complète de cette option, consultez l’article 214738 de la Base de connaissances sur Microsoft TechNet.

j

901

Chapitre 27

Annexe I - Liste alphabétique des commandes

NET START
Démarre un service. Utilisée sans paramètre, la commande net start affiche la liste des services en cours d’exécution.

Syntaxe :
j j j

NET START [service]

Utilisez des guillemets pour les noms d’ordinateurs et les noms d’utilisateurs contenant des espaces. Le démarrage de services peut avoir des effets inattendus du fait des dépendances entre les services. L’outil graphique de gestion des services est la console Services.

27. Annexe I Liste alphabétique des commandes

NET STOP
Arrête un service en cours d’exécution.

Syntaxe :
j j j

NET STOP [service]

Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur contenant des espaces. L’arrêt d’un service retire de la mémoire les ressources associées. Avant d’arrêter un service, il est préférable de commencer par le suspendre et d’envoyer un message aux utilisateurs connectés afin de les avertir que le service va être arrêté. Cela leur donne du temps pour enregistrer leur travail et se déconnecter. Vous ne pouvez pas arrêter le service Fax car il fonctionne à la demande et s’arrête automatiquement lorsqu’il n’y a plus de télécopies à envoyer ou recevoir.

j

NET TIME
Synchronise l’horloge de l’ordinateur avec celle d’un autre ordinateur ou d’un domaine. Utilisée sans paramètre, la commande net time affiche l’heure d’un autre ordinateur ou domaine.

902

N

Syntaxe :

NET TIME [\\nom d’ordinateur | /DOMAIN[:nom de domaine] | /RTSDOMAIN[:nom de domaine]] [/SET] NET TIME [\\nom d’ordinateur] /QUERYSNTP NET TIME [\\nom d’ordinateur] /SETSNTP[:liste de serveurs NTP]

j

La synchronisation des horloges est importante pour que des activités telles que la réplication de l’annuaire fonctionnent correctement. (Les mises à jour sont estampillées afin de résoudre les collisions.) Utilisez net time \\serveurTemps /set /yes dans un script d’ouverture de session pour synchroniser les horloges de toutes les machines avec le serveur Temps qui doit avoir lui-même une horloge fiable.
/s ne fonctionne plus en équivalent de /set, comme c’était le cas sous Windows NT.

j

27. Annexe I Liste alphabétique des commandes

j

NET USE
Connecte ou déconnecte un ordinateur d’une ressource partagée, ou affiche des informations relatives aux connexions de l’ordinateur. Cette commande contrôle aussi les connexions réseau persistantes. Utilisée sans paramètre, la commande net use extrait une liste des connexions réseau.

Syntaxe :

NET USE [nom de périph.|*] [\\Ordinateur\Partage[volume] [mot de passe | *]] [/USER:[nom de domaine\]nom d’utilisateur] [/USER:[nom de domaine avec points\]nom d’utilisateur] [/USER:[nom d’utilisateur@nom de domaine avec points] [/SMARTCARD] [/SAVECRED] [[/DELETE] | [/PERSISTENT:{YES | NO}]] NET USE [nom de périphérique | *] [mot de passe | *] [/HOME] NET USE [/PERSISTENT:{YES | NO}]

j j

Utilisez les guillemets autour de NomsOrdinateur si ce dernier comporte des espaces. Vous ne pouvez pas vous déconnecter d’un partage s’il est votre lecteur courant ou s’il est verrouillé par un processus actif.

903

Chapitre 27

Annexe I - Liste alphabétique des commandes

NET USER
Ajoute ou modifie des comptes d’utilisateurs ou affiche des informations relatives aux comptes d’utilisateurs.

Syntaxe :

NET USER [nom d’utilisateur [mot de passe | *] [options]] [/DOMAIN] NET USER nom d’utilisateur {mot de passe | *} /ADD [options] [/DOMAIN] NET USER nom d’utilisateur [/DELETE] [/DOMAIN]

27. Annexe I Liste alphabétique des commandes

j

Net users a le même effet que net user.

NETSH
Utilitaire de script de ligne de commande qui vous permet, localement ou à distance, d’afficher ou de modifier la configuration réseau d’un ordinateur en cours d’exécution. Il fournit également une fonctionnalité de script qui vous permet d’exécuter un groupe de commandes en mode Batch sur un ordinateur spécifique. De plus, Netsh peut enregistrer un script de configuration dans un fichier texte pour des besoins d’archivage ou pour vous aider à configurer d’autres serveurs.

Syntaxe :

netsh [−a Fichier_alias] [−c Contexte] [−r Ordinateur_distant] [−u [Nom_domaine\]Nom_utilisateur] [−p Mot_passe | *] [Commande | −f Fichier_script] Modifications pour le contexte ’netsh aaaa’. Ajoute une entrée de configuration à une liste d’entrées. Modifications pour le contexte ’netsh bridge’. Supprime une entrée de configuration d’une liste d’entrées. Modifications pour le contexte ’netsh dhcp’. Modifications pour le contexte ’netsh diag’. Affiche un script de configuration. Exécute un fichier script. Modifications pour le contexte ’netsh firewall’. Modifications pour le contexte ’netsh interface’.

aaaa add bridge delete dhcp diag dump exec firewall interface

904

N

ipsec ras routing rpc set show wins winsock
j

Modifications pour le contexte ’netsh ipsec’. Modifications pour le contexte ’netsh ras’. Modifications pour le contexte ’netsh routing’. Modifications pour le contexte ’netsh rpc’. Met à jour les paramètres de configuration. Affiche les informations. Modifications pour le contexte ’netsh wins’. Modifications pour le contexte ’netsh winsock’. 27. Annexe I Liste alphabétique des commandes

Les sous-contextes suivants sont disponibles : aaaa, bridge, dhcp, diag, firewall, interface, ipsec, ras, routing, rpc, wins, winsock.

NETSH (contexte global)
Syntaxe :
netsh [−a Fichier_alias] [−c Contexte] [−r Ordinateur_distant] [−u [Nom_domaine\]Nom_utilisateur] [−p Mot_passe | *] [Commande | −f Fichier_script] Ajoute une entrée de configuration à une liste d’entrées. Supprime une entrée de configuration d’une liste d’entrées. Affiche un script de configuration. Exécute un fichier script. Met à jour les paramètres de configuration. Affiche les informations.

add delete dump exec set show
j

Il existe normalement une commande Flush permettant de supprimer les commandes enregistrées en mode hors connexion, mais cela ne semble pas fonctionner dans la version actuelle. La commande dump affiche la configuration courante des services configurables de NetShell sur la machine sous forme d’une suite de commandes NetShell. Le fichier obtenu peut être exécuté sur une machine différente à l’aide de la commande exec pour configurer cette machine de manière identique à la première. Le seul problème est qu’un certain nombre de paramètres de configuration ne sont pas sortis de façon correcte. Consultez l’article 254252 de la Base de connaissances Microsoft TechNet pour savoir comment modifier manuellement le fichier obtenu afin de le corriger.

j

905

Chapitre 27

Annexe I - Liste alphabétique des commandes

j

Le contexte DHCP de NetShell est particulièrement utile pour la gestion des serveurs DHCP distants au travers de liaisons WAN lentes, avec lesquelles l’utilisation du mode administration distante de Terminal Serveur pour exécuter l’outil graphique de gestion de DHCP conduirait à de piètres performances. Utilisez la commande set user dans un fichier ou un script de traitement par lots afin de configurer automatiquement les paramètres des appels entrants RAS d’un ensemble d’utilisateurs.

j

27. Annexe I Liste alphabétique des commandes

NSLOOKUP
Affiche des informations qui vous permettent d’établir un diagnostic de l’infrastructure DNS (Domain Name System). nslookup [−opt] mode interactif utilisant le serveur par défaut

nslookup [−opt] − serveur mode interactif utilisant ’serveur’ nslookup [−opt] hôte recherche ’hôte’ en utilisant le serveur par défaut nslookup [−opt] hôte serveur recherche ’hôte’ en utilisant ’serveur’
j j

Les commandes nslookup contiennent au maximum 255 caractères. Pour rechercher un ordinateur qui ne se trouve pas dans le domaine DNS courant, ajoutez un point au nom. Par exemple, entrez pierre.puzzmania.com à l’invite interactive de nslookup. Utilisez exit ou appuyez sur [Ctrl]+[C] pour sortir d’une session nslookup. Une commande non reconnue est interprétée comme un nom d’ordinateur.

j j

27.11. P PRNCNFG
(Nouvelle commande sous Windows Server 2003). Configure ou affiche des informations de configuration relatives à une imprimante. La syntaxe ci-après est utilisée pour afficher des informations de configuration relatives à une imprimante. 906

P

Syntaxe :
−g −s Ordinateur _Distant

cscript prncnfg.vbs −g [−s Ordinateur_Distant] −p Nom_Imprimante [−u Nom_Utilisateur −w Mot_De_Passe] Obligatoire. Spécifie que vous voulez afficher des informations de configuration relatives à une imprimante. Spécifie, par son nom, l’ordinateur distant qui gère l’imprimante à propos de laquelle vous voulez afficher des informations. Si vous n’indiquez pas de nom d’ordinateur, l’opération est effectuée sur l’ordinateur local. 27. Annexe I Liste alphabétique des commandes Obligatoire. Spécifie, par son nom, l’imprimante à propos de laquelle vous voulez obtenir des informations.

−p Nom _Imprimante −u Nom _Utilisateur −w Mot_De_Passe

Spécifie un compte disposant d’autorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter à l’ordinateur qui héberge l’imprimante à propos de laquelle vous voulez afficher des informations. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez vous connecter sous un compte autorisé à lancer cette commande.

j

Cette commande est un script .v bs qui s’exécute avec CScritpt. Pour Cscript, votre environnement d’exécution de script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s.

j

Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur –W MotDePasse pour indiquer les informations d’identification adéquates.

PRNDRVR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et répertorie des pilotes d’imprimante. La syntaxe ci-après est utilisée pour installer un pilote d’imprimante.

907

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :

cscript prndrvr.vbs −a [−m Nom_Pilote] [−v {0 | 1 | 2 | 3}] [−e Environnement] [−s Ordinateur_Distant] [−h Chemin] [−i Nom_Fichier.inf] [−u Nom_Utilisateur −w Mot_De_Passe] Obligatoire. Spécifie que vous voulez installer un pilote. Spécifie, par son nom, le pilote que vous voulez installer. Les pilotes portent souvent le nom du modèle d’imprimante qu’ils prennent en charge. Pour plus d’informations, consultez la documentation fournie avec l’imprimante. Spécifie la version du pilote que vous voulez installer. Pour savoir quelles versions sont disponibles en fonction de chaque environnement, consultez la description du paramètre −e Environnement. Si vous ne spécifiez aucune version, la version de pilote appropriée pour la version de Windows en cours d’exécution sur l’ordinateur sur lequel vous installez le pilote est installée. La version 0 prend en charge Windows 95, Windows 98 et Windows Millennium Edition. La version 1 prend en charge Windows NT 3.51. La version 2 prend en charge Windows NT 4.0. La version 3 prend en charge Windows XP, Windows 2000 et les systèmes d’exploitation de la famille Windows Server 2003.

−a −m Nom_Pilote

27. Annexe I Liste alphabétique des commandes

−v {0 | 1 | 2 | 3}

−e Environnement Spécifie l’environnement approprié pour le pilote que vous voulez installer. Si vous ne spécifiez aucun environnement, l’environnement de l’ordinateur sur lequel vous installez le pilote est utilisé. Environnement "Windows NT x86", versions disponibles 1, 2 et 3. Environnement "Windows NT Alpha_AXP", versions disponibles 1 et 2. Environnement "Windows IA64", version disponible 3. Environnement "Windows NT R4000", version disponible 1. Environnement "Windows NT PowerPC", version disponible 1. Environnement "Windows 4.0", version disponible 0. −s Ordinateur _Distant Spécifie l’ordinateur distant sur lequel vous voulez installer le pilote. Si vous ne spécifiez pas d’ordinateur, le pilote est installé sur l’ordinateur local. Spécifie le chemin d’accès du fichier de pilote. Si vous ne spécifiez aucun chemin, le chemin d’accès à l’emplacement à partir duquel Windows a été installé est utilisé.

−h Chemin

908

P

−i Nom_Fichier .inf −u Nom _Utilisateur −w Mot_De_Passe

Spécifie le nom de fichier du pilote que vous voulez installer. Si vous ne spécifiez aucun nom de fichier, ntprint.inf est utilisé.

Spécifie un compte disposant d’autorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter à l’ordinateur sur lequel vous voulez installer le pilote. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez vous connecter sous un compte autorisé à lancer cette commande.

27. Annexe I Liste alphabétique des commandes

j

Cette commande est un script .vbs qui s’exécute avec CScript. Pour Cscript, votre environnement d’exécution de script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur –W MotDePasse pour indiquer les informations d’identification adéquates.

j

PRNJOBS
(Nouvelle commande sous Windows Server 2003). Suspend, reprend, annule et répertorie les travaux d’impression. La syntaxe ci-après est utilisée pour répertorier les travaux d’impression dans une file d’attente d’impression.

Syntaxe :
−l −s Ordinateur _Distant

cscript prnjobs −l [−s Ordinateur_Distant] [−p Nom_Imprimante] [−u Nom_Utilisateur −w Mot_De_Passe] Obligatoire. Spécifie que vous voulez répertorier tous les travaux d’impression dans une file d’attente d’impression. Spécifie le nom de l’ordinateur distant qui héberge la file d’attente d’impression dont vous souhaitez afficher la liste des travaux. Si vous n’indiquez pas de nom d’ordinateur, l’opération est effectuée sur l’ordinateur local.

909

Chapitre 27

Annexe I - Liste alphabétique des commandes

−p Nom _Imprimante

Spécifie, par son nom, l’imprimante dont la file d’attente d’impression contient les travaux que vous voulez répertorier. Si vous ne spécifiez aucune imprimante, tous les travaux de toutes les files d’attente sont répertoriés.

−u Nom _Utilisateur −w Mot_De_Passe 27. Annexe I Liste alphabétique des commandes

Spécifie un compte disposant d’autorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter à l’ordinateur qui héberge la file d’attente d’impression dont vous voulez répertorier les travaux. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez vous connecter sous un compte autorisé à lancer cette commande.

j

Malheureusement, il n’est possible de suspendre, de reprendre ou d’annuler qu’un travail à la fois avec cette commande. Consultez la commande prnqctl qui permet de suspendre ou de reprendre une imprimante ou d’annuler tous les travaux présents dans la file d’attente. Cette commande est un script .vbs qui s’exécute avec CScript. Pour Cscript, votre environnement d’exécution de script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur –W MotDePasse pour indiquer les informations d’identification adéquates.

j

j

PRNMNGR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et répertorie les imprimantes ou connexions d’imprimante, en plus de définir et d’afficher l’imprimante par défaut. La syntaxe ci-après est utilisée pour ajouter une imprimante locale.

910

P

Syntaxe :

cscript prnmngr.vbs −a −p Nom_Imprimante [−s Ordinateur_Distant] −m Nom_Pilote −r Nom_Port [−u Nom_Utilisateur −w Mot_De_Passe] Obligatoire. Spécifie que vous voulez ajouter une imprimante locale. Spécifie, par son nom, l’ordinateur distant auquel vous voulez ajouter une imprimante locale. Si vous ne spécifiez pas d’ordinateur, l’imprimante est ajoutée à l’ordinateur local. 27. Annexe I Liste alphabétique des commandes Obligatoire. Spécifie, par son nom, l’imprimante locale que vous voulez ajouter. Obligatoire. Spécifie, par son nom, le pilote de l’imprimante locale que vous voulez ajouter. Les pilotes portent souvent le nom du modèle d’imprimante qu’ils prennent en charge. Pour plus d’informations, consultez la documentation fournie avec l’imprimante. Obligatoire. Spécifie le port auquel l’imprimante est connectée. S’il s’agit d’un port parallèle ou d’un port série, utilisez l’ID du port (par exemple, LPT1 ou COM1). S’il s’agit d’un port TCP/IP, utilisez le nom de port qui a été spécifié lors de l’ajout du port. Pour plus d’informations, consultez Rubriques connexes.

−a −s Ordinateur _Distant

−p Nom _Imprimante −m Nom_Pilote

−r Nom_Port

−u Nom _Utilisateur −w Mot_De_Passe

Spécifie un compte disposant d’autorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter à l’ordinateur auquel vous voulez ajouter une imprimante locale. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez vous connecter sous un compte autorisé à lancer cette commande.

j

Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre environnement d’exécution de script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s.

911

Chapitre 27

Annexe I - Liste alphabétique des commandes

j

Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur –W MotDePasse pour indiquer les informations d’identification adéquates.

PRNQCTL
(Nouvelle commande sous Windows Server 2003). 27. Annexe I Liste alphabétique des commandes Permet d’imprimer une page de test, d’interrompre ou de reprendre une impression et de supprimer une impression d’une file d’attente. La syntaxe ci-après est utilisée pour annuler tous les travaux d’impression mis en attente sur une imprimante.

Syntaxe :
−x −s Ordinateur Distant

cscript prnqctl.vbs −x [−s OrdinateurDistant]−p NomImprimante [−u NomUtilisateur −w MotDePasse] Obligatoire. Spécifie que vous voulez annuler tous les travaux d’impression mis en attente sur une imprimante. Indique le nom de l’ordinateur distant auquel est reliée l’imprimante sur laquelle vous souhaitez annuler tous les travaux d’impression. Si vous n’indiquez pas de nom d’ordinateur, l’opération est effectuée sur l’ordinateur local.

−p NomImprimante Obligatoire. Spécifie le nom de l’imprimante sur laquelle vous voulez annuler tous les travaux d’impression. −u Nom Utilisateur −w MotDePasse

Spécifie un compte et les autorisations qui lui permettent, au moyen des services WMI (Windows Management Instrumentation), de se connecter à l’ordinateur auquel est reliée l’imprimante sur laquelle vous voulez annuler tous les travaux d’impression. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez vous connecter sous un compte autorisé à lancer cette commande.

j

Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre environnement d’exécution de script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s.

912

R

j

Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur –W MotDePasse pour indiquer les informations d’identification adéquates. Quelques secondes peuvent être nécessaires pour annuler le dernier travail à l’aide de l’option –x. Ne relancez pas la commande prnqctl –x avant que la file ne soit vidée ; vous pourriez obtenir une erreur d’impression et le dernier travail pourrait rester dans la file.

j

27.12. R RCP
Copie les fichiers depuis et vers l’ordinateur exécutant le service RCP.

27. Annexe I Liste alphabétique des commandes

Syntaxe :
−a

RCP [−a | −b] [−h] [−r] [host][.user:]source [host][.user:] path\destination Spécifie le mode de transfert ASCII. Ce mode convertit les caractères EOL en retours chariot sous Unix et en retours chariot (line feed) sur PC. C’est le mode de transfert par défaut. Spécifie le mode de transfert d’images binaire. Transfère les fichiers cachés. Copie le contenu de tous les sous-répertoires ; la destination doit être un répertoire. Spécifie l’hôte local ou distant. Si l’hôte spécifié est une adresse IP, vous devez spécifier l’utilisateur. Spécifie le nom d’utilisateur à utiliser à la place du nom d’utilisateur en cours. Spécifie les fichiers à copier. Spécifie le chemin relatif au répertoire de session sur l’hôte distant. Utilisez les caractères d’échappement (\, " ou ’) dans les chemins distants pour employer les caractères jokers sur l’hôte distant.

−b −h −r host .user: source path \destination

913

Chapitre 27

Annexe I - Liste alphabétique des commandes

j j

Windows Server 2003 ne fournit pas de démon rshd. rcp s’utilise donc principalement pour copier des fichiers entre des machines Windows et Unix.
rcp ne demande pas de mot de passe avant la copie. Pour contourner cela, utilisez le fichier .rhost du répertoire d’accueil de l’utilisateur sur le serveur rshd afin de préciser les noms d’hôtes et les noms d’utilisateurs autorisés à employer rcp afin de copier des fichiers vers ou depuis le serveur rshd.

27. Annexe I Liste alphabétique des commandes

RECOVER
Récupère les informations lisibles d’un disque endommagé ou défectueux.

Syntaxe :
j

RECOVER [lecteur:][chemin]nom_de_fichier

Recover lit le fichier indiqué secteur par secteur et récupère les données sur les secteurs non défectueux (les données se trouvant sur des secteurs défectueux sont perdues).

j

Les caractères génériques ne sont pas utilisables.

REXEC
Exécute des commandes sur des hôtes distants exécutant le service Rexec. Rexec authentifie l’utilisateur sur l’hôte distant avant d’exécuter la commande spécifiée.

Syntaxe :
hôte −l utilisateur −n commande
j j j

REXEC hôte [−l utilisateur] [−n] commande Hôte distant sur lequel la commande sera exécutée. Nom de l’utilisateur sur l’hôte distant. Redirige l’entrée de Rexec sur NULL. Commande à exécuter.

Rexec copie l’entrée standard vers la commande distante. Rexec se termine lorsque la commande distante a été exécutée. Rexec ne peut servir à l’exécution de certaines commandes Unix interactives courantes telles que emacs (utilisez Telnet à la place).

914

R

RUNAS
Lance un programme dans un contexte utilisateur différent.

Syntaxe :

RUNAS [ [/noprofile | /profile] [/env] [/savecred | /netonly] ] /user:<Nom_utilisateur> programme RUNAS [ [/noprofile | /profile] [/env] [/savecred] ] /smartcard [/user:<Nom_utilisateur>] programme Spécifie que le profil de l’utilisateur ne devrait pas être chargé. Cela permet le chargement plus rapide de l’application, mais peut provoquer le dysfonctionnement de certaines applications. Spécifie que le profil de l’utilisateur devrait être chargé. Il s’agit de l’option par défaut. pour utiliser l’environnement en cours à la place de celui de l’utilisateur. À utiliser si les informations d’identification spécifiées sont pour l’accès à distance uniquement. Pour utiliser les informations d’identification précédemment sauvegardées par l’utilisateur. Cette option n’est pas disponible sur Windows XP Édition familiale et sera ignorée. À utiliser si les informations d’identification sont fournies à partir d’une carte à puce. Sous la forme UTILISATEUR@DOMAINE ou DOMAINE \UTILISATEUR. Ligne de commandes pour EXE. 27. Annexe I Liste alphabétique des commandes

/noprofile

/profile /env /netonly /savecred

/smartcard /user <Nom Utilisateur> program
j

Il est préférable que les administrateurs possèdent deux comptes : un compte d’utilisateur ordinaire pour les tâches quotidiennes (vérifier son courrier électronique ou écrire des rapports, par exemple) et un compte administrateur pour les tâches d’administration. La commande runas permet à un administrateur d’effectuer des tâches nécessitant des autorisations d’administrateur tout en étant connecté comme un utilisateur ordinaire, rendant ainsi inutile une fermeture et une ouverture de session. La commande runas est également désignée sous le terme "Ouverture de session secondaire".

j

915

Chapitre 27

Annexe I - Liste alphabétique des commandes

j j

runas fonctionne avec des programmes (*.exe), des consoles MMC enregistrées (*.msc) et les éléments du Panneau de configuration. runas ne peut être employée avec des éléments comme l’Explorateur Windows, le dossier Imprimantes et Télécopieurs et les éléments du Bureau. Cependant, il est possible de contourner ce problème en utilisant l’onglet Processus dans le Gestionnaire des tâches afin de tuer l’interpréteur de commandes courant (Explorer .exe). Utilisez ensuite le bouton Nouvelle tâche sous l’onglet Application afin d’exécuter la commande Runas /user:Domaine\Administrateur explorer.exe.

27. Annexe I Liste alphabétique des commandes

j

Il est possible de créer un raccourci vers un élément tel qu’une console MMC enregistrée et de configurer cette dernière afin que l’exécution se fasse toujours avec des informations d’identification spécifiques.
Runas ne permet pas d’exécuter des programmes stockés sur un partage réseau car les informations d’identification servant au lancement du programme peuvent être différentes de celles utilisées pour se connecter au partage réseau. C’est pourquoi, runas peut ne pas être en mesure d’accéder aux partages.

j

− Le service Ouverture de session secondaire doit être en cours d’exécution pour pouvoir utiliser la commande runas. − Si runas est utilisée depuis la ligne de commandes sans l’option /profil, le profil d’utilisateur par défaut remplace celui de l’utilisateur incarné. Par exemple, si la commande invoquée par runas enregistre un fichier dans Mes documents, il est enregistré dans le dossier Mes documents de l’utilisateur par défaut et non dans celui de l’utilisateur spécifié par runas. Si vous passez par Exécuter en tant que depuis le menu contextuel de l’Explorateur Windows, l’option /profil est spécifiée par défaut.

