Administration Windows Server 2003

8/9/2019 Administration Windows Server 2003

1/177

1

Enseignant: A. BenKhalifaA.U: 2014/2015

Ecole: ESTI

Module: Administration Windows Server 2003


2/177

Plan

Introduction lenvironnement Windows Server 2003

Etapes dinstallation de Windows Server 2003

Prsentation du service dannuaire (Active Directory)

Configuration du service DNS

Gestion des comptes dutilisateur et dordinateur

Gestion dordinateur

Base de registre

Gestion daccs aux ressources

Stratgie de scurit (locale/groupe) 2


3/177

Dfinitions

Windows Server 2003 est un systme dexploitation orient serveur dvelopp

par Microsoft.

Un serveur informatique est un dispositif informatique matriel ou logiciel qui

offre des services, diffrents clients. Les services les plus courants sont :

Le partage de fichiers

L'accs aux informations du World Wide Web

Le courrier lectronique

Le partage d'imprimantes Le stockage en base de donnes

Les serveurs sont utiliss par les entreprises, les institutions et les oprateurs de

tlcommunication. Ils sont courants dans les centres de traitement de donnes

et le rseau Internet Prsent le 24 avril 2003 comme le successeur de Windows Server 2000,

Windows Server 2003 est considr par Microsoft comme tant la pierre

angulaire de la ligne de produits serveurs professionnels Windows Server System.

Une version volue intitule Windows Server 2003 R2 a t finalise le 6

dcembre 2005. Son successeur, Windows Server 2008 est sorti le 4 fvrier 2008.3


4/177

Evolutions de la famille Windows

Serveurs

Grand Public

Professionnel

Embarqu

1999 200

2/20032000


5/177

La famille Windows Server 2003 R2

5

Windows Server 2003 Windows Server 2003 R2


6/177

Gamme Windows Server 2003

Windows Server 2003Windows 2000

Serveur dapplications critiques qui ncessitent

les plus hauts niveau de performances et de

disponibilit (bases de donnes, progiciels de

gestion intgre, traitement en temps rel de

transactions en gros volume et consolidation

de serveurs )

Serveur dinfrastructure dentreprise et d

applications (DC, mise en cluster, services Web)

Pour les organisations moyennes et grandes

Destin aux petites entreprises et auxdpartements en tant que contrleurs dedomaine et serveurs membres

Spcifique pour le dveloppement et le

dploiement des services et applications Web.

Serveur tout en un

Pour les PME de moins de 50 postes

32 et

64 bits

32 et

64 bits

6


7/177

Configurations minimales requises

Web Edition Standard

Edition

Enterprise

Edition

Datacenter

Edition

Processeurs >133 MHz

Max 2processeurs

>133 MHz

Max 4processeurs

>133 MHz

>733 MHz type

Itanium

Max 8processeurs

>400 MHz

>733 MHz type

Itanium

Max 64Processeurs

Mmoire

vive

Min 128Mo

Rec 256Mo

Max 2Go

Min 128Mo

Rec 256Mo

Max 4Go

Min 128Mo

Rec 256Mo

Max 32Go X86

Max 64Go

Itanium

Min 512Mo

Rec 1Go

Max 32Go X86

Max 512Go

Itanium

Disque dur 1,5 Go 1,5 Go 1,5 Go2 Go Itanium

1,5 Go

2 Go Itanium

Support 64

bits

Non Non Oui Oui

7


8/177

Rles des serveurs

Contrleur de domaine

Serveur

de fichiers

Serveur d'impression

Serveur DNS

Serveur

d'applications

Serveur

Terminal

Server .8


9/177

Un serveur peut jouer diffrents rles Contrleur de Domaine (Domain Controllerou DC) dans un domaine

avec Active Directory)

Serveur Membre (dans un domaine mais sans AD)

Serveur Autonome (hors domaine, en groupe de travail workgroup -

et donc sans AD) Serveur de fichiers

Serveur dimpression

Serveur DNS (Domain Name System)

Serveur dapplications

Serveur Terminal Server .

9

Rles des serveurs


10/177

Administration Windows Server 2003

Administrationdes systmes dansWindows Server 2003

Grer les

utilisateurs,

les ordinateurs et

les groupes

Grer la

stratgie de

groupe

Grer lesressources

et la

scurit

Configurer

et grer le

systme DNS

Grer les serveurs

distants

Implmenter

SUS

Grer la

rcupration

d'urgence

Grer les services

Terminal Server

Grer IIS 6.0

10


11/177

Liste des tches vrifier avant l'installation

Vrifiez que tous vos lments matriels figurent sur la liste HCL

Vrifiez que vos ordinateurs rpondent la configuration systme

minimale requise

Vrifiez que Windows 2003 est install sur un disque dur de 4 Go au

minimumSlectionnez le systme de fichiers pour la partition sur laquelle

vous allez installer Windows 2003

Slectionnez le mode de licence pour Windows 20003 Server

Dterminez le nom du domaine ou du groupe de travail

Vrifiez qu'un compte d'ordinateur existe dans le domaine auquel vous

adhrez ou que vous tes habilit en crer un pendant l'installation

Dfinissez un mot de passe pour le compte Administrateur de

l'ordinateur local

Slectionnez le systme d'exploitation Windows 2003 installer

11


12/177

Installation de Windows 2003 Server partir d'un CD-ROM

Excution du programme d'installation

Excution de l'Assistant Installation

Installation des composants rseau

Configuration du serveur

12


13/177

Excution du programme dInstallation

Dmarrez l'ordinateur partir du CD-ROM

Slectionnez l'option permettant d'installer

une nouvelle copie de Windows 2003

Lisez et acceptez le contrat de licence

Slectionnez la partition sur laquelle voussouhaitez installer Windows 2003

Slectionnez un systme de fichiers

Pour excuter le programme d'installation

13


14/177

Excution de l'Assistant Installation

Modifiez les paramtres rgionaux

(si ncessaire)

Entrez votre nom et celui de votre socit

Choisissez un mode de licence

Entrez le nom de l'ordinateur et le mot de

passe du compte Administrateur local

Slectionnez les composants facultatifs de

Windows 2003

Pour excuter l'Assistant Installation

Slectionnez les paramtres de date, heure

et fuseau horaire

14


15/177


16/177


17/177

17


18/177

18


19/177

19


20/177

20


21/177

21


22/177

22


23/177

23


24/177

24


25/177

25


26/177

26


27/177

27


28/177

28


29/177

29


30/177

30


31/177

31


32/177

32


33/177


34/177

34


35/177

35


36/177

36


37/177

37


38/177

38


39/177

39


40/177

40


41/177

41


42/177

42


43/177

43


44/177

44


45/177

45

Description des outils d'administration


46/177

Description des outils d administration

Outils d'administration couramment utiliss : Gestion de l'ordinateur

Bureaux distance

DNS

Utilisateurs et ordinateurs Active Directory

Domaines et approbations Active Directory

Sites et services Active Directory

Les outils dadministration permettent la gestion des serveurs distance.

Ils peuvent tre installs sur nimporte quelle machine sous Windows

2003 par lintermdiaire de adminpak.msi qui se trouve dans le dossieri386 du CD ROM dinstallation du systme.

Installation des outils d'administration


47/177

Installation des outils d administration

\i386\Adminpak.msi

.


48/177


49/177

Procdure de cration d'une console MMC personnalise


50/177

Procdure de cration d une console MMC personnalise

.

