Presentation Windows Server 2008

8/2/2019 Presentation Windows Server 2008

1/79

2009

ALKA SA

Raphal Roose

[[[[PRSENTATION SERVERPRSENTATION SERVERPRSENTATION SERVERPRSENTATION SERVER 2008200820082008]]]]


2/79

Page 2222 sur 79797979Document ralis par Raphal Roose pour Alka SA

SommaireSommaireSommaireSommaire

Prsentation Windows Server 2008 ........................................................................................................ 5

Les diffrentes versions ........................................................................................................................... 5Le systme dactivation ........................................................................................................................... 6

MAK (Multiple Activation Key) ............................................................................................................ 6

KMS (Volume License Keys) ................................................................................................................. 6

Mthodes dadministration ..................................................................................................................... 7

Les consoles ......................................................................................................................................... 7

Remote Desktop .................................................................................................................................. 7

Roles + Features ...................................................................................................................................... 8

Gestion de lActive Directory (AD)........................................................................................................... 9

Rappel .................................................................................................................................................. 9

Organization Unit (O.U) ..................................................................................................................... 10

Les diffrents objets de lactive directory ......................................................................................... 12

Users .............................................................................................................................................. 12

InetOrgPerson ............................................................................................................................... 13

Computers ..................................................................................................................................... 13

Les groupes .................................................................................................................................... 14

Permission dans lActive Directory .................................................................................................... 16

Dlgation des droits AD ................................................................................................................... 17

Accs aux ressources ............................................................................................................................. 20

Le partage .......................................................................................................................................... 20

Les permissions ................................................................................................................................. 22

La gestion des permissions ............................................................................................................ 22

Gestion des donnes ............................................................................................................................. 24

Limitation de lespace disque ............................................................................................................ 24

Les quotas ...................................................................................................................................... 25

File Server Ressource Manager ..................................................................................................... 27


3/79


Le Shadow Copy ................................................................................................................................ 30

DFS : Distributed File System ............................................................................................................. 32

Hyper-V .................................................................................................................................................. 36

Hyper-V manager .............................................................................................................................. 36

Virtual Networks ................................................................................................................................ 40

System Center Virtual Machine Manager ......................................................................................... 41

Group Policy .......................................................................................................................................... 42

Fonctionnement ................................................................................................................................ 43

Les prfrences ................................................................................................................................. 49

Password policy ................................................................................................................................. 50

GPO Management (nouveaut de 2008) .......................................................................................... 53

Migration Server 2003 vers Server 2008 AD ......................................................................................... 56

Pr-requis migration avant de mettre un 2008 dans la fort ........................................................... 56

Migration ........................................................................................................................................... 57

Inconvnient ...................................................................................................................................... 58

Backup Server 2008 ............................................................................................................................... 58W.S.U.S (Microsoft Windows Server Update Services version 3 SP1) .................................................. 60

Fonctionnement ................................................................................................................................ 61

Configuration ..................................................................................................................................... 61

IIS ........................................................................................................................................................... 63

Fonctionnalits .................................................................................................................................. 65

SSL .................................................................................................................................................. 65

Plusieurs web site .......................................................................................................................... 66

Terminal Server ..................................................................................................................................... 67

Rappel des avantages ........................................................................................................................ 67

Installation ......................................................................................................................................... 67

Nouveaut ......................................................................................................................................... 68

TS Gateway .................................................................................................................................... 68

TS RemoteApp Manager................................................................................................................ 69


4/79


TS Broker ....................................................................................................................................... 70

TS Web Access ............................................................................................................................... 72

Server Core : .......................................................................................................................................... 73

Les Avantages .................................................................................................................................... 73

Les Inconvnients .............................................................................................................................. 73

Utilits ............................................................................................................................................... 73

Exemple cration d'un FileServer ...................................................................................................... 74

Quelques produits complmentaires payants ...................................................................................... 75

SCOM (System Center Operations Manager) .................................................................................... 75

SCCM (System Center Configuration Manager 2007) ....................................................................... 75

SCE (System Center Essentials) ......................................................................................................... 75

Astuces .................................................................................................................................................. 76

Lexique .................................................................................................................................................. 78

Source .................................................................................................................................................... 78

Lien GPO ............................................................................................................................................ 78

Lien Migration ................................................................................................................................... 78

Lien Backup........................................................................................................................................ 78

Lien Gnral....................................................................................................................................... 78

Lien Utile ............................................................................................................................................ 79

Commandes pour Server Core .......................................................................................................... 79


5/79


Prsentation Windows Server 2008

Les diffrentes versions


6/79


Estimation des prixEstimation des prixEstimation des prixEstimation des prix ::::

Web 400

Standard 800

Enterprise 4000

Il y a toujours galement une version de SBSBSBSBSSSS limit 75 utilisateurs, sans terminal serveur, sans trust

avec un maximum de 2 serveurs.

Nouveaut de cette version 2008, lapparition dune EBSEBSEBSEBS limit 300 utilisateurs avec 3 licences

serveurs pour mettre en place un Domain controler, serveur mail, un serveur scurit avec ISA Server

et Anti-spam Exchange.

NoteNoteNoteNote ::::

Au niveau de la virtualisation, il faut retenir que la version standard ne permet que 4 OS Virtuel et

Hyper-V ne fonctionne quen 64 bit. Le systme Hyper-V entraine un surplus de cot au niveau des

licences.

Le systme dactivation

Deux grands types selon la structure de la socit, le MAK (Multiple Activation Key) et le KMS

(Volume License Keys).

MAK (Multiple Activation Key)

On doit encore introduire la cl manuellement mais la mme cl peut servir pour un ensemble de

machines. On achte donc une cl pour X machines (Vista ou Seven) ou pour X Serveurs 2008. Ce qui

permet une meilleure gestion des licences. Les machines clientes senregistrent via une connexion

internet. Les administrateurs peuvent voir les MAK dans le portail en ligne appropri (MVLS, eOpen

ou MSDN). Les administrateurs peuvent voir le nombre d'activations par rapport chaque cl et

obtenir un rapport sur le nombre de systmes activs qui sont grs. Ce nombre augmente mesure

que les systmes sont reconfigurs, et il convient de le surveiller pour veiller ce qu'il reste

suffisamment d'activations pour prendre en charge l'organisation.

KMS (Volume License Keys)

Le KMS est un service qui tourne sur un serveur hte. Les machines sauthentifient directement lui

dune manire automatique et transparente. Le poste client na donc pas besoin dune connexion

Internet car cest le serveur qui procdera son activation. Par dfaut, des clients en volume

Windows Vista convenablement configurs recherchent un hte KMS en utilisant des requtes DNS,

sauf s'ils sont prconfigurs avec l'adresse d'un ou plusieurs htes KMS. Les systmes activs par unhte KMS renouvellent leurs cls d'activation des intervalles de sept jours en utilisation normale,


7/79


fonctionnant jusqu' 180 jours (ou 210 jours lorsque la priode de grce de 30 jours est prise en

compte) sans renouvellement lorsqu'ils sont incapables de contacter un hte KMS. Cette approche

permet aux systmes itinrants de continuer fonctionner entirement pendant un maximum de

sept mois sans ncessiter de contact avec un hte KMS.

Mthodes dadministration

Les consoles

Les consoles dadministration qui fonctionnent grce louverture de port multiples comme le trs

dangereux 445. Ces ports ne doivent tre ouverts quen rseau local.