27.13. S SCHTASKS
(Nouvelle commande sous Windows Server 2003). Permet à un administrateur de créer, supprimer, effectuer des requêtes, modifier, exécuter et mettre fin à des tâches planifiées sur un système local ou distant. Remplace AT.exe.

Syntaxe :
/Create /Delete

SCHTASKS /paramètre [arguments] Crée une nouvelle tâche planifiée. Supprime les tâches planifiées.

916

S

/Query /Change /Run /End
j

Affiche toutes les tâches planifiées. Modifie les propriétés d’une tâche planifiée. Exécute la tâche planifiée immédiatement. Arrête la tâche planifiée actuellement en cours d’exécution.

Le compte d’utilisateur indiqué par l’option /u doit appartenir au groupe Administrateur sur l’ordinateur distant spécifié par l’option /s. De plus, l’ordinateur local doit appartenir au même domaine que l’ordinateur distant ou se trouver dans un domaine approuvé par le domaine de l’ordinateur distant. Autrement dit, seuls les administrateurs sont autorisés à planifier des tâches. Cependant, il est possible de spécifier avec l’option /ru que le programme démarré par la tâche planifiée s’exécute avec des informations d’identification différentes. Si vous utilisez /ru SYSTEM, vous n’avez pas besoin d’employer l’option /rp pour indiquer un mot de passe. Si vous exécutez une tâche à l’aide des informations d’identification SYSTEM, les utilisateurs ne seront pas en mesure d’interagir avec le programme démarré par la tâche. En effet, SYSTEM ne dispose pas des droits d’ouverture de session interactive.
schtasks ne vérifie pas la validité du nom du programme ou du mot de passe du compte utilisateur spécifié par l’option /u. S’ils ne sont pas corrects, la tâche ne s’exécutera pas, tout simplement.

27. Annexe I Liste alphabétique des commandes

j j

j

j j

Pour vérifier si l’exécution des tâches planifiées a généré des erreurs, consultez le fichier de journalisation SchedLgU.txt qui se trouve dans le répertoire \Windows.
schtasks fonctionne de la même manière que les Tâches planifiées du Panneau de configuration.

SET
Affiche, fixe ou supprime des variables d’environnement de cmd.exe.

Syntaxe :

SET [variable=[chaîne]] SET /A expression SET /P variable=[ChaîneInvite]

j j

SET sans paramètres affiche les variables d’environnement définies. Si les extensions de commande sont activées, SET est modifié comme suit.

La commande SET appelée avec un nom de variable seulement, sans signe égal ou valeur, affiche la valeur de toutes les variables dont le préfixe correspond au nom donné à la commande SET. Par exemple, SET P affiche toutes les variables qui commencent par la lettre ’P’.

917

Chapitre 27

Annexe I - Liste alphabétique des commandes

j j j

La commande SET fixe la valeur ERRORLEVEL à 1 si le nom de variable n’est pas trouvé dans l’environnement en cours. La commande SET n’autorise pas qu’un signe égal (=) fasse partie du nom d’une variable.
/A spécifie que la chaîne à droite du signe égal est une expression numérique évaluée. L’évaluation de l’expression est assez simple et prend en charge les opérations suivantes dans l’ordre décroissant de préséance :

− () : groupement. 27. Annexe I Liste alphabétique des commandes − ! ~ : opérateurs unaires. − * / % : opérateurs arithmétiques. − + − : opérateurs arithmétiques. − << >> : décalage logique. − & : ET au niveau du bit. − ^ : OU exclusif au niveau du bit. − | : OU au niveau du bit. − = *= /= %= += −= : attribution. − &= ^= |= <<= >>= , : séparateur d’expression. Si vous utilisez des opérateurs logiques ou des nombres, vous devez mettre l’expression entre guillemets. Toute chaîne non numérique dans l’expression est traitée comme une variable d’environnement dont les valeurs sont converties en nombres avant d’être utilisées. Si un nom de variable d’environnement est spécifié mais n’est pas défini dans l’environnement en cours, la valeur zéro est utilisée. Cela vous permet de réaliser des opérations avec les valeurs d’une variable d’environnement sans entrer des signes % pour obtenir ces valeurs. Si SET /A est exécuté à partir de la ligne de commandes en dehors d’un script de commande, la valeur finale de l’expression est affichée. L’opérateur d’assignation requiert un nom de variable d’environnement à gauche de cet opérateur. Les valeurs numériques sont des nombres décimaux, à moins qu’ils ne soient préfixés par 0x pour les valeurs hexadécimales et 0 pour la notation octale. Donc, 0x12 est identique à 18 et à 022. La notation octale peut être confuse : 08 et 09 ne sont pas valides car 8 et 9 ne sont pas des nombres valides en notation octale. − /P vous permet de fixer la valeur d’une variable avec une ligne entrée par l’utilisateur. Elle affiche la chaîne ChaîneInvite spécifiée avant de lire la ligne entrée. ChaîneInvite peut être vide.
j j

La commande set est disponible dans la console de récupération. Les variables d’environnement définies à l’aide de set sont disponibles uniquement pour la session de console courante. Pour définir des variables persistantes, utilisez la commande setx.

918

S

SHUTDOWN
Agit sur les options d’arrêt d’un ordinateur.

Syntaxe :
/i /l /s /r /a /p /h /e /m \\ordinateur /t xxx

shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m \\ordinateur][/t xxx][/d [p:]xx:yy [/c "commentaire"]] Affiche l’interface utilisateur graphique (GUI). Ce doit être la première option. Ferme la session. Ne peut pas être utilisée avec l’option /m ou /d. Arrête l’ordinateur. Arrête et redémarre l’ordinateur. Annule un arrêt du système. Cet argument peut uniquement être utilisé pendant la période d’expiration du délai. Arrête l’ordinateur local sans délai d’expiration ou avertissement. Cet argument peut uniquement être utilisé avec l’option /d. Mettre l’ordinateur local en veille prolongée. Cet argument peut uniquement être utilisé avec l’option /f. Explique la raison d’un arrêt imprévu d’un ordinateur. Indique l’ordinateur cible. Définit le délai d’expiration avant l’arrêt à xxx secondes. La plage valide est comprise entre 0 et 600, 30 étant la valeur par défaut. 27. Annexe I Liste alphabétique des commandes

/c "commentaire" Commentaire sur la raison du redémarrage ou de l’arrêt. Un nombre maximal de 127 caractères est autorisé. /f /d [p:]xx:yy Force la fermeture des applications en cours d’exécution sans avertir les utilisateurs. Fournit la raison du redémarrage ou de l’arrêt. p indique que le redémarrage ou l’arrêt est planifié, xx est le code de raison majeur (entier positif inférieur à 256), yy est le code de raison mineur (entier positif inférieur à 65 536).

919

Chapitre 27

Annexe I - Liste alphabétique des commandes

START
Ouvre une fenêtre et exécute le programme ou la commande spécifiée.

Syntaxe :

START ["titre"] [/D chemin] [/I] [/MIN] [/MAX] [/SEPARATE | /SHARED] [/LOW | /NORMAL | /HIGH | /REALTIME | /ABOVENORMAL | /BELOWNORMAL] [/AFFINITY <affinité_hexa>] [/WAIT] [/B] [commande/programme] [paramètres] Titre de la fenêtre. Répertoire de départ. Lancer l’application sans créer de fenêtre. L’arrêt par ^C n’est pas pris en charge dans l’application. Si l’application n’autorise pas la détection de ^C, ^Pause est la seule façon d’arrêter l’application. Le nouvel environnement sera l’environnement original passé à cmd.exe, et non l’environnement actuel. Démarrer avec la fenêtre réduite. Démarrer avec la fenêtre agrandie. Démarrer les programmes Windows 16 bits dans un espace mémoire distinct. Démarrer les programmes Windows 16 bits dans un espace mémoire partagé. Démarrer l’application dans la classe de priorité IDLE. Démarrer l’application dans la classe de priorité NORMAL. Démarrer l’application dans la classe de priorité HIGH. Démarrer l’application dans la classe de priorité REALTIME. Démarrer l’application dans la classe de priorité ABOVENORMAL. Démarrer l’application dans la classe de priorité BELOWNORMAL. La nouvelle application aura le masque d’affinité de processeur spécifié, exprimé en tant que valeur hexadécimale. Lancer l’application et attendre qu’elle mette fin à la commande ou au programme. S’il s’agit d’une commande interne ou d’un fichier batch, le processeur de commandes est exécuté avec le commutateur

"titre" 27. Annexe I Liste alphabétique des commandes chemin B

I MIN MAX SEPARATE SHARED LOW NORMAL HIGH REALTIME ABOVENORMAL BELOWNORMAL AFFINITY WAIT

920

S

/K pour cmd.exe. Cela signifie que la fenêtre reste ouverte après exécution de la commande. S’il ne s’agit pas d’une commande interne, ni d’un fichier batch, c’est un programme qui s’exécutera sous la forme d’une application fenêtrée ou d’une application console. Paramètres
j

Spécifie les paramètres à passer à la commande ou au programme.

Si vous utilisez start pour exécuter une commande Windows (dir, chhdsk, etc.), une nouvelle fenêtre de l’interpréteur de commandes (cmd) s’ouvre afin d’exécuter cette commande. Cette fenêtre s’exécutant implicitement avec l’option /k, elle reste ouverte après la fin de la commande (voir la section cmd). Lorsque vous exécutez une application graphique 32 bits avec start, le contrôle revient immédiatement à l’Invite de commandes. Cependant, lorsqu’une commande Windows ou un script sont exécutés, ils doivent d’abord se terminer avant que le contrôle ne revienne à l’interpréteur de commande. Si les extensions de commande sont activées (c’est cas par défaut), utilisez start pour ouvrir un document ou un fichier à l’aide de l’application associée. Par exemple, voici comment ouvrir le fichier lisezmoi.doc avec Word : start lisezmoi.doc.

27. Annexe I Liste alphabétique des commandes

j

j

SYSTEMINFO
(Nouvelle commande sous Windows Server 2003). Cet outil affiche les informations de configuration du système d’exploitation pour un ordinateur local ou distant, y compris les niveaux de Service Pack.

Syntaxe :
/S système /U [domaine\] utilisateur

SYSTEMINFO [/S système [/U utilisateur [/P mot_de_passe]]] [/FO format] [/NH] Spécifie le système distant auquel se connecter. Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter.

/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Est demandé s’il est omis. /FO format Spécifie le format dans lequel la sortie doit être affichée. Valeurs autorisées: TABLE, LIST, CSV.

921

Chapitre 27

Annexe I - Liste alphabétique des commandes

/NH

Spécifie que les en-têtes de colonne ne doivent pas apparaître dans la sortie. Valide uniquement pour les formats TABLE et CSV.

27.14. T TAKEOWN
27. Annexe I Liste alphabétique des commandes (Nouvelle commande sous Windows Server 2003). Cet outil permet à un administrateur de récupérer l’accès à un fichier qui avait été refusé en réassignant l’appartenance de fichier.

Syntaxe :
/S système /U [domaine\] utilisateur

TAKEOWN [/S système] [/U utilisateur [/P mot_de_passe]]] /F nom_fichier [/A] [/R [/D invite_de_commandes]] Spécifie le système distant auquel se connecter. Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter.

/P [mot_de_passe] Spécifie le mot de passe du contexte utilisateur donné. Il est demandé s’il est omis. /F nom_fichier Spécifie le nom de fichier ou le modèle de nom du répertoire. Un caractère générique "*" peut être utilisé pour spécifier le modèle. Autorise nompartage\nomfichier. Donne l’appartenance au groupe d’administrateurs et non à l’utilisateur actuel. Récursif : force l’outil à traiter tous les fichiers du répertoire spécifié et tous ses sous-répertoires. Réponse par défaut utilisée lorsque l’utilisateur actuel ne possède pas l’autorisation "lister le dossier" sur un répertoire. Cela se produit lors du traitement récursif (/R) sur les sous-répertoires. Utilisez les valeurs O pour prendre possession ou N pour ignorer.

/A /R /D invite_de _commandes

922

T

TASKKILL
(Nouvelle commande sous Windows Server 2003) Cet outil est utilisé pour arrêter des tâches par id de processus (PID) ou nom d’image.

Syntaxe :
/S système /U [domaine\] utilisateur

TASKKILL [/S système] [/U utilisateur [/P mot_de_passe]]] { [/FI filtre] [/PID ID_processus | /IM image] } [/T] [/F] Spécifie le système distant auquel se connecter. 27. Annexe I Liste alphabétique des commandes Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter.

/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est demandé s’il est omis. /FI filtre Applique un filtre pour sélectionner un ensemble de tâches. Permet à "*" d’être utilisé. Par exemple, imagename eq test*.

/PID ID_processus Spécifie le PID du processus à arrêter. Utilisez TaskList afin d’obtenir le PID. /IM nom_image Spécifie le nom d’image du processus à terminer. Le caractère générique "*" peut être utilisé pour spécifier toutes les tâches ou les noms d’image. Met fin au processus spécifié et à tous les processus enfants qu’il a démarrés. Force les processus à se terminer. Utilisez la commande tasklist pour obtenir l’identifiant des processus en cours d’exécution que vous voulez tuer.

/T /F
j

TASKLIST
(Nouvelle commande sous Windows Server 2003). Cet outil affiche une liste des processus actuellement en cours sur un ordinateur local ou un ordinateur distant.

923

Chapitre 27

Annexe I - Liste alphabétique des commandes

Syntaxe :
/S système /U [domaine\] utilisateur /P [mot_de _passe] 27. Annexe I Liste alphabétique des commandes /M [module]

TASKLIST [/S système [/U utilisateur [/P mot_de_passe]]]] [/M [module] | /SVC | /V] [/FI filtre] [/FO format] [/NH] Spécifie le système distant auquel se connecter. Spécifie le contexte utilisateur sous lequel la commande doit s’exécuter. Spécifie le mot de passe pour le contexte utilisateur donné. Il est demandé s’il est omis. Liste toutes les tâches utilisant le nom de fichier .exe ou .dll donné. Si le nom de module n’est pas spécifié, tous les modules chargés sont affichés. Affiche les services hébergés dans chaque processus. Affiche les informations de tâches détaillées. Affiche un ensemble de tâches qui correspond au critère spécifié par le filtre. Spécifie le format de sortie. Valeurs valides : TABLE, LIST, CSV. Spécifie que les en-têtes de colonnes ne doivent pas être affichés sur la sortie. Valide uniquement pour les formats TABLE et CSV.

/SVC /V /FI filtre /FO format /NH

j

Tasklist remplace l’outil de support tlist.

TELNET
Permet d’accéder à un système distant.

Syntaxe :
−a −e −f

telnet [−a][−e car_échap][−f journal][−l utilisateur][−t terminal][hôte [port]] Tente l’ouverture de session automatique. Identique à −l, mais utilise le nom de l’utilisateur en session. Caractère d’échappement pour entrer dans l’invite du client Telnet. Nom du fichier journal côté client.

924

T

−l −t hôte port
j

Nom d’utilisateur pour l’ouverture de session à distance. Le système distant doit prendre en charge l’option TELNET ENVIRON. Type de terminal. Les terminaux pris en charge sont vt100, vt52, ansi et vtnt uniquement. Spécifie le nom de l’hôte ou l’adresse IP de l’ordinateur distant auquel la connexion est demandée. Numéro de port ou nom de service. 27. Annexe I Liste alphabétique des commandes

Contrairement à NT avant lui, Windows Server 2003 inclut un service Telnet qui lui permet de fonctionner en serveur Telnet. Nous disposons donc d’un nouveau moyen pour effectuer l’administration à distance des serveurs Windows Server 2003. Avant qu’un client Telnet puisse se connecter au service Telnet, ce dernier doit être démarré manuellement sur le serveur ou son paramètre de démarrage doit être mis à Automatique. Alors que le client Telnet sous NT était un utilitaire graphique (Telnet.exe), la version sous Windows Server 2003 s’exécute en mode Console. Ce client supporte également l’authentification NTLM afin d’améliorer la sécurité de l’authentification entre les clients et les serveurs Telnet. Cependant le client graphique telnet.exe de Windows NT proposait dans la session, une fonctionnalité qui n’est plus supportée dans la version en ligne de commandes de Windows Server 2003.

j

TFTP
Transfère les fichiers depuis et vers un ordinateur distant exécutant le service TFTP.

Syntaxe :
−i

TFTP [−i] host [GET | PUT] source [destination] Spécifie le mode de transfert d’images binaire (aussi appelé "octets"). En mode Images binaire, le fichier est transféré octet par octet. Utilisez ce mode pour transférer des fichiers binaires. Spécifie l’hôte local ou distant. Transfère la destination du fichier sur l’hôte distant vers la source du fichier sur l’hôte local. Transfère la source du fichier sur l’hôte local vers la destination du fichier sur l’hôte distant. Indique le fichier à transférer. Indique où transférer le fichier.

host GET PUT source destination

925

Chapitre 27

Annexe I - Liste alphabétique des commandes

TIME
Affiche ou modifie l’heure système.

Syntaxe :
TIME /T 27. Annexe I Liste alphabétique des commandes

TIME [/T | heure] Sans paramètres, affiche l’heure en cours et demande une nouvelle heure. Appuyez sur [Ä] pour conserver la même heure. La commande n’indique que l’heure, sans demander d’en entrer une nouvelle.

926

Chapitre 28

Annexe II - Les services et les ports réseau sous Windows Server 2003
28.1 28.2 28.3 Les ports des services système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . . . 965

Les ports des services système

D

urant les épreuves difficiles que sont les temps de crise, les arrêts de production, les problèmes bloquants ou aléatoires, vous serez parfois amené à récupérer les trames TCP/IP, à analyser le trafic entrant et sortant au niveau de votre serveur afin d’en déterminer les échanges de communication et, donc, de résoudre le problème. Souvent, lors de l’analyse des trames TCP/IP, il peut s’avérer difficile de faire la corrélation entre le numéro de port et le nom du service délivré par Windows Server 2003 qui communique sur ce port. Le but de cette annexe est de vous apporter une référence précise et concise qui vous aidera à faire le lien entre les services Windows Server 2003 et les ports TCP/IP associés. Orientée sur la résolution de problèmes ou l’audit de sécurité, cette annexe est découpée en deux parties : une partie qui décrit brièvement chaque service, indique son nom logique, ainsi que les ports et les protocoles requis pour le fonctionnement de ces services. Et une autre partie qui présente, sous forme de tableau, un classement par numéro de port, et non selon le nom des services, et qui vous permet de déterminer rapidement quels sont les services à l’écoute sur un port particulier. Et pour être le plus exhaustif possible, cette annexe inclut aussi les noms de services et les numéros de ports TCP/IP de quelques-uns des produits serveurs Microsoft les plus utilisés. Enfin, cette annexe est destinée à s’appliquer à un système d’exploitation serveur, c’est la raison pour laquelle elle présente les ports sur lesquels un service est à l’écoute et non les ports utilisés par les programmes clients pour se connecter à un système distant.

28. Annexe II Les services et les ports réseau

28.1. Les ports des services système
Cette partie donne une description de chaque service système, indique son nom logique correspondant, ainsi que les ports et les protocoles requis par chaque service.

Active Directory (autorité de sécurité locale)
Active Directory s’exécute sous le processus LSASS et inclut les moteurs d’authentification et de réplication pour les contrôleurs de domaine Windows 2000 et Windows Server 2003. Les contrôleurs de domaine, les ordinateurs clients et les serveurs d’applications requièrent une connectivité réseau à Active Directory sur des ports spécifiques codés de manière irréversible en plus d’une plage de ports TCP éphémères entre 1024 et 65536, à moins qu’un protocole de tunneling ne soit utilisé pour encapsuler ce trafic. Une solution encapsulée pourrait être constituée d’une passerelle VPN située derrière un routeur de filtrage utilisant le protocole L2TP (Layer 2 Tunneling Protocol) avec IPSec. Dans ce scénario encapsulé, vous devez autoriser les protocoles ESP (Encapsulating Security Protocol) IPSec (protocole IP 50), NAT-T (Network Address Translator Traversal) IPSec (UDP port 4500) et ISAKMP (Internet Security Association and Key Management Protocol) IPSec (port UDP 500) à travers le routeur au lieu d’ouvrir tous les ports et protocoles répertoriés ci-dessous. Pour finir, le port utilisé pour la réplication Active Directory peut être codé de manière irréversible comme décrit

929

Chapitre 28

Annexe II - Les services et les ports réseau

dans l’article 224196 de la base de connaissance de Microsoft (restriction du trafic de réplication Active Directory sur un port spécifique). L2TP Les filtres de paquets pour le trafic L2TP ne sont pas requis car L2TP est protégé par IPSec ESP.