Afin de pouvoir crer une MMCpersonnalise, il vous suffit de suivre la

procdure suivante :

Allez dans le menu Dmarrer / Excuter.

Tapez MMC, puis Entrer.

Dans le menu console, slectionnez

Ajouter/Supprimer un composant logiciel

enfichable.

Cliquez ensuite sur Ajouter et slectionnez le

composant que vous souhaitez ajouter

votre console


51/177

ADS: Notions de base


52/177


Active Directory (AD) est un service d'annuaire LDAP (Lightweight Directory

Access Protocol):

permet une gestion centralise des objets offre la possibilit dadministrer (ajouter, retirer et de localiser) les ressources facilement

dun point unique.

permet de grer le stockage des millions dobjets grce son moteur de base de

donnes (fichier NTDS.DIT) de type ESE (Extensible Storage Engine).

utilise DNS pour nommer et localiser des ressources La structure dActive Directory est hirarchique, elle se dcompose comme suit :

Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur

ou un compte utilisateur ou un groupe ou une imprimante.

Unit organisationnelle (OU) : un objet conteneur utilis pour organiser les objets au

sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs,des groupes, des ordinateurs, des imprimantes ainsi que dautres units

dorganisation. Les units dorganisation permettent dorganiser de faon logique les

objets de lannuaire (ex : reprsentation physique des objets ou reprsentation

logique). Les units dorganisation permettent aussi de faciliter la dlgation de

pouvoir selon lorganisation des objets.

52



53/177


La structure dActive Directory est hirarchique, elle se dcompose

comme suit :

Domaine: Dans Active Directory, un domaine est lensemble d'objets ordinateur,utilisateur et groupe dfini par l'administrateur. Ces objets partagent une base de

donnes d'annuaire, des stratgies de scurit et des relations de scurit communes

avec d'autres domaines.

Un domaine est scuris, cest dire que laccs aux objets est limit par des ACL (Access

Control List). Les ACL contiennent les permissions, associes aux objets, qui

dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder.

Toutes les stratgies de scurit et les configurations ne se transmettent pas dun

domaine lautre

Arbre: cest un groupement ou un arrangement hirarchique dun ou plusieurs

domaines Windows 2003 qui partagent des espaces de noms contigus (par

exemple:administration.supinfo.com, comptabilit.supinfo.com, ettraining.supinfo.com). Tous les domaines dun mme arbre partagent le mme

schma commun et partagent un catalogue commun.

53



54/177


La structure dActive Directory est hirarchique, elle se dcompose comme suit :

Foret: cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres

qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com).

Tous les arbres dune fort partagent le mme schma commun et le mme catalogue,mais ont des structures de noms diffrentes.

La fort reprsente un ensemble de domaine lis entre eux par des relations dapprobation

bidirectionnelles et transitives

Elle est caractrise par la prsence dun domaine dit Racine quivalent au premier domaine

install dans la fort.

Les domaines dune fort fonctionnent indpendamment les uns des autres, mais les forts

permettent la communication dun domaine lautre.

Sites: combinaison dune ou plusieurs IP de sous-rseaux connects par des liens

hauts dbits. Ils ne font pas partie dun espace de nommage dActive Directory, et ils

contiennent seulement les ordinateurs, les objets et les connexions ncessaires pour

configurer la rplication entre sites. Ils permettent dintgrer la topologie physique du

rseau dans Active Directory 54



55/177


Contrleur principal de domaine (CPD): dans une fort Active Directory,

un contrleur de domaine est un serveur contenant une copie

inscriptible de la base de donnes Active Directory et contrlant l'accsaux ressources rseau.

Contrleur secondaire de domaine supplmentaire (CSD): Il sagit dun

contrleur de domaine qui reoit une copie en lecture seule de la base

de donnes de l'annuaire pour le domaine. Cette dernire contient

toutes les informations sur les comptes et les stratgies de scurit dudomaine. En cas de non disponibilit du CPD, un CSD (le premier qui

rpond) est promu CPD, Quand lancien CPD est a nouveau disponible, il

est automatiquement rtrograd en CSD

Relation dapprobation: On peut tablir des relations entre les

domaines : on parle de relation dapprobations. Si un domaine A

approuve un domaine B, les utilisateurs du domaine B sont autoriss

se loguer sur les stations du domaine A . On dit que le domaine A est

autoris approuver et que le domaine B est approuv. Une telle

relation peut tre rciproque 55

Terminologie Active Directory


56/177

Fort

arbre

domaine

a.univ-lyon1.fr

1.a.univ-lyon1.fr

2.a.univ-lyon1.fr

z.1.a.univ-lyon1.fr y.1.a.univ-lyon1.fr

Relation dapprobationimplicite, bidirectionnelle et

transitive : permet aux utilisateurs du domaine

z.1.a.univ-lyon1.fr de se loguer sur les machines de

1.a.univ-lyon1.fr et inversement.

Conteneur ou Unit

Organisationnelle: Contient des

objets (utilisateurs, ordinateurs

ou groupe dutilisateurs) du

domaine pour lesquels on peut

appliquer des rgles spcifiques.

g y

56

ADS: Catalogue global


57/177

Un catalogue global est un contrleur de domaine contenant une copie de tous les

objets Active Directory d'une fort. Il stocke une copie complte de tous les objets de

l'annuaire de son domaine hte, ainsi qu'une copie partielle de tous les objets des autresdomaines de la fort.

ADS: Catalogue global

57

Les copies partielles des objets de domaine qui sont prsentes dans le catalogue

global regroupent les attributs auxquels font appel les utilisateurs le plus frquemment

lors des oprations de recherche

Un catalogue global est cr automatiquement

sur le premier contrleur de domaine de la fort

Pour ajouter ou supprimer manuellement des

attributs d'objet dans le catalogue global, utilisez le

composant logiciel enfichable Schma Active

Directoryou Run->schmmgmt.msc

Pour activer/dsactiver le catalogue global, il faut

utiliser Sites et services Active Directoryou Run-

>dssite.msc

ADS: Les Utilisateurs


58/177

Les Comptes dutilisateurs permettent aux utilisateurs daccder aux

ressources du rseau. Ils sont associs un mot de passe

fonctionnent dans un environnement dfini (machine locale ou domaine).

Un utilisateur disposant dun compte de domaine pourra sauthentifier

sur toutes les machines du domaine (sauf restriction explicite de

ladministrateur).

Un utilisateur disposant dun compte local ne pourra sauthentifier que

sur la machine o est dclar le compte.

Compte local : Les informations de comptes dutilisateurs sont stockes

localement sur les machines hbergeant les ressources rseau. Compte de domaine : Les informations de comptes sont centralises sur

un serveur, dans lannuaire des objets du rseau. Si une modification doit

tre apporte un compte, elle doit tre effectue uniquement sur le

serveur qui la diffusera lensemble du domaine.58

ADS: Les Utilisateurs


59/177

Un login doit obligatoirement tre unique dans son domaine.

Il y a une nomenclature de cration de login Une fois le compte cr, il suffit de le placer dans lunit dorganisation

correspondant au dpartement de lutilisateur.

A la cration dun utilisateur, il est possible de spcifier un certain nombre

de proprits concernant la gestion des mots de passe :

Lutilisateur doit changer de mot de passe la prochaine ouverture de

session : cette option permet de dfinir un mot de passe temporaire lors de

la cration dun compte ou de la rinitialisation du mot de passe et dobliger

ensuite lutilisateur le modifier.

