Windows Server 2003 Et Windows Server 2008

Copyright
2007
Micro Application 20-22, rue des Petits-Htels 75010 Paris
1re dition - Novembre 2007
Auteurs
Jean-Georges SAURY et Sylvain CAICOYA Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de MICRO APPLICATION est illicite (article L122-4 du code de la proprit intellectuelle). Cette reprsentation ou reproduction illicite, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles L335-2 et suivants du code de la proprit intellectuelle. Le code de la proprit intellectuelle nautorise aux termes de larticle L122-5 que les reproductions strictement destines lusage priv et non destines lutilisation collective dune part, et dautre part, que les analyses et courtes citations dans un but dexemple et dillustration.
Avertissement aux utilisateurs
Les informations contenues dans cet ouvrage sont donnes titre indicatif et nont aucun caractre exhaustif voire certain. A titre dexemple non limitatif, cet ouvrage peut vous proposer une ou plusieurs adresses de sites Web qui ne seront plus dactualit ou dont le contenu aura chang au moment o vous en prendrez connaissance. Aussi, ces informations ne sauraient engager la responsabilit de lEditeur. La socit MICRO APPLICATION ne pourra tre tenue responsable de toute omission, erreur ou lacune qui aurait pu se glisser dans ce produit ainsi que des consquences, quelles quelles soient, qui rsulteraient des informations et indications fournies ainsi que de leur utilisation. ISBN : 978-2-7429-8448-0 Tous les produits cits dans cet ouvrage sont protgs, et les marques dposes par leurs titulaires de droits respectifs. Cet ouvrage nest ni dit, ni produit par le(s) propritaire(s) de(s) programme(s) sur le(s)quel(s) il porte. Couverture ralise par ComBack
MICRO APPLICATION 20-22, rue des Petits-Htels 75010 PARIS Tl. : 01 53 34 20 20 - Fax : 01 53 34 20 00 http://www.microapp.com
Support technique disponible sur www.microapp.com
Mister Onet, lhomme la rfrence, vous montre le chemin !

Rendez-vous sur le site Internet de Micro Application www.microapp.com. Dans le module de recherche, sur la page daccueil du site, retrouvez Mister Onet. Dans la zone de saisie, entrez la rfrence 4 chiffres quil vous indique sur le prsent livre. Vous accdez directement la fiche produit de ce livre.
9448
Avant-propos
La collection Bible Micro Application a t conue pour permettre aux utilisateurs avancs experts dapprofondir leurs connaissances dun thme prcis. Exhaustifs, ces ouvrages permettent dacqurir une connaissance intgrale du sujet tudi, la fois en thorie et en pratique.
Conventions typographiques
Afin de faciliter la comprhension des techniques dcrites, nous avons adopt les conventions typographiques suivantes :
j j j
gras : menu, commande, bote de dialogue, bouton, onglet. italique : zone de texte, liste droulante, case cocher, bouton radio.
Police bton : instruction, listing, texte saisir.
: indique un retour la ligne d aux contraintes de la mise en page. Au cours de votre lecture, vous rencontrerez les encadrs suivants :
Propose des trucs pratiques.
Met laccent sur un point important quil ne faut ngliger aucun prix.
Vous recommande une technique ou une marche suivre.
Vous indique le nom et lemplacement des fichiers tlcharger.
Renvoi un site o vous trouverez des infos complmentaires ou des outils tlcharger.
Il sagit dinformations supplmentaires relatives au sujet trait.
Fait rfrence un chapitre o vous trouverez des informations complmentaires.
Contenu en un clin dil

Partie A
Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12
Installation, dploiement et gnralits

tude de cas tat des lieux de Windows Server en entreprise Windows Server 2003 Service Pack 2 et R2 Linstallation et le dploiement de Windows Server 2003 Linstallation de Windows Vista Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Le dploiement des ordinateurs Windows Vista en entreprise phase 2 Les services de dploiement Windows Lintgration de Windows Vista dans linfrastructure Windows PowerShell La maintenance des serveurs Windows Server 2008
27
29 55 87 105 135 185 247 301 351 399 429 477
Partie B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17
Active Directory
Introduction LDAP et Active Directory La planication dun projet Active Directory La conception de linfrastructure logique Active Directory La conception de la topologie de sites La conception et limplmentation de la structure des units dorganisation
509
511 535 545 563 593
Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22
Limplmentation des serveurs dinfrastructure Active Directory Les fonctions et les rles dans Active Directory La maintenance dActive Directory La scurisation dActive Directory Active Directory Application Mode et Active Directory Federation Services
613 661 695 715 733
Partie C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26
Scurit
Introduction la scurit La conception de la scurit des serveurs valuation de la scurit La scurisation des postes de travail
765
767 789 805 823
Partie D
Chapitre 27 Chapitre 28 Chapitre 29
Annexes
Annexe I - Liste alphabtique des commandes Annexe II - Les services et les ports rseau sous Windows Server 2003 Annexe III - Glossaire
859
861 927 967
Sommaire
Partie A Installation, dploiement et gnralits 27
Chapitre 1 tude de cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Le contexte : prsentation de la socit . . . . . . . . . . . . . . . . . . . . . . . . . 31

Lactivit de la socit . . . . . . . . . . . . . . . . . La situation gographique . . . . . . . . . . . . . . Linfrastructure informatique . . . . . . . . . . . . Le dtail des sites . . . . . . . . . . . . . . . . . . . . Les dysfonctionnements de la situation actuelle Les enjeux de la direction . . . . . . . . . . . . . . Les socits partenaires . . . . . . . . . . . . . . . . La communication entre les socits . . . . . . . . Rsum du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 31 32 34 37 39 39 41 42
Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Rduire les cots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Intgrer les trois socits dans une nouvelle organisation . . . . . . . . . . 43 Scuriser linfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
La mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Comment rduire les cots plusieurs niveaux ? . . . . . . . . . . . . . . . . 45 Comment crer une organisation unique et intgrer les deux socits partenaires ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Comment scuriser linfrastructure ? . . . . . . . . . . . . . . . . . . . . . . . . 52
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Chapitre 2 tat des lieux de Windows Server en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Les diffrentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Standard Edition . Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition Windows Server 2003 Web Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 58 58 58
Sommaire
Comparaison des caractristiques des diffrentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Conguration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
De Windows NT 4.0 Server Windows Server 2003, quest-ce qui a chang ? . . 62

Les nouveaux outils et les anciennes tches . . . . . . . . . . . . . . . . . . . . 62 Les dossiers et les utilitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Le Panneau de conguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
De Windows 2000 Server Windows Server 2003, quest-ce qui a chang ? . . . 65

Les amliorations apportes Active Directory . . . . . Les amliorations du ct de TCP/IP . . . . . . . . . . . . Les changements mineurs . . . . . . . . . . . . . . . . . . Les petits plus de la version 2003 et les Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 68 68 69
Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . 71

Les nouveauts du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Les nouveauts du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 73
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Chapitre 3 Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Les nouveauts du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Les nouveauts du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Les mises jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scalable Networking Pack (SNP) . . . . . . . . . . . . . . . . . . . . . . La bibliothque XmlLite . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de dploiement Windows WDS (Windows Deployment Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Management Console 3.0 (MMC 3.0) . . . . . . . . . . . . Wireless Protected Access 2 (WPA2) . . . . . . . . . . . . . . . . . . . . La version amliore de loutil CACLS . . . . . . . . . . . . . . . . . . . Les fonctions existantes amliores . . . . . . . . . . . . . . . . . . . . . . . . . 91 . . . . . 91 . . . . . 93 . . . . . . . . . . . . . . . . . . . . . . . . . 94 96 96 97 98
Quapporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . 99

Une gestion simplie des serveurs dans les agences et les succursales . . 99 La gestion amliore des identits et des accs . . . . . . . . . . . . . . . . . 100 Les cots de gestion du stockage rduits . . . . . . . . . . . . . . . . . . . . . 101 Une plateforme web enrichie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Une virtualisation de serveur moindre cot . . . . . . . . . . . . . . . . . . 102
Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . 102

La version majeure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Sommaire
La version mise jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Les Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Chapitre 4 Linstallation et le dploiement de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 105 Considrations sur linstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Les prrequis . . . . . . . . . . . . . . . . . . Vrier la compatibilit du systme . . . Nouvelle installation ou mise niveau ? Le double amorage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 108 109 110
Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Linstallation manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Linstallation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Rsoudre les problmes dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . 133 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Chapitre 5 Linstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Dcouvrir les diffrentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Que faire ? Avec quelle version . . . . . . . Windows Vista Starter Edition . . . . . . . . Windows Vista dition Familiale Basique . Windows Vista dition Familiale Premium Windows Vista Professionnel . . . . . . . . Windows Vista Entreprise . . . . . . . . . . . Windows Vista dition Intgrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 138 139 139 140 141 141
Valider la conguration matrielle minimale recommande . . . . . . . . . . . 142

Vista dition Familiale Basique . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Vista dition Familiale Premium, Professionnel, Entreprise et Intgrale . 142
Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Lactivation et la licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Transfrer les chiers et les paramtres via le rseau . . . . . . . . . . . . . 152 Transfrer les chiers et les paramtres laide dun support amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Transfrer les chiers et les paramtres: laide dun CD ou dun DVD . 165
Sommaire
Prparer la mise jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 167

Choisir une version de mise jour . . . . . . . . . . . . . Vrier la compatibilit matrielle . . . . . . . . . . . . . Installer le Framework .NET . . . . . . . . . . . . . . . . . Installer MSXML . . . . . . . . . . . . . . . . . . . . . . . . . Installer le Conseiller de mise niveau Windows Vista Utiliser le Conseiller de mise niveau Windows Vista . Sauvegarder les donnes importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 169 169 170 170 173 179
Mettre jour le systme dexploitation vers Windows Vista . . . . . . . . . . . . 181 Dpanner la mise niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . 182 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Chapitre 6 Le dploiement des ordinateurs Windows Vista en entreprise phase 1 . . . . . . . . . . . . 185 Le processus dinstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . 187
Introduction linstallation de Windows Vista . . . . . . . . . . . . . . . Les mthodes dexcution du programme dinstallation Windows . . . Les passes de conguration du programme dinstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les mthodes conseilles pour linstallation de Windows Vista . . . . . . 187 . . 193 . . 201 . . 206
LAssistant Gestion dinstallation . . . . . . . . . . . Larchitecture de lAssistant Gestion dinstallation Linterface graphique . . . . . . . . . . . . . . . . . Crer un chier de rponses . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . . . . . . . . . .
208 208 211 212

214 215 218 219 221 223 224 226 227 227 229 232
Le chier autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . . . . Le chier Corp_autounattend_sample . . . . . . . . . . . . . . . . . . . . . . Attribuer des chiers Unattend des images . . . . . . . . . . . . . . . . . . Quelques points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prsentation des partages de distribution et des jeux de conguration Introduction Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . Les options dextinction . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . Rinitialiser lactivation de Windows Vista . . . . . . . . . . . . . Utiliser des chiers de rponses en conjonction avec Sysprep Les chiers journaux de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Sommaire
Les limitations de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Introduction WIN PE . . . . . . . . . . . Les versions de Windows PE . . . . . . . Win PE 2.0 . . . . . . . . . . . . . . . . . . Lutilisation de Win PE . . . . . . . . . . . Les limitations de Win PE . . . . . . . . . Les outils . . . . . . . . . . . . . . . . . . . Personnaliser un Win PE non prpar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 234 235 240 240 241 241
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Chapitre 7 Le dploiement des ordinateurs Windows Vista en entreprise phase 2 . . . . . . . . . . . . 247 Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Prsentation dImageX . Larchitecture dImageX La commande ImageX . Capturer une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 252 254 263
Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

La commande Imagex /apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Personnaliser limage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Le chier Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Le fonctionnement dOobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Implmenter Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
La maintenance de limage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Ajouter une image dans une image . . . . . . . . . . . . . . . . . . . . . . . Le Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . . . . La commande Pkgmgr.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ajouter des pilotes une image de Windows hors connexion . . . . . . Activer ou dsactiver les fonctionnalits Windows lorsque le systme dexploitation est hors connexion . . . . . . . . . . . . . . . . . . . . . . . Installer ou supprimer des packages hors connexion laide du Gestionnaire de package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installer un pack de langues dans une image hors connexion . . . . . . Les limitations du Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . 284 285 287 289
. . 293 . . 295 . . 296 . . 298
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Sommaire
Chapitre 8 Les services de dploiement Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . Le fonctionnement des services de dploiement Windows . . . . . . . Installer les services de dploiement Windows . . . . . . . . . . . . . . Les modes de fonctionnement des services de dploiement Windows
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
301 303 305 309
Le mode hrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode mixte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode natif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Congurer les services de dploiement Windows . . . . . . . . . . . . . . . . . . 310 Congurer DHCP pour les services de dploiement Windows . . . . . . . . . . . 312
Loption DHCP 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Le port 67 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Les images de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

Ajouter une image de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Exporter une image de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . 318 Supprimer une image de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . 319
Les images dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Les groupes dimages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320

Crer des groupes dimages . . . . . Ajouter une image dinstallation . . Supprimer une image dinstallation Exporter une image dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 322 323 325 326 326 328 329 331
La stratgie de noms de clients et lemplacement de compte . . . . . . . . . . . 326

Ladministrateur spcie le nom de lordinateur et lunit dorganisation . Spcier la stratgie de noms de clients et lunit dorganisation lors de lapprobation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le serveur spcie le nom de lordinateur et lunit dorganisation . . . . Dnir la stratgie de noms dordinateurs . . . . . . . . . . . . . . . . . . . . Effectuer toutes les actions dajout un domaine lors du premier dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le programme de dmarrage par dfaut . . . . . . . . . . . . . . . . . . . . . . . . 332 WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Congurer loption 60 en ligne de commandes . . . . . . . . . Congurer le port 67 en ligne de commandes . . . . . . . . . . Ajouter une image de dmarrage en ligne de commandes . . Supprimer une image de dmarrage en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 336 336 337
Sommaire
Obtenir des informations sur le serveur de dploiement en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Dmarrer le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . 346 Arrter le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . . . 347
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Chapitre 9 Lintgration de Windows Vista dans linfrastructure . . . . . . . . . . . . . . . . . . . . . . . . 351 Lintgration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . 353
Changer rapidement dutilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Les stratgies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . 362

Les chiers ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Les stratgies de groupe locales multiples . . . . . . . . . . . . . . . . . . . . 379
La compatibilit des nouvelles fonctionnalits de Windows Vista dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Grer les rseaux laires IEEE 802.3 . . . . . . . . . . . . . . . . . . . . . . . 383 Grer les rseaux sans l IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . 387 Grer Bitlocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Chapitre 10 Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . Prsentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Excuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement dobjets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 401 402 403 404 410
Les pipelines dobjets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Linteraction et les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

La stratgie dexcution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Utiliser Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

Limportance de laide . . . . . . . . . . . . . Utiliser des applets de commande . . . . . Mettre en forme la sortie des commandes Utiliser des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 418 419 420
Naviguer dans Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 424

Naviguer dans le systme de chiers . . . . . . . . . . . . . . . . . . . . . . . . 424
Sommaire
Naviguer dans le Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Naviguer dans le magasin de certicats . . . . . . . . . . . . . . . . . . . . . . 426
PowerShell et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Chapitre 11 La maintenance des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Prparer ladministration dun serveur . . . . . . . . . . . . . . . . . . . . . . . . 431
Utiliser les appartenances de groupe pour administrer un serveur La commande Excuter en tant que . . . . . . . . . . . . . . . . . . . . . Loutil Gestion de lordinateur . . . . . . . . . . . . . . . . . . . . . . . . Le Bureau distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pourquoi analyser les performances ? . . . . . . . . . . . . . . tablir une ligne de base . . . . . . . . . . . . . . . . . . . . . . . Choisir entre analyse programme et analyse en temps rel Les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les compteurs de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 433 439 443 451 452 453 462 468 471
Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . 451
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Chapitre 12 Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 Les prrequis linstallation de Windows Server 2008 . . . . . . . . . . . . . . . 479 Quest-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . 480
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Les services par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Grer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Les tches de conguration initiales . . . . . . . . . . . . . . . . . . . . . . . . 489 La console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . 490 Les assistants Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Les rles et les fonctionnalits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493 Les amliorations lies la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Les fonctionnalits de scurit avance du pare-feu Windows . . . . . . . 501 La protection : NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Le chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 504
Sommaire
Enterprise PKI . . . . . . . . . . . . . . . . . . . . . . . La cryptographie nouvelle gnration (CNG) . . . RODC (contrleurs de domaine en lecture seule) Lisolement de serveur et de domaine . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
504 505 505 506
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Partie B
Active Directory
509
Chapitre 13 Introduction LDAP et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 Gnralits sur lannuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Quest-ce quun annuaire ? . . . . . . . . . . . . Un peu dhistoire sur le protocole . . . . . . . LDAP version 2 et version 3 . . . . . . . . . . . Le standard LDAP v3 . . . . . . . . . . . . . . . . La conformit LDAP de Windows Server 2003 La compatibilit LDAP et InetOrgPerson . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 514 515 516 519 521 523 524 528 529
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522

Les avantages dActive Directory . . . . . . . . . . . . . . . . . . La structure logique dActive Directory . . . . . . . . . . . . . Le partitionnement de la base de donnes Active Directory La structure physique dActive Directory . . . . . . . . . . . .
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 Chapitre 14 La planication dun projet Active Directory . . . . . . . . . . . . . . . . . Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de conception dActive Directory . . . . . . . . Le processus de planication dun projet Active Directory . Les dnitions communes dans un projet Active Directory .
Dnition du service dannuaire . . . . . . . . . . . . . . Dnition du schma . . . . . . . . . . . . . . . . . . . . . . Dnition du catalogue global . . . . . . . . . . . . . . . . Dnition dun nom unique et dun nom unique relatif
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
535 537 538 539 541

541 542 543 544
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sommaire
Chapitre 15 La conception de linfrastructure logique Active Directory . . . . . . . . . . . . . . . . . . . . 545 Du projet dentreprise la conception dActive Directory . . . . . . . . . . . . . 547 Les modles de forts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Le modle de fort bas sur lorganisation . . . . . . . . . . . . . . . . . . . . 548 Le modle de fort bas sur les ressources . . . . . . . . . . . . . . . . . . . . 549 Le modle de fort accs restreint . . . . . . . . . . . . . . . . . . . . . . . . 550
Principe de conception des forts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 Les modles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

Le modle de domaine unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552 Le modle de domaine rgional . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 Le modle de domaine bas sur les entits de lentreprise . . . . . . . . . . 554
Choisir le domaine racine de la fort . . . . . . . . . . . . . . . . . . . . . . . . . . 555

Le domaine racine dune fort dans un modle de domaine unique . Le domaine racine dune fort dans un modle de domaine rgional ou bas sur les entits de lentreprise . . . . . . . . . . . . . . . . . . . . Les avantages du domaine racine vide . . . . . . . . . . . . . . . . . . . . Les avantages dun domaine rgional ou dentit en tant que racine de la fort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 . . . 557 . . . 559 . . . 559
Conception de domaine et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . 559 Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 560 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 Chapitre 16 La conception de la topologie de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563 Les mcanismes de conception : dnitions . . . . . . . . . . . . . . . . . . . . . 565
Les fonctionnalits lies aux sites . . . . . . . . . . . . . . . . . . . . . . . . . 566 Les concepts de rplication dActive Directory . . . . . . . . . . . . . . . . . . 569
Collecter les informations sur le rseau . . . . . . . . . . . . . . . . . . . . . . . . 580 Prvoir lemplacement des contrleurs de domaine . . . . . . . . . . . . . . . . 581
Prvoir lemplacement des contrleurs de domaine racine de la fort Prvoir lemplacement des contrleurs de domaine rgionaux . . . . . Prvoir lemplacement des serveurs de catalogue global . . . . . . . . . Dterminer lemplacement des rles matres dopration . . . . . . . . . . . . . . . . 582 582 584 585
Concevoir des sites . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . Concevoir les ponts de liaison de sites En rsum . . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
587 588 590 591
Sommaire
Chapitre 17 La conception et limplmentation de la structure des units dorganisation . . . . . . . . . 593 Planier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
La collecte des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 Les modles administratifs informatiques . . . . . . . . . . . . . . . . . . . . 597
Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modle bas sur lemplacement . . . . . . . . . . . . . . . . . . . . . . Le modle bas sur lorganisation . . . . . . . . . . . . . . . . . . . . . . Le modle bas sur la fonction . . . . . . . . . . . . . . . . . . . . . . . . Le modle hybride bas sur lemplacement, puis sur lorganisation Le modle hybride bas sur lorganisation, puis sur lemplacement Les outils de cration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le composant logiciel enchable Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les outils de service dannuaire . . . . . . . . . . . . . . . . . . . . . . . Loutil Ldifde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loutil de scripts Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 599 599 600 601
Implmenter la structure dunits dorganisation . . . . . . . . . . . . . . . . . . 601

. . . . 601 . . . . . . . . . . . . . . . . 602 603 609 610
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611 Chapitre 18 Limplmentation des serveurs dinfrastructure Active Directory . . . . . . . . . . . . . . . . 613 Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Dterminer les contraintes matrielles pour les contrleurs de domaine . 616 Les conditions requises pour linstallation dActive Directory . . . . . . . 618
Dployer le domaine racine de la fort puzzmania.com . . . . . . . . . . . . . . 619

Le processus dinstallation dActive Directory . . . . . . . . . . . . . . Installer le premier contrleur de domaine . . . . . . . . . . . . . . . Linstallation dtaille dActive Directory . . . . . . . . . . . . . . . . . Vrier le premier contrleur de domaine . . . . . . . . . . . . . . . . Congurer le serveur de temps . . . . . . . . . . . . . . . . . . . . . . . Vrier la rsolution de noms rcursive sur le premier contrleur de la fort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 622 623 630 637
. . . . 640
Aprs linstallation du premier contrleur de domaine . . . . . . . . . . . . . . . 641

Rsoudre les problmes dinstallation . . . . . . . . . . . . . . . . . . . . . . 642 Modier le nom dun contrleur de domaine . . . . . . . . . . . . . . . . . . 645 Supprimer un contrleur de domaine dans Active Directory . . . . . . . . 646
Sommaire
Dployer le deuxime contrleur de domaine sur le mme site . . . . . . . . . 649

Installer un contrleur de domaine via le rseau . . . . . . . . . . . . . . Installer un contrleur de domaine partir dun chier de rponses . Vrier le deuxime contrleur de domaine . . . . . . . . . . . . . . . . . Recongurer le service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer le vieillissement et le nettoyage pour le DNS . . . . . . . . . . . . . . . . . . . . . . 649 651 651 652 653
Dployer les domaines enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658 Chapitre 19 Les fonctions et les rles dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 661 Congurer les rles matres dopration . . . . . . . . . . . . . . . . . . . . . . . . 663
Les rles matres au niveau de la fort . . . . . . . . . . . . . . . . . . . . . . 663 Les rles matres au niveau du domaine . . . . . . . . . . . . . . . . . . . . . 664 Le transfert des rles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Congurer le catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674 lever les niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681 Les relations dapprobation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Les diffrentes approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 Le fonctionnement des approbations . . . . . . . . . . . . . . . . . . . . . . . 688
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 Chapitre 20 La maintenance dActive Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695 Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Choisir une restauration non autoritaire . . . . . . . . . . . . . . . . . . . . . 701 Choisir une restauration autoritaire . . . . . . . . . . . . . . . . . . . . . . . . 703
Dfragmenter et dplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . 704

Dfragmenter Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704 Dplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
Prendre les rles matres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707

Prendre le rle matre de schma . . . . . . . . . . . . . . . . Prendre le rle matre dattribution de noms de domaine Prendre le rle matre des ID relatifs . . . . . . . . . . . . . Prendre le rle matre dmulateur PDC . . . . . . . . . . . Prendre le rle matre dinfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707 708 709 710 711
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Sommaire
Chapitre 21 La scurisation dActive Directory . . . . . . . . . . . . . . . . . . . . . . . . . . Limportance de la scurit Active Directory . . . . . . . . . . . . Identier les types de menaces pour la scurit Active Directory tablir des frontires sres . . . . . . . . . . . . . . . . . . . . . . . Slectionner une structure Active Directory scurise . . . . . . Scuriser les comptes dadministration des services . . . . . . . Limiter lexposition des comptes dadministration des services . Scuriser les mthodes dadministration des donnes . . . . . . Protger les serveurs DNS et les donnes DNS . . . . . . . . . . . Scuriser les relations interforts . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
715 717 717 719 720 720 721 723 728 731 732
Chapitre 22 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . 733 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . 735
Les principes dADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La maintenance dADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchroniser les donnes entre Active Directory et une instance ADAM Les principales fonctionnalits dADFS . Lextension dActive Directory Internet Les rles des serveurs ADFS . . . . . . . . Conguration requise pour ADFS . . . . . Implmenter des composants ADFS . . . La terminologie ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735 740 750 752 754 755 755 757 760 762
Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . 754
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Partie C
Scurit
765
Chapitre 23 Introduction la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767 Quest ce que la dfense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . 769 La couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
Corruption possible de la couche physique . . . . . . . . . . . . . . . . . . . 771
Sommaire
Dfense de la couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . 771
La couche Primtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773

Corruption possible de la couche Primtre . . . . . . . . . . . . . . . . . . . 774 Dfense de la couche Primtre . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
La couche rseau interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775

Corruption possible de la couche rseau . . . . . . . . . . . . . . . . . . . . . 776 Dfense de la couche rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
La couche hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778

Corruption possible de la couche hte . . . . . . . . . . . . . . . . . . . . . . 779 Dfense de la couche hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
La couche application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780

Corruption possible de la couche application . . . . . . . . . . . . . . . . . . 781 Dfense de la couche application . . . . . . . . . . . . . . . . . . . . . . . . . . 781
La couche Donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782

Corruption possible de la couche Donnes . . . . . . . . . . . . . . . . . . . 783 Dfense de la couche Donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Les notions fondamentales lies la scurit . . . . . . . . . . . . . . . . . . . . . 784 Les dix commandements de la scurit . . . . . . . . . . . . . . . . . . . . . . . . 786 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787 Chapitre 24 La conception de la scurit des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789 Les problmatiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Les serveurs assurant plusieurs rles. . . . . . . . . . . . . . . Des ressources limites pour la mise en uvre de solutions de scurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La menace interne ou accidentelle . . . . . . . . . . . . . . . . . Le manque de comptences en matire de scurit . . . . . . Les possibilits daccs physique . . . . . . . . . . . . . . . . . . Les consquences juridiques . . . . . . . . . . . . . . . . . . . . . Lutilisation de systmes anciens . . . . . . . . . . . . . . . . . . . . . . . . . . 791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 791 791 792 792 792
Les concessions en matire de scurit . . . . . . . . . . . . . . . . . . . . . . . . 792

Scurit et facilit demploi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792 Un faible cot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
La scurit de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793

Scuriser les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793 Quelques recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
Sommaire
La scurit Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

Planier la scurit . . . . . . . . . . . . . . . tablir des frontires de scurit . . . . . . Renforcer la stratgie de domaine . . . . . tablir une hirarchie base sur les rles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 797 798 798
Protger les serveurs membres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799

Le modle de scurit Member Server Baseline . . . . . . . . . . . . . . . . . 799
Protger les serveurs pour des rles spciques . . . . . . . . . . . . . . . . . . . 800

Renforcer la protection des serveurs dinfrastructure . . . . . . . . . Renforcer la protection des serveurs de chiers . . . . . . . . . . . . . Renforcer la protection des serveurs dimpression . . . . . . . . . . . Renforcer la protection des serveurs IIS . . . . . . . . . . . . . . . . . . Les mthodes conseilles pour renforcer la protection des serveurs pour des rles spciques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800 801 801 801
. . . 803
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803 Chapitre 25 valuation de la scurit . . . . . . . . . . . . . . . . . . . . . . . Pourquoi raliser des valuations de la scurit ? Planication de lvaluation de scurit . . . . . . Le concept de dfense en profondeur . . . . . . . Dnition du cadre de lvaluation de scurit . . Les objectifs de lvaluation de scurit . . . . . . Les types dvaluations de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805 807 808 810 811 812 813
Lanalyse des vulnrabilits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814 Le test de pntration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
Laudit de scurit informatique . . . . . . . . . . Publier les rsultats de lvaluation de scurit . Utiliser loutil MSAT . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
816 818 818 821
Chapitre 26 La scurisation des postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823 Grer les mises jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . 825 La scurit sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Windows Defender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Sommaire
Le Centre de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832 Le pare-feu personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835 Le contrle des comptes utilisateurs (UAC) . . . . . . . . . . . . . . . . . . . 846
Lantivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847

Dploiement des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . 848 Mise jour des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . . 849
Implmenter la scurit des postes de travail laide dActive Directory . . . . 849