Tableau 28.1 : Nom du service système : LSASS Protocole d’application Serveur de catalogue global Serveur de catalogue global Serveur LDAP Protocole TCP TCP TCP UDP TCP UDP UDP UDP TCP TCP Port 3269 3268 389 389 636 636 500 4500 135 1024-65536

28. Annexe II Les services et les ports réseau

Serveur LDAP LDAP SSL LDAP SSL ISAKMP IPSec NAT-T RPC Ports TCP aléatoires élevés

Le service de la passerelle de la couche Application
Ce sous-composant du service Partage de connexion Internet/Pare-feu de connexion Internet (ICS/ICF, Internet Connection Sharing/Internet Connection Firewall) prend en charge les plugins qui permettent aux protocoles réseau de traverser le pare-feu et de fonctionner derrière le Partage de connexion Internet. Les plugins de la passerelle de la couche Application (ALG, Application Layer Gateway) peuvent ouvrir des ports et modifier des données (telles que les ports et les adresses IP) incorporées dans des paquets. FTP (File Transfer Protocol) est le seul protocole réseau pour lequel un plugin est fourni avec Windows Server 2003 Standard Edition et Windows Server 2003 Enterprise Edition. Le plugin FTP de la passerelle de la couche Application est conçu pour prendre en charge les sessions FTP actives par l’intermédiaire du moteur de traduction d’adresses réseau (NAT, Network Address Translation) utilisé par ces composants. Pour prendre en charge ces sessions, le plugin redirige tout le trafic qui passe par le moteur NAT et destiné au port 21 vers un port d’écoute privé dans la plage comprise entre 3000 et 5000 sur la carte de bouclage. Ensuite, il surveille et met à jour le trafic du canal de contrôle FTP de sorte que le plugin FTP puisse transférer les

930

Les ports des services système

mappages de ports par l’intermédiaire du moteur NAT pour les canaux de données FTP. Ce plugin met également à jour les ports dans le flux du canal de contrôle FTP.
Tableau 28.2 : Nom du service système : ALG Protocole d’application Contrôle FTP Protocole TCP Port 21

Le service d’état ASP.NET
Le service d’état ASP.NET assure la prise en charge des états de session out-of-process pour ASP.NET. Il stocke des données de session out-of-process. Le service utilise des sockets pour communiquer avec ASP.NET exécuté sur un serveur web. 28. Annexe II Les services et les ports réseau
Tableau 28.3 : Nom du service système : aspnet_state Protocole d’application État de session ASP.NET Protocole TCP Port 42424

Les services de certificats
Les services de certificats font partie du système d’exploitation de base. Ils permettent à une entreprise d’agir comme sa propre autorité de certification (CA). Ainsi, l’entreprise peut émettre et gérer des certificats numériques pour des programmes et des protocoles tels que S/MIME (Secure/Multipurpose Internet Mail Extensions), SSL (Secure Sockets Layer), EFS (Encrypting File System), IPSec et carte à puce. Les services de certificats utilisent les protocoles RPC et DCOM pour communiquer avec les clients en utilisant des ports TCP aléatoires supérieurs au port 1024.
Tableau 28.4 : Nom du service système : CertSvc Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

Le service de cluster
Le service de cluster contrôle les opérations de cluster du serveur et gère la base de données du cluster. Un cluster est un ensemble d’ordinateurs indépendants qui agissent 931

Chapitre 28

Annexe II - Les services et les ports réseau

en tant qu’ordinateur unique. Les gestionnaires, les programmeurs et les utilisateurs voient le cluster comme un système unique. Le logiciel distribue les données dans les nœuds du cluster. En cas de défaillance d’un nœud, d’autres nœuds fournissent les services et les données correspondants à sa place. Lorsqu’un nœud est ajouté ou réparé, le logiciel de cluster migre certaines données vers ce nœud.
Tableau 28.5 : Nom du service système : ClusSvc Protocole d’application Services de clusters RPC Ports TCP aléatoires élevés Protocole UDP TCP TCP Port 3343 135 1024-65534

28. Annexe II Les services et les ports réseau

L’Explorateur d’ordinateurs
Le service Explorateur d’ordinateurs maintient à jour la liste des ordinateurs sur votre réseau et la communique aux programmes qui la demandent. Les ordinateurs Windows utilisent ce service pour afficher les domaines et les ressources réseau. Les ordinateurs désignés comme explorateurs gèrent des listes de parcours contenant toutes les ressources partagées utilisées sur le réseau. Les versions antérieures des programmes Windows (par exemple, les Favoris réseau), la commande net view et l’Explorateur Windows, tous nécessitent des capacités de navigation. Par exemple, lorsque vous ouvrez les Favoris réseau sur un ordinateur Microsoft Windows 95, une liste des domaines et des ordinateurs s’affiche. Pour pouvoir afficher cette liste, l’ordinateur demande une copie de la liste de parcours à l’ordinateur désigné comme explorateur.
Tableau 28.6 : Nom du service système : Browser Protocole d’application Service de datagramme NetBIOS Résolution de noms NetBIOS Service de session NetBIOS Protocole UDP UDP TCP Port 138 137 139

Le Serveur DHCP
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer automatiquement des adresses IP. Grâce à ce service, vous pouvez régler les paramètres réseau avancés des clients DHCP. Par exemple, vous pouvez configurer des paramètres réseau tels que les serveurs DNS (Domain Name System) ou WINS (Windows Internet Name Service). Vous pouvez désigner un ou plusieurs serveurs DHCP pour gérer les informations de configuration TCP/IP et les transmettre aux ordinateurs clients. 932

Les ports des services système

Tableau 28.7 : Nom du service système : DHCPServer Protocole d’application Serveur DHCP MADCAP Protocole UDP UDP Port 67 2535

Le Système de fichiers distribués (DFS)
Le Système de fichiers distribués (DFS, Distributed File System) intègre des partages de fichiers disparates qui sont situés sur un réseau local (LAN) ou un réseau étendu (WAN) dans un espace de noms logique unique. Le service DFS est nécessaire aux contrôleurs de domaine Active Directory pour la publication du dossier partagé SYSVOL. 28. Annexe II Les services et les ports réseau
Tableau 28.8 : Nom du service système : DFS Protocole d’application Service de datagramme NetBIOS Service de session NetBIOS Serveur LDAP Serveur LDAP SMB RPC Ports TCP aléatoires élevés Protocole UDP TCP TCP UDP TCP TCP TCP Port 138 139 389 389 445 135 1024-65534

Le Serveur de suivi de lien distribué
Le service Serveur de suivi de lien distribué stocke des informations qui permettent de suivre, sur chaque volume du domaine, les fichiers ayant été déplacés d’un volume à un autre. Il s’exécute sur chaque contrôleur de domaine. Il active le service Client de suivi de lien distribué afin de suivre les documents liés ayant été déplacés vers un emplacement situé sur un autre volume NTFS du même domaine.
Tableau 28.9 : Nom du service système : TrkSvr Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

933

Chapitre 28

Annexe II - Les services et les ports réseau

Le Coordinateur de transactions distribuées
Le service Coordinateur de transactions distribuées (DTC, Distributed Transaction Coordinator) assure la coordination des transactions distribuées sur plusieurs systèmes et gestionnaires de ressources, par exemple les bases de données, les files d’attente des messages, les systèmes de fichiers ou d’autres gestionnaires de ressources dont les transactions sont protégées. Le service système DTC est requis si les composants transactionnels sont configurés à l’aide de COM+. Il est également requis pour les files d’attente transactionnelles dans Message Queuing (MSMQ) et les opérations SQL Server qui s’étendent sur différents systèmes.
Tableau 28.10 : Nom du service système : MSDTC Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

28. Annexe II Les services et les ports réseau

Le Serveur DNS
Le service Serveur DNS active la résolution de noms DNS en répondant aux requêtes et il met à jour les requêtes de noms DNS. Les serveurs DNS sont requis pour rechercher les périphériques et les services identifiés à l’aide des noms DNS, ainsi que les contrôleurs de domaine dans Active Directory.
Tableau 28.11 : Nom du service système : DNS Protocole d’application DNS DNS Protocole UDP TCP Port 53 53

Le Journal des événements
Le service Journal des événements consigne les messages d’événements générés par les applications et par Windows Server 2003. Les rapports du Journal des événements contiennent des informations utiles pour diagnostiquer les problèmes. Ils sont affichés dans l’Observateur d’événements. Le service Journal des événements consigne dans des fichiers journaux les événements envoyés par les programmes, les services et le système d’exploitation. Outre les erreurs spécifiques au programme source, au service ou au composant, les événements comprennent des informations de diagnostic. Les journaux peuvent être affichés par programmation par le biais des interfaces API des journaux d’événements ou de l’Observateur d’événements dans un composant logiciel enfichable. 934

Les ports des services système

Tableau 28.12 : Nom du service système : EventLog Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

Les clients Microsoft Exchange Server et Outlook
Les versions des clients Microsoft Exchange Server ont différentes exigences de ports et de protocoles. Ces exigences dépendent de la version du client Exchange Server utilisée. Pour que les clients Outlook puissent se connecter aux versions d’Exchange antérieures à Exchange 2003, la connectivité RPC directe au serveur Exchange est requise. Les connexions RPC établies à partir d’Outlook vers le serveur Exchange contacteront d’abord le mappeur de point de terminaison RPC (port TCP 135) pour demander des informations sur les mappages de ports des différents points de terminaison requis. Le client Outlook essaie ensuite d’établir des connexions au serveur Exchange en utilisant directement ces ports de point de terminaison. Exchange 5.5 utilise deux ports pour la communication avec les clients. L’un des ports est pour la banque d’informations, l’autre pour l’annuaire. Exchange 2000 et 2003 utilisent trois ports pour la communication avec les clients. L’un des ports est pour la banque d’informations, un autre pour la référence d’annuaire (RFR) et un autre pour DSProxy/NSPI. Dans la plupart des cas, ces deux ou trois ports seront mappés de manière aléatoire dans la plage TCP 1024-65534. Si besoin est, ils peuvent être configurés pour toujours lier à un mappage de port statique plutôt que pour utiliser les ports éphémères. Les clients Outlook 2003 prennent en charge la connectivité directe aux serveurs Exchange à l’aide de RPC. Toutefois, ces clients peuvent communiquer également avec les serveurs Exchange 2003 hébergés sur des ordinateurs Windows Server 2003 sur Internet. L’utilisation de la communication RPC sur HTTP entre Outlook et un serveur Exchange élimine le besoin d’exposer le trafic RPC non authentifié sur Internet. Au lieu de cela, le trafic entre le client Outlook 2003 et le serveur Exchange Server 2003 est transmis dans un tunnel dans des paquets HTTPS sur le port TCP 443 (HTTPS). RPC sur HTTP requiert que le port TCP 443 (HTTPS) soit disponible entre le client Outlook 2003 et le serveur qui joue le rôle de périphérique "RPCProxy". Les paquets HTTPS sont terminés au serveur RPCProxy et les paquets RPC désenveloppés sont ensuite passés au serveur Exchange sur trois ports, de manière semblable au trafic RPC direct décrit plus haut. Ces ports RPC sur HTTP sur le serveur Exchange sont mappés de manière statique aux ports TCP 6001 (la banque d’informations), TCP 6002 (référence d’annuaire) et TCP 6004 (DSProxy/NSPI). Aucun mappeur de point de terminaison ne doit être exposé lors de l’utilisation des communications RPC sur HTTP entre Outlook 2003 et Exchange 2003, puisqu’Outlook 2003 sait utiliser ces ports de 935

28. Annexe II Les services et les ports réseau

Chapitre 28

Annexe II - Les services et les ports réseau

point de terminaison mappés de manière statique. De plus, aucun catalogue global ne doit être exposé au client Outlook 2003 car l’interface DSProxy/NSPI sur le serveur Exchange 2003 fournira cette fonctionnalité. Plus d’informations sur Microsoft Exchange 2003 Vous trouverez plus d’informations au sujet de la planification et de l’implémentation d’Exchange 2003 à l’adresse www.microsoft.com/technet/prodtechnol/exchange /2003/library/default.mspx. Exchange Server assure également la prise en charge d’autres protocoles, par exemple SMTP, POP3 (Post Office Protocol 3) et IMAP.
Tableau 28.13 : Clients Microsoft Exchange Server et Outlook Protocole d’application Protocole TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP Port 143 993 110 995 1024-65534 135 443 25 25 6001 6002 6004

28. Annexe II Les services et les ports réseau

IMAP IMAP sur SSL POP3 POP3 sur SSL Ports TCP aléatoires élevés RPC RPC sur http SMTP SMTP Banque d’informations Référence d’annuaire DSProxy/NSPI

Le service de télécopie
Le service de télécopie, qui est conforme à l’API de téléphonie (TAPI), fournit des fonctions de télécopie. Grâce à ce service, les utilisateurs peuvent envoyer et recevoir des télécopies à partir du bureau de Windows en utilisant un télécopieur local ou un télécopieur réseau partagé.
Tableau 28.14 : Nom du service système : Fax Protocole d’application Service de session NetBIOS RPC Protocole TCP TCP Port 139 135

936

Les ports des services système

Protocole d’application Ports TCP aléatoires élevés SMB

Protocole TCP TCP

Port 1024-65534 445

La réplication de fichiers
Le service de réplication de fichiers (FRS, File Replication Service) est un moteur de réplication basé sur des fichiers qui copie automatiquement des mises à jour de fichiers et de dossiers entre des ordinateurs qui participent à un jeu de réplicas FRS commun. Il s’agit du moteur de réplication par défaut utilisé pour répliquer le contenu du dossier SYSVOL entre des contrôleurs de domaine (qu’ils soient sous Windows 2000 Server ou Windows Server 2003) situés dans un domaine commun. Le service FRS peut être configuré de façon à répliquer des fichiers et des dossiers entre des cibles d’une racine ou liaison DFS à l’aide de l’outil d’administration DFS.
Tableau 28.15 : Nom du service système : NtFrs Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

28. Annexe II Les services et les ports réseau

Le Serveur de fichiers pour Macintosh
Grâce au service Serveur de fichiers pour Macintosh, les utilisateurs Macintosh peuvent stocker des fichiers sur un ordinateur Windows Server 2003 et accéder à ces fichiers. Si ce service est désactivé ou bloqué, les clients Macintosh ne peuvent pas stocker de fichiers sur cet ordinateur, ni y accéder.
Tableau 28.16 : Nom du service système : MacFile Protocole d’application Serveur de fichiers pour Macintosh Protocole TCP Port 548

Le service de publication FTP
Le service de publication FTP permet d’établir une connexion FTP. Par défaut, le port de contrôle FTP est 21. Toutefois, vous pouvez configurer ce service système à l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Le port des 937

Chapitre 28

Annexe II - Les services et les ports réseau

données (utilisées pour le FTP en mode actif) par défaut est automatiquement celui qui est placé juste en dessous du port de contrôle. Par conséquent, si le port de contrôle est configuré sur 4131, le port des données par défaut est 4130. La plupart des clients FTP utilisent le FTP en mode passif. Cela signifie que le client se connecte initialement au serveur FTP par le biais du port de contrôle, le serveur FTP attribue un port TCP élevé compris entre les ports 1025 et 5000, puis le client ouvre une seconde connexion sur le serveur FTP pour transférer les données. Vous pouvez configurer la gamme des ports élevés à l’aide de la métabase IIS.
Tableau 28.17 : Nom du service système : MSFTPSVC Protocole d’application Contrôle FTP Données FTP par défaut Protocole TCP TCP Port 21 20

28. Annexe II Les services et les ports réseau

HTTP SSL
Le service HTTP SSL permet à IIS d’utiliser les fonctions SSL. SSL est une norme ouverte pour établir un canal de communications sécurisées afin d’empêcher l’interception d’informations telles que des numéros de cartes de crédit. Bien qu’il soit conçu pour fonctionner avec d’autres services Internet, SSL est utilisé principalement pour effectuer des transactions financières sur Internet. Vous pouvez configurer les ports pour ce service à l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS).
Tableau 28.18 : Nom du service système : HTTPFilter Protocole d’application HTTPS Protocole TCP Port 443

Le service d’authentification Internet
Le service d’authentification Internet (IAS, Internet Authentication Service) procède à l’authentification, l’autorisation, l’audit et la gestion centralisés des utilisateurs connectés à un réseau. Ces utilisateurs peuvent être sur une connexion réseau local ou une connexion à distance. IAS met en œuvre le protocole RADIUS (Remote Authentication Dial-In User Service) standard de l’IETF (Internet Engineering Task Force).
Tableau 28.19 : Nom du service système : IAS Protocole d’application RADIUS hérité Protocole UDP Port 1645

938

Les ports des services système

Protocole d’application RADIUS hérité Gestion RADIUS Authentification RADIUS

Protocole UDP UDP UDP

Port 1646 1813 1812

Le service Pare-feu de connexion Internet/Partage de connexion Internet (ICF/ICS)
Ce service fournit des services de traduction d’adresses réseau (NAT), d’adressage et de résolution de noms pour tous les ordinateurs de votre réseau. Lorsque la fonction ICS est activée, votre ordinateur devient une "passerelle Internet" sur le réseau et les autres ordinateurs clients peuvent partager une connexion à Internet, par exemple une connexion à distance ou large bande. Ce service fournit les services DHCP et DNS de base, mais il va fonctionner avec l’ensemble des services DHCP ou DNS de Windows. Lorsque les fonctions ICF et ICS agissent en tant que passerelles pour les autres ordinateurs de votre réseau, elles fournissent les services DHCP et DNS au réseau privé sur l’interface réseau interne, mais pas sur l’interface externe.
Tableau 28.20 : Nom du service système : SharedAccess Protocole d’application Serveur DHCP DNS DNS Protocole UDP UDP TCP Port 67 53 53

28. Annexe II Les services et les ports réseau

Le Centre de distribution de clés Kerberos
Lorsque vous utilisez le service Centre de distribution de clés Kerberos (KDC, Key Distribution Center), les utilisateurs peuvent se connecter au réseau par le biais du protocole d’authentification Kerberos, version 5. Comme pour toutes les autres implémentations du protocole Kerberos, le KDC est un processus unique qui fournit deux services : le service Authentification et le service d’accord de tickets. Le premier émet des tickets d’accord et le second émet des tickets pour la connexion vers des ordinateurs de son propre domaine.
Tableau 28.21 : Nom du service système : kdc Protocole d’application Kerberos Kerberos Protocole TCP UDP Port 88 88

939

Chapitre 28

Annexe II - Les services et les ports réseau

L’enregistrement de licences
Le service d’enregistrement de licences est un outil qui avait été conçu à l’origine pour aider les clients à gérer les licences des produits serveurs Microsoft utilisant le modèle Licence d’Accès Client (CAL) au serveur. L’enregistrement de licences a été introduit avec Windows NT Server 3.51. Par défaut, le service d’enregistrement de licences est désactivé dans Windows Server 2003. En raison des contraintes héritées liées à la conception et de l’évolution des termes des licences, l’enregistrement de licences peut ne pas indiquer de façon précise le nombre total de CAL achetées par rapport au nombre total de CAL utilisées sur un serveur particulier ou dans toute l’entreprise. Les CAL mentionnées par l’enregistrement de licences peuvent entrer en conflit avec l’interprétation du contrat de licence utilisateur final (CLUF) et avec les droits d’utilisation des produits (PUR, Product Use Rights). D’ailleurs, il semblerait que l’enregistrement de licences ne soit pas fourni avec les versions futures du système d’exploitation Windows. Microsoft recommande par contre aux utilisateurs des systèmes d’exploitation de la gamme Small Business Server uniquement, d’activer ce service sur leurs serveurs.
Tableau 28.22 : Nom du service système : LicenseService Protocole d’application Service de datagramme NetBIOS Service de session NetBIOS SMB Protocole UDP TCP TCP Port 138 139 445

28. Annexe II Les services et les ports réseau

Le service Message Queuing (MSMQ)
Le service Message Queuing (MSMQ) est un outil de développement et d’infrastructure de messagerie pour créer des applications de messagerie distribuées pour des programmes exécutant Windows. Ces programmes peuvent communiquer entre des réseaux hétérogènes et envoyer des messages entre des ordinateurs qui peuvent ne pas parvenir temporairement à se connecter les uns aux autres. Message Queuing fournit une sécurité, un routage efficace, une prise en charge d’envoi de messages à l’intérieur des transactions, une messagerie basée sur la priorité et une livraison de message garantie.
Tableau 28.23 : Nom du service système : MSMQ Protocole d’application MSMQ MSMQ MSMQ- Contrôleurs de domaine Protocole TCP UDP TCP Port 1801 1801 2101

940

Les ports des services système

Protocole d’application MSMQ-Mgmt MSMQ-Ping MSMQ-RPC MSMQ-RPC RPC

Protocole TCP UDP TCP TCP TCP

Port 2107 3527 2105 2103 135

L’Affichage des messages
Le service Affichage des messages envoie des messages à des utilisateurs et ordinateurs, à des administrateurs et au service Alertes, ou reçoit des messages d’eux. Si vous le désactivez, les ordinateurs ou utilisateurs actuellement connectés sur le réseau ne reçoivent plus de notifications. En outre, les commandes net send et net name ne fonctionnent plus.
Tableau 28.24 : Nom du service système : Messenger Protocole d’application Service de datagramme NetBIOS Protocole UDP Port 138

28. Annexe II Les services et les ports réseau

Les piles MTA Microsoft Exchange
Dans Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003, l’Agent de transfert des messages (MTA, Message Transfer Agent) est souvent utilisé pour fournir des services de transfert de messages à compatibilité descendante entre des serveurs Exchange 2000 Server et Exchange Server 5.5 dans un environnement en mode mixte.
Tableau 28.25 : Nom du service système : MSExchangeMTA Protocole d’application X.400 Protocole TCP Port 102

Le Gestionnaire des opérations Microsoft 2000
Le Gestionnaire des opérations Microsoft (MOM, Microsoft Operations Manager) 2000 offre aux entreprises une gestion des opérations avec les fonctionnalités suivantes : gestion complète des événements, alertes et surveillance proactives, génération de 941

Chapitre 28

Annexe II - Les services et les ports réseau

rapports et analyse des tendances. Dès que vous avez installé le Service Pack 1 (SP1) MOM 2000, MOM 2000 n’utilise plus un canal de communications en texte clair et tout le trafic entre l’agent MOM et le serveur MOM est crypté sur le port TCP 1270. La console Administrateur MOM se connecte au serveur par l’intermédiaire de DCOM. Cela signifie que les administrateurs qui gèrent le serveur MOM sur le réseau doivent avoir accès aux ports TCP aléatoires élevés.
Tableau 28.26 : Nom du service système : one point Protocole d’application MOM-Clair MOM-Crypté Protocole TCP TCP Port 51515 1270

28. Annexe II Les services et les ports réseau

Le service POP3 Microsoft
Le service POP3 Microsoft fournit des services de récupération et de transfert de messages électroniques. Les administrateurs peuvent l’utiliser pour stocker et gérer des comptes de messagerie électronique sur le serveur de messagerie. Lorsque vous installez ce service sur le serveur de messagerie, les utilisateurs peuvent se connecter à ce serveur et récupérer le courrier électronique par le biais du client de messagerie qui prend en charge le protocole POP3, par exemple Outlook.
Tableau 28.27 : Nom du service système : POP3SVC Protocole d’application POP3 Protocole TCP Port 110

Le service MSSQLSERVER
MSSQLSERVER est un service système de Microsoft SQL Server 2000. SQL Server constitue une plateforme complète pour la gestion de données. Grâce à l’utilitaire Réseau Serveur, vous pouvez configurer les ports utilisés par chaque instance de SQL Server.
Tableau 28.28 : Nom du service système : MSSQLSERVER Protocole d’application SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434

942

Les ports des services système

Le service MSSQL$UDDI
Le service MSSQL$UDDI est installé en même temps que la fonctionnalité UDDI (Universal Description, Discovery, and Integration) de Windows Server 2003. MSSQL$UDDI fournit à l’entreprise des services UDDI. Le moteur de base de données SQL Server est le composant principal de MSSQL$UDDI.
Tableau 28.29 : Nom du service système : MSSQLSERVER Protocole d’application SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434

L’Ouverture de session réseau
Le service Ouverture de session réseau maintient un canal de sécurité entre votre ordinateur et le contrôleur de domaine pour authentifier les utilisateurs et les services. Il transmet les informations d’identification de l’utilisateur à un contrôleur de domaine, puis renvoie à l’utilisateur les identificateurs de sécurité du domaine et les droits utilisateur. Cette procédure est généralement appelée "authentification directe". Net Logon est configuré pour démarrer automatiquement uniquement lorsqu’un ordinateur membre ou un contrôleur de domaine est joint à un domaine. Dans la gamme Windows 2000 Server et Windows Server 2003, l’Ouverture de session réseau publie des enregistrements de localisation de ressource de service dans le DNS. Lorsqu’il est exécuté, ce service repose sur les services Serveur et Autorité de sécurité locale pour surveiller les requêtes entrantes. Sur les ordinateurs membres du domaine, l’Ouverture de session réseau utilise RPC sur des canaux nommés. Sur les contrôleurs de domaine, elle utilise RPC sur des canaux nommés, RPC sur TCP/IP, des mailslots et le protocole LDAP (Lightweight Directory Access Protocol).
Tableau 28.30 : Nom du service système : Netlogon Protocole d’application Service de datagramme NetBIOS Résolution de noms NetBIOS Service de session NetBIOS SMB Protocole UDP UDP TCP TCP Port 138 137 139 445

28. Annexe II Les services et les ports réseau

Le Partage de Bureau à distance NetMeeting
Le service Partage de Bureau à distance NetMeeting permet aux utilisateurs autorisés d’accéder à distance à votre Bureau Windows à partir d’un autre ordinateur personnel 943

Chapitre 28

Annexe II - Les services et les ports réseau

sur un intranet d’entreprise par le biais de Windows NetMeeting. Vous devez activer explicitement ce service dans NetMeeting. Pour désactiver ou arrêter cette fonction, utilisez l’icône située dans la zone de notification Windows.
Tableau 28.31 : Nom du service système : mnmsrvc Protocole d’application Services Terminal Server Protocole TCP Port 3389

Network News Transfer Protocol (NNTP)
Le service NNTP permet aux ordinateurs Windows Server 2003 d’agir en tant que serveurs de news. Les clients peuvent utiliser un client de news, tel que Microsoft Outlook Express, pour récupérer des groupes de discussion à partir du serveur et lire les en-têtes ou le contenu des articles dans chaque groupe de discussion.
Tableau 28.32 : Nom du service système : NNTPSVC Protocole d’application NNTP NNTP sur SSL Protocole TCP TCP Port 119 563

28. Annexe II Les services et les ports réseau

Le service Journaux et alertes de performance
Le service Journaux et alertes de performance collecte, en fonction des paramètres de planification préconfigurés, les données de performance provenant des ordinateurs locaux ou distants, puis les consigne dans un journal ou déclenche l’envoi d’un message. Selon les informations contenues dans le paramètre de collecte du journal, le service Journaux et alertes de performance démarre et arrête chaque collecte de données de performance nommée. Ce service s’exécute uniquement si au moins une collecte de données de performance est planifiée.
Tableau 28.33 : Nom du service système : SysmonLog Protocole d’application Service de session NetBIOS Protocole TCP Port 139

