WINDOWS SERVER 2003I - INTRODUCTIONSystme d'exploitation
vocation professionnelle issu de Windows 2000 (et antrieurement de
Windows NT 4.0, 3.51, 3.5 et 3.1). Dvelopp par Microsoft
Corporation depuis le dbut des annes 90 initialement par une
ancienne quipe de Digital Equipment Corporation (DEC).
Commercialisation de Windows 2003 en 2003! Noyau diffrent de ceux
de Windows 95, Windows 98 et NT 4.0, driv de celui de Windows 2000.
Solution prsente des attentes telles que:
robustesse, scurisation, fonctionnalits serveur, gestion du
poste client, administration distante, technologies
d'infrastructure rseau,
Windows NT : Une rponse la volont de Microsoft Corporation de
prendre pied dans les environnements systmes professionnels. A sa
sortie, attaque directe contre Novell IntranetWare et les grands
systmes propritaires. Depuis, attaqu directement par les Unix
ouverts de type Linux ou FreeBSD. Existence de versions ddies
"poste clients" destines tre utilises en association aux systmes
"serveur". Systme serveur Systme poste client Windows NT 4.0
Serveur Windows NT 3.51 ou 4.0 Workstation Windows 2000 ou 2003
Serveur Windows 2000 ou XP Professionnel Caractristiques
principales Prsent comme trs largement compatible avec les
dveloppements antcdents raliss pour Windows. -> Prservation des
investissements en logiciel et en formation (y compris pour les
formations d'administrateurs). -> Prservation des
investissements matriel car Windows 2003 n'est pas plus exigant que
Windows 2000 en ressources matrielles (voire mme moins pour
certains services). -> Drivers logiciels et matriels identiques
ceux de Windows 2000.
1
Windows Server 2003 Practice
Systme d'exploitation rseau. -> Intgration pousse des
fonctionnalits rseau au sein du noyau. Gestion de la scurit deux
titres :
sret de fonctionnement (robustesse), scurit vis vis du contrle
de l'utilisation de la machine (actions, intrusions, ...).
Systme d'exploitation d'entreprise (infrastructure informatique
globale) et non plus seulement systme d'exploitation dpartemental
(gestion de groupes de travail) ou poste de travail. Fonctionnalits
amliorant le rendement de l'administrateur, de l'utilisateur et du
matriel. Exemples:
administration centralise, vrai multitche, partage de
ressources,
Quelques caractristiques de Windows 2003 Serveur Qualits
Administrabilit Scurit vis vis des intrusions Robustesse
Maintenance de la part de Microsoft Systme en version 32 bits et 64
bits Systme multi-tche et multi-thread Support des ordinateurs
multiprocesseurs Support des standards du march Systme d'entreprise
Dfauts
Ncessit d'un administrateur dsign Incompatibilit de certains
logiciels (DOS, Win95, Win98) Systme non multi-session Reboots
Systme entirement proprit de Microsoft Corporation
Implantation constate Windows 2003 est entr principalement en
concurrence avec Windows 2000 Serveur (son prdcesseur immdiat),
Linux et Novell IntranetWare. C'est un produit qui a reu bon
accueil:
Large implantation sur les petits serveurs de groupes de travail
(en concurrence avec Linux). Peu implant sur les moyens et gros
systmes (en concurrence avec Linux, Unix et les systmes
propritaires).
Plusieurs versions de Windows 2003 Serveur:
2
Windows Server 2003 Practice
En version 32 bits:
Windows 2003 Server Web Edition
Pas de gestion d'un parc de machines (Domaine). Serveur Internet
De 1 2 processeurs, jusqu' 2 Go de mmoire. N'existe pas en version
x64. N'existe pas en version Itanium.
Windows 2003 Server Standard
Gestion d'un parc de machines (Domaine). Priorit aux activits
lies au rseau par rapport aux activits purement locales. Serveurs
de fichiers et d'imprimantes Serveur Internet De 1 4 processeurs,
jusqu' 4 Go de mmoire. Jusqu' 32 Go de mmoire en version x64.
N'existe pas en version Itanium.
Windows 2003 Enterprise
dition modifie pour une meilleure extensibilit (quilibrage de
charge) et sret de fonctionnement (clustering). Serveurs Internet
et d'applications De 1 16 processeurs, jusqu' 64 Go de mmoire.
Jusqu' 1 To de mmoire en version x64 et Itanium.
Windows 2003 Datacenter
Fonctionnalits de l'Advanced Server. Serveurs Internet et
d'applications 16 ou 32 processeurs, 64 128 Go de mmoire. En
version R2 (voir plus loin), jusqu' 64 processeurs. Jusqu' 1 To de
mmoire en version x64 et Itanium. Version "poste client": Windows
XP Professionnel En 2002, Microsoft a dit le successeur de Windows
2000 Professionnel : Windows XP Professionnel. Il en reprend le
noyau et est plus une volution qu'une rvolution. Microsoft a aussi
commercialis une version "personnelle" de Windows XP : Windows XP
Home Edition. Celle-ci est principalement allge des possibilits
d'administration centralise et de scurisation. Nouvelle release de
Windows 2003 en 2006: Windows 2003 R2
Mise jour logicielle Ajout de fonctionnalits
Prochaine version serveur: Windows ? en ? Microsoft annonce un
nouveau systme professionnel pour 2007: "Vista".
3
Windows Server 2003 Practice
II - ELMENTS D'ARCHITECTURE, RSEAU INTERNETInternet : Rseau
mondial d'inter-connexion de rseaux. Toute machine connecte au
rseau Internet peut thoriquement communiquer avec tout autre
machine elle-mme connecte. Dans la pratique, c'est loin d'tre
systmatiquement le cas. Pour ce faire, un message d'une machine une
autre machine est segment en paquets. Chacun des ces paquets est
marqu par la machine source avec son nom et le nom de la machine
cible et est mis sur le rseau destination de cette machine. Rien
n'interdit qu'un paquet se perde en cours de route. Suivant la
technique de gestion de la communication, ces pertes peuvent tre
tolres ou interdites. Dans le second cas, la perte est dtecte et le
paquet est envoy de nouveau. Le transfert de ces paquets require la
prsence d'une infrastructure matrielle gre par une infrastructure
logicielle. Infrastructure matrielle Sous-rseau Un sous-rseau est
un rseau dont chaque machine peut communiquer directement avec
toute autre machine. Dans le cas des rseaux ethernet sur double
paires torsades (technologie la plus courante actuellement), les
machines sont interconnectes via des concentrateurs (hubs) ou des
commutateurs (switchs). Un concentrateur relie les machines en
toile. Il duplique et transmet tout paquet toutes les machines qui
lui sont directement connectes. Une machine cible conservera et
exploitera les paquets qui lui sont destins et oubliera les autres.
Du fait de la duplication des paquets, la somme des bandes
passantes instantanes sur l'ensemble des machines connecte est la
bande passante du concentrateur (gnralement 10 ou 100 Mbits/s). La
capacit de transfert est donc partage entre les machines connectes
et est limite celle du concentrateur.
Un commutateur relie les machines en toile et transmet un paquet
la seule machine laquelle il est destin. -> Une machine ne reoit
que les seuls paquets qui lui sont destins. Chaque machine possde
une bande passante potentielle vers les autres machines qui lui
4
Windows Server 2003 Practice
sont connectes gale celle de son interface rseau (10, 100 ou
1000 Mbits/s). La bande passante globale du sous-rseau est
toutefois limite par la vitesse de commutation du fond de panier du
commutateur (matrice de commutation).
Un sous-rseau peut tre constitu par une toile de commutateurs ou
concentrateurs sur lesquels viennent se connecter en toile les
machines. Inter-connexion des sous-rseaux Toujours pour les rseaux
ethernet, deux ou plusieurs sous-rseaux spars peuvent tre connects
entre eux via un routeur. Un tel matriel est capable de "router"
les paquets entre les sous-rseaux qui contiennent les machines
source et cible. Dans les cas simples, les sous-rseaux sont
directement connects sur un routeur unique qui aprs configuration
semble agir comme un commutateur.
Dans les cas plus complexes (rseaux d'entreprise, Internet), un
seul routeur ne permet pas l'inter-connexion de l'ensemble des
sous-rseaux. Plusieurs routeurs relis entre eux conscutivement sont
alors utiliss sur le chemin des paquets.
5
Windows Server 2003 Practice
Pour des raisons de prennit de fonctionnement, le rseau de
routeurs, au lieu d'tre construit en toile, pourra tre construit en
graphe. Plusieurs chemins pourront exister pour aller d'un
sous-rseau un autre sous-rseau. Pour un mme message, les paquets
pourront transiter par des chemins diffrents et mme arriver dans un
ordre diffrent de celui de dpart. Le matriel actif se contente
d'assurer le transfert de l'information. Ce seront les machines qui
reconstitueront la cohrence des messages l'arrive.
Les routeurs ont une "connaissance" (statique ou dynamique) de
la topographie globale du rseau fdrateur permettant ainsi de
rsoudre le problme du choix et de l'optimisation des liens de
transit.Windows Server 2003 Practice
6
Infrastructure logicielle L'infrastructure logicielle d'un rseau
informatique est base sur l'utilisation de un ou plusieurs
protocoles de communication (i.e. langage de communication
d'informations entre ordinateurs). Les protocoles les plus courants
sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de
l'Internet et tend se gnraliser. La diffrence essentielle entre ces
trois protocoles est que TCP/IP est assez facilement "routable"
(i.e. est gr par les routeurs) et permet donc d'interconnecter des
sousrseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement
que TCP/IP. Cette caractristique ainsi que sa relative simplicit
explique son adoption pour le rseau Internet. L'infrastructure
logicielle comprend pour chaque protocole:
Les logiciels de configuration, de gestion et d'audit du
fonctionnement des matriels du rseau (concentrateurs, commutateurs,
routeurs, ...) (non abords ici). Les logiciels de configuration, de
gestion et d'audit du fonctionnement local des machines permettant
en particulier de donner un nom chaque machine pour autoriser les
communications machine source machine cible. Les services rseau
implants pour utiliser ou faciliter l'utilisation du protocole.
NetBEUI NetBEUI possde le gros avantage d'tre simple installer
et configurer. Cette simplicit est principalement due au fait qu'il
n'a pas t conu dans le but d'tre rout et qu'il n'intgre donc pas
les paramtres qui pourraient tre ncessaires la gestion du routage.
Les machines sont dsignes par des noms alphanumriques sur 15
caractres. Toutes les machines places sur le mme concentrateur, sur
le mme commutateur ou lies par une suite de concentrateurs
commutateur peuvent communiquer directement entre elles. Un certain
nombre de services rseau ont t dvelopps pour NetBEUI. En
particulier SMB (Server Message Block) et Lan Manager proposent les
services:
de gestion d'utilisateurs, de gestion de rpertoires partags, de
gestion d'imprimantes partages, ...