Lutilisateur ne peut pas changer de mot de passe : cette option permet debloquer la fonctionnalit de modification de mot de passe.

Le mot de passe nexpire jamais : particulirement utile pour les comptes de

service, cette option permet de sassurer que le compte en question ne soit

pas assujetti aux rgles de stratgie de compte.

Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer59

ADS: Les Groupes


60/177

Les groupes permettent de simplifier la gestion de laccs des utilisateurs

aux ressources du rseau.

Les groupes permettent daffecter en une seule action une ressource unensemble dutilisateurs

Un utilisateur peut tre membre de plusieurs groupes.

Dans lAD, on peut trouver :

Les groupes de scurit: leurs membres sont susceptibles de se voir attribuerdes autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes

de distribution..

Les groupes de distribution: exploitables entre autres via un logiciel de

messagerie. Ils ne permettent pas daffecter des permissions sur des

ressources aux utilisateurs Les deux types de groupes dans Active Directory grent chacun 3 niveaux

dtendue.

Groupe tendue globale

Groupe tendue de domaine local

Groupe tendue universelle 60

ADS: Les Groupes globaux


61/177

Mode mixte Mode natif

Membres Comptes dutilisateurs du

mme domaine

Comptes dutilisateurs et groupes

globaux du mme domaine

Membres de Membres de Groupes locaux

du mme domaine

Groupes locaux de domaines

Etendue Visibles dans leur domaine et dans tous les domaines approuvs

Autorisations Tous les domaines de la fort

61

ADS: Les Groupes domaines locaux


62/177


Membres Comptes dutilisateurs de tout

domaine

Comptes dutilisateurs, groupes

globaux et groupes universels dun

domaine quelconque de la fort, et

groupes de domaine local du

mme domaine

Membres de Membres daucun groupe Groupes de domaine local du

mme domaine

Etendue Visibles dans leur propre domaine

Autorisations Le domaine dans lequel le groupe de domaine local existe

62

ADS: Les Groupes universels


63/177


Membres Non utilisables Comptes dutilisateurs, groupes

globaux et autres groupes

universels dun domaine

quelconque de la fort.

Membres de Non utilisables Groupes de domaine local et

universels de tout domaine.

Etendue Visibles dans tous les domaines de la fort

Autorisations Tous les domaines de la fort

63

Stratgie d'utilisation des groupes


64/177

64

A G DL P

A G G DL P

A G U DL P

A G G U DL P

With: A: Accounts

G: Global

DL: Domain Local

U: Universal P: Permissions

C G DL A

C G G DL A

C G U DL A

C G G U DL A

Avec: C: Comptes

G: Global

DL: Domaine Local

U: Universel A: Autorisations

Anglais Franais

ADS: Les Groupes par dfaut


65/177

Les groupes par dfaut possdent des droits et des autorisations

prdfinis qui permettent de faciliter la mise en place dunenvironnement scuris.

Ainsi un certain nombre de rles courants sont directement applicables

en rendant membre du groupe par dfaut adquat lutilisateur qui lon

souhaite donner des droits ou autorisations.

Ces groupes et les droits qui leurs sont associs sont crs

automatiquement.

65



66/177

Dans un serveur membre voici les rles et les proprits de certains

dentre eux :

AdministrateursPleins pouvoirs sur le serveur. Lorsquun serveur est ajout au

domaine, le groupe Admins du domaine est ajout ce groupe.

InvitsUn profil temporaire est cr pour lutilisateur que lon place dans ce

groupe.

Utilisateurs avec

pouvoir

Privilges d'administration non relatifs aux domaines:

Peut crer des comptes utilisateurs et les grer.

Peut crer des groupes locaux et les grer.

Peut crer des ressources partages.

Utilisateurs Peut lancer des applications, utiliser les imprimantes.

Oprateurs

dimpressionPeut grer les imprimantes et les files dattentes

66



67/177

Dans Active directory les groupes par dfauts sont dans Builtin et Users

Oprateurs de

compteLes membres de ce groupe peuvent grer les comptes utilisateurs.

Oprateurs de

serveur

Les membres de ce groupe peuvent administrer les serveurs du

domaine.

Contrleurs de

domaine

Ce groupe contient tous les comptes dordinateurs des

contrleurs de domaine.

Invits du domaineLes membres de ce groupe vont bnficier dun profil

temporaire.

Utilisateurs du

domaine

Contient tous les utilisateurs du domaine. Tous les utilisateurs crs

du domaine sont membre de ce groupe

67



68/177

Dans Active directory les groupes par dfauts sont dans Builtin et Users

Ordinateurs du

domaineCe groupe contient tous les ordinateurs du domaine

Administrateurs du

domaineCe groupe contient les utilisateurs administrateurs du domaine.

Administrateurs de

lentreprise

Ce groupe contient les administrateurs de lentreprise. Permet de

crer les relations dapprobations entre domaines.

Administrateurs du

schma

Ce groupe contient les utilisateurs capables de faire des

modifications sur le schma Active Directory.

68



69/177

Les groupes systmes sont utiles dans le cas daffectations

dautorisations.

Anonymous Logon Reprsente les utilisateurs qui ne se sont pas authentifis.

Tout le monde Tous les utilisateurs se retrouvent automatiquement dans ce groupe.

Rseau Regroupe les utilisateurs connects via le rseau.

Utilisateurs

authentifis Regroupe les utilisateurs authentifis.

Crateur propritaire Reprsente lutilisateur qui est propritaire de lobjet.

69

Linstallation et la gestion de Active Directory


70/177

Deux mthodes sont possibles pour installer Active Directory :

Utiliser l'utilitaire "Grer votre serveur" (Dmarrer>Tous lesprogrammes>Outils dadministration>Grer votre serveur) quisimplifie l'installation sans poser les questions les plus pointues.

Il installe et configure AD, DNS et DHCP pour un nouveaudomaine dans une nouvelle fort..

Utiliser l'assistant "dcpromo" (lanc en ligne de commande) quipermet de contrler tous les aspects de l'installation.

70

l'utilitaire "Grer votre serveur"


71/177

Ajouter ou supprimer un rle.

Choix de la configuration pardfaut pour un premierserveur. Si "Configurationpersonnalise" est choisi,bascule sur dcpromo.

Choix du nom du

nouveau domaine.

Choix du nom

compatible NetBIOS.

Choix d'un ventuel

redirecteur DNS.

Confirmation

-> Dmarrage de l'installation

71

Lassistant dcpromo
http://raphaello.univ-fcomte.fr/_vti_bin/shtml.dll/W2K3/04-Installation/ActiveDirectory.htm/maphttp://raphaello.univ-fcomte.fr/_vti_bin/shtml.dll/W2K3/04-Installation/ActiveDirectory.htm/map


72/177

72

Lassistant dcpromo


73/177

Choix du nom du domaine cr (nom complet)

Choix du nom du domaine NetBIOS pour compatibilit avec

les versions antrieures de Windows

Choix des emplacements de stockage des informations ADS

Dfinition du mot de passe administrateurpour le redmarrage en mode restauration ADS

Dbut de linstallation.