Utiliser des modles de scurit pour scuriser les postes de travail . Utiliser des modles dadministration . . . . . . . . . . . . . . . . . . . . . Vue densemble des paramtres de scurit des stratgies de groupe Conguration recommande des options de scurit pour les postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Appliquer les modles de scurit et les modles dadministration . . Les mthodes conseilles pour scuriser les postes de travail laide dune stratgie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850 . . 851 . . 852 . . 853 . . 855 . . 856
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Partie D
Annexes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
859
861 863 866 867 877 885 886 890 893 895 896 906 913 916 922
Chapitre 27 Annexe I - Liste alphabtique des commandes . A ..................... B ..................... C ..................... D ..................... E ..................... F ..................... G ..................... L ..................... M..................... N ..................... P ..................... R ..................... S ..................... T .....................
Sommaire
Chapitre 28 Annexe II - Les services et les ports rseau sous Windows Server 2003 . . . . . . . . . . . . 927 Les ports des services systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Active Directory (autorit de scurit locale) . . . . . . . . . . . . . Le service de la passerelle de la couche Application . . . . . . . . . Le service dtat ASP.NET . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de certicats . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LExplorateur dordinateurs . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Systme de chiers distribus (DFS) . . . . . . . . . . . . . . . . . Le Serveur de suivi de lien distribu . . . . . . . . . . . . . . . . . . . Le Coordinateur de transactions distribues . . . . . . . . . . . . . Le Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Journal des vnements . . . . . . . . . . . . . . . . . . . . . . . . . Les clients Microsoft Exchange Server et Outlook . . . . . . . . . . Le service de tlcopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . La rplication de chiers . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur de chiers pour Macintosh . . . . . . . . . . . . . . . . . . Le service de publication FTP . . . . . . . . . . . . . . . . . . . . . . . HTTP SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service dauthentication Internet . . . . . . . . . . . . . . . . . . Le service Pare-feu de connexion Internet/Partage de connexion Internet (ICF/ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Centre de distribution de cls Kerberos . . . . . . . . . . . . . . . Lenregistrement de licences . . . . . . . . . . . . . . . . . . . . . . . . Le service Message Queuing (MSMQ) . . . . . . . . . . . . . . . . . . LAffichage des messages . . . . . . . . . . . . . . . . . . . . . . . . . . Les piles MTA Microsoft Exchange . . . . . . . . . . . . . . . . . . . . Le Gestionnaire des oprations Microsoft 2000 . . . . . . . . . . . Le service POP3 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQLSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQL$UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . LOuverture de session rseau . . . . . . . . . . . . . . . . . . . . . . . Le Partage de Bureau distance NetMeeting . . . . . . . . . . . . . . Network News Transfer Protocol (NNTP) . . . . . . . . . . . . . . . . Le service Journaux et alertes de performance . . . . . . . . . . . . Le Spouleur dimpression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 930 931 931 931 932 932 933 933 934 934 934 935 936 937 937 937 938 938 939 939 940 940 941 941 941 942 942 943 943 943 944 944 944
Sommaire
LInstallation distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . LAppel de procdure distante (RPC) . . . . . . . . . . . . . . . . . . . Le Localisateur dappels de procdure distante (RPC) . . . . . . . . La Notication de stockage tendu . . . . . . . . . . . . . . . . . . . . . Le Serveur de stockage tendu . . . . . . . . . . . . . . . . . . . . . . . . Le Routage et accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service SharePoint Portal Server . . . . . . . . . . . . . . . . . . . . Le service Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . Les services TCP/IP simples . . . . . . . . . . . . . . . . . . . . . . . . . LAgent de contrle distance SMS . . . . . . . . . . . . . . . . . . . . . Le service SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service dinterruption SNMP . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Analysis Server . . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Server : prise en charge des clients OLAP de niveau infrieur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de dcouvertes SSDP . . . . . . . . . . . . . . . . . . . . . . . Microsoft Systems Management Server 2.0 . . . . . . . . . . . . . . . . Le Serveur dimpression TCP/IP . . . . . . . . . . . . . . . . . . . . . . . Le service Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . La Gestion de licences Terminal Server . . . . . . . . . . . . . . . . . . LAnnuaire de session des services Terminal Server . . . . . . . . . . Le service Trivial FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LHte priphrique Plug-and-Play universel . . . . . . . . . . . . . . Windows Internet Name Service (WINS) . . . . . . . . . . . . . . . . . Les services Windows Media . . . . . . . . . . . . . . . . . . . . . . . . . Le service de temps Windows . . . . . . . . . . . . . . . . . . . . . . . . Le service de publication World Wide Web . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
945 945 946 946 946 946 947 948 948 948 949 949 950 950 951 951 951 952 952 952 953 953 954 954 955 955 956 956
Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . 965 Chapitre 29 Annexe III - Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967 Chapitre 30 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999
Prface
Nous vous remercions davoir choisi la Bible Windows Server 2003 Windows Server 2008 afin de dvelopper vos comptences dans le domaine des infrastructures Microsoft. Nous avons souhait que cet ouvrage vous serve de guide aussi bien dans la conception de votre infrastructure que dans limplmentation tape par tape des fonctionnalits techniques. Il vous aidera faire face aux problmatiques de tous les jours. Pour cela, louvrage sarticule autour dune tude de cas, une socit fictive, qui sert de point de dpart lexposition des problmatiques et permet dlaborer la conception de la solution, puis limplmentation technique. Mme si nous avons souhait nous concentrer uniquement sur les infrastructures Microsoft, nous avons aussi voulu donner une dimension bien relle aux problmatiques dentreprise en montrant que, de nos jours, la satisfaction de lutilisateur final passe par un savant quilibre entre les fonctionnalits des systmes dexploitation pour serveurs et les fonctionnalits des systmes dexploitation pour clients et quune nouvelle version de Windows ne chasse pas lautre immdiatement. En effet, Windows Vista arrive dans un contexte o le parc informatique est dj compos de Windows XP et/ou Windows 2000, et Windows Server 2008 arrive galement dans un contexte o le parc informatique est dj compos de Windows Server 2003, Windows 2000 Server, voire Windows NT 4.0 Server. Au travers de la conception et de limplmentation des serveurs Windows Server 2003, nous avons souhait vous sensibiliser cet tat de fait et voulu que vous ayez en mains tous les arguments qui vous permettront de faire les choix structurants dans votre contexte. Cest pourquoi vous trouverez, par exemple, des chapitres traitant tout autant du dploiement de Windows Server 2003 que du dploiement de Windows Vista, de la scurisation des serveurs comme de la scurisation des stations de travail ou que des problmatiques comme la gestion des identits et des services rseaux. En raison de la masse dinformations que cela reprsente, la Bible Windows Server 2003 Windows Server 2008 est compose de deux tomes. Le tome I dveloppe les thmes suivants :
j j j
linstallation, le dploiement et les gnralits des systmes dexploitation ; la conception, limplmentation, la maintenance et la scurit dActive Directory ; la scurit des serveurs, des stations de travail, du rseau et des donnes.
Le tome II dveloppe les thmes suivants :
25
j j j
les problmatiques dentreprise comme lauthentification forte, la haute disponibilit ou lintgration de Windows Server 2008 ; la conception, limplmentation, ladministration des services rseau ; ladministration ladministration. centralise de linfrastructure, les outils amliorant
Tous les chapitres sont en rapport avec ltude de cas, mais cela ne vous empchera pas dutiliser ces livres pour un sujet prcis selon vos besoins. Bonne lecture tous !
26
Partie
A
Partie
A
Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12

tude de cas . . . . . . . . . . . . . . . . . . tat des lieux de Windows Server en entreprise . . . . . Windows Server 2003 Service Pack 2 et R2 . . . . . . 29 55 87
Linstallation et le dploiement de Windows Server 2003 . 105 Linstallation de Windows Vista . . . . . . . . . . . 135 Le dploiement des ordinateurs Windows Vista en entreprise phase 1 . . . . . . . . . . . . . . 185 Le dploiement des ordinateurs Windows Vista en entreprise phase 2 . . . . . . . . . . . . . . 247 Les services de dploiement Windows . . . . . . . . 301 Lintgration de Windows Vista dans linfrastructure . . . 351 Windows PowerShell . . . . . . . . . . . . . . . 399 La maintenance des serveurs . . . . . . . . . . . . 429 Windows Server 2008 . . . . . . . . . . . . . . 477
Chapitre 1
tude de cas
1.1 1.2 1.3 1.4 Le contexte : prsentation de la socit Les objectifs . . . . . . . . . . . . . . . . . La mise en uvre . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 42 44 54
Le contexte : prsentation de la socit
uoi de mieux quune mise en situation afin dexpliquer les fonctionnalits de Windows Server 2003 R2 et de montrer toute ltendue des possibilits du systme dexploitation serveur de Microsoft ! Cest par cette affirmation que nous est venue lide de prsenter tous les concepts techniques au travers de la ralit des besoins quotidiens dune entreprise (bien que celle-ci soit invente de toutes pices pour les besoins de louvrage). Nous esprons que ce mode de fonctionnement vous permettra dtablir la relation entre le besoin dentreprise et limplmentation dune fonctionnalit technique et que vous aborderez louvrage soit par rapport une situation que vous vivez dans votre travail quotidien, soit par rapport un concept technique que vous souhaitez approfondir. Ce premier chapitre vous prsente Puzzmania, une socit taille humaine, qui ressemble tant dautres dans le domaine de linformatique et qui a les problmatiques dun grand nombre de socits en France de nos jours. Ce chapitre de rfrence dtaille galement les noms des serveurs, le plan de nommage, le plan dadressage utilis tout au long de louvrage. Pour avoir lopportunit dintroduire la conception dActive Directory dans cet ouvrage, nous allons partir du postulat de base que Puzzmania est architecture autour de domaines Windows NT 4.0, sachant que la plupart des entreprises en France ont toutes (ou presque) migr tout leur parc vers Active Directory. Cela va vous permettre de voir tous les aspects de la conception et, par anticipation, vous donner les bonnes pratiques de rflexion en cas de migration, puisque la migration vers Windows Server 2008 sera bientt dactualit.
1. tude de cas
1.1.
Lactivit de la socit
Puzzmania est une socit de conception et de fabrication de puzzles, compose de 300 personnes rparties autour de trois sites gographiques : Paris, Toulouse et Nice. Elle enregistre de bons rsultats grce une gamme de produits complte (pour tous les ges et tous les niveaux) et connat depuis peu un essor considrable en tant la seule proposer des puzzles 3D grce une technique dimpression holographique des pices unique au monde.
La situation gographique
La socit est articule autour de trois sites gographiques :
j
le site de Paris, qui regroupe la direction, le marketing, les finances, les ressources humaines ; 31
Chapitre 1
tude de cas
le site de Toulouse, qui regroupe lusine de production et dacheminement des puzzles dits classiques ; le site de Nice, qui regroupe le laboratoire lorigine du dveloppement de la technique dimpression 3D unique au monde, ainsi que la production et lacheminement de ces puzzles.
1. tude de cas
Linfrastructure informatique
Le systme dinformation de Puzzmania est limage de la socit : il a t bti il y a quelques annes et il connat maintenant une forte croissance. Puzzmania est compose de trois domaines NT 4.0 indpendants, un sur chaque site gographique, avec des relations dapprobation bidirectionnelles entre les sites. Au fil des diffrents projets informatiques, dus lessor des puzzles 3D, des serveurs Windows 2000 Server et Windows Server 2003 ont t ajouts afin dapporter de la robustesse et des fonctionnalits, mais sans impact sur linfrastructure. Le but principal tait de relier les sites, de communiquer, de rpondre au besoin cote que cote. Chaque site dispose de son propre service informatique (de ladministration au support des utilisateurs). Les utilisateurs sont administrateurs de leurs propres stations de travail : ils utilisent des applications bureautiques (style Office), graphiques ou maison, selon leurs activits.
Plan dadressage IP
La socit utilise exclusivement le protocole TCP/IP comme protocole de communication sur son rseau. Voici comment a t pens le plan dadressage IP (serveurs, quipements actifs, stations de travail) en tenant compte des trois sites gographiques, bas sur une tendue dadresses IP de classe B. Une rgle applique au troisime et quatrime octet de ladresse IP offre un moyen mnmotechnique sympathique qui permet davoir en tte rapidement la relation entre ladresse IP et le type de matriel. Dans certains cas, on peut galement faire une correspondance entre ladresse IP et le nom du serveur, par exemple, bien quaucun plan de nommage officiel nait t crit.
Tableau 1.1 : Rgle dattribution des adresses IP 1er octet 2e octet 172 50 3e octet X = localisation Y = catgorie 4e octet Adresse IP ZZZ = de 1 172.50.XY.ZZZ 254
Le masque de sous-rseau, quant lui, sera le mme sur tous les sites : 255.255.240.0. Il est calcul selon le besoin en adresses. 32
En fonction du masque de sous-rseau et de ltendue des adresses IP disponibles, il est dcid de dcouper ltendue en plusieurs sous-rseaux ; en outre, il est convenu que chaque site gographique dispose de son propre sous-rseau, le tout correctement rout travers les sites.
Tableau 1.2 : Liste des sous-rseaux affects aux sites gographiques de Paris, Toulouse
1. tude de cas
et Nice
Site gographique Paris Toulouse Numro de sousrseau 1 2 Adresse du sousrseau 172.50.0.0 172.50.16.0 Adresses IP des machines De 172.50.0.1 172.50.15.254 De 172.50.16.1 172.50.31.254 De 172.50.32.1 172.50.47.254 Adresse de broadcast 172.50.15.255 172.50.31.255
Nice
172.50.32.0
172.50.47.255
Un tel dcoupage reprsente un total de 16 sous-rseaux disponibles de 4094 machines chacun.
Dnition du troisime octet

Selon la rgle dattribution des adresses IP, la variable X dsigne le site gographique sur lequel se trouve le serveur ou la station de travail.
Tableau 1.3 : Dfinition de la variable X du troisime octet du plan dadressage IP Valeur X 1 2 4 Localisation Paris Toulouse Nice
La variable Y dsigne le type dquipement.

Tableau 1.4 : Dfinition de la variable Y du troisime octet du plan dadressage IP Valeur Y 0 1 2 3 Catgorie dquipements quipements actifs du rseau (routeurs) Serveurs Serveurs Imprimantes
33
Chapitre 1
tude de cas
Valeur Y
Catgorie dquipements Stations de travail Stations de travail
1. tude de cas
4 5
Il faut noter que le fait dintgrer une variable Y dans la rgle dattribution des adresses IP limite encore plus le champ des possibles au sein dun mme sous-rseau. En effet, il va falloir segmenter une plage dadresses IP qui est dj segmente elle-mme.
Dnition du quatrime octet

La variable ZZZ dfinit ltendue des valeurs disponibles pouvant tre affectes une adresse IP, soit une tendue de 1 254. Il est quand mme dfini que les valeurs de 1 9 sont rserves aux contrleurs de domaine rpartis sur les sites gographiques. Exemple : ladresse IP 172.50.10.254 fait rfrence un routeur situ Paris. Ladresse IP 172.50.41.6 fait rfrence un contrleur principal de domaine (CPD) situ Nice.
Le dtail des sites

Paris
j j j
Nombre dutilisateurs : 120. Nombre de stations de travail : 140. Nombre de serveurs : 10.
Liste des serveurs dinfrastructure

Tableau 1.5 : Liste des serveurs dinfrastructure de Puzzmania prsents sur le site de Paris
Nom du serveur PADC01 Adresse IP 172.50.11.1 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine (CSD), serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Contrleur secondaire de domaine pour le domaine TLSPUZZ
PADC02
172.50.11.2
Windows NT 4.0 Server
TLDC06
172.50.11.6
34
Nom du serveur NCEDC08 PABUR01 PAPRINT01 PAMAIL01 PAAV01 PAWEB01 PAWEB02
Adresse IP 172.50.11.8 172.50.11.10 172.50.11.11 172.50.11.12 172.50.11.13 172.50.11.15 172.50.11.16
Systme dexploitation Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Web Edition Windows Server 2003 Web Edition
Fonction Contrleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur dimpression Serveur de messagerie Serveur antivirus Serveur web Serveur web
1. tude de cas
Cas dentreprise La liste des serveurs montre la mixit des versions des systmes dexploitation utilises. En guise de serveurs web, par exemple, on a install Windows Server 2003 afin dutiliser les fonctionnalits dIIS 6. On remarque galement que le site de Paris contient un CSD de chacun des autres domaines. En outre, dans la mesure du possible, les noms de serveur sont reprsentatifs, bien quil ny ait pas de plan de nommage officiel, mais cela nest pas le cas tous les coups. Le serveur DHCP du site, PADC01, distribue des adresses IP comprises dans une tendue allant de 172.50.14.1 172.50.14.254 et de 172.50.15.1 172.50.15 .254. Elles sont distribues aux stations de travail localises au mme endroit.
Toulouse
j j j
Nombre dutilisateurs : 100. Nombre de stations : 90. Nombre de serveurs : 11.
35
Chapitre 1
tude de cas

1. tude de cas
Tableau 1.6 : Liste des serveurs dinfrastructure de Puzzmania prsents sur le site de
Toulouse
Nom du serveur TLDC03 Adresse IP 172.50.21.3 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Contrleur secondaire de domaine pour le domaine PARPUZZ Contrleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur dimpression Serveur de messagerie Serveur antivirus Serveur de base de donnes Serveur applicatif Serveur applicatif
TLDC04
172.50.21.4
PADC03 NCEDC09 TLSBUR01 TLSPRINT01 TLSMAIL01 TLSAV01 TLSBDD01 TLSAPP01 TLSAPP02
172.50.21.3 172.50.21.9 172.50.21.10 172.50.21.11 172.50.21.12 172.50.21.13 172.50.21.14 172.50.21.15 172.50.21.16
Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition
Cas dentreprise Si on compare les listes des serveurs dinfrastructure de Paris et de Toulouse, on retrouve des doublons dans les rles de serveur induits par le fait que le domaine TLSPUZZ est indpendant du domaine de Paris. Cette remarque vaut pour tous les sites. On constate galement des diffrences dans la rgle de nommage des serveurs par rapport au site de Paris, srement dues la prcipitation (par exemple, le site de Toulouse est mentionn sur deux ou trois caractres). Le serveur DHCP du site, TLDC03, distribue des adresses IP comprises dans une tendue allant de 172.50.24.1 172.50.24.254 et de 172.50.25.1 172.50.25 .254. Elles sont distribues aux stations de travail localises au mme endroit.
36
Nice
j j j
Nombre dutilisateurs : 80. Nombre de stations : 90. Nombre de serveurs : 9.
1. tude de cas

Tableau 1.7 : Liste des serveurs dinfrastructure de Puzzmania prsents sur le site de Nice
Nom du serveur NCDC06 Adresse IP 172.50.41.6 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Contrleur secondaire de domaine pour le domaine PARPUZZ Contrleur secondaire de domaine pour le domaine TLSPUZZ Serveur de fichiers Serveur dimpression Serveur de messagerie Serveur antivirus Serveur de base de donnes Serveur applicatif en cluster Serveur applicatif en cluster
NCEDC07
172.50.41.7
PADC04 TLDC05 NCEBUR01 NCEPRINT01 NCEMAIL01 NCEAV01 NCEBDD01 NCAPPA NCEAPPB
172.50.41.4 172.50.41.5 172.50.41.10 172.50.41.11 172.50.41.12 172.50.41.13 172.50.41.14 172.50.41.15 172.50.41.16
Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition
Le serveur DHCP du site, NCDC06, distribue des adresses IP comprises dans une tendue allant de 172.50.44.1 172.50.44.254 et de 172.50.45.1 172.50.45 .254. Elles sont distribues aux stations de travail localises au mme endroit.
Les dysfonctionnements de la situation actuelle

Puzzmania est compose de trois domaines Windows NT 4.0 Server indpendants, avec des relations dapprobation bidirectionnelles entre les sites. Cette architecture se
37
Chapitre 1
tude de cas
focalise sur la communication entre les sites gographiques. Elle nest pas la plus scurise qui soit, ni la plus simple administrer dailleurs. 1. tude de cas Notons les points de dysfonctionnements suivants
La non-uniformit des processus

Aujourdhui, chaque site possde sa propre mthode de travail, ses choix de systmes dexploitation et de logiciels. Pour ne citer quun seul exemple de cette complexit, chaque site possde aujourdhui un antivirus diffrent. Il reste trs difficile, voire souvent impossible, de mettre en place des solutions globales au niveau de lorganisation de Puzzmania.
Les problmes de cots importants

Lorganisation de Puzzmania regroupe, sur lensemble de ses trois sites, une diversit de serveurs et de stations de travail importante. La gamme de serveurs stend de Windows NT 4.0 Server pour les serveurs dinfrastructure, Windows 2000 Server pour les serveurs de base de donnes et de fichiers, en passant par diffrentes ditions de Windows Server 2003 pour des serveurs applicatifs et web. La gamme des stations de travail est lgale de la gamme des serveurs puisque lon y retrouve des clients installs au fil des livraisons matrielles. Des cots importants sont recenss au niveau du centre dappels de la socit. Les techniciens sont obligs de connatre plusieurs systmes dexploitation clients tels que Windows NT 4.0 Workstation, Windows 2000 Professionnel, Windows XP Professionnel et maintenant Windows Vista Professionnel, ainsi que diverses applications, souvent dupliques quand elles ne sont pas triples.
Les problmes de ractivit

Lentreprise souffre de problmes de ractivit plusieurs niveaux. Vu la diversit des versions des systmes dexploitation des stations de travail et des serveurs, la qualification des logiciels se voit multiplie par trois. Prenons lexemple de la suite bureautique Office. Selon la version dOffice utilise sur chaque site, il faut tester son bon fonctionnement, aussi bien sous Windows NT 4.0 Workstation que Windows 2000 Professionnel, Windows XP Professionnel et Windows Vista Professionnel (car la migration du parc vers Windows Vista est ou sera dactualit). En outre, lorsquun problme Office est dtect sur une plateforme ou quun Service Pack sort afin damliorer la scurit ou apporter des fonctionnalits, il faut le temps de le tester et de le dployer sans impact sur les autres plateformes.
38
Le problme de gestion du parc informatique trop complexe

Lentreprise ne possde pas une mthode dinstallation industrialise pour les systmes dexploitation clients et serveurs. La mise en service de stations de travail ou de serveurs se fait manuellement, ce qui touche considrablement la mise en production et le cot des machines. 1. tude de cas
La scurit du systme dinformation

Le maintien danciennes versions de systmes dexploitation apporte son lot de problmes de scurit. Exemple : lobligation de maintenir des protocoles de communication non scuriss. Le fait que tous les utilisateurs soient administrateurs de leur station de travail augmente les risques : installation dapplications non conformes, utilisation de priphriques externes (sans compter limpact sur la gestion du parc et le centre dappels). De plus, Puzzmania ne possde pas de systme centralis de mise jour de correctifs.
Les enjeux de la direction

Afin doptimiser ses performances, la direction dcide de navoir plus quun seul site de production et dacheminement (Toulouse), tout en tirant parti et en communiquant au mieux (cest--dire de faon scurise) avec le laboratoire de Nice. Elle dcide galement de la ncessit de consolider et dhomogniser linfrastructure informatique pour allger les cots. Afin dlargir ses comptences, la direction dcide de racheter deux socits.
Les socits partenaires

Smart Com
Smart Com est une trs petite socit situe Londres, spcialise dans le dveloppement des activits commerciales vers linternational. Le but de ce rachat est den faire une antenne commerciale pour gagner de nouveaux marchs. Son infrastructure informatique est constitue dun seul domaine Windows NT 4.0 Server englobant tous les services de la socit : 4 serveurs pour 15 stations de travail. Les mmes rgles dattribution dadresses IP, nonces dans le plan dadressage IP de Puzzmania, sont appliques ici. Les seules exceptions concernent le sous-rseau dans lequel se trouvent les machines ainsi que la variable X du troisime octet, qui prend ici la valeur 5.
39
Chapitre 1
tude de cas
Tableau 1.8 : Sous-rseau affect au site gographique de Londres pour Smart Com
Site gographique
1. tude de cas
Numro de sousrseau 4
Adresse du sousrseau 172.50.48.0
Adresses IP des machines
Adresse de broadcast
Londres
De 172.50.63.255 172.50.48.1 172.50.63.254
Le nommage des serveurs est, quant lui, propre Smart Com.

Tableau 1.9 : Liste des serveurs dinfrastructure de Smart Com prsents sur le site de
Londres
Nom du serveur SMARTDC01 Adresse IP 172.50.51.1 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Serveur de fichiers et serveur antivirus Serveur de base de donnes et serveur applicatif
SMARTDC02
172.50.51.2
SMARTBUR01 SMARTBDD01
172.50.51.10 172.50.51.11
Windows 2000 Server Windows 2000 Server
Le serveur DHCP du site, SMARTDC01, distribue des adresses IP comprises dans une tendue allant de 172.50.54.1 172.50.54.254 et de 172.50.55.1 172.50.55 .254. Elles sont distribues aux stations de travail localises au mme endroit.
Cradesign
Cradesign est une petite socit high-tech situe Nice, spcialise dans linfographie. Le but de ce rachat est de renforcer le dveloppement autour de la technique qui fait le succs de lentreprise. La socit est constitue dun domaine unique Active Directory Windows Server 2003 comprenant sept serveurs et cinquante postes. Les mmes rgles dattribution dadresses IP, nonces dans le plan dadressage IP de Puzzmania, sont appliques ici. Les seules exceptions concernent le sous-rseau dans lequel se trouvent les machines ainsi que la variable X du troisime octet, qui prend ici la valeur 7. 40
Tableau 1.10 : Sous-rseau affect au site gographique de Londres pour Smart Com
Site gographique Nice Numro de sousrseau 5 Adresse du sousrseau 172.50.64.0 Adresses IP des machines Adresse de broadcast
1. tude de cas
De 172.50.79.255 172.50.64.1 172.50.79.254
Le nommage des serveurs est, quant lui, propre Cradesign.

Tableau 1.11 : Liste des serveurs dinfrastructure de Cradesign prsents sur le site de
Nice
Nom du serveur creadc1 Adresse IP 172.50.71.1 Systme dexploitation Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Fonction Contrleur de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Serveur de fichiers Serveur antivirus Serveur applicatif et de base de donnes en cluster Serveur applicatif et de base de donnes en cluster Serveur web
creadc2
172.50.71.2
creabur1 creaav1 creabda creabdb creaweb1
172.50.71.10 172.50.71.11 172.50.71.12 172.50.71.13 172.50.71.14
Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Web Edition
Le serveur DHCP du site, creadc1, distribue des adresses IP comprises dans une tendue allant de 172.50.74.1 172.50.74.254 et de 172.50.75.1 172.50.75 .254. Elles sont distribues aux stations de travail localises au mme endroit.
La communication entre les socits

Une fois lannonce faite par la direction du rachat de Smart Com et de Cradesign, la premire tape, dun point de vue informatique, est dtablir le contact entre les trois socits. Pour ce faire, il faut crer de nouvelles relations dapprobation entre les
41
Chapitre 1
tude de cas
domaines, mais galement configurer les serveurs WINS comme partenaires de rplication afin de convertir les noms NetBIOS en adresses IP. 1. tude de cas
Rsum du contexte
Puzzmania est une entreprise de taille moyenne, fonctionnant sous une architecture Windows NT 4.0 Server, et repartie sur trois sites. Chaque site est autonome dans le choix de ses machines et de ses logiciels, et dispose approximativement dune dizaine de serveurs, allant de Windows NT 4.0 Server Windows Server 2003 Enterprise Edition, et dune centaine de postes utilisateurs, allant de Windows NT 4.0 Workstation Windows XP professionnel. Chaque site possde son propre domaine et communique avec les autres domaines de lentreprise laide de relations dapprobation bidirectionnelles, et parfois de comptes dupliqus pour ladministration. Puzzmania travaille aujourdhui essentiellement avec deux partenaires :
j
Cradesign, pour la partie recherche et dveloppement de nouveaux produits. Cette socit volue dans une fort Active Directory Windows Server 2003 regroupant quelques serveurs et une cinquantaine dutilisateurs. Cradesign possde une forte exprience informatique dans les nouvelles technologies. Smart Com, pour la partie communication. Cette socit de petite taille dispose dune petite structure informatique dune quinzaine de personnes et de quatre serveurs.
Pour que tous les sites puissent partager linformation, on est oblig de crer des relations dapprobation dans tous les sens, ce qui a comme consquence daugmenter les risques dintrusion et de complexifier ladministration (placer les droits sur les serveurs de fichiers est un vrai casse-tte !). On saperoit galement que la mixit des systmes dexploitation au niveau des fondements de linfrastructure complique galement le problme.
1.2.
Les objectifs
Vu les stratgies de dveloppement mises en uvre par la direction et compte tenu des contraintes techniques dues larrt programm du support de Windows NT 4.0 Server, la dcision est prise de restructurer le systme dinformation autour de Windows Server 2003. Windows Server 2003 est le systme dexploitation serveur Microsoft de rfrence (en attendant Windows Server 2008, son successeur). Puzzmania compte profiter des nouveauts apportes par Windows Server 2003 R2 (sorti en 2005), des amliorations de scurit, de stabilit et de performances apportes par le Service Pack 2 ainsi que des fonctionnalits danticipation larrive de Windows Vista dans linfrastructure rseau et systme, apportes galement par le Service Pack 2. 42
Les objectifs
Trois grands axes de travail sont retenus 1. tude de cas
Rduire les cots

Vaste travail ! La premire tape consiste concevoir une nouvelle infrastructure qui sera la base dun travail de fond sur la rduction des cots. Une plus grande disponibilit de linfrastructure, des serveurs et des stations de travail va participer galement la rduction des cots. Tout doit tre mis en uvre pour simplifier laccs aux donnes, mettre en place toutes les options et les services qui vont accrotre la productivit de lutilisateur. Une autre tape importante porte sur lindustrialisation des installations des stations de travail et des serveurs, luniformit des choix logiciels et lallgement de la charge de travail du centre dappels. En effet, en utilisant tout le potentiel de linfrastructure Windows Server 2003, il sera possible dautomatiser linstallation des serveurs et des stations de travail, et galement dappliquer des stratgies de groupe qui dfiniront les droits des utilisateurs (par exemple, les logiciels quils ont le droit dutiliser). Dans le contexte de Puzzmania, le but est davoir une plateforme matrielle et logicielle commune tous les sites. Cela permettra dtre plus ractif lors de la sortie dune nouvelle version dOffice par exemple. En outre, la charge de travail du centre dappels sera allge, non seulement parce que les comptences demandes aux techniciens de support seront plus clairement exprimes, mais aussi parce que lenvironnement de travail de lutilisateur sera contrl.
Intgrer les trois socits dans une nouvelle organisation

Concevoir le nouveau systme dinformation, cest un peu comme btir une maison : il faut toujours commencer par les fondations. Plus les fondations seront solides, plus il sera facile de rpondre aux besoins prsents et futurs. Il ne faut pas perdre de vue que linfrastructure informatique doit rpondre une problmatique dentreprise. En ce qui concerne Smart Com et Cradesign, informatiquement parlant, il est possible de travailler de plusieurs faons : soit on les considre comme des partenaires communiquant avec Puzzmania, soit on les absorbe dans linfrastructure de Puzzmania. En faisant le parallle avec les enjeux de la direction, on saperoit que lobjectif est bien de les absorber dans la nouvelle infrastructure tout en conservant leurs spcificits : Smart Com doit devenir une antenne commerciale et Cradesign doit se rapprocher du site de Nice et doit tre scurise.
43
Chapitre 1
tude de cas
Scuriser linfrastructure
1. tude de cas lheure actuelle, il est clair que les infrastructures informatiques doivent tre les plus scurises possibles. La scurit doit tre implmente sur plusieurs niveaux fonctionnels.
j j
Scurit du matriel dinfrastructure : les serveurs qui vont jouer un rle important dans linfrastructure devront tre scuriss dans une salle prvue cet effet. Scurit des processus : prenons lexemple des sauvegardes et des restaurations dActive Directory. Il faut savoir comment les raliser. Tout prend un sens quand on sait quel processus il faut suivre pour mettre la sauvegarde en lieu sr afin dviter un dsastre. Scurit des flux : certaines communications de lentreprise doivent tre protges. Il sagit disoler lactivit de recherche et de dveloppement du site de Nice de Puzzmania et de Cradesign et de crypter les donnes sensibles. Scurit des systmes dexploitation : tout doit tre mis en uvre pour avoir une politique antivirale et de mise jour des correctifs de scurit la plus homogne et la plus efficace possible.
1.3.
La mise en uvre
Pour atteindre les diffrents objectifs, on porte le choix sur des logiciels tournant sous Windows Server 2003 pour la partie serveur : selon les besoins, soit Windows Server 2003 sera install, soit Windows Server 2003 R2 ; le Service Pack 2 sera install sur tous les serveurs. En ce qui concerne le poste de travail, les ordinateurs dj prsents et aux capacits limites seront sous Windows XP Professionnel. Les nouveaux ordinateurs seront sous Windows Vista Professionnel. Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel ont t choisis car ce sont les systmes dexploitation qui rpondent le mieux lensemble des demandes de la direction. Ils prsentent toutes les qualits dun systme dexploitation mature, robuste et scuris. Lquipe informatique a recens lensemble des demandes de la direction et dgag les trois objectifs exposs prcdemment :
j j j
une rduction de cots plusieurs niveaux ; la mise en place dune organisation unique avec lintgration des deux socits partenaires ; la scurit.
44
La mise en uvre
Comment rduire les cots plusieurs niveaux ?