Le Spouleur d’impression
Le service Spouleur d’impression gère toutes les files d’attente d’impression locale et réseau et contrôle tous les travaux d’impression. Le Spouleur d’impression est le centre

944

Les ports des services système

du sous-système d’impression Windows. Il gère les files d’attente d’impression sur le système et communique avec les pilotes d’imprimantes et les composants d’entrée/sortie (E/S), tels que le port USB et la suite de protocoles TCP/IP.
Tableau 28.34 : Nom du service système : Spooler Protocole d’application Service de session NetBIOS SMB Protocole TCP TCP Port 139 445

L’Installation à distance
Vous pouvez utiliser le service d’installation à distance pour installer Windows 2000, Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le démarrage à distance dans un environnement d’exécution de prédémarrage (PXE, Pre-Boot EXecution Environment). Le service BINL (Boot Information Negotiation Layer), composant principal du serveur d’installation à distance RIS (Remote Installation Server), répond aux demandes des clients PXE, vérifie Active Directory pour la validation client et transmet les informations client vers et depuis le serveur. Ce service est installé soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalité Ajout/Suppression de composants Windows, soit lorsque vous le sélectionnez lors de la première installation du système d’exploitation.
Tableau 28.35 : Nom du service système : BINLSVC Protocole d’application BINL Protocole UDP Port 4011

28. Annexe II Les services et les ports réseau

L’Appel de procédure distante (RPC)
Le service Appel de procédure distante est un mécanisme IPC (InterProcess Communication) qui active l’échange de données et l’invocation de fonctionnalités qui résident dans un processus différent. Ce processus peut être sur le même ordinateur, sur le réseau local ou sur un emplacement distant. Il est accessible par le biais d’une connexion WAN ou VPN. Le service RPC sert de mappeur de point final RPC et de Gestionnaire de contrôle des services COM (Component Object Model). De nombreux services dépendent du service RPC pour démarrer correctement.
Tableau 28.36 : Nom du service système : RpcSs Protocole d’application RPC RPC sur http Protocole TCP TCP Port 135 593

945

Chapitre 28

Annexe II - Les services et les ports réseau

Le Localisateur d’appels de procédure distante (RPC)
Le service Localisateur d’appels de procédure distante gère la base de données du service de nom RPC. Lorsqu’il est désactivé, les clients RPC peuvent rechercher des serveurs RPC. Ce service est désactivé par défaut.
Tableau 28.37 : Nom du service système : RpcLocator Protocole d’application Service de session NetBIOS SMB Protocole TCP TCP Port 139 445

La Notification de stockage étendu
28. Annexe II Les services et les ports réseau Le service Notification de stockage étendu avertit les utilisateurs lorsqu’ils lisent des fichiers ou écrivent dans des fichiers qui ne sont disponibles qu’à partir d’un support de stockage secondaire. Si vous arrêtez ce service, vous ne recevez plus cette notification.
Tableau 28.38 : Nom du service système : Remote_Storage_User_Link Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

Le Serveur de stockage étendu
Le service Serveur de stockage étendu stocke des fichiers rarement utilisés sur un support de stockage secondaire. Si vous arrêtez ce service, les utilisateurs ne peuvent plus déplacer, ni récupérer des fichiers à partir de ce support.
Tableau 28.39 : Nom du service système : Remote_Storage_Server Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

Le Routage et accès distant
Le service Routage et accès distant fournit des services de routage multiprotocoles, de réseau local à réseau local, de réseau local à réseau étendu, ou utilisant les réseaux privés virtuels (VPN) ou la traduction d’adresses réseau (NAT). En outre, ce service 946

Les ports des services système

fournit également des services d’accès à distance (connexion à distance ou VPN). Même s’il est possible que le service Routage et accès distant utilise tous les protocoles suivants, il n’utilise généralement qu’un sous-ensemble de ces protocoles. Par exemple, si vous configurez une passerelle VPN qui se situe derrière un routeur de filtrage, vous utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanément L2TP et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (TCP sur le port 4500) et ISAKMP IPSec (TCP sur le port 500) par l’intermédiaire du routeur. Routage et accès distant Même si NAT-T et ISAKMP IPSec sont requis pour le protocole L2TP, ces ports sont en fait surveillés par l’Autorité de sécurité locale.

Tableau 28.40 : Nom du service système : RemoteAccess

28. Annexe II Les services et les ports réseau

Protocole d’application GRE (protocole IP 47) AH IPSec (protocole IP 51) ESP IPSec (protocole IP 50) L2TP PPTP

Protocole GRE AH ESP UDP TCP

Port n/a n/a n/a 1701 1723

Le Serveur
Le service Serveur assure la prise en charge de RPC et le partage de fichiers, d’impression et des canaux nommés sur le réseau. Il permet le partage des ressources locales, telles que les disques et les imprimantes, pour que les autres utilisateurs sur le réseau puissent y accéder. Il permet également la communication des canaux nommés entre les programmes exécutés sur l’ordinateur local et sur les autres ordinateurs. La communication des canaux nommés correspond à la mémoire réservée à la sortie d’un processus qui doit être utilisé comme entrée pour un autre processus. Le processus d’acceptation d’entrée ne doit pas obligatoirement avoir lieu sur l’ordinateur local.
Tableau 28.41 : Nom du service système : lanmanserver Protocole d’application Service de datagramme NetBIOS Résolution de noms NetBIOS Service de session NetBIOS SMB Protocole UDP UDP TCP TCP Port 138 137 139 445

947

Chapitre 28

Annexe II - Les services et les ports réseau

Le service SharePoint Portal Server
Avec le service SharePoint Portal Server, vous pouvez développer un portail intelligent qui connecte de façon transparente les utilisateurs, les équipes et les connaissances. Il est ainsi possible de tirer parti des informations pertinentes dans tous les processus d’entreprise. Microsoft SharePoint Portal Server 2003 fournit aux entreprises une seule solution commerciale qui intègre toutes les informations provenant de divers systèmes grâce aux capacités d’intégration des applications d’entreprise et d’authentification unique.
Tableau 28.42 : SharePoint Portal Server Protocole d’application HTTP HTTPS Protocole TCP TCP Port 80 443

28. Annexe II Les services et les ports réseau

Le service Simple Mail Transfer Protocol (SMTP)
Le service SMTP est un agent de relais et de dépôt de messages électroniques. Il accepte et met dans des files d’attente les messages pour des destinations distantes et il réessaie à des intervalles définis. Les contrôleurs de domaine utilisent le service SMTP pour la réplication du courrier électronique intersite. Les objets CDO (Collaboration Data Objects) pour le composant COM Windows Server 2003 peuvent utiliser ce service pour envoyer et placer en file d’attente le courrier sortant.
Tableau 28.43 : Nom du service système : SMTPSVC Protocole d’application SMTP SMTP Protocole TCP UDP Port 25 25

Les services TCP/IP simples
Les services TCP/IP simples implémentent la prise en charge des protocoles suivants :
j j j j j

le port Echo 7, RFC 862 ; le port Discard 9, RFC 863 ; le port Character Generator 19, RFC 864 ; le port Daytime 13, RFC 867 ; le port Quote of the Day 17, RFC 865.

948

Les ports des services système

Tableau 28.44 : Nom du service système : SimpTcp Protocole d’application Chargen Chargen Daytime Daytime Discard Discard Echo Echo Quotd Quotd Protocole TCP UDP TCP UDP TCP UDP TCP UDP TCP UDP Port 19 19 13 13 9 9 7 7 17 17

28. Annexe II Les services et les ports réseau

L’Agent de contrôle à distance SMS
L’Agent de contrôle à distance est un service de Microsoft Systems Management Server (SMS) 2003. Il fournit une solution complète de modification et de gestion de la configuration pour les systèmes d’exploitation Microsoft. Grâce à cette solution, les organisations peuvent fournir aux utilisateurs des logiciels et des mises à jour appropriés.
Tableau 28.45 : Nom du service système : Wuser32 Protocole d’application Conversation à distance SMS Conversation à distance SMS Contrôle à distance SMS (contrôle) Contrôle à distance SMS (contrôle) Contrôle à distance SMS (données) Contrôle à distance SMS (données) Transfert de fichiers à distance SMS Transfert de fichiers à distance SMS Protocole TCP UDP TCP UDP TCP UDP TCP UDP Port 2703 2703 2701 2701 2702 2702 2704 2704

Le service SNMP
Le service SNMP permet à l’ordinateur local de traiter les requêtes SNMP (Simple Network Management Protocol) entrantes. Il comprend des agents qui surveillent 949

Chapitre 28

Annexe II - Les services et les ports réseau

l’activité des périphériques réseau et en rendent compte à la station de travail de la console réseau. Ce service fournit une méthode pour gérer les hôtes réseau (tels que les stations de travail ou les serveurs, les routeurs, les ponts et les concentrateurs) à partir d’un ordinateur central qui exécute le logiciel de gestion réseau. SNMP utilise une architecture distribuée de systèmes et agents de gestion pour fournir ces services.
Tableau 28.46 : Nom du service système : SNMP Protocole d’application SNMP Protocole UDP Port 161

Le service d’interruption SNMP
Le Service d’interruption SNMP reçoit les messages d’interception générés par les agents SNMP locaux ou distants et les transmet aux programmes de gestion SNMP qui s’exécutent sur votre ordinateur. Ce service, lorsqu’il est configuré pour un agent, génère des messages d’interception dès qu’un événement spécifique se produit. Ces messages sont envoyés vers une destination des interruptions. Par exemple, un agent peut être configuré pour lancer une interruption d’authentification lorsqu’un système de gestion non reconnu envoie une demande d’informations. Les destinations des interruptions comprennent le nom et l’adresse IP de l’ordinateur ou l’adresse IPX (Internetwork Packet Exchange) du système de gestion. Chaque destination des interruptions doit être un hôte réseau sur lequel est exécuté le logiciel de gestion SNMP.
Tableau 28.47 : Nom du service système : SNMPTRAP Protocole d’application Interruptions SNMP sortantes Protocole UDP Port 162

28. Annexe II Les services et les ports réseau

Le service SQL Analysis Server
Le service SQL Analysis Server est un composant de SQL Server 2000 qui vous permet de créer et gérer des cubes et des modèles de Mining OLAP. Le serveur d’analyse peut accéder aux sources de données locales ou distantes pour créer et stocker des cubes ou des modèles de Mining.
Tableau 28.48 : SQL Analysis Services Protocole d’application SQL Analysis Services Protocole TCP Port 2725

950

Les ports des services système

Le service SQL Server : prise en charge des clients OLAP de niveau inférieur
Ce service est utilisé par SQL Server 2000 lorsque le service SQL Analysis Server doit prendre en charge les connexions des clients de niveau inférieur (services OLAP 7.0). Il s’agit des ports par défaut pour les services OLAP utilisés par SQL 7.0.
Tableau 28.49 : prise en charge des clients OLAP de niveau inférieur Protocole d’application Services OLAP 7.0 Services OLAP 7.0 Protocole TCP TCP Port 2393 2394

28. Annexe II Les services et les ports réseau

Le service de découvertes SSDP
Le service de découvertes SSDP implémente le protocole SSDP (Simple Service Discovery Protocol) en tant que service Windows. Ce service gère la réception des annonces de présence des périphériques, met à jour son cache et transmet ces notifications aux clients dont les demandes de recherche sont en attente. Il accepte également l’enregistrement des rappels d’événements provenant de clients, les transforme en demandes d’abonnement et surveille les notifications d’événements. Ensuite, il transmet ces demandes ainsi que les rappels d’événements enregistrés. Ce service fournit également des périphériques hôtes avec des annonces périodiques. Le service de notification d’événements SSDP utilise le port TCP 2869.
Tableau 28.50 : Nom du service système : SSDPRSR Protocole d’application SSDP Notification d’événements SSDP Notification d’événements hérités SSDP Protocole UDP TCP TCP Port 1900 2869 5000

Microsoft Systems Management Server 2.0
Microsoft Systems Management Server (SMS) 2003 fournit une solution complète de modification et de gestion de la configuration pour les systèmes d’exploitation Microsoft. Grâce à cette solution, les organisations peuvent fournir aux utilisateurs des logiciels et des mises à jour appropriés, rapidement et de manière rentable.

951

Chapitre 28

Annexe II - Les services et les ports réseau

Tableau 28.51 : Systems Management Server 2.0 Protocole d’application Service de datagramme NetBIOS Résolution de noms NetBIOS Service de session NetBIOS RPC Ports TCP aléatoires élevés Protocole UDP UDP TCP TCP TCP Port 138 137 139 135 1024-65534

Le Serveur d’impression TCP/IP
28. Annexe II Les services et les ports réseau Le service Serveur d’impression TCP/IP active l’impression TCP/IP par le biais du protocole LPD (Line Printer Daemon). Le service LPD sur le serveur reçoit des documents des utilitaires LPR (Line Printer Remote) fonctionnant sur des ordinateurs Unix.
Tableau 28.52 : Nom du service système : LPDSVC Protocole d’application LPD Protocole TCP Port 515

Le service Telnet
Le service Telnet pour Windows permet aux clients Telnet d’ouvrir des sessions sur des terminaux ASCII. Le serveur Telnet prend en charge deux types d’authentification et les quatre types de terminaux suivants :
j j j j

ANSI (American National Standard Institute) ; VT-100 ; VT-52 ; VTNT.

Tableau 28.53 : Nom du service système : TlntSvr Protocole d’application Telnet Protocole TCP Port 23

Les services Terminal Server
Les services Terminal Server fournissent un environnement de sessions multiples permettant aux périphériques clients d’accéder à une session virtuelle du Bureau 952

Les ports des services système

Windows et à des programmes Windows exécutés sur le serveur. Ces services autorisent la connexion interactive de plusieurs utilisateurs à un ordinateur.
Tableau 28.54 : Nom du service système : TermService Protocole d’application Services Terminal Server Protocole TCP Port 3389

La Gestion de licences Terminal Server
Le service Gestion de licences Terminal Server installe un serveur de licences et donne les licences aux clients enregistrés lorsqu’ils se connectent à un serveur Terminal Server (c’est-à-dire un serveur sur lequel Terminal Server est activé). Ce service à faible impact stocke les licences client octroyées à un serveur Terminal Server, puis effectue ensuite le suivi des licences délivrées aux ordinateurs ou terminaux clients.
Tableau 28.55 : Nom du service système : TermServLicensing Protocole d’application RPC Ports TCP aléatoires élevés Protocole TCP TCP Port 135 1024-65534

28. Annexe II Les services et les ports réseau

L’Annuaire de session des services Terminal Server
Avec le service Annuaire de session des services Terminal Server, les clusters des serveurs Terminal Server avec répartition de charge peuvent router correctement toute demande de connexion au serveur, sur lequel l’utilisateur a déjà ouvert une session. Les utilisateurs sont dirigés vers le premier serveur Terminal Server disponible, même s’ils ont une autre session en cours d’exécution dans le cluster de serveurs. La fonction de répartition de charge regroupe les ressources de traitement de plusieurs serveurs en utilisant le protocole réseau TCP/IP. Vous pouvez utiliser ce service avec un cluster de serveurs Terminal Server pour accroître les performances d’un seul serveur en répartissant les sessions sur plusieurs serveurs. L’Annuaire de session des services Terminal Server effectue le suivi des sessions déconnectées sur le cluster et vérifie que les utilisateurs sont reconnectés à ces sessions.
Tableau 28.56 : Nom du service système : Tssdis Protocole d’application RPC Protocole TCP Port 135

953

Chapitre 28

Annexe II - Les services et les ports réseau

Protocole d’application Ports TCP aléatoires élevés

Protocole TCP

Port 1024-65534

Le service Trivial FTP
Le service Trivial FTP ne nécessite pas de nom d’utilisateur, ni de mot de passe. Il fait partie intégrante des services d’installation à distance RIS (Remote Installation Services). Il assure la prise en charge du protocole TFTP (Trivial FTP Protocol) défini dans les spécifications RFC suivantes :
j j

RFC 1350 – TFTP ; RFC 2347 – extension d’options ; RFC 2348 – option de taille de bloc ; RFC 2349 – intervalle du délai d’expiration et options de taille de transfert.

28. Annexe II Les services et les ports réseau

j j

TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers conçu pour prendre en charge les environnements de démarrage sans disque. Le service TFTP est à l’écoute sur le port UDP 69, mais il répond à partir d’un port aléatoire élevé. Par conséquent, l’activation de ce port permet au service TFTP de recevoir des demandes TFTP entrantes, mais cela ne permet pas au serveur sélectionné de répondre à ces demandes. Le service est libre de répondre à toute demande de ce type provenant du port source souhaité et le client distant utilisera ensuite ce port pour la durée du transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole à travers un pare-feu, il peut être utile d’ouvrir le port UDP 69 entrant. Vous pouvez vous reposer ensuite sur d’autres fonctionnalités de pare-feu, qui permettent de manière dynamique au service de répondre par le biais de trous temporaires sur tout autre port.
Tableau 28.57 : Nom du service système : tftpd Protocole d’application TFTP Protocole UDP Port 69

L’Hôte périphérique Plug-and-Play universel
Le service Hôte périphérique Plug-and-Play universel implémente tous les composants requis pour enregistrer et contrôler les périphériques et répondre aux événements des périphériques hôtes. Les informations enregistrées et se rapportant à un périphérique (description, durées de vie et conteneurs) sont, si vous le souhaitez, stockées sur disque et diffusées sur le réseau après enregistrement, ou lorsque le système d’exploitation

954

Les ports des services système

redémarre. Ce service comprend également le serveur web utilisé par le périphérique, outre les descriptions de services et la page de présentation.
Tableau 28.58 : Nom du service système : UPNPHost Protocole d’application UPNP Protocole TCP Port 2869

Windows Internet Name Service (WINS)
WINS active la résolution de noms NetBIOS. Il vous aide à localiser des ressources réseau à l’aide des noms NetBIOS. Les serveurs WINS sont requis sauf si tous les domaines ont été mis à jour vers le service d’annuaire Active Directory et si tous les ordinateurs du réseau exécutent Windows 2000 ou version ultérieure. Ces serveurs communiquent avec les clients réseau en utilisant la résolution de noms NetBIOS. La réplication WINS est requise uniquement entre les serveurs WINS.
Tableau 28.59 : Nom du service système : WINS Protocole d’application Résolution de noms NetBIOS Réplication WINS Réplication WINS Protocole UDP TCP UDP Port 137 42 42

28. Annexe II Les services et les ports réseau

Les services Windows Media
Les services Windows Media de Windows Server 2003 remplacent les quatre services suivants fournis avec les versions 4.0 et 4.1 des services Windows Media :
j j j j

le service Moniteur Windows Media ; le service Programme Windows Media ; le service Station Windows Media ; le service Monodiffusion Windows Media.

Les services Windows Media sont à présent regroupés en un seul service qui s’exécute sur Windows Server 2003. Ses principaux composants ont été développés par le biais du composant COM ; ce service a une architecture souple que vous pouvez personnaliser en fonction de programmes particuliers. Il prend en charge un plus grand nombre de protocoles de contrôle, notamment les protocoles RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) et HTTP. 955

Chapitre 28

Annexe II - Les services et les ports réseau

Tableau 28.60 : Nom du service système : WMServer Protocole d’application HTTP MMS MMS MS Theater RTCP RTP RTSP Protocole TCP TCP UDP UDP UDP UDP TCP Port 80 1755 1755 2460 5005 5004 554

28. Annexe II Les services et les ports réseau

Le service de temps Windows
Le service de temps Windows assure la synchronisation de la date et l’heure sur tous les ordinateurs Windows XP et Windows Server 2003 d’un réseau. Il utilise le protocole NTP (Network Time Protocol) pour synchroniser les horloges des ordinateurs. Ainsi, l’heure et la date indiquées pour la validation réseau et sur les demandes d’accès aux ressources sont toujours précises. L’implémentation de NTP et l’intégration de fournisseurs de temps contribuent à faire du service de temps Windows un outil fiable et modulable pour votre entreprise. Pour les ordinateurs n’appartenant pas à un domaine, vous pouvez configurer le service de temps Windows pour qu’il synchronise l’heure avec une source externe. Si ce service est désactivé, le réglage de l’heure sur les ordinateurs locaux n’est pas synchronisé avec un service de temps dans le domaine Windows ni avec un service externe. Windows Server 2003 utilise NTP, qui s’exécute sur le port UDP 123. La version Windows 2000 de ce service utilise le protocole SNTP (Simple Network Time Protocol), qui s’exécute également sur le port UDP 123.
Tableau 28.61 : Nom du service système : W32Time Protocole d’application NTP SNTP Protocole UDP UDP Port 123 123

Le service de publication World Wide Web
Le service de publication World Wide Web fournit l’infrastructure nécessaire pour enregistrer, gérer, surveiller et utiliser les sites et programmes web enregistrés avec IIS. Ce service comprend un gestionnaire de processus et un gestionnaire de configuration. Le premier contrôle les processus où résident des applications personnalisées et des sites web. Le second lit la configuration système enregistrée pour le service de 956

Les ports et les protocoles

publication World Wide Web et vérifie que le fichier Http.sys est configuré pour router les demandes HTTP vers les processus de pools d’application ou de systèmes d’exploitation appropriés. Vous pouvez configurer les ports utilisés par ce service à l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Si le site web administratif est activé, un site web virtuel est créé qui utilise le trafic HTTP sur le port TCP 8098.
Tableau 28.62 : Nom du service système : W3SVC Protocole d’application HTTP HTTPS Protocole TCP TCP Port 80 443

28. Annexe II Les services et les ports réseau

28.2. Les ports et les protocoles
Cette partie présente un tableau classé par numéro de port et non par nom des services.
Tableau 28.63 : Ports et protocoles Port n/a n/a n/a 7 7 9 9 13 13 Protocole GRE ESP AH TCP UDP TCP UDP TCP UDP Protocole d’application GRE (protocole IP 47) ESP IPSec (protocole IP 50) Nom du service logique Routage et accès distant Routage et Accès distant Nom du service système RemoteAccess RemoteAccess RemoteAccess SimpTcp SimpTcp SimpTcp SimpTcp SimpTcp SimpTcp

AH IPSec (protocole IP Routage et accès 51) distant Echo Echo Discard Discard Daytime Daytime Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services

957

Chapitre 28

Annexe II - Les services et les ports réseau

Port 17 17 19 19 20 21 21

Protocole TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP UDP TCP UDP TCP UDP TCP

Protocole d’application Quotd Quotd Chargen Chargen FTP default data FTP control FTP control Telnet SMTP SMTP SMTP SMTP WINS Replication WINS Replication DNS DNS DNS

Nom du service logique Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services

Nom du service système SimpTcp SimpTcp SimpTcp SimpTcp

FTP Publishing Service MSFtpsvc FTP Publishing Service MSFtpsvc Application Layer Gateway Service Telnet Simple Mail Transport Protocol Simple Mail Transport Protocol Exchange Server Exchange Server Windows Internet Name Service Windows Internet Name Service DNS Server DNS Server Internet Connection Firewall/Internet Connection Sharing Internet Connection Firewall/Internet Connection Sharing DHCP Server Internet Connection Firewall/Internet Connection Sharing Trivial FTP Daemon Service WINS WINS DNS DNS SharedAccess ALG TlntSvr SMTPSVC SMTPSVC

28. Annexe II Les services et les ports réseau

23 25 25 25 25 42 42 53 53 53

53

UDP

DNS

SharedAccess

67 67

UDP UDP

DHCP Server DHCP Server

DHCPServer SharedAccess

69

UDP

TFTP

tftpd

958

Les ports et les protocoles

Port 80 80 80 88 88 102 110 110 119 123 123 135 135 135 135 135 135 135 135

Protocole TCP TCP TCP TCP UDP TCP TCP TCP TCP UDP UDP TCP TCP TCP TCP TCP TCP TCP TCP

Protocole d’application HTTP HTTP HTTP Kerberos Kerberos X.400 POP3 POP3 NNTP NTP SNTP RPC RPC RPC RPC RPC RPC RPC RPC

Nom du service logique Windows Media Services World Wide Web Publishing Service SharePoint Portal Server Kerberos Key Distribution Center Kerberos Key Distribution Center Microsoft Exchange MTA Stacks