73


74/177

Creating the first Windows Server 2003 Domain Controller in a domain

74


75/177

Click Start -> Run

75


76/177

Type "dcpromo" and click "OK"

76


77/177

You will see the first window of the wizard. After this, click

"Next"

77


78/177


79/177

In this tutorial we will create a domain in a new forest, because it is

the first DC, so keep that option selected

79


80/177

80

Now we have to think of a name for our domain.

Active Directory domains don't need to be "real" domains - they canbe anything you wish. So here we will create "visualwin.testdomain"


81/177

Now in order to keep things simple, we will use the first part of our

domain ("visualwin"), which is the default selection, as the NetBIOS

name of the domain

81


82/177

The next dialog suggests storing the AD database and log on

separate hard disks but for this tutorial we will just keep the defaults

82


83/177

The SYSVOL folder is a public share.

Once again, we will keep the default selection but it can be changed

if you wish to use the space of another drive

83


84/177

84

Now we will get a message that basically says that you will need a

DNS server in order for everything to work the way we want it (i.e.,

our "visualwin.testdomain" to be reachable). We will install the DNSserver on this machine as well, but it can be installed elsewhere. So

keep the default selection of "Install and configure", and click "Next"


85/177

85

Because, after all, this is a Windows Server 2003 tutorial website,

we'll assume there are no pre-Windows 2000 servers that will be

accessing this domain, so keep the default of "Permissionscompatible only with Windows 2000 or Windows Server 2003

operating systems" and click "Next"


86/177

The restore mode password is the single password that all

administrators hope to never use, however they should also never

forget it because this is the single password that might save a failedserver. Make sure it's easy to remember but difficult to guess

86


87/177

Now we will see a summary of what will happen. Make sure it's allcorrect because changing it afterwards can prove to be difficult

87


88/177

After the previous next was clicked, the actual process occurs. This

can take several minutes. It's likely that you will be prompted for

your Windows Server 2003 CD (for DNS) so have it handy

88

Rsultat de linstallation


89/177

Aprs linstallation dActiveDirectory Service, un certainnombre doutilsd'administration sontdisponibles.

Aprs redmarrage, ADS esten fonctionnement pour lagestion de notre domaine.Le service DNS est lui aussien fonctionnement, mais il

n'est pas configur.

89

Configuration du service DNS


90/177

Les tches raliser via le gestionnaire DNS sont:

Dfinition de zones de recherche directes pour les rsolutionnom IP -> adresse IP

Dfinition de zones de recherche inverses pour les rsolutions

adresse IP -> nom IP

90

Configuration de la zone directe


91/177

Dclaration des nouvelles machines (htes) avec demande de

cration automatique du pointeur PTR associ.

91


92/177

Reconfiguration des paramtres TCP/IP


93/177

Reconfigurationdes paramtres

TCP/IP pour

intgrer le DNS

principal et nomdomaine choisi

comme premier

suffixe DNS

93

La gestion des utilisateurs, des groupes d'utilisateurs et desordinateurs du domaine


94/177

Outil : utilisateurs et ordinateurs Active Directory.

Rundsa.msc

Cet outil ralise l'administration des utilisateurs, des groupesdutilisateurs et des ordinateurs d'un domaine (il leur est

attribu un compte).

94

La gestion des utilisateurs, des groupes d'utilisateurs et desordinateurs du domaine


95/177

95

Utilisateurs et groupes dutilisateurs

du domaine

Groupes cres

linstallation


96/177

Cration dun nouvel utilisateur


97/177

97


98/177


99/177

Proprits dun utilisateur


100/177

User02 User

User03 User

User04 User

User05 User

User06 User

User01 User

Use 01 Properties

Options d'ouverture de session


101/177

Par dfaut

Copie de comptes d'utilisateur de domaine


102/177

Copier un compte d'utilisateur de domaine pour simplifier leprocessus de cration d'un compte d'utilisateur de domaine

Compte

d'utilisateur

de domaine(Utilisateur2)

Utilisateur2Utilisateur1

Compte

d'utilisateur

de domaine(Utilisateur1)

Copie

Cration de modles de compte d'utilisateur


103/177

Un modle de compte est un compte utilisateur gnrique contenant

Les informations communes tous les comptes ayant le mme rle dans

lentreprise. Une fois ce modle de compte cr (en utilisant la mme procdure que

nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration

dun nouveau compte correspondant au rle.

Ainsi le nouveau compte cr, hritera des proprits du modle.

Proprits maintenues lors de la copie du modle de compteLorsquun modle de compte est dupliqu, toutes les proprits ne sont pas copies.

La liste qui suit vous informe des proprits qui le sont : Onglet Adresse : Les informations sont copies, lexception de la proprit Adresse.

Onglet Compte : Les informations sont copies, lexception de la proprit Nom

douverture de session de lutilisateur qui est rcupr de lassistant de duplication de compte. Onglet Profil : Les informations sont copies, lexception des proprits Chemin du profil et

Dossier de base qui sont modifies pour reflter le changement de nom douverture de session.

Onglet Organisation : Les informations sont copies, lexception de la proprit Titre

Cration de modles de compte d'utilisateur


104/177

Configurez un compte d'utilisateurcomme modle de compte

Crez un compte d'utilisateur encopiant le modle de compte

Profils d'utilisateur et rpertoire de base


105/177

105

Profil dutilisateur : Le profil de lutilisateur, stock dans un rpertoire,contient tous les paramtres qui dfinissent lenvironnement utilisateur (bureau,

menu programmes, imprimantes, variables denvironnement, connexion rseau, fonddcran, rsolution dcran ). Il est compos de deux parties :

une partie commune tous les utilisateurs (non modifiable) stocke dans le

rpertoire \Documents and Settings\All Users,

une partie spcifique l'utilisateur (ventuellement modifiable) stocke dans un

rpertoire portant le nom de l'utilisateur sous \Documents and Settings.

Profil prdfini l'installation:

"Default User" (utilisateur par dfaut): Profil attribu tout utilisateur n'en

possdant encore aucun (Attribution ralise par cration d'une copie) profil

Le profil peut tre local (disponible sur une seule machine) ou errant (rseau ou

disponible sur toutes les machines du domaine).

Profil dutilisateur local: Profil stock uniquement localement. A chaquepremire ouverture de session dun utilisateur sur un ordinateur client du domaine,

un profil local est cr dans le dossier Documents and Settings ; ainsi lors de

louverture de session suivante lutilisateur retrouve la mme configuration du

bureau et ses fichiers de dossier My Documents . Ce type de profil nest viable

que si lutilisateur utilise toujours le mme ordinateur.

Profils d'utilisateur et rpertoire de base


106/177

106

Profil dutilisateur itinrant (errant): La cration dun profil itinrantpermettra un utilisateur de retrouver un environnement de bureau identique et

personnalis sur tous les ordinateurs clients du domaine. Les informations

concernant les profils itinrants des utilisateurs seront stockes sur le contrleur

de domaine et charges travers le rseau chaque ouverture de session.

Remarque : pour rendre un profil obligatoire, cest a dire non modifiable, il suffit de

renommer le fichier ntuser.dat (contient tous les paramtres personnaliss de l'

utilisateur pour la plupart des logiciels installs sur l' ordinateur incluant Windowslui-mme et se trouve sous sous C:\Documents and Settings\) en

ntuser.man.

Rpertoire de base: Le rpertoire de base dun utilisateur est son dossierdacceuil. Ce rpertoire de base peut tre un chemin local ou un chemin rseau.