Une rduction de cots importante a t demande par la direction. Cette rduction, pour tre consquente, devra sappliquer sur les points suivants :
j j j j j j j
1. tude de cas
la matrise du nombre des serveurs dinfrastructure ; la gestion des cots lis aux stations de travail et aux serveurs ; la rorganisation des sites ; la stabilit des stations de travail des utilisateurs ; la gestion des cots lis aux utilisateurs ; la rduction du nombre coups de tlphone au centre dappels ; la rduction des interventions des techniciens sur les sites.
Matriser le nombre des serveurs dinfrastructure

Une tude va tre ralise sur la conception de la structure dannuaire. Elle comportera une rflexion autour des points suivants :
j j j
la structure logique ; la topologie de site ; la planification de la capacit des contrleurs de domaine.
partir de cette tude, il sera possible de dterminer le nombre de sites ayant besoin de serveurs dinfrastructure et les sites qui deviendront des succursales sans serveur dinfrastructure. La charge des contrleurs de domaine sera calcule. Le nombre de serveurs et les configurations de chaque machine au niveau de la puissance et du stockage en seront dduits.
Grer les cots lis aux stations de travail et aux serveurs

Pour pouvoir rduire le cot des serveurs et stations de travail, il sera important de limiter le nombre dinterventions et le temps pass sur chaque machine. Pour cela, deux actions de base vont tre mises en place :
j j
Les serveurs seront installs partir de techniques dites silencieuses, avec des fichiers de rponses. Les stations de travail seront industrialises avec linstallation des Service Packs et autres, selon la technique de slipstream. Les postes utilisateurs seront prconfigurs avec les logiciels ncessaires au fonctionnement de la station de travail de base.
45
Chapitre 1
tude de cas
Rorganiser les sites

1. tude de cas
Figure 1.1 : Le futur plan des sites
Lentreprise sera rorganise de la faon suivante : trois sites et une succursale. Chacun des trois sites possdera des serveurs dinfrastructure du domaine auquel il appartient. Les serveurs dinfrastructure auront les rles de service rseau, tels que DNS, WINS, DHCP, Active Directory et serveur de catalogue global.
Stabiliser les stations de travail utilisateurs

Pour ne plus avoir de problmes de stabilit sur les stations de travail, les utilisateurs ne seront plus administrateurs de leur station. Il faudra donc utiliser la politique du moindre privilge. Pour garantir la bonne utilisation des postes, on publiera les logiciels de base, ce qui aura comme intrt de se remettre en place automatiquement en cas de suppression volontaire ou involontaire de la part de lutilisateur. On utilisera des modles de scurit pour appliquer des paramtres de scurit cohrents sur lensemble des stations de travail de lorganisation. On crera des stratgies de groupe en fonction des besoins des services (ressources humaines, finances) et des contraintes de domaine et de site, pour assurer la meilleure utilisation des postes selon les besoins spcifiques, et uniquement les besoins.
46
La mise en uvre
Grer les cots lis aux utilisateurs

Pour limiter lutilisation des serveurs de fichiers, on appliquera des quotas pour matriser les dpenses dues lachat despace disque. Laction dun utilisateur sur un poste se limitera uniquement aux besoins de son primtre. Il sera important de limiter, voire dempcher linstallation de logiciels exotiques (non ncessaires lentreprise), qui sont facteurs de rinstallation des postes et de surplus de coups de tlphone au centre dappels (help desk). 1. tude de cas
Rduire le nombre de coups de tlphone au centre dappels

La mise en place de clichs instantans permettra aux utilisateurs de grer eux-mmes les sauvegardes des diffrentes versions de leurs fichiers. Par une interface trs simple, ils pourront restaurer des versions antrieures et ainsi diminuer le nombre de coups de tlphone au centre dappels. Ltude des stratgies de compte en fonction des besoins de chaque domaine contribuera galement leffort de rduction de la charge dappels.
Rduire les interventions des techniciens sur les sites

On dploiera les logiciels par lintermdiaire de la technologie IntelliMirror. Pour rduire les cots lis aux interventions des techniciens sur les sites, on mettra en place un modle de poste standard.
Comment crer une organisation unique et intgrer les deux socits partenaires ?
Mettre en place une architecture autour dune organisation unique
Le choix retenu a t la mise en uvre dun annuaire Active Directory bas sur un modle de fort unique. Cette solution permet dexploiter les avantages de lannuaire Active Directory autour du nom puzzmania.com. Le fait de rassembler lorganisation de lentreprise sous une forme de fort unique ne ferme pas les portes sur les possibilits disoler une partie de lentreprise ayant des besoins spcifiques, en matire de scurit par exemple. Lannuaire Active Directory permet dexploiter de nouvelles fonctionnalits telles que la prise en compte des notions de site, dunit organisationnelle, de groupe universel. On pourra appliquer des stratgies de groupe aux utilisateurs et aux ordinateurs en fonction de critres multiples.
47
Chapitre 1
tude de cas
1. tude de cas
Figure 1.2 : Nouvelle organisation de domaines
Rednir lorganisation logique de lentreprise tenant compte des demandes de scurit et de lintgration des deux partenaires
Lentreprise Puzzmania et les socits Smart Com et Cradesign ont t rorganises en trois domaines. Les domaines de SmartCom et Cradesign ont disparu. Le premier domaine, puzzmania.com, est la racine de la fort. Il est vide. Il ne possde que des contrleurs de domaine configurs comme serveurs de catalogue global, ainsi que les cinq rles matres. Le deuxime domaine, corp.puzzmania.com, regroupe la majeure partie des utilisateurs et des ressources. Lancien domaine Smart Com est intgr dans ce domaine. Le troisime domaine, rd.puzzmania.com, rpond des besoins de scurit spcifiques, qui ne peuvent tre assurs dans le cadre dun domaine unique : flux crypts, mise en place de certificats, modles de scurit, etc. Par cette rorganisation, lentreprise va rduire considrablement le trafic rseau et les relations dapprobation au travers du rseau. Elle conservera une certaine indpendance au niveau de ladministration, tout en intgrant les deux socits partenaires au sein dune organisation unique. La succursale de Londres passe dix utilisateurs : elle ne possdera ni contrleur de domaine ni serveur dinfrastructure.
Mettre en place un plan dadressage IP et un plan de nommage commun

Cette rorganisation est loccasion rve de remettre plat le plan dadressage IP et le plan de nommage afin dharmoniser et de simplifier lutilisation du rseau au travers des 48
La mise en uvre
diffrents sites, de clarifier les rles des serveurs et danticiper le futur : pourquoi pas le rachat de nouvelles socits ! 1. tude de cas
Plan dadressage IP
Une rgle assez similaire la rgle existante chez Puzzmania est mise en place. Elle permettra de conserver les habitudes prises par les administrateurs. Elle joue sur les distinctions simplifies du troisime et du quatrime octet. Le deuxime octet, quant lui, change et prend la valeur 100.
Tableau 1.12 : Nouvelle rgle dattribution des adresses IP
1er octet 172 2e octet 100 3e octet X = localisation 4e octet ZZZ = de 1 254 Adresse IP 172.100.Xxx.ZZZ
Le masque de sous-rseau, quant lui, sera le mme sur tous les sites, cest--dire 255.255.240.0. En fonction du nombre dadresses IP souhaites et du nombre de sites gographiques, il est convenu de dcouper ltendue dadresses IP en 16 sous-rseaux afin de prvoir lventualit dune future croissance et daffecter un sous-rseau par site gographique, lexception du site de Nice, qui disposera dun sous-rseau supplmentaire afin de scuriser au mieux le domaine rd.puzzmania.com. Seuls 5 sous-rseaux seront utiliss pour linstant.
Tableau 1.13 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,
Toulouse, Londres et Nice R&D

Site gographique Nice Toulouse Paris Londres Nice R&D Numro de sous-rseau 1 2 3 4 5 Adresse du sousrseau 172.100.0.0 172.100.16.0 172.100.32.0 172.100.48.0 172.100.64.0 Adresses IP des machines De 172.100.0.1 172.100.15.254 De 172.100.16.1 172.100.31.254 De 172.100.32.1 172.100.47.254 De 172.100.48.1 172.100.63.254 De 172.100.64.1 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255
Un tel dcoupage reprsente un total de seize sous-rseaux disponibles de 4094 machines chacun.
49
Chapitre 1
tude de cas
Dnition du troisime octet

1. tude de cas Selon la nouvelle rgle dattribution des adresses IP, la variable X dsigne le site gographique sur lequel se trouve le serveur ou la station de travail. Dans le nouveau plan dadressage IP, la localisation des sites est dtermine tout simplement par ltendue disponible du troisime octet au sein du sous-rseau.
Tableau 1.14 : Dfinition de la variable X du troisime octet du nouveau plan
dadressage IP
Valeur X comprise entre 0 et 15 16 et 31 32 et 47 48 et 63 64 et 79 Localisation Nice Toulouse Paris Londres Nice R&D
Dnition du quatrime octet

La variable ZZZ dfinit ltendue des valeurs disponibles pouvant tre affectes une adresse IP, soit une tendue de 1 254. Les valeurs de 1 9 sont rserves aux contrleurs de domaine rpartis sur les sites gographiques. Exemple : ladresse IP 172.100.1.1 fait rfrence un serveur ayant le rle de contrleur de domaine pour puzzmania.com situ Nice.
Plan de nommage
En complment du plan dadressage IP, comme il est possible de dterminer le site dune machine en fonction de son adresse IP, pourquoi ne pas trouver une rgle de nommage qui permettrait den dterminer galement le rle et une partie de ladresse IP ? Reprenons lexemple du contrleur de domaine pour puzzmania.com situ Nice. Son adresse IP est 172.100.1.1, son nom sera SNCERCDC01. Pour expliquer comment le dterminer, il faut dcouper le nom en quatre sous-parties, SNCERCDC01, et tablir la correspondance selon des variables WXXXYYZZZZ :
50
La mise en uvre
Tableau 1.15 : Nouvelle rgle dattribution des noms de serveur

Variable W Catgorie dquipements S = serveur I = imprimante W = station de travail T = tlphonie R = quipement actif rseau Variable XXX Site gographique NCE = Nice TLS = Toulouse PAR = Paris LON = Londres Variable YY Domaine RC = puzzmania .com CP = corp .puzzmania.com RD = rd.puzzmania .com Variable ZZZZ
1. tude de cas
Rle de lordinateur sur 2 caractres Numro sur 2 caractres DC01 = contrleur de domaine numro 1
Comme la distinction entre le domaine de recherche et le reste de lactivit se fait par la variable YY = RD, il nest pas besoin davoir de valeur particulire pour la variable XXX autre que NCE pour reprsenter le site gographique de Nice. Les valeurs de la variable ZZZZ sont laisses la libre apprciation de ladministrateur selon le rle du serveur ou de la station de travail. On peut imaginer les caractres suivants pour des serveurs : AV pour antivirus, BD pour base de donnes, FS pour serveur de fichiers (en anglais, File Server), etc., sachant que de nouvelles applications peuvent sortir, engendrant de nouveaux caractres. On peut galement imaginer la premire lettre du prnom et la premire lettre du nom pour la station de travail dun utilisateur donn. Lnumration de toutes les possibilits est impossible. Ce quil faut retenir, cest quil est possible de rapprocher, de cette faon, le nom dun ordinateur et son adresse IP. Par exemple, STLSCPBD01, qui est un serveur de base de donnes du domaine corp.puzzmania.com situ sur le site de Toulouse, a ladresse IP 172.100.22.14. On ne peut videmment pas retrouver ladresse IP complte par le nom cause des deux derniers octets, mais on peut sen rapprocher. Voici les noms, les adresses IP et la localisation des contrleurs de domaine qui constitueront la fort puzzmania.com.
Tableau 1.16 : Liste des contrleurs de domaine de la fort puzzmania.com
Nom dordinateur SNCERCDC01 SNCERCDC02 SNCECPDC01 Adresse IP 172.100.1.1 172.100.1.2 172.100.11.1 Adresse de sousrseau 172.100.0.0 172.100.0.0 172.100.0.0 Domaine puzzmania.com puzzmania.com Site gographique Nice Nice
corp.puzzmania Nice .com
51
Chapitre 1
tude de cas
Nom dordinateur
Adresse IP 172.100.22.1 172.100.33.1 172.100.66.1 172.100.66.2
Adresse de sousrseau 172.100.16.0 172.100.32.0 172.100.64.0 172.100.64.0
Domaine
Site gographique
1. tude de cas
STLSCPDC01 SPARCPDC01 SNCERDDC01 SNCERDDC02
corp.puzzmania Toulouse .com corp.puzzmania Paris .com rd.puzzmania .com rd.puzzmania .com Nice Nice
Comment scuriser linfrastructure ?

Puisque les rseaux sont constamment menacs par des attaques provenant de sources diffrentes, la direction souhaite se prmunir. En ce sens, elle a demand la mise en place dun plan de scurit tous les niveaux de lentreprise avec les exigences suivantes :
j j j j j j j
tenir compte du cot initial et continu de la scurit ; considrer les exigences lgales qui affectent la mise en uvre de la scurit ; mesurer limpact des dcisions de scurit sur les utilisateurs finaux ; mesurer les risques en se fondant sur la probabilit et la criticit de la menace ; maintenir linteroprabilit ; rpondre aux besoins dvolutivit ; scuriser le service de R&D.
Pour ce faire, il est ncessaire dtudier les solutions les moins onreuses et de regarder les technologies de scurit apportes par Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel (et les Service Pack 2 de Windows Server 2003 et Windows XP) pouvant rpondre au mieux au plan de scurit.
Tenir compte du cot initial et continu de la scurit

Pour rpondre au mieux cette demande, on dfinira une phase de conception en introduction du plan de scurit. Cette phase de conception sorientera autour des points suivants :
j j j
la conception de la scurit pour la gestion du rseau ; la conception dune infrastructure de mise jour des dispositifs de scurit ; la conception dun systme de clients scuris.
52
La mise en uvre
Ces phases de conception vont permettre danalyser tous les facteurs qui, sils ne sont pas identifis, risquent daugmenter le cot de la scurit, et de rechercher les technologies de scurit qui, si elles ne sont pas employes, feront chouer le projet.
1. tude de cas
Considrer les exigences lgales qui affectent la mise en uvre de la scurit

Pour intgrer les dispositions lgales au sein de lentreprise, il est important de demander au service juridique de lentreprise de vrifier le plan de scurit. Il sagit entre autres de raliser un certain nombre de dmarches auprs des organismes gouvernementaux et des associations qui peuvent tre des sources de conseils en matire de scurit.
Mesurer limpact des dcisions de scurit sur les utilisateurs naux

Il faudra mesurer limpact des dcisions de scurit sur lutilisateur final. Prenons comme exemple la stratgie de compte : une stratgie de mot de passe trop lourde, par exemple 15 caractres + lutilisation de la complexit stratgie de complexit de mot de passe, forcerait lutilisateur conserver son mot de passe sur un papier, prs de son ordinateur. Une stratgie de verrouillage de comptes mal adapte apportera un surplus important de coups de tlphone au centre dappels.
Mesurer les risques en se fondant sur la probabilit et la criticit de la menace

Il est important de pouvoir mesurer les probabilits dattaques, les moyens mis en uvre face une menace ainsi que les rponses ces menaces, afin den estimer les cots. Prenons le cas de la probabilit dune menace. Si on dfinit une chelle des probabilits allant de 1 9 9 tant la probabilit la plus importante quune menace se produise et si on dfinit une chelle du niveau de criticit allant de 1 9 9 tant la criticit la plus leve , une menace avec une probabilit de 2 et une criticit de 8 sur cette chelle devra tre prise en compte selon certaines considrations.
Maintenir linteroprabilit
Appliquer une scurit importante dans lentreprise ne signifie pas que lactivit doit sarrter. Que lon ne puisse plus communiquer, changer des donnes ou encore piloter des applications nest pas forcment le signe dun rseau scuris. Au contraire, il faut pouvoir garantir les changes de donnes en cryptant les informations, en sassurant de la compatibilit de certains protocoles avec les autres systmes, en veillant laspect fonctionnel de linfrastructure.
53
Chapitre 1
tude de cas
1. tude de cas
Les performances des machines doivent tre prises en compte galement : en effet, lutilisation excessive dun protocole de cryptage peut empcher un ordinateur de communiquer dans un temps imparti.
Rpondre aux besoins dvolutivit

Limplmentation de la scurit tous les niveaux ne doit pas tre une contrainte dans le cadre de futures migrations, le jour o Puzzmania achtera une autre socit. Il ne faut pas que linfrastructure devienne une voie de garage dans laquelle il nest plus possible dvoluer.
Scuriser le service de R&D

Ce service tant celui qui gnre la valeur ajoute de la socit, il faudra particulirement le scuriser, tant au niveau des matriels, quau niveau de linfrastructure (dfinition dun domaine ddi) et de la transmission des donnes.
1.4.
En rsum
Nous avons voulu que cette tude de cas soit suffisamment gnrique et ouverte pour que chaque administrateur y retrouve les informations dont il a besoin : soit par rapport une situation laquelle il est confront, soit par rapport une fonctionnalit technique. Nous souhaitons que tous les concepts techniques abords par la suite trouvent un sens dans une ralit quotidienne et vous permettent danticiper les phases de migration : avec Windows Server 2003 et Windows Server 2008, avec Windows XP et Windows Vista.
54
Chapitre 2
tat des lieux de Windows Server en entreprise

2.1 2.2 2.3 2.4 2.5 Les diffrentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . De Windows NT 4.0 Server Windows Server 2003, quest-ce qui a chang ? . . . De Windows 2000 Server Windows Server 2003, quest-ce qui a chang ? . . . . Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 62 65 71 85
Les diffrentes versions de Windows Server 2003
ue de chemin parcouru par Windows en entreprise depuis dix ans ! Depuis Windows NT 3.51, puis Windows NT 4.0 qui a fait dcoller ce que lon appelle la "technologie NT" au sein de lentreprise, force est de constater que la part de march de la branche serveur des produits Microsoft est en hausse constante. Les entreprises se sont vite aperues que Windows Server tait adapt la gestion des infrastructures de comptes et de ressources. Petit petit, grce ltendue des possibilits des produits, Windows Server est devenu une rfrence dans lentreprise, non seulement pour grer linfrastructure, mais aussi pour fournir une multitude de services (impression, base de donnes, messagerie, travail en collaboration, supervision, et bien dautres). Dans les grandes socits, il permet de grer des milliers de comptes ; dans les petites, il permet davoir un serveur tout faire pas trop dur installer et administrer. Aussi, quand Microsoft a introduit Windows 2000 et chang la faon de grer les comptes et les ressources en sortant Active Directory, limpact a t trs grand pour les entreprises. De longs projets, parfois complexes, ont vu le jour et certaines entreprises ont prfr attendre avant de migrer, convaincues de linluctabilit de la migration. Cest pourquoi, mme de nos jours, plusieurs annes aprs la mise disposition dActive Directory, les migrations sont encore courantes dans lindustrie. Windows Server 2003 est arriv point, avec son lot de nouveauts, afin de complter le processus. Comme Windows Server 2003 sappuie sur les dix ans dhistoire de Windows NT et des serveurs Windows qui lui ont succd, il offre une interoprabilit complte avec les serveurs Windows 2000 Server et Windows NT Server, condition que lon respecte certaines procdures. Cest pourquoi les entreprises peuvent immdiatement installer de nouveaux serveurs excutant Windows Server 2003, mme si elles nont pas encore dploy Active Directory. Elles bnficieront immdiatement des amliorations en matire dadministration, de fiabilit, de scurit, de performances et dintgration des services web XML par exemple.
2. tat des lieux de Windows Server en entreprise
2.1.
Windows Server 2003 offre une gamme de solutions destines rpondre aux divers besoins des organisations de toutes tailles. Aussi, les scnarios dutilisation et les besoins en termes de puissance, de disponibilit et dvolutivit, constitueront les critres de choix entre les diffrentes ditions de Windows Server 2003. Adresse Windows Server 2003
www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp
Windows Server 2003 Standard Edition

Windows Server 2003 Standard Edition est un systme dexploitation serveur rseau polyvalent. Il rpond aux besoins des petites et moyennes organisations et des services 57
Chapitre 2
dpartementaux ou groupes de travail. Windows Server 2003 Standard Edition permet le partage de fichiers et dimprimantes, une connectivit Internet scurise, le dploiement centralis dapplications de bureautique, une collaboration performante entre les employs, les partenaires et les clients. Il permet la mise en uvre dune infrastructure dentreprise (services rseau et de communications, scurit, annuaire, gestion de parc). Il prend en charge le support de systmes multiprocesseurs symtriques jusqu quatre processeurs et un maximum de 4 Go de mmoire vive.
Windows Server 2003 Enterprise Edition

Windows Server 2003 Enterprise Edition constitue un serveur de choix pour les moyennes et grandes entreprises. Il permet la mise en uvre dune infrastructure dentreprise (services rseau et de communications, scurit, annuaire, gestion de parc), lexploitation dapplications mtier ou tournes vers Internet, comme les services web et le commerce lectronique. Windows Server 2003 Enterprise Edition permet la monte en charge sur des serveurs (jusqu huit processeurs), et existe en deux versions destines au support des plateformes Intel 32 bits et 64 bits. Il prend en charge jusqu 32 Go de mmoire RAM sur plateforme 32 bits et 64 Go de mmoire RAM sur plateforme 64 bits. Point dentre pour la consolidation des services dinfrastructure et des serveurs dapplications, Windows Server 2003 Enterprise Edition bnficie doutils de contrle des ressources (processeurs et mmoires) associes aux applications. La mise en uvre de solutions de haute disponibilit sappuiera sur le service de clusters (jusqu huit nuds) et le service de rpartition de charge rseau.
Windows Server 2003 Datacenter Edition

Destin la mise en uvre dapplications critiques et volumineuses, Windows Server 2003 Datacenter Edition rpond aux besoins des plus grosses bases de donnes, systmes transactionnels et applications mtier spcifiques. Windows Server 2003 Datacenter Edition reprsente le systme dexploitation serveur le plus puissant et le plus fonctionnel jamais conu par Microsoft. Son architecture robuste permet la mise en uvre de solutions de base de donnes critiques et de logiciels de planification de ressources dentreprise (ERP). Il permet le traitement de volumes importants de transactions en temps rel et constitue une excellente plateforme pour la consolidation de serveurs, y compris pour la consolidation dapplications htrognes. Il prend en charge jusqu 32 processeurs et 64 Go de mmoire sur les serveurs 32 bits et jusqu 64 processeurs et 512 Go de mmoire RAM sur les serveurs base de processeurs 64 bits Intel Itanium. De quoi satisfaire les plus gros besoins en ressources !
Windows Server 2003 Web Edition

Spcifiquement conu et optimis pour la mise en uvre de solutions web, Windows Server 2003 Web Edition est un nouveau produit dans lensemble des serveurs web. Il peut tre utilis aussi bien par les fournisseurs de services Internet que par les organisations qui ont choisi dhberger elles-mmes leurs serveurs web. Il est optimis 58
pour offrir aux entreprises une plateforme complte et robuste de services et dhbergement web, facile dployer et grer. Grce la technologie ASP .NET de Microsoft, qui fait partie du Framework .NET, Windows Server 2003 Web Edition apporte aux dveloppeurs une plateforme de cration et de dploiement rapide de services et dapplications web XML. 2. tat des lieux de Windows Server en entreprise
Comparaison des caractristiques des diffrentes versions de Windows Server 2003

Le tableau suivant compare les caractristiques des diffrentes versions de Windows Server 2003. Il vous aidera dans le choix des versions installer en fonction de vos besoins. Lgende utilise
j j j
T : caractristique totalement prise en charge ; P = caractristique partiellement prise en charge ; - = caractristique non prise en charge.
Tableau 2.1 : Comparaison des caractristiques de Windows Server 2003 Caractristique Standard Edition T T T T T T T T T T Enterprise Edition T T T T T T T T T T T Datacenter Edition T T T T T T T T T Web Edition
Services dapplication .NET Framework .NET IIS6.0 ASP. NET Service UDDI quilibrage de la charge rseau Service cluster Rseau priv virtuel (VPN) Service dauthentification Internet (IAS) Pont rseau Partage de connexion Internet (ICS) IPv6 T T T T P T
Technologie de clusters
Communications et services rseau
59
Chapitre 2
Caractristique Service dannuaire Active Directory
Standard Edition T -
Enterprise Edition T T
Datacenter Edition T T
Web Edition
P -
Prise en charge de MMS (Metadirectory Services) Systme de fichiers distribu (DFS) Systme de fichiers crypts (EFS) Restauration de clichs instantans Transport de clichs instantans Stockage amovible Stockage distance Service de tlcopie Service pour Macintosh Services pour Unix Virtual Disk Service (VDS) Virtual Shadow Copy Service (VSS) Service de gestion IntelliMirror Jeu de stratgie rsultant (RSoP) Ligne de commande Windows Management Instruction (WMI) Installation du systme dexploitation distance Service dinstallation distance (RIS) Windows System Resource Manager (WSRM)
Services de fichiers et dimpression T T T T T T T T T T T T T T T T T T T T T T T T T T T T T T T P T T T T T T
T T T
T T T
T T T
P P T
T T -
T T T
T T T
T -
60
Caractristique Services multimdias Services Windows Media volutivit Prise en charge 64 bits pour les processeurs Ajout de la mmoire chaud Accs non uniforme la mmoire (NUMA) Programme Datacenter Services de scurit Pare-feu Internet Services de certificats, infrastructure de cls publiques et cartes puces Bureau distance pour ladministration Terminal Server Annuaire de session Terminal Server
Standard Edition P T T P
Enterprise Edition T T T T T T
Datacenter Edition T T T T T T
Web Edition
T P
Services Terminal Server T T T T T T T T T -
Conguration requise
Mme si les configurations minimales ne sont pas vraiment ralistes pour faire tourner en production un environnement Windows Server 2003, il reste toujours intressant de les connatre. Elles sont prsentes dans le tableau suivant. Elles peuvent vous tre utiles par exemple en environnement de test ou de lab., sur des machines virtuelles.
Tableau 2.2 : Configurations requises
Critre Standard Edition Enterprise Edition 133 MHz (x86) 733 MHz (Itanium) Datacenter Edition 133 MHz (x86) 733 MHz (Itanium) Web Edition 133 MHz Frquence dhorloge 133 MHz minimale du processeur
61
Chapitre 2
Critre
Standard Edition
Enterprise Edition 733 MHz 128 Mo 256 Mo 32 Go (x86) 64 Go (Itanium) Jusqu 8 1,5 Go (x86) 2 Go (Itanium)
Datacenter Edition 733 MHz 512 Mo 1 Go 64 Go (x86) 512 Go (Itanium) 8 au minimum 64 au maximum 1,5 Go (x86) 2 Go (Itanium)
Web Edition 550 MHz 128 Mo 256 Mo 2 Go Jusqu 2 1,5 Go
Frquence dhorloge 550 MHz recommande RAM minimale RAM recommande 128 Mo 256 Mo 4 Go Jusqu 4 1,5 Go
RAM maximale Nombre de processeurs Espace disque requis pour linstallation
2.2.
De Windows NT 4.0 Server Windows Server 2003, quest-ce qui a chang ?
Lors du processus de migration de Windows NT 4.0 vers Windows Server 2003, vous allez, pendant un laps de temps plus ou moins long, devoir faire cohabiter des serveurs sous Windows NT 4.0 et des serveurs sous Windows Server 2003. Vous serez oblig dutiliser les mmes fonctionnalits, dossiers et utilitaires proposs par les deux systmes dexploitation, mais accessibles diffremment. En ce sens, mieux vaut disposer de fiches mnmotechniques.
Les nouveaux outils et les anciennes tches