NetBEUI et les services qui lui sont associs est disponible sous
les diffrentes versions de Windows et sous Linux (Samba). Outre sa
non routabilit, NetBEUI utilis sous Windows possde l'inconvnient de
mettre en uvre un processus d'exploration du rseau la recherche des
machines qui y sont prsentes de manire en rendre accessible la
liste. Dans le cas le plus dfavorable, chaque machine met
rgulirement un "broadcast" (i.e. un message destin toutes les
machines de son sous-rseau) destin susciter une rponse contenant le
nom de la machine rpondant. Si n machines gnrent un broadcast
entranant n rponses, on
7
Windows Server 2003 Practice
obtient de l'ordre de n2 messages changs rgulirement. ->
partir d'un certain nombre de machines, une part importante du
trafic du rseau (voire prs de 100%) peut tre consacre ce processus
d'exploration. Pour viter ce problme, dans une version plus labore
(en particulier depuis Windows NT), un "matre explorateur" est lu
automatiquement sur chaque sous-rseau. Cette machine sera la seule
assurer l'exploration. Elle sera contacte par toute machine
souhaitant connatre la liste des machines du rseau. TCP/IP Plus
complexe que NetBEUI, TCP/IP intgre, outre des paramtres permettant
de nommer les machines et de les placer dans des sous-rseaux, un
ensemble de paramtres destins au routage. Paramtres gnraux:
Adresse IP : Une machine est nomme de manire unique sur son
rseau par son "adresse IP" forme de 4 nombres compris entre 0 et
255. Exemple: 172.20.128.23 Masque de sous-rseau (Subnet Mask) :
Form de 4 nombres compris entre 0 et 255, le masque de sous-rseau
permet d'indiquer une machine quelles sont les adresses IP des
machines qui font partie de son sous-rseau (i.e. les machines avec
lesquelles elle peut communiquer sans routage). Comme son nom
l'indique, le masque de sous-rseau est un masque numrique. Il est
gr en arithmtique binaire. Si les "et binaire" entre les adresses
IP de deux machines et le masque sont gaux alors les deux machines
font partie du mme sous-rseau TCP/IP. Exemple: Soient le masque M =
255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164
et I2 = 172.20.128.213. En binaire, le masque devient M =
11111111.11111111.11111111.10000000 et les adresses I1 =
10101100.00010100.10000000.10100100 et I2 =
10101100.00010100.10000000.11010101 Si (M & I1) = (M & I2)
alors les machines font partie du mme sous rseau. Le signe &
dsigne le "et binaire". M & I1 =
10101100.00010100.10000000.10000000 M & I2 =
10101100.00010100.10000000.10000000 (M & I1) est gal (M &
I2) -> Ces deux machines sont sur le mme sous-rseau. Elles
pourront communiquer directement si elles sont interconnectes par
un concentrateur ou un commutateur. Les masques de sous-rseau ne
peuvent pas tre considrs arbitrairement. Ils sont construits de
gauche droite au moyen d'une suite de bits 1 suivie d'une suite de
bits 0. Les masques de sous-rseau classiques sont : 255.255.255.0
-> 256 adresses dans le mme sous-rseau (si les trois premiers
nombres de deux adresses IP sont les mmes, les deux adresses sont
dans le mme sous-rseau) (ce masque correspond ce que l'on appelle
usuellement une classe C), 255.255.255.128 -> 128 adresses (2
sous-rseaux sur une classe C : de 0 127 et de 128 255),
255.255.255.192 -> 64 adresses (4 sous-rseaux sur une classe C :
de 0 63, de 64 127, de 128 191 et de 192 255), 255.255.255.224
-> 32 adresses (8 sous-rseaux sur une classe C), 255.255.255.240
-> 16 adresses (16 sous-rseaux sur une classe C),Windows Server
2003 Practice
8
255.255.255.248 -> 8 adresses (32 sous-rseaux sur une classe
C), 255.255.255.252 -> 4 adresses (64 sous-rseaux sur une classe
C). Dfinition des diffrentes classes IP
Passerelle par dfaut (Gateway) : Il s'agit de l'adresse IP vers
laquelle seront envoys tous les paquets non destins une machine du
mme sous-rseau que la machine source. Un routeur ou un ordinateur
assurant le routage sera install cette adresse pour les rceptionner
et les transmettre.
Paramtres de configuration DNS La technique de dnomination par
adresse IP est pratique pour les ordinateurs car facilement
manipule par eux. En revanche, la mmorisation est difficile pour
les individus. Convention de dnomination supplmentaire: Dsignation
de chaque machine par un ou plusieurs noms IP alphanumriques. Une
machine porte un nom et appartient un domaine TCP/IP qui peut
lui-mme tre le sous-domaine d'un autre domaine TCP/IP,... Un
domaine peut ainsi possder plusieurs sous-domaines, qui eux-mmes
peuvent possder des sous-domaines,... crant ainsi une organisation
arborescente. Les parties du nom IP sont dlimites par des points
avec, de gauche droite, le nom de la machine, puis les diffrentes
parties du nom de domaine du plus particulier au plus gnral.
Exemple: 172.20.128.99 bunny.edu-info.univ-fcomte.fr (machine bunny
du sousdomaine edu-info.univ-fcomte.fr du sous-domaine
univ-fcomte.fr du domaine fr). Les listes de couples (adresse
TCP/IP, nom TCP/IP) peuvent tre gres de deux manires:
localement sur chaque machine au moyen de "fichiers hosts",
Globalement sur un ensemble de machines relies en rseau au moyen
d'un serveur DNS (Domain Name Server) qui gre la liste associe un
domaine et peut tre interrog via une connexion rseau normalise. La
configuration TCP/IP de la machine cliente inclut alors une rfrence
ce serveur.
Les serveurs DNS sont gnralement organiss sous une forme
arborescente calque sur l'arborescence des domaines TCP/IP qu'ils
reprsentent. Chaque serveur grera tout ou partie des noms de
machine associs au nom de domaine dont il est le nud. Il peut y
avoir plusieurs serveurs DNS pour un mme nom de domaine soit pour
distribuer les machines entre eux, soit au contraire pour rpliquer
les bases de donnes de machines et avoir une redondance permettant
une meilleure prennit ou encore un quilibrage de charge pour les
domaine trs consults. Un serveur DNS aura les tches suivantes:
Grer sa base de donnes de noms Rsoudre un nom pour les machines
qui le lui demandent quand il connat le nom (il appartient au
domaine qu'il gre). Rpondre que le nom n'existe pas, s'il est
certain qu'il n'existe pas (il n'est pas dfini dans le domaine
qu'il gre). Propager la demande de rsolution vers le ou les
serveurs DNS du sous-domaine concern s'il s'agit d'un nom associ
l'un de ses sous-domaines.Windows Server 2003 Practice
9
Propager la demande de rsolution vers le serveur ou les serveurs
DNS de son domaine matre si le nom n'appartient pas un de ses
sous-domaines.
Nom d'hte : Nom donn la machine. Gnralement identique au nom qui
lui est donn sur le DNS dont elle dpend. Suffixes DNS : Nom du ou
des domaines auxquels appartient la machine. Lorsque cette machine
spcifie des noms IP sans indiquer explicitement de nom de domaine,
les suffixes sont tests les uns aprs les autres comme domaines
implicites. DNS : Un ou plusieurs serveurs DNS peuvent tre dsigns
pour tre joints lorsqu'une rsolution de nom DNS doit tre ralise
pour obtenir l'adresse IP correspondant au nom IP ou rciproque.
Paramtres de configuration WINS Un problme spcifique aux
machines Windows est qu'elles peuvent devoir rpondre la convention
de nommage NetBEUI. Or, la non routabilit de ce protocole fait
qu'il est impossible de l'utiliser pour des rseaux comportant un
nombre important de machines. Via une "Interface NetBIOS", il est
possible de faire transiter des informations au moyen du protocole
TCP/IP en utilisant les conventions de nom NetBEUI et donc
d'autoriser le routage. Le problme est d'arriver rendre compatibles
les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service
(WINS) est l'une des solutions possibles. WINS est un service rseau
pouvant tre implant sur un serveur permettant celui-ci de grer une
base de donnes d'associations nom TCP/IP nom NetBEUI, et d'tre mme
d'effectuer des rsolutions de nom via requtes rseau normalises. Il
s'agit de l'quivalent rsolution nom TCP/IP nom NetBEUI de ce qu'est
DNS pour les rsolutions nom TCP/IP adresse IP. Par rapport DNS,
WINS apporte quelques possibilits supplmentaires:
L'apprentissage est dynamique (i.e. tous les clients d'un
serveur WINS s'enregistrent automatiquement sur ce serveur). Les
serveurs WINS peuvent enregistrer d'autres informations telles que
des noms d'utilisateurs, des noms de machines, ... Des serveurs
WINS peuvent tre configurs pour changer entre eux leurs bases de
donnes et offrir ainsi des redondances et des possibilits
d'administration plus labores. ... WINS primaire : Adresse IP du
serveur WINS qui doit tre joint lorsqu'une rsolution WINS doit tre
ralise. Le client WINS s'enregistre par la mme occasion. WINS
secondaire : Adresse IP du serveur WINS qui doit tre joint
lorsqu'une rsolution WINS doit tre ralise et que le serveur
primaire ne donne pas de rponse soit car il ne fonctionne pas, soit
car il ne connat pas l'association souhaite.
Filtrage IP Le protocole TCP/IP permet gnralement l'implantation
de fonctions de filtrage tant du point de vue des paquets sortants
que du point de vue des paquets entrants. Ces fonctions de filtrage
pourront gnralement tre configures soit en fonction de l'adresse IP
du client, soit en fonction du port TCP/IP utilis par l'ordinateur
client. DHCP
10
Windows Server 2003 Practice
Tous ces paramtres ncessaires l'infrastructure TCP/IP pourront
tre renseigns soit directement sur l'ordinateur hte, soit sur un
serveur DHCP (Dynamic Host Configuration Protocol) qui sera contact
par l'intermdiaire du rseau par l'hte au moment de son dmarrage.
L'intrt de l'utilisation de DHCP rside dans les points
suivants:
La configuration des postes clients est centralise.
L'affectation des paramtres pourra tre ralise dynamiquement ou
statiquement. Dans le cas de l'affectation dynamique, on pourra par
exemple ne disposer que d'un pool restreint d'adresses IP
permettant d'accder Internet et affecter ces adresses aux seules
machines en fonctionnement. ...
De plus en plus, on constate une convergence entre DNS, DHCP et
WINS permettant, via une base de donnes unique, d'assurer la
cohrence des informations transmises. C'est le cas sous Windows
2000. Commandes TCP/IP texte ipconfig La commande ipconfig permet
de visualiser la configuration TCP/IP des diffrentes cartes rseau
prsentes dans la machine. la syntaxe est ipconfig pour obtenir un
rsum et ipconfig -all pour obtenir une description complte.
ipconfig
11
Windows Server 2003 Practice
ipconfig -all
ping La commande ping permet de tester la prsence d'une machine
sur le rseau. la syntaxe est ping nom_IP ou ping adresse_IP
ping nslookup La commande nslookup permet d'interroger sont
serveur DNS pour obtenir les adresses IP correspondant un nom IP,
ou les noms IP correspondant une adresse IP. La syntaxe est
nslookup nom_IP ou nslookup adresse_IP
12
Windows Server 2003 Practice
nslookup Tracert La commande tracert permet d'obtenir la liste
des matriels rseau (routeurs) traverss pour joindre une autre
machine. La syntaxe est tracert nom_IP ou tracert adresse_IP
Tracert
III - CONCEPTS ET PLANIFICATIONLa gestion de la scurit Windows
2003: Systme d'exploitation scuris. Fonction de base du systme
d'exploitation: Contrle discrtionnaire des activits des
utilisateurs.