Il faut les installer sur le serveur ou sur le client vista (minimum SP1) grce au Pack RSAT (RemoteServer Administration Tools for Windows Vista).

Remote Desktop

Prise de contrle distance suivis dune utilisation de console ou ligne de commande sur le serveur.

Nouveaut de la version 2008, toutes les sessions fonctionnent en mode console. Il y a une session

unique par utilisateur ce qui rduit le problme de session non ferme. On est toujours limit 2

connexions mais la politique est beaucoup plus souple car cest deux connexions sortantes. Il ny a

pas de limitation en interne.

Pour rappel, le port est 3389 et la commande pour se connecter directement via un Shell est msmsmsmstsctsctsctsc

/v/v/v/v :NomDuHote:NomDuHote:NomDuHote:NomDuHote /admin/admin/admin/admin


8/79


Roles + Features

Loutil principal pour la gestion des rles et des features se ralise via le Server Manager qui

reprend beaucoup dinformations sur le systme. Il met disposition galement de nombreux outils

qui permettent de raliser les tches quotidiennes.

La diffrence entre les rles et les features est trs relatif On remarque par exemple le failover

Clustering dans les features. Cest lui qui permet le clustering.

Le Server Manager de Windows Server 2008 prend en charge les rles Active Directory Certificates

Services (AD CS), Active Directory Domain Services (AD DS), Active Directory Federation Services (ADFS), Active Directory Lightweight Directory Services (AD LDS), Active Directory Rights Management

Services (AD RMS), Application Server, DHCP Server, DNS Server, Fax Server, File Services, Network

Policy and Access Services, Windows Internal DataBase , Print Services, Terminal Services, UDDI

Services, Web Server, Windows Deployment Services et enfin, Windows Sharepoint Services. Bien

videment, par dfaut aucun rle nest install.


9/79


10/79


1. Domain Controler (Racine)2. Domain enfant3. Domain dun autre arbre

Constitution idal et minimal pour une infrastructure professionnelle. Deux Serveurs qui jouent le

rle de domaine Controller, de global catalog et de DNS. La synchronisation entre ces deux serveurs

fonctionne dune manire incrmentale.

Organization Unit (O.U)

Une OU sert principalement structure lactive directory en rendant de grosse structure plus visible

mais elle sert aussi appliquer des groupes Policy.

Un exemple dune bonne structure :

Belgique \ Admins

\Users

\Computers \ Servers

\Workstations

\Groupes

Fort Test

1

2

3


11/79


Pour une meilleure visibilit et pour avoir accs lensemble des options, il est conseill de cocher

dans View loption advanced et voir en tant que container.


12/79


Les diffrents objets de lactive directory

Users

Les usersusersusersusers reprsentent les comptes des utilisateurs mais aussi des services tiers (Exemple :

BackupExec) . Il est conseill de raliser un compte par utilisateur, un compte par service tiers, deux

comptes pour les administrateurs (Un simple et un admin). Notez quil y a possibilit de crer des

requtes sur les utilisateurs. Pour ce faire, il faut aller dans Saved Queries News Queries.


13/79


InetOrgPerson

LinetOrgPerson est identique a un user classique de Windows et prsente les mmes options mais

ce type dobjet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc.

Il est donc plus que conseill de crer ce type de compte dans les rseaux htrognes.

Computers

Reprsente une machine ou un serveur. Il sajoute automatiquement dans lactive directory lors de

lajout dans le domaine. Par dfaut, ils tombent tous dans le container Computers mais il y a

possibilit de les faire tomber ailleurs via une ligne de commande (voir astuces).


14/79


Les groupes

Il y a deux types de groupe et trois types de scope.

Le type distributiondistributiondistributiondistribution qui nest important que dans les organisations qui possde Exchange.

Le type SecuritySecuritySecuritySecurity qui sert appliquer des permissions. Notez que le type Security fait

automatiquement le mme quun type distribution.

Les scopes : Domain local (permission), Global (runir des users), universal (pour plusieurs arbres).

Microsoft recommande pour des raisons de scurit de toujours mettre des accomptes dans un

Global et ensuite dappliquer celui-ci dans un domaine local. Vous ajoutez de cette manire une

couche de scurit.

Toujours pour une question de scurit, vous devez crer un DL par ressources et

par type de ressource.

Truster

G

DL DLDL

Accompte

Rep Rep


15/79


Luniversal est utilis pour les grandes forts ou la gestion de la scurit doit tre plus pousse.

Truster

G

DL DL

Accompte

Rep RepRep

DL

GG

U

U


16/79


17/79


Dlgation des droits AD

Comme son nom lindique ceci permet de dlguer des rles dans lactive directory. Une dlgation

peut se faire sur une OU, un type dobjet, une tche, une proprit dun objet. Pour une question de

scurit, les OU doivent tre bien structur et les personnes qui auront des rles dlguer ne

devront jamais avoir la possibilit de sen ajouter des nouveaux.

Exemple de bonne OUExemple de bonne OUExemple de bonne OUExemple de bonne OU ::::

Cas pratiqueCas pratiqueCas pratiqueCas pratique :::: Imaginons quon veut permettre lquipe Help Desk de faire un reset des Passwords

des utilisateurs et quils ont la possibilit dajouter des machines au domaine. On va donc crer un

groupe global HelpDesk qui recevra la dlgation sur lOU User et lOU Workstation.

Belgique \ Admins

\Users\Computers \ Servers

\Workstations

\Groupes


18/79



19/79



20/79


Accs aux ressources

Laccs aux ressources se configure en trois tapes : Le partage, la publication et la permission.

Le partage

Pour raliser un partage, il suffit de cliquer sur proprite et daller dans longlet share. On peut

ensuite configurer le nom de celui-ci ainsi que ses permissions que nous verrons plus loin. Vous

pouvez bien entendu crer des partages invisibles par les utilisateurs en ajoutant le signe $ la fin du

nom de partage. Ce genre de partage est trs utile pour crer des rpertoires contenant des sources,

des packages dinstallations, etc.

Notez quon voit toujours lensemble des partages via le computer management.

La publication

La publication reprsente la possibilit de rendre facilement un partage accessible un utilisateur.

Soit via un mapping, soit via un raccourci. Cette procdure se ralise souvent via un script de

dmarrage ou via une policy.

Vous pouvez galement publier le partage dans lactive directory. On peut voir rapidement et dune

manire centraliser les partages sur une machine ou surtout sur les serveurs.

Pour ce faire, il faut aller dans le computer management et cliquer sur publish dans les proprits du

partage.


21/79



22/79


Les permissions

Lutilisateur reoit une srie de cl (token) lors de son identification sur le rseau. Ses cls sontreprsentes par des SID. Exemple : User test : SID ..- 1307, global compta : SID ..-1334

Quand on demande une ressource, il y a vrification via les ACL ou sont vrifi les permissions

(grant).

Notez quun deny explicite est toujours le plus restrictif concernant les ACL.

La gestion des permissions

Il y a deux possibilits de grer les permissions, soit via le sharing, soit via les droits NTFS. Ceux-ci

sont complmentaires et la meilleure reprsentation est sans doute une double porte.

Demande daccs une permission

Cest toujours le plus restrictif qui lemporte. Mme si le sharing vous laisse passer

en criture si le NTFS ne lautorise pas vous serez bloqu et inversement.