Tableau 2.3 : Outils dadministration de Windows NT 4.0 et Windows Server 2003
Outils version Windows NT 4.0 Server Administration du service daccs distant Administration du client rseau Administrateur de disques Analyseur de performances Assistant dadministration Diagnostics Windows NT quivalence sous Windows Server 2003 Routage et accs distant Utilisez \I386\Adminpak.msi pour installer les outils dadministration de Windows Server 2003 sur les stations de travail Gestion de lordinateur/Stockage/Gestion des disques Performances Grer un serveur Tous les programmes/Accessoires/Outils systme/Informations systme
62
De Windows NT 4.0 Server Windows Server 2003, quest-ce qui a chang ?
Outils version Windows NT 4.0 Server diteur de stratgie systme Gestion des services Internet Gestion de licences Gestion des sauvegardes Gestion de serveur
quivalence sous Windows Server 2003 Accessible depuis Utilisateurs et ordinateurs Active Directory et dautres consoles Gestionnaire des services Internet Gestionnaire des licences Accessoires/Outils systme/Utilitaire de sauvegarde Gestion de lordinateur/Outils systme/Dossiers partags Utilisateurs et ordinateurs Active Directory (pour ajouter un ordinateur un domaine) Sites et services Active Directory (pour forcer manuellement la rplication de lannuaire entre des contrleurs de domaine) Gestion de lordinateur/Outils systme/Utilisateurs et groupes locaux (pour grer les comptes locaux sur les serveurs autonomes dans les groupes de travail) Stratgie de scurit locale (pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratgie daudit et les droits des utilisateurs sur les serveurs autonomes dans les groupes de travail) Utilisateurs et ordinateurs Active Directory (pour grer les comptes de domaine et pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratgie daudit et les droits des utilisateurs au travers de la stratgie de groupe) Domaines et approbations (pour grer les approbations) DHCP WINS DNS Observateur rseau Observateur dvnements Pas dquivalence
Gestion des utilisateurs
Gestion des utilisateurs pour le domaine
Gestionnaire DHCP Gestionnaire WINS Gestionnaire DNS Moniteur rseau Observateur dvnements Outils de migration pour Netware
Les dossiers et les utilitaires

Tableau 2.4 : Dossiers spciaux de Windows NT 4.0 Server et Windows Server 2003
Dossier et utilitaire version Windows NT 4.0 Server Poste de travail Voisinage rseau C:\winnt (dossier systme) quivalence sous Windows Server 2003 Poste de travail Favoris rseau C:\windows
63
Chapitre 2
Dossier et utilitaire version Windows NT 4.0 Server C:\winnt\profiles (emplacement o les profils dutilisateurs locaux sont stocks) Lemplacement par dfaut o les applications enregistrent leurs fichiers varie sous Windows NT Dmarrer/Rechercher Dmarrer/Aide Dmarrer/Programmes/Invite de commande Dmarrer/Programmes/Explorateur Windows NT Dmarrer/Paramtres/Active Desktop
quivalence sous Windows Server 2003 C:\documents and settings (sauf en cas de mise niveau depuis NT, auquel cas lemplacement originel est conserv) Dossier Mes documents pour les applications conformes (sauf en cas de mise niveau depuis NT, auquel cas lemplacement originel est conserv) Dmarrer/Rechercher Dmarrer/Aide et support Dmarrer/Invite de commandes Dmarrer/Explorateur Windows Clic droit sur le Bureau, Active Desktop
Dmarrer/Paramtres/Options des dossiers Panneau de configuration/Options des dossiers Accessoires/Accs rseau distance Accessoires/Telnet Panneau de configuration/Connexions rseau Commande Telnet
Le Panneau de conguration
Tableau 2.5 : Panneau de configuration de Windows NT 4.0 et Windows Server 2003
Panneau de configuration sous Windows NT 4.0 Alim. de secours Cartes SCSI Console Internet Modems ODBC Paramtres rgionaux Priphriques Priphriques de bandes quivalence sous Windows Server 2003 Options dalimentation/Onduleur Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Invite de commandes, clic droit sur le menu de contrle, Par dfaut Options Internet Options de modems et tlphonie Outils dadministration/Sources de donnes (ODBC) Options rgionales et linguistiques Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Gestion de lordinateur/Outils systme/Gestionnaire de priphriques
64
De Windows 2000 Server Windows Server 2003, quest-ce qui a chang ?
Panneau de configuration sous Windows NT 4.0 Ports Rseau/Identification
quivalence sous Windows Server 2003 Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Systme/Nom de lordinateur
Rseau/Services/Protocoles Connexions rseau/Connexion au rseau local/Proprits /Cartes Rseau/Liaisons Tous les programmes/Accessoires/Communications/Connexions rseau/Avanc/Paramtres avancs Gestion de lordinateur/Outils systme/Dossiers partags Outils dadministration/Services Systme/Gnral Systme/Avanc/Profil des utilisateurs/Paramtres Systme/Avanc/Performances/Paramtres Systme/Avanc/Variable denvironnement Systme/Avanc/Dmarrage et rcupration Systme/Matriel/Profils matriels Options de modems et tlphonie/Rgles de numrotation
Serveur Services Systme/Gnral Systme/Profils utilisateurs Systme/Performances Systme/Environnement Systme/Arrt/Dmarrage Systme/Profils matriels Tlphonie
2.3.
Daucuns pourraient penser que rien na chang de Windows 2000 Server Windows Server 2003. Pour comprendre que cela est faux, il suffirait juste de parler de GPMC (stratgies de groupe) ou tout simplement dexpliquer que, aujourdhui, plus de 90 % du systme peut tre administr en ligne de commande. Cette section a pour objectif de prsenter les principales amliorations et nouveauts apportes Windows Server 2003. Elle a aussi pour but daider les administrateurs de Windows 2000 Server anticiper le passage Windows Server 2003 en mettant en avant les diffrences importantes entre les deux systmes dexploitation. Le nombre damliorations tant trop important pour tre abord dans ce seul chapitre, nous nen traiterons quune partie, en nous focalisant sur trois ples :
j j j
les amliorations apportes Active Directory ; les amliorations du ct de TCP/IP ; les changements mineurs.
65
Chapitre 2
Mme si Windows Server 2003 ne reprsente pas un changement aussi important comparativement au passage entre Windows NT 4.0 Server et Windows 2000, il rpond bien souvent par ses amliorations aux interrogations et aux besoins des administrateurs travaillant sous Windows 2000 Server.
Les amliorations apportes Active Directory

Si lon voulait dresser un rcapitulatif par thmes des nouvelles fonctionnalits et des amliorations apportes Active Directory, on constaterait que, au niveau intgration et productivit, performances et volutivit, ou encore administration, configuration et amlioration de la scurit, plus de 60 amliorations significatives mriteraient dtre dveloppes dans ce chapitre. Autant dire quon pourrait y consacrer la moiti de ce livre ! Pour cette raison, vous ne trouverez quun rcapitulatif des fonctions en adquation avec le contexte de ltude de cas Puzzmania. Pour le reste des amliorations, vous pouvez consulter les divers sites Microsoft traitant de Windows Server 2003.
j
Les domaines peuvent tre maintenant renomms laide doutils gratuits tlchargeables sur le site de Microsoft ladresse www.microsoft.com/ windowsserver2003/downloads/domainrename.mspx. Cet outil reste tout de mme utiliser avec prcaution, notamment sur le domaine racine. Les serveurs de catalogue global ne sont plus obligatoires sur chaque site pour prendre en charge louverture de session. Dans le cas dune entreprise possdant une ou plusieurs succursales ou sur des sites gographiques distants relis faible bande passante, tel Puzzmania, Windows Server 2003 amliore le processus douverture de session de telle sorte que les sites gographiques distants nont plus besoin daccder au serveur central du catalogue global chaque fois quun utilisateur souhaite se connecter. Il nest donc plus ncessaire de dployer un serveur de catalogue global sur chaque site. Attention toutefois aux applications utilisant le catalogue global, tel Exchange, car cela peut gnrer un trafic sur le lien rseau distant, qui peut savrer important et donc avoir un impact sur la production. Depuis Windows Server 2003, les contrleurs de domaine placent rgulirement dans un cache les informations dappartenance un groupe universel. Toujours du ct du trafic rseau, on note une amlioration dans la rplication de lappartenance au groupe. Une fois la fort promue en mode natif Windows Server 2003, lappartenance au groupe est modifie au niveau des membres individuels plutt quau niveau global. Cela diminue la charge de bande passante sur le rseau lors de la rplication. La compression du trafic de rplication peut tre dsactive entre les sites slectionns. Mme si cela ne nous concerne pas dans notre tude de cas, le gnrateur de topologie intersite (ISTG, Inter-Site Topologie Generator) dispose dun algorithme amlior qui accepte des forts contenant un nombre de sites beaucoup plus lev que celui accept sous Windows 2000 Server.
j j
66
Les objets utilisateurs dans les annuaires LDAP, qui emploient la classe inetOrgPerson dfinie dans la RFC 2798 (comme ceux dvelopps par Netscape et Novell), sont dsormais utilisables dans Active Directory. Lauthentification PassPort est maintenant accessible Internet Information Services 6.0 et permet aux objets utilisateurs Active Directory dtre mis en correspondance avec leur identification PassPort (si elle existe). 2. tat des lieux de Windows Server en entreprise Un nouvel Assistant Configurer votre serveur simplifie la mise en uvre dActive Directory et propose des paramtres prdfinis, tels les rles qui dfinissent la fonction des serveurs. Comme vous le verrez lors de limplmentation des serveurs dinfrastructure, les zones DNS et les serveurs peuvent tre crs et automatiquement configurs lors de linstallation dun serveur de la famille Windows Server 2003. Au lieu de rpliquer une copie complte de la base de donnes Active Directory via le rseau, il est possible de crer un rplica partir des fichiers existants dun contrleur de domaine ou dun serveur de catalogue global. Les fichiers de sauvegarde, crs par lutilitaire de sauvegarde dActive Directory, sont gravs sur support CD ou DVD et le rplica peut alors seffectuer partir du support (cette pratique reste intressante si lon a un nombre lev dutilisateurs et quil existe quelques agences avec des bandes passantes faible dbit). Le modle actuel des niveaux fonctionnels de domaine et de fort remplace le modle Windows 2000 Server prcdent (modes mixte/natif) et fournit une interoprabilit entre les contrleurs de domaine Windows NT 4.0, 2000 et 2003. Les classes et attributs de schma qui ne sont plus ncessaires peuvent tre maintenant redfinis. Tout administrateur aura pour souvenir la rtrogradation dun contrleur de domaine qui se passe mal, avec tout ce que cela comporte. Dsormais, la commande dcpromo facilite lopration. La partition applicative autorise un contrle plus avanc sur la manire dont les informations de lannuaire sont rpliques (les informations du DNS y sont maintenant stockes). Lauthentification entre forts permet aux utilisateurs dune fort daccder aux ressources prsentes dans une autre fort. La notion dapprobation de royaume fait aussi son apparition pour les approbations Kerberos. Un important travail a t ralis sur les stratgies de groupe, tant sur les outils que sur les nouveaux paramtres. Windows Server 2003 inclut plus de 150 nouveaux paramtres de stratgie, qui permettent de personnaliser et de contrler le comportement du systme dexploitation vis--vis des groupes dutilisateurs. Les nouvelles fonctions couvrent les points prsents dans ce qui suit.
j j
67
Chapitre 2
Les amliorations du ct de TCP/IP

Voici les nouveauts et amliorations sur la partie TCP/IP
j
Les services IIS ont totalement t revus, mais ils ne sont plus installs par dfaut pour plus de scurit. Le traitement du trafic web se fait maintenant en mode noyau. Nous pourrions aussi citer lamlioration de lisolation des processus, le verrouillage du serveur par dfaut ou bien des nouvelles fonctionnalits de gestion. Mais pour rendre justice cette nouvelle version du serveur web, il faudrait y consacrer un ouvrage complet. Toutefois, il existe sur le site web de Microsoft, la publication dun kit de ressources techniques complet, en libre tlchargement ladresse
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/iis/default.mspx.
Le protocole TCP/IP ne peut plus tre supprim. Mais une nouvelle commande,
netsh, permet, en ligne de commande, de reconfigurer la pile TCP/IP avec ses
valeurs par dfaut sans devoir redmarrer le systme (cette commande, trs puissante, sera dcrite dans la partie rseau de louvrage). Il est dsormais inutile de supprimer la pile du protocole puis de la rinstaller.
j
Autodtermination des mtriques de routage en fonction de la vitesse de linterface rseau de lordinateur : le protocole est capable de calculer lui-mme la mtrique de chaque route en fonction de la configuration TCP/IP et de la vitesse de linterface. La taille de la fentre de rception TCP/IP est dtermine en fonction de ladaptateur rseau de la machine. Cette taille de fentre conditionne le nombre maximal doctets qui peuvent tre reus avant lenvoi daccuss de rception. La pile de protocole IPv6 est prise en charge. La procdure pour rejoindre un domaine a t amliore de sorte quil est possible de dtecter un DNS mal configur. Nouveaut de Windows Server 2003 sur le DNS toujours : les zones de stub et la redirection conditionnelle. Quest-ce quune zone de stub ? Cest la copie dune zone contenant uniquement les enregistrements de ressources ncessaires lauthentification des serveurs DNS faisant autorit pour ladite zone. La fonction de redirection conditionnelle inclut un mcanisme de redirection en fonction du nom dhte. Le service DNS permet lenregistrement dun journal de dbogage. Il enregistre automatiquement les ressources NS et prend en charge la technique de Round Robin pour tous les enregistrements RR (Record Ressources).
j j j
Les changements mineurs

Les amliorations suivantes sont peut-tre moins importantes en termes dadministration quotidienne, mais elles restent vraiment utiles dans certaines situations.
68
Par dfaut, les crans de veille sont maintenant protgs par mot de passe. Cette amlioration est simple mais importante en matire de scurit dans le contexte dune salle informatique avec, parfois, des accs plus ou moins restreints. Toujours ct scurit, lors de linstallation de Windows Server 2003, il est demand un mot de passe fort pour le compte administrateur par dfaut. Cette option est facultative. 2. tat des lieux de Windows Server en entreprise La scurit est renforce aussi sur le service Telnet. Il est maintenant dsactiv au lieu dtre configur pour un dmarrage manuel, comme sous Windows 2000 Server. La base de donnes DHCP peut tre sauvegarde alors que le service est en cours dexcution. Un pare-feu minimal est disponible. Il a t grandement amlior depuis le Service Pack 1. Ladresse IP et le numro de port dune source sont prsents automatiquement dans tous les vnements daudit douverture de sessions. Les paramtres du client DNS peuvent tre configurs laide des stratgies de groupe. Un serveur de messagerie POP3 fait son apparition. Il peut venir en complment du composant SMTP du serveur IIS. Cette nouveaut reste mineure dans le sens o la plupart des entreprises utilisent un serveur de messagerie ddi type Exchange.
j j j j j
Les petits plus de la version 2003 et les Feature Packs

Microsoft a ajout, via des Feature Packs, de nouvelles fonctionnalits Windows Server 2003 depuis sa sortie en avril 2003 et prvoit de poursuivre ses efforts dinnovation. En fait, lorsque cela savre ncessaire, Microsoft fournit des extensions appeles Feature Packs. Ces services additionnels sont gnralement des composants importants de Windows Server 2003 et sont donc officiellement pris en charge. Lensemble des fonctionnalits commentes ici peut tre tlcharg ladresse www.microsoft.com /windowsserver2003/downloads/featurepacks/default.mspx. Voici la liste des fonctionnalits additionnelles qui sont dores et dj tlchargeables sur le site de Microsoft
Active Directory Application Mode (ADAM)

Pour les organisations qui ncessitent une grande flexibilit, pour les applications intgres dans un systme dannuaire, ADAM est serveur dannuaire au standard LDAP v2 et v3. Pour plus dinformations concernant ADAM, rendez-vous ladresse www.microsoft.com/windowsserver2003/adam/default.mspx.
69
Chapitre 2
Automated Deployment Services (ADS)

Disponible en tlchargement pour Windows Server 2003 Enterprise, ce module inclut un ensemble doutils de clonage qui permet dautomatiser le dploiement de systmes dexploitation Microsoft. Pour plus dinformations sur ADS 1.0, rendez-vous ladresse www.microsoft.com/windowsserver2003/techinfo/overview/adsbenefits.mspx. 2. tat des lieux de Windows Server en entreprise
File Replication Services (FRS) Monitoring Tools

Il sagit dun ensemble doutils assurant les grandes oprations de gestion du systme de rplication de fichiers FRS. FRS est utilis dans le cadre de laccs au volume systme SYSVOL et aussi pour la synchronisation des partages du systme de fichiers DFS. Ce pack contient des outils, comme Ultrasound et Sonar, capables de surveiller le service DFS, ou encore FRSDiag. Pour plus dinformations sur FRS, rendez-vous ladresse www.microsoft.com/windowsserver2003/technologies/storage/dfs/tshootfrs.mspx. Pour une prsentation multimdia sur FRS, consultez le lien www.microsoft.com
/windowsserver2003/evaluation/frs/viewer.htm.
Group Policy Management Console (GPMC)

La nouvelle GPMC simplifie ladministration des stratgies de groupe en permettant de mieux comprendre, de dployer et dadministrer limplmentation des GPO. Pour plus dinformations sur la GPMC, rendez-vous ladresse www.microsoft.com/technet /prodtechnol/windowsserver2003/technologies/featured/gp/default.mspx.
Identity Integration
Identity Integration Feature Pack for Microsoft Windows Server Active Directory permet la gestion des identits et coordonne les proprits des objets utilisateurs entre lannuaire Active Directory et les diffrentes implmentations dADAM, de Microsoft Exchange 2000 Server et dExchange Server 2003. Il permet ainsi de voir un utilisateur donn ou une ressource donne en une seule vue logique.
ISCSI Support
Ce module permet la prise en charge de linterface iSCSI en fournissant une solution conomique pour la mise en uvre de rseaux de stockage IP (sur SAN et NAS).
Windows SharePoint Services

Les services WSS permettent denvisager une nouvelle vision du systme de stockage. Outre le stockage, WSS permet la mise en place dune solution de collaboration pour les groupes dutilisateurs et les quipes devant travailler ensemble sur des documents, des tches, des contacts, des vnements et dautres informations pertinentes.
70
Windows Server 2003 Service Pack 2 et R2
Services for Unix

Les services pour Unix 3.5 permettent datteindre un haut niveau dinteroprabilit avec les environnements Unix. Ce pack comprend un serveur NFS et NIS ainsi que de nombreux outils pour aider les clients faire migrer leurs applications dUnix vers Windows. 2. tat des lieux de Windows Server en entreprise
Windows Rights Management Services (RMS)

RMS est un lment cl de la stratgie de scurit. En effet, il permet de mettre en uvre un trs haut niveau de protection pour les applications RMS-aware. Lobjectif est de protger les documents et les donnes critiques de lentreprise contre tout accs non autoris.
2.4.
Tout le monde est maintenant habitu la notion de Service Pack. Personne nest plus surpris par la sortie et la mise disposition dun Service Pack pour Windows (quelle que soit la version). Linformation est rapidement connue de tous. Cest donc avec une certaine logique que Microsoft a mis disposition le Service Pack 1 de Windows Server 2003 en 2005, puis le Service Pack 2 en 2007. Vous trouverez la liste des principales amliorations ci-aprs. Par contre, quest-ce que R2 ? Ou plutt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version amliore de Windows Server 2003. Cest en quelque sorte un ajout de fonctionnalits Windows Server 2003. Dailleurs, le produit est constitu de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalits. Pour autant, ce nest pas un Service Pack car Windows Server 2003 R2 est soumis licence. Il est noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit tant construit sur la base de Windows Server 2003 SP1, les mmes applications sont compatibles pour les deux systmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalits, sous la forme de composants additionnels que lon peut installer (CD-Rom 2). Ces fonctionnalits ne sont pas prsentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles sparment. Les autres, le sont sous forme de Feature Packs.
Les nouveauts du Service Pack 1

Si vous souhaitez obtenir une bonne vue densemble ou des informations dtailles sur le Service Pack 1 de Windows Server 2003, consultez www.microsoft.com/france/windows/ windowsserver2003/downloads/servicepacks/sp1/overview.mspx. Ce site prsente plusieurs articles avec des questions-rponses ainsi que de la documentation en franais. 71
Chapitre 2
Rendez-vous galement ladresse : www.microsoft.com/downloads/details.aspx?FamilyId= C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en. Vous pourrez tlcharger un document trs complet sur le SP1 puisquil reprsente lui seul 300 pages. Par contre, ce site et la documentation quil propose sont en anglais. Windows Server 2003 SP1 amliore les fonctionnalits faisant partie de Windows Server 2003. De telles amliorations visent optimiser le produit et en augmenter la scurit, la fiabilit et lefficacit. Parmi les principales amliorations, citons les lments suivants :
j
Prise en charge de la fonction "Ne pas excuter" incluse dans le matriel. Windows Server 2003 SP1 permet Windows Server 2003 dutiliser les fonctionnalits intgres dans les processeurs dIntel et dAMD afin dempcher lexcution de code malveillant partir de zones de la mmoire qui ne sont pas attribues du code. Cette disposition limine une large part des attaques actuelles. Audit de la mtabase Internet Information Services (IIS) 6.0. La mtabase est un magasin de stockage XML hirarchique qui contient les informations de configuration dIIS 6.0. Laudit de ce magasin permet aux administrateurs rseau de voir qui a accd la mtabase lorsquelle a t corrompue. Paramtres par dfaut plus puissants et rduction des privilges sur les services. Les services tels que RPC et DCOM font partie intgrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnes. En exigeant une authentification plus forte lors de lappel de ces services, Windows Server 2003 SP1 relve le niveau de scurit pour toutes les applications qui utilisent ces services, mme si elles sont elles-mmes peu ou pas scurises. Ajout de composants Network Access Quarantine Control. Windows Server 2003 SP1 contient prsent les composants RQS.exe et RQC.exe, qui simplifient le dploiement de Network Access Quarantine Control (contrle de la mise en quarantaine pour laccs au rseau). Pour plus dinformations sur ce sujet, rendez-vous ladresse www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
Contrairement dautres Service Packs, SP1 ajoute de nouvelles fonctionnalits puissantes Windows Server 2003. Voici les principales :
j
Pare-feu Windows. galement intgr dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il sagit dun pare-feu logiciel destin protger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrle lchelle du rseau via la stratgie de groupe. Mises jour de scurit post-installation (PSSU). Les serveurs sont vulnrables entre le moment de linstallation et lapplication des dernires mises jour de scurit. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes aprs linstallation, jusqu ce que Windows Update soit excut pour installer les dernires mises jour de scurit sur le nouvel ordinateur.
72
Cette fonctionnalit oriente galement les administrateurs vers la mise jour automatique au moment de la premire connexion.
j
Assistant Configuration de la scurit (SCW). Il pose des questions ladministrateur sur les rles que doit tenir le serveur, puis il bloque les ports inutiles ces fonctions. Ainsi, de nombreuses voies dattaques possibles sont fermes. Support de TLS dans Terminal Services. Cest la grande nouveaut sur TSE, qui permet didentifier le serveur TSE (comme on identifie un serveur web en SSL) et dutiliser TLS comme une mthode de chiffrement pour les communications entre le client et le serveur. 2. tat des lieux de Windows Server en entreprise

Le Service Pack 2 (SP2) donne accs en un seul package aux dernires mises jour, amliorations et fonctionnalits disponibles pour Windows Server 2003. Ses composants renforcent la scurit, la fiabilit et les performances de Windows Server 2003 et Windows Server 2003 R2. Et Microsoft profite de lopportunit offerte par la sortie du SP2 pour ajouter de nouvelles fonctionnalits Windows Server 2003.
Les mises jour

Ladministration des mises jour constitue un vritable dfi pour la scurit des ordinateurs. Malgr cela, les mises jour doivent tre appliques car elles jouent un rle vital dans la scurisation du parc informatique de lentreprise en anticipant sur les attaques et en bloquant les vulnrabilits. La frquence des mises jour est cruciale pour rsoudre les problmes de scurit ds quils sont dcouverts. En regroupant toutes les mises jour dans SP2, Microsoft apporte en un seul package lensemble des protections les plus rcentes pour Windows Server 2003. En plus de reprendre toutes les mises jour correspondant aux bulletins de scurit, SP2 installe tous les correctifs diffuss depuis la sortie de Windows Server 2003, ainsi que certaines fonctions ou amliorations importantes rclames par les clients. Il nest donc pas ncessaire que le SP1 soit install, pour installer le SP2.
Scalable Networking Pack (SNP)

Les entreprises connaissent un dveloppement rapide du trafic sur leurs rseaux interne et externe. Cette croissance du trafic est due, au moins en partie, aux applications mtier en rseau et aux solutions de sauvegarde et de stockage sur le rseau. cela sajoutent les applications multimdias comme la visioconfrence et les prsentations audio et vido.
73
Chapitre 2
Le dploiement dEthernet, puis du Gigabit Ethernet tend la bande passante disponible afin de faire face cette demande, mais plus le rseau prsente un dbit important, plus la charge sur les serveurs saccrot. La prise en charge des rseaux rapides implique par consquent la mise en place de serveurs puissants. Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack), un pack de rseau capable de monter en charge et qui aide faire face la monte du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies rseau qui visent liminer les goulets dtranglement du systme dexploitation associs au traitement des paquets. Voici les amliorations apportes par ce package :
j
TCP Chimney Offload (allgement de la pile TCP). TCP Chimney Offload transfre de faon automatique le traitement du trafic TCP (Transmission Control Protocol) avec tat un adaptateur rseau spcialis qui met en uvre un moteur de dchargement TCP (TOE, TCP Offload Engine). Pour les connexions longue dure de vie mettant en uvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour dautres applications sollicitant fortement le rseau, TCP Chimney Offload rduit largement la charge du processeur en dlgant ladaptateur rseau le traitement des paquets du rseau, y compris la fragmentation et le rassemblage des paquets. En utilisant TCP Chimney Offload, vous allgez le processeur qui peut se concentrer sur dautres tches comme permettre davantage de sessions utilisateurs ou traiter les requtes des applications en rduisant la latence. Cette fonction tait auparavant propose par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Monte en charge en fonction du trafic reu. Cette technique permet de rpartir le trafic entrant (paquets reus) entre plusieurs processeurs en exploitant de nouvelles amliorations matrielles des interfaces rseau. Elle peut rpartir dynamiquement la charge du trafic entrant en fonction de la charge du systme ou des conditions de fonctionnement du rseau. Toute application recevant de nombreux paquets et fonctionnant sur un systme multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bnficier de la mise en place de ce dispositif. NetDMA. NetDMA autorise une gestion plus efficace de la mmoire en permettant un accs direct la mmoire (DMA) sur les serveurs quips de la technologie idoine comme lI/OAT (I/O Acceleration Technology) dIntel.
Le Scalable Networking Pack (SNP) de Microsoft Windows Server 2003 SP2 permet de mieux rpondre aux besoins des utilisateurs tout en conservant les investissements dj raliss dans linfrastructure existante. SNP vite denvisager une remise plat de la topologie rseau, de changer les configurations des serveurs ou de passer du temps modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropries en fonction des besoins, sans devoir changer de fournisseur de matriel.
74
Informations supplmentaires sur SNP

www.microsoft.com/snp
XmlLite
La bibliothque XmlLite permet aux dveloppeurs de btir des applications hautes performances, fondes sur XML, capables dune large interoprabilit avec dautres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilit dutilisation, les performances et le respect des standards. XmlLite fonctionne avec nimporte quel langage Windows qui utilise les bibliothques dynamiques. Il est quand mme plutt recommand dutiliser C++. La bibliothque XmlLite contient tous les fichiers ncessaires pour tre utilise avec C++. Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j
XmlLite (natif) ; MSXML (SAX2, natif) ; System.XML.XmlReader (gr).
Les implmentations DOM (Document Object Model) suivantes intgrent des analyseurs :
j j
MSXML (DOM) ; System.XML (XmlDocument).
XML peut servir comme format denregistrement de documents, comme dans la dernire version de Word, et aussi pour encoder les donnes pour des appels de mthodes de conversion de paramtres (marshaling) dune machine une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des donnes du serveur web vers le navigateur. Les serveurs de bases de donnes rpondent aux requtes en XML, ces rponses tant ensuite traites par dautres applications. XML tant un format trs souple, vous pouvez lutiliser dans de nombreux scnarios qui se rpartissent en deux catgories principales :
j
Certains scnarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir sil sagit de documents XML valides ou non. Dans ces scnarios, la vrification de la validit est importante. Gnralement, les dveloppeurs utilisent des schmas XSD ou des DTD (Document Type Definition) pour vrifier la validit. La performance sen trouve rduite, mais lapplication peut ainsi tre sre quelle reoit un document XML valide. Ce scnario sapplique toutes les applications qui enregistrent ou chargent des documents.
75
Chapitre 2
Certains logiciels emploient XML comme un magasin de donnes ou un moyen de communiquer. Dans ce cas, le dveloppeur sait que le document est valide car une autre partie de lapplication (sous le contrle du mme programmeur ou du mme diteur) a produit le code XML. La validit du document nest donc plus un problme. Par exemple, nous sommes dans cette situation lorsque le logiciel sexcute sur une ferme de serveurs, et XML sert communiquer entre serveurs et processus. Un autre exemple pourrait tre fourni par une application complexe qui enregistre et relit de gros volumes dinformations. Le dveloppeur contrle totalement le format du document XML.
Puisque XmlLite a pour objectif damliorer les performances, cette bibliothque est particulirement bien adapte aux scnarios du second type. XmlLite permet aux dveloppeurs dcrire un code efficace et rapide pour lire et crire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML.
Les services de dploiement Windows WDS (Windows Deployment Services)