13
Windows Server 2003 Practice
Action ou ressource refuse ou accorde en fonction de
l'utilisateur. Possibilits multiples de scurisation:
autorisation d'utilisation d'une machine (obtention obligatoire
d'un compte d'utilisateur de la part d'un utilisateur ayant le
droit d'en fournir), interdiction d'utiliser d'autres applications
que celles dment autorises, interdiction d'installer des
applications, interdiction de modifier l'environnement de travail,
restrictions d'accs aux ressources (fichiers, imprimantes, ), audit
des actions ralises par les utilisateurs (ouvertures de sessions
d'utilisateur, accs des ressources,...),
Droit ou privilge: Autorisation d'excuter une action systme.
Exemples: Crer des comptes, installer un pilote d'imprimante,
partager un rpertoire, arrter le systme, ... Autorisation:
Autorisation d'accs une ressource. Exemples: Imprimer sur une
imprimante partage, lire un fichier, excuter une application, ...
Tous les objets du systme sont soumis autorisations via des ACLs.
Exemples: Les fichiers, les rpertoires, les imprimantes, les clefs
du registre,... Un utilisateur possde tous les droits :
l'"Administrateur". Il est nomm "root" sous UNIX. La gestion du
rseau NOS (Network Operating System): Systme d'exploitation
utilisable pour la connexion d'ordinateurs en rseau. ->
connexion et communication facile entre ces machines. Nombre
important de normes de cblage connectes aux machines via des cartes
d'interface rseau (NIC, Network Interface Card):
Ethernet pais, fin et double paires torsades, Phonenet, Fibre
optique, Infrarouge, Bluetooth, Wifi, Modem, ...
Nombre important de protocoles rseau reconnus (Pilotes conus par
Microsoft ou par des diteurs tiers):
NetBEUI, TCP/IP,Windows Server 2003 Practice
14
IPX/SPX, DLC, Appletalk, ATM, TokenRing, FDDI,
Nombre important de services rseau tant du point de vue serveur
que du point de vue client:
SMB, Lan Manager, DNS, WWW, FTP, Telnet, SMTP, NNTP, NTP, Proxy,
DHCP, WINS, ADS, ...
-> grande interoprabilit dans le cadre de rseaux htrognes
tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole
natif de Windows 2003: TCP/IP. NetBEUI Avantages Inconvnients
Rapide Peu gourmand en ressource systme Pas de routage Pas
compatible avec Internet Protocole assez bavard sur le rseau
TCP/IP Avantages Inconvnients
Rapide Peu gourmand en ressource systme Routage Compatible avec
InternetWindows Server 2003 Practice
15
Possiblement complexe paramtrer Protocole des "pirates"
Windows 2003 inclut une interface NetBios qui permet d'utiliser
TCP/IP avec les conventions de nom de NetBEUI sans mme que NetBEUI
soit install. Cette interface existe car Windows tant
historiquement associ NetBEUI, il en intgre encore un nombre
important de caractristiques:
dnomination des machines, explorateur rseau, ...
Elle permet de plus de rester compatible avec des machines qui
n'utiliseraient que ces conventions de nom. Depuis Windows 2000
Microsoft encourage l'utilisation de TCP/IP mme si la base de
Windows NT et 9x reste NetBEUI. Scurit gre au niveau du rseau. Le
partage de ressources Utilisation d'une ressource partage:
Utilisation d'objets offerts par une machine distante. Ressources
partageables:
les rpertoires et les fichiers qu'ils contiennent, les
imprimantes, dans une certaine mesure, les applications (Excution
d'une application sur une machine distante avec transmission du
rsultat d'excution sur la machine locale) (possibilit d'utiliser le
service Terminal Server pour configurer un serveur de terminaux
Windows, quivalent fonctionnel un serveur X).
Scurit au niveau des ressources partages. Active Directory
Active Directory (AD) est un service d'annuaire destin contenir des
"objets": utilisateurs, ordinateurs, applications, donnes partages,
... et tre interrog par d'autres machines. AD est bas sur un systme
de gestion de base de donnes hirarchique driv d'ACCESS. Dans le
cadre d'une utilisation "systme", AD possde l'avantage d'intgrer
nativement des fonctionnalits de distribution et de rplication de
ses informations sur plusieurs serveurs Active Directory. Ainsi, il
exonre le systme d'intgrer ces caractristiques essentielles un
fonctionnement prenne. Intrt d'AD:
Windows 2003 avec AD supporte des domaines de d'utilisateurs
alors que, dans la pratique, Windows dizaines de milliers. Windows
2003 avec AD supporte des domaines de machines alors que, dans la
pratique, Windows NTWindows Server 2003 Practice
plusieurs millions de comptes NT 4.0 tait limit quelques
plusieurs dizaines de milliers de tait limit quelques
centaines.
16
Unit Organisationnelle La caractristique la plus fondamentale
d'Active Directory (hrite de l'annuaire X.500) est l'Unit
Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire
mme de contenir des feuilles ou d'autres objets conteneurs, crant
ainsi une organisation arborescente. L'extensibilit d'Active
Directory Un autre aspect d'AD est son extensibilit par la
possibilit offerte de dfinir de nouveaux objets partir d'un
paradigme hirarchique orient objet qui permet la cration de
nouvelles classes d'objets par ajout d'attributs et hritage
d'anciennes classes. Kerberos Kerberos V5.0 est le protocole
d'authentification rseau de Windows 2003 pour les communications
avec d'autres machines 2003, 2000 ou XP. Associ Active Directory,
il rend Windows 2003 trs diffrent de Windows NT 4.0 du point de vue
de la gestion de la scurit. Deux points importants sont
signaler:
L'authentification mutuelle: Cette fonctionnalit permet aux
clients et serveurs, lors d'une communication d'informations, de
vrifier l'authenticit de leurs identits respectives pour viter les
usurpations d'identit. L'approbation transitive: Si A fait
confiance B, et B fait confiance C, alors A fait confiance C. ->
En particulier, cette loi est vrifie pour les approbations entre
"Domaines Windows 2003".
Kerberos succde NTLM. Windows 2003 devra utiliser NTLM (dont il
est pourvu) pour l'authentification avec des machine sous systme
d'exploitation de version antrieure ou des machines indpendantes
(hors domaine, voir plus loin). La notion de domaine Windows 2003
Domaine: Unit d'administration sous Windows 2003. Domaine: Groupe
de machines relies en rseau et pouvant tre administres comme une
machine unique du point de vue des comptes d'utilisateurs et de la
politique de scurit associe. Active Directory permet une
organisation diffrente de la classique et trs rigide organisation
base de domaines et d'approbation entre domaines de Windows NT 4.0.
Ce sont la souplesse de la gestion par base de donnes et les
possibilits d'extension hrite de l'annuaire X.500 ( l'origine
d'Active Directory) qui permettent ces nouvelles possibilits. Les
UO dfinies au sein des domaines permettent le contrle de dlgation
sous Windows 2003 alors que sous NT, ce sont les domaines. La
notion de domaine au sens Windows NT 4.0 disparat donc avec Windows
2003 avec un emploi beaucoup plus souple.
17
Windows Server 2003 Practice
Contrleur de domaine (DC, Domain Controller): Machine charge de
l'administration du domaine (obligatoirement une machine sous
Windows 2003 Server ou 2000 Server). La base de donnes des
utilisateurs et des groupes d'utilisateurs (SAM, Security Account
Manager, dans la terminologie NT 4.0) est stocke sur les DCs du
domaine au sein d'Active Directory et est rplique automatiquement
entre eux. Autre dfinition d'un domaine: Ensemble d'ordinateurs
partageant la mme base d'utilisateurs et de groupes d'utilisateurs.
Contrairement au modle NT 4.0 o existe un et un seul contrleur de
domaine "principal" auquel il peut tre adjoint 0, 1 ou plusieurs
contrleurs de domaine "secondaires", un domaine Windows 2003
contient 1 ou plusieurs contrleurs de domaine placs au mme niveau
hirarchique. Le problme de la "solution" NT 4.0 est que
l'indisponibilit du contrleur primaire entrane l'arrt de toute
possibilit d'administration du domaine: comptes d'utilisateur et
machines. Dans le modle Windows 2003, ce n'est plus le cas car les
tches d'administration peuvent tre continues. Dfinition possible de
plusieurs domaines sur le mme rseau. ATTENTION: Ne pas confondre
les notions de domaine Windows 2003 et domaine TCP/IP. Les domaines
2003 portent frquemment des noms mapps sur leurs quivalents TCP/IP
et permettent l'administration centralise de leurs machines. En
revanche, les domaines TCP/IP n'incluent pas cette notion
d'administration systme centralise. Les tendues NIS ou NYS sont ce
qui ressemble le plus dans le monde UNIX aux domaines Windows 2003
pour l'administration des comptes d'utilisateurs et des groupes
d'utilisateurs. Approbation Il est possible d'tablir des relations
d'approbation entre domaines permettant aux utilisateurs d'un
domaine d'utiliser les ressources disponibles au sein d'un autre
domaine. Elles pourront tre cres:
implicitement (voir plus loin) auquel cas elles sont
bidirectionnelles et cres automatiquement, explicitement auquel cas
elles sont unidirectionnelles et cres explicitement par
l'administrateur.
Arborescence de domaines: Structure de domaines hirarchise sur
le mode arborescent par des relations d'approbation implicites. La
base est constitue du domaine racine, qui possde un ou plusieurs
domaines enfants, qui peuvent eux-mmes possder des domaines
enfants. Les noms de ces domaines respectent les mmes conventions
que les noms TCP/IP -> espace de noms contigu pour tous les
domaines fils d'un domaine racine.
18
Windows Server 2003 Practice
Fort: Ensemble d'arborescences de domaines sans racine commune.
La racine de la fort est la premire arborescence avoir joint la
fort. Tous les domaines racines des arborescences de la fort
possdent implicitement une relation d'approbation bidirectionnelle
avec la racine de la fort.
Elments interconnectables au sein un domaine (1) Avec ouverture
de session de travail
Un ou plusieurs contrleurs de domaine (sous Windows 2003 ou 2000
Server et Active Directory) sans hirarchie particulire. Des
machines clientes simples sous Windows 2003 ou 2000 Server (mais
sans Active Directory), XP ou 2000 Professionnel. Pour un poste
Windows 2003 ou 2000 Server, on parle alors de "Serveur membre".
Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server
ou Workstation.
Toutes ces machines rfrent la mme base de donnes des
utilisateurs duplique au sein d'AD sur chacun des DC. Les
ouvertures de session sont authentifies par le premier contrleur
disponible trouv sur le rseau. (2) Sans ouverture de session sur
l'un des DCs Etablissement possible de connexions simples avec
d'autres machines sous Windows 2003, 2000, NT 4.0 ou 3.51, Windows
3.11, 95 et 98 ou tout autre systme d'exploitation reconnaissant
les protocoles installs sur la machine serveur et assurant les
services de connexion des serveurs du domaine. Fourniture d'un
login et d'un mot de passe. Accs limit aux ressources partages
accessibles l'utilisateur authentifi.
19
Windows Server 2003 Practice
Conventions UNC (Uniform Naming Convention) pour la dsignation
des utilisateurs et des ressources:
domaine\utilisateur pour un nom d'utilisateur,
\\serveur\ressource pour l'accs une ressource partage.
(3) Autres possibilits Toute machine en accs via un service sans
authentification explicite (WWW, FTP anonymous, ...) ou grant son
propre systme d'authentification (SQL Server, Oracle, ...). Les
contrleurs de domaine Gestion centralise de la base de donnes des
utilisateurs et des groupes d'utilisateurs ainsi que de la
politique de scurit associe. Authentification des ouvertures de
session et des accs aux ressources partages qu'ils proposent.
Administration des utilisateurs. Redondance des bases de donnes
d'utilisateurs et de groupes d'utilisateurs. Les machines Windows
XP ou 2000 Professionnel Machines clientes simple du domaine. Pas
de stockage d'une copie de la base de donnes des utilisateurs.
Soumission des ouvertures de session un DC. Pas de rle
d'administration. Les machines Windows 2003 ou 2000 Server en
serveurs simples Machines gres comme des machines Windows XP ou
2000 Professionnel du point de vue de la base de donnes des
utilisateurs mais possdant les capacits de Windows Server du point
de vue des services rseau autres que ceux de gestion des domaines.
Exemples:
Partage de ressources sur une machine qu'on ne souhaite pas tre
contrleur de domaine. Fonctionnement d'un logiciel qui ncessite
Windows Server sur une machine qu'on ne souhaite pas tre contrleur
de domaine.
Les autres systmes Toute machine quel que soit son systme
d'exploitation. Condition ncessaire pour l'tablissement d'une
connexion:
Reconnatre d'un des protocoles du serveur de domaine. tre
capable d'mettre un nom de login ainsi que le mot de passe associ
(Protocole d'authentification reconnu par les contrleurs du
domaine).Windows Server 2003 Practice
20
tre capable de grer la partie cliente du service auquel l'accs
est ralis.
-> Privilges pour l'accs aux ressources partages accdes
accords au compte de connexion sans avoir pour autant ouvert de
session. DDNS, WINS et DHCP Une implantation Windows 2003
ncessitera frquemment le dploiement des services DDNS (Dynamic
Domain Name Service), WINS (Windows Internet Name Service) et DHCP
(Dynamic Host Configuration Protocol). Actuellement seul DDNS est
rellement ncessaire car les domaines Windows 2003 l'utilisent
obligatoirement. L'implantation de DDNS permet la constitution du
serveur de nom du domaine Windows 2003 construit (gnralement
quivalent un domaine TCP/IP). Par rapport un serveur DNS classique,
DDNS autorise l'enregistrement automatique et dynamique des
clients. S'il est install sur une machine contrleur de domaine, cet
enregistrement peut tre ralis au sein d'Active Directory. La
distribution automatique de cette base vers tous les contrleurs
eux-mmes munis de DDNS permet de crer des serveur DNS synchroniss
et donc de prniser le fonctionnement du systme de rsolution de
noms.. L'utilisation de WINS n'est rellement intressante que
lorsque plusieurs sous-rseaux TCP/IP diffrents doivent communiquer
entre eux via routage et donc constituer un seul et mme domaine de
nom et que, de plus, la convention de nom simplifie de NetBEUI doit
pouvoir tre utilise (volont de simplification pour les
utilisateurs, prsence de machines anciennes, utilisation souhaite
du voisinage rseau, ...) qui n'autorise pas le routage. La
connexion entre ces sous-rseaux est tablie physiquement et
logiquement au moyen de routeurs ddis au protocole TCP/IP. Le
problme se pose alors de faire "se trouver" respectivement les
machines lorsque qu'un ordinateur situ sur un sous-rseau doit
"parler" avec une machine d'un autre sous-rseau. Au sein et sans
sortir des diffrents sous-rseaux, le problme ne se pose pas car il
est gr nativement par l'interface NetBEUI. Pour les communications
entre sous-rseaux, l'information transitera et sera route au sein
de "paquets" TCP/IP. WINS apporte un service de nom permettant
d'associer automatiquement bijectivement les noms TCP/IP et les nom
NetBIEU. Les machines seront configures pour interroger un serveur
WINS si elles ont besoin d'une rsolution de nom. Au dmarrage, toute
machine configure pour utiliser ventuellement un serveur WINS
s'enregistre dans sa base de manire la renseigner. Sous Windows
2003, tout comme avec DDNS, une base de donnes WINS est stocke au
sein d'Active Directory si le serveur WINS est contrleur de domaine
et est donc distribue sur les contrleurs. Il est possible de
configurer un ensemble de serveurs WINS indpendants pour qu'ils
changent leurs bases de donnes. L'utilisation de DHCP, mme si elle
n'est pas obligatoire, permet de centraliser la gestion des
paramtres TCP/IP des machines d'un domaine. Les utilisateurs et les
groupes d'utilisateurs Les utilisateurs Obligation d'tre rfrenc en
tant quutilisateur autoris pour pouvoir utiliser une machine
Windows 2003 ou accder une ressource partage par une machine
Windows 2003.
21
Windows Server 2003 Practice
Stockage dans la base de donne des utilisateurs et des groupes
d'utilisateurs au sein d'Active Directory d'un certain nombre
dinformations concernant chaque utilisateur:
nom d'utilisateur complet nom d'utilisateur principal (UPN, User
Principal Name) nom d'utilisateur raccourci (quivalent NT 4.0,
convention UNC) mot de passe les restrictions apportes aux actions
qui lui sont autorises
Exemple de nom: John Smith comme nom complet,
[email protected] comme nom principal (ATTENTION, le
nom principal est format comme une adresse lectronique) et
w2k3\smith comme nom quivalent NT en convention UNC. Les groupes
Regroupement des utilisateurs en groupes dutilisateurs possdant un
mme jeu de privilges et de autorisations. Un utilisateur peut
appartenir plusieurs groupes. -> Possibilit de gestion
hirarchise des comptes des utilisateurs. -> Facilit de gestion.
Deux types de groupe:
Groupes de scurit: Leurs membres sont susceptibles de se voir
attribuer des autorisations ou des droits via le groupe. Ils
peuvent aussi servir de listes de distribution. Groupes de
distribution: Ils peuvent servir de listes de distribution mais pas
l'attribution d'autorisations ou de droits.
Trois tendues de groupe sur une machine Windows 2003 Server
contrleur de domaine:
Groupe tendue universelle: Ils peuvent avoir comme membres des
groupes et des comptes de n'importe quel domaine Windows 2003 dans
l'arborescence de domaine ou dans la fort et peuvent recevoir des
autorisations dans n'importe quel domaine de l'arborescence de
domaine ou de la fort. Groupe tendue globale: Ils peuvent avoir
comme membres des groupes et des comptes du domaine dans lequel le
groupe est dfini et peuvent recevoir des autorisations dans
n'importe quel domaine de la fort. Groupe tendue de domaine local:
Ils peuvent avoir comme membres des groupes et des comptes du
domaine Windows 2003 et peuvent tre utiliss pour octroyer des
autorisations l'intrieur d'un domaine uniquement et seulement vers
des machines Serveur contrleur ou membre.
Sauf cas particulier, ces groupes sont dploys et accessibles sur
toutes les machines du domaine de dfinition et des domaines
approuvant le domaine de dfinition. Un seul type de groupe peut tre
dfini sur une machine Windows XP ou 2000 Professionnal ou 2000 ou
2003 Serveur en serveur simple:
les groupes locaux.Windows Server 2003 Practice
22
Sur ces machines, quand elles appartiennent un domaine, rception
des groupes globaux et universels du domaine d'un des contrleurs de
domaine. Aprs l'installation initiale d'un Windows Deux comptes
dutilisateur locaux:
un compte "invit" (Attention!!! pas de mot de passe), actif sur
Windows 2000 ou XP Professionnal, dsactiv sous Windows 2000 ou 2003
Serveur un compte "administrateur" d'administration local
Diffrents groupes intgrs locaux:
Administrateurs Invits Utilisateurs Utilisateurs avec pouvoirs
(utilisateurs possdant certains privilges d'administration non
relatifs aux domaines) Oprateurs de sauvegarde Rplicateurs
Diffrents groupes spciaux (ne possdant pas de membre):
Crateur/propritaire (propritaires des objets) Systme (activits
lies au systme d'exploitation) Rseau (activits d'utilisateurs
provenant du rseau) Anonymous logon (utilisateur non authentifi)
Utilisateur authentifi (utilisateur authentifi) Batch (processus
batch) Dialup (utilisateur via un accs dial-up) Tout le monde (tout
utilisateur authentifi rfrant au domaine natif ou un domaine
approuv) Interactif (utilisateur qui accde une ressource en se
connectant localement l'ordinateur proposant cette ressource)
Service (un service)
Aprs l'installation de Windows 2000 ou 2003 Serveur en contrleur
de domaine Deux comptes dutilisateur:
un compte "invit" du domaine un compte "administrateur"
d'administration du domaine
Groupes intgrs crs au sein d'Active Directory:
Administrateurs (domaine local) Invits (domaine local)
Utilisateurs (domaine local) Oprateurs de compte (domaine local)
(gestion des comptes et des groupes d'utilisateurs sauf pour ceux
qui possdent des privilges d'administration) Oprateurs de serveur
(domaine local) (gestion du bon fonctionnement des serveurs du
rseau) Oprateurs dimpression (domaine local) (gestion du bon
fonctionnement des activits lies aux imprimantes) Duplicateurs
(domaine local) (gestion des activits de rplication de
rpertoires)Windows Server 2003 Practice
23
Admins du domaine (global) Invits du domaine (global) Utilisa.
du domaine (global) Ordinateurs du domaine (global) Contrleurs du
domaine (global) diteurs de certificats (global) Administrateurs de
l'entreprise (universel ou global) Administrateurs de stratgie de
groupe (universel ou global) Administrateurs du schma (universel ou
global)
Sur les Windows membres simples d'un domaine Groupes et
utilisateurs issus du domaine:
les comptes o "invit" du domaine o "administrateur"
d'administration du domaine les groupes o Admins du domaine
(global) o Invits du domaine (global) o Utilisa. du domaine
(global) o ...