Nom du service système WMServer W3SVC

Kdc Kdc

28. Annexe II Les services et les ports réseau

Microsoft POP3 Service Exchange Server Network News Transfer Protocol Windows Time Windows Time Message Queuing Remote Procedure Call Exchange Server Certificate Services Cluster Service Distributed File System Distributed Link Tracking Distributed Transaction Coordinator Event Log Fax Service File Replication Local Security Authority

POP3SVC

NntpSvc W32Time W32Time msmq RpcSs

CertSvc ClusSvc DFS TrkSvr MSDTC

135 135 135 135

TCP TCP TCP TCP

RPC RPC RPC RPC

Eventlog Fax NtFrs LSASS

959

Chapitre 28

Annexe II - Les services et les ports réseau

Port 135 135 135 135 135 137

Protocole TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP

Protocole d’application RPC RPC RPC RPC RPC NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Session Service NetBIOS Session Service

Nom du service logique Remote Storage Notification Remote Storage Server Systems Management Server 2.0 Terminal Services Licensing Terminal Services Session Directory Computer Browser Server Windows Internet Name Service Net Logon Systems Management Server 2.0 Computer Browser Messenger Server Net Logon Distributed File System Systems Management Server 2.0 License Logging Service Computer Browser Fax Service

Nom du service système Remote_Storage _User_Link Remote_Storage _Server

TermServLicensing Tssdis Browser lanmanserver WINS Netlogon

28. Annexe II Les services et les ports réseau

137 137 137 137 138 138 138 138 138 138 138 139 139

Browser Messenger lanmanserver Netlogon Dfs

LicenseService Browser Fax

960

Les ports et les protocoles

Port 139 139 139 139 139 139 139 139 143 161 162 270 389 389 389 389 443 443 443 445 445

Protocole TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP TCP TCP UDP TCP UDP TCP TCP TCP TCP TCP

Protocole d’application NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service IMAP SNMP SNMP Traps Outbound MOM 2004 LDAP Server LDAP Server LDAP Server LDAP Server HTTPS HTTPS HTTPS SMB SMB

Nom du service logique

Nom du service système

Performance Logs and SysmonLog Alerts Print Spooler Server Net Logon Remote Procedure Call Locator Distributed File System Systems Management Server 2.0 License Logging Service Exchange Server SNMP Service SNMP Trap Service Microsoft Operations Manager 2004 Local Security Authority Local Security Authority Distributed File System Distributed File System HTTP SSL World Wide Web Publishing Service SharePoint Portal Server Fax Service License Logging Service Fax LicenseService SNMP SNMPTRAP MOM LSASS LSASS Dfs Dfs HTTPFilter W3SVC LicenseService Spooler lanmanserver Netlogon RpcLocator Dfs

961

28. Annexe II Les services et les ports réseau

Chapitre 28

Annexe II - Les services et les ports réseau

Port 445 445 445 445 445 500 515 548

Protocole TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP

Protocole d’application SMB SMB SMB SMB SMB IPSec ISAKMP LPD File Server for Macintosh RTSP NNTP over SSL RPC over HTTP RPC over HTTP LDAP SSL LDAP SSL IMAP over SSL POP3 over SSL MOM-Encrypted SQL over TCP SQL over TCP SQL Probe SQL Probe Legacy RADIUS Legacy RADIUS L2TP

Nom du service logique Print Spooler Server Remote Procedure Call Locator Distributed File System Net Logon Local Security Authority TCP/IP Print Server File Server for Macintosh Windows Media Services Network News Transfer Protocol Remote Procedure Call Exchange Server Local Security Authority Local Security Authority Exchange Server Exchange Server Microsoft Operations Manager 2000 Microsoft SQL Server MSSQL$UDDI Microsoft SQL Server MSSQL$UDDI Internet Authentication Service Internet Authentication Service Routing and Remote Access

Nom du service système Spooler lanmanserver RpcLocator Dfs Dfs LSASS LPDSVC MacFile WMServer NntpSvc RpcSs

28. Annexe II Les services et les ports réseau

554 563 593 593 636 636 993 995 1270 1433 1433 1434 1434 1645 1646 1701

LSASS LSASS

one point SQLSERVR SQLSERVR SQLSERVR SQLSERVR IAS IAS RemoteAccess

962

Les ports et les protocoles

Port 1723 1755 1755 1801 1801 1812 1813 1900 2101 2103 2105 2107 2393

Protocole TCP TCP UDP TCP UDP UDP UDP UDP TCP TCP TCP TCP TCP

Protocole d’application PPTP MMS MMS MSMQ MSMQ

Nom du service logique Routing and Remote Access Windows Media Services Windows Media Services Message Queuing Message Queuing

Nom du service système RemoteAccess WMServer WMServer msmq msmq IAS IAS

RADIUS Authentication Internet Authentication Service RADIUS Accounting SSDP MSMQ-DCs MSMQ-RPC MSMQ-RPC MSMQ-Mgmt OLAP Services 7.0 Internet Authentication Service SSDP Discovery Service Message Queuing Message Queuing Message Queuing Message Queuing SQL Server : Downlevel OLAP Client Support SQL Server : Downlevel OLAP Client Support Windows Media Services DHCP Server SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent

28. Annexe II Les services et les ports réseau

SSDPRSRV msmq msmq msmq msmq

2394

TCP

OLAP Services 7.0

2460 2535 2701 2701 2702 2702 2703

UDP UDP TCP UDP TCP UDP TCP

MS Theater MADCAP SMS Remote Control (control) SMS Remote Control (control) SMS Remote Control (data) SMS Remote Control (data) SMS Remote Chat

WMServer DHCPServer

963

Chapitre 28

Annexe II - Les services et les ports réseau

Port 2703 2704 2704 2725 2869 2869

Protocole UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP TCP UDP UDP UDP TCP UDP UDP TCP TCP

Protocole d’application SMS Remote Chat SMS Remote File Transfer SMS Remote File Transfer

Nom du service logique SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent

Nom du service système

SQL Analysis Services SQL 2000 Analysis Server UPNP SSDP event notification Global Catalog Server Global Catalog Server Cluster Services Terminal Services Terminal Services MSMQ-Ping BINL NAT-T SSDP legacy event notification RTP RTCP Universal Plug and Play Device Host SSDP Discovery Service Local Security Authority Local Security Authority Cluster Service NetMeeting Remote Desktop Sharing Terminal Services Message Queuing Remote Installation Local Security Authority SSDP Discovery Service Windows Media Services Windows Media Services Microsoft Operations Manager 2000 UPNPHost SSDPRSRV LSASS LSASS ClusSvc mnmsrvc TermService msmq BINLSVC LSASS SSDPRSRV WMServer WMServer

28. Annexe II Les services et les ports réseau

3268 3269 3343 3389 3389 3527 4011 4500 5000 5004 5005 42424 51515

ASP.Net Session State ASP.NET State Service aspnet_state MOM-Clear one point

964

Les exigences relatives aux ports et aux protocoles Active Directory

28.3. Les exigences relatives aux ports et aux protocoles Active Directory
Les serveurs d’applications, les ordinateurs clients et les contrôleurs de domaine situés dans des forêts communes ou externes ont des dépendances de service qui permettent à des opérations initiées par l’utilisateur ou par l’ordinateur (telles que la jonction de domaine, l’authentification d’ouverture de session, l’administration distante et la réplication Active Directory) de fonctionner correctement. De tels services et opérations requièrent une connectivité réseau sur des ports et des protocoles réseau spécifiques. Voici une liste (non exhaustive) de services, de ports et de protocoles nécessaires pour que les ordinateurs membres et les contrôleurs de domaine puissent interopérer ou pour que les serveurs d’applications puissent accéder à Active Directory : 1. Active Directory/LSA. 2. Services de certificats (requis pour des configurations spécifiques). 3. Explorateur d’ordinateurs. 4. Serveur DHCP (si configuré de cette manière). 5. Système de fichiers distribués. 6. Serveur de suivi de lien distribué (facultatif mais activé par défaut sur les ordinateurs Windows 2000). 7. Coordinateur de transactions distribuées. 8. Serveur DNS (si configuré de cette manière). 9. Journal des événements. 10. Service de télécopie (si configuré de cette manière). 11. Réplication de fichiers. 12. Serveur de fichiers pour le Macintosh (si configuré de cette manière). 13. HTTP SSL. 14. Service d’authentification Internet (si configuré de cette manière). 15. Centre de distribution de clés Kerberos. 16. Enregistrement de licences (activé par défaut). 17. Messenger. 18. Ouverture de session réseau. 19. Journaux et alertes de performance. 20. Spouleur d’impression. 28. Annexe II Les services et les ports réseau 965

Chapitre 28

Annexe II - Les services et les ports réseau

21. Installation à distance (si configuré de cette manière). 22. Appel de procédure distante (RPC). 23. Localisateur d’appels de procédure distante (RPC). 24. Notification de stockage étendu. 25. Serveur de stockage étendu. 26. Routage et accès distant. 27. Serveur. 28. Protocole SMTP (si configuré de cette manière). 29. Service SNMP. 30. Service d’interruption SNMP. 31. Serveur d’impression TCP/IP. 28. Annexe II Les services et les ports réseau 32. Telnet. 33. Services Terminal Server. 34. Gestion de licences Terminal Server. 35. Annuaire de session des services Terminal Server. 36. WINS. 37. Temps Windows. 38. Service de publication World Wide Web.

966

Chapitre 29

Annexe III Glossaire

Annexe III - Glossaire

Accès à distance
Élément du service de routage et d’accès distant au réseau destiné aux télétravailleurs, aux employés itinérants et aux administrateurs système qui surveillent et gèrent des serveurs de plusieurs succursales. Les utilisateurs qui exécutent Windows et le module de connexion réseau peuvent composer un numéro pour établir une connexion distante à leur réseau et accéder à des services tels que le partage de fichiers et d’imprimantes, la messagerie électronique, le planning, etc.

ACL discrétionnaire
Partie d’un descripteur de sécurité d’objet qui accorde ou refuse à des utilisateurs ou à des groupes particuliers l’autorisation d’accéder à l’objet. Seul le propriétaire de l’objet peut modifier les autorisations accordées ou refusées dans un ACL discrétionnaire. Cela signifie que l’accès à l’objet est à la discrétion de son propriétaire. Anglais : DACL (Discretionary Access Control List).

ACT (Application Compatibility Toolkit)
Outil de gestion du cycle de vie. Il aide à exploiter les ressources de la communauté pour les résultats des tests de compatibilité des applications, la gestion du catalogue d’applications d’une organisation, les problèmes et solutions en termes de compatibilité des applications, les déploiements d’applications et la possibilité pour les entreprises de concentrer leurs efforts de compatibilité des applications afin de permettre le déploiement facile et rapide d’un nouveau système d’exploitation. 29. Annexe III Glossaire

Acrobat
Format standard de l’éditeur Adobe destiné à la création et à la diffusion des documents électroniques compatibles sur toutes les plateformes. Le plugin Acrobat Reader, gratuit et téléchargeable, permet de consulter les documents dans ce format.

Actif, active
Qualifie un objet (fenêtre ou icône) qui est sélectionné, en cours d’utilisation. Le système d’exploitation applique toujours, à la fenêtre active, la prochaine commande ou frappe de touche que vous exécutez. Les fenêtres ou les icônes du Bureau qui ne sont pas sélectionnées sont inactives.

Active Directory
Active Directory est un annuaire au sens informatique et technique chargé de répertorier tout ce qui touche au réseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers partagés, etc. L’utilisateur peut ainsi trouver facilement des ressources partagées, et les administrateurs peuvent contrôler leurs 969

Chapitre 29

Annexe III - Glossaire

utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. Active Directory donne aux administrateurs la possibilité d’administrer l’infrastructure de façon centralisée et décentralisée. Il est possible d’interroger l’annuaire pour obtenir une liste des objets possédant des attributs, en formulant par exemple une requête du type : "Trouver toutes les imprimantes couleur de l’étage 2".

ActiveX
Ensemble de technologies permettant à des composants logiciels de dialoguer entre eux au sein d’un environnement réseau, quel que soit le langage dans lequel ils ont été créés.

Administrateur
Pour les versions professionnelles de Windows Vista, c’est la personne qui est responsable de la configuration et de la gestion des contrôleurs de domaine ou des ordinateurs locaux et de leurs comptes de groupes ou d’utilisateurs, qui attribue les mots de passe et les autorisations et aide les utilisateurs à résoudre leurs problèmes de réseau. Les administrateurs sont membres du groupe Administrateurs et possèdent le contrôle total sur le domaine ou l’ordinateur. Pour les versions familiales de Windows Vista, c’est la personne qui peut appliquer des modifications à l’ordinateur au niveau du système, installer des logiciels et accéder à tous les fichiers de l’ordinateur. Une personne possédant un compte d’administrateur dispose d’un accès total à tous les comptes utilisateur de l’ordinateur.

29. Annexe III Glossaire

Administrateur d’ordinateur
Utilisateur qui gère un ordinateur. L’administrateur de l’ordinateur est autorisé à apporter des modifications système à l’ordinateur, notamment à installer des logiciels et à accéder à tous les fichiers de l’ordinateur. Il peut également créer, modifier et supprimer les comptes des autres utilisateurs.

Adresse Internet
Adresse qui identifie de façon unique un emplacement sur Internet. Elle commence habituellement par un nom de protocole, suivi par le nom de l’organisation qui gère le site et le suffixe identifiant le type d’organisation. Par exemple, dans l’adresse http://www .yale.edu/, http représente le serveur web qui utilise le protocole HTTP (Hypertext Transfer Protocol), www indique que le site est situé sur le World Wide Web et edu indique qu’il s’agit d’un établissement d’enseignement. Elle peut être plus détaillée et contenir par exemple le nom d’une page hypertexte, généralement identifiée par l’extension de nom de fichier .html ou .htm. Anglais : URL (Uniform Resource Locator).

970

Annexe III - Glossaire

Adresse IP
Adresse 32 bits, utilisée pour identifier un nœud au sein d’un réseau d’interconnexion IP. Chaque nœud du réseau d’interconnexion IP doit posséder une adresse IP unique, composée de l’ID réseau et d’un ID hôte unique. En règle générale, la valeur décimale de chaque octet est séparée par un point (par exemple, 192.168.7.27). Dans cette version de Windows, vous pouvez configurer l’adresse IP de manière statique ou dynamique par l’intermédiaire de DHCP.

ADSL (Asymmetric Digital Subscriber Line)
Technologie de transmission numérique à haut débit qui utilise les lignes téléphoniques existantes tout en permettant la transmission simultanée de données vocales sur ces mêmes lignes. L’essentiel du trafic est transmis vers l’utilisateur à des vitesses comprises généralement entre 512 kbits/s et 6 Mbits/s.

Alerte de protection de la sécurité
Lorsqu’une alerte de Norton Internet Security apparaît, lisez le message avant de prendre une décision. Identifiez le type d’alerte et le niveau de sécurité, évaluez les risques et faites un choix en prenant le temps nécessaire. Tant que l’alerte est active, votre ordinateur est à l’abri des attaques dans la plupart des cas.

29. Annexe III Glossaire

Appartenance à un groupe
Un compte d’utilisateur peut appartenir à un groupe. Les autorisations et les droits accordés à un groupe le sont également à ses membres. Dans la plupart des cas, les actions qu’un utilisateur peut exécuter sous Windows sont déterminées par l’appartenance à un groupe du compte d’utilisateur sur lequel l’utilisateur a ouvert une session.

Attribut
Pour les fichiers, informations qui indiquent si un fichier est en lecture seule, caché, prêt pour l’archivage (sauvegarde), compressé ou crypté, et si le contenu de ce fichier doit être indexé pour la recherche rapide des fichiers.

Audit
Processus de suivi des activités des utilisateurs par l’enregistrement des types d’événements sélectionnés dans le journal sécurité d’un serveur ou d’une station de travail.

971

Chapitre 29

Annexe III - Glossaire

Autorisation
Processus qui détermine ce qu’un utilisateur est autorisé à faire sur un système informatique ou un réseau. Règle associée à un objet en vue de déterminer les utilisateurs qui peuvent accéder à l’objet et la manière qu’ils doivent employer. Les autorisations sont accordées ou refusées par le propriétaire de l’objet.

Autorisations d’accès spéciales
Ensemble personnalisé d’autorisations sur des volumes NTFS. Vous pouvez personnaliser des autorisations sur des fichiers et des répertoires en sélectionnant des composants appartenant aux ensembles d’autorisations standards.

Autorisations héritées
Autorisations portant sur un objet et qui sont automatiquement héritées de son objet parent. Les autorisations héritées ne peuvent pas être modifiées.

29. Annexe III Glossaire

Authentification
Processus de vérification de la nature réelle ou prétendue d’une entité ou d’un objet. L’authentification consiste par exemple à confirmer la source et l’intégrité des informations, à vérifier une signature numérique ou l’identité d’un utilisateur ou d’un ordinateur.

Backdoor
Littéralement, "porte arrière". Elle permet aux pirates d’accéder illégalement à un logiciel ou à un système d’exploitation en utilisant une autre issue que celle qui est officielle.

Bande passante
Représente la quantité de données pouvant être acheminées par le biais d’une connexion réseau. La bande passante se mesure habituellement en bits par seconde (bps).

Barre des tâches
Barre qui contient le bouton de démarrage et qui apparaît par défaut sur le bord inférieur du Bureau. Vous pouvez cliquer sur les boutons de la barre des tâches pour permuter les programmes. Vous pouvez aussi masquer la barre des tâches et la déplacer. Vous avez également la possibilité de la personnaliser de nombreuses manières. 972

Annexe III - Glossaire

Base de connaissances
Partie d’un système expert contenant l’ensemble des informations, en particulier des règles et des faits, qui constituent le domaine de compétence du système. Anglais : knowledge base.

Bluetooth
Norme de communication par ondes radio avec un rayon d’action de 1 m à 100 m suivant les appareils, développée par le Bluetooth SIG. Elle est utilisée avant tout sur les téléphones mobiles, les oreillettes sans fil et les assistants personnels. Norme permettant de relier deux appareils par une connexion radio dans un rayon de 10 m à 100 m, sur une bande radio de 2,4 GHz. Elle est destinée à remplacer à terme les liaisons infrarouges.

Bogue
De l’anglais, bug (punaise, insecte, microbe). En informatique, erreur, défaut dans un programme, ce qui provoque des dysfonctionnements. 29. Annexe III Glossaire

Browser
Voir Navigateur.

Bug
Voir Bogue.

Bureau
Zone de travail de l’écran dans laquelle apparaissent les fenêtres, les icônes, les menus et les boîtes de dialogue.

Byte
Voir Octet.

Carte mère
La carte mère réunit des composants aussi essentiels que le processeur, la mémoire vive, des systèmes de bus de données et des connecteurs d’extension pour relier une carte son ou une carte graphique, par exemple. La carte mère est le centre nerveux d’un ordinateur, le lieu d’échange de données et de calcul.

973

Chapitre 29

Annexe III - Glossaire

Carte vidéo
Carte d’extension enfichée dans un ordinateur personnel pour lui donner des capacités d’affichage. Celles-ci dépendent des circuits logiques (fournis par la carte vidéo) et du moniteur. Chaque carte propose plusieurs modes vidéo différents. Ceux-ci appartiennent aux deux catégories de base : le mode texte et le mode graphique. Certains moniteurs permettent en outre de choisir la résolution du mode texte et du mode graphique. Un moniteur peut afficher davantage de couleurs aux résolutions les plus basses. Les cartes actuelles contiennent de la mémoire afin que la mémoire vive de l’ordinateur ne soit pas sollicitée pour stocker les affichages. En outre, la plupart des cartes possèdent leur propre coprocesseur graphique qui se charge des calculs liés à l’affichage graphique. Ces cartes sont souvent appelées "accélérateurs graphiques".

Certificat
Document numérique communément employé pour l’authentification et la sécurisation des échanges d’informations sur les réseaux ouverts tels qu’Internet, ou les extranets et les intranets. Un certificat lie de manière sécurisée une clé publique à l’entité qui possède la clé privée correspondante. Les certificats sont signés numériquement par l’autorité de certification émettrice et peuvent être émis pour un utilisateur, un ordinateur ou un service. Le format de certificat le plus largement accepté est défini par la norme internationale ITU-T X.509.

29. Annexe III Glossaire

Cheval de Troie
Programme qui se fait passer pour un autre programme commun en vue de recevoir des informations. Par exemple, un programme usurpe l’identité d’une session système pour extraire des noms d’utilisateur et des mots de passe susceptibles d’aider les développeurs du cheval de Troie à pénétrer ultérieurement dans le système. Synonyme : troyen. Anglais : trojan.

Classe d’adresses
Groupements prédéfinis d’adresses Internet, dont chaque classe définit des réseaux possédant une taille déterminée. La plage de nombres susceptibles d’être affectés au premier octet de l’adresse IP varie en fonction de la classe d’adresses. Les réseaux de classe A (dont les valeurs sont comprises entre 1 et 126) sont les plus grands, chacun d’eux peut relier plus de 16 millions d’hôtes. Les réseaux de classe B (dont les valeurs sont comprises entre 128 et 191) peuvent relier jusqu’à 65 534 hôtes par réseau, tandis que les réseaux de classe C (dont les valeurs sont comprises entre 192 et 223) peuvent regrouper jusqu’à 254 hôtes par réseau.

974

Annexe III - Glossaire

Clé
Dans la Base de registre, dossier qui apparaît dans le panneau gauche de la fenêtre de l’éditeur. Une clé peut contenir des sous-clés ainsi que des rubriques valuées. Environment, par exemple, est une clé contenue dans HKEY_CURRENT_USER.

Communication sans fil
Elle est possible entre deux ordinateurs ou entre un ordinateur et un périphérique. La lumière infrarouge constitue la forme de communication sans fil proposée par le système d’exploitation Windows pour la transmission des fichiers. Les fréquences radio, semblables à celles utilisées par les téléphones portables et les téléphones sans fil, constituent une autre forme de communication sans fil.

Compte d’utilisateur
Ensemble de toutes les informations définissant un utilisateur pour Windows. Parmi ces informations, citons le nom d’utilisateur et le mot de passe fourni par l’utilisateur pour se connecter au réseau, les groupes auxquels appartient l’utilisateur, et les droits et autorisations dont jouit l’utilisateur pour utiliser l’ordinateur et le réseau ou accéder à leurs ressources. Pour Windows XP Professionnel, les comptes d’utilisateurs sont gérés par le service Utilisateurs et groupes locaux.

29. Annexe III Glossaire

Compression
Procédé permettant de réduire le volume (en bits) ou le débit (en bits par seconde) des données numérisées (parole, image, texte…).

Connexions web sécurisées
Lorsque vous visitez un site web sécurisé, votre navigateur établit automatiquement avec lui une connexion cryptée. Par défaut, tous les comptes peuvent utiliser des connexions sécurisées. Si vous souhaitez empêcher les utilisateurs d’envoyer des informations confidentielles à des sites web sécurisés, vous pouvez désactiver les connexions web sécurisées. Si vous désactivez les connexions web sécurisées, votre navigateur ne chiffrera plus les informations envoyées. Vous ne devez désactiver les connexions web sécurisées que si vous voulez protéger les informations confidentielles figurant sur la liste Informations confidentielles.

Cookie
Code, ensemble d’informations, qu’un serveur enregistre, souvent temporairement, sur votre disque dur pour vous identifier sur son service.

975

Chapitre 29

Annexe III - Glossaire

Corbeille
Emplacement dans lequel Windows stocke les fichiers supprimés. Vous pouvez récupérer des fichiers supprimés par erreur ou vider la Corbeille pour augmenter l’espace disque disponible.

Défragmentation
Processus de réécriture de parties d’un fichier dans des secteurs contigus d’un disque dur en vue d’augmenter la vitesse d’accès et de récupération des données. Lorsque des fichiers sont mis à jour, l’ordinateur a tendance à les enregistrer sur le plus grand espace continu du disque dur, qui se trouve souvent sur un secteur différent de celui sur lequel sont enregistrées les autres parties du fichier. Lorsque des fichiers sont ainsi fragmentés, l’ordinateur doit examiner le disque dur chaque fois qu’il ouvre le fichier afin d’en rechercher les différentes parties, ce qui réduit son temps de réponse.