Droites SharingDroites SharingDroites SharingDroites Sharing

ReadReadReadRead :::: Lecture

ChangeChangeChangeChange :::: Lecture, criture, suppression

Full ControlFull ControlFull ControlFull Control :::: Lecture, criture, suppression + modification des permissions

Conseil : Au lieu de laisser Everyone, il vaut mieux mettre Authenticated Users ce qui renforce un peu

la scurit.

Rep

Droits SharingDroits SharingDroits SharingDroits Sharing NTFSNTFSNTFSNTFS


23/79


NTFSNTFSNTFSNTFS

ReadReadReadRead :::: On peut voir le contenu dun dossier et ses proprits ainsi que des fichiers.

ReadReadReadRead & Excute& Excute& Excute& Excute :::: On peut excuter des fichiers excutable (Exe,bat, cmd, vbs,) et on peut lire les

fichiers. Au niveau des rpertoires, on a les droits de traverse.

List Folder ContentsList Folder ContentsList Folder ContentsList Folder Contents :::: Traverse et read des dossiers.

Write :Write :Write :Write : Cration de fichier, rpertoires, possibilit de renommer et de modifier les contenus.

ModifyModifyModifyModify :::: Toutes les options et en plus, on peut supprimer les fichiers. Idem sur les rpertoires mais

ceux-ci doivent tre vide.

Full control :Full control :Full control :Full control : Toutes les options + modification des permissions.

On peut galement ajouter des permissions spciales via longlet advanced. On peut par exemple

empcher de lire les proprits des fichiers et rpertoires. Les options sont vastes et permettent une

configuration trs adaptes.

La notion dhritage

Par dfaut, lhritage sur les dossiers est activ. Un nouveau dossier hritera donc des permissions

de son parent. On peut couper cet hritage en vidant les permissions ou en recopiant les permissions

dans longlet advanced du NTFS.

Attention au groupe users qui a des droits par dfaut sur tous les rpertoires. Il est

plus que conseiller de le changer. Attention galement au Creator Owner qui a des

droits full control par dfaut. Il vaut mieux limiter le creator owner en lui donnant les

mmes permissions que son groupe sur la ressource.


24/79


Gestion des donnes

Limitation de lespace disque

Il y a deux manire pour limiter lespace disque consomme par les utilisateurs.

QuotasQuotasQuotasQuotas File Server Ressource ManagerFile Server Ressource ManagerFile Server Ressource ManagerFile Server Ressource Manager

Bas sur le propritaire des fichiers Installer le service File service RessourManager du rle File Server.

Une gestion par partition Limite la taille de certain dossier

Bloquer des extensions (File screening manager)

Reporting dactivit


25/79


Solution idal :

Du File Server Ressource Manager sur les services et de la gestion de quotas classique sur les homes.

Solution moins idal :

Les quotas

Les quotas sactivent directement sur la partition. Cest une configuration gnrale pour lensemble

de la partition mais on peut nanmoins spcifier une taille plus grande pour certains utilisateurs. On

a galement une partie qui peut servie de reporting sur lespace dj consomm.

Si vous dcidez de modifier les quotas, les nouvelles modifications ne seronteffectivement que sur les nouveaux utilisateurs. Il faudra repasser

manuellement sur les utilisateurs dj existants.

D : E :

Services Homes

Services

Homes

300 Mo

700 Mo

Quotas 1Go par user

Plein pour lutilisateur

D :


26/79



27/79


File Server Ressource Manager

Vous trouverez le File Server Ressource Manager dans les outils dadministration condition que

le service soit install. Vous pourrez soit utiliser un Quota Template qui est dfinit soit en crer un

nouveau et lappliquer sur un rpertoire.


28/79


Vous galement envoyer des messages ladministrateur ou lutilisateur quand celui-ci arrive la

taille limite. Cest galement via le File Server Ressource Manager que vous pourrez empcher

lcriture de fichier extension bien dfinie. Comme par exemple des MP3 ou des fichiers vidos.


29/79



30/79


Le Shadow Copy

Le service Shadow-Copy est destin au stockage de fichiers sur des dossiers partags.

Il permet :

De rcuprer les fichiers accidentellement effacs. De rcuprer les fichiers malencontreusement crass ou mis jour. Dimplmenter la notion de version sur les documents sur lesquels on travaille. De limiter les accs physiques aux serveurs pour effectuer des backups de fichiers

restaurer, en offrant des possibilits de rcupration de fichiers directement sur un poste

client supportant le client VSS.

Lors de la configuration de ce service, il faut lui attribuer une taille maximale comme par exemple

15% de la partition.


31/79



32/79


On ne sait pas dplacer un Shadow Copy ou mme en faire un backup. En cas de

crash disque, les donnes sont perdues et il faudra que les utilisateurs repartent de 0.

Il est donc bien important de ne pas confondre le Shadow Copy avec un systme

de backup. Notez quon peut trs bien ddier un disque dur en SATA pour jouer ce

rle. Ce qui permet donc de dlocaliser les donnes.

DFS : Distributed File System

DFS (Distributed File System) fournit aux utilisateurs un moyen simple d'accder des donnes

reparties et distribues sur un rseau. Un dossier partag DFS sert de point d'accs d'autres

dossiers sur le rseau. Il permet par exemple de regrouper diffrents partages stocks sur des

diffrents serveurs un seul point.

Il permet galement une rplication de donnes entre deux serveurs.

Idal pour avoir les donnes proches des utilisateurs. Un backup centralis. Fault Tolerance mais il est loin dtre idal dans cette tche. Le mieux sera toujours davoir

un systme de clustering.

Il faut dabord dfinir un name space ou un root sur le Domain Controler. Ensuite, on cre le

lien qui se rattache a ce name space . Cest videment un rpertoire partag.


33/79


Il suffit ensuite de browser le rseau directement via le nom du domaine.

\\NomDomain


34/79


Dans le cas de la synchronisation :

1. Crer deux name space identiques sur chaque serveur.2. Crer des links sur les serveurs.3. On cre la rplication en dfinissant un domain controler comme primaire et la topology de

la synchronisation.


35/79



36/79


Hyper-V

Hyper-V sert la virtualisation de serveur ou de client. Il ne fonctionne que sous la version 64 bit

avec un CPU adapt la virtualization. Contrairement Vmware, il nest capable de faire tourner que

des OS Microsoft.

RecommandationRecommandationRecommandationRecommandation ::::

Plusieurs cartes rseaux dont une toujours disponible en dehors de la Virtualisation.

De la Ram en consquence avec une frquence et un bus lev.

Des disques durs trs rapides pour limiter les temps daccs.

Un CPU adapt la virtualisation comme les Core I7 de chez Intel ( pas de version serveur pour

linstant). Cette nouvelle gnration de processeur (5 mai 09) qui permet un accs la mmoire plusrapide grce l'apparition du mode triple canal.

Hyper-V manager


37/79


Cest via le HyperHyperHyperHyper----V managerV managerV managerV manager quon configure lensemble des OS virtuels. Il faut tout dabord

dfinir un disque virtuel (VHD) qui accueillera les images virtuelles. Un VHD est limit 2 TB de

donnes. Ensuite, il suffira de crer une machine virtuelle.


38/79


Ces VHD peuvent tre de plusieurs types dynamique , fixe , diffrence , Pass-through .

- Le dynamique comme son nom lindique se redimensionne selon les besoins. Ce mode de

fonctionnement entraine des chutes de performances.

- Le Fixe qui a sa taille de dfinie et qui ne varie pas. Aprs le Pass-through , il donne les meilleures

performances quon peut attendre.