Sur ces machines, existence prserve et utilisation possible des
comptes et groupes locaux. Sur les contrleurs de domaine, existence
prserve mais utilisation impossible des comptes et groupes locaux.
Cration des utilisateurs et de nouveaux groupes locaux, globaux ou
universels par ladministrateur systme ou toute personne possdant
les privilges administrateur, admins du domaine ou oprateur de
comptes. Contenu prcis dun compte dutilisateur d'un domaine
Informations pouvant tre renseignes lors de la cration ou bien tout
autre moment aprs la cration:
Nom d'utilisateur complet Nom d'utilisateur principal (UPN, User
Principal Name) Nom d'utilisateur raccourci (quivalent NT 4.0,
convention UNC) Mot de passe Adresse lectronique Numros de tlphone
Horaires daccs Stations de travail autorises pour l'accs Adresse
postale Date dexpiration (date au del de laquelle le compte est
dsactiv, les fichiers personnels ne sont pas dtruits) Rpertoire de
base (gnralement, le rpertoire personnel) (rpertoire local ou
rseau) Script douverture de session (fichier de commandes lanc
l'ouverture de session, mais pas lors du simple accs une ressource
partage) Profil (localisation des fichiers de configuration de
l'utilisateur) Place de l'utilisateur dans son organisation Groupes
auxquels appartient l'utilisateur Informations de configuration
Remote Access ServiceWindows Server 2003 Practice
24
Informations de configuration de l'utilisateur pour les services
Terminal Server
SID (Security Identifier): Identificateur unique utilis pour
dsigner un utilisateur ou un groupe d'utilisateurs au sein d'un
domaine Windows 2003. Exemple:
S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant t
utilis ne le sera jamais plus. Les stratgies de groupes Via
l'utilisation des stratgies de groupes (stratgies de scurit), il
est possible de grer de manire centralise un grand nombre de
paramtres relatifs aux utilisateurs et aux ordinateurs d'un
domaine. Les possibilits offertes par les stratgies de groupes sont
trs larges:
gestion de l'interface graphique, gestion des applications
utilisables par les utilisateurs, installation d'applications,
gestion des mises jour, droits des utilisateurs, configuration
automatique des applications, ...
Les profils Profil: Ensemble d'informations visibles ou masques
(exemple: clefs et valeurs du registre pour le paramtrage des
applications) dfinissant l'environnement de travail d'un
utilisateur. Par exemple, pour chaque utilisateur:
son son son son
menu dmarrer, bureau, dossier "Mes documents", registre (fichier
NTUser.dat): o ses connexions rseaux, ses montages d'imprimante
rseau, o ses variables d'environnement (path, set, ...), o ses
dfinitions de couleurs, de police de caractres,... o ses
paramtrages logiciels, o ...
...
Stockage des profils dans des ensembles de fichiers et de
rpertoires stocks dans le rpertoire "Documents and Settings",
gnralement dans un rpertoire portant le nom de l'utilisateur.
"Default User": Profil par dfaut gr par le systme et attribu par
copie chaque utilisateur (faute d'une configuration contraire) lors
de sa premire connexion sur une machine. Le profil par dfaut doit
tre configur sur chaque poste client. "All Users": Profil commun
tous les utilisateurs. On y trouve en particulier les entres
communes du Menu dmarrer, le bureau commun et la partie du registre
commune tous
25
Windows Server 2003 Practice
les utilisateurs de cette machine. Ce profil n'est gnralement
modifiable que par l'administrateur. Attribution possible d'un
profil personnel tout utilisateur modifiable uniquement par lui.
Dans le cadre d'un domaine, centralisation possible de la gestion
de manire que tout utilisateur retrouve son profil quel que soit
l'ordinateur sur lequel il se connecte. -> Profils sauvegards
dans un rpertoire partag d'un serveur de fichiers du domaine
(accessible toutes les machines du domaine).
Lors de la connexion, tlchargement automatique du profil sur le
poste client dans le rpertoire "Documents and settings".
Utilisation du profil (avec ou sans modification) sur le poste
client. Lors de la dconnexion, dchargement automatique du profil du
poste client vers le serveur. Conservation ventuelle du profil
local en cache sur le poste client. Sinon, effacement.
La scurit: Les privilges (droits) Privilge (droit): Autorisation
attribue aux utilisateurs et aux groupes dutilisateurs leur
permettant d'excuter une action systme. Privilge attribu un groupe
-> Automatiquement attribu lensemble de ses membres. A
l'installation du systme d'exploitation, attribution par le
programme d'installation de privilges par dfaut aux groupes
d'utilisateurs et utilisateurs intgrs. Via les stratgies de
groupes, les administrateurs pourront changer les privilges des
groupes et utilisateurs intgrs et attribuer des privilges aux
groupes qu'ils crent. Existence d'un "groupe par dfaut" dans lequel
tout utilisateur est automatiquement plac. La scurit: les
autorisations Autorisation: Autorisation d'accs une ressource
accorde par un administrateur un utilisateur ou un groupe
d'utilisateurs.
Accs scuris Accs scuris Accs scuris Accs scuris d'ACLs..
pour les fichiers et rpertoires crs dans une partition NTFS.
pour les imprimantes. aux ressources rseau (fichiers, imprimantes,
...). tous les objets du systme d'exploitation soumis
l'attribution
Propritaire: Utilisateur qui a cr ou qui s'est appropri un
fichier ou un rpertoire (il possde gnralement tous les droits sur
cet objet). Contrle d'accs organis par l'administrateur (effectu au
niveau utilisateur ou plus globalement au niveau groupe
d'utilisateurs). Autorisations pouvant tre attribues par
l'administrateur (simplifi):
26
Windows Server 2003 Practice
Pour les rpertoires (on fixe les permissions pour le rpertoire
lui-mme et pour les fichiers qu'il contient ou qu'il contiendra
lors de leur cration):
Aucun accs Lister Lire Ajouter Ajouter et lire Modifier Contrle
total Accs spcial un rpertoire Accs spcial un fichier
Pour les fichiers
Aucun accs Lire Modifier Contrle total Accs spcial
Accs spciaux:
Lire crire Excuter Effacer Changer les permissions Prendre
possession
Contrle total: toutes les permissions prcdentes sont attribues.
NTFS 5 autorise l'hritage des autorisations pour un sous-rpertoire
depuis son rpertoire parent. Il permet aussi un rpertoire de
laisser ses sous-rpertoires hriter de ses propres autorisations. A
l'installation du systme, permissions par dfaut attribues aux
fichiers et rpertoires du systme d'exploitation aux groupes et
utilisateurs intgrs -> scurit minimale. Droit de
l'administrateur: Prendre possession et changer les permissions de
l'intgralit des objets. Lors de la cration d'un fichier ou d'un
rpertoire, attribution cet objet des permissions du rpertoire dans
lequel il est plac (le crateur en est le propritaire). Lors du
dplacement d'un fichier ou d'un rpertoire, conservation des
informations de scurit. La scurit: L'audit Audit: Conservation
d'une trace des vnements dtects sur une machine. A chaque vnement,
enregistrement d'une ligne de description dans l'un des journaux
d'vnements.
27
Windows Server 2003 Practice
Evnements pouvant tre audits:
Systme (audit des activits du systme d'exploitation) Scurit
(audit de l'activit des utilisateurs et de l'utilisation des
ressources) Application (audit des applications et des services)
Active Directory (spcifique aux DC) DNS (spcifique aux serveurs
DNS) Rplication de fichiers (spcifique aux machines
rplicatrices)
-> Autant de journaux diffrents. Journaux Systme et
Application: Audit du fonctionnement de la machine pour dtecter les
dysfonctionnements ventuels soit hardware, soit software. Journal
scurit: Audit des activits des utilisateurs. vnements pouvant tre
audits dans le journal scurit:
Les ouvertures et fermeture de session Les accs aux fichiers et
objets L'utilisation de ses droits par un utilisateur La gestion
des utilisateurs et des groupes Les modifications de la stratgie de
scurit Les dmarrages et arrts du systme Le suivi de processus
Par dfaut, audit activ seulement pour les vnements lis aux
journaux Systme, Application, Active Directory, DNS et Rplication
de fichiers. La gestion des partitions et des systmes de fichiers
Introduction du systme de fichiers NTFS avec Windows NT 4.0.
Ncessaire la gestion de la scurit d'accs aux fichiers,
l'implantation de la compression la vole et l'encryptage des
donnes. Nouvelle volution avec Windows 2000 vers NTFS 5 qui permet
de rendre les disques "dynamiques" et apporte les fonctionnalits
plus labores de gestion logicielle des disques en RAID (agrgats par
bandes, disques en miroir, agrgats par bandes avec parit ->
disques RAID). Gestion du systme de fichiers FAT32 (Windows 98).
Gestion du systme de fichiers FAT16. Gestion des noms longs.
IV - INSTALLATION (TYPE SALLE TP)L'installation de Windows 2003
Serveur dbute par l'installation du systme d'exploitation lui-mme
(avec service pack et updates ncessaires). Une fois le systme
install, les services supplmentaires qu'il assurera pourront tre
soit dj implants au sein du systme et donc directement utilisables
aprs configuration, soit non installs et donc ncessiteront
l'installation de composants systmes supplmentaires
28
Windows Server 2003 Practice
qui eux aussi devront tre configurs. La configuration d'une
machine en contrleur de domaine est un exemple typique de ce genre
de service. Elle require l'installation de Active Directory et de
DNS si celui-ci n'est pas disponible par ailleurs. Choix du systme
de fichier de la partition d'installation Support de trois systmes
de fichiers reconnus:
FAT16 -> compatible avec DOS et toutes les versions de
Windows, pas de scurit sur les fichiers, plus gourmand en espace,
plus rapide FAT32 -> non compatible avec DOS et Windows 95 mais
compatible avec Windows 98, pas de scurit sur les fichiers NTFS
-> non compatible avec DOS, Windows 95 et 98, scurit sur les
fichiers, moins gourmand en espace, moins rapide
(1) Installation de Windows 2003 Server Exemple d'installation
d'un systme d'exploitation en plus d'un systme dj existant (DOS,
Windows 3.11, Windows 95, Windows NT ou Windows 2000). Problme :
accs aux fichiers d'installation. Deux solutions :
Fichiers d'installation de Windows 2003 disponibles sur une unit
(disque dur, lecteur CD, lecteur rseau) de la machine
d'installation fonctionnant sur un systme d'exploitation
prexistant. Fichiers d'installation de Windows 2003 disponibles sur
un CD bootable, machine disposant d'un lecteur CD bootable.
Premire phase: Lancement du programme d'installation
WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98 WINNT32.EXE
(32 bits) sous Windows NT ou 2000. Lancement direct avec
l'utilisation d'un CD bootable
But :
cration (s'elle n'existe pas encore) de la partition
d'installation, prparation de l'installation par recopie des
fichiers d'installation sur le disque dur de votre machine dans un
rpertoire temporaire, cration d'un mini-NT bootable sur la
partition d'installation.
Deuxime phase Redmarrage de l'ordinateur Travail en mode texte.