Windows Server 2003 SP2 inclut une version profondment remanie de RIS (Remote Installation Services, "services dinstallation distance"), dsormais nomme Services de dploiement Windows ou WDS, qui aide les entreprises prparer larrive de Windows Vista et de Windows Server 2008. WDS assure le stockage, ladministration et le dploiement des images qui utilisent le nouveau format WIM (Windows Imaging).
Si vous souhaitez obtenir plus dinformations sur RIS, consultez le chapitre Installer et Dployer Windows Server 2003. Quant WDS, nous y reviendrons en dtail dans le chapitre Service de dploiement spcialement ddi cet outil. Windows Deployment Services amliore RIS sur plusieurs points :
j j j j
prise en charge native de Windows PE comme systme dexploitation damorage ; prise en charge native du format de fichier WIM (Windows Imaging) ; composant serveur PXE extensible et plus performant ; nouveau menu damorage client pour choisir le systme dexploitation.
WDS rduit le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003.
76
Pour dcrire le niveau de fonctionnalit associ chaque configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
j
Le mode compatible WDS est fonctionnellement quivalent RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera prsent comme systme dexploitation damorage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils dadministration de WDS ne sont pas utiliss. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 2.6 : Le mode compatible WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage OSChooser et Windows PE sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 2.7 : Le mode mixte WDS Fonctionnalit Environnements damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
Le mode natif WDS correspond un serveur WDS et des images damorage uniquement de type Windows PE. Dans ce mode, OSChooser disparat et les images WIM sont les seules tre prises en charge pour un dploiement sur les clients. Ladministration du serveur seffectue via les outils WDS. Le mode natif WDS sapplique Windows Server 2003 et Windows Server 2008. Pour Windows Server 2008, il sagit du seul mode serveur WDS pris en charge.
77
Chapitre 2
Tableau 2.8 : Le mode natif WDS Fonctionnalit Environnement damorage Type dimage Outil dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. Le passage dune exploitation RIS WDS en mode compatible (binaires WDS mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative).
Microsoft Management Console 3.0 (MMC 3.0)

Microsoft Management Console 3.0 (MMC 3.0) simplifie ladministration quotidienne de Windows par des menus, des barres doutils, une navigation et des flux de tches qui unifient les diffrents outils. Les outils MMC servent administrer les rseaux, les ordinateurs, les services, les applications et dautres composants systme. La console MMC neffectue pas par elle-mme des tches dadministration, mais hberge des composants Microsoft et tiers qui le font. MMC 3.0 abaisse le cot de ladministration des applications Windows en fournissant une console de centralisation, simple utiliser et cohrente. Pour les administrateurs, cette console, dans sa version 3.0, amliore les performances, la fiabilit et la dcouverte dans le contexte dactions sensibles. Pour les dveloppeurs, elle rduit le cot du dveloppement de composants logiciels enfichables en ncessitant moins de code et moins de temps pass la conception. MMC 3.0 reprsente un cadre de travail pour crire des composants logiciels enfichables fonds sur .NET et destins administrer des applications. Le modle de programmation .NET simplifie le dveloppement de ces composants. La ralisation dun composant pour MMC 3.0 ncessite beaucoup moins de lignes de code que dans les versions prcdentes. Cela simplifie la maintenance et rduit le risque de bogues.
Wireless Protected Access 2 (WPA2)

Microsoft a diffus la mise jour Wireless Protected Access 2 pour Windows XP Service Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalit 78
principalement pour les ditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP, attention la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour amliorer la scurit des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics scuriss quips dun accs Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que lquipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de scurit du standard 802.11 dorigine. La certification WPA2 prend en charge les fonctions de scurit obligatoires du standard IEEE 802.11i, supplmentaires par rapport WPA. La mise en uvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractristiques suivantes du standard WPA2 de lIEEE :
j j
WPA2 Enterprise qui utilise lauthentification IEEE 802.1X et WPA2 Personal via une cl prpartage (PSK). Chiffrement avanc qui utilise le protocole CCMP (CM-CBC-MAC, Counter Mode-Cipher Block Chaining-Message Authentication Code) afin de renforcer la confidentialit des donnes, lauthentification de lorigine des donnes et lintgrit des donnes pour les transmissions sans fil. Utilisation optionnelle du cache de la cl principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points daccs sans fil mettent en cache les rsultats des authentifications 802.1X. Par consquent, laccs seffectue plus rapidement lorsquun client sans fil se reconnecte via un point daccs sans fil auprs duquel il sest authentifi prcdemment. Utilisation optionnelle de la prauthentification. Lors dune prauthentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec dautres points daccs sans fil proximit, alors quil est toujours connect son premier point daccs.
La version amliore de loutil CACLS

ICACLS est une mise jour de loutil CACLS dans Windows Server 2003 SP2 que vous pouvez utiliser pour rinitialiser les listes de contrle daccs (ACL) sur les fichiers partir de la Console de rcupration. Cet outil sert aussi sauvegarder des ACL. Contrairement CACLS, ICACLS propage correctement les crations et les modifications vers des ACL hrites. En tapant icacls /? en ligne de commande, vous obtiendrez des informations supplmentaires sur lutilisation de ICACLS.
Les fonctions existantes amliores

Enfin, le SP2 amliore certaines fonctionnalits existantes de Windows Server 2003 avec le SP1. Voici une liste des amliorations apportes
79
Chapitre 2
Tableau 2.9 : Fonctionnalits dj existantes mais amliores par le SP2 de Windows
Server 2003
Modification Authentification par port de pare-feu Description Une authentification par port scurise le trafic entre lenvironnement extranet et des ressources internes qui sont protges par une isolation de domaine IPSec. Linstallation du SP2 active cette fonctionnalit par dfaut. Le SP2 amliore les performances de SQL Server 2005 lorsque le serveur est soumis de fortes charges. Linstallation du SP2 active cette amlioration par dfaut.
Amlioration des performances pour SQL Server
Options de dcouverte amliores dans MSConfig propose dsormais un onglet supplmentaire qui constitue MSConfig un point de lancement unique pour des outils de support qui faciliteront la dcouverte de diagnostics. Linstallation du SP2 active cette amlioration par dfaut. Meilleure administration du filtre lPSec Le SP2 rduit lensemble des filtres quil faut grer dans un scnario disolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines 2. Il supprime aussi le besoin dune maintenance permanente des filtres due des modifications de linfrastructure. Linstallation du SP2 active cette amlioration par dfaut. Le SP2 amliore les performances lorsque le taux daccs APIC (Advanced Processor lnterrupt Control) est lev. Windows Server 2003 fonctionnant comme systme dexploitation multiprocesseur hberg dans le cadre dune virtualisation de Windows. Pour la file dattente des messages, la limite de stockage par dfaut est passe 1 Go. Il est possible de relever cette limite dans la console MMC, via longlet Gnral des Proprits de la file dattente des messages. De nouvelles options ont t ajoutes aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles gnrent des balises XML lorsque les tests sont excuts avec loption /test:dns. Ce nouveau mcanisme de sortie permet danalyser plus facilement les fichiers journaux verbeux produits par les tests DNS. Un nouvel vnement a t cr pour couvrir certaines situations dans lesquelles le compte du service Cluster devient trop limit par la stratgie applique au domaine. Ce nouvel vnement porte le numro 1239. Son texte descriptif inclut des informations de dpannage.
Amliorations des performances dans le cadre de la virtualisation de Windows
Stockage par dfaut plus vaste pour la file dattente des messages
Amliorations des tests DNS DCDIAG
De nouveaux vnements pour les comptes du service Cluster
80
Quapporte Windows Server 2003 R2 ?

Windows Server 2003 R2, qui est une version de Windows Server part entire, base sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalits. En voici quelques-unes, parmi les plus intressantes
j
Gestion et dploiement des serveurs dagences : sauvegarde et administration centralise des services de partage de fichiers et dimpression ; haute disponibilit ; gestion du hardware distance.
Active Directory Federation Services : authentification unique web ; interoprabilit avec les offres SSO (Single Sign On) web.
Gestion du stockage : gestion plus simple des SAN ; File Server Migration Toolkit ; gestion des ressources de stockage.
Intgration de packs de fonctionnalits Windows Server 2003 : Windows Share Point Services ; Active Directory Application Mode (ADAM) ; Services pour Unix ; iSCSI Initiator.
Windows Server 2003 R2 tend les fonctionnalits du systme dexploitation Windows Server 2003 en proposant un moyen plus efficace de grer et de contrler laccs aux ressources locales et distantes, tout en sintgrant facilement dans lenvironnement existant. La version R2 est dote dune plateforme hautement scurise et capable de monter en charge, permettant la mise en uvre de nouveaux scnarios : gestion simplifie des serveurs dagences et de succursales, administration amliore des identits et des accs et gestion plus efficace du stockage
Une gestion simplie des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilit et lefficacit des serveurs de succursales tout en vitant les difficults gnralement inhrentes aux solutions serveurs pour les agences et les succursales, telles que les problmes de connectivit et les cots de gestion.
81
Chapitre 2
Tableau 2.10 : Avantage de la gestion simplifie des serveurs dans les agences et les
succursales
Avantage Gestion simplifie des serveurs dans les agences et les succursales Description Extension de la connectivit et la fiabilit aux agences et aux succursales tout en contrlant le cot total de possession des infrastructures informatiques. Administration mieux centralise. Fournit des outils dadministration centralise pour les fonctions lies aux fichiers et limpression. Rduction de ladministration distance. Minimise ladministration locale et la sauvegarde sur site. Rseau tendu plus efficace. Acclre la rplication des donnes sur les rseaux tendus.
Une gestion amliore des identits et des accs

Windows Server 2003 R2 inclut Active Directory Federation Services (ADFS), qui permet aux administrateurs de faire face aux problmes poss par la gestion des identits. Les organisations peuvent en effet partager les informations relatives lidentit dun utilisateur de manire plus scurise, et par-del les limites de scurit. Windows Server 2003 R2 fournit en outre une fonction de synchronisation des mots de passe Unix. Il est ainsi plus facile dintgrer les serveurs excutant Windows et Unix du fait de la simplification du processus de gestion des mots de passe scuriss.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre ADAM et ADFS.
Tableau 2.11 : Avantage de la gestion amliore des identits et des accs

Avantage Gestion amliore des identits et des accs Description Ajoutez de la valeur aux dploiements Active Directory en vue de faciliter les accs scuriss au-del des limites de lorganisation et des plateformes. Les entreprises sont ainsi en mesure de grer une mme identit dans des applications partenaires, Web et Unix. Efficacit accrue pour lutilisateur. Moins de mots de passe pour laccs aux applications internes ou hberges chez des partenaires, grce lauthentification unique sur extranet et la fdration des identits. Plus grande efficacit pour les administrateurs systme. Administration centralise de laccs aux applications sur les extranets, rduction des changements de mots de passe et dlgation possible de la gestion des utilisateurs des partenaires de confiance. Meilleure scurit. Blocage automatique de laccs lextranet par le biais de la dsactivation du compte Active Directory dun utilisateur. Meilleure mise en conformit. Consignation des accs utilisateurs aux applications partenaires dans les domaines de scurit externes.
82
Avantage
Description Meilleure interoprabilit des systmes htrognes. Authentification web unique entre les plateformes et fdration des identits. Les outils et les spcifications de linteroprabilit des services web permettent de grer et de mettre jour dynamiquement les comptes et les mots de passe utilisateurs sur les systmes Windows et Unix laide du service NIS (Network Information Service). cela sajoute la synchronisation automatique des mots de passe entre les systmes dexploitation Windows et Unix.
Des cots de gestion du stockage rduits

Windows Server 2003 R2 est dot de nouveaux outils qui fournissent une vue centralise du stockage. Cette version comprend galement des fonctions simplifies de planification, de mise en place et de gestion du stockage ainsi que des outils amliors de contrle et de gnration de rapports.
Tableau 2.12 : Avantage de la gestion du stockage
Avantage Cots de gestion du stockage rduits Description Meilleur contrle de la configuration du stockage et rduction des cots de gestion grce des fonctions de gestion avances. Meilleure utilisation du stockage. Des rapports dtaills vous informent sur lutilisation du stockage. Meilleure administration des quotas. Contrle lutilisation de lespace disque laide de quotas sur les rpertoires. Meilleur filtrage des fichiers. Restriction des types de fichiers autoriss sur les serveurs grce au filtrage des fichiers. Configuration SAN simplifie. Configuration et dimensionnement aiss de rseaux SAN.
Une plateforme web riche

Windows Server 2003 R2 permet aux entreprises dtendre leur infrastructure sur le Web tout en rduisant les cots de dveloppement et de gestion grce Windows SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.
83
Chapitre 2
Tableau 2.13 : Avantage de la plateforme web Avantage Plateforme web riche Description Plateforme web plus performante. Les toutes dernires technologies 64 bits et .NET permettent de doubler les performances du Web. Windows SharePoint Services constitue une solution de collaboration rentable pouvant tre dploye, configure et gre trs rapidement. Avec ASP.NET, dveloppez rapidement des services et des applications web riches laide de .NET Framework. IIS 6.0 offre un serveur web haute performance plus scuris. La prise en charge de la technologie 64 bits amliore les performances pour un cot rduit.
La virtualisation de serveur moindre cot

Windows Server 2003 R2 Enterprise Edition permet dexcuter jusqu quatre instances virtuelles de Windows Server 2003 R2 sur une mme partition matrielle ou un mme serveur physique sous licence, ce qui entrane une rduction notable du cot de la virtualisation de serveur.
Tableau 2.14 : Avantage de la virtualisation de serveur Avantage Virtualisation de serveur moindre cot Description Virtualisation valeur ajoute. Windows Server 2003 R2 Enterprise Edition ajoute de la valeur la virtualisation de serveur. La nouvelle stratgie de licence permet dsormais aux utilisateurs dexcuter jusqu quatre instances virtuelles de Windows Server 2003 R2 Enterprise Edition sur une seule partition matrielle ou un seul serveur physique sous licence.
Nouveau cycle de produits Windows Server

Microsoft essaie maintenant de dfinir un cycle dvolution des prochaines versions de Windows Server de telle sorte que les clients puissent planifier et budgtiser ces volutions. La rgle est de fournir une version majeure de Windows Server tous les quatre ans environ, puis une mise niveau tous les deux ans aprs chaque version majeure.
Version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matriels, de nouveaux modles de
84
En rsum
programmation et des volutions fondamentales dans les domaines de la scurit et de la stabilit. Ces changements majeurs peuvent bien entendu gnrer des incompatibilits entre le nouveau systme et les matriels et logiciels existants.
Version mise jour

Les versions mises jour incluent la prcdente version majeure ainsi que le dernier Service Pack, certains Feature Packs, et de nouvelles fonctionnalits additionnelles. Comme une version mise jour est base sur la prcdente version majeure, les clients peuvent lincorporer dans leur environnement de production sans autres tests supplmentaires que ceux que pourrait ncessiter un simple Service Pack. Toutes les fonctionnalits additionnelles fournies par une mise jour sont optionnelles et, de fait, elles naffectent pas la compatibilit des applications existantes. Par consquent, les clients nont pas certifier ou tester nouveau leurs applications. 2. tat des lieux de Windows Server en entreprise
Service Packs
Les Service Packs incorporent toutes les corrections de type critique et non critique ainsi que les dernires demandes de correction qui les concernent, mises par les clients. Les Service Packs sont tests de manire intensive par Microsoft et par les clients et partenaires participant un programme de bta test. Ils peuvent ainsi inclure des amliorations importantes de la scurit, comme le Security Configuration Wizard, inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois ncessaire de modifier certains programmes pour prendre en charge les nouveaux standards de lindustrie ou des fonctionnalits demandes par les clients. Ces changements sont soigneusement valus et tests avant dtre finalement inclus dans un Service Pack. Afin de permettre les extensions et les volutions darchitecture, Microsoft maintient un niveau de compatibilit entre les Service Packs en ralisant des tests intensifs sur les applications et ces diffrents Service Packs. En rgle gnrale, les problmes de compatibilit concernent les applications qui utilisent de manire inapproprie des appels systme, des interfaces internes ou des fonctions spcifiques.
2.5.
En rsum
Ce chapitre vous a prsent la fiche signaltique de Windows Server 2003, du Service Pack 1, du Service Pack 2 et de Windows Server 2003 R2. Maintenant que vous avez dchir lemballage et sorti le CD-Rom du botier, il est temps de passer linstallation du produit, dans le cadre dune entreprise, en loccurrence Puzzmania.
85
Chapitre 3

3.1 3.2 3.3 3.4 3.5 Les nouveauts du Service Pack 1 . . . . . . . . Les nouveauts du Service Pack 2 . . . . . . . . Quapporte Windows Server 2003 R2 ? . . . . . Un nouveau cycle de produits Windows Server En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . 91 . 99 . 102 . 103
out le monde est maintenant habitu la notion de Service Pack. Personne nest plus surpris par la sortie et la mise disposition dun Service Pack pour Windows (quelle que soit la version). Linformation est rapidement connue de tous. Cest donc avec une certaine logique que Microsoft a mis disposition le Service Pack 1 de Windows Server 2003 en 2005 puis le Service Pack 2 en 2007. Vous trouverez la liste des principales amliorations ci-aprs. Par contre, quest-ce que R2 ? Ou plutt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version amliore de Windows Server 2003. Cest en quelque sorte un ajout de fonctionnalits Windows Server 2003. Dailleurs, le produit est constitu de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalits. Pour autant, ce nest pas un Service Pack car Windows Server 2003 R2 est soumis licence. Il est noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit tant construit sur la base de Windows Server 2003 SP1, les mmes applications sont compatibles pour les deux systmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalits, sous la forme de composants additionnels que lon peut installer (CD-Rom 2). Ces fonctionnalits ne sont pas prsentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles sparment. Les autres, le sont sous forme de Feature Packs.
3. Windows Server 2003 Service Pack 2 et R2
3.1.

SP1 sur le site de Microsoft Si vous souhaitez obtenir une bonne vue densemble ou alors des informations dtailles sur le Service Pack 1 de Windows Server 2003, consultez :
j
www.microsoft.com/france/windows/windowsserver2003/downloads /servicepacks/sp1/overview.mspx.
Ce site prsente plusieurs articles avec des questions-rponses ainsi que de la documentation en franais. Rendez-vous galement ladresse :
j
www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2 -B1B6-3659B92B2CDE&displaylang=en.
Vous pourrez tlcharger un document trs complet sur le SP1 puisquil reprsente lui seul 300 pages. Par contre, ce site et la documentation quil propose sont en anglais. Windows Server 2003 SP1 amliore les fonctionnalits faisant partie de Windows Server 2003. De telles amliorations visent optimiser le produit et en augmenter la
89
Chapitre 3
scurit, la fiabilit et lefficacit. Parmi les principales amliorations, citons les lments suivants
j
Prise en charge de la fonction "Ne pas excuter" incluse dans le matriel : Windows Server 2003 SP1 permet Windows Server 2003 dutiliser les fonctionnalits intgres dans les processeurs dIntel et dAMD afin dempcher lexcution de code malveillant partir de zones de la mmoire qui ne sont pas attribues du code. Cette disposition limine une large part des attaques actuelles. Audit de la mtabase IIS 6.0 (Internet Information Services) : la mtabase est un magasin de stockage XML hirarchique qui contient les informations de configuration dIIS 6.0. Laudit de ce magasin permet aux administrateurs rseau de voir qui a accd la mtabase lorsquelle a t corrompue. Paramtres par dfaut plus puissants et rduction des privilges sur les services : les services tels que RPC et DCOM font partie intgrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnes. En exigeant une authentification plus forte lors de lappel de ces services, Windows Server 2003 SP1 relve le niveau de scurit pour toutes les applications qui utilisent ces services, mme si elles sont elles-mmes peu ou pas scurises. Ajout de composants Network Access Quarantine Control : Windows Server 2003 SP1 contient prsent les composants RQS.exe et RQC.exe, qui simplifient le dploiement de Network Access Quarantine Control (contrle de la mise en quarantaine pour laccs au rseau). Pour plus dinformations sur ce sujet, rendez-vous ladresse www.microsoft.com/windowsserver2003/techinfo/overview /quarantine.mspx.
Contrairement dautres Services Packs, SP1 ajoute de nouvelles fonctionnalits puissantes Windows Server 2003. Voici les principales
j
Pare-feu Windows : galement intgr dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il sagit dun pare-feu logiciel destin protger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrle lchelle du rseau via la stratgie de groupe. Mises jour de scurit post-installation (PSSU) : les serveurs sont vulnrables entre le moment de linstallation et lapplication des dernires mises jour de scurit. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes aprs linstallation, jusqu ce que Windows Update soit excut pour installer les dernires mises jour de scurit sur le nouvel ordinateur. Cette fonctionnalit oriente galement les administrateurs vers la mise jour automatique au moment de la premire connexion. Assistant Configuration de la scurit (SCW) : il pose des questions ladministrateur sur les rles que doit tenir le serveur, puis il bloque les ports inutiles ces fonctions. Ainsi, de nombreuses voies dattaques possibles sont fermes.
90
Support de TLS dans Terminal Services : cest la grande nouveaut sur TSE, qui permet didentifier le serveur TSE (comme on identifie un serveur web en SSL) et dutiliser TLS comme une mthode de chiffrement pour les communications entre le client et le serveur.
3.2.

Le Service Pack 2 (SP2) donne accs en un seul package aux dernires mises jour, amliorations et fonctionnalits disponibles pour Windows Server 2003. Ses composants renforcent la scurit, la fiabilit et les performances de Windows Server 2003 et Windows Server 2003 R2. Et Microsoft profite de lopportunit offerte par la sortie du SP2 pour ajouter de nouvelles fonctionnalits Windows Server 2003.
Les mises jour

Ladministration des mises jour constitue un vritable dfi pour la scurit des ordinateurs. Mais malgr cela, les mises jour doivent tre appliques car elles jouent un rle vital dans la scurisation du parc informatique de lentreprise en anticipant sur les attaques et en bloquant les vulnrabilits. La frquence des mises jour est cruciale pour rsoudre les problmes de scurit ds quils sont dcouverts. En regroupant toutes les mises jour dans SP2, Microsoft apporte en un seul package lensemble des protections les plus rcentes pour Windows Server 2003. En plus de reprendre toutes les mises jour correspondant aux bulletins de scurit, SP2 installe tous les correctifs diffuss depuis la sortie de Windows Server 2003, ainsi que certaines fonctions ou amliorations importantes rclames par les clients. Il nest donc pas ncessaire que le SP1 soit install, pour installer le SP2.
Scalable Networking Pack (SNP)

Les entreprises connaissent un dveloppement rapide du trafic sur leurs rseaux interne et externe. Cette croissance du trafic est due, au moins en partie, aux applications mtier en rseau et aux solutions de sauvegarde et de stockage sur le rseau. cela sajoutent les applications multimdias comme la visioconfrence et les prsentations audio et vido. Le dploiement dEthernet, puis du Gigabit Ethernet tend la bande passante disponible afin de faire face cette demande mais plus le rseau prsente un dbit important, plus la charge sur les serveurs saccrot. La prise en charge des rseaux rapides implique par consquent la mise en place de serveurs puissants.
91
Chapitre 3
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack, un pack de rseau capable de monter en charge) qui aide faire face la monte du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies rseau qui visent liminer les goulets dtranglement du systme dexploitation associs au traitement des paquets. Voici les amliorations apportes par ce package
j
TCP Chimney Offload (allgement de la pile TCP) : TCP Chimney Offload transfre de faon automatique le traitement du trafic TCP (Transmission Control Protocol) avec tat un adaptateur rseau spcialis qui met en uvre un moteur de dchargement TCP (TOE, TCP Offload Engine). Pour les connexions longue dure de vie mettant en uvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour dautres applications sollicitant fortement le rseau, TCP Chimney Offload rduit largement la charge du processeur en dlgant ladaptateur rseau le traitement des paquets du rseau, y compris la fragmentation et le rassemblage des paquets. En utilisant TCP Chimney Offload, vous allgez le processeur qui peut se concentrer dautres tches comme permettre davantage de sessions utilisateurs ou traiter les requtes des applications en rduisant la latence. Cette fonction tait auparavant propose par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Monte en charge en fonction du trafic reu : cette technique permet de rpartir le trafic entrant (paquets reus) entre plusieurs processeurs en exploitant de nouvelles amliorations matrielles des interfaces rseau. Elle peut rpartir dynamiquement la charge du trafic entrant en fonction de la charge du systme ou des conditions de fonctionnement du rseau. Toute application recevant de nombreux paquets et fonctionnant sur un systme multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bnficier de la mise en place de ce dispositif. NetDMA : ce composant autorise une gestion plus efficace de la mmoire en permettant un accs direct la mmoire (DMA) sur les serveurs quips de la technologie idoine comme lI/OAT (I/O Acceleration Technology) dIntel.
Le SNP (Scalable Networking Pack) de Microsoft Windows Server 2003 SP2 permet de mieux rpondre aux besoins des utilisateurs tout en conservant les investissements dj raliss dans linfrastructure existante. SNP vite denvisager une remise plat de la topologie rseau, de changer les configurations des serveurs, ou de passer du temps modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropries en fonction des besoins, sans devoir changer de fournisseur de matriel. Informations supplmentaires sur SNP
www.microsoft.com/snp
92
La bibliothque XmlLite
La bibliothque XmlLite permet aux dveloppeurs de btir des applications hautes performances, fondes sur XML, capables dune large interoprabilit avec dautres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilit dutilisation, les performances et le respect des standards. XmlLite fonctionne avec nimporte quel langage Windows qui utilise les bibliothques dynamiques. Il est quand mme plutt recommand dutiliser C++. La bibliothque XmlLite contient tous les fichiers ncessaires pour tre utilise avec C++. 3. Windows Server 2003 Service Pack 2 et R2 Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j
XmlLite (natif) ; MSXML (SAX2) (natif) ; System.XML.XmlReader (gr).
Les implmentations DOM (Document Object Model) suivantes intgrent des analyseurs :
j j
MSXML (DOM) ; System.XML (XmlDocument).
XML peut servir comme format denregistrement de documents, comme dans la dernire version de Word, et aussi pour encoder les donnes pour des appels de mthodes de marshaling (conversion de paramtres) dune machine une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des donnes du serveur Web vers le navigateur. Les serveurs de bases de donnes rpondent aux requtes en XML, ces rponses tant ensuite traites par dautres applications. XML tant un format trs souple, vous pouvez lutiliser dans de nombreux scnarios qui se rpartissent en deux catgories principales :
j
Certains scnarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir sil sagit de documents XML valides ou non. Dans ces scnarios, la vrification de la validit est importante. Gnralement, les dveloppeurs utilisent des schmas XSD ou des DTD (Document Type Definition) pour vrifier la validit. La performance sen trouve rduite mais lapplication peut ainsi tre sre quelle reoit un document XML valide. Ce scnario sapplique toutes les applications qui enregistrent ou chargent des documents. Certains logiciels emploient XML comme un magasin de donnes ou un moyen de communiquer. Dans ce cas, le dveloppeur sait que le document est valide car une autre partie de lapplication (sous le contrle du mme programmeur ou du mme diteur) a produit le code XML. La validit du document nest donc plus un problme. Par exemple, nous sommes dans cette situation lorsque le logiciel sexcute sur une ferme de serveurs, et XML sert communiquer entre serveurs et 93
Chapitre 3
processus. Un autre exemple pourrait tre fourni par une application complexe qui enregistre et relit de gros volumes dinformations. Le dveloppeur contrle totalement le format du document XML. Puisque XmlLite a pour objectif damliorer les performances, cette bibliothque est particulirement bien adapte aux scnarios du second type. XmlLite permet aux dveloppeurs dcrire un code efficace et rapide pour lire et crire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML. 3. Windows Server 2003 Service Pack 2 et R2
Les services de dploiement Windows WDS (Windows Deployment Services)

Windows Server 2003 SP2 inclut une version profondment remanie de RIS (Remote Installation Services, "services dinstallation distance"), dsormais nomme Services de dploiement Windows ou WDS, qui aide les entreprises prparer larrive de Windows Vista et de Windows Server 2008. WDS assure le stockage, ladministration et le dploiement des images qui utilisent le nouveau format WIM (Windows Imaging).
Si vous souhaitez obtenir plus dinformations sur RIS, consultez le chapitre Linstallation et le dploiement de Windows Server 2003. Quant WDS, nous y reviendrons en dtail dans le chapitre Le service de dploiement spcialement ddi cet outil. Windows Deployment Services amliore RIS sur plusieurs points :
j j j j
une prise en charge native de Windows PE comme systme dexploitation damorage ; une prise en charge native du format de fichier WIM (Windows Imaging) ; un composant serveur PXE extensible et plus performant ; un nouveau menu damorage client pour choisir le systme dexploitation.
WDS rduit le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Pour dcrire le niveau de fonctionnalit associ chaque configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
94
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage, OSChooser et Windows PE, sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 3.2 : Le mode mixte WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
95
Chapitre 3
Tableau 3.3 : Le mode natif WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. Le passage dune exploitation RIS WDS en mode compatible (binaires WDS, mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative).
Microsoft Management Console 3.0 (MMC 3.0)

Microsoft Management Console 3.0 (MMC 3.0) simplifie ladministration quotidienne de Windows par des menus, des barres doutils, une navigation et des flux de tches qui unifient les diffrents outils. Les outils MMC servent administrer les rseaux, les ordinateurs, les services, les applications et dautres composants systme. La console MMC neffectue pas par elle-mme des tches dadministration mais hberge des composants Microsoft et tiers qui le font. MMC 3.0 abaisse le cot de ladministration des applications Windows en fournissant une console de centralisation, simple utiliser et cohrente. Pour les administrateurs, cette console, dans sa version 3.0, amliore les performances, la fiabilit et la dcouverte dans le contexte dactions sensibles. Pour les dveloppeurs, elle rduit le cot du dveloppement de composants logiciels enfichables en ncessitant moins de code et moins de temps pass la conception. MMC 3.0 reprsente un cadre de travail pour crire des composants logiciels enfichables fonds sur .NET et destins administrer des applications. Le modle de programmation .NET simplifie le dveloppement de ces composants. La ralisation dun composant pour MMC 3.0 ncessite beaucoup moins de lignes de code que dans les versions prcdentes. Cela simplifie la maintenance et rduit le risque de bogues.
Wireless Protected Access 2 (WPA2)