- Disques dannulation ou disques de diffrence, lobjectif du disque de diffrence est de permettre

une image virtuelle davoir comme base une autre image afin que seules les modifications soient

enregistres. Il sagit dun clich diffrentiel. Cette fonction permet de personnaliser des

configurations virtuelles existantes sans modifier les fichiers originaux du disque de la configuration.

Il existe une diffrence entre les disques dannulation et les disques de diffrence : un disque de

diffrence s'applique un disque dur virtuel uniquement alors que les disques d'annulation

s'appliquent tous les disques durs virtuels associs une machine virtuelle. Une fois le type de

disque slectionn, il faut alors choisir entre :

La cration dun nouveau disque virtuel (Spcifier la taille du disque virtuel). La copie des donnes dun disque physique existant : (cre un VHD qui contient les donnes

du disque physique).

- Pass-trough qui permet de ddicacer un disque physique a un OS virtuel. Il donne les meilleuresperformances possibles.


39/79



40/79


Virtual Networks

Trois types de virtual Networks privateprivateprivateprivate , InternalInternalInternalInternal , ExternalExternalExternalExternal .

Le privateprivateprivateprivate permet des machines virtuelles de communiquer ensemble mais pas lhte ou avec le

reste du rseau.

L InternalInternalInternalInternal permet des machines virtuelles de communiquer ensemble et avec lhte mais pas

avec le reste du rseau.

L ExternalExternalExternalExternal permet des machines virtuelles de communiquer ensemble avec lhte et lensemble

du rseau.

Cest trois types cre en quelques sortes un switch virtuel.

VM 01

VM 02

VM 03

VM 04

VM 05

VM 06

Switch Virtuel

Private

Switch Virtuel

Internal

Switch Virtuel

External

IO 1

IO 2


41/79


Le type private et internal permettent de faire des machines de tests qui ne perturberont pas

le rseau.

System Center Virtual Machine Manager

Cest un service qui doit tourner sur un serveur part son rle sera dadministrer une srie de

serveurs Hyper-V. On peut galement le coupler un systme de Self service qui met disposition

aux utilisateurs autoriss des machines virtuelles la demande grce lutilisation dun serveur de

librairie. Les utilisateurs commandent des machines virtuelles en dpensant des points et le

SCVMM met disposition une machine virtuelle automatiquement. Le SCVMM peut

galement tre coupl Scom (System Center Operations Manager) qui sera en mesure de rpartir

les tches entre les diffrents Hyper-V.

NoNoNoNotetetete : System Center Operations Manager permet de surveiller vos services informatiques.

Serveur

Librairie

Serveur

SCVMM

Serveur

Hyper-V

Serveur

Hyper-V

Serveur

Hyper-V

Serveur

SCOM

VM 01

VM 01

VM 01

VM 01

VM 01


42/79


Group Policy

Elles sont utilises pour la restriction, les scripts, la configuration.

Dans la catgorie configuration, on retrouve les services, les softs, la scurit, le paramtrage.

Elles peuvent s'appliquer une machine, une OU, un groupe, un objet. Elles s'appliquent

automatiquement toute les 90 120 minutes mais elles peuvent tre force via la commande

"gpupdate /forcegpupdate /forcegpupdate /forcegpupdate /force"

L'outil pour les administrer est Group policy Management. Le concept consiste crer un template

de police et puis de l'appliquer sur une OU.


43/79


Fonctionnement

GPO

Sysvol Fichier TXT

AD dans OU System \

policy contient les

numros de version

avec les liens.


44/79


Les polices de scurit ne sont en fait que des fichiers textes qui sont index dans lactive Directory.

A chaque fois quun pc dmarre ou quun utilisateur sauthentifie, il y a change avec lactive

Directory pour voir sil y a eu des changements. Si cest le cas, la machine tlcharge les fichiers qui

ont t ajouts ou qui ont t modifis. La commande gpupdate /forcegpupdate /forcegpupdate /forcegpupdate /force oblige la machine

tlcharger de nouveau lentiret des fichiers textes.

Par dfaut, une GPO s'applique tout ce qui est en-dessous d'elle.

OU Belgique

OU Hainaut

OU Compta

On peut nanmoins forcer le systme pour que ce soit une police ascendante qui domine avec la

commande force.

On peut galement appliquer une policy un groupe de personne. Pour ce faire, pendant l'dition de

la GPO, il faut slectionner proprit sur le nom de la GPO et mettre les droits ncessaires dans

l'onglet scurit.

ADADADAD

SYSVOLSYSVOLSYSVOLSYSVOL


45/79


Exemple de policyExemple de policyExemple de policyExemple de policy sur les computerssur les computerssur les computerssur les computers ::::

On peut par exemple renommer les comptes de l'administrator local des machines mais on ne peut

malheureusement pas changer son mot de passe. Pourquoi faire a ? Simplement par ce que ce

compte est connu par tout le monde et qu'il a tout les droits. On ne peut pas le bloquer car son SSID

finit par 500.


46/79


On pourrait aussi mettre le Number of previous logon pour empcher les machines de se loger sans

la prsence d'un domaine. Surtout les Workstation qui n'ont pas besoin de cette option car une

personne qui aurait son compte dsactiv pourrait trs bien se connecter sa machine en retirant

simplement le cble rseau. En dsactivant cette option, il ne sera plus en mesure de se loger sur la

machine.

On pourrait aussi injecter des groupes d'utilisateurs dans un groupe local sur des machines via le

Restricted groups. Par exemple, l'quipe de l'Help-Desk qui a besoin d'avoir l'ensemble des droits

admins en local pour effectuer des tches de maintenance.

Il arrive parfois que certains programmes mal conus doivent avoir les droits administrateurs pour

s'excuter. Il est bien entendu trs dangereux de donner ces droits des simples utilisateurs. Via les

GP dans "File System", vous pouvez donner des droits sur certains rpertoires des machines de votre

parc sans pour autant donner plus de droits. Pour se rendre compte exactement des droits dun

programme, il faut le faire tourner en mme temps que FileMonFileMonFileMonFileMon et RegMonRegMonRegMonRegMon (produit gratuit

de Microsoft) qui donnent un rapport exact des accs du programme sur la machine.

On peut galement bloquer des programmes via le software restriction policies qui se dfinit via des

rgles. Ces rgles sont divises suivant des certificats, des network zone , des path rule et des

hash rule . Le path rule permet de dire quon ne peut plus excuter tel fichier excutable mais on

peut toujours contourner le problme en renommant lexcutable la diffrence du Hash Rue


47/79


qui fait dune certaine faon une photo de lexcutable. Il est alors impossible de lancer lexcutable

et ce mme en le renommant.

On peut limiter la bande passante dun programme en upload sur le rseau via la policy-based

QOS .

On peut allger la charge rseau gnre par les Vista et les Seven en dsactivant les services

Link-layer Topologie et Microsoft peer to peer dans ladministrative.


48/79


Exemple de GPO sur les utilisateursExemple de GPO sur les utilisateursExemple de GPO sur les utilisateursExemple de GPO sur les utilisateurs ::::

Rediriger directement les Mes documents vers son Home Directory via le Folder Redirection.

Couper lauto play via Windows components qui est souvent responsable de la propagation des virus.

Cacher certains drives via Windows explorer voir mme de bloquer via le prevent acces to driver for

my computer.