Renseignements concernant principalement le matriel prsent sur la
machine d'installation.
29
Windows Server 2003 Practice
Installation de Windows 2003 Server -> ENTRE -> Installer
Windows maintenant. Installation de Windows 2003 Server -> ENTRE
-> Dtection automatique des priphriques de mmoire de masse.
Installation de Windows 2003 Server -> ENTRE -> Pas d'autre
priphrique. En cas de matriel spcifique, on peut charger des
pilotes logiciels spciaux. Examen du contrat de licence puis F8.
Installation de Windows 2003 Server -> N (s'il existe dj un
systme) ou ENTRE (sinon) -> Installation d'une nouvelle copie
dans notre cas. Possibilit d'effectuer une mise jour si un systme
prexistait. Installation dans la partition dsire. Utilisation d'une
partition existante. Possibilit de crer une partition s'il n'en
existe pas. Choix du type de systme de fichier (NTFS, FAT) pour
cette partition formater ou non si elle existait dj.. Installer
dans le rpertoire \WINDOWS. ENTRE pour redmarrer la machine.
Troisime phase Redmarrage en mode graphique. Collecte des
informations concernant la machine
Donner vos coordonnes (nom et organisation). Indiquer le mode de
licence client. Toute connexion avec un utilisateur require l'achat
pour le serveur 2003 d'une licence client. Windows 2003 Server
propose deux modes de licence client (Microsoft considre que les
utilisateurs sont honntes et ont achet un nombre suffisant de
licences client) : o par serveur : On indique le nombre de licences
disponibles sur le serveur et donc le nombre maximum de connexions
simultanes sur ce serveur. C'est le mode de gestion des licences le
plus simple, il s'accommode bien d'un site pourvu d'un seul domaine
et d'un seul serveur. o par sige : Les licences sont associes aux
utilisateurs. A chacun d'eux correspond une licence. Ce mode de
gestion de licence est utilis dans les environnements poly-serveurs
ou poly-domaines. Donner le nom de votre machine. 15 caractres
alphanumriques au maximum, pas d'espace, pas d'accent, pas de
ponctuation. Donner le mot de passe de l'administrateur.
Configuration du rseau
Dtecter la carte rseau install. Dans une certaine mesure,
Windows 2003 est capable de dtecter les cartes d'interface rseau
installe. Si elle n'est pas dtecte, installer le pilote trouv sur
la disquette ou le CD fourni avec la carte. Demander l'installation
du seul protocole TCP/IP.
Configuration du protocole rseau TCP/IP
On n'utilise pas de serveur DHCP car on dispose pour cette salle
d'adresses IP alloues de manire dfinitive. Configuration des
paramtres du protocole TCP/IP. o Adresse IP : xxx.xxx.xxx.xxx o
Masque de sous-rseau : yyy.yyy.yyy.yyy o Gateway :
zzz.zzz.zzz.zzz.zzz o Nom de domaine : abcd.xyz o Serveur DNS :
aaa.aaa.aaa.aaaWindows Server 2003 Practice
30
Terminer l'installation.
Fuseau horaire : Paris Installer la carte graphique dtecte.
Dernire phase de l'installation Redmarrer la machine Aprs
dmarrage et ouverture de session administrateur, le gestionnaire de
serveur est lanc automatiquement proposant la ralisation des tches
suivant habituellement l'installation initiale.
Les aspects concerns sont:
l'installation et la gestion d'Active Directory Service la
gestion de services de partage de fichiers la gestion de services
de partage d'imprimantes la gestion de services Internet (ou
Intranet) ... INSTALLATION ACTIVE DIRECTORY
Active Directory Service (ADS) est le service LDAP implant par
Windows 2003 Server pour la gestion d'annuaires. Il est utilis pour
toutes les tches d'administration demandant une forte implantation
rseau et en particulier pour la cration de domaines. De base, ADS
n'est pas install sous Windows 2003. Au cours de son installation,
un domaine devra tre dfini. La machine d'installation pourra
prendre diffrents rles:
31
Windows Server 2003 Practice
premier contrleur d'un nouveau domaine dans une nouvelle fort,
premier contrleur d'un domaine enfant d'un domaine existant,
premier contrleur d'un nouveau domaine dans une fort existante,
contrleur supplmentaire au sein d'un domaine existant.
Deux mthodes sont possibles pour installer Active Directory:
Utiliser l'utilitaire "Grer votre serveur" qui simplifie
l'installation sans poser les questions les plus pointues. Il
installe et configure a minima AD, DNS et DHCP pour un nouveau
domaine dans une nouvelle fort.. Utiliser l'assistant "dcpromo"
(lanc en ligne de commande) qui permet de contrler tous les aspects
de l'installation.
L'assistant "Grer votre serveur"
Ajouter ou supprimer un rle
Configuration par dfaut pour un premier serveur. Si
"Configuration personnalise" est choisi, bascule sur dcpromo.
ATTENTION, reboot ralis automatiquement en cours
d'installation.
32
Windows Server 2003 Practice
33
Windows Server 2003 Practice
Choix du nom du nouveau domaine (au format nom TCP/IP)
Choix du nom compatible NetBEUI
34
Windows Server 2003 Practice
Choix d'un ventuel redirecteur DNS
35
Windows Server 2003 Practice
Confirmation -> Dmarrage de l'installation
36
Windows Server 2003 Practice
Reboot automatique Rouverture de session (le mot de passe de
l'administrateur du domaine est le mot de passe de l'ancien
administrateur local)
37
Windows Server 2003 Practice
Reprise de l'installation
38
Windows Server 2003 Practice
Fin de l'installation
Contenu du journal "Configuration de votre serveur"
39
Windows Server 2003 Practice
Utilisation de l'utilitaire dcpromo Quelques dfinitions
importantes Contrleur de domaine Dans une fort Active Directory,
serveur contenant une copie inscriptible de la base de donnes
Active Directory, participant la rplication Active Directory et
contrlant l'accs aux ressources rseau. Les administrateurs peuvent
grer les comptes d'utilisateurs, l'accs rseau, les ressources
partages, la topologie du site et les autres objets d'annuaire
partir de n'importe quel contrleur de domaine de la fort. Contrleur
de domaine supplmentaire Tout contrleur de domaine install sur un
domaine existant. Tous les contrleurs de domaine participent de
manire gale la rplication Active Directory mais, par dfaut, le
premier contrleur de domaine install sur un domaine se voit
attribuer la proprit des oprations matre unique. Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace
de noms situ immdiatement sous un autre nom de domaine (le domaine
parent). Par exemple, exemple.microsoft.com est un domaine enfant
du domaine parent microsoft.com. On parle aussi de sous-domaine.
Arborescence de domaine Dans DNS, structure de l'arborescence
hirarchique inverse utilise pour indexer les noms de domaines. Dans
leur but et leur concept, les arborescences de domaines sont
identiques aux arborescences de rpertoires utilises par les systmes
de fichiers des ordinateurs pour le stockage sur les disques. Par
exemple, lorsque de nombreux fichiers sont stocks sur un disque,
les rpertoires peuvent tre utiliss pour organiser les fichiers de
faon logique. Lorsqu'une arborescence de domaine comprend plusieurs
branches, chaque branche peut organiser en ensembles logiques des
noms de domaines utiliss dans l'espace de noms. Dans Active
Directory, structure hirarchique d'un ou plusieurs domaines lis par
des relations d'approbations bidirectionnelles et transitives
formant un espace de noms contigu. Plusieurs arborescences de
domaine peuvent appartenir la mme fort. Fort Un ou plusieurs
domaines Active Directory qui partagent les mmes dfinitions de
classe et d'attribut (schma), les mmes informations relatives au
site et la rplication (configuration), et les mmes fonctionnalits
de recherche dans la fort (catalogue global). Les domaines d'une
mme fort sont lis par des relations bidirectionnelles et
transitives. Installation d'un nouveau domaine dans une nouvelle
fort
40
Windows Server 2003 Practice
Dbut de l'installation d'Active Directory Service
Choix du type de contrleur de domaine : un nouveau contrleur ou
un contrleur supplmentaire. Ici, un contrleur de domaine pour un
nouveau domaine
41
Windows Server 2003 Practice
Choix du type de domaine cr: Nouveau domaine dans une nouvelle
fort. nouveau domaine enfant dans une arborescence de domaines
existante dans une fort existante, nouveau domaine dans une
nouvelle arborescence de domaine au sein d'une fort existante Ici,
un nouveau domaine dans une nouvelle fort
Choix du nom du domaine cr (nom complet)
42
Windows Server 2003 Practice
Choix du nom du domaine NetBIOS pour compatibilit avec les
versions antrieures de Windows
Emplacements de stockage des informations ADS
43
Windows Server 2003 Practice
Alerte relative l'absence d'un serveur DNS compatible pour ce
domaine -> Installation de la machine en serveur DNS.
44
Windows Server 2003 Practice
Toujours pour compatibilit avec les anciennes versions de
Windows
Dfinition du mot de passe administrateur pour le redmarrage en
mode restauration ADS
45
Windows Server 2003 Practice
Rsum de l'installation demande
Dbut de l'installation
Installation en cours
Dbut d'installation du service DNS
46
Windows Server 2003 Practice
Fin d'installation de DNS
47
Windows Server 2003 Practice
Fin d'installation d'ADS
Redmarrage de la machine Aprs redmarrage, ADS est en
fonctionnement pour la gestion du domaine w2k3.univfcomte.fr. Le
service DNS est lui aussi en fonctionnement, mais il n'est pas
configur. Suite : Configuration minimale du service DNS
Installation d'un contrleur supplmentaire pour un domaine
existant
Reprise de dcpromo avec choix d'un serveur supplmentaire
48
Windows Server 2003 Practice
Authentification avec un compte administrateur du domaine
d'insertion
Choix du domaine d'insertion
49
Windows Server 2003 Practice
Choix de la localisation des fichiers et rpertoires Active
Directory
Choix de la localisation du volume Systme d'Active Directory
50
Windows Server 2003 Practice
Choix du mot de passe de restauration des services
d'annuaire
Rsum de l'installation choisie puis installation
51
Windows Server 2003 Practice
Les matres d'oprations Existence de 5 exceptions la rgle qui
place les contrleurs d'un domaine au mme niveau du point de vue des
charges d'administration et donc l'indiffrenciation des contrleurs
-> 5 oprations matre unique:
Contrleur du schma Matre d'attribution de noms de domaine Matre
RID (ID relatives) Matre de l'mulateur PDC Matre
d'infrastructure
Ces oprations doivent tre assures par un contrleur "en ligne"
pour que le domaine fonctionne correctement. Ces rles peuvent tre
transfrs entre contrleurs.