Domaine
Groupe d’ordinateurs faisant partie d’un réseau et partageant une même base de données d’annuaire. Un domaine est administré comme une unité régie par des règles et des procédures communes. Chaque domaine possède un nom unique. Un domaine Active Directory est constitué d’un ensemble d’ordinateurs définis par l’administrateur d’un réseau Windows. Ces ordinateurs partagent une base de données d’annuaires commune, des stratégies de sécurité et des relations de sécurité avec d’autres domaines. Un domaine Active Directory fournit l’accès aux comptes de groupe et aux comptes d’utilisateurs centralisés qui sont gérés par l’administrateur du domaine. Une forêt Active Directory se compose d’un ou de plusieurs domaines, qui peuvent s’étendre sur plusieurs emplacements physiques. Un domaine DNS est une arborescence au sein de l’espace de noms DNS. Bien que les noms des domaines DNS correspondent souvent aux domaines Active Directory, les domaines DNS ne doivent pas être confondus avec les domaines Active Directory.

29. Annexe III Glossaire

Dossier
Dans une interface utilisateur graphique, conteneur de programmes et de fichiers symbolisé par une icône de dossier. Un dossier est un outil permettant de classer les programmes et les documents sur un disque et capable de contenir à la fois des fichiers et des sous-dossiers.

Dossier de base
Dossier (généralement sur un serveur de fichiers) que les administrateurs peuvent attribuer à des utilisateurs ou à des groupes individuels. Les administrateurs utilisent des dossiers de base pour consolider les fichiers utilisateurs sur des serveurs de fichiers spécifiques afin d’en faciliter la sauvegarde. Certains programmes utilisent les dossiers 976

Annexe III - Glossaire

de base comme dossiers par défaut pour les boîtes de dialogue Ouvrir et Enregistrer sous. Les dossiers de base sont parfois appelés "répertoires de base".

Droits d’utilisateur
Ensemble des autorisations d’un utilisateur, sur un ordinateur ou un domaine, et lui permettant d’accéder à un certain nombre de tâches définies. Il existe deux types de droits d’utilisateur : les privilèges et les droits d’ouverture de session. Le droit de fermer le système est un exemple de privilège. Le droit d’ouvrir une session sur un ordinateur localement est un exemple de droit d’ouverture de session. Les privilèges et les droits sont attribués par les administrateurs à des utilisateurs ou à des groupes particuliers dans le cadre de la configuration des paramètres de sécurité de l’ordinateur.

DRM (Digital Rights Management)
Gestion des droits numériques. Technologie sécurisée qui permet au détenteur des droits d’auteur d’un objet soumis à la propriété intellectuelle (comme un fichier audio, vidéo ou texte) de spécifier ce qu’un utilisateur est en droit d’en faire. En général, elle est utilisée pour proposer des téléchargements sans craindre que l’utilisateur ne distribue librement le fichier sur le Web. 29. Annexe III Glossaire

Dual core
Physiquement, le processeur dual core ressemble fort à un processeur classique, à cela près qu’il est surmonté de deux dies au lieu d’un seul. Le die étant parfois recouvert d’une plaque protectrice, il ne sera pas toujours possible de distinguer au premier coup d’œil un processeur dual core d’un processeur classique. Pour autant, il est impossible d’utiliser un processeur dual core sur une carte mère actuelle, même si le socket est identique. Il faut que le chipset de la carte mère soit adapté à la gestion du dual core.

Durée de vie
Valeur incluse dans les paquets envoyés sur des réseaux TCP/IP qui indiquent aux destinataires la durée pendant laquelle le paquet ou les données qu’il contient peuvent être conservés ou utilisés. Les valeurs de durée de vie sont utilisées dans les enregistrements de ressources au sein d’une zone pour déterminer la durée pendant laquelle les clients demandeurs mettent en cache et utilisent ces informations lorsqu’elles apparaissent dans la réponse d’un serveur DNS à une requête pour cette zone. Anglais : TTL (Time to Live).

En ligne
Lorsqu’un utilisateur a établi une connexion à un réseau, on dit qu’il est en ligne. Désigne également un mode d’accès direct à des écrans d’aide, par exemple. 977

Chapitre 29

Annexe III - Glossaire

Ethernet
Standard IEEE 802.3 pour les réseaux en litige. Ethernet utilise une topologie en bus ou en étoile et repose sur une forme d’accès appelée "CSMA/DC" (Carrier Sense Multiple Access with Collision Detection) pour réguler le trafic des communications sur la ligne. Les nœuds des réseaux sont reliés par du câble coaxial, de la fibre optique ou une paire de câbles torsadés. Les données sont transmises dans des trames de longueur variable qui contiennent des informations de contrôle et de remise, et jusqu’à 1500 octets de données. Le standard Ethernet fournit une transmission en bande de base à la vitesse de 10 Mbps (10 millions de bits par seconde).

Événement
Tout fait important se produisant dans le système ou dans une application et devant être signalé aux utilisateurs ou consigné dans un journal.

FAI (fournisseur d’accès à Internet)
Prestataire de services qui offre différents types de comptes d’accès Internet aux organismes et aux particuliers. Synonyme : prestataire d’accès Internet. Anglais : provider. 29. Annexe III Glossaire

FAT32 (File Allocation Table 32)
Variante du système de fichiers FAT, FAT32 prend en charge des tailles de cluster moins importantes et des volumes plus grands, assurant ainsi une allocation d’espace plus efficace.

Fenêtre
Portion de l’écran dans laquelle les programmes et les processus peuvent être exécutés. Vous pouvez ouvrir plusieurs fenêtres à la fois. Par exemple, vous pouvez consulter vos messages électroniques dans une fenêtre, travailler sur un budget dans une feuille de calcul ouverte dans une autre fenêtre, télécharger des images de votre Caméscope dans une autre fenêtre et faire vos courses en ligne dans une autre fenêtre. Les fenêtres peuvent être fermées, redimensionnées, déplacées, réduites en bouton dans la barre des tâches ou affichées en plein écran.

Fichier journal
Fichier dans lequel sont stockés les messages générés par une application, un service ou le système d’exploitation. Ces messages permettent de suivre l’exécution des opérations. Les serveurs web, par exemple, gèrent des fichiers journaux qui répertorient toutes les requêtes adressées au serveur. Les fichiers journaux sont généralement des fichiers en texte clair (ASCII) qui possèdent souvent l’extension .log. 978

Annexe III - Glossaire

Dans l’utilitaire de sauvegarde, il s’agit d’un fichier qui contient un enregistrement de la date de création des bandes ainsi que le nom des fichiers et des répertoires qui ont été sauvegardés et restaurés. Le service Journaux et alertes de performances crée également des fichiers journaux.

Fichier système
Fichiers utilisés par Windows pour charger, configurer et exécuter le système d’exploitation. En général, les fichiers système ne doivent jamais être supprimés ou déplacés.

Firewall
Voir Pare-feu.

FTP (File Transfer Protocol)
Protocole servant à déplacer ou à transmettre des fichiers sur le réseau. Il permet d’établir une connexion à un autre site Internet et de télécharger ou d’envoyer des fichiers. Certains sites contiennent des fichiers du domaine public accessibles par FTP en entrant le nom d’utilisateur anonymous et une adresse de courrier électronique comme mot de passe. Ce type d’accès est appelé "FTP anonyme".

29. Annexe III Glossaire

Forêt
Ensemble d’un ou de plusieurs domaines Windows partageant un schéma, une configuration et un catalogue global communs et liés par des relations d’approbation transitives bidirectionnelles.

Fournisseur d’accès
Voir FAI.

Gestion de l’ordinateur
Composant qui permet d’afficher et de contrôler de nombreux aspects de la configuration d’un ordinateur. La Gestion de l’ordinateur associe plusieurs utilitaires d’administration dans l’arborescence d’une seule console, fournissant un accès facile aux propriétés et aux outils d’administration des ordinateurs locaux ou distants.

Gestionnaire de périphériques
Outil d’administration qui permet de gérer les périphériques d’un ordinateur. Grâce au Gestionnaire de périphériques, vous pouvez afficher et modifier les propriétés des

979

Chapitre 29

Annexe III - Glossaire

périphériques, mettre à jour les pilotes de périphérique, configurer les paramètres des périphériques et les désinstaller.

GPO
Voir Stratégies de groupe.

Groupe
Ensemble d’utilisateurs, d’ordinateurs, de contacts et d’autres groupes. Les groupes peuvent être utilisés comme des ensembles de distribution électronique ou de sécurité. Les groupes de distribution ne sont utilisés que pour la messagerie. Les groupes de sécurité sont utilisés à la fois pour accorder l’accès à des ressources et comme listes de distribution électronique.

Groupe de sécurité
Groupe qui peut être répertorié sur des listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List ; voir ACL) utilisées pour définir les autorisations sur les ressources et les objets. Un groupe de sécurité peut également être utilisé comme une entité de courrier électronique. Lorsque vous envoyez un message de courrier électronique à un groupe, ce message est envoyé à tous les membres du groupe.

29. Annexe III Glossaire

Groupe local
Pour les ordinateurs exécutant Windows et les serveurs membres, groupe auquel peuvent être accordés des droits et des autorisations à partir de son propre ordinateur et, si ce dernier appartient à un domaine, des comptes d’utilisateurs et des groupes globaux à partir de son propre domaine et de domaines approuvés.

Groupes prédéfinis
Groupes de sécurité installés par défaut avec le système d’exploitation. Les groupes prédéfinis sont dotés d’une série de droits et de fonctions prédéfinis extrêmement utiles. Dans la plupart des cas, les groupes prédéfinis confèrent à un utilisateur donné toutes les possibilités nécessaires. Par exemple, si un compte d’utilisateur sur un domaine appartient au groupe prédéfini Administrateurs, toute ouverture de session avec ce compte donne à l’utilisateur des capacités d’administrateur sur le domaine et les serveurs du domaine. Pour attribuer à un compte d’utilisateur un ensemble de possibilités données, assignez-le au groupe prédéfini approprié.

980

Annexe III - Glossaire

Héritage
Mécanisme qui autorise la copie d’une entrée de contrôle d’accès (ACE, Access Control Entry) spécifique du conteneur auquel elle s’applique sur tous les enfants de ce conteneur. L’héritage peut être associé à la délégation afin d’accorder des droits d’administration à l’intégralité d’une arborescence du répertoire en une seule opération de mise à jour.

Hexadécimal
Système en base 16 représenté par les chiffres 0 à 9 ainsi que par les lettres A (équivalant au nombre décimal 10) à F (équivalant au nombre décimal 15).

Homepage
Voir Page d’accueil.

HTTP (Hypertext Transfer Protocol)
Protocole utilisé pour transférer les informations sur le World Wide Web. On parle d’adresse HTTP (un type de localisateur de ressource universelle), par exemple http://www.microsoft.com. 29. Annexe III Glossaire

Identificateur de processus
Voir PID.

Identificateur de sécurité
Voir SID.

Image disque
L’image d’un disque peut se comparer à un colis postal. On peut y mettre des choses de nature diverses (correspondance, vêtements, nourriture, etc.). En le scellant correctement et tant qu’il n’a pas été ouvert, on peut être certain de son contenu. Cependant, il peut arriver endommagé. Ainsi, une image disque garantit la liste des fichiers qu’elle contient, mais pas leur intégrité. C’est pourquoi elle est parfois associée à des systèmes de contrôle d’intégrité des données. Pour prendre une comparaison plus précise, on peut aussi dire que l’image disque est semblable à la photo prise d’un paysage. Celle-ci permet de prendre l’ensemble des éléments du paysage, en le réécrivant sous la forme d’un code de couleur. Pour un disque, le logiciel prendra une photo du disque et le récrira sous la forme d’un code

981

Chapitre 29

Annexe III - Glossaire

(compressé ou pas) contenant tous les fichiers. Cela donne alors naissance à un seul fichier, généralement volumineux (autant que l’espace utilisé du disque).

ImageX
Utilitaire de manipulation des images disque Microsoft au format WIM. ImageX permet de créer, d’appliquer, d’ouvrir et de fermer ces images.

Infrastructure
L’infrastructure est un ensemble d’éléments structuraux interconnectés qui fournissent le cadre pour supporter la totalité de la structure. Le terme est souvent utilisé d’une façon très abstraite. Par exemple, les outils d’ingénierie informatique sont quelquefois décrits comme une partie de l’infrastructure d’un environnement de développement.

Internet
29. Annexe III Glossaire Vaste regroupement de réseaux d’ordinateurs qui échangent de l’information par le biais d’une suite de protocoles de réseau appelés "TCP/IP". En tant qu’utilisateur, on peut penser à Internet comme une immense bibliothèque dont les livres sont des sites web et les pages des livres des pages web. En lisant une page d’un livre, on peut sauter à d’autres pages ou livres.

Intranet
Réseau d’une organisation (commerciale, éducative, militaire…) qui offre à son personnel des services semblables à Internet. La plupart des intranets sont raccordés à Internet. L’accès à un intranet est cependant limité aux personnes autorisées. Les intranets se défendent des accès non souhaités par des pare-feu.

IP (Internet Protocol)
Protocole responsable de l’adressage et du routage entre les ordinateurs, de l’acheminement des paquets de données au sein du réseau, de la constitution et du réassemblage des paquets. Les fonctionnalités assurées par le protocole IP peuvent se déduire de l’examen de l’en-tête du paquet. Il identifie entre autres, la source et la destination du paquet et comporte des identificateurs de fragmentation. IP est défini par la RFC 791.

Java
Langage de programmation de Sun Microsystems.

982

Annexe III - Glossaire

Javascript
Langage plus simple que Java, permettant d’insérer dans des pages HTML de petits programmes à exécuter par le navigateur.

Jeton
Élément textuel non réductible dans les données en cours d’analyse, par exemple l’utilisation dans un programme d’un nom variable, d’un mot réservé ou d’un opérateur. Le stockage des jetons en tant que codes courts réduit la taille des fichiers programme et accélère leur exécution. En matière de gestion de réseau, objet de données structuré unique ou message qui circule continuellement entre les nœuds d’un anneau à jetons (token ring) et qui décrit l’état actuel du réseau. Avant qu’un nœud puisse envoyer un message sur le réseau, il doit attendre de contrôler le jeton.

Jeu de sauvegardes
Ensemble de fichiers, de dossiers et de données qui ont été sauvegardés et stockés dans un fichier ou encore sur une ou plusieurs bandes. 29. Annexe III Glossaire

Job
En informatique, suite d’instructions réalisant une tâche et faisant appel à des programmes informatiques agissant sur un ou plusieurs systèmes afin d’obtenir un résultat, en particulier une recherche d’informations ; déroulement du traitement correspondant à l’exécution de cette suite d’instructions (tâches).

Journal sécurité
Journal d’événements contenant des informations sur les événements de sécurité spécifiés dans la stratégie d’audit.

Liste de diffusion
Liste d’adresses e-mail d’utilisateurs Internet qui se sont inscrits auprès du gestionnaire correspondant. La liste est gérée par une personne ou un service et distribue des informations. Certaines listes sont modérées (elles ont un ou plusieurs modérateurs). Il existe des listes de diffusion concernant de nombreux sujets. Certaines sont "ouvertes" (tout abonné à la liste peut envoyer un message à toute la liste, comme lors d’une conversation) et d’autres sont "fermées" (seuls certains abonnés peuvent créer des messages, mais tous les abonnés peuvent les lire). Anglais : mailing list.

983

Chapitre 29

Annexe III - Glossaire

Magasin de certificats
En général, dossier de stockage permanent renfermant les certificats, les listes de révocation de certificats et les listes de certificats de confiance.

Mailing list
Voir Liste de diffusion.

Maintenance
Ensemble des actions de dépannage, de révision et de vérification périodique des machines, des logiciels et des objets manufacturés produits par l’industrie. Il existe différentes façons d’organiser les actions de maintenance :
j

La maintenance est "préventive" lorsqu’elle est dictée par des exigences de sûreté de fonctionnement. Cette maintenance préventive est "systématique" quand elle est effectuée selon un échéancier établi à partir d’un temps d’usage ou d’un nombre d’unités d’usage et "conditionnelle" lorsqu’elle est réalisée à la suite d’une analyse révélatrice de l’état de dégradation de l’équipement. La maintenance est "corrective" lorsqu’elle est effectuée après une défaillance, attitude fataliste consistant à attendre la panne pour procéder à une intervention. Elle est "palliative" lorsque le dépannage de l’équipement est provisoire, permettant d’assurer tout ou partie d’une fonction requise. Ce dépannage doit toutefois être suivi d’une action curative dans les plus brefs délais. Elle est "curative" pour une remise à l’état initial.

29. Annexe III Glossaire

j

Malware
Logiciel ou programme malveillant capable d’endommager votre système.

Masque de sous-réseau
Un masque de sous-réseau permet d’identifier un sous-réseau. En IPv4, une adresse IP est codée sur 4 octets, soit 32 bits. Un masque de sous-réseau possède lui aussi 4 octets. Lorsque deux adresses IP appartiennent à un même sous-réseau, elles partagent un certain nombre de bits. Si le bit n des deux adresses IP est identique, alors le bit n du masque de sous-réseau vaut 1, sinon il vaut 0.

Mémoire flash
Mémoire petite, plate et à semi-conducteur, utilisée dans les lecteurs MP3, les appareils photo numériques et les assistants personnels. Elle regroupe les mémoires

984

Annexe III - Glossaire

CompactFlash, SmartMedia et Memory Stick. Si vous calculez le coût au mégaoctet, cette forme de stockage est très onéreuse.

Mémoire virtuelle
Espace du disque dur interne d’un ordinateur qui vient seconder la mémoire vive, Elle se concrétise par un fichier d’échanges (fichier swap), lequel contient les données non sollicitées constamment. La mémoire virtuelle, comme son nom l’indique, sert à augmenter artificiellement la mémoire vive. Elle est aussi moins performante.

Migration
Passage d’un état existant d’un système d’information ou d’une application vers une cible définie dans un projet ou un programme.

MMC (Microsoft Management Console)
Cadre d’hébergement des outils d’administration appelés "consoles". Une console peut contenir des outils, des dossiers ou d’autres conteneurs, des pages web et d’autres éléments d’administration. Tous ces éléments sont affichés dans le volet gauche de la console, dans ce qu’il est convenu d’appeler une "arborescence". Une console possède une ou plusieurs fenêtres qui affichent des représentations de l’arborescence. La fenêtre MMC principale regroupe les commandes et les outils des consoles de création. Les fonctionnalités de création de la console MMC et de l’arborescence de la console proprement dite peuvent être masquées lorsqu’une console est en mode Utilisateur.

29. Annexe III Glossaire

Mot de passe
Mesure de sécurité utilisée pour limiter les noms d’ouverture de session sur les comptes d’utilisateurs ainsi que les accès aux systèmes et aux ressources. Un mot de passe est une chaîne de caractères qui doit être fournie pour qu’une ouverture de session ou un accès soient autorisés. Un mot de passe peut être composé de lettres, de chiffres ou de symboles. Les minuscules et les majuscules sont différenciées.

Mot de passe crypté
Mot de passe brouillé. Les mots de passe cryptés sont plus sûrs que les mots de passe en clair qui peuvent être découverts par des "renifleurs" à partir du réseau.

Mot de passe de l’utilisateur
Mot de passe stocké dans chaque compte d’utilisateur. Chaque utilisateur ne possède généralement qu’un seul mot de passe utilisateur, obligatoire pour ouvrir une session ou accéder à un serveur.

985

Chapitre 29

Annexe III - Glossaire

Navigateur
Logiciel qui interprète les balises des fichiers HTML, les transforme en pages web et les affiche dans une fenêtre. Certains navigateurs permettent aux utilisateurs d’envoyer et de recevoir des courriers électroniques, de consulter des groupes de discussion et de lire des fichiers audio et vidéo intégrés à des documents web. Anglais : browser.

Nom de partage
Nom qui fait référence à une ressource partagée sur un serveur. Tout dossier partagé d’un serveur possède un nom de partage utilisé par les utilisateurs de PC pour faire référence au dossier. Les utilisateurs d’ordinateurs Macintosh utilisent le nom du volume accessible aux Macintosh qui correspond à un dossier, et qui peut être identique au nom de partage.

Newsgroup
Forum de discussions sur Internet, avec des sujets précis. Les newsgroups sont en général modérés (ils ont un ou plusieurs modérateurs). 29. Annexe III Glossaire

NTFS
Système de fichiers avancé qui offre des performances, une sécurité, une fiabilité et des fonctionnalités avancées qui ne se retrouvent dans aucune version de FAT. Par exemple, NTFS garantit la cohérence des volumes en utilisant des techniques standards d’ouverture de transaction et de restauration. Si un système présente une défaillance, NTFS utilise son fichier journal et ses informations de points de vérification pour restaurer la cohérence du système de fichiers. Dans Windows 2000 et Windows XP, NTFS fournit également des fonctionnalités avancées telles que les autorisations sur fichiers et dossiers, le cryptage, les quotas de disque et la compression.

Objet
Entité (par exemple un fichier, un dossier, un dossier partagé, une imprimante ou un objet Active Directory) identifiée par un jeu nommé et distinct d’attributs. Les attributs d’un objet fichier, par exemple, couvrent son nom, son emplacement et sa taille, tandis que les attributs d’un objet utilisateur Active Directory peuvent comporter le prénom, le nom et l’adresse de messagerie de l’utilisateur. Pour OLE et ActiveX, un objet peut aussi être n’importe quel élément d’information lié (incorporé) à un autre objet.

986

Annexe III - Glossaire

Objet enfant et parent
L’objet enfant réside dans l’objet parent. Cela implique une relation. Un fichier, par exemple, est un objet enfant qui réside dans un dossier (l’objet parent).

Octet
Unité de mesure de mémoire informatique (1 octet vaut 8 bits). La place occupée par les fichiers est mesurée en octets, en kilo-octets (1 ko vaut 1024 octets), en mégaoctets (Mo) ou en gigaoctets (Go). Anglais : byte.

Ouverture de session
Opération permettant à un utilisateur de commencer à utiliser le réseau en fournissant un identifiant et un mot de passe.

Ouverture de session interactive
Ouverture de session réseau à partir du clavier d’un ordinateur, quand l’utilisateur tape des informations dans la boîte de dialogue Informations de session affichée par le système d’exploitation de l’ordinateur.

29. Annexe III Glossaire

OSI (Open Systems Interconnection)
Modèle de gestion de réseau proposé par l’ISO (International Organization for Standardization) pour promouvoir l’interopérabilité entre fournisseurs. Le modèle OSI est un modèle conceptuel composé des sept couches suivantes : application, présentation, session, transport, réseau, liaison de données et physique.

Page d’accueil
Page web de départ d’un site Internet, contenant des informations sur l’identité du propriétaire du site, les serveurs fournis, éventuellement un index. Anglais : homepage.

Page web
Les sites Internet contiennent plusieurs pages web. Par exemple, plusieurs personnes peuvent avoir des pages personnelles sur le même serveur (site Internet). Une page web est un document hypermédia sur le Web.

Pare-feu
Ensemble de matériels et de logiciels constituant un système de sécurité, en règle générale pour empêcher les accès non autorisés provenant de l’extérieur sur un réseau interne ou un intranet. Un pare-feu empêche les communications directes entre les 987

Chapitre 29

Annexe III - Glossaire

ordinateurs du réseau et les ordinateurs externes en faisant passer les communications par un serveur Proxy en dehors du réseau. Ce serveur Proxy détermine s’il n’est pas dangereux de laisser passer un fichier sur le réseau. Synonyme : passerelle de sécurité. Anglais : firewall.

Partition
Partie d’un disque physique qui se comporte comme s’il s’agissait d’un disque physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des données. Sur les disques de base, les partitions sont appelées des "volumes de base" et peuvent être des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appelées des "volumes dynamiques" et peuvent être des partitions simples, fractionnées, agrégées par bande, en miroir ou RAID-5.

Partition active
Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit être une partition principale d’un disque de base. Si vous utilisez exclusivement Windows, la partition active peut être la même que celle du volume système.

29. Annexe III Glossaire

Partition d’amorçage
Partition qui contient le système d’exploitation Windows et ses fichiers de prise en charge. La partition d’amorçage peut être la même que la partition système.

Partition principale
Type de partition que vous pouvez créer sur les disques de base. Une partition principale est une partie de l’espace disque physique qui fonctionne comme un disque physiquement indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer jusqu’à quatre partitions principales ou trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu’à 128 partitions principales. Synonyme : volume.