A chaque apparition d'un nouvel OS, des nouvelles GP font leurs apparitions. Nousavons vu que les GP ne sont en fait que des fichiers TXT avec l'information de la GP. Si

vous voulez donc appliquer des nouveauts de GP, vous devez aller sur le nouvel OS

et fabriquer directement la GP sur ce post via le RSAT. Cette GP s'appliquera

l'ensemble du parc qui est en mesure de supporter ces modifications. Il faut retenir que la GP doit

toujours se faire sur l'OS le plus rcent.


49/79


Les prfrences

Nouveaut du systme server 2008, les prfrences permettent dajouter quelques fonctionnalitsintressantes aux GPO.

PoliciesPoliciesPoliciesPolicies PreferencesPreferencesPreferencesPreferences

Ne modifie jamais une cl de registre, elles

placent une cl masque qui empche les

modifications par lutilisateur.

Modifie directement les cls du registre.

Lutilisateur peut remodifier les options mais

elles seront rappliques chaque dmarrage

de la machine ou chaque login.

Aucune installation sur les clients Installation du Client Side Extension sur

lensemble du parc informatique. (y compris sur

les vista)

Complment intressant aux policies.

Quelques exemples de prfrencesQuelques exemples de prfrencesQuelques exemples de prfrencesQuelques exemples de prfrences computercomputercomputercomputer ::::

Possibilit de recopier un dossier sur une machine automatique via les prfrences.

Ajouter directement une cl dans la base de registre comme par exemple la cl qui offre la possibilit

de restaurer un mail supprim dans nimporte quel dossier. Fonctionne uniquement si on a un

Exchange derrire.

Quelques exemples de prfrencesQuelques exemples de prfrencesQuelques exemples de prfrencesQuelques exemples de prfrences useruseruseruser ::::

Cration automatique dun mapping sans lutilisation de script.

Toujours la possibilit de recopier ou modifier un rpertoire, un fichier, une cl de registre mais

limiter par les droits de lutilisateur.

Modifier directement les folder options.


50/79


Password policy

Une Password policie ne peut s'attacher que sur le domaine. Si on l'attache sur une OU plus bas, ane sera appliqu que sur les comptes locaux. On peut quand mme crer une police Fine GrainedFine GrainedFine GrainedFine Grained

PWDPWDPWDPWD sur des groupes d'utilisateurs mais il faut tre totalement en domaine level 2008.

Quelques options :

Account lockout duration : Bloque le compte pendant X minutes. Si on le met sur 0, c'est un blocageinfini. Recommandation 30 min.

Account lockout threshold : Nombre d'erreurs qu'on permet l'utilisateur. Recommandation entre 3 10 erreurs.

Reset account lockout counter after : Temps d'observation des erreurs. Exemple : 30 minutes

Fine Grained PWDFine Grained PWDFine Grained PWDFine Grained PWD : Pour ce faire, il faut utiliser ADSI EditADSI EditADSI EditADSI Edit (sorte de registery pour l'AD) qui permet devoir l'ensemble des attributs de l'AD et de les modifier. Il faut aller sur le container System, PasswordSettings container, cration d'un nouvel objet. La premire valeur permet seulement de donner unordre entre diffrentes policie. Les autres valeurs reprsentent la configuration de celle-ci. Une fois lapolice cre, il faut l'appliquer dans l'active directory au mme endroit et aller sur les proprit etpuis dans l'onglet Attribute Editor la ligne msDS-PSOAppliesTO et rajouter le compte ou le groupe.La dernire tape consiste forcer les gens changer les mots de passe pour que celle-ci soitapplique.


51/79



52/79



53/79


Public last logon informationPublic last logon informationPublic last logon informationPublic last logon information " ('windows componement \ windows logon options activ sur le

domain et sur OU des PC) qui ne fonctionne qu'avec Vista ou Seven. Cette option permet de voir

quand on s'est authentifi la dernire fois avec succs et quand la dernire fois, il y a eu quelqu'un

qui a essayer de se connecter sans succs avec son login.

Outils pratique :Outils pratique :Outils pratique :Outils pratique : Admodify.net qui permet d'diter les attributs de tous les objets qu'on dsire.

GPO Management (nouveaut de 2008)

Mise en place dune fonction de recherche dans les polices mais la version actuelle ne fonctionne pas

bien. On peut esprer la correction de ce problme avec le R2.

Ajouter des commentaires sur les GPO ce qui est trs utile pour la documentation.

Systme de backup et de restore des GPO. Attention, aprs une restauration, il ne faut pas oublier de

rattacher la police a son OU.


54/79


Possibilit de copier des GPO entre diffrents domaines ou fort.

Le RSOP permet de faire de la documentation. La fonctionnalit est directement accessible sur le

template dans longlet Settings.


55/79


Le modeling qui permet de faire une simulation avec un user X sur une machine Y.

Le group Policy Results qui ne fonctionne que si la personne sest dj authentifie sur la machine. Le

rapport gnr donne les erreurs provoques lors de lapplication de la police. Il tient compte de

levent viewer de la machine.

La possibilit de faire une dlgation de droit sur la GPO. Pour ce faire, il faut ajouter le user dans le

groupe Policy creator ownersPolicy creator ownersPolicy creator ownersPolicy creator owners de lAD. Il faut galement avoir le droit dattacher la police sur une OU.

Par contre, il ne pourra modifier que les polices dont il est le propritaire et inversement pour les

autres membres de ce groupe. Il faudra donc faire une dlgation des GPO vers les autres admins.


56/79


Migration Server 2003 vers Server 2008 AD

Situation de dpart : 2 Domain Controller en 2003 auquel on ajoute un Domain Controller 2008

Pr-requis migration avant de mettre un 2008 dans la fort

- Le domain level doit tre en minimum en 2000 natif. On ne peut donc plus tre en 2000 mixte ou2003 intrim. On peut voir a directement dans l'Active directory dans les proprits du domain eton peut le changer via la commande Raise Domain Functional Level.

- " Run adprep /forestprep " via le CD de 2008 1 fois par fort. Il ajoute des nouveaux attributs et desobjets.

- " Run adprep /domainprep " via le CD de 2008, 1 fois par domain. Il ajoute des nouveaux groupes etla scurit en fonction de ces groupes.

- " Run adprep /gpoprep " uniquement si le domaine est encore en 2000. Il fait des modifications auniveau de la rplication des GPO.

- " Run adprep /rodcprep " uniquement si on veut des RODC (Read Only Domain Controller)


57/79


Migration

Etape 1 :Etape 1 :Etape 1 :Etape 1 : Ajouter un domain Controller 2008 via la commande " DCPROMO ". Il est conseiller

d'attendre un ou deux jours pour tre sr qu'il soit bien intgr dans la fort.

Etape 2 :Etape 2 :Etape 2 :Etape 2 : Dplacer les rles vers le 2008. Les rles sont retirs du serveur source et transfr vers leserveur destination. Pour viter d'oublier des rles, il vaut mieux le faire en ligne de commande via "ntdsutil " (permet de faire des tches sur un DC). Vrifier qu'il est bien en global catalog. Il estconseill d'attendre un ou deux jours pour tre sr qu'il joue bien ses diffrents rles.

\ntdsutil\roles\connect\con to server "DC2008"

\quit\transfert infrastructure master\transfert naming master\etc ( Bien vrifier les rles avant de le faire)

Etape 3 :Etape 3 :Etape 3 :Etape 3 : Rajouter un autre DC 2008 ou Retirer un Server 2003 mais avant tout, il faut faire unDCPROMO pour le retirer l'AD.