Contrleur du schma: Outils d'administration "Schma Active
Directory" Matre d'attribution de noms de domaine: Outils
d'administration "Domaines et approbations Active Directory" Matre
RID: Outils d'administration "Utilisateurs et ordinateurs Active
Directory" Matre de l'mulateur PDC: Outils d'administration
"Utilisateurs et ordinateurs Active Directory" Matre
d'infrastructure: Outils d'administration "Utilisateurs et
ordinateurs Active Directory"
52
Windows Server 2003 Practice
V - DNS et DDNSDynamic Domain Name Server (DDNS) est implant par
Windows 2003 Server pour l'implantation de serveurs DNS. Aprs
installation d'ADS et de DDNS, un certain nombre de nouveaux outils
d'administration sont disponibles dont l'administrateur DNS.
53
Windows Server 2003 Practice
Le gestionnaire DNS Les tches raliser via cet outil sont:
la configuration de la rsolution directe nom IP -> adresse
IP, la configuration de la rsolution inverse adresse IP -> nom
IP, l'intgration au sein du domaine univ-fcomte.fr par rfrenciation
du o des serveurs DNS de ce domaine qui seront contacts lorsqu'une
rsolution ne peut tre conclue localement.
En outre, le serveur de domaine telemaque, dfini pour le domaine
w2k3.univ-fcomte.fr, devra tre dclar auprs de l'administrateur du
domaine univ-fcomte.fr pour dlgation vers lui des requtes qui
concernent ses machines.
Un seul serveur DNS dont le nom est TELEMAQUE Dfinition de zones
de recherche directes pour les rsolution nom IP -> adresse IP et
de zones de recherche inverses pour les rsolutions adresse IP ->
nom IP
54
Windows Server 2003 Practice
Menu contextuel associ au serveur TELEMAQUE
Une zone de recherche directe dfinie pour le domaine
w2k3.univ-fcomte.fr, mais pas de zone inverse Zone directe
_msdsc.w2k3.univ-fcomte.fr cre automatiquement et ncessaire pour
que ce serveur DNS soit utilisable pour un domaine Windows 2003
Evnements DNS enregistrs dans le journal "Observateur
d'vnements"
55
Windows Server 2003 Practice
Menu contextuel associ aux clefs "zones de recherche directes"
et "zones de recherche inverses" Configuration de
w2k3.univ-fcomte.fr en zone directe
Menu contextuel associ un domaine TCP/IP en zone de recherche
directe
Dclaration d'une nouvelle machine (hte) avec demande de cration
automatique du pointeur PTR associ
56
Windows Server 2003 Practice
et autorisation du changement de l'adresse associe ce nom par
DDNS
Warning car la zone inverse n'existe actuellement pas!
Si la zone inverse existait.
Rsultat
57
Windows Server 2003 Practice
Dclaration d'un nouvel alias
Etat aprs configuration Configuration de la classe
172.20.128.xxx en zone inverse
58
Windows Server 2003 Practice
Existence actuelle d'aucune zne inverse
Lancement de l'assistant de cration de zone inverse
59
Windows Server 2003 Practice
Cration d'une zne principale intgre Active Directory
Choix de l'tendue de rplication de cette zne
60
Windows Server 2003 Practice
Dfinition de l'ID rseau de cette zone
Choix du mode de mise jour dynamique
61
Windows Server 2003 Practice
Fin de l'assistant de cration de zone inverse
DNS avec zone de recherche inverse
62
Windows Server 2003 Practice
Menu contextuel associ une zone de recherche inverse
Cration d'un nouveau pointeur de zone de recherche inverse
63
Windows Server 2003 Practice
Lors de la cration d'un hte de zone de recherche directe,
cration simultane du pointeur associ en zone de recherche
inverse
Configuration d'un serveur DNS redirecteur
64
Windows Server 2003 Practice
Onglet Redirecteurs dans les proprits du serveur DNS TELEMAQUE
Reconfiguration des paramtres TCP/IP
Reconfiguration des paramtres TCP/IP pour intgrer le
172.20.128.115 comme DNS principal et w2k3.univ-fcomte.fr comme
premier suffixe DNS Etat du DNS aprs configuration complte
Zone de recherche directe
65
Windows Server 2003 Practice
Zone de recherche inverse Tests (nslookup) S'assurer que TCP/IP
est correctement configur sur la machine de test (voir
ci-avant).
Commande nslookup excute dans une invite de commande
66
Windows Server 2003 Practice
tests nom IP -> adresse IP russis pour des noms du
domaine
tests nom IP -> adresse IP rats pour des noms du domaine
test nom IP -> adresse IP russi pour un alias du domaine
67
Windows Server 2003 Practice
test nom IP -> adresse IP pour un nom quelconque (noter le
message "Reponse ne faisant pas autorite" qui s'explique par le
fait que le notre DNS et son redirecteur ne s'authentifient
pas)
tests nom IP -> adresse IP russis pour des noms complets
tests nom IP -> adresse IP rats pour des noms complets
tests adresse IP -> nom IP russis pour des adresses
renseignes dans les zones inverses du serveur
68
Windows Server 2003 Practice
test adresse IP -> nom IP rat pour des adresses renseignes
dans les zones inverses du serveur
test adresse IP -> nom IP russi pour des adresses
quelconques
lments d'utilisation L'ouverture de session La combinaison de
touches Ctrl - Alt - Suppr donne accs la fentre d'ouverture de
session. Le nom d'utilisateur et le mot de passe associ doivent tre
indiqu. Il est aussi ncessaire de choisir le domaine de connexion
(celui du compte) parmi ceux proposs. La fermeture de session
Quelle que soit la tche en cours, la combinaison de touches Ctrl -
Alt - Suppr donne accs une fentre permettant d'initier la procdure
de fermeture de session. Le bureau Windows 2003 et ses composants
Il constitue l'environnement de travail et reprend la mtaphore du
bureau (type Macintosh). Il est compos en version de base du
logiciel Internet Explorer 6.0 qui assure les fonctions d'interface
utilisateur et de navigateur Internet.
69
Windows Server 2003 Practice
Composants principaux :
une barre donnant accs au menu dmarrer, des icnes d'applications
lanables, aux icnes des applications lances rduites ou non,
...,
des icnes cliquables qui reprsentent des raccourcis vers des
composants du systme (l'utilisateur peut crer sur le bureau ses
propres raccourcis donnant accs des documents ou des
applications),
70
Windows Server 2003 Practice
Menu contextuel associ au poste de travail
les fentres des applications lances et non rduites.
Le menu dmarrer Il permet le lancement des applications
installes.
71
Windows Server 2003 Practice
Prsence d'un groupe d'outils ddis l'administration de la
machine.
Il peut tre configur par l'utilisateur pour contenir des icnes
personnelles (Dmarrer -> Paramtres-> Barre des tches et menu
dmarrer).
72
Windows Server 2003 Practice
73
Windows Server 2003 Practice
Description contenue dans le rpertoire D:\Documents and
Settings\utilisateur pour les diffrents utilisateurs.
74
Windows Server 2003 Practice
Le poste de travail Il donne accs une visualisation sous forme
d'icnes des units, des rpertoires et des fichiers prsents ou
accessibles sur l'ordinateur local. Les units sont affectes d'une
lettre de lecteur. Elles peuvent tre de type :
lecteur de disquette, disque dur, lecteur de CD Rom, rpertoire
rseau, disque amovible, ...
Le poste de travail donne aussi accs au panneau de
configuration, aux documents de l'utilisateur, aux favoris rseau de
l'utilisateur et l'accs rseau distance.
L'icne "Favoris rseau" Elle permet de rechercher et de lister
les ordinateurs visibles ainsi que les diverses ressources
disponibles sur le rseau proposes par ces machines:
imprimantes, rpertoires partags, utilisateurs, ...
Elle permet aussi de configurer des raccourcis rseau.
75
Windows Server 2003 Practice
Favoris enregistrs
76
Windows Server 2003 Practice
Tout le rseau
Le rseau Microsoft Windows (deux domaines ou workgroups dtects
W2K3 et Odyssee)
Machines du domaine W2K3
77
Windows Server 2003 Practice
La base de donnes Active Directory disponible sur la machine
telemaque.w2k3.univfcomte.fr Le gestionnaire de tches Obtenu partir
de la combinaison de touches Ctrl Alt Suppr. Il est compos de cinq
onglets qui dcrivent l'tat du systme du point de vue des tches en
cours d'excution. (1) Description des applications lances par
l'utilisateur en session
78
Windows Server 2003 Practice
Menu contextuel associ une application Noter la possibilit
d'arrter (quit) une application Noter la possibilit de slectionner
le processus correspondant une application (voir onglet suivant)
(2) Liste des processus en cours d'excution (tous les
processus)
79
Windows Server 2003 Practice
Menu contextuel associ un processus Noter la possibilit de
terminer un processus (kill) si les autorisations le permettent
Noter la possibilit de dfinir la priorit d'un processus (avec
prudence) Noter la possibilit de dfinir sur quel processeur un
processus s'excute (3) Utilisation de la mmoire et du C.P.U.
Noter la prsence de deux historiques d'utilisation de processeur
(2 processeurs virtuels sur un pentium IV hyperthread) (4)
Utilisation du rseau
80
Windows Server 2003 Practice
(5) Utilisateurs en cours
81
Windows Server 2003 Practice
Menu contextuel associ un utilisateur Noter la possibilit de
fermer la session d'un utilisateur Les fichiers systme Systme stock
dans les rpertoires \Winnt de l'unit system:
\Winnt\Repair : fichiers de rparation \Winnt\System : fichiers
systme (compatibilit Windows 3.11, 95, 98) \Winnt\System32 :
fichiers systme 32 bits \Winnt\System32\config : une partie du
registre \Winnt\System32\Dhcp : configuration et informations DHCP
\Winnt\System32\Dns : configuration et informations DNS
\Winnt\System32\Wins : configuration et informations WINS
Profils des utilisateurs sous \Documents and Settings
Installation des applications sous \Program files Fichiers publis
sous IIS sous \Inetpub ou ventuellement ailleurs Contenu des
poubelles dans \Recycler sur chaque unit (la poubelle de chaque
utilisateur est le rpertoire portant comme nom le SID de
l'utilisateur)
Il peut tre utile de crer un rpertoire temporaire \temp Registre
(Registry) : Base de donnes dcrivant la configuration du systme.
Attention aux permissions sur l'ensemble de ces rpertoires. Les
programmes d'installation les configurent de manire peut
restrictive. Il est difficile de supprimer quelque chose de
vritablement important sans tre administrateur. En revanche, il est
possible d'ajouter ou de remplacer. LIMITER L'ACCES A LA
CONSOLE.
82
Windows Server 2003 Practice
VI - ADMINISTRATIONInformations preliminaries Sites Internets
http://www.microsoft.com : Site Microsoft
http://www.windowsupdate.com : Site Microsoft pour la mise jour des
systmes d'exploitation http://www.microsoftupdate.com : Site
Microsoft pour la mise jour des systmes d'exploitation et logiciels
applicatifs Livres Microsoft Windows 2003 Resource Kit (environ
300, 6 livres + 1 CD) :
Planification et dploiement Administration des serveurs
Architecture TCP/IP Internet Information Services Interoprabilit
des rseaux Systmes distribus Utilitaires logiciels: o scopy o
addusers o pviewer ADMINISTRATION (LE PANNEAU DE CONFIGURATION)
Le panneau de configuration Il permet une partie de la
configuration de lordinateur. Il est ddi aux paramtrages du matriel
et des logiciels installs localement.