Microsoft a diffus la mise jour Wireless Protected Access 2 pour Windows XP Service Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalit 96
principalement pour les ditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP. Attention la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour amliorer la scurit des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics scuriss quips dun accs Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que lquipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de scurit du standard 802.11 dorigine. La certification WPA2 prend en charge les fonctions de scurit obligatoires du standard IEEE 802.11i, supplmentaires par rapport WPA. La mise en uvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractristiques suivantes du standard WPA2 de lIEEE :
j j
WPA2 Enterprise utilise lauthentification IEEE 802.1X et WPA2 Personal via une cl prpartage (PSK). Le chiffrement avanc utilise le protocole CCMP (CM-CBC-MAC, Counter Mode Cipher Block Chaining Message Authentication Code) afin de renforcer la confidentialit des donnes, lauthentification de lorigine des donnes et lintgrit des donnes pour les transmissions sans fil. Utilisation optionnelle du cache de la cl principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points daccs sans fil mettent en cache les rsultats des authentifications 802.1X. Par consquent, laccs seffectue plus rapidement lorsquun client sans fil se reconnecte via un point daccs sans fil auprs duquel il sest dj authentifi prcdemment. Utilisation optionnelle de la pr-authentification. Lors dune pr-authentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec dautres points daccs sans fil proximit, alors quil est toujours connect son premier point daccs.
La version amliore de loutil CACLS

ICACLS est une mise jour de loutil CACLS dans Windows Server 2003 SP2 que vous pouvez utiliser pour rinitialiser les listes de contrle daccs (ACL) sur les fichiers partir de la Console de rcupration. Cet outil sert aussi sauvegarder des ACL. Contrairement CACLS, ICACLS propage correctement les crations et les modifications vers des ACL hrites. En tapant icacls /? en ligne de commande, vous obtiendrez des informations supplmentaires sur lutilisation de ICACLS.
97
Chapitre 3
Les fonctions existantes amliores

Enfin, le SP2 amliore certaines fonctionnalits existantes de Windows Server 2003 avec le SP1. Voici une liste des amliorations apportes :
Tableau 3.4 : Fonctionnalits dj existantes mais amliores par le SP2 de Windows
Server 2003
Modification Description Une authentification par port scurise le trafic entre lenvironnement extranet et des ressources internes qui sont protges par une isolation de domaine IPSec. Linstallation du SP2 active cette fonctionnalit par dfaut. Authentification par port de pare-feu
Amlioration des performances Le SP2 amliore les performances de SQL Server 2005 lorsque le pour SQL Server serveur est soumis de fortes charges. Linstallation du SP2 active cette amlioration par dfaut. Options de dcouverte amliores dans MSConfig MSConfig propose dsormais un onglet supplmentaire qui constitue un point de lancement unique pour des outils de support qui faciliteront la dcouverte de diagnostics. Linstallation du SP2 active cette amlioration par dfaut. Le SP2 rduit lensemble des filtres quil faut grer dans un scnario disolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines deux. Il supprime aussi le besoin dune maintenance permanente des filtres due des modifications de linfrastructure. Linstallation du SP2 active cette amlioration par dfaut.
Meilleure administration du filtre lPSec
Le SP2 amliore les performances lorsque le taux daccs APIC Amliorations des performances dans le cadre de (Advanced Processor lnterrupt Control) est lev. Windows Server 2003 fonctionnant comme systme dexploitation la virtualisation de Windows multiprocesseur hberg dans le cadre dune virtualisation de Windows. Stockage par dfaut plus vaste pour la file dattente des messages Amliorations des tests DNS DCDIAG Pour la file dattente des messages, la limite de stockage par dfaut est passe 1 Go. Il est possible de relever cette limite dans la console MMC, via longlet Gnral des proprits de la file dattente des messages. De nouvelles options ont t ajoutes aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles gnrent des balises XML lorsque les tests sont excuts avec loption /test:dns. Ce nouveau mcanisme de sortie permet danalyser plus facilement les fichiers journaux verbeux produits par les tests DNS.
De nouveaux vnements pour Un nouvel vnement a t cr pour couvrir certaines situations les comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limit par la stratgie applique au domaine. Ce nouvel vnement porte le numro 1239. Son texte descriptif inclut des informations de dpannage.
98
3.3.
Windows Server 2003 R2, qui est une version de Windows Server part entire, base sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalits. En voici quelques-unes, parmi les plus intressantes
j
La gestion et le dploiement des serveurs dagences : sauvegarde et administration centralise des services de partage de fichiers et dimpression ; haute disponibilit ; gestion du hardware distance. 3. Windows Server 2003 Service Pack 2 et R2
Active Directory Federation Services : authentification unique web ; interoprabilit avec les offres SSO (Single Sign On) web.
La gestion du stockage : gestion plus simple des SAN ; File Server Migration Toolkit ; gestion des ressources de stockage.
Lintgration de packs de fonctionnalits Windows Server 2003 : Windows Share Point Services ; Active Directory Aplication Mode (ADAM) ; services pour Unix ; iSCSI Initiator.
Windows Server 2003 R2 tend les fonctionnalits du systme dexploitation Windows Server 2003 en proposant un moyen plus efficace de grer et de contrler laccs aux ressources locales et distantes, tout en sintgrant facilement dans lenvironnement existant. La version R2 est dote dune plateforme hautement scurise et capable de monter en charge, permettant la mise en uvre de nouveaux scnarios : gestion simplifie des serveurs dagences et de succursales, administration amliore des identits et des accs et gestion plus efficace du stockage
Une gestion simplie des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilit et lefficacit des serveurs de succursales tout en vitant les difficults gnralement
99
Chapitre 3
inhrentes aux solutions serveur pour les agences et les succursales, telles que les problmes de connectivit et les cots de gestion.
Tableau 3.5 : Avantage de la gestion simplifie des serveurs dans les agences et les
succursales
Avantage Description Gestion simplifie des serveurs Extension de la connectivit et la fiabilit aux agences et aux succursales tout en contrlant le cot total de possession des dans les agences et les infrastructures informatiques. Administration mieux centralise. succursales Fournit des outils dadministration centralise pour les fonctions lies aux fichiers et limpression. Rduction de ladministration distance. Minimise ladministration locale et la sauvegarde sur site. Rseau tendu plus efficace. Acclre la rplication des donnes sur les rseaux tendus.
La gestion amliore des identits et des accs

Windows Server 2003 R2 inclut ADFS (Active Directory Federation Services), qui permet aux administrateurs de faire face aux problmes poss par la gestion des identits. Les organisations peuvent en effet partager les informations relatives lidentit dun utilisateur de manire plus scurise, et par-del les limites de scurit. Windows Server 2003 R2 fournit en outre une fonction de synchronisation des mots de passe UNIX. Il est ainsi plus facile dintgrer les serveurs excutant Windows et UNIX du fait de la simplification du processus de gestion des mots de passe scuriss.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre Active Directory Application Mode et Active Directory Federation Services.
Tableau 3.6 : Avantage de la Gestion amliore des identits et des accs Avantage Description Gestion amliore des identits Ajoutez de la valeur aux dploiements Active Directory en vue de et des accs faciliter les accs scuriss au-del des limites de lorganisation et des plateformes. Les entreprises sont ainsi en mesure de grer une mme identit dans des applications partenaires, web et Unix. Efficacit accrue pour lutilisateur. Moins de mots de passe pour laccs aux applications internes ou hberges chez des partenaires, grce lauthentification unique sur extranet et la fdration des identits.
100
Avantage
Description Plus grande efficacit pour les administrateurs systme. Administration centralise de laccs aux applications sur les extranets, rduction des changements de mots de passe et dlgation possible de la gestion des utilisateurs des partenaires de confiance. Meilleure scurit. Blocage automatique de laccs lextranet par le biais de la dsactivation du compte Active Directory dun utilisateur. Meilleure mise en conformit. Consignation des accs utilisateurs aux applications partenaires dans les domaines de scurit externes. Meilleure interoprabilit des systmes htrognes. Authentification web unique entre les plateformes et fdration des identits. Les outils et les spcifications de linteroprabilit des services web permettent de grer et de mettre jour dynamiquement les comptes et les mots de passe utilisateurs sur les systmes Windows et Unix laide du service NIS (Network Information Service). cela sajoute la synchronisation automatique des mots de passe entre les systmes dexploitation Windows et Unix.
Les cots de gestion du stockage rduits

Windows Server 2003 R2 est dot de nouveaux outils qui fournissent une vue centralise du stockage. Cette version comprend galement des fonctions simplifies de planification, de mise en place et de gestion du stockage ainsi que des outils amliors de contrle et de gnration de rapports.
Tableau 3.7 : Avantage de la gestion du stockage Avantage Cots de gestion du stockage rduits Description Meilleur contrle de la configuration du stockage et rduction des cots de gestion grce des fonctions de gestion avances. Meilleure utilisation du stockage. Des rapports dtaills vous informent sur lutilisation du stockage. Meilleure administration des quotas. Contrle lutilisation de lespace disque laide de quotas sur les rpertoires. Meilleur filtrage des fichiers. Restriction des types de fichiers autoriss sur les serveurs grce au filtrage des fichiers. Configuration SAN simplifie. Configuration et dimensionnement aiss de rseaux SAN.
101
Chapitre 3
Une plateforme web enrichie

Windows Server 2003 R2 permet aux entreprises dtendre leur infrastructure sur le Web tout en rduisant les cots de dveloppement et de gestion grce Windows SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.
Tableau 3.8 : Avantage de la plateforme web Avantage Plateforme Web riche Description Plateforme web plus performante. Les toutes dernires technologies 64 bits et .NET permettent de doubler les performances du Web. Windows SharePoint Services constitue une solution de collaboration rentable pouvant tre dploye, configure et gre trs rapidement. Avec ASP.NET, dveloppez rapidement des services et des applications web riches laide de .NET Framework. IIS 6.0 offre un serveur web haute performance plus scuris. La prise en charge de la technologie 64 bits amliore les performances pour un cot rduit.
Une virtualisation de serveur moindre cot

Windows Server 2003 R2 Enterprise Edition permet dexcuter jusqu quatre instances virtuelles de Windows Server 2003 R2 sur une mme partition matrielle ou un mme serveur physique sous licence, ce qui entrane une rduction notable du cot de la virtualisation de serveur.
Tableau 3.9 : Avantage de la virtualisation de serveur Avantage Virtualisation de serveur moindre cot Description Virtualisation valeur ajoute. Windows Server 2003 R2 Enterprise Edition ajoute de la valeur la virtualisation de serveur. La nouvelle stratgie de licence permet dsormais aux utilisateurs dexcuter jusqu quatre instances virtuelles de Windows Server 2003 R2 Enterprise Edition sur une seule partition matrielle ou un seul serveur physique sous licence.
3.4.
Un nouveau cycle de produits Windows Server
Microsoft essaie maintenant de dfinir un cycle dvolution des prochaines versions de Windows Server de telle sorte que les clients puissent planifier et budgtiser ces volutions. La rgle est de fournir une version majeure de Windows Server tous les 4 ans environ, puis une mise niveau tous les 2 ans aprs chaque version majeure.
102
En rsum
La version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matriels, de nouveaux modles de programmation et des volutions fondamentales dans les domaines de la scurit et de la stabilit. Ces changements majeurs peuvent bien entendu gnrer des incompatibilits entre le nouveau systme et les matriels et logiciels existants.
La version mise jour

3. Windows Server 2003 Service Pack 2 et R2 Les versions mises jour incluent la prcdente version majeure ainsi que le dernier Service Pack, certains Feature Packs, et de nouvelles fonctionnalits additionnelles. Comme une version mise jour est base sur la prcdente version majeure, les clients peuvent lincorporer dans leur environnement de production sans tests supplmentaires autres que ceux quun simple Service Pack pourrait ncessiter. Toutes les fonctionnalits additionnelles fournies par une mise jour sont optionnelles et, de fait, elles naffectent pas la compatibilit des applications existantes. Par consquent, les clients nont pas certifier ou tester de nouveau leurs applications.
Les Service Packs

Les Service Packs incorporent toutes corrections de type critique et non critique ainsi que les dernires demandes de corrections qui les concernent, mises par les clients. Les Service Packs sont tests de manire intensive par Microsoft et par les clients et partenaires participant un programme de bta test. Ils peuvent ainsi inclure des amliorations importantes de la scurit, comme le Security Configuration Wizard, inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois ncessaire de modifier certains programmes pour prendre en charge les nouveaux standards de lindustrie ou des fonctionnalits demandes par les clients. Ces changements sont soigneusement valus et tests avant dtre finalement inclus dans un Service Pack. Afin de permettre les extensions et volutions darchitecture, Microsoft maintient un niveau de compatibilit entre les Service Packs en ralisant des tests intensifs sur les applications et ces diffrents Service Packs. En rgle gnrale, les problmes de compatibilit concernent les applications qui utilisent de manire inapproprie des appels systme, des interfaces internes ou des fonctions spcifiques.
3.5.
En rsum
Ce chapitre vous a prsent la fiche signaltique de Windows Server 2003 Service Pack 1 et 2, et de Windows Server 2003 R2. Maintenant que vous avez dchir lemballage et sorti le CD-Rom du botier, il est temps de passer linstallation du produit, dans le cadre dune entreprise, en loccurrence de Puzzmania.
103
Chapitre 4
Linstallation et le dploiement de Windows Server 2003

4.1 4.2 4.3 4.4 Considrations sur linstallation . . . . Installer Windows Server 2003 . . . . Rsoudre les problmes dinstallation En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 . 111 . 133 . 134
Considrations sur linstallation
e chapitre dcrit les mthodes dinstallation de Windows Server 2003 appliques lentreprise, qui simplifient la tche dinstallation du systme dexploitation et font gagner du temps. Ce sera ensuite vous de trouver laquelle est la plus pertinente dans votre contexte de travail. De tous les systmes dexploitation de Microsoft, Windows Server 2003 a la procdure dinstallation la plus simple et la plus intuitive. Cest vous quil revient de veiller que linstallation rponde vos exigences dentreprise et vos contraintes denvironnement.
4.1.
Avant de raliser linstallation proprement dite, vrifiez que vous disposez de la configuration minimale et dcouvrez les caractristiques et les contraintes quil vous faut connatre. 4. Linstallation et le dploiement de Windows Server 2003 La qualit et la stabilit du systme dexploitation install sur votre quipement matriel serveur en dpendent.
Les prrequis
Windows Server 2003 arrive videmment avec une liste de prconisations, de caractristiques respecter afin de faire tourner le systme dexploitation dans les meilleures conditions, notamment en ce qui concerne la puissance de processeur, la puissance de la mmoire vive (RAM) et lespace disque minimal. Le tableau suivant reprend les paramtres minimaux et recommands en fonction des diffrentes versions de Windows Server 2003 :
Tableau 4.1 : Configuration ncessaire au fonctionnement de Windows Server 2003
Configuration requise Vitesse minimale du processeur Windows Server 2003 Web Edition 133 MHz Windows Server 2003 Standard Edition 133 MHz Windows Server 2003 Enterprise Edition 133 MHz pour les serveurs x86 733 MHz pour les serveurs Itanium 733 MHz 128 Mo 256 Mo
Vitesse recommande du processeur Quantit minimale de RAM Quantit minimale de RAM recommande
550 MHz 128 Mo 256 Mo
550 MHz 128 Mo 256 Mo
107
Chapitre 4
Configuration requise Quantit maximale de RAM prise en charge
Windows Server 2003 Web Edition 2 Go
Windows Server 2003 Standard Edition 4 Go
Windows Server 2003 Enterprise Edition 32 Go pour les serveurs x86 64 Go pour les serveurs Itanium Jusqu 8 processeurs
Prise en charge des systmes multiprocesseurs Espace disque pour linstallation
Jusqu 2 processeurs
Jusqu 4 processeurs
1,5 Go
1,5 Go
1,5 Go pour les serveurs x86 2 Go pour les serveurs Itanium
4. Linstallation et le dploiement de Windows Server 2003
Vrier la compatibilit du systme

Lune des considrations majeure prendre en compte avant linstallation est de bien vrifier la compatibilit de tous les composants matriels avec le systme dexploitation. Microsoft tient jour une liste des composants matriels qui sont certifis compatibles avec les diffrentes versions de Windows (que ce soit pour les versions clientes ou serveurs). Il est trs important de sassurer que le serveur sur lequel vous allez installer Windows Server 2003 ne contient que des composants matriels compatibles. Malheureusement, on a souvent tendance, surtout dans les petites et moyennes entreprises, ngliger cet aspect. Pourquoi ? Tout simplement parce que la recherche de rduction du cot total de possession passe aussi par la recherche dun fournisseur de matriel comptitif et bon march. Cependant, dans certains cas, cette rduction de cot se fait au dtriment de la stabilit du systme dexploitation, et le matriel est peu fiable. Faites attention que votre fournisseur de matriel affiche clairement la compatibilit du matriel avec le systme dexploitation (souvent par un logo). En outre, depuis lapparition de la fonctionnalit Plug and Play, tout le monde a pris la mauvaise habitude de ne plus se soucier de ces proccupations bassement matrielles. Les problmes que vous rencontrerez si vous installez le systme dexploitation sur un quipement non compatible sont souvent alatoires : par exemple, le systme dexploitation se fige ou des erreurs de type cran bleu apparaissent. Lorigine de ces vnements nest pas vidente identifier du premier coup et cette exprience risque de mettre vos nerfs rude preuve. Dans certains cas, lquipe de support de Microsoft risque de refuser de vous aider si elle saperoit que le systme dexploitation est install sur du matriel non compatible. Pour toutes ces raisons, mme si cela parat une vidence, ne faites pas limpasse sur la vrification de la compatibilit de votre quipement avec le systme dexploitation.
108
Windows Hardware Compatibility List Vous trouverez la liste des composants matriels certifis compatibles ladresse www.microsoft.com/whdc/hcl/default.mspx.
Nouvelle installation ou mise niveau ?

Comme laccoutume, il est possible de procder soit une nouvelle installation, soit une mise niveau du systme dexploitation existant.
Une nouvelle installation

Dans ce cas, vous dmarrez linstallation de votre serveur sur une base saine, un disque dur format et propre sur lequel vous pouvez tailler et slectionner la partition sur laquelle vous voulez installer le systme dexploitation. Vous vitez dimporter dventuels problmes, de mauvais paramtres de configuration ou dapplication, dus une instance de systme dexploitation existante et que lon migre. Au contraire, vous serez oblig, une fois le serveur install, de procder linstallation et la configuration complte de la ou les applications associes. Cest la mthode la plus recommande pour les serveurs, notamment les serveurs dinfrastructure. Lorsque vous achetez un nouveau serveur chez votre fournisseur, il est souvent livr sans systme dexploitation install, et vous devez passer par une nouvelle installation de Windows Server 2003. Le service informatique de Puzzmania nutilise que cette mthode afin dliminer le doute en cas de problmes durant cette phase. 4. Linstallation et le dploiement de Windows Server 2003
Cette mthode est dtaille dans la section Installer Windows Server 2003 de ce chapitre.
La mise niveau
Dans ce cas, vous utilisez un serveur dj en production, donc configur, sur lequel tourne une version antrieure Windows Server 2003. Il sagit de la faire migrer vers le nouveau systme dexploitation lors dune opration de maintenance au cours de laquelle le service sera indisponible. En utilisant cette mthode, vous navez pas rinstaller les applications de production. Vous gagnez donc du temps. Par contre, vous devez imprativement vous assurer que les applications sont compatibles avec le nouveau systme dexploitation avant de commencer la mise niveau. Toutes les versions antrieures de Windows ne sont pas forcment compatibles pour tre mises niveau vers Windows Server 2003. Le tableau suivant vous en prsente un rcapitulatif :
109
Chapitre 4
Tableau 4.2 : Mise niveau vers Windows Server 2003

Systme dexploitation existant Windows NT 3.51 Mise niveau possible Non, il faut au pralable mettre niveau vers Windows NT 4.0 Server SP5 au minimum, mais gageons que vous nen avez pas dans votre entreprise ! Oui, avec SP5 au minimum Oui Oui Non, il faut un systme dexploitation de la gamme serveur Non, il faut un systme dexploitation de la gamme serveur
Windows NT 4.0 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Professionnel Windows XP Professionnel
Test de compatibilit logicielle et matrielle Vous pouvez tester la compatibilit du serveur mettre niveau en insrant le CD-Rom de Windows Server 2003 et en excutant la commande R:\i386\winnt32 /checkupgradeonly, o R est la lettre utilise pour dsigner le CD-Rom. Il est fortement conseill, en entreprise, de nutiliser la mise niveau que lorsque vous connaissez parfaitement les impacts de lapplication de production et que celle-ci na pas un rle essentiel dans linfrastructure ou dans la gestion des donnes vitales. Vous courez le risque, en cas de problmes survenant aprs la mise niveau, de ne pas pouvoir dterminer si la source des ennuis vient de la mise niveau elle-mme ou dailleurs, et donc de perdre le temps que vous auriez pu gagner en choisissant deffectuer cette mise niveau. videmment, pour ce type dintervention, veillez raliser une sauvegarde complte avant la mise niveau et assurez-vous du bon fonctionnement de la restauration.
Le double amorage
Le double amorage (galement appel multiboot ou dualboot) est la fonctionnalit qui permet dinstaller, sur un mme ordinateur, plusieurs instances (deux dans ce cas-l) de systme dexploitation (indpendamment des versions) et de choisir de dmarrer sur lun ou lautre des systmes dexploitation disponibles. Lorsque vous installez Windows Server 2003 sur un serveur des fins de production, pour fournir un service (contrle du domaine, impression), votre vu est videmment que ce service soit fourni au mieux et sans temps darrt. Vous nallez certainement pas installer un double amorage Linux ou une version antrieure de Windows. Par contre, il peut tre judicieux de penser au double amorage des fins de dpannage, voire de restauration de fichiers. En effet, en installant deux instances de Windows
110
Installer Windows Server 2003
Server 2003 sur le mme serveur, il peut tre intressant dutiliser une instance pour la production et une autre en cas de problmes. Cette dernire permettra daccder aux fichiers si linstance de production est compltement inutilisable et quaucun autre outil de rcupration ne donne de rsultats. On peut alors trs vite faire basculer les donnes sur un autre serveur ou bien installer lapplication ncessaire, et recommencer travailler au plus vite. La seconde instance peut aussi tre trs utile sil faut restaurer des donnes en cas de corruption de linstance de production. En effet, certains logiciels de sauvegarde et de restauration demandent ce quune autre instance de systme dexploitation soit installe pour pouvoir restaurer correctement. De plus, des problmes rfrencs par Microsoft dans la base de connaissances ne trouvent de solution que par linstallation en parallle dune autre instance de Windows. Nous supposons donc que vous allez installer deux instances de Windows Server 2003 sur le mme serveur. Vous avez le choix entre deux mthodes dinstallation.
j
Installation sur la mme partition : une fois que la premire instance de Windows Server 2003 est installe (par dfaut dans le rpertoire C:\Windows), le programme dtecte la seconde instance et vous propose de linstaller dans un rpertoire portant un nom distinct. Il est fortement conseill de lui donner un nom appropri, par exemple C:\Winbackup. Installation sur une partition diffrente : une fois que la premire instance de Windows Server 2003 est installe (par dfaut dans le rpertoire C:\Windows), le programme dtecte la seconde instance et vous propose de linstaller dans un rpertoire portant un nom distinct. Slectionnez une autre partition (ou crez-la) et donnez un nom appropri au rpertoire dinstallation, par exemple D:\Winbackup.
Bien que ce double amorage avec deux instances de Windows Server 2003 ne soit pas une ncessit, vous pouvez toujours rflchir la possibilit de limplmenter selon le niveau critique de lapplication et lespace disque dont vous disposez.
4.2.
Nous allons tout dabord dcrire une installation de Windows Server 2003 dite classique, en dautres termes manuelle ou assiste. Ensuite, nous tudierons une installation dite automatique, en dautres termes sans assistance.
Linstallation manuelle
Cest la mthode dinstallation la plus courante. Elle dmarre lors du boot sur le CD-Rom dorigine. Si vous avez dj install des versions antrieures de Windows, vous ne serez pas surpris. Cette mthode est divise en trois phases :
j
la prinstallation ; 111
Chapitre 4
j j
linstallation en mode texte ; linstallation en mode graphique.
Linstallation du serveur SNCECPDC01, localis Nice, sera prise comme exemple. Il aura le rle de contrleur de domaine pour corp.puzzmania.com.
Phase 1 : la prinstallation
Cette phase consiste en fait collecter les renseignements suivants afin de simplifier et dacclrer linstallation du serveur
j
Le nom de lordinateur : notez le nom de lordinateur, respectez la convention de nommage applique dans votre entreprise. Chaque nom doit tre unique sur le rseau. Attribution dun nom dordinateur Vous pouvez bien sr attribuer un nom pouvant aller jusqu 63 caractres, mais pensez que les versions antrieures Windows 2000 ne reconnaissent que les 15 premiers caractres. Bien que limplmentation du service DNS de Microsoft permette demployer certains caractres non standards sur Internet (tel le tiret de soulignement ou underscore), cela pourrait gnrer des problmes si des serveurs DNS non Microsoft sont prsents sur votre rseau. Cest pourquoi les recommandations sont dutiliser les lettres minuscules (de a z) et majuscules (de A Z), les chiffres de 0 9 et le trait dunion.
Le nom du groupe de travail ou du domaine : notez dans quel domaine vous voulez installer votre ordinateur ou, si vous tes en train de btir votre nouvelle infrastructure, vous pouvez linstaller dans un groupe de travail et, une fois linstallation termine, lancer la procdure de cration de domaine. Dans tous les cas, vous pouvez installer lordinateur dans un groupe de travail et rejoindre le domaine une fois linstallation termine.
Pour plus dinformations sur la procdure de cration de domaine, consultez le chapitre Limplmentation des serveurs dinfrastructure Active Directory. Diffrence entre domaine et groupe de travail Un domaine est un ensemble dordinateurs partageant la mme base de donnes de scurit afin de centraliser la scurit et ladministration. Un groupe de travail est un ensemble dordinateurs dont les paramtres lis la scurit et ladministration sont configurs indpendamment et localement.
112
Ladresse IP de lordinateur : notez ladresse IP que vous attribuerez au serveur (elle sera dduite de la mthode et du plan dadressage IP). Notez galement le masque de sous-rseau. Vous remarquerez que le choix du protocole rseau nest pas pris en compte bien quil soit possible de lindiquer lors de linstallation. De nos jours, lvidence, TCP/IP est le protocole le plus utilis. Les trois mthodes dadressage IP durant linstallation Trois mthodes dadressage IP sont disponibles durant linstallation. Ladressage APIPA (Automatic Private IP Addressing) : choisissez cette mthode si votre rseau est de petite taille et si vous navez pas de serveur DHCP. Une adresse IP provenant de lespace dadressage IP LINKLOCAL est automatiquement affecte au serveur. Cette adresse est toujours de la forme 169.254.xxx.xxx. Si le serveur dtecte un serveur DHCP nouvellement install sur le rseau, il fera automatiquement une demande dattribution dadresse. j Adressage IP dynamique : choisissez cette mthode si un ou plusieurs serveurs DHCP sont prsents sur le rseau et que vous souhaitiez quils distribuent des adresses IP aux serveurs. Selon votre besoin, dterminez que le service fourni par le serveur ne sera pas touch par le renouvellement dadresse. j Adressage IP statique : cest la mthode la plus utilise sur des serveurs, souvent cause de compatibilits applicatives et surtout pour ne pas que ladresse IP puisse expirer et changer. Cela consiste configurer manuellement les paramtres IP.
j
La phase de prinstallation de SNCECPDC01 se rsume donc ceci :

Tableau 4.3 : La phase de prinstallation de SNCECPDC01
Nom dordinateur SNCECPDC01 Groupe de travail ou domaine WORKGROUP (ce serveur est install dans un groupe de travail afin de le convertir en contrleur de domaine par la suite) Mthode dadressage IP Adresse IP statique Adresse IP 172.100.11.1
Phase 2 : linstallation en mode texte

Linstallation commence par une partie dite installation en mode texte, lorsque vous bootez sur le CD-Rom de Windows Server 2003 (cela sous-entend que votre serveur est bien configur pour accepter le boot sur CD-Rom au dmarrage).
113
Chapitre 4
Lors du dmarrage de la squence dinstallation, vous avez tout de suite la possibilit dappuyer sur la touche [F6] afin dinsrer le pilote du contrleur de disque dur si celui-ci est particulier (du style contrleur SCSI rcent, contrleur Fibre Channel, contrleur RAID SATA). La plupart des nouveaux serveurs requirent cette manipulation. Interrogez votre fournisseur de matriels afin dobtenir la bonne version de pilote. Ltape suivante consiste slectionner le disque dur sur lequel vous souhaitez installer Windows Server 2003 et crer la partition adquate, puis la formater.
Figure 4.1 : Formatage de la partition dinstallation
Loption de formatage rapide Loption de formatage rapide peut vous faire gagner du temps. Elle ne fait qucrire la table des entres de fichier. Ne lutilisez que sur des disques durs neufs ou contenant des donnes non confidentielles. Les diffrences entre FAT et NTFS ne seront pas exposes ici. De nos jours, en entreprise, seul le systme de fichiers NTFS (New Technology File System) est un choix viable si vous voulez mettre en place un plan de scurit pour votre infrastructure. Voici quelques fonctionnalits de NTFS qui le rendent indispensable :
j j j j j j
gestion de la scurit locale ; gestion des volumes de grande taille (jusqu 16 To) ; prise en charge des technologies de tolrance de pannes (niveaux de RAID) ; prise en charge de laudit du systme de fichiers ; prise en charge de la compression des fichiers ; prise en charge des quotas disque ;
114
j j j j
prise en charge du cryptage des fichiers (EFS) ; prise en charge du montage de volumes dans des rpertoires ; prise en charge du stockage distance ; prise en charge dActive Directory.
Pour le serveur SNCECPDC01, le choix sera donc NTFS. Une fois le choix effectu, la procdure dinstallation se poursuit, formate la partition systme, copie les fichiers ncessaires, puis redmarre le serveur. Dbute alors la phase 3 : linstallation en mode graphique.
Phase 3 : linstallation en mode graphique