Etape 4 :Etape 4 :Etape 4 :Etape 4 : Une fois qu'on na plus d'autres Domaines Controller en ancien OS, on peut changer ledomain functionnal level. Pour bnficier de toutes les options de 2008 comme le " Fine GrainedFine GrainedFine GrainedFine GrainedPWDPWDPWDPWD " ou encore la GPO " Public last logon informationPublic last logon informationPublic last logon informationPublic last logon information ".


58/79


Inconvnient

Lors de la migration, il garde les scurits de l'ancien systme. Il faut revoir les polices de scurit dudomaine pour les mettre aux gots du jour.

Backup Server 2008

- L'ancien NTbackup travaillait au niveau des fichiers. On savait faire des backups et restaurer d'unepartition, d'un rpertoire ou d'un fichier. Le restaure systme tait trs difficile car il fallait rinstallerle Windows de base et les drivers avant d'appliquer le restore.

- Windows Server Backup 2008 travail au niveau des clusters (fonction snapshot). On ne sait queprendre des partitions au niveau du backup. Par contre, il est bien entendu possible de restaurerseulement un rpertoire, un fichier ou l'ensemble de la partition. Le restore systme s'excute via leDVD de 2008 et on lui donne le chemin du backup. La phase de rinstallation est supprime ou dumoins, elle se fait automatiquement avec les donnes backup.

Etape 2

DC 2003DC 2003DC 2003DC 2003 DC 2003DC 2003DC 2003DC 2003

avec rlesavec rlesavec rlesavec rles

Ajout dun DCAjout dun DCAjout dun DCAjout dun DC

2008200820082008 sans rlessans rlessans rlessans rlesEtape 1

Etape 0


avec rlesavec rlesavec rlesavec rles


sans rlessans rlessans rlessans rles

2008200820082008 avec rlesavec rlesavec rlesavec rles

Etape 3DC 2003DC 2003DC 2003DC 2003 DC 2003DC 2003DC 2003DC 2003 retirerretirerretirerretirer

via un dcpromovia un dcpromovia un dcpromovia un dcpromo

2008200820082008 avec rlesavec rlesavec rlesavec rles

Etape XDC 2008DC 2008DC 2008DC 2008 2008200820082008 avec rlesavec rlesavec rlesavec rles


59/79


Lors de la restauration, il faudra peut tre rajouter les drivers dans le DVD de 2008 pour qu'il

reconnaissance le matriel de stockage. Pour ce faire, il faudra modifier le fichier boot.wim du DVDvia le " windows automatique installation kitwindows automatique installation kitwindows automatique installation kitwindows automatique installation kit " version serveur 2008. Ce fichier boot.wim estresponsable du lancement du Windows PE charg en mmoire. Celui-ci sert rinstaller le systmeou utiliser des outils comme le restore de backup. Le mme fichier install.wim existe pour que desdrivers ou des patchs soient dj compris dans linstallation de base. Le fait de fonctionner avec desfichiers .wim qui sont des images augmente les performances lors de linstallation en comparaison un Server 2003.


60/79


W.S.U.S (Microsoft Windows Server Update Services version 3 SP1)

Le but du WSUS est de limit la charge rseau mais aussi de mettre en place une politiqued'application des patchs car on peut choisir les patchs qu'on dsire appliquer ou non. WSUS permetd'avoir un parc informatique homogne.

Le rseau risque par contre d'tre un peu plus lent lors de la mise en place car l'ensemble desmachines va se mettre jour. Il y a galement des petits soucis quand on a plusieurs quipes quidoivent grer les mise jours. Il vaut mieux dans ce cas d'en avoir un par quipe.

Il faudra prvoir sur le serveur un IIS, un SQL et un grand espace disque pour stocker les patchs et le "report viewer 2005 ". On retrouvera dans la base de donnes, la configuration du WSUS, la liste des

machines, la liste des patchs, le reporting pour savoir quelle machine quel patch.

WSUSWSUSWSUSWSUS

SQL Base de

Donnes

Rpertoire

de stockage

Tlchargement


61/79


Fonctionnement

Configuration

Dans la pratique, il vaut mieux viter le Wizard de WSUS pour la configuration car celui-ci skip

l'Automatic Approvals. Pour le configurer, il faut aller dans "Options".

Etape 1Etape 1Etape 1Etape 1 ---- Configuration de la source : Configuration de la source via " Update Source and Proxy ServerUpdate Source and Proxy ServerUpdate Source and Proxy ServerUpdate Source and Proxy Server". La source peut tre Microsoft ou un autre WSUS et on peut configurer le serveur proxy sincessaire.

Etape 2Etape 2Etape 2Etape 2 ---- La dtection : Slection des produtis et la classification via " Products and ClassificaionsProducts and ClassificaionsProducts and ClassificaionsProducts and Classificaions " quidevra se faire en deux tapes car tant qu'il n'a pas synchronis une premire fois avec les serveurs deMicrosoft ou l'autre WSUS la liste des produits n'est pas complte. La classification sert treprvenu des types de mise jour de notre choix (peut tre dcocher les drivers). On doit galementconfigurer la dtection dans " Update Files and LanguagesUpdate Files and LanguagesUpdate Files and LanguagesUpdate Files and Languages ". Il faut limiter le plus possible les langues

d'updates.

Nouvelle mise jourDtectionDtectionDtectionDtection

RejetRejetRejetRejet

ApprobationApprobationApprobationApprobation

AutomatiqueAutomatiqueAutomatiqueAutomatique

Injecter dans la

liste autoriser

manuellement

Injecter dans la

liste autoriser

automatiquement

DDDDclinclinclinclin


62/79


Etape 3Etape 3Etape 3Etape 3 ---- Automatic Approvals : Il faut editer le default Automatic en slectionnant les types de mises jours automatiquement autorises. Il est recommand de slectionner le critical updates, securityupdates, definition updates, updates. Le reste doit tre en manuel.

Etape 4Etape 4Etape 4Etape 4 - Synchronisation : Dfinir quand il regarde les mise jours.

Etape 5Etape 5Etape 5Etape 5 - E-mail Notifications : Eventuellement mettre un reporting par mail.

Etape 6Etape 6Etape 6Etape 6 ---- Les groupes d'ordinateurs : Eventuellement la configuration de groupe d'ordinateur. Elle sefait soit la main ou soit par Registry.

Etape 7Etape 7Etape 7Etape 7 - Configuration de la partie client : Elle se ralise via une GPOGPOGPOGPO dans "computer \administrative templates \ windows components \ windows update "

Deux GPO selon la catgorie de machine : Server et Workstation

Server :

Configure Automatic updates properties choisir le 3. On peut laisser l'heure.Specify Intranet Microsoft Update Service location : Exemple : http//srvpa04:8530 (selon le portchoisit) Si on ne met pas a, les clients vont directement sur le site de Microsoft et ne passe pas parWsus.

Workstation :

Configure Automatic updates properties choisir le 4. On peut laisser l'heure.Specify Intranet Microsoft Update Service location : http//srvpa04:8530Reschedule Automatic Updates scheduled installations : Enabled 5 minutes (dans le cas ou si lamachine tait coupe lors de l'update)No auto-restart with logged on users for scheduled automatic updates installation : EnableRe-prompt for restart with scheduled installations : Enabled 120 minutes par exempleAllow Automatic Updates immediate installation : Enabled

Rappel : Il est importance d'avoir des OU spare.