L'affichage IL ralise la configuration de l'affichage au
sens:
thme du bureau, motif ou image d'arrire plan du bureau, cran de
veille, couleurs, iconographie, rsolution, nombre de couleurs,
vitesse de balayage, type de carte graphique et configuration de
son pilote logiciel.Windows Server 2003 Practice
83
Thme du bureau
84
Windows Server 2003 Practice
Image ou motif d'arrire plan Personnalisation du bureau par
Active Desktop
Economiseur d'cran
85
Windows Server 2003 Practice
Look pour l'affichage
Rsolution, nombre de plan de couleurs
86
Windows Server 2003 Practice
87
Windows Server 2003 Practice
Bouton "Avanc" partir de l'onglet paramtres: Configuration plus
prcise des paramtres d'affichage (taille des polices utilises,
rsolutions gres par la carte graphique, frquence de
rafraichissement du moniteur, ...)
Ajout de matriel
88
Windows Server 2003 Practice
Windows 2003 gre le plug'n'play. -> Les cartes d'extension et
les priphriques matriels sont automatiquement reconnus et installs
(ou retires). Problme: Les priphriques trop anciens ou trop rcents
peuvent ne pas tre reconnus. Problme: L'installation de nouveaux
pilotes peut tre ncessaire. Problme: Le plug'n'play peut ne pas
fonctionner correctement. Problme: Un matriel peut ne pas
fonctionner correctement. Le panneau "Ajout/Suppression de matriel"
permet de rsoudre ces problmes.
89
Windows Server 2003 Practice
Test de la configuration matrielle de l'ordinateur
90
Windows Server 2003 Practice
Tout est normal
Un pilote logiciel pose problme
91
Windows Server 2003 Practice
Fin de l'assistant et bascule vers l'assistant de mise jour du
matriel (pilotes)
92
Windows Server 2003 Practice
93
Windows Server 2003 Practice
Pas de solution sans CD de pilote
Ajout/Suppression de programmes Il permet l'installation et la
suppression de logiciels et de composants systme sur
l'ordinateur.
94
Windows Server 2003 Practice
Modification/dsinstallation de programmes Affichage ou non des
mises jour
Installation de nouveaux programmes
95
Windows Server 2003 Practice
Installation/dsinstallation de composants du systme
d'exploitation
Composants systme (services) disponibles
Autres services de fichiers et d'impression en rseau
96
Windows Server 2003 Practice
Services de mise en rseau
Serveur d'applications
Services Internet disponibles
Options d'alimentation Il permet la gestion de l'nergie consomme
par la machine et la gestion d'un onduleur.
97
Windows Server 2003 Practice
Configuration de paramtres de gestion et d'conomie d'nergie
Configuration de paramtres avancs d'interface
98
Windows Server 2003 Practice
Configuration de la mise en veille prolonge
99
Windows Server 2003 Practice
Configuration de la gestion d'un onduleur dtection des coupures
de courant, arrt automatique de la machine en cas de panne de
courant prolonge, envoi d'alertes administratives Panneau de
configuration gnralement rendu inutile par le logiciel fournit par
le fabriquant d'onduleurs.
Options des dossiers Configuration des options d'affichage et
d'utilisation de Internet Expolorer en tant qu'interface
utilisateur.
Paramtres gnraux
100
Windows Server 2003 Practice
Paramtres d'affichage
101
Windows Server 2003 Practice
Types de fichier associs aux extensions
102
Windows Server 2003 Practice
Paramtres d'utilisation des fichiers hors connexion
Options Internet Configuration des paramtres relatifs l'accs
Internet au moyen de Internet Explorer et des logiciels qui se
configurent sur les paramtres de Internet Explorer.
103
Windows Server 2003 Practice
Page de dmarrage, paramtres de cache et de gestion de
l'historique des navigations
Bouton "Paramtres" de l'onglet "Gnral": mode de vrification,
localisation disque, taille et contenu pour le cache
104
Windows Server 2003 Practice
Onglet "Connexions": Paramtres de la connexion
Bouton "Paramtres rseau" de l'onglet "Connexion": Configuration
d'un serveur proxy
Bouton "Avance...": Configuration port par port et
exclusions
105
Windows Server 2003 Practice
Applications associes aux diffrents services Internet
106
Windows Server 2003 Practice
107
Windows Server 2003 Practice
Paramtres avancs. Il peuvent tre diffrents d'un systme un
autre.
Date/Heure Configuration de la date, de l'heure de la machine,
du passage automatique l'heure d't et du fuseau horaire si la
rfrence horaire GMT est ncessaire.
108
Windows Server 2003 Practice
Imprimantes Configuration des Imprimantes (voir plus loin)
La gestion des licences sur Windows 2003 Server Ce panneau
permet le choix du mode de gestion des licences d'accs client ainsi
que l'ajout ou la suppression de licences d'accs client dans le
mode par serveur. Par Sige Le mode de licence "Par sige" est la
meilleure option si les clients utilisent frquemment plusieurs
serveurs sur le rseau. Le mode de licence Par sige permet tous les
ordinateurs du rseau d'accder tous les serveurs d'un rseau. Il n'y
a aucune limite quant au nombre de connexions simultanes, quel que
soit le serveur. Par sige est le mode de licence normal pour un
produit serveur install sur plusieurs serveurs d'un rseau. Par
Serveur Le mode de licence "Par serveur" est la meilleure option de
licence lorsqu'un produit serveur est install sur un seul serveur
accessible tout moment par tout au plus un sousensemble des
utilisateurs. Les connexions simultanes Par serveur un serveur
spcifique sont alloues sur une base premier arriv, premier servi et
limites au nombre de licences d'accs client alloues au serveur.
Cela peut s'avrer conomique pour un rseau dot d'un seul serveur ou
pour un produit serveur accessible sur un serveur par un seul
dpartement ou groupe d'une organisation. Une unique conversion en
licence Par sige est autorise.
109
Windows Server 2003 Practice
Mode de gestion des licences pour la machine locale.
Ajour de nouvelles licences "Par serveur"
Suppression de licences "Par serveur"
Mises jour automatiques Il permet de choisir le mode de gestion
des mises jour automatiques du systme sur le site
http://www.windowsupdate.com.
110
Windows Server 2003 Practice
Trois possibilits d'actions si actif: rien d'automatique,
tlchargement automatique mais installation la demande, tout
automatique
Sons et multimdia Configuration des sons et des priphriques
Multimdia utiliss par le systme.
Configuration du volume
111
Windows Server 2003 Practice
Configuration des sons en rponse des vnements
Choix des pilotes audio
112
Windows Server 2003 Practice
Choix des pilotes utiliss pour la gestion de la voix
Pilotes installs
113
Windows Server 2003 Practice
Connexions rseau Il assure les oprations de configuration des
paramtres rseau et/ou d'accs distance (modem).
114
Windows Server 2003 Practice
Nouvelle connexion
Connexion au rseau local
115
Windows Server 2003 Practice
Proprits de la connexion locale: Composants clients installs
Services installs, Protocoles installs,... Possibilit d'avoir un
cho de cette fentre dans la barre des tches.
Installation de nouveaux composants rseau (clients, services ou
protocole)
116
Windows Server 2003 Practice
Clients
Services
117
Windows Server 2003 Practice
Protocoles
Proprits du protocole TCP/IP: Adresse IP et paramtres de
base
118
Windows Server 2003 Practice
Proprits du protocole TCP/IP: Paramtres IP complets
Proprits du protocole TCP/IP: Configuration DNS
119
Windows Server 2003 Practice
Proprits du protocole TCP/IP: Configuration WINS
Proprits du protocole TCP/IP: Options de scurit
120
Windows Server 2003 Practice
Option de scurit TCP/IP: Filtrage
Possibilit de configurer plusieurs adresses IP ou passerelles
par dfaut sur la mme interface
121
Windows Server 2003 Practice
Outils d'administration
Autres outils d'administration locale mais aussi outils plus
particulirement ddis l'administration des domaines (Voir plus
loin)
122
Windows Server 2003 Practice
Proprits du systme
Paramtres gnraux (systme d'exploitation, rfrences de
l'installateur, type de machine)
123
Windows Server 2003 Practice
Identification rseau par un nom de machine et une appartenance
un domaine ou un groupe de travail. Suivant le statut de la
machine, tous les changements sont possibles ou non Configuration
matrielle du systme
Configuration avance Configuration avance -> Performances
-> Effets visuels
124
Windows Server 2003 Practice
Configuration avance -> Performances -> Avanc
Configuration avance -> Performances -> Avanc -> Mmoire
virtuelle
125
Windows Server 2003 Practice
Options de performances
126
Windows Server 2003 Practice
Profils des utilisateurs
Dmarrage et rcupration
127
Windows Server 2003 Practice
Variables d'environnement
Rapport d'erreurs
128
Windows Server 2003 Practice
Mise jour automatiques
Utilisation distance
129
Windows Server 2003 Practice
Tches planifies Programmation de tches (rcurrentes ou non)
Fentre tches planifies
Cration d'une nouvelle tche
130
Windows Server 2003 Practice
Choix du programme excuter
Choix de l'instant d'excution Paramtrage des diffrentes options
horaires
131
Windows Server 2003 Practice
Choix de l'utilisateur excutant le programme
Cration de la tche planifie
132
Windows Server 2003 Practice
Rsultat
Proprits d'une tche
Proprits d'une tche: Configuration horaire
133
Windows Server 2003 Practice
Proprits d'une tche: Modalits de fonctionnement Proprits d'une
tche: Scurit
Proprits d'une tche planifie hebdomadaire
Proprits avances d'une tche planifie hebdomadaire
134
Windows Server 2003 Practice
Rsultat
Menu contextuel associ une tche planifie
Rsultat de la dsactivation via l'utilisation des proprits
Compatibilit avec la commande AT
135
Windows Server 2003 Practice
Configuration de l'utilisateur excutant les commandes de la
commande AT
Via invite de commande, cration et affichage des commandes de la
commande AT
Les commandes de la commande AT apparaissent dans les tches
planifies, mais toute modification les transforme en une commande
classique.
136
Windows Server 2003 Practice
Programmation au moyen de la commande schtasks
Liste des tches planifies
Programmation d'une tche planifie
Rsultat
137
Windows Server 2003 Practice
Noms et mots de passe utilisateurs
Pare-feu Windows
Autres panneaux de configuration
Clavier Souris Options de modems Options d'accessibilit Options
de jeu Scanneurs et appareils photo Options rgionales Polices
Panneaux installs par les applications (Java Plug-in, QuickTime, HP
JetAdmin, Symantec LiveUpdate, Recherche Acclre, ODBC,...) ...
Administration (L'explorateur et ses fonctions)
Lexplorateur Windows 2003 L'explorateur Windows 2003 est l'outil
de visualisation et de configuration des units dclares sur la
ma