Un chemin rseau permet un utilisateur itinrant de centraliser ses donnes sur

le disque dur dun serveur de fichiers. Lutilisation de dossiers de base permet

lutilisateur daccder ses donnes depuis nimporte quel ordinateur du rseau,

tout en permettant de centraliser la sauvegarde et la gestion des fichiers

utilisateurs

Types de profils d'utilisateur


107/177

Profil d'utilisateur par dfaut

Sert de base tous les profilsd'utilisateur

Profil d'utilisateur local

Cr la premire fois qu'unutilisateur ouvre une sessionsur un ordinateur

Stock sur le disque dur localde l'ordinateur

Profild'utilisateur

Affichage

Paramtresrgionaux

Souris

Profil d'utilisateuritinrant

Cr par l'administrateursystme

Stock sur un serveur

Profil d'utilisateurobligatoire

Cr par l'administrateursystme

Stock sur un serveur

Profil

Ordinateur clientWindows 2003

Ordinateur client

Windows 2003

Serveurde profils

Affichage

Paramtresrgionaux

Souris

Sons

Enregistrement

Ordinateur client

Windows 2003

Sons

Modification

107

Affectation d'un rpertoire de base et d'un profil itinrant unutilisateur


108/177

Cration d'un rpertoire destin hberger les rpertoires de

base et les profils itinrants(Utilisateurs>Profils)

108



109/177

Partage de ce rpertoire (sous le nom Users) et configuration

des autorisations sur le rpertoire et sur le partage

109



110/177

Configuration de l'utilisateur concern dans l'onglet profil de

ses proprits au sein du gestionnaire des utilisateurs

110



111/177

Le gestionnaire des utilisateurs cre lui-mme le rpertoire de

base et lui affecte les permissions en limitant l'accs au seul

administrateur et l'utilisateur.

Montage automatique du rpertoire de base au niveau du

client.

111

Cration dun groupe


112/177

Nom : unique

Etendue : sur le domaine local ou globalement

Type : groupe de scurit ou de distribution

112

Proprits dun groupe


113/177

Paramtres gnraux,Membres,Groupes du domaine dont il

est membre,Utilisateur gestionnaire

113

Cration dun nouvel ordinateur


114/177

Dfinir son nom (unique)

Possibilit de le dclarer en tant

que machine systme pr

Windows 2000 ou non

Possibilit de le dclarer en tant

que contrleur supplmentaire

ou en tant que membre simple

114

Joindre un ordinateur un domaine


115/177

Onglet "Identification"

ou "Nom de

l'ordinateur"

du panneau de

configuration "Systme"

Ulysse membre du

Workgroup WK

115



116/177

116



117/177

117

Cration dun groupe d'ordinateurs


118/177

Cration d'un nouveau groupe

118

Ajout des ordinateurs ce groupe

Gestion locale de lordinateur


119/177

Outils:

"My computer"->Manage (Poste de travail->Grer)

Run->compmgmt.msc (Excuter->compmgmt.msc)

119

Le gestionnaire d'ordinateur prend en charge un certain nombre des options

de configuration locales de l'ordinateur

Trois entres principales:

Outils sytme, stockage et

services et applications

Gestion locale de lordinateur- Utilisateurs/groupes locaux


120/177

120

Permet de grer les comptes dutilisateurs et groupes locaux de la machine. Si lordinateur est

un contrleur de domaine, cet lment est masqu car la console est remplace par Utilisateurs

et ordinateurs Active Directory.

Gestion locale de lordinateur- priphrique


121/177

121

Permet de contrler lensemble de priphriques et pilotes de matriel sur la machine.


122/177

Gestion locale de lordinateur- Services


123/177

Cet outil sappuie sur la console Services et a dj t mentionn dans la

console Gestion de lordinateur

123

Base de registre


124/177

L'ensemble des paramtres systme est sauvegard dans une base de

donnes scurise appel Registre .

124

Jusqu' Windows 2000, il y avait 2 utilitaires lgrementdiffrents regedit et regedt32 pour modifier la base de registre.

regedit tait plus convivial, alors que regedt32 permettait de faire des

modifications plus pointues.

Avec Windows XP, Microsoft a unifi les 2 utilitaires : dsormais, les 2

commandes appellent le mme outil.

ATTENTION: Ces deux utilitaires sont utiliser de manire

extrmement prudente car les actions ralises sont irrversibles

Base de registre


125/177

125

Rpertoire de la base de registre:

Sous Windows Server 2003, Windows XP, Windows Server 2000 et NT, par dfaut,

c'est dans le rpertoire %SystemRoot%\System32\Config que sont stocks lesfichiers de ruche suivants : SAM (Security Account Manager), Security, Software,

System.

Les informations concernant un utilisateur sont stockes dans le rpertoire

correspondant la variable d'environnement %UserProfile%. Par exemple, pour

un utilisateur dont le login est "dupont", la valeur %UserProfile% sera par

dfaut "C:\Documents and settings\dupont". Il y a un fichier de

ruche NTUSER.DAT par utilisateur.

Le rpertoire %SystemRoot%\repair contient une sauvegarde de la base de

registre ; elle est utilise par Windows pour certains cas de figure.

Des fichiers journaux (extension .LOG) et des fichiers de sauvegarde

(extension .SAV) sont utiliss en interne par Windows pour pallier des coupures

de courant intempestives, ou toute autre forme d'arrt brutal

Base de registre


126/177

La base de registre est organise de faon hirarchique. Elle se compose

de sous arbres avec les cls et les valeurs.

126

HKEY_LOCAL_MACHINE Contient les informations relatives lordinateur local : donnes sur le matriel et sur le systme

dexploitation (type de bus, la RAM, les pilotes de priphrique

HKEY_CLASSES_ROOT regroupe des paramtres spcifiques aux programmes comme les extensions de fichiers, icnes

spcifiques, menus contextuels, fichiers communs (dll par exemple), licence

HKEY_CURRENT_USER Contient le profil de lutilisateur en cours de session (variable denvironnement, bureau,

connexion rseau, les imprimantes )

HKEY_USERS Contient tous les profil utilisateurs chargs activement, y compris HKEY_USER, le profil par dfaut.

HKEY_CURRENT_CONFIG Contient les informations sur le profil matriel utilis par lordinateur local au dmarrage (pilotes

charger, rsolution dcran)

On peut exporter toute la base ou une branche de la base de registres dans un

Base de registre


127/177

On peut exporter toute la base ou une branche de la base de registres dans un

fichier .REG. Pour limporter, il suffit de double cliquer dessus, et davoir les

permissions de mise jour.

127


128/177

estion daccs aux

r ssour s

128

Gestion daccs aux ressources - Introduction

L d l d d Wi d 2003 b i


129/177

Le systme de contrle daccs dans Windows 2003 est bas sur trois composants

qui permettent la dfinition du contexte de scurit des lments du systme.

Ces trois lments sont : Les entits de scurit : Les entits de scurit peuvent tre un compte

utilisateur, dordinateur ou un groupe. Ils permettent daffecter laccs un

objet en le reprsentant dans le systme informatique.

Le SID - Security Identifier: Toutes les entits de scurit sont identifies

dans le systme par un numro unique appel SID. DACL - Discretionary Access Control List : associe chaque objet un contrle

daccs. Les DACL sont composes dACE (Access Control Entry) qui

dfinissent les accs lobjet.