Etape 8Etape 8Etape 8Etape 8 - Regarder rgulirement les patchs qui n'ont pas t autoriss automatiquement selon vosprfrences.

EEEEtape 9tape 9tape 9tape 9 - Faire un wizzard cleaned quand on n'a plus aucune machine d'un OS.

Par dfaut dans la version SMB 2008, il est install. Attention, il faut que le SSID de lamachine soit bien diffrent d'une machine l'autre. Attention donc lors del'utilisation des ghost, il faudra bien prvoir un " sysprep " pour diffrentier lesmachines.

NoteNoteNoteNote : Vu les donnes, celles-ci peuvent tout fait tre stock sur un simple disque. Inutile de prvoir

du RAID5 pour ce genre de chose. L'idal est de partir sur un disque de 250 Giga.


63/79


IIS

Par dfaut celui-ci n'est pas install. Toutes les options doivent tre installes et activesmanuellement mme celles qui taient prsentes de base en Server 2003 comme l'authentification,la restriction d'IP ou le remote management.


64/79


Deux outils d'administrations dIIS "Internet Information Services (IIS) 6.0 Manager" et le "Internet

Information Services (IIS) Manager". Le premier sert principalement configurer le FTP qui n'a paschang depuis 2003.

La nouvelle version d'IIS apporte beaucoup de changements surtout dans la gestion distance. Lorsde l'installation celle-ci n'est pas activ et mme aprs installation de cette option, le IP$ port 445 nefonctionne plus. Deux possibilits pour l'administrer, la classique Remote Desktop qui ne demandepas d'installer le management service d'IIS ou l'autre possibilit serait d'installer cette option IIS. Pour se connecter IIS via le "management service, il faut par exemple avoir un Vista avec leRSAT. On peut galement faire des dlgations via " IIS Manger Permissions "sur un site web pourdes webmasters par exemple.


65/79


Autre nouveaut intressante le " Output Caching " qui permet de faire un cache des pages fortdemandes.

Fonctionnalits

SSL

Le but de SSL est de crypter le trafic mais galement selon les certificats d'tre reconnu dans certain

cas.

La cration d'un certificat :

Il y a trois types de certificat.

Les certificats publics qui demandent un enregistrement dans un organisme accrdit. Ils sontl'avantage d'tre reconnu par tout le monde. Le certificat vrifie la date de validit, si le nomcorrespond bien, une vrification de certificat en cascade, etc.

Les certificats domaine qui demande un serveur de certificat en interne. On fait la demande a ce

serveur qui autorise automatiquement le certificat si le user est reconnu. C'est uniquement lesmachines dans le domaine qui lui fera confiance.


66/79


Les certificats auto-signed mais personne ne lui fait confiance. Il ne sert qu crypter de l'information.Le but est simplement d'avoir une paire de cl pour changer de l'information.

Une fois la certification cre, il faut l'activ au niveau du web site via l'outil "bindings" du site web.

Ensuite, on peut obliger le SSL sur le web site dans les "SSL Settings".

Note : Le common name reprsente l'url ce qui est trs important lors de la demande d'un certificatpublic.

Plusieurs web site

Si les web site doivent tre en interne, il suffit d'appliquer un site web par adresse IP via le l'outil"bindings". On peut galement le faire pour des sites externes mais la mise en place sera un peu pluscomplique.

Si les Web Site doivent tre accessibles depuis l'extrieur, on peut utiliser une IP avec un Host Namediffrent mais il y a parfois des incompatibilits et c'est sans doute un peu plus lent dans le traficmais ce n'est visible que sur des serveurs avec des milliers de requtes. Cest gnralement le genrede configuration choisie par les hbergeurs web.


67/79


IIS + WSUSIIS + WSUSIIS + WSUSIIS + WSUS

Il est conseill de limiter le nombre de connexions concurrentes sur le site WSUS pour viter desaturer le rseau quand les clients viennent chercher les mises jour sur le Serveur. On peut penser

de cette manire diffuser des services packs de cette manire.

Terminal Server

Il y a galement eu beaucoup d'avances dans ce rle en Server 2008. Un travail important a texcut pour rattraper le retard sur du Citrix. Comme par exemple TS Gateway. Session Broker quipermet l'quilibrage de charge permettant aux utilisateurs de se (re-)connecter des serveurs TS demanire transparente. TS Web Access qui permet une interface Web permet daccder aux

applications (intgrable dans un portail SharePoint).).).). RemoteApp donne la possibilit dintgrer desapplications distantes lenvironnement local de lutilisateur (y compris lassociation des extensionsde fichiers locaux des applications distantes).

Rappel des avantages

Soft central mais de plus en plus difficile.Client lger.TeleWorking.Maintenance distance.

Ne pas oublier avant de faire l'installation de programme de basculer en mode installation pour quele programme tourne en monde multiutilisateur. "change user /installchange user /installchange user /installchange user /install" fait l'installation et puisquitter le mode "change user /executechange user /executechange user /executechange user /execute"

Installation

Il faut installer le serveur de licence, le plus haut possible, c'est dire dans la fort. Ne pas oublier defaire des backups de ces licences.


68/79


Nouveaut

TS Gateway

Fournir un accs depuis lextrieur de lentreprise des serveurs Terminal Server interne taitjusqu prsent relativement risqu. Le TS Gateway offre une mthode sre pour publier lesterminals serveurs.Il permet de faire une translation du port 3389 dune adresse publique vers un serveur TS interne.Cela limitait la connexion un unique serveur, mais surtout exposait potentiellement celui-ci au"premier venu".

il permet de forcer ltablissement dun VPN avant la connexion Terminal Server, ce qui compliqueles procdures de login pour les utilisateurs, mais donne une niveau de scurit satisfaisant.

Sur le Terminal Gateway, on dfinit des policies les CAP (Connection Autorization Policies) et les RAP( Ressource Autorization Policies).

La CAP permet par exemple de dfinir les mappings par groupes dutilisateurs comme lesimprimantes, cl USB. On peut donc avoir des CAP diffrents par groupe d'utilisateurs(Administrateurs et utilisateurs par exemple). L'ordre des polices de scurit est trs important.

La RAP permet de dfinir les connexions vers les diffrents serveurs. Mme principe queprcdemment, on peut donc dire qu'un administrateur a accs l'ensemble des serveurs tandis queles utilisateurs ont accs a un serveur TS classique. L'ordre n'a pas d'importance dans cette partie.

Attention : Il faut faire une configuration du client quand on passe par un TS Gateway. Il faut allerdans les options et puis cliquer sur advanced. Il faut alors prciser au client de passer par le TSG"srvpa01.sql.dom", il faut que le nom correspondant au certificat qui a t attribu par le TSG.Ensuite, on met l'adresse du serveur au quel on veut accder.


69/79


TS RemoteApp Manager

On peut publier un programme via cette application. Pour ce faire, on ajoute un programme via AddRemote/ APP Programs pour la mettre dans la liste de publication. Il va falloir crer un package MSIpour que les gens puissent installer avoir un raccourcis. On peut lors de la configuration le faire

passer par un TS Gateway pour les personnes l'extrieur de l'entreprise. Le programme est doncexcut sur le serveur et l'utilisateur l'impression que l'application tourne sur sa machine.