Partition système
Partition qui contient des fichiers propres au matériel qui sont indispensables au chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition système peut être la même que la partition d’amorçage.

988

Annexe III - Glossaire

PID (Process Identifier)
Identificateur numérique qui désigne, de manière unique, un processus en cours d’exécution. Utilisez le Gestionnaire des tâches pour l’afficher.

Plugin ou plug-in
De l’anglais to plug in (brancher). Non autonome, ce petit logiciel se greffe sur un programme principal pour lui conférer de nouvelles fonctionnalités. Le programme principal fixe un standard d’échange d’informations auquel les plugins se conforment. Par exemple, certains plugins s’installent sur un navigateur pour lui apporter des fonctions supplémentaires.

Point de restauration
Représentation d’un état stocké de votre ordinateur. Le point de restauration est créé par la fonction Restauration système à intervalles réguliers ou lorsque le début d’un changement sur l’ordinateur est détecté. Vous pouvez également créer des points de restauration manuellement.

Pop-up
Qualifie une fenêtre publicitaire qui s’affiche devant la page web consultée. On parle de fenêtre pop_under lorsque la fenêtre de publicité apparaît derrière la page.

29. Annexe III Glossaire

Prévention d’intrusion
La Prévention d’intrusion analyse tout le trafic entrant et sortant sur votre ordinateur et compare ces informations à un ensemble de signatures d’attaque. Une signature d’attaque est un groupe de données organisées qui identifie une tentative de piratage visant à exploiter une faille connue du système d’exploitation ou d’un programme. Si les informations correspondent à une signature d’attaque, la Prévention d’intrusion rejette automatiquement le paquet et interrompt la connexion avec l’ordinateur à l’origine de l’envoi des données. L’ordinateur est ainsi protégé contre la plupart des attaques possibles.

Privilège
Droit d’un utilisateur d’effectuer une tâche spécifique, qui affecte généralement l’ensemble du système informatique plutôt qu’un objet particulier. Les privilèges sont attribués par les administrateurs à des utilisateurs ou à des groupes d’utilisateurs particuliers dans le cadre de la configuration des paramètres de sécurité de l’ordinateur. Voir Droits d’utilisateur.

989

Chapitre 29

Annexe III - Glossaire

Profil d’utilisateur
Fichier qui contient des informations de configuration (comme les paramètres du Bureau, les connexions réseau permanentes et les paramètres des applications) pour un utilisateur spécifique. Les préférences de chaque utilisateur sont enregistrées dans un profil d’utilisateur que Windows utilise pour configurer le Bureau chaque fois qu’un utilisateur ouvre une session.

Programme
Jeu d’instructions complet et autonome qui permet d’exécuter une tâche donnée : traitement de texte, comptabilité ou gestion des données, par exemple. Synonyme : application.

Protocoles
Ensemble de règles et de conventions relatives à l’envoi d’informations sur un réseau. Ces règles régissent le contenu, le format, la synchronisation, la mise en séquence et le contrôle des erreurs des messages échangés entre les périphériques du réseau. 29. Annexe III Glossaire

Proxy
Ordinateur qui s’intercale entre le réseau privé et Internet pour servir de pare-feu ou de cache. Dans ce dernier cas, il enregistre les pages web transférées par les utilisateurs pour les délivrer sans qu’il soit nécessaire de se connecter sur le serveur initial.

Raccourci
Lien vers n’importe quel élément accessible sur un ordinateur ou sur un réseau, notamment un programme, un fichier, un dossier, un lecteur de disque, une page web, une imprimante ou un autre ordinateur. Vous pouvez placer des raccourcis à différents endroits, notamment sur le Bureau, dans le menu Démarrer ou dans des dossiers déterminés.

RAM (Random Access Memory)
Par opposition à la mémoire fixe (ROM), la mémoire vive peut être modifiée à l’infini dès qu’elle est alimentée en électricité. En informatique, la mémoire vive sert à stocker temporairement les fichiers que l’ordinateur exécute.

Registre
Emplacement de base de données destiné aux informations relatives à la configuration d’un ordinateur. Le Registre contient des informations auxquelles Windows se réfère en permanence, notamment : 990

Annexe III - Glossaire

j j j j j

les profils de chacun des utilisateurs ; les programmes installés sur l’ordinateur et les types de documents que chacun peut créer ; les paramètres des propriétés des dossiers et des icônes de programme ; le matériel présent sur le système ; les ports en cours d’utilisation.

Le Registre est organisé de manière hiérarchique sous la forme d’une arborescence et est constitué de clés et de sous-clés, de ruches et de rubriques valuées.

Réseau
Groupe d’ordinateurs et de périphériques, comme des imprimantes et des scanneurs, connectés entre eux par une liaison de communication permettant à tous les périphériques d’interagir. Un réseau peut être de grande ou de petite taille, connecté durablement par des câbles ou temporairement par des lignes téléphoniques ou des transmissions sans fil. Le plus grand réseau est Internet, qui est un groupement de réseaux du monde entier. 29. Annexe III Glossaire

Routeur
Dans un environnement Windows, matériel qui participe à l’interopérabilité et à la connectivité des réseaux locaux et des réseaux étendus. Permet aussi de lier des réseaux locaux régis par différentes topologies réseau (notamment Ethernet et Token Ring). Les routeurs font correspondre les en-têtes de paquets à un segment du réseau local et choisissent le meilleur chemin pour le paquet, ce qui optimise les performances du réseau. Dans l’environnement Macintosh, les routeurs sont indispensables aux communications entre des ordinateurs appartenant à des réseaux physiques distincts. Ils conservent une copie de la configuration des réseaux physiques sur un interréseau Macintosh (réseau) et transfèrent les données reçues du réseau physique vers les autres. Les ordinateurs exécutant la version serveur de Windows avec l’intégration réseau AppleTalk peuvent servir de routeurs, et vous pouvez également utiliser d’autres matériels de routage sur les réseaux avec intégration réseau AppleTalk.

Ruche
Partie du Registre qui apparaît en tant que fichier sur votre disque dur. Le sous-arbre du Registre est divisé en ruches (en raison de la ressemblance avec la structure cellulaire d’une ruche d’abeilles). Une ruche correspond à un ensemble discret de clés, de sous-clés et de valeurs qui figurent en haut de la hiérarchie du Registre. Une ruche est sauvegardée par un fichier unique et un fichier .log qui se trouvent dans le dossier racine_système\System32\Config ou racine_système\Profiles\nom_utilisateur. 991

Chapitre 29

Annexe III - Glossaire

La plupart de ces fichiers (par défaut, SAM, sécurité et système) sont normalement stockés dans le dossier racine_système\System32\Config. Le dossier racine_système \Profiles contient le profil d’utilisateur de tous les utilisateurs de l’ordinateur. Puisqu’une ruche est un fichier, elle peut être déplacée d’un système à un autre. Cependant, vous devez utiliser l’éditeur de Registre pour modifier le fichier.

Spamming
Envoi de courrier indésirable en masse. Les spammeurs envoient des courriers (ou spams) à des fins lucratives. Ils utilisent de nombreux moyens pour y parvenir. Ce système est puni par la loi, en France et dans beaucoup d’autres pays.

Sauvegarde
Copie de tous les fichiers sélectionnés (en d’autres termes, l’attribut Archive est désactivé). Pour les sauvegardes normales, vous n’avez besoin que de la copie la plus récente du fichier ou de la bande de sauvegarde, afin de restaurer les fichiers. En règle générale, une sauvegarde normale s’effectue la première fois que vous créez un jeu de sauvegardes. 29. Annexe III Glossaire

Script
Type de programme constitué d’un jeu d’instructions pour une application ou un programme d’outil. Un script exprime généralement ses instructions en employant les règles et la syntaxe de l’application ou de l’outil, avec des structures de commande simples telles que des boucles et des expressions (if, then…). Dans l’environnement Windows, programme de traitement par lots. Anglais : batch.

Sécurité
Ensemble de mécanismes de contrôle empêchant l’utilisation non autorisée de ressources. Un des mécanismes de sécurité, que l’utilisateur d’un ordinateur rencontre souvent, est le mot de passe.

Services
Les services sont utilisés pour effectuer des actions entre un programme installé sur un ordinateur et un périphérique Bluetooth distant. Ces paramètres permettent à l’ordinateur et aux périphériques Bluetooth externes de se connecter et d’effectuer d’autres activités, comme la connexion à Internet ou l’impression.

992

Annexe III - Glossaire

Shareware
De l’anglais share (partage). Logiciel distribué librement et dont l’utilisation est soumise à la condition de le payer si l’utilisateur est satisfait et continue à l’utiliser après un certain délai, en général un mois.

SID (Security ID)
Structure de données de longueur variable qui identifie les comptes d’utilisateurs, de groupes et d’ordinateurs. Chaque compte du réseau reçoit un SID personnel au moment de sa création. Les processus internes de Windows se réfèrent au SID d’un compte plutôt qu’à son nom d’utilisateur ou de groupe.

Site
Un ou plusieurs sous-réseaux TCP/IP correctement connectés (fiables et rapides). Un site permet aux administrateurs de configurer l’accès et la topologie de réplication Active Directory rapidement et facilement pour tirer avantage du réseau physique. Lorsque les utilisateurs ouvrent une session, les clients Active Directory recherchent les serveurs Active Directory sur le même site que l’utilisateur. 29. Annexe III Glossaire

Sous-arbre
Nœud d’un arbre, ainsi que n’importe quelle sélection de nœuds descendants connectés. Dans la structure du Registre, les sous-arborescences sont les nœuds principaux qui contiennent les clés, les sous-clés et les valeurs.

Sous-clé
Clé au sein d’une clé. Dans la structure du Registre, les sous-clés sont subordonnées aux sous-arbres et aux clés. Les clés et les sous-clés sont semblables à l’en-tête de section des fichiers .ini, bien que les sous-clés puissent aussi exécuter des fonctions.

SSL (Secure Socket Layer)
Protocole garantissant la sécurité des communications de données par cryptage et décryptage des données échangées.

Stratégies de groupe
Les stratégies de groupe sont des paramètres de configuration appliqués aux ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont également gérés dans un environnement Active Directory.

993

Chapitre 29

Annexe III - Glossaire

Ils ont pour objectifs de réduire les besoins en assistance, et d’automatiser certains processus. Une stratégie de groupe peut contrôler la base de Registre d’un ordinateur, la sécurité NTFS, les règles d’écoute et de sécurité, l’installation de logiciels, les scripts pour se connecter et se déconnecter, les redirections de répertoires, et les paramètres d’Internet Explorer. Ces règles sont enregistrées dans les stratégies de groupe. Une stratégie de groupe est identifiée en interne, par un identifiant unique : un GUID. Chacun peut être associé à plusieurs sites et domaines de travail. De cette manière, il est possible de mettre à jour des centaines de machines via un seul changement à une stratégie de groupe. Cela réduit les coûts de maintenance. Les stratégies de groupe sont analysées et appliquées lors du démarrage d’un ordinateur, ainsi que lors de la connexion et la déconnexion d’un utilisateur. La machine cliente rafraîchit périodiquement la plupart des stratégies de groupe (toutes les 90 à 120 minutes) bien que cet intervalle soit configurable. Anglais : GPO (Group Policy Object).

TCP (Transmission Control Protocol)
Service de remise fiabilisé et orienté connexion. Les données sont transmises sous forme de segments. La mention "orienté connexion" signifie qu’une connexion doit être établie avant que les hôtes puissent échanger des données. La fiabilité est assurée par l’affectation d’un numéro d’ordre à chacun des segments transmis. La bonne réception des données par l’hôte destinataire est vérifiée par un acquittement. Pour chacun des segments envoyés, l’hôte destinataire renvoie un acquittement (ACK) dans un délai spécifié. Si aucun acquittement n’est reçu, les données sont retransmises. Le TCP est défini par la RFC 793.

29. Annexe III Glossaire

TCP/IP
Le composant TCP/IP installé dans un système d’exploitation réseau est constitué d’une série de protocoles interconnectés appelés "protocoles centraux de TCP/IP". Toutes les autres applications et les protocoles de la suite de protocoles TCP/IP s’appuient sur les services fondamentaux fournis par les protocoles suivants : IP, ARP, ICMP, IGMP, TCP, UDP.

UDP (User Datagram Protocol)
Protocole de transmission de datagrammes sur le réseau qui fournit de manière optionnelle un certain nombre de contrôles. Un datagramme est un paquet de données considéré comme une entité isolée et indépendante, c’est-à-dire qu’il comporte dans son en-tête toutes les informations nécessaires à son acheminement à travers le réseau jusqu’à son destinataire, sans assurance de livraison. Ce protocole est peu fiable. Il est possible qu’une perte de qualité se produise pendant la transmission. Ce peut être le cas par exemple pour les données de type audio. L’UDP est défini par la RFC 768.

994

Annexe III - Glossaire

Unité d’organisation
Objet conteneur Active Directory utilisé à l’intérieur des domaines. Les unités d’organisation sont des conteneurs logiques dans lesquels vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Elles ne peuvent contenir que des objets de leur domaine parent. L’unité d’organisation est la plus petite étendue à laquelle un objet de stratégie de groupe peut être lié, ou sur laquelle une autorité administrative peut être déléguée. Anglais : OU (Organization Unit).

USB (Universal Serial Bus)
Bus externe qui prend en charge l’installation Plug-and-Play. Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 unités périphériques, dont des haut-parleurs, des téléphones, des lecteurs de CD-Rom, des manettes de jeu, des lecteurs de bandes, des claviers, des scanneurs et des appareils photo.

URL (Uniform Resource Locator)
29. Annexe III Glossaire Voir Adresse Internet.

USMT (User State Migration Tool)
Utilitaire permettant de migrer les profils utilisateurs au cours des déploiements en nombre de systèmes Microsoft Windows XP et Windows Vista. USMT capture les profils utilisateurs, notamment les paramètres du Bureau et des applications, ainsi que les fichiers des utilisateurs, avant de les migrer vers une nouvelle installation de Windows. Il permet également d’améliorer et de simplifier le processus de migration. Vous pouvez utiliser USMT pour les migrations de type "côte à côte" (les données sont copiées de l’ancien ordinateur vers le nouveau) et "effacer et charger" (vous enregistrez les données, puis vous formatez le disque dur et procédez à une nouvelle installation). Si vous procédez uniquement à la mise à niveau de votre système d’exploitation, USMT n’est pas nécessaire. USMT s’adresse aux administrateurs qui effectuent des déploiements automatisés. USMT vous permet d’effectuer les opérations suivantes :
j

la configuration d’USMT, pour une situation unique, en utilisant les fichiers (.xml) de règles de migration pour contrôler exactement quels comptes utilisateurs, quels fichiers et quels paramètres sont transférés, et comment ils le sont ; l’automatisation de la migration à l’aide des deux outils de ligne de commande USMT qui contrôlent la collecte et la restauration des fichiers et paramètres utilisateur.

j

995

Chapitre 29

Annexe III - Glossaire

Utilisateur
Personne qui utilise un ordinateur. Si l’ordinateur est connecté à un réseau, un utilisateur peut accéder aux programmes et aux fichiers de l’ordinateur, ainsi qu’aux programmes et aux fichiers situés sur le réseau (en fonction des restrictions du compte déterminées par l’administrateur réseau).

Variable
En programmation, emplacement de stockage nommé qui peut contenir un type de données déterminé, susceptible d’être modifié pendant l’exécution du programme. Les variables d’environnement système sont définies par Windows XP et sont les mêmes, indépendamment de celui qui se connecte à l’ordinateur. Les membres du groupe Administrateurs peuvent néanmoins ajouter de nouvelles variables ou modifier des valeurs. Les variables d’environnement utilisateur peuvent être différentes pour chaque utilisateur d’un ordinateur particulier. Elles comprennent toutes les variables d’environnement que vous souhaitez définir ou les variables définies par vos applications, comme le chemin d’accès de vos fichiers d’application. 29. Annexe III Glossaire

Variable d’environnement
Chaîne comportant des informations sur l’environnement (lecteur, chemin ou nom de fichier), associées à un nom symbolique pouvant être utilisé par Windows. Vous définissez des variables d’environnement par le lien Système du Panneau de configuration ou à l’aide de la commande Set dans l’Invite de commandes.

Versions précédentes
Les versions précédentes sont des copies de sauvegarde (copies de fichiers et de dossiers) ou des clichés instantanés (copies de fichiers et de dossiers enregistrées automatiquement par Windows comme élément d’un point de restauration). Les clichés instantanés peuvent être des copies de fichiers sur votre ordinateur ou des fichiers partagés sur un ordinateur d’un réseau. Vous pouvez utiliser des versions précédentes de fichiers pour restaurer des fichiers que vous avez accidentellement modifiés ou supprimés, ou qui ont été endommagés. Selon le type de fichier ou de dossier, vous pouvez les ouvrir, les enregistrer vers un autre emplacement ou les restaurer à une version précédente.

Virtualisation
En informatique, ensemble des techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d’exploitation et/ou plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des machines physiques distinctes. Les outils de virtualisation servent à faire fonctionner ce 996

Annexe III - Glossaire

qu’on appelle communément des "serveurs privés virtuels" (Virtual Private Servers ou VPS) ou encore "environnements virtuels" (Virtual Environments ou VE).

Wi-Fi (Wireless-Fidelity)
Norme 802.11 de réseau sans fil. Un réseau Wi-Fi peut être utilisé pour permettre la connexion à un réseau local ou étendu, ou à Internet.

WIM
Format des images systèmes utilisé par Windows Vista, Windows Longhorn Server et SMS.

Windows RE
Environnement de récupération, de résolution d’incidents de Windows Vista.

Windows PE
Environnement de préinstallation de Windows. Windows PE permet de charger un système d’exploitation minimal à partir d’un média de type CD/DVD au démarrage d’un ordinateur afin d’obtenir une plateforme de déploiement ou de maintenance pour le poste de travail. Windows PE est configurable. Windows Vista introduit la version 2 de Windows PE. 29. Annexe III Glossaire

XML (Extended Markup Language)
Norme de documents sur le Web, permettant une structuration de l’information.

ZIP
Format de compression, utilisé notamment par les utilitaires pkzip et WinZip. L’extension correspondante est .zip. Lorsque l’on compresse un fichier ou un dossier, le résultat obtenu est communément appelé "fichier ZIP" ou "archive".

997

Index
!
$OEM$, 222 \$OEM$\$$, 222 \$OEM$\$$\Help, 222 \$OEM$\$$\System32, 222 \$OEM$\$1, 222 \$OEM$\$1\pilotesPlug-and-Play, 222 \$OEM$\$1\SysPrep, 222 \$OEM$\$Docs, 222 \$OEM$\$Progs, 222 \$OEM$\$Progs\Internet Explorer, 223 \$OEM$\lettre_lecteur\sous_dossier, 223 \$OEM$\Textmode, 222 installation à partir d’un fichier de réponses, 651 installation détaillée, 623 installation via le réseau, 649 intégration du DNS, 634 journaux d’événements, 636 NETLOGON, 631 objets créés par défaut, 641 premier contrôleur de domaine, 622, 641 problème lié à l’installation, 643 problème lors de l’installation, 642 processus d’installation, 620 restauration des annuaires, 635 sécurité, 715 schéma, 525, 670 SYSVOL, 631 vérification de l’installation, 630 vérifier la structure de dossiers, 631 vérifier les dossiers partagés nécessaires, 631 vue d’ensemble, 615 Active Directory Application Mode (voir ADAM), 69, 735 Active Directory Federation Services (voir ADFS), 754 ActiveX, 970 ADAM configuration requise, 738 création d’une instance, 742 création d’une Unité d’Organisation, 750 gérer une instance, 748 installation, 740 instances, 737 maintenance, 750 principe, 735 restauration, 751 sauvegarde, 750 se connecter à une instance, 746

A
Abortpxe.com, 332 Accès à distance, 969 Access Denied, 847 ACL, 969 Acrobat, 969 ACT, 969 Actif, 969 Active Directory, 522, 969 assistant Installation, 623 base de données, 632 calcul de l’espace libre, 617 conditions requises pour l’installation, 618 contraintes matérielles, 616 déployer le deuxième contrôleur de domaine, 649 déployer le domaine racine, 619 définitions communes, 541 fichiers journaux, 632

999

Adamsync

synchroniser les données avec Active Directory, 752 Adamsync, 753 ADFS, 754 agent, 759 configuration requise, 757 implémentation des composants, 760 installation du composant agent web, 761 installation du composant Proxy du service de fédération, 761 installation du composant Service de fédération, 760 principales fonctionnalités, 754 proxy de serveur de fédération, 757 proxy du service de fédération, 759 rôles des serveurs, 755 serveur de fédération, 756 service de fédération, 758 terminologie, 762 Admin Approval Mode, 846 Administration pare feu, 502 d’ordinateur, 970 d’un serveur, 431 ADPREP, 863 Adressage APIPA (Automatic Private IP Addressing), 113 DHCP, 113 IP dynamique, 113 IP statique, 113 plan d’adressage IP, 32, 48 Adresse Internet, 970 IP, 971 ADS (Automated Deployment Services), 70 ADSL, 971 Affinité des clients, 567 Ajout à un domaine impliquant le client WDS, 326 à un domaine lors du premier démarrage, 331 de pilotes à une image de Windows hors connexion, 289 une image dans une image, 284 Alerte, 468, 971 Amorçage (double), 110 Analyse des performances, 451

Annuaire, 513 Antivirus en entreprise, 847 Appartenances de groupe, 431, 971 Applet, 404 Appliquer une image avec ImageX, 265 Approbation, 684 création, 690 domaine kerberos, 688 fonctionnement, 688 périphériques en attente, 326 Arbre, 526 Architecture gestion d’installation, 208 ImageX, 252 Assistant Gestion d’installation, 208 architecture, 208 attribution des fichiers Unattend à des images, 218 création d’un fichier de réponses, 212 interface graphique, 211 points importants, 219 volet Fichier de réponses, 212 volet Image système Windows, 212 volet Messages, 212 volet Partage de distribution, 212 volet Propriétés, 212 AT, 864 Attaque du compte Administrateur, 722 ATTRIB, 865 Attribut, 971 Audit, 971 AuditSystem, 205, 213 AuditUser, 205, 213 Authentification, 717, 972 Automated Deployment Services (ADS), 70 Autonomie, 719 Autorisation, 717, 972 accès spéciales, 972 héritées, 972 Avantages ImageX, 249

B
Backdoor, 972 Bande passante, 972

1000

CreateProcessAsUser

Barre des tâches, 972 Basculement, 574 Base de connaissances, 973 BitLocker, 504 Bluetooth, 973 Bogue, 973 Boot Information Negociation Layer (BINL), 125 Boot.wim, 237 BOOTCFG, 866 Bootmgfw.efi, 332 Bug, 973 Bureau, 973 Bureau à distance, 443 configurer les préférences, 444 se connecter, 445

C
CACLS, 867 Capturer une image avec ImageX, 249 Caractéristiques Windows Server 2003, 59 Windows Server 2008, 493 Carte mère, 973 vidéo, 974 Catalogue global, 532 configurer, 674 définir, 543 maître d’infrastructure et catalogue global, 667 serveur, 579 Centralisation des données, 523 Certificat, 974 éditeurs de certificats, 642 magasin, 426, 984 service, 931 Chemin d’accès du pilote, 210 Cheval de Troie, 974 CHKDSK, 869 CHKNTFS, 870 Choix du domaine racine de la forêt, 555 CIPHER, 871 Classe d’adresses, 974

d’objets, 524 Clé, 975 Clients (affinités), 567 CLIP, 873 CMD, 873 CMDKEY, 875 CNG, 505 Collision de réplication, 572 Commande synchrone, 211 Communication sans fil, 975 Composant, 210 Compression, 975 Compte Administrateur attaque, 722 Compte d’utilisateur, 975 contrôle des comptes, 846 Compteurs de performance, 471 Conception de l’infrastructure logique Active Directory, 545 Configurer catalogue global, 674 DNS, 633 Conformité LDAP, 519 Connexions web sécurisées, 975 Contrôle des comptes utilisateurs, 846 Contrôleurs de domaine, 530 indisponibilité, 645 Cookie, 975 Corbeille, 976 Couche Application, 770, 780 corruption, 781 défense, 781 Couche Données, 770, 782 corruption, 783 défense, 783 Couche Hôte, 770, 778 corruption, 779 défense, 779 Couche Périmètre, 770, 773 corruption, 774 défense, 774 Couche Physique, 770 corruption, 771 défense, 771 Couche Réseau interne, 770, 775 corruption, 776 défense, 777 CreateProcessAsUser, 847