Les ACE se composent de la faon suivante :

Le SID de lentit qui lon va donner ou refuser un accs.

Les informations sur laccs (ex : Lecture, Ecriture, )

Les informations dhritage.

Lindicateur de type dACE (Autoriser ou refuser).129

Description des autorisations

df l d' d l


130/177

Les autorisations dfinissent le type d'accs accord un utilisateur, ungroupe ou un ordinateur sur un objet

Les autorisations sont appliques aux objets tels que les fichiers, lesdossiers, les fichiers partags et les imprimantes

Les autorisations sont attribues aux utilisateurs et aux groupes dans ActiveDirectory ou sur un ordinateur local

130

Description des autorisations standard et speciales


131/177

Autorisations standard Autorisations spciales

131

Les ressources - Dossiers partags

Le partage dun dossier permet de rendre disponible lensemble de son contenu via le


132/177

p g p p

rseau.

Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de

lautorisation Lecture .

Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du

nom. Pour pouvoir y accder, il sera obligatoire de spcifier le chemin UNC

(Universal Naming Convention) complet: \\nom_du_serveur\nom_du_partage$

Windows 2003 cre automatiquement des partages administratifs.

Les noms de ces partages se terminent avec un caractre $ qui permet de cacher lepartage lors de l'exploration par le rseau :

C$, D$, E$: Fournit un accs complet l'administrateur sur les lecteurs.

\\nom_ordinateur\C$

Admin$: Utilis pour la gestion d'une station travers le rseau. Il s'agit du rpertoire

%systemroot% (c:\windows)

IPC$: Ce partage sert pour la communication entre les processus. Il est utilis

notamment lors de l'administration distance d'une station ou mme lorsque on

consulte un rpertoire partag.

Print$: Est utilis pour l'administration distance des imprimantes

Seuls les membres du groupe Administrateurs peuvent accder ces partages en

accs Contrle Total. 132

Dossiers d'administration partags


133/177

133


Chaque dossier partag peut tre protg par une autorisation qui va restreindre


134/177

Chaque dossier partag peut tre protg par une autorisation qui va restreindre

son accs spcifiquement aux Utilisateurs, Groupes et Ordinateurs

Il existe trois niveaux dautorisations affectables :

Lecture : Permet dafficher les donnes et dexcuter les logiciels.

Modifier : Comprend toutes les proprits de lautorisation lecture avec la

possibilit de crer des fichiers et dossiers, modifier leurs contenus et supprimer

leurs contenus.

Contrle total : Comprend toutes les proprits de lautorisation Modifier avecla possibilit de modifier aux travers le rseau les autorisations NTFS des fichiers

et dossiers.

Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser

en sachant que les autorisations de refus sont prioritaires.

Pour affecter des autorisations de partage, vous avez deux solutions :

A laide de loutil dadministration Gestion de lordinateur et du composant

enfichable Dossiers Partags .

A laide de lexplorateur dans les proprits du dossier partag.

134


Afin quun client puisse accder un dossier partag plusieurs moyens sont


135/177

Afin qu un client puisse accder un dossier partag, plusieurs moyens sont

disponibles :

Favoris rseau : Permet de crer des raccourcis vers les partages dsirs.

Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de

travail en lui attribuant une lettre.

Excuter : Permet daccder ponctuellement la ressource en spcifiant

simplement le chemin UNC daccs la ressource.

135

Procdure de publication d'un dossier partag

Un dossier partag publi est un objet Dossier partag dans Active Directory


136/177

Un dossier partag publi est un objet Dossier partag dans Active Directory

Les clients peuvent rechercher facilement dans Active Directory les dossiers partags qui sont

publis

Les clients n'ont pas besoin de connatre le nom du serveur pour se connecter un dossier partag

136

Procdure de connexion un dossier partag


137/177

137

Les ressources - Accs au fichiers et dossiers NTFS

NTFS (New Technology File System) est un systme de fichiers qui offre les avantages


138/177

suivants :

Fiabilit : NTFS est un systme de fichiers journalis.

Scurit : Le systme NTFS prend en charge le cryptage de fichiers avec EFS(Encrypted File System). NTFS permet aussi lutilisation dautorisations NTFS qui

permettent de restreindre laccs aux donnes de la partition.

Gestion du stockage : NTFS permet la compression de donnes transparente pour

tous les fichiers stocks sur la partition. Il permet aussi limplmentation de la gestion

de quotas pour restreindre de faon logique lespace dont peut bnficier unutilisateur sur une partition.

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les

utilisateurs, groupes ou ordinateurs sur les fichiers.

Contrle total : Dispose de toutes les autorisations de Modification avec la prise de

possession et la possibilit de modifier les autorisations du fichier.

Modification : Permet de modifier, supprimer, lire et crire les fichiers.

Lecture et excutions : Permet de lire les fichiers et dexcuter les applications.

Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le

propritaire.

Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire et ses

autorisations.

138

Les ressources - Accs au fichiers et dossiers NTFS

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir


139/177

effectuer les utilisateurs, groupes ou ordinateurs sur les dossiers.

Contrle total : Dispose de toutes les autorisations de Modification avec

la prise de possession et la possibilit de modifier les autorisations du

dossier.

Modification : Dispose de toutes les autorisations de Ecriture avec la

possibilit de supprimer le dossier.

Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter

les applications

Ecriture : Permet de crer des fichiers et sous-dossiers, de modifier ses

attributs et dafficher le propritaire.

Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propritaire

et autorisations du dossier. Affichage du contenu des dossiers : Affichage seul du contenu direct du

dossier.

Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les

dossiers139


140/177

Les ressources - Hritage NTFS

Les autorisations sur un dossier parent sont hrites et propages tous les sous-


141/177

Les autorisations sur un dossier parent sont hrites et propages tous les sous

dossiers, et les fichiers quil contient.

Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront aussi de ces

permissions.

Il est possible de bloquer cet hritage afin que les permissions ne soient pas propages

aux dossiers et aux fichiers contenus dans le dossier parent.

Plusieurs solutions dhritage partir dun dossier

Copier

Supprimer

Pour bloquer lhritage des permissions, afficher les proprits du dossier:

Onglet Scurit

Paramtres avancs

Dsactiver la case cocher Permettre aux autorisations hrites du parent de se

propager cet objet et aux objets enfants. Cela inclut les objets dont les entres sont

spcifiquement dfinies ici.

Dans la nouvelle fentre, cliquez sur :

Copiersi vous souhaitez garder les autorisations prcdemment hrites sur cet objet

Supprimerafin de supprimer les autorisations hrites et ne conserver que les

autorisations explicitement spcifies.

141

Identification des autorisations effectives sur les fichiers et lesdossiers NTFS

Lorsque vous accordez des autorisations un utilisateur, un groupe ou un

tili t il t f i diffi il d t l l


142/177

utilisateur, il est parfois difficile de sy retrouver avec par exemple les groupes

auxquels un utilisateur peut appartenir et les autorisations hrites.

Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienneplusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce

cas, les autorisations se cumulent et il en rsulte lautorisations la plus forte (ex :

lecture + contrle total contrle total).

Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune

autorisation dessus. Cest une autorisation Refuser implicite. Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.

Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci

dans TOUS les cas (ex : contrle total + refuser lecture La lecture sera bien

refuse).