70/79


TS Broker

Prenons un cas pratique : Imaginons trois terminal server identiques et qu'ils rpondent au mmenom via un record DNS. Un serveur TS Broker qui sait si une session A existe ou pas. Sil n'y pas desession existante, il tient jour sa liste A sur le Serveur 2. Lors de la prochaine demande, si la sessionn'a pas t ferme le client A sera redirig automatiquement sur le Serveur 2. L'utilisateur rcupradonc sa session avec ses programmes lancs. C'est une gestion de ferme comme Citrix le permet.


71/79



72/79


TS Web Access

Permet de crer une page web qui centralise les applications qui tourne sur terminal Server.


73/79


Server Core :

Server 2008 sans "interface graphique" grer par lignes de commandes ou par console externe. Il y aencore moyen de lancer beaucoup d'interfaces graphiques.

Les Avantages

Le systme est moins gourment en ressources.

Plus de scurit car il y a moins de rles donc moins de failles.

Les Inconvnients

Le PowerShell ne fonctionne pas mais il sera prsent avec plus de commandes dans la version 2008R2.

Les programmes de support qui ne sont tous compatible comme les anti-virus, les backups.

Utilits

File Server, Domain controler, DHCP, DNS , Web, Hyper-V, PrintServer.

Fonctionne trs bien pour le File Server, Domain Controler, DHCP. Pour le reste, la gestion devientun peu plus difficile.


74/79


Exemple cration d'un FileServer

Etape 1Etape 1Etape 1Etape 1 ---- Changer le nom de la machine :

" netdom renamecomputer %computername% /newname:NomServerCore

Etape 2Etape 2Etape 2Etape 2 ---- intgration des drivers.

Etape 3Etape 3Etape 3Etape 3 ---- Attribution d'une IP :

" netsh " pour rentrer dans le shell rseau en mode interactif." inter "" ipv4 "set address "Local Area Connection" static IP MASK Gateway Metricset dsnserver "Local Area Connection" static IP Primary

Etape 4Etape 4Etape 4Etape 4 ---- Mise en domain :

"netdom join core04 /domain:sql.dom /userd:sql\administrator /passwordd:passe "


75/79


Etape 5Etape 5Etape 5Etape 5 ---- Dsactiv le firewall si ncessaire

" netsh firewall set opmode disable "

Etape 6Etape 6Etape 6Etape 6 ---- Soit le configurer en ligne de commande, soit pass par les consoles d'un autre Server 2008

via le computer management.

Quelques produits complmentaires payants

SCOM (System Center Operations Manager)

Permet de faire une surveillance des serveurs. Il peut surveiller les services d'un serveur commel'Exchange, le SQL ou d'autres produits tiers mais c'est gnralement payant. Il peut surveiller l'ActiveDirectory, le matriel dans certain cas. Il est capable d'apprendre du systme et de travailler sur desstatistiques gnres par le rseau. Lors de la dtection d'un problme, il peut bien entendu prvenirl'quipe admins par mail, par du messenger "interne", par SMS. Il peut excuter des scripts et fairede la dlgation d'action un utilisateur. Il peut galement faire des reportings et de l'audit desdiffrents serveurs.

SCCM (System Center Configuration Manager 2007)

Permet de grer le parc clients via une gestion dinventaire sur les machines hardware et software. Ilfonctionne galement trs bien pour le dploiement de soft ou de patch.

SCE (System Center Essentials)

Identique que SCOM mais pour un maximum de 50 serveurs et un SCCM pour un maximum de 250

clients. Nanmoins, celui-ci est limit dans ses options.


76/79


Astuces

1. Pour accder directement au panneau de configuration des cartes rseaux. Il suffit de lancerla commande ncpa.cpl

2. sssservermanagercmdervermanagercmdervermanagercmdervermanagercmd qqqq donne lensemble des composants install sur la machine 2008.3. La ligne de commande netdom joinnetdom joinnetdom joinnetdom join permet de joindre un client a un domaine en

spcifiant des paramtres de base comme lOU de destination. Cette commande fonctionne

de base sous Vista, Seven et Server 2008. Pour XP, il faut installer la ressource Kit.

4. Les permissions NTFS ne sont gardes que via un move sur la mme partition. Pour palier ce problme, vous plusieurs solutions :

1. Utilisez la restauration via votre programme de backup.

2. Utilisez la commande XCOPY XCOPY XCOPY XCOPY SourceSourceSourceSource destinationdestinationdestinationdestination /S /H /O /E /S /H /O /E /S /H /O /E /S /H /O /E

3. Utilisez un programme tiers comme Secure Copy.

5. Offline file : Par dfaut, le systme accepte les synchronisations des rpertoires partags cequi nest pas toujours idal. On peut imaginer quon ne dsire pas donner la possibilit unutilisateur de synchroniser un rpertoire service (exemple : rpertoire compta) sans pour

autant lempcher de synchroniser ses documents. Pour ce faire, il faut aller dans le

ComputerComputerComputerComputer ManagementManagementManagementManagement , clic droit sur le sharing, proprit, offlines settings et refuser la


77/79


synchronisation de ce dossier.

6. Home Folder dans longlet profile permet de crer un mapping pour lutilisateur.\\server\HomeFolder\%username%


78/79


7. Installer le Remote Server Administration Tools sur votre workstation ou portable en vista ouSeven. Il vous facilitera la vie lors de vos maintenances.

Lexique

DC : Domain ControllerGPO : Groupe PolicyIIS : Internet Information ServicesWSUS : Microsoft Windows Server Update ServicesSCOM : System Center Operations Manager 2007SCCM : System Center Configuration Manager 2007SCE : System Center EssentialsIIS : Internet Information ServiceRSAT : Remote Server Administration Tools

Source

Lien GPO

http://technet.microsoft.com/fr-fr/library/cc754461(WS.10).aspxhttp://www.microsoft.com/france/technet/prodtechnol/exchange/2003/insider/admodifynet.mspx.http://blogs.dirteam.com/blogs/jorge/archive/2008/02/10/showing-last-logon-info-at-logon-in-windows-server-2008.aspx

Lien Migration

http://support.microsoft.com/kb/255504/frhttp://www.system-it.net/articles.php?lng=fr&pg=343

Lien Backup

http://www.microsoft.com/downloads/details.aspx?FamilyID=C7D4BC6D-15F3-4284-9123-679830D629F2&displaylang=enhttp://josvanrijn.spaces.live.com/Blog/cns!50BFE3679B82A2FA!128.entry

Lien Gnral

http://technet.microsoft.com/fr-fr/library/default.aspx

http://technet.microsoft.com/fr-fr/library/dd349801(WS.10).aspx

SCCM : http://www.microsoft.com/france/systemcenter/sccm/default.mspx

SharePoint : http://office.microsoft.com/fr-fr/training/CR102146081036.aspxSharePoint : http://msdn.microsoft.com/fr-fr/office/msdn.coach.sharepoint.aspx


79/79

MSDN Office : http://msdn.microsoft.com/fr-fr/office/default.aspx

MSDN Library :http://msdn.microsoft.com/en-us/library/cc203350.aspx

Lien Utile

http://www.petri.co.il/add_unlock_user_option_to_dsa.htmhttp://www.system-it.net/articles.php?lng=fr&pg=343http://blogs.dirteam.com

Commandes pour Server Core

Voir le fichier Server Core Installation Option of Windows Server 2008 Step ou directement sur latechnet http://technet.microsoft.com/en-us/library/cc753802.aspx

Presentation Windows Server 2008

Documents