1001

Création

Création approbations, 690 fichier de réponses, 212 CSVDE, 876

D
DATE, 877 Dcdiag.exe, 644 DCGPOFIX, 878 Défense couche application, 781 couche données, 783 couche hôte, 779 couche périmètre, 774 couche physique, 771 couche réseau interne, 777 en profondeur, 769 Définir catalogue global, 543 nom unique et nom unique relatif, 544 schéma, 542 service d’annuaire, 541 stratégie de noms d’ordinateurs, 329 Définitions communes dans un projet Active Directory, 541 DEFRAG, 878 Défragmentation, 976 DHCP configuration, 312 utilisateurs, 641 Déployer des ordinateurs Windows Vista en entreprise, 185, 247 option d’installation des services de déploiement, 308 DFS (Distributed File System), 568 DFSCMD, 879 DiskPart, 241, 880 Disques, 474 DNS mécanisme de vieillissement, 653 protection des données DNS, 729 protection des serveurs DNS, 728 résolution de noms récursive, 640 vieillissement et nettoyage, 653-654

DnsAdmins, 641 DnsUpdateProxy, 642 Domaine, 112, 525, 976 contrôleurs, 530 enfant, 655 racine vide, 556 racine de la forêt, 555 régional, 554 unique, 552 Dossier, 976 de base, 976 Double amorçage, 110 DRM, 977 Droits d’utilisateur, 977 Drvload, 241 Dsadd, 605 DSADD QUOTA, 724 DSGET, 882 DSMOD QUOTA, 725 DSMOVE, 883 DSQUERY, 884 DSQUERY QUOTA, 727 Dual core, 977 Dualboot, 110 Duplicateurs, 641 Durée de vie, 977

E
Élément de liste, 210 Emplacement de compte, 326 Émulateur contrôleur principal de domaine (CDP), 532 PDC, 665 En ligne, 977 En tant qu’administrateur, 847 Enregistrements de ressources SRV, 618 Établir des frontières de sécurité, 797 Étape de configuration, 210 Ethernet, 978 Évaluation de la sécurité, 805 analyse des vulnérabilités, 814 audit de sécurité informatique, 816 défense en profondeur, 810 planification, 808

1002

Image

test de pénétration, 815 Événement, 978 EVENTQUERY, 885 Exécuter en tant que, 433 raccourcis, 437

F
FAI, 978 FAT32, 978 Feature Packs, 69 Fenêtre, 978 Fichier catalogue, 210 de réponses, 210-211 journal, 978 système, 979 File Replication Services (FRS) Monitoring Tools, 70 FINGER, 886 Flexible Single Master of Operation, 663 Fonctionnalité de basculement, 574 Fonctionnement des approbations, 688 Forêt, 527, 979 accès restreint, 550 basé sur l’organisation, 548 basé sur les ressources, 549 modes de forêt, 680 multidomaine, 616 puzzmania.com, 51 Format commande FORMAT, 887 WIM, 319 Framework.NET, 169 FREEDISK, 888 Frontières de sécurité, 797 FRS (File Replication Service), 568 FSMO, 663 FTP, 889

Gestionnaire de packages, 285 de périphériques, 979 des tâches, 459 Get-help, 409 Get-Member, 412 GETMAC, 890 GPO, 980 GPRESULT, 890 GPUPDATE, 891 Group Policy Management Console (GPMC), 70 Groupe, 980 d’images, 320 de sécurité, 980 de travail (Workgroup), 112 local, 980 local de domaine, 433 local de domaine intégré, 431 prédéfinis, 980 universels, 579 Groupes d’images, 320 créer, 321 Install.wim, 320 Res.rwm, 320

H
Hdlscom1.com, 332 Hdlscom1.n12, 332 Hdlscom2.com, 332 Hdlscom2.n12, 333 Héritage, 981 Hexadécimal, 981 Home page, 987, 981 HTTP, 981

I
Identity Integration, 70 Image attribution des fichiers Unattend, 218 CD-Rom (Risetup.exe), 129, 320 de démarrage, 312, 315

G
Generalize, 204, 213 Gestion de l’ordinateur, 439, 979

1003

ImageSelection

disque, 981 d’installation, 312, 319 héritées, 312 Riprep (Riprep.exe), 130, 319 système Windows, 211 ImageSelection, 220 ImageX, 241, 982 /apply, 241, 255, 265 /capture, 257 /export, 285 /info, 259 /mountrw, 241, 260 /split, 262 /unmount, 263 appliquer une image, 265 architecture, 252 capturer une image, 249 scénarios, 251 Indisponibilité du contrôleur, 645 InetOrgPerson, 521 Informatique centralisée, 597 décentralisée, 598 externalisée, 598 Infrastructure, 982 logique Active Directory, 545 maître d’infrastructure, 532, 666 Install.wim, 320 Installation compatibilité du système, 108 en mode texte, 113 Framework.NET, 169 interactive, 143 manuelle, 111 mise à niveau, 109 MSXML, 170 nouvelle installation, 109 pack de langues dans une image hors connexion, 296 prérequis, 107 Upgrade Advisor, 170 Internet, 982 Internet Explorer, 826 Intranet, 982 Isolation, 719 ISTG (Intersite Topology Generator), 573 IUSR_xxx, 642 IWAM_xxx, 642

J
Java, 982 Javascript, 983 Jeton, 983 Jeu de configuration, 210 de sauvegardes, 983 Job, 983 Journal sécurité, 983 Journaux, 462

K
KCC (Knowledge Consistency Checker), 573 Kerberos, 688 centre de distribution de clés, 939 Krbtgt, 642

L
LDAP (Lightweight Directory Access Protocol), 513 LDAP V3, 516 LDIFDE, 893 Licence, 115 CAL, 115 enregistrement de licences, 940 gestion de licences Terminal Server, 953 Windows Vista, 148 Lien de sites, 576 Limites exposition des comptes d’administration des services, 721 ImageX, 251 Sysprep, 232 Win PE, 240 Localisation de services, 569 Login, 220 LPQ, 894 LPR, 895

1004

NETSH

M
Magasin de certificats, 426, 984 Maintenance, 984 Active Directory, 704 ADAM, 750 de l’image, 283 des serveurs, 429 stratégies de groupe, 375 Maintenance d’Active Directory défragmentation, 704 déplacement, 705 prendre les rôles maîtres, 707 restauration, 700 restauration autoritaire, 703 restauration non autoritaire, 701 sauvegarde, 697 Maître d’attribution de noms de domaine, 531, 664 d’ID relatifs, 531 d’infrastructure, 532, 666 d’infrastructure et catalogue global, 667 de schéma, 531, 586 des ID relatifs, 664 Majuscules et minuscules, 626 Malware, 826, 984 Masque de sous-réseau, 984 Mémoire, 471 flash, 984 virtuelle, 985 Menaces pour la sécurité Active Directory, 717 Microsoft Exchange Server et Outlook, 935 Microsoft Security Assessment Tool, 818 Microsoft Solutions Framework, 548 Migration, 985 vers Windows Vista, 151 Migwiz.exe, 157, 164 Minuscules et majuscules, 626 Mise à niveau du système d’exploitation, 109 Mise en cache de l’appartenance aux groupes universels, 579 Mises à jour dynamiques, 619 MMC, 985 Mode de licence par périphérique (ou siège), 116 de licence par serveur, 115 Modèle

administration, 851 domaine basé sur les entités de l’entreprise, 554 domaine régional, 554 domaine unique, 552 forêt à accès restreint, 550 forêt basé sur l’organisation, 548 forêt basé sur les ressources, 549 informatique centralisée, 597 informatique décentralisée, 598 informatique externalisée, 598 sécurité, 850 sécurité Member Server Baseline, 799 structure d’unités d’organisation, 598 Modes de forêt, 680 Mot de passe, 985 crypté, 985 utilisateur, 985 MOUNTVOL, 895 MSAT, 818 MSF, 548 MSXML, 170 Multiboot, 110

N
NAP, 503 NET, 896 NET CONFIG, 897 NET CONFIG SERVER, 897 NET CONFIG WORKSTATION, 897 NET GROUP, 898 NET HELPMSG, 898 NET LOCALGROUP, 898 NET PRINT, 899 NET SEND, 900 NET SESSION, 901 NET SHARE, 901 NET START, 902 NET STOP, 902 NET TIME, 902 NET USE, 903 NET USER, 904 Netdiag.exe, 643 NETSH, 904 contexte global, 905

1005

Newsgroup

Newsgroup, 986 Nom de partage, 986 Nouvelle installation, 109 NSLOOKUP, 906 Ntdsutil, 644 suppression d’un contrôleur de domaine, 647 NTFS (New Technology File System), 114, 986 Numéro séquence de mise à jour (USN), 571 version de propriété (PVN), 572

OfflineServicing, 203, 213 Oobe.xml, 267, 270, 282 personnalisation, 190 OobeSystem, 206, 213 Option d’installation des services de déploiement Windows, 308 Organisation unique, 47 OSCDImg, 241 OSChooser, 309 OSI, 987 Outils système, 440 Ouverture de session, 987 interactive, 987

O
Objet, 524, 986 connexion, 572 enfant, 987 serveur, 622 Objets Active Directory Administrateur, 642 Administrateurs, 641 Administrateurs de l’entreprise, 642 Administrateurs du schéma, 642 Admins du domaine, 642 Builtin, 641 Computers, 641 Contrôleur de domaine, 641 Contrôleurs de domaine, 642 DnsAdmins, 641 DnsUpdateProxy, 642 Duplicateurs, 641 Éditeurs de certificats, 642 Invité, 642 Invités, 641 Invités du domaine, 642 IUSR_xxx, 642 IWAM_xxx, 642 Krbtgt, 642 Opérateurs, 641 Serveurs RAS et IAS, 642 Users, 641 Utilisateurs, 641 Utilisateurs DHCP, 641 Utilisateurs WINS, 642 Octet, 987

P
Pack de langues, 296 Package, 210 Page web, 987 home page, 987, 981 Paramètre, 211 sécurité des stratégies de groupe, 852 Pare-feu, 987 action, 502 administration à distance, 502 avancé, 839 configuration, 502 critères de règles, 502 filtres de paquets, 502 GPO, 502 option Activé, 836 option Bloquer toutes les connexions, 838 option Désactivé, 837 personnel, 835 réglage par défaut, 502 sens, 502 Partage de distribution, 210, 221 nom de partage, 986 Partition, 988 active, 988 base de données Active Directory, 528 d’amorçage, 988 d’annuaire, 569 d’application, 570 de domaine, 570

1006

Redémarrer Managers

de la configuration, 570 de schéma, 570 principale, 988 système, 988 Passes de configuration, 201 PEImg, 241 Performances analyse, 451 compteurs, 471 Périphériques en attente, 312 Personnalisation de l’image, 267 accueil de premier démarrage Windows, 273 accueil Windows, 279 conditions dans Oobe.xml, 282 fonctionnement d’Oobe.xml, 270 implémentation d’Oobe.xml, 271 Oobe.xml, 267 PID, 989 Pilote chemin d’accès, 210 Pkgmgr, 287 PKI, 504 Plan d’adressage IP, 32, 48 de nommage, 50 de nommage commun, 48 Planification projet Active Directory, 535 Plugin, 989 Point de restauration, 989 Pont de liaison de sites, 577 Pop-up, 989 Port 67, 314 configuration, 314 Présentation d’ImageX, 249 Prévention d’intrusion, 989 Privilège, 989 PRNCNFG, 906 PRNDRVR, 907 PRNJOBS, 909 PRNMNGR, 910 PRNQCTL, 912 Processeur, 474 Processus approbation des périphériques en attente, 326 installation de Windows Vista, 187

Processus d’installation de Windows Vista, 187 AuditSystem, 205 AuditUser, 205 état d’installation, 190 Generalize, 204 installation interactive, 197 installation sans assistance, 197 journaux d’état d’installation, 193 méthodes conseillées, 206 mode Audit, 189 OfflineServicing, 203 OobeSystem, 206 passes de configuration, 201 personnalisation Oobe.xml, 190 setup.exe, 193 Specialize, 204 WindowsPE, 203 Profil d’utilisateur, 990 Programme, 990 de démarrage par défaut, 332 Protection des données DNS, 729 des serveurs DNS, 728 des serveurs membres, 799 des serveurs pour des rôles spécifiques, 800 Protocole, 990 IP, 982 TCP, 994 TFTP, 126 UDP, 994 Proxy, 990 Puzzmania (système d’information de), 32 PVN (Property Version Number), 572 PXE Server Setting, 312 Pxeboot.com, 333 Pxeboot.n12, 333

R
Raccourci, 990 exécuter en tant que, 437 RAM, 990 RCP, 913 RECOVER, 914 Redémarrer Managers, 832

1007

Réduction

Réduction coûts, 45 trafic, 677 Registre, 990 Renforcer protection des serveurs d’impression, 801 protection des serveurs d’infrastructure, 800 protection des serveurs de fichiers, 801 protection des serveurs IIS, 801 stratégie de domaine, 798 Renommer un contrôleur de domaine, 645 Réplication, 533 collision de réplication, 572 routage, 566 Sysvol, 568 Res.rwm, 320 Réseau, 475, 991 Restauration point, 989 Résolution de noms récursive, 640 Ressources de service, 568 SRV, 618 Rétrograder un contrôleur de domaine principal, 646 REXEC, 914 RFC RFC 768, 994 RFC 791, 982 RFC 793, 994 RFC 1034, 626 RFC 1823, 516 RFC 2247, 516 RFC 2251, 516 RFC 2252, 516 RFC 2253, 517 RFC 2254, 517 RFC 2255, 517 RFC 2256, 517 RFC 2307, 517 RFC 2587, 517 RFC 2589, 517 RFC 2596, 518 RFC 2649, 518 RFC 2696, 518 RFC 2713, 518 RFC 2714, 518 RIPREP, 309 Riprep (Riprep.exe), 130, 319

RIS (Remote Installation Service), 123 RISETUP, 309 RODC, 505 Rôles maîtres d’opération, 531, 663 RootDSE, 515 Routage de la réplication, 566 Routeur, 991 Ruche, 991 RUNAS, 915

S
Sauvegarde, 992 Scénarios ImageX, 251 Schéma Active Directory, 525, 670 SCHTASKS, 916 Script, 992 Sécurité, 767, 784, 805, 850, 992 Active Directory, 715 analyse des vulnérabilités, 814 attaque du compte Administrateur, 722 audit de sécurité informatique, 816 cheval de Troie, 974 comptes d’administration des services, 720 défense en profondeur, 810 définir des solutions, 785 évaluer les risques, 785 Member Server Baseline, 799 mettre en place des solutions, 785 méthodes d’administration des données, 723 notions fondamentales, 784 planification, 808 physique, 771 postes de travail, 823 postes de travail à l’aide d’Active Directory, 849 relations interforêts, 731 serveurs, 789 test de pénétration, 815 valider des solutions, 785 Windows Vista, 826 Sécurité des serveurs, 789 Active Directory, 795 base des serveurs, 793

1008

Service

conception de la sécurité, 789 concessions, 792 conséquences juridiques, 792 coût, 793 frontières de sécurité, 797 menace interne, 791 modèle de sécurité Member Server Baseline, 799 possibilités d’accès physique, 792 problématiques de base, 791 recommandations, 794 serveurs assurant plusieurs rôles, 791 serveurs d’impression, 801 serveurs d’infrastructure, 800 serveurs de fichiers, 801 serveurs IIS, 801 serveurs membres, 799 serveurs pour des rôles spécifiques, 800 stratégie de domaine, 798 systèmes anciens, 792 Server Core, 480, 484 Serveur activation de NTPServer, 639 catalogue global, 579 changement du type de serveur en NTP, 638 configuration du service, 637 de temps, 637 horloge matérielle, 638 intervalle d’interrogation, 639 paramètres de correction, 639 RAS et IAS, 642 web, 757 Service, 992 affichage des messages, 941 agent de contrôle à distance SMS, 949 annuaire de session des services Terminal Server, 953 appel de procédure distante, 945 autorité de sécurité locale, 929 centre de distribution de clés Kerberos, 939 certificats, 931 clients Microsoft Exchange Server et Outlook, 935 cluster, 931 coordinateur de transactions distribuées, 934 d’annuaire, 737 d’authentification Internet, 938

de télécopie, 936 découvertes SSDP, 951 enregistrement de licences, 940 état ASP.NET, 931 explorateur d’ordinateurs, 932 gestion de licences Terminal Server, 953 hôte périphérique Plug-and-Play universel, 954 HTTP SSL, 938 installation à distance, 945 interruption SNMP, 950 journal des événements, 934 journaux et alertes de performance, 944 localisation de services, 569 localisateur d’appels de procédure distante, 946 Message Queuing, 940 MSSQL$UDDI, 943 MSSQLSERVER, 942 Network News Transfer Protocol, 944 notification de stockage étendu, 946 ouverture de session réseau, 943 pare-feu de connexion Internet, 939 partage de Bureau à distance NetMeeting, 943 partage de connexion Internet, 939 passerelle de la couche Application, 930 piles MTA Microsoft Exchange, 941 POP3 Microsoft, 942 publication FTP, 937 publication World Wide Web, 956 réplication de fichiers, 568, 937 routage et accès distant, 946 serveur, 947 serveur d’impression TCP/IP, 952 serveur de fichiers pour Macintosh, 937 serveur de stockage étendu, 946 serveur de suivi de lien distribué, 933 serveur DHCP, 932 serveur DNS, 934 SharePoint Portal Server, 948 Simple Mail Transfer Protocol, 948 SNMP, 949 installation à distance (Remote Installation Service), 123 spouleur d’impression, 944 SQL Analysis Server, 950 système de fichiers distribués, 933 Systems Management Server 2.0, 951

1009

Service Pack 1

TCP/IP simples, 948 Telnet, 952 temps Windows, 956 Terminal Server, 952 Trivial FTP, 954 Windows Internet Name Service (WINS), 955 Windows Media, 955 Service Pack 1, 71, 89 Service Pack 2, 73, 91 Services de déploiement Windows configuration, 310 configuration de DHCP, 312 fonctionnement, 303 installation, 305 mode hérité, 309 mode mixte, 309 mode natif, 309 modes de fonctionnement des services, 309 option DHCP 60, 313 Services et applications, 441 Services for Unix (SFU), 71 SET, 917 Shareware, 993 SHUTDOWN, 919 SID, 993 Single Instant Store (SIS), 126 technologie SIS, 319 Sites, 529, 575, 993 Sous-arbre, 993 Sous-clé, 993 Sous-réseau, 574 masque, 984 Spamming, 992 Specialize, 204, 213 Spywares, 826 SSL, 993 Standard LDAP V3, 516 Stockage, 440 d’instance simple (SIS), 126 Stratégie de noms de clients, 326 Structure Active Directory sécurisée, 720 physique d’Active Directory, 529 Suppression d’un contrôleur de domaine, 646 Sysprep, 131, 223 action de nettoyage du système, 225 fichiers journaux, 232

implémentation, 224 limitations, 232 options d’extinction, 226 processus, 227 réinitialisation de l’activation, 227 utilisation de fichiers de réponses, 229 Système d’information de Puzzmania, 32 SYSTEMINFO, 921

T
TAKEOWN, 922 TASKKILL, 923 TASKLIST, 923 TCP, 994 TCP/IP, 994 Technologie SIS, 319 Télécopie, 936 TELNET, 924 Terminal Server annuaire de session des services, 953 TFTP, 925 TIME, 926 Topologie des sites, 565 Trafic de réplications, 677 Transfert des fichiers et paramètres à l’aide d’un support amovible, 164 CD ou DVD, 165 poste cible, 153 poste source, 157 réseau, 152 Transfert de zones incrémentiels, 619 des rôles, 667 Transitivité des liens de sites, 578 Trivial File Transfer Protocol TFTPD, 126 TTL, 977

U
UDP, 994 Unattend.xml, 220 Unités d’organisation, 527, 593

1010

Windows Server 2003

conception, 598 implémentation, 601 modèle hybride, 600 modèle basé sur l’emplacement, 598 modèle basé sur l’organisation, 599 modèle basé sur la fonction, 599 planification de la structure administrative, 595 Update Sequence Number (USN), 571 Upgrade Advisor, 170 URL, 995 USB, 995 USMT, 995 USN (Update Sequence Number), 571 Utilisateurs, 996 administrateurs, 431 opérateurs d’impression, 432 opérateurs de compte, 432 opérateurs de sauvegarde, 432 opérateurs de serveur, 432 Utiliser Upgrade Advisor, 173

V
Valeur d’image, 210 Variable, 996 d’environnement, 996 Vérificateur de cohésion de connaissances, 573 Versions, 137 précédentes, 996 Virtualisation, 996

W
WAIK, 234 WDS stratégie de noms de clients, 326 unité d’organisation lors de l’approbation, 326 Wdsnbp.com, 333 WDSUTIL, 310, 333-335 ajouter une image de démarrage, 336 arrêter le serveur, 347

configuration de l’option 60, 335 configuration du port 67, 336 démarrer le serveur, 346 obtenir des informations, 337 supprimer une image de démarrage, 337 Web serveur web, 757 connexions web sécurisées, 975 Wi-Fi, 997 WIM, 997 Win PE ajouter des packages, 242 ajouter des pilotes, 243 limitations, 240 lister les packages, 242 mode Non préparé, 237, 241 mode Préparé, 237 outils, 241 personnaliser, 241 préparer une image, 244 repackager une image, 245 utilisation, 240 version 2.0, 235 Windows 2000, 168 Windows Automated Installation Kit, 234 Windows Backup, 179 Windows Defender, 826, 828 historique, 831 Windows Filtering Platform, 501 Windows PE, 997 Windows PE 2.0, 233-234 Windows PowerShell, 399 aide, 415 alias, 420 applets de commande, 404 exécution, 403 installation, 402 interaction et scripts, 413 mise en forme de la sortie des commandes, 419 navigation, 424 pipelines d’objets, 412 présentation, 401 stratégie d’exécution, 414 traitement d’objets, 410 Windows Preinstallation Environment, 239 Windows RE, 997 Windows Rights Management Services, 71 Windows Server 2003

1011

Windows Server 2008

Datacenter Edition, 58 Enterprise Edition, 58 R2, 71, 89 Standard Edition, 57 Web Edition, 58 Windows Server 2008, 477 BitLocker, 504 CNG, 505 fonctionnalités, 493 gestion du serveur, 489 gestionnaire de serveur, 490 groupes et utilisateurs, 486 installation, 481 installer, 479 isolement de serveur et de domaine, 506 NAP, 503 pare-feu, 501 PKI, 504 prérequis, 479 RODC, 505 rôles, 493 sécurité, 500 Server Core, 480 services, 487 tâches de configuration initiales, 489 Windows Server Update Services, 832 Windows SharePoint Services, 70 Windows Vista activation, 148 Édition Familiale Basique, 139 Édition Familiale Premium, 139 Édition Intégrale, 141 Entreprise, 141 licence, 148 Professionnel, 140 Starter Edition, 138 Windows Vista et Active Directory changement rapide d’utilisateur, 361

fichiers ADML, 365 fichiers ADMX, 363 gestion de Bitlocker, 391 gestion des réseaux filaires IEEE 802.3, 383 gestion des réseaux sans fil IEEE 802.11, 387 intégration dans le domaine, 353 maintenance des stratégies de groupe, 375 répertoire de stockage central au domaine, 371 stratégies de groupe, 362 stratégies de groupe locales multiples, 379 Windows XP Familial, 167 Media Center, 167 Professional, 167 Professional x64, 168 Tablet PC, 168 WindowsPE, 213 WINPE, 234 Winpe.wim, 237 WINS utilisateurs, 642 WUA, 832

X
X.500, 514 XML, 997

Z
ZIP, 997

1012

Notes

Notes

Notes

Notes

Notes

Notes

Notes

Notes

Notes

Notes

Composé en France par Jouve 11, bd de Sébastopol - 75001 Paris

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close