Le propritaire a la possibilit daffecter les autorisations quil dsire sur tous lesfichiers dont il est le propritaire mme si il na pas dautorisations contrle total

dessus.

Il est possible de vrifier les permissions effectives dun utilisateur laide de longlet

Autorisations effectives de la fentre de paramtres de scurit avanc.

Cumul des autorisations NTFS et desautorisations de partage

L tili t t j t i bi t i ti NTFS


143/177

Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux

autorisations de partage, ses permissions effectives sobtiennent en combinant le

niveau maximum dautorisations indpendamment pour les autorisations NTFS etpour les autorisations de partage et une fois les deux autorisations dfinies, il

suffit de prendre la plus restrictive des deux.

Exemple :

Partage (lecture) + NTFS (contrle total) lecture

Inversement

Partage (contrle total) + NTFS (lecture) lecture

143

Fichiers hors connexion

Les fichiers hors connexion sont une fonction d'administration des documents qui


144/177

permet l'utilisateur d'accder de manire cohrente aux fichiers en ligne et hors

connexion

Avantages de l'utilisation des fichiers hors connexion :

Prise en charge des utilisateurs itinrants

Synchronisation automatique

Avantages en termes de performances

Avantages de sauvegarde

Procedure de synchronisation de fichiers hors connexion :Dconnects du rseau

Windows Server 2003 synchronise les fichiers rseau avec une copie localementmise en cache des fichiers

L'utilisateur travaille avec la copie en cache localConnects au rseauWindows Server 2003 synchronise les fichiers hors connexion que l'utilisateur amodifis avec la version des fichiers sur le rseau

Si un fichier a t modifi dans les deux emplacements

L'utilisateur est invit choisir la version du fichier conserver ou renommer lefichier pour conserver les deux versions 144

Options de la mise en cache hors connexion des fichiers

Activer le service de fichier hors connexion sur votre machine cliente.


145/177

145

Menu \ outils \ options des dossiers \ fichiers hors connexion puis cocher : Autoriser

lutilisation de fichiers hors connexion

Aller au rpertoire partag sur le rseau,

slectionner la ressource mettre en

cache avec un click droit. Afficher le

menu contextuel et slectionner:

Rendre disponible hors connexion.


146/177

Prsentation des stratgies de groupe

Une stratgie de groupe (Group Policy Object) est un ensemble d'lments


147/177

147

de configuration de Windows et de logiciels s'appliquant des ordinateurs,

des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou

d'interdire certaines actions ou de configurer des paramtres d'utilisation

Une stratgie de groupe peut sappliquer un ordinateur local, un site, un

domaine ou une unit dorganisation et peut tre assigne plusieurs fois

simultanment sur diffrents conteneurs. On peut lier plusieurs objets

Stratgie de groupe un site, domaine ou une unit d'organisation

Limplmentation des stratgies de groupes va permettre de centraliser la

gestion de lenvironnement des utilisateurs

Deux types de stratgieslocale: ne sapplique que sur lordinateur sur lequel elle est configure. Cest lobjet

de stratgie ayant le moins dautorit dans un environnement Active Directory

Stratgie de groupe AD: s'applique un site, un domaine ou une unit

d'organisation

Paramtres des stratgies de groupe

Modles dadministration: modification des proprits du bureau laide de

d f d d l b d


148/177

148

modifications distantes de la base de registre

Dploiement de logiciels : automatisation complte de linstallation desprogrammes sur les postes clients en fonction du profil de lutilisateur

Application des paramtres de scurit : permet de modifier le contexte de

scurit de lenvironnement utilisateur

Redirection de dossiers: possibilit de rediriger certains rpertoiressensibles vers un serveur distant ou de bloquer la modification de leurs

contenus

Scripts: dmarrage/arrt d'ordinateur ou de session utilisateur

Structure des stratgies de groupe

Conteneur (Group Policy Container) : objet Active Directory


149/177

149

Modle (Group Policy Template): dossier contenu dans

%systemroot%\SYSVOL\sysvol\\policies

GPO est identifie par le GUID (global unique Identifier)

GPO locale pour des machines individuelles: %systemroot%\System32\GroupPolicy

Paramtres de GPO pour Ordinateurs/Utilisateurs

Paramtres de stratgie de groupe pour les ordinateurs


150/177

150

Dfinissent le comportement du systme d'exploitation et du bureau, la

configuration de la scurit, les scripts de dmarrage et d'arrt des ordinateurs, les

options d'application affectes par l'ordinateur et la configuration des applications

S'appliquent au dmarrage de lordinateur (initialisation du systme d'exploitation)

et lors du cycle de rafrachissement priodique

Paramtres de stratgie de groupe pour les utilisateurs

Dfinissent le comportement du systme d'exploitation, la configuration du bureau

et de la scurit, les options d'application affectes et publies, la configuration des

applications, les options de redirection des dossiers et les scripts d'ouverture et de

fermeture de sessions utilisateur

S'appliquent l'ouverture d'une session utilisateur sur l'ordinateur et lors du cycle

de rafrachissement priodique

Ces paramtres suivent l'utilisateur de machine en machine

Outils ddition des stratgies de groupe

Utilisateurs et ordinateurs Active Directory (dsa.msc): permet dditer les stratgies

associes au domaine et aux units dorganisation


151/177

associes au domaine et aux units d organisation

Sites et services Active Directory (dssite.msc): permet dditer les stratgies associes

aux sitesEditeur dobjets de Stratgie de groupe (gpedit.msc): cest lditeur commun dobjets

des stratgies de groupe locales ou distantes

Stratgie de scurit locale : Permet dditer les stratgies locales des machines

Stratgie de scurit de domaine (dompol.msc): permet dditer les stratgies de

domaine

Stratgie de scurit de contrleur de domaine (dcpol.msc): permet dditer les

stratgies de contrleur de domaine

Gestion des stratgies de groupes (gpmc.msc) est un outil complmentaire pour faciliter

la gestion des GPO, celui-ci reprend les interfaces et fonctionnalits des outils Utilisateurs

et ordinateurs Active Directory et Sites et services Active Directory ainsi que des modules

dadministration des stratgies

151

Console gpedit


152/177

152

Console de gestion des stratgies de groupe


153/177

153

Stratgie de scurit de domaine

Utilise pour configurer les paramtres de scurit de domaine


154/177

154

Utilise pour configurer les paramtres de scurit de domaine

Stratgie de scurit de contrleur de domaine

Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine


155/177

155

Utilise pour configurer les paramtres de scurit pour les contrleurs du domaine

Modles dadministration

Type Description Appliqu


156/177

Type Description Appliqu

Composants

Windows

Controle de fonctionnalites dIE, netmeeting, gestionnaire de

taches, windows explorer

Utilisateur,

Ordinateur

Systme Ouverture/fermeture de session, quotas de disque, modification deregistre, application GPO, gestion de lalimentation

Utilisateur,

Ordinateur

Rseau Connexions reseau, fichiers hors connexion Utilisateur,Ordinateur

Imprimantes Controler limpression a partir dun navigateur web, publication desimprimantes dans AD Ordinateur

Menu Dmarrer

et

barre des tches

Les fonctionnalits auxquelles les utilisateurs peuvent accder

partir du menu Dmarrer et les options qui rendent le menu

Dmarrer en lecture seule

Utilisateur

Bureau Le bureau Active Desktop, y compris ce qui apparat sur les bureaux,et ce que les utilisateurs peuvent faire avec le dossier Mesdocuments

Utilisateur

Panneau de

configuration

Cacher tout ou partie du panneau de configuration, de restreindre

laccs certains composants (Ajout/Suppression de programmes,

Imprimantes , options rgionales et linguistiques)

Utilisateur

156

Etapes dapplication des paramtres de modles

dadministration

Les stratgies de groupe utilisent des fichiers de modle dadministration avec lesextensions .ADM ou .ADMX qui dcrivent les cls de registre modifies par


157/177

157

extensions .ADM ou .ADMX qui dcrivent les cls de registre modifies parlapplication des stratgies de groupe.