Dernire phase : vous devez fournir quelques informations afin que linstallation se termine.
j
Options rgionales et linguistiques : ces options vous permettent de modifier laffichage des nombres, des dates, des monnaies, des heures, et de configurer votre langue dentre et votre mthode de saisie de texte. Cl du produit : entrez la cl qui vous a t livre avec le CD-Rom de Windows Server 2003. Programme de licence Si vous avez achet le CD-Rom de Windows Server 2003 chez un dtaillant ou dans un magasin spcialis, vous serez oblig dactiver le produit soit par tlphone, soit par Internet une fois linstallation termine. Si vous avez achet le produit par lintermdiaire du programme de licence en volume Open ou Select, aucune activation ne sera ncessaire. De plus, une mme cl pourra servir toutes les installations de lentreprise, ce qui prsente un intrt certain dans le cas dune installation automatise par script.
Modes de licence : vous avez le choix entre deux modes, savoir par serveur ou par priphrique (voir fig. 4.2). Le mode de licence par serveur : dans ce mode, chaque serveur accepte un nombre dfini de clients autoriss se connecter simultanment en fonction du nombre de licences daccs client (CAL) configur. Si le nombre de clients tentant de se connecter au serveur dpasse le nombre de licences, la connexion est refuse. Il est possible de faire voluer le nombre de licences une fois linstallation termine, slectionnez dans le Panneau de configuration le lien Licences. Ce mode de licence par serveur est conseill dans les trs petites entreprises matrisant leur nombre de connexions simultanes et ayant trs peu de serveurs (un ou deux). Cest galement le mode de licence le moins onreux.
115
Chapitre 4
Figure 4.2 : Les modes de licence
Le mode de licence par priphrique (ou sige) : dans ce mode, chaque utilisateur spcifique de lentreprise est sujet licence. Les serveurs ne disposent daucune restriction quant au nombre maximal de connexions simultanes. Cest le mode de licence le plus utilis car, une fois que vous avez pay pour lutilisateur, il peut se connecter un nombre illimit de serveurs Windows. Notre socit Puzzmania nutilisera que ce mode pour tout son parc, et cest donc le mode qui est choisi lors de linstallation de SNCECPDC01. Choix du mode de licence Si vous avez un doute dans le choix du mode de licence, slectionnez le mode de licence par serveur. Vous pourrez passer en mode de licence par priphrique en choisissant dans le Panneau de configuration loption Licences. Attention, cette opration est irrversible, et il nest pas possible de passer du mode de licence par priphrique au mode de licence par serveur.
j
Nom dordinateur et mot de passe du compte local Administrateur : conformez-vous votre plan de nommage et la phase de prinstallation pour dduire le nom du serveur. Dans notre exemple, cest SNCECPDC01. Entrez ensuite le mot de passe qui correspondra au compte local Administrateur. Pour des raisons de scurit videntes, surtout sur un serveur, choisissez-le le plus complexe possible. Dailleurs, sil nest pas assez complexe, vous verrez apparatre la fentre suivante :
116
Figure 4.3 : Avertissement sur la faiblesse du mot de passe du compte local Administrateur
Lisez bien les recommandations de cette fentre et appliquez-les. Il est possible de continuer avec le mot de passe faible que vous avez saisi, mais cest vivement dconseill. 4. Linstallation et le dploiement de Windows Server 2003
j
Paramtres de gestion du rseau : entrez les paramtres rseau que vous avez relevs dans la phase de prinstallation (mthode dadressage IP et incorporation ou non un domaine). Dans le cadre de linstallation de SNCECDPDC01, les renseignements indiqus dans le tableau de la phase de prinstallation seront utiliss.
Une fois toutes les informations du mode graphique de linstallation correctement indiques, les fichiers ncessaires sont copis sur le disque dur, linstallation est finalise, les fichiers temporaires sont dtruits, le serveur redmarre. Votre serveur est install et prt pour la suite : installation du SP1 ( moins que le CD-Rom en votre possession soit celui qui contient Windows Server 2003 et SP1), des derniers correctifs de scurit, de lantivirus, etc.
Linstallation automatique
Linstallation manuelle de Windows Server 2003 nest pas complique. Quelques interactions avec le processus sont ncessaires durant les phases en mode texte et en mode graphique. Ce nest pas des plus compliqu, certes, mais le processus est long et, en raison de ces interactions, monopolise lattention dun administrateur. En automatisant tout ou partie de cette installation, vous gagnez du temps et vous librez un administrateur pour une autre tche. Dans une petite entreprise, qui dit "gagner du temps", dit Vous aurez devin la suite. Trois mthodes dautomatisation sont disponibles sous Windows Server 2003 :
j j j
linstallation par script (ou fichier de rponses) ; le dploiement laide de RIS (Remote Installation Service) ; lutilisation dun gestionnaire dimages et de lutilitaire Sysprep.exe (System Preparation). 117
Chapitre 4
Chaque mthode possde son propre champ dapplication.

Tableau 4.4 : Champ dapplication des mthodes dautomatisation de linstallation de
Windows Server 2003

Champ dapplication Nouvelle installation Mise niveau quipements physiques diffrents Installation par image Systme dexploitation et applications installs en mme temps Active Directory requis Installation par script (fichier de rponses) RIS Sysprep
Linstallation par script (chier de rponses)

Vous pouvez liminer les interactions ncessaires lors des phases dinstallation en mode texte et en mode graphique en saisissant les diffrents paramtres (nom dordinateur, adresse IP) dans un fichier de rponses (appel unattend.txt). Cette mthode peut sappliquer aussi bien une nouvelle installation qu une mise niveau, sur des serveurs ou des stations de travail, quips de matriels physiques diffrents. Pour crer le fichier unattend.txt, vous devez utiliser lAssistant Gestion dinstallation qui se trouve sur le CD-Rom du SP1 de Windows Server 2003. 1. Insrez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers. 2. Ouvrez le rpertoire support\tools et le fichier deploy.cab. Assistant Gestion dinstallation et CD-Rom du SP1 de Windows Server 2003 Si vous ne possdez pas le CD-Rom du SP1 de Windows Server 2003 et que vous ayez rcupr lexcutable du SP1 sur le site web de Microsoft, vous constaterez quen dcompressant les fichiers, vous ne trouverez pas le rpertoire support\tools. Vous devrez alors tlcharger le package correspondant au fichier deploy.cab ladresse :
www.microsoft.com/downloads/details.aspx?FamilyID=a34edcf2-ebfd-4f99-bbc4 -e93154c332d6&DisplayLang=en.
118
3. Slectionnez tous les fichiers quil contient, cliquez du bouton droit de la souris et choisissez Extraire. 4. Slectionnez ou crez un rpertoire de destination et cliquez sur Extraire. 5. Ouvrez le rpertoire de destination et excutez setupmgr.exe.
Figure 4.4 : Choix du type dinstallation dans lAssistant Gestion dinstallation
6. Slectionnez le type Installation sans assistance. Vous pouvez galement crer un fichier de rponses pour les installations de type RIS et Sysprep qui seront dtailles ultrieurement. 7. Slectionnez la version du systme dexploitation Windows qui sera installe laide de ce fichier de rponses, puis le type dinteraction que vous souhaitez, ou plutt le niveau dautomatisation du fichier de rponses, parmi les diffrentes propositions dcrites dans la fentre suivante :
Figure 4.5 : Choix du type dinteraction dans lAssistant Gestion dinstallation
119
Chapitre 4
8. Slectionnez ensuite lemplacement des fichiers sources de Windows Server 2003 et validez le contrat de licence. Souvre alors une interface vous permettant de remplir les diffrents champs qui rpondent aux interactions de linstallation et personnalisent la vtre. En voici un exemple :
Figure 4.6 : Dfinition des paramtres dinteraction dans lAssistant Gestion dinstallation
Crypter le mot de passe du compte local Administrateur dans le fichier de rponses Avec Windows Server 2003, il est dsormais possible de crypter le mot de passe du compte local Administrateur lintrieur du fichier de rponses grce une simple option cocher. Noubliez pas de le faire. Une fois que tous les champs sont remplis, votre fichier unattend.txt est gnr dans le dossier partag de distribution. Voici ce que nous obtenons pour le serveur SNCECPDC01 :
;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=Yes TargetPath=\WINDOWS
120
[GuiUnattended] AdminPassword=464993d6cb5eb807f0d412bd764ffe8173ecbccd10d1011b5b10daf955db377d EncryptedAdminPassword=Yes OEMSkipRegional=1 TimeZone=105 OemSkipWelcome=1 [UserData] ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX FullName="PUZZMANIA Service Informatique" OrgName="PUZZMANIA" ComputerName=SNCECPDC01 [Display] BitsPerPel=32 Xresolution=1024 YResolution=768 [LicenseFilePrintData] AutoMode=PerSeat [SetupMgr] DistFolder=C:\windist DistShare=windist [Identification] JoinDomain=PUZZMANIA DomainAdmin=Administrateur [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetClients] MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=Yes UseDomainNameDevolution=No EnableLMHosts=Yes
121
Chapitre 4
AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=172.100.112.1 SubnetMask=255.255.240.0 DefaultGateway=172.100.111.1 DNSServerSearchOrder=172.100.111.1,172.100.111.2 WINS=Yes WinsServerList=172.100.111.1,172.100.111.2 NetBIOSOptions=0
Vous pouvez galement pousser lautomatisation encore plus loin en crant un fichier de rponses afin dautomatiser le processus de cration de contrleur de domaine. 4. Linstallation et le dploiement de Windows Server 2003 9. Crez un fichier de rponses que vous appellerez unattenddcpromo.txt par exemple. Pour Puzzmania, et plus particulirement pour le domaine corp.puzzmania.com, le contenu de ce fichier est le suivant :
[DCInstall] AllowAnonymousAccess = No AutoConfigDNS = Yes ChildName = corp.puzzmania.com ConfirmGc = Yes CreateOrJoin = Join CriticalReplicationOnly = Yes DatabasePath = D:\Data DisableCancelForDnsInstall = Yes DNSOnNetwork = Yes DomainNetBiosName = CORP IsLastDCInDomain = No LogPath = D:\Logs NewDomain = Child NewDomainDNSName = corp.puzzmania.com ParentDomainDNSName = puzzmania.com Password = XXXXXXXX RebootOnSuccess = NoAndNoPromptEither ReplicaDomainDNSName = puzzmania.com ReplicaOrNewDomain = Domain ReplicationSourcePath = %SYSTEMDRIVE%\Source SafeModeAdminPassword = XXXXXXXX SiteName = Nice Syskey = 12345 SysVolPath = %SYSTEMDRIVE%\Sysvol TreeOrChild = Child UserDomain = puzzmania.com UserName = Administrateur
10. Ensuite, excutez la commande dcpromo /answer:unattenddcpromo.txt une fois que votre serveur est install en tant que serveur autonome ou serveur membre.
122
Comme vous le savez, certains paramtres sont uniques sur le rseau comme le nom dordinateur. Cela veut dire que le fichier unattend.txt nest pas rutilisable tel quel sur tous vos ordinateurs. Vous devez donc crer un fichier .udf en complment du fichier unattend.txt afin de lister toutes les diffrences apparaissant dune installation lautre. Le fichier daide deploy.chm inclus dans deploy.cab vous sera prcieux quant la syntaxe respecter. Enfin, pour lexcution de votre installation automatise, un fichier unattend.bat est gnr en mme temps que le fichier unattend.txt. partir du serveur que vous voulez installer, vous devez atteindre le dossier de partage sur lequel se situe le fichier unattend .bat et excuter ce dernier. La plupart des serveurs que vous installerez seront souvent sans systme dexploitation lorsque vous les dmarrerez la premire fois. Il vous faudra donc booter sur une disquette contenant un client rseau DOS afin de charger une gestion minimale de rseau, atteindre le fichier et le lancer. Voici un exemple o SNCECPFS01, un serveur de fichiers, distribue les fichiers sources pour linstallation : 4. Linstallation et le dploiement de Windows Server 2003
@rem SetupMgrTag @echo off rem rem rem rem rem rem
Ceci est un EXEMPLE de script de commandes gnr par lAssistant Gestion dinstallation. Si ce script est dplac de lemplacement dans lequel il a t cr, il peut tre ncessaire de le modifier.
set AnswerFile=.\unattend.txt set SetupFiles=\\SNCECPFS01\windist\I386 \\SNCECPFS01\windist\I386\winnt32 /s:%SetupFiles% /unattend:%AnswerFile%
Cette mthode dinstallation automatise peut aussi bien dployer Windows Server 2003 sur les serveurs que Windows XP Professionnel sur les stations de travail. Or, comme elle ne sait pas installer les applications en mme temps que le systme dexploitation, il est dusage de ne lutiliser que pour linstallation des serveurs.
Le dploiement laide de RIS

Le service dinstallation distance RIS (Remote Installation Service) permet de dployer le systme dexploitation (client ou serveur) sur les ordinateurs de lentreprise sans intervention de la part de ladministrateur. Cette mthode ne sapplique que dans le cadre dune nouvelle installation et se fonde sur la technologie des images disques et/ou celle des fichiers de rponses. Une image dun ordinateur de rfrence (cette image pouvant galement contenir des applications) et/ou une image du CD-Rom de Windows sont prises, puis stockes sur le serveur RIS qui distribuera linstallation aux clients autoriss. Le processus sera dtaill par la suite. Cette mthode dinstallation peut sappliquer sur des serveurs ou des stations de travail 123
Chapitre 4
quips de matriels physiques diffrents, condition que vous utilisiez convenablement limage disque et/ou les fichiers de rponses.
Des vrications pralables

Vous devez faire un certain nombre de vrifications avant dinstaller le serveur RIS et de bnficier du dploiement automatis des images :
j
Le futur serveur RIS doit tre membre du domaine (ou contrleur de domaine). Cela sous-entend que votre domaine et, donc, Active Directory et DNS doivent tre prsents sur le rseau. Un serveur DHCP doit tre prsent sur le rseau, et doit tre autoris, ainsi que le serveur RIS, dans Active Directory (mme si le serveur RIS nest pas serveur DHCP). Les ordinateurs clients doivent tre compatibles PXE 1.0 ou 2.3 (Preboot eXecution Environment). Ils doivent possder une carte rseau quipe dune Rom PXE ou prise en charge par la disquette de dmarrage. Nouveauts de RIS avec Windows Server 2003 SP1 Grce au SP1 de Windows Server 2003, il est maintenant possible dexcuter RIS sur une plateforme Windows Server 2003 SP1 x64. De plus, RIS assure aussi le dploiement des images x64 laide de lAssistant Installation des services dinstallation distance (Risetup.exe) et de lAssistant Prparation dune installation distance (Riprep.exe), partir dun serveur Windows Server 2003 SP1, quelle que soit son architecture (x64, IA-64 et x86).
Installer le serveur RIS

Une fois que vous avez slectionn le serveur membre qui fera office de serveur RIS (chez Puzzmania, ce sera SNCECPFS01 pour le domaine corp.puzzmania.com) et que les prrequis sont tous respects, vous pouvez procder linstallation de RIS. 1. Ouvrez le Panneau de configuration, slectionnez Ajout/Suppression de programmes, puis Ajouter ou supprimer des composants Windows. 2. Cochez la case Services dInstallation distance, puis cliquez sur Suivant et enfin sur Terminer une fois que les fichiers sont copis. Redmarrez le serveur. 3. Dans le menu Dmarrer, slectionnez Excuter et lancez le programme Risetup.exe. La bote de dialogue suivante apparat alors en vous rappelant les prrequis.
124
Figure 4.7 : Assistant Installation des services dinstallation distance
4. Slectionnez ensuite lemplacement o sera cr le dossier dinstallation et qui contiendra les images. Par dfaut, le nom de ce dossier est RemoteInstall et il est partag sous le nom de REMINST. Il doit imprativement se situer sur une partition NTFS, qui ne doit tre ni la partition systme ni la partition damorage. Ce dossier doit galement avoir un espace minimal disponible de 2 Go. 5. Dans la bote de dialogue suivante, vous avez la possibilit de prendre en charge les ordinateurs clients. Il est conseill de dcocher toutes les options, en dautres termes de ne pas prendre en charge les ordinateurs clients dans limmdiat. Vous pourrez valider la prise en charge des ordinateurs clients une fois que votre serveur RIS sera totalement oprationnel. Cliquez sur Suivant. 6. Spcifiez lemplacement des fichiers dinstallation de Windows partir du CD-Rom. Le serveur RIS a besoin dau moins une image de CD-Rom quil sera possible de dployer. La version du systme dexploitation peut aussi bien tre Windows Server 2003 que Windows XP Professionnel ou Windows 2000 Professionnel. 7. Entrez ensuite un nom de sous-dossier pour stocker les fichiers provenant de ce CD-Rom. Cliquez sur Suivant et faites une description plus dtaille de limage du CD-Rom. Ces informations seront visibles sur lcran de lordinateur qui installera cette image. 8. Cliquez sur Suivant, vrifiez vos paramtres, puis cliquez sur Terminer. La copie dmarre et linstallation sachve. De nouveaux services sont ajouts la suite de linstallation de RIS sur le serveur :
j
Boot Information Negociation Layer (BINL) : "couche de ngociation des informations de dmarrage", ou service dinstallation distance, cest le service charg de rpondre aux requtes des clients et dinterroger Active Directory pour savoir si lordinateur dispose des droits ncessaires. Il permet dattribuer les paramtres adapts aux clients. 125
Chapitre 4
Trivial File Transfer Protocol (TFTPD daemon) : "service trivial FTP", cest le service qui permet aux clients de tlcharger les fichiers et de rapatrier le Client Installation Wizard (CIW) ou "assistant dinstallation du client" et toutes les botes de dialogue contenues dans ce dernier. Single Instant Store (SIS) : "stockage dinstance simple", cest le service charg de rduire lespace disque des volumes utiliss par les images dinstallation RIS. Ce service surveille lapparition de plusieurs versions dun mme fichier sur le volume et, dans ce cas, cre un lien vers ledit fichier, conomisant ainsi de lespace disque.
Mettre en uvre le serveur RIS

Une fois linstallation termine, vous devez suivre quatre tapes afin de passer le serveur RIS en production :
j
Autoriser le serveur ; Activer la prise en charge des ordinateurs clients ; Crer les comptes dordinateur client ; Dfinir les autorisations des utilisateurs.
j j j
Autoriser le serveur
Bien que le serveur RIS ne soit pas un serveur DHCP, vous devez lautoriser dans la console DHCP. 1. Ouvrez les Outils dadministration et lancez la console DHCP. 2. Slectionnez la racine de la console DHCP, cliquez du bouton droit de la souris et choisissez Grer les serveurs autoriss. 3. Cliquez sur Autoriser et saisissez le nom ou ladresse IP du serveur RIS, puis validez.
Figure 4.8 : Autorisation du serveur RIS dans la console DHCP
126
Activer la prise en charge des ordinateurs clients

Laction qui na pas t ralise ltape 5 de linstallation du serveur RIS peut tre ralise de la faon suivante : 1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence dunits dorganisation (OU) jusqu trouver le compte dordinateur du serveur RIS. 2. Cliquez du bouton droit de la souris sur le compte dordinateur et slectionnez Proprits, puis allez sous longlet Installation distance. 3. Cochez la case Rpondre aux ordinateurs clients la demande dun service.
Figure 4.9 : Prise en charge des clients RIS
4. Linstallation et le dploiement de Windows Server 2003 Vous pouvez galement cocher la case Ne pas rpondre aux ordinateurs clients inconnus, mais si vous le faites, vous devez avoir cr au pralable tous les comptes dordinateur client dans Active Directory. Cette technique, dite de prestaging, est plus contraignante, mais permet, dune part, de ne pas dlguer un utilisateur le droit de joindre un ordinateur au domaine et, dautre part, dquilibrer la charge lorsque plusieurs serveurs RIS sont prsents sur le rseau. Vrifier le serveur RIS Vous avez la possibilit de lancer des tests de bon fonctionnement du serveur RIS en cliquant sur le bouton Vrifier le serveur (uniquement partir du serveur RIS lui-mme). 127
Chapitre 4
Crer les comptes dordinateur client

1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence dunits dorganisation (OU) jusqu trouver le compte dordinateur du serveur RIS. 2. Cliquez du bouton droit sur le compte dordinateur et slectionnez Proprits, puis allez sur longlet Installation distance et cliquez sur le bouton Paramtres avancs. Vous avez alors la possibilit de personnaliser les futurs noms des ordinateurs clients en fonction de votre convention de nommage.
Figure 4.10 : Attribution des noms dordinateur client
Dnir les autorisations des utilisateurs

Selon les options que vous avez choisies, vous serez peut-tre amen dlguer le droit de joindre un ordinateur au domaine aux personnes qui ralisent les installations. 1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, cliquez du bouton droit de la souris sur le nom de votre domaine, puis sur Dlguer le contrle. 2. Dans lAssistant Dlgation de contrle, cliquez sur Suivant, puis sur Ajouter. Saisissez le nom du groupe (ou utilisateur) auquel accorder le droit ncessaire et validez. 3. Activez la case cocher Joindre un ordinateur au domaine, puis valisez. 4. Vrifiez en dernier lieu que le groupe ou lutilisateur a le droit de lecture sur le rpertoire de distribution dimages.
128
Pour plus dinformations sur tous les termes relatifs Active Directory, reportez-vous au chapitre Introduction LDAP et Active Directory.
Crer des images avec les outils RIS

Le serveur RIS prend en charge aussi bien les images bases sur le CD-Rom dinstallation de Windows et un fichier de rponses (dont lune est obligatoirement cre linstallation du serveur RIS) que les images disque prises partir dun ordinateur de rfrence (comme celles cres avec des outils spcialiss, tel Symantec Ghost). Les images bases sur le CD-Rom dinstallation de Windows et un fichier de rponses sont gres par lAssistant Installation des services dinstallation distance (Risetup.exe) et les images bases sur la technologie des images disques sont gres par lAssistant Prparation dune installation distance (Riprep.exe). Voyons comment crer ou ajouter des images des deux types au serveur RIS.
Les images de type CD-Rom (Risetup.exe)

1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre arborescence dunits dorganisation (OU) jusqu trouver le compte dordinateur du serveur RIS. 2. Cliquez du bouton droit de la souris sur le compte dordinateur et slectionnez Proprits, puis allez sous longlet Installation distance et cliquez sur le bouton Paramtres avancs. 3. Cliquez ensuite sur longlet Images, puis sur Ajouter. Suivez alors les instructions pour crer et stocker une nouvelle image.
Figure 4.11 : Assistant de cration dune nouvelle image
129
Chapitre 4
Les images de type Riprep (Riprep.exe)

RIS propose en standard loutil Riprep.exe, semblable aux outils de duplication de disque du march. partir dun ordinateur matre sur lequel vous avez pralablement install tous les correctifs de scurit et toutes les applications ncessaires, lancez lutilitaire Riprep.exe (se trouvant sur le serveur RIS) qui se chargera de crer une image propre, cest--dire en retirant les identificateurs de scurit uniques (SID), et de la copier sur le serveur RIS. Prenons un ordinateur matre correctement configur dans le contexte de Puzzmania. 1. Ouvrez une invite de commandes, ou cliquez sur Dmarrer/Excuter et saisissez \\SNCECPFS01\Reminst\Admin\i386\Riprep.exe. LAssistant Prparation dune installation distance souvre. 2. Suivez les instructions lcran. 4. Linstallation et le dploiement de Windows Server 2003
Figure 4.12 :
Assistant Prparation dune installation distance
Le dploiement partir des ordinateurs clients

Une fois les oprations de mise en production du serveur RIS et de cration dimages termines, vos ordinateurs clients sont prts recevoir les images dinstallation. Il suffit de procder au redmarrage de lordinateur partir de la carte rseau PXE (vous devez pour cela modifier la squence de boot ou les options du BIOS de lordinateur), puis de slectionner limage dinstallation de votre choix et lexcuter. Quelle stratgie choisir pour utiliser RIS convenablement en entreprise ? Tout dpend du contexte. Il peut tre intressant de sen servir pour installer les stations de travail plutt que les serveurs, parce que, avec Riprep.exe, vous possdez un outil semblable aux outils spcialiss du march qui permet de crer des images partir dun ordinateur de 130
rfrence configur avec toutes vos applications standards. De laffectation de ladresse IP via DHCP lintgration au domaine, vous pouvez tout paramtrer afin de gagner du temps et de procder des installations parallles en nombre. Quant aux serveurs, vous pouvez toujours les dployer avec RIS. Vous tes libre de procder une installation via une image CD-Rom et les fichiers de rponses afin de matriser toute la chane de mise en production du serveur, notamment linstallation des applications. Comme les serveurs nont pas tous la mme spcificit et les mmes paramtrages, il vous faudra crer une image par type de serveur. La mthode perd alors de son intrt, compte tenu du temps pass crer les images.
Utiliser un gestionnaire dimages et Sysprep.exe (System Preparation)

Une autre mthode dinstallation consiste dupliquer (cloner) le disque dur dun ordinateur prconfigur et de reproduire linstallation. Pour cela, vous devez utiliser un outil de cration dimage disque (par exemple Symantec Ghost). Cette mthode est valable uniquement pour de nouvelles installations sur des quipements matriels identiques. Vous navez pas besoin quune infrastructure de domaine soit dploye. La difficult rencontre avec les outils de cration dimage disque est quil ne faut pas rgnrer les mmes identificateurs de scurit (SID) chaque installation. Pour cela, vous devez utiliser un programme qui permet de nettoyer les identificateurs de scurit (SID) avant le clonage afin de garantir lunicit de chaque installation sur le rseau. Vous pouvez vous servir de lutilitaire fourni avec votre programme de cration dimage disque ou bien utiliser Sysprep.exe (System Preparation) fourni sur le CD-Rom de Windows Server 2003 SP1. Procdez ainsi : 1. Installez un ordinateur de rfrence contenant toutes les applications et les paramtres que vous dsirez. 2. Insrez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers. 3. Ouvrez le rpertoire support\tools et le fichier deploy.cab. 4. Slectionnez tous les fichiers quil contient, cliquez du bouton droit de la souris et choisissez Extraire. 5. Slectionnez ou crez un rpertoire de destination et cliquez sur Extraire. 6. Ouvrez le rpertoire de destination et excutez Sysprep.exe. Suivez alors les instructions. La bote de dialogue suivante saffiche : 4. Linstallation et le dploiement de Windows Server 2003 131
Chapitre 4
Figure 4.13 : Outil de prparation du systme 2.0 (Sysprep.exe)
7. Aprs avoir slectionn les options que vous dsirez, cliquez sur le bouton Resceller. Le processus se termine et arrte ou redmarre votre ordinateur. 8. Utilisez alors votre outil de cration dimage disque pour gnrer une image avant le redmarrage complet de lordinateur. Copiez cette image lemplacement distant de votre choix. Linstallation de limage disque sur lordinateur client seffectue partir de loutil de cration dimage. Sysprep.exe et Riprep.exe Sysprep.exe et Riprep.exe ont des utilisations bien distinctes. Alors que vous utiliserez Sysprep.exe en association avec un outil spcialis de duplication dimage disque, vous ne pourrez pas vous servir de Riprep.exe, qui ncessite imprativement la mise en production dun serveur RIS. Cette mthode dinstallation permet de tirer parti de votre outil tiers de cration dimage disque. Elle est plutt oriente vers linstallation des stations de travail pour deux raisons : elle nest applicable que sur des quipements physiques identiques, et une image peut contenir des applications. Cette mthode dinstallation a lavantage dtre trs simple mettre en uvre, sans ncessiter dinfrastructure de domaine.
132
Rsoudre les problmes dinstallation
4.3.
Si vous rencontrez des problmes durant linstallation ou la fin, voici quelques lments simples vrifier ainsi quune slection doutils et de fichiers trs pratiques :
Tableau 4.5 : Problmes dinstallation et conseils de rsolution Symptme Matriel non reconnu Conseil Vrifiez que le matriel est prsent sur la liste de compatibilit matrielle Windows HCL ladresse www.microsoft.com/whdc/hcl/ default.mspx. Testez un autre lecteur ou utilisez une mthode dinstallation via le rseau. Vrifiez le type de contrleur disque inclus dans votre serveur, rcuprez le dernier pilote valide et ajoutez-le au dmarrage de linstallation en appuyant sur la touche [F6]. Utilisez le programme dinstallation en mode texte afin de recrer la partition systme. Mettez jour le pilote de la carte ou installez momentanment une carte rseau virtuelle (carte de bouclage Microsoft) afin de terminer linstallation, puis lancez des tests physiques afin de dceler une panne matrielle. Vrifiez les paramtres de la carte ainsi que les paramtres TCP/IP. Vrifiez que vous pouvez contacter vos contrleurs de domaine et que vos serveurs DNS et vos comptes dordinateur sont correctement configurs.
Lecteur de CD-Rom non pris en charge Disque dur non trouv durant la phase dinstallation Espace disque insuffisant Carte rseau non trouve durant la phase dinstallation
Impossibilit de joindre le domaine
Pour les installations automatises, consultez le fichier deploy.chm contenu dans larchive deploy.cab du CD-Rom de Windows Server 2003 SP1, il vous sera dune aide prcieuse afin de trouver une solution vos problmes ou plus simplement pour vous donner de plus amples informations. Des outils gratuits Vous pouvez aussi utiliser les outils gratuits que vous trouverez sur le site web www .sysinternals.com, dans la catgorie File and Disks, en particulier loutil Filemon, qui permet de surveiller lactivit des fichiers systme en temps rel, et loutil NewSID, qui permet de changer lidentificateur de scurit (SID).
133
Chapitre 4
4.4.
En rsum
Avec Windows Server 2003, vous pouvez choisir entre diffrentes mthodes dinstallation et vous avez mme la possibilit de mettre en place une structure de dploiement afin doprer des installations en nombre, quil sagisse dailleurs de Windows Server 2003 ou des versions clientes de Windows. Vous devez choisir la solution qui correspond le mieux vos attentes en fonction de votre contexte de travail. Saisissez lopportunit de gagner du temps sur les tches dinstallation. Prenons lexemple de la mise en place dun serveur RIS afin dautomatiser linstallation de Windows XP Professionnel sur les stations de travail Dans le cadre de la rduction du cot total de possession, si vous achetez en nombre des stations de travail ayant le mme quipement physique, vous serez mme de ngocier un prix auprs de votre fournisseur. En outre, Windows Server 2003 vous livrera sans surcot la fonctionnalit dinstallation automatise. De plus, comme vous naurez quune seule image grer, si vous devez modifier un pilote pour rsoudre un problme donn, vous naurez qu modifier une seule fois limage pour que toutes les nouvelles installations prennent en compte la modification.
4. Linstallation et le dploiement de Windows Server 2003 134
Chapitre 5
Linstallation de Windows Vista

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 Dcouvrir les diffrentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Valider la conguration matrielle minimale recommande . . . . . . . . . . . . . . 142 Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Prparer la mise jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 167 Mettre jour le systme dexploitation vers Windows Vista . . . . . . . . . . . . . . . 181 Dpanner la mise niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 182 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Dcouvrir les diffrentes versions
epuis la premire installation de Windows 95 et ses 15 disquettes, les systmes dexploitation ont demand toujours plus de capacit pour passer du CD au DVD avec linstallation de Windows Vista. Au travers de ce chapitre, vous allez dcouvrir les diffrentes versions et les fonctions de Windows Vista ainsi que son installation standard. Jusque-l rien de bien exceptionnel, mais matriser cette base est ncessaire pour lutilisation de cet ouvrage. Vous dcouvrirez galement les mcanismes de linstallation, un peu plus complexe mais thorique cette fois-ci, de ce nouveau Windows ainsi que les changements apports par le format WIM. Pour terminer, vous apprendrez comment personnaliser votre mdia dinstallation et votre installation pour la rendre totalement automatique, Voici en quelques lignes ce que vous rserve ce chapitre pour que linstallation de Windows Vista nait plus de secret pour vous !
5.1.

5. Linstallation de Windows Vista
la description des diffrentes versions de Vista, on retrouve un triptyque, une cible dutilisateurs en triangle, vis par Microsoft :
j j j
les utilisateurs la maison avec Home Basic, Home Premium et Intgrale ; les utilisateurs/administrateurs en petites entreprises avec Business et Intgrale ; les utilisateurs/administrateurs en grandes entreprises avec Enterprise et Intgrale.
Voici un bilan des fonctionnalits techniques incluses dans chaque version :

Fonctionnalits techniques diffrencies Amliorations de base sur les performances et la scurit Fonctionnalits de recherche et dorganisation Fonctionnalit de connexion poste poste (P2P) Centre de sauvegarde (via rseau et programme) Interface graphique Aero glass et animations, transparence Media Center HD MovieMaker et DVD Authoring Network Projection Synchronisation de PC PC Vista Professionnel Oui Oui Oui Oui Oui Non Non Oui Oui Vista Entreprise Oui Oui Oui Oui Oui Non Non Oui Oui Vista dition Intgrale Oui Oui Oui Oui Oui Oui Oui Oui Oui
137
Chapitre 5
Fonctionnalits techniques diffrencies Cryptage EFS (Encrypted File System) Bureau distance Serveur Web personnel Utilitaire de fax et scanneur Jonction un domaine Fichiers hors connexion Stratgies de groupe SUA (Unix Subsystem) Cryptage complet de volume Virtual PC Express MUI-All Languages (multilingue) Windows Intgrale Extras
Vista Professionnel Oui Oui Oui Oui Oui Oui Oui Non Non Non Non Non
Vista Entreprise Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Non
Vista dition Intgrale Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Mobilit (fonctionnalit de Tablet PC) Oui
Que faire ? Avec quelle version

Voici un bref descriptif de ce que vous tes en mesure dattendre de chaque version. Windows Vista se dcline en six versions. Ne faites pas ces grands yeux ronds, pas de panique, vous allez rapidement vous y retrouver en posant votre besoin dutilisateur devant les descriptions de toutes ces versions de Windows Vista. De ces six versions, sachez tout de mme quil ny aura pas de distinction bien prcise avec une version spciale 64 bits. En effet, comme le 64-bits a des chances de devenir rapidement un standard, toutes les versions de Vista, hormis la Starter Edition, auront leur pendant 32 bits et 64 bits. Sachez galement que mme si certaines versions apportent des fonctionnalits en plus pour rpondre des besoins diffrents, aucun compromis na t fait sur la scurit. Toutes les versions, sans exception, bnficieront des avances communes en matire de scurit. L-dessus, pas dquivoque, choisissez la version qui vous convient en fonction de vos besoins et pas sur des versions plus ou moins scurises. Allons-y pour la prsentation.
Windows Vista Starter Edition

linstar de Windows XP Starter Edition, une version de Vista pour les pays en voie de dveloppement sortira. Comme pour XP, cette version ne sera pas disponible chez nous. Windows Vista Starter Edition ne connatra pas de dclinaison 64 bits, nautorisera pas plus de trois applications ou fentres ouvertes simultanment. La configuration de 138
rseau ne sera pas possible. Pas de changement rapide dutilisateurs non plus, ni de dmarrage par validation de mot de passe, mais la connexion Internet restera accessible.
Windows Vista dition Familiale Basique

Windows Vista dition Familiale Basique est la version de base du systme dexploitation pour les utilisateurs la maison. Cette version a t conue pour satisfaire les besoins informatiques simples de tous les jours, plus particulirement aux utilisateurs qui ont recours leur PC pour surfer sur Internet, changer des messages lectroniques avec leurs parents et amis, crer et modifier des documents de base style Office, etc. Bref, sans avoir besoin de fonctionnalits de haut vol. Windows Vista Home Basic Edition offre tout de mme un environnement dune grande scurit, fiabilit et efficacit. Les utilisateurs pourront tirer parti de nouveaux outils et de technologies modernes. Ils disposeront notamment dun explorateur de recherche trs performant, de la Sidebar, des fonctions intgres de contrle parental mais pas dinterface graphique volue, pas de Media Center, pas de MovieMaker HD, pas de mise en rseau (hormis Internet videmment), pas de cryptage, etc. On reste sur des besoins simples et quotidiens. Cette version sintgre parfaitement sur les PC ou portables bas prix, base de processeurs Intel Celeron par exemple. Windows Vista dition Familiale Basique fait office de version de fondation pour les deux autres versions destines aux utilisateurs la maison que sont Vista dition Familiale Premium et Vista Intgrale. 5. Linstallation de Windows Vista
Windows Vista dition Familiale Premium

Windows Vista dition Familiale Premium sadresse aux particuliers exigeants. Cette version runit toutes les fonctions de Windows Vista dition Familiale Basique et offre des fonctions supplmentaires. Cest le meilleur choix pour tirer pleinement parti de toute lergonomie, la puissance et la versatilit des usages du PC la maison : photos, vidos, tlvision, films, musique et jeux. Avec cette version, on grimpe dun cran dans les fonctionnalits. Par exemple, la nouvelle interface graphique Aero est disponible. galement, Windows Vista dition Familiale Premium intgre la recherche lensemble du systme dexploitation : les utilisateurs sont ainsi en mesure dorganiser aisment dimportantes collections de documents, dimages, de films, de squences vido et de morceaux de musique, et de retrouver en un clin dil les fichiers recherchs. Vista dition Familiale Premium ajoute les fonctions de Media Center. Votre PC se transforme alors en un centre multimdia pour animer les loisirs numriques de la famille. Les fonctions de Media Center intgres permettent denregistrer et de
139
Chapitre 5
regarder des missions de tlvision (y compris en haute dfinition) et dcouvrir de nouveaux contenus multimdias en ligne. Cette dition intgre galement la possibilit de connecter Windows une XBox 360 de faon profiter de ses loisirs numriques dans toutes les pices de son domicile. La technologie dencre numrique du Tablet PC, qui permet dinteragir avec le PC laide du stylet numrique ou dune pression tactile, sans passer par un clavier, est galement disponible dans cette dition de Windows Vista. La fonction intgre de gravure et de cration de DVD permet aux utilisateurs de graver, en toute transparence, leurs photos, vidos et fichiers personnels sur un DVD vido ou donnes. Ils peuvent galement crer des DVD professionnels partir de films familiaux, et les partager avec leurs proches. Cependant, Vista dition Familiale Premium reste destin aux utilisateurs la maison. Cela veut dire : pas de jonction un domaine, pas de cryptage de fichiers par exemple. Vous pouvez constater que cette version intgre les fonctions de Media Center et de Tablet PC. Pas de versions dissocies. Bien sr, il vaut mieux que votre portable ait un cran tactile et un stylet pour tirer parti des fonctions dencre numrique. 5. Linstallation de Windows Vista
Windows Vista Professionnel

Abordons maintenant des versions de Vista destines aux entreprises. Windows Vista Professionnel est la version du systme dexploitation destin aux entreprises de toutes tailles, mais plus particulirement les entreprises de petite taille. Windows Vista dition Professionnelle aide les utilisateurs professionnels au sein dune PME assurer le bon fonctionnement et la scurit de leurs PC tout en rduisant leur dpendance vis--vis du service informatique interne. Aux entreprises de taille suprieure, Windows Vista Professionnel apporte des amliorations significatives en termes de flexibilit et damlioration de gestion oprationnelle des postes de travail, rduisant ainsi les cots de maintenance et de support. Avec cette version, les quipes informatiques pourront, dans la mesure du possible, saffranchir des tches de maintenance quotidiennes et se consacrer davantage aux dveloppements stratgiques indispensables la croissance des entreprises. Parmi les caractristiques incluses dans Windows Vista Professionnel, on retrouve la nouvelle interface graphique Aero. On retrouve galement la gestion de grands volumes dinformation. En intgrant des fonctions de recherche lensemble du systme dexploitation et en facilitant le classement des fichiers, Windows Vista Professionnel aide les entreprises trouver rapidement les informations quelles recherchent. Les technologies Tablet PC qui permettent danalyser et de reconnatre lcriture sont galement prsentes.
140
Cette dition, spciale entreprise, intgre en sus des fonctions plus spcifiques dont la jonction aux domaines, ladministration distante du poste de travail et de cryptage de donnes sur disque dur.
Windows Vista Entreprise

Autre version pour les utilisateurs professionnels, Windows Vista Entreprise est l pour mieux rpondre aux besoins des grands groupes internationaux et des entreprises aux infrastructures informatiques complexes. Windows Vista Entreprise a pour objectif daider rduire les risques et les cots des infrastructures informatiques. Outre toutes les fonctionnalits dont dispose Windows Vista Professionnel, Windows Vista Entreprise apporte un niveau de protection accru des donnes en mettant en uvre une technologie de chiffrement matriel. Cette version propose galement des outils pour amliorer la compatibilit des applications et faciliter la standardisation. Autre amlioration trs importante pour les grands groupes : les entreprises pourront dsormais dployer, lchelle internationale, une seule image incluant toutes les langues de linterface utilisateur Windows. Licence Windows Vista Entreprise Petite particularit : la version Windows Vista Entreprise est propose aux clients disposant dordinateurs couverts par un contrat Microsoft Software Assurance ou Microsoft Enterprise Agreement. Du ct des caractristiques, BitLocker Drive Encryption (utilisation des technologies TPM 1.2 pour les cls de chiffrement) fait parti de Vista et empche les donnes confidentielles et la proprit intellectuelle des entreprises de tomber en de mauvaises mains en cas de vol ou de perte dun ordinateur portable. Virtual PC Express est lun des nombreux outils intgrs qui amliorent la compatibilit des applications avec les versions antrieures des systmes dexploitation de Microsoft. Virtual PC Express permet dexcuter une ancienne application sur un ancien systme dexploitation Windows dans un environnement virtuel cr sous Windows Vista Entreprise. Le sous-systme pour applications Unix est galement prsent sous Vista Entreprise et permet aux utilisateurs dexcuter des applications Unix directement sur un PC Windows Vista Entreprise. La nouvelle interface graphique Aero est galement disponible.
Windows Vista dition Intgrale

Enfin, terminons par le nec plus ultra, la Rolls-Royce des versions de Windows Vista ! La version Windows Vista Intgrale est un condens des fonctionnalits et des avantages de toutes les autres versions de Windows Vista. Elle contient tout, et vous 141
Chapitre 5
conviendra, que vous soyez utilisateur la maison, utilisateur en entreprise ou administrateur, moins que vous ne soyez les trois diffrents moments de la journe. Cest le premier systme dexploitation runir toutes les fonctions de divertissement, de mobilit et de productivit offertes par Windows Vista. Les versions N de Windows Vista Pour tre plus prcis, signalons lexistence, comme sous XP, des versions Vista dition Familiale Basique N et Vista Professionnel N, qui sont les versions sans Windows Media Player intgr rsultant des procs intents par lUnion europenne.
5.2.
Valider la conguration matrielle minimale recommande
La liste suivante dcrit la configuration matrielle minimale recommande pour les fonctionnalits de base des diffrentes ditions. De fait, la configuration matrielle varie en fonction de la version, des programmes et des fonctionnalits que vous installez. 5. Linstallation de Windows Vista
Vista dition Familiale Basique

j j j j j j j j
Processeur 32 bits x86 ou 64 bits x64 cadenc 800 MHz ; 512 Mo de mmoire systme ; carte graphique de classe DirectX 9 ; 32 Mo de mmoire graphique ; disque dur de 20 Go, disposant de 15 Go despace libre ; lecteur de DVD interne ou externe ; accs Internet ; dispositif de sortie audio.
Vista dition Familiale Premium, Professionnel, Entreprise et Intgrale

j j j j
Processeur 32 bits x86 ou 64 bits x64 cadenc 1 GHz ; 1 Go de mmoire systme ; carte graphique compatible Windows Aero ; 128 Mo de mmoire graphique ;
142
Effectuer une installation interactive
j j j j
disque dur de 40 Go, disposant de 15 Go despace libre (pour le stockage des fichiers temporaires lors de linstallation ou de la mise niveau) ; lecteur de DVD interne ou externe ; accs Internet ; dispositif de sortie audio. Configuration requise Pour plus dinformations sur la configuration requise de Windows Vista, vous pouvez consulter le site technique de la base de connaissance Microsoft ladresse http:// support.microsoft.com/search/?adv=1 et slectionner la fiche KB 919183 Configuration requise de Windows Vista.
5.3.

Vous pouvez installer Windows de manire interactive partir du mdia Windows. Linstallation interactive ncessite une intervention de lutilisateur, qui doit spcifier notamment le lecteur de destination, son nom dutilisateur et son fuseau horaire. Linstallation standard de Windows Vista ne droge pas aux rgles de simplicit. Windows Vista reste trs lmentaire installer puisquil vous suffit de dmarrer lordinateur avec le DVD dinstallation pour que celle-ci se ralise presque seule. Il vous sera demand dentrer le numro de srie et de rpondre trois ou quatre questions : votre pays, votre nom, un mot de passe, etc. Installation de Windows Vista sur un ordinateur disposant de 3 Go de RAM Les ordinateurs disposent dune mmoire vive de plus en plus leve, et pour cause : celle-ci arrive des prix trs accessibles et, de fait, il nest pas rare de trouver des ordinateurs disposant de 4 Go de RAM. Dans ce cas, durant linstallation de Windows Vista, le message suivant peut apparatre : "STOP 0x0000000A (paramtre1, paramtre2, paramtre3, paramtre4) IRQL_NOT_LESS_OR_EQUAL". Le problme peut tre li la quantit de mmoire. Pour rsoudre ce problme, Microsoft propose deux correctifs : la mise jour KB929777 pour Windows Vista (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =240ac3f3-2b60-4b70-b709-06b2bc5b1336) ; j la mise jour KB929777pour Windows Vista, version 64 bits (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =91672c7c-614b-404c-850c-377541e93c18).
j
143
Chapitre 5
Lancez linstallation de la manire suivante : 1. Dmarrez le programme dinstallation de Windows Vista en insrant le DVD, puis redmarrez votre ordinateur.
Figure 5.1 : Initialisation de linstallation de Windows Vista
2. Slectionnez la langue et les paramtres rgionaux et cliquez sur Suivant.
Figure 5.2 : Slection des paramtres rgionaux : la langue, les paramtres liaient au
pays ainsi que le clavier 144
3. linvite dinstallation, cliquez sur Installer. 4. Dans la partie Entrez votre cl de produit pour activation, tapez le numro de srie du produit dans le champ Cl de produits (les tirets de sparation sont ajouts automatiquement). Ce numro est compos de 25 caractres alphanumriques. Cliquez sur Suivant pour continuer.
Figure 5.3 : cran de saisie pour le dblocage de la version de Windows Vista
5. Windows Vista ne droge pas la rgle : dans la fentre Veuillez lire le contrat de licence, lisez et acceptez les termes du contrat de licence. Activez loption Jaccepte les termes du contrat de licence (indispensable pour continuer). Cliquez sur Suivant. Si vous ne validez pas cette option, vous serez oblig de mettre fin au programme dinstallation de Windows Vista. 6. Dans la fentre Quel type dinstallation voulez-vous effectuer ?, deux choix soffrent vous : une Mise niveau ou une installation Personnalise (options avances). Slectionnez Personnalise (option avance). Impossible de slectionner ou de formater le disque dur Lors de linstallation, il peut arriver que lon ne puisse pas slectionner ou formater une partition destine linstallation de Windows Vista. Dans ce cas le message suivant apparat : "Windows ne trouve pas de volume systme conforme ses critres dinstallation". 145
Chapitre 5
Ce problme peut se produire dans les cas suivants :

j j j j j
Le contrleur de disque nest pas compatible avec Windows Vista, voire il est obsolte. Les pilotes ne sont pas jour. Le disque dur est un disque converti en dynamique. Le disque dur a un problme matriel. La partition que vous slectionnez est en FAT32 ou dans un format incompatible pour Windows Vista.
Pour rpondre ces problmes la fiche KB927520 : "Vous ne pouvez pas slectionner ou formater une partition de disque dur lorsque vous essayez dinstaller Windows Vista" vous propose huit solutions possibles.
j j j j
j j j j
Mthode 1 : Vrification de la compatibilit de la partition avec Windows Vista. Mthode 2 : Mise jour des pilotes pour le contrleur de disque dur. Mthode 3 : Installation des pilotes corrects pour le contrleur de disque dur. Mthode 4 : Examen du fichier Setupact.log afin de vrifier que la partition est active. Mthode 5 : Recherche de mises jour du microprogramme et de mises jour du BIOS systme. Mthode 6 : Vrification que le BIOS systme dtecte correctement le disque dur. Mthode 7 : Utilisation de lutilitaire Chkdsk.exe pour identifier les problmes. Mthode 8 : Utilisation de lutilitaire Diskpart.exe pour nettoyer le disque, puis nouvelle excution du programme dinstallation de Windows Vista.
7. Dans la fentre O souhaitez-vous installer Windows ?, cliquez sur Options de lecteurs (avances) pour personnaliser la taille de la partition dinstallation (voir fig. 5.4). 8. Cliquez sur Suivant pour dmarrer la copie des fichiers. Les tapes suivantes se succdent :
j j j j j
copie des fichiers de Windows ; dcompression des fichiers ; installation des fonctionnalits ; installation des mises jour ; fin de linstallation.
146
Figure 5.4 : Personnalisation de la taille de la partition dinstallation
Dure de linstallation Linstallation peut prendre plusieurs dizaines de minutes selon la puissance de votre machine. 9. Dans la fentre de Windows Vista, cliquez sur Suivant. 10. Slectionnez une image et entrez un mot de passe. Confirmez ce mot de passe, puis cliquez sur Suivant. 11. Changez le nom de lordinateur et slectionnez votre fond dcran. Cliquez sur Suivant. 12. Choisissez ou non dactiver et de configurer le pare-feu. 13. Configurez la Date et le Fuseau horaire. 14. Dmarrez Windows Vista en cliquant sur licne Windows Vista. Dans la premire fentre, vous devez entrer votre mot de passe. La configuration de votre Bureau commence.
147
Chapitre 5
Figure 5.5 : Configuration de votre Bureau
Lactivation et la licence
5. Linstallation de Windows Vista Cest bien connu, lutilisation de Windows ncessite une licence et, sur ce point, Windows Vista ne droge pas la rgle. Cela veut dire quune fois votre systme dexploitation install avec un numro de srie, vous disposez dune priode de grce de 30 jours. Aprs ce dlai, lutilisation de votre ordinateur deviendra complique. Cependant, il peut arriver que lon veuille faire des tests et que cette priode ne suffise pas. Pour rpondre cette contrainte, il existe une commande assez peu documente qui se nomme SLMGR.
Figure 5.6 : Recherche dinformations sur SLMGR dans laide de Windows Vista
148
Cette commande vous permet de repousser ce dlai trois fois. Pour connatre les extensions lies cette commande, saisissez SLMGR /? dans une fentre en ligne de commandes.
Figure 5.7 : Extensions de la commande SLMGR
Pour savoir combien de temps il vous reste avant la fin de votre priode de grce, procdez ainsi : 1. Cliquez sur le menu Dmarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, saisissez slmgr dli.
Figure 5.8 : Informations sur le dlai denregistrement
149
Chapitre 5
Dans notre exemple, nous pouvons constater que le dlai de grce est de 20 jours. Pour prolonger ce dlai 30 jours, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, saisissez slmgr rearm.
Figure 5.9 : Renouvellement du dlai de 30 jours
3. Redmarrez votre systme dexploitation pour que la commande soit valide. Pour contrler, lancer le mode en ligne de commandes en tant quadministrateur, puis saisissez la commande slmgr dli.
Figure 5.10 : Informations sur le nouveau dlai denregistrement
Il reste 29 jours. SLMGR La commande slmgr rearm ne peut pas tre utilise plus de trois fois. Cela veut dire que vous pouvez utiliser Windows Vista durant une priode totale de 120 jours.
150
Migrer vers Windows Vista
Si vous souhaitez connatre jusquo cette grce vous conduit, tapez la commande slmgr xpr.
Figure 5.11 : Informations sur la priode de grce
5.4.

Pour procder la migration vers Windows Vista partir dune version antrieure de Windows, vous devez disposer dun ordinateur avec une version prise en charge de Windows contenant les applications, les paramtres et les donnes dplacer vers un nouvel ordinateur avec Windows Vista. Les outils de migration de Windows Vista vous offrent trois possibilits pour la migration des paramtres et des fichiers :
j
la connexion rseau (dans le premier cas, les deux ordinateurs doivent tre en mesure de communiquer directement de lun lautre ; dans le second cas, si lon utilise un partage rseau, les deux ordinateurs doivent tre capables de mapper ce partage) ; un support amovible (par exemple une cl USB ou un disque dur externe) ; un CD ou un DVD.
j j
Outre la mthode de transfert, vous avez le choix des outils de migration. LAssistant Migration de PC est inclus dans Windows Vista, mais galement dans le DVD dinstallation. Il vous permet de faire migrer les paramtres et les fichiers de tous vos utilisateurs dun ordinateur vers un nouvel ordinateur. Migration des utilisateurs Lutilitaire ne fera migrer que les utilisateurs ayant dj ouvert une session dans le prcdent systme dexploitation si, par exemple, vous avez trois utilisateurs qui ouvrent des sessions sur le poste et un utilisateur que vous navez jamais utilis et qui vous sert dutilisateur de secours. Seuls les trois utilisateurs auront migr. Cest normal : aucun profil na t cr pour ce quatrime utilisateur.
151
Chapitre 5
LAssistant Migration de PC de Windows Vista peut dplacer les paramtres suivants :

j j j j j
les comptes des utilisateurs ; les fichiers et dossiers de tous les lecteurs ; les paramtres des programmes ; les paramtres et favoris Internet ; les paramtres de courrier lectronique.
Transfrer les chiers et les paramtres via le rseau

Le transfert seffectue en deux tapes. La premire tape se droule du ct poste cible, cest--dire le nouvel ordinateur qui excute Windows Vista. Il va sagir de prparer le transfert. Dans notre cas, cela se passera par le rseau. Une fois le mode de transfert slectionn, lordinateur cible fournira une cl qui sera utilise par lordinateur source pour initier le transfert. Dans un deuxime temps, lordinateur source utilisera la cl pour tablir la communication entre les deux ordinateurs. Ensuite, il faudra sectionner les utilisateurs, les paramtres et les fichiers transfrer. 5. Linstallation de Windows Vista Avant de dmarrer les tapes entre les deux postes, il est important de vrifier que ces derniers communiquent entre eux. Deux vrifications peuvent tre ralises. La premire consiste contrler que les ordinateurs sont prsents dans le voisinage rseau.
Figure 5.12 : Vrification de la prsence des ordinateurs dans le voisinage rseau
152
Lautre vrification consiste lancer un ping sur le second ordinateur. En cas de problme avec le ping, vrifier que ce nest pas li au pare-feu :
C:\Documents and Settings\Sylvain>ipconfig Configuration IP de Windows
Carte Ethernet Connexion au rseau local: Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . connexion : . . . . . : 172.100.16.100 . . . . . : 255.255.240.0 . . . . . : 172.100.16.1
C:\Documents and Settings\Sylvain>ping 172.100.16.75 Envoi dune requte ping sur 172.100.16.75 avec 32 octets de donnes : Rponse Rponse Rponse Rponse de de de de 172.100.16.75 172.100.16.75 172.100.16.75 172.100.16.75 : : : : octets=32 octets=32 octets=32 octets=32 temps=179 ms TTL=128 temps=156 ms TTL=128 temps=1074 ms TTL=128 temps=184 ms TTL=128
Statistiques Ping pour 172.100.16.75: Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%), Dure approximative des boucles en millisecondes : Minimum = 156ms, Maximum = 1074ms, Moyenne = 398ms C:\Documents and Settings\Sylvain>
Ct poste cible
1. Ouvrez lAssistant Migration de PC sur votre ordinateur Windows Vista. Cliquez sur Dmarrer/Tous les programmes/Accessoires/Outils systme/Transfert de paramtres et fichiers Windows (voir fig. 5.13). 2. Au lancement de linterface graphique de loutil de transfert, la fentre Contrle du compte utilisateur saffiche, cliquez sur Continuer. Dans la fentre Transfert de fichiers et paramtres de Windows, cliquez sur Suivant pour continuer (voir fig. 5.14).
153
Chapitre 5
Figure 5.13 : Lancement de lutilitaire de transfert depuis Windows Vista
Figure 5.14 : Assistant de transfert de fichiers et paramtres
154
3. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution.
Figure 5.15 : Fermeture de tous les programmes en cours dexcution
4. Dans la fentre Voulez-vous commencer un nouveau transfert ou en continuer un ?, cliquez sur Dmarrer un nouveau transfert afin de lancer le processus de prparation de lAssistant Migration de PC pour la collecte des informations sur les ordinateurs existants.
Figure 5.16 : Lancement dun nouveau transfert depuis lordinateur cible
155
Chapitre 5
5. Dans la fentre Quel ordinateur utilisez-vous maintenant ?, Cliquez sur Mon nouvel ordinateur.
Figure 5.17 : Choix de lordinateur cible ou de lordinateur source pour le paramtrage
de transfert 6. Dans la fentre Disposez-vous dun cble de transfert ?, choisissez Non, afficher dautres options.
Figure 5.18 : Slection du mode de transfert, avec ou sans cble USB
7. Pour continuer, vous allez devoir anticiper le fait davoir dj install lutilitaire de transfert sur votre ancien ordinateur. Pour cela, dans la fentre Avez-vous install Transfert de fichiers et paramtres Windows sur votre ancien ordinateur ?, slectionnez Oui, je lai install. 8. Cest ce stade du paramtrage que vous pouvez slectionner le mode de transfert, soit en rseau par un support de type CD ou DVD. Slectionnez Oui, je vais transfrer des fichiers et paramtres via le rseau. 9. Il va sagir de scuriser lchange entre les deux ordinateurs. Pour cela, vous disposerez dune cl commune aux deux ordinateurs. Deux choix soffrent vous. 156
Vous avez la possibilit de cliquer sur Non, jai besoin dune cl. Dans ce cas, lutilitaire va gnrer une cl que vous pourrez fournir lordinateur source. Seconde possibilit : vous dmarrez simultanment le paramtrage de lordinateur cible et demandez par le biais de lordinateur source une cl. Dans ce cas, slectionnez Oui, je dispose dune cl.
Figure 5.19 : Demande dune cl lutilitaire de transfert
10. Pour notre exemple, la cl sera demande par lordinateur cible lutilitaire. Slectionnez Non, jai besoin dune cl. Notez la cl.
Figure 5.20 : Lordinateur vous donne une cl alatoire compose de chiffres et de lettres
en majuscules et minuscules La deuxime partie va se drouler partir du poste source.
Ct poste source
1. Dmarrez lAssistant Migration de PC sur lordinateur partir duquel vous souhaitez faire migrer les paramtres et les fichiers en accdant au support amovible ou au lecteur rseau contenant les fichiers de lAssistant. Double-cliquez sur migwiz.exe.
157
Chapitre 5
Figure 5.21 : Lexcutable Migwiz.exe provenant du DVD dinstallation de Windows
Vista dans le rpertoire support\migwiz 5. Linstallation de Windows Vista 2. Au lancement de linterface graphique de loutil de transfert, cliquez sur Suivant pour continuer. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution.
Figure 5.22 : Fermeture des programmes en cours dexcution
158
3. Dans la fentre Choisissez la mthode de transfert des fichiers et des paramtres vers le nouvel ordinateur, slectionnez Transfrer directement, en utilisant une connexion rseau.
Figure 5.23 : Slection de la mthode de transfert
Mthode de transfert Les deux ordinateurs doivent prendre en charge la mthode de transfert choisie. Par exemple, les deux ordinateurs doivent tre connects au mme rseau. 4. Cliquez sur Utiliser une connexion rseau afin de commencer le transfert. Vous pouvez galement cliquer sur Copier dans et partir dun emplacement rseau si vous souhaitez stocker les fichiers et paramtres dans un fichier afin de le charger ultrieurement. Si vous choisissez de stocker les donnes dans un emplacement rseau, vous serez invit indiquer le chemin.
Figure 5.24 : Slection du mode de transfert, directement de PC PC ou de lordinateur
source vers un partage rseau commun