Sur un ordinateur de travail, les modles dadministration sont stocks dans lesrpertoires %systemroot%\System32\GroupPolicy\ADM et %systemroot%\Inf, alorsque sur un contrleur de domaine Active Directory, pour chaque domaine et pourchaque stratgie de groupe, ils sont stocks dans un rpertoire individuel (Le grouppolicy template , ou GPT) au sein du rpertoire Sysvol.

Les fichiers .ADMX sont des fichiers bass sur le format XML et introduits parWindows Vista pour la gestion des stratgies de groupe.

Les paramtres de modle d'administration modifient les paramtres du Registrequi contrlent les environnements utilisateur

C dl difi t l l d R i t

Description des Modles dadministration


158/177

Ces modles modifient les cls de Registre

HKEY_LOCAL_MACHINE pour les paramtres d'ordinateur

HKEY_CURRENT_USER pour les paramtres d'utilisateurExemple:

Menu Dmarrer et Barre des tchesSuppression du menu Documents dans le menu Dmarrer

Suppression des Connexions rseau et accs distant du menu Dmarrer

Suppression du menu Excuter dans le menu Dmarrer

Dsactivation de la fermeture de session dans le menu Dmarrer

Dsactivation de la commande Arrter

Panneau de configurationDsactivation du Panneau de configuration

Masque de certaines applications du Panneau de configuration

SystmeActivation des quotas de disque

Dsactivation des outils de modifications du Registre

Dsactivation de l'invite de commandes

Internet ExplorerDsactivation de la modification des paramtres de la page de dmarrage 158

Application: Supprimer Le menu Excuter du Menu Dmarrer

Etat initial: apparition du menu Excuter


159/177

159



160/177

160



161/177

161

Etat Final: disparition du menu Excuter

paramtres de scurit

Stratgies de

compte

Configurent des stratgies pour les mots de passe (longueur, complexit, dure de vie) et les

comptes (modalits de verrouillage)


162/177

Stratgies locales Configurent l'audit, les droits d'utilisateur et les options de scurit

Journal desvnements

Configure les paramtres des journaux des applications, des journaux systme et des journauxde scurit

Groupes restreints Configurent l'adhsion aux groupes sensibles en termes de scurit: Imposer des membres des groupes

Services systme Configurent les paramtres de scurit et de dmarrage des services (manuel, automatique oudsactiv) excuts sur un ordinateur

Registre Configure la scurit (autorisations d'accs et des paramtres d'audit) pour les cls du registre

Systme de fichiers Configure la scurit (autorisations d'accs et des paramtres d'audit) au niveau desautorisations NTFS des fichiers

Stratgies de

rseau sans fil

spcifient si les clients sont autoriss utiliser Windows pour configurer les paramtres de la

connexion rseau sans fil, s'il y a lieu d'activer l'authentification 802.1X pour les connexions

rseau sans fil, ainsi que les rseaux sans fil favoris auxquels les clients peuvent se connecter.

Stratgies de clpublique

Configurent les agents de rcupration de donnes cryptes, les racines de domaines, lesautorits de certification approuves, etc.

Stratgies de

restriction logicielle

Identifient les logiciels et contrlent leur capacit s'excuter: interdire le lancement de

certains programmes ou donner une liste exhaustive des programmes que l'on peut lancer

Stratgies IPSec Configurent la scurit IP sur un rseau

162

Attribution de scripts avec la stratgie de groupe

Grce une stratgie de groupe, il est possible daffecter des scripts aux

hi ili


163/177

machines ou aux utilisateurs

Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou

larrt de lordinateur et les scripts affects aux utilisateurs seront excuts

louverture et la fermeture de la session.

Plusieurs langages sont supports avec les scripts batch (NET USE ), lesscripts WSH (Windows Script Host) ou des excutables.

Via les proprits dun compte utilisateur, il est possible de spcifier un

script douverture de session mais cette mthode est moins souple au

niveau administratif.

163

Scripts douverture ou fermeture (dconnexion) de session


164/177

164

Scripts de dmarrage ou arrt de lordinateur


165/177

165

Qu'est-ce que la redirection de dossiers ?

Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de

lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la


166/177

l utilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la

scurit et la sauvegarde

Les documents sont stocks sur le serveur mais apparaissent comme stockslocalement

Les dossiers pouvant tre redirigs sont les suivants :

Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de

fichiers pour que son contenu soit disponible quelque soit lordinateur sur lequel

se connecte lutilisateur (ex : redirection vers le dossier de base de lutilisateur).Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous

les utilisateurs vers un contenu unique.

Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers

un contenu unique.

Application Data : Contient les prfrences applicatives de certaines applications

qui peuvent tre sauvegardes sur un serveur avec la rplication.

Il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers

diffrents selon lappartenance de lutilisateur un groupe.

La fonction de redirection de dossiers cre elle-mme automatiquement des

dossiers avec les autorisations adquates. 166

Comment rediriger les dossiers ?

Sur un contrleur de domaine, lancer GPMC (gpmc.msc)


167/177

Slectionner une OU puis crer une nouvelle GPO (crer et lier une nouvelle

stratgie de groupe) appele GPO_VENTE

Cliquer sur Modifierpour modifier la GPO GPO_VENTE

Dvelopper Configuration utilisateur

Dvelopper Paramtres Windows

Choisir Redirection de dossiers

Cliquer droit sur Mes Documents, puis cliquer sur Proprits

Cliquer sur De base ou avanc

Dans la zone Emplacement du dossier cible , taper le chemin d'accs en tant que

:\\ servername\sharename\username167



168/177

168



169/177

169



170/177

170



171/177

171



172/177

172



173/177

173

Ordre dapplication des GPOs

Les conteneurs enfants hritent des paramtres de l'objet Stratgie de groupe des

conteneurs parents


174/177

174

Domaine

OU

Site

locale

conteneurs parents

Blocage: on peut bloquer l'hritage

Filtrage: on peut empcher certains objets d'un conteneur de se voir appliquer lesparamtres des GPO. se fait via les autorisations de la GPO sur le conteneur

Resolution de conflits entre les parametres de GPO

Tous les paramtres dune stratgie de groupe sappliquent moins que certains

dentre eux nentrent en conflit


175/177

175

Lorsque les paramtres de diffrents

objets stratgie de groupe dans lahirarchie Active Directory sont en conflit,

les paramtres de lobjet stratgie de

groupe du conteneur enfant sappliquent

Lorsque les paramtres des objets

stratgie de groupe lis un mme

conteneur entrent en conflit, les

paramtres de lobjet stratgie de groupeles plus hauts dans la liste sappliquent

Les paramtres dun ordinateur

sappliquent lorsquils sont en conflit avec

ceux dun utilisateur

Application dune strategie de groupe


176/177

176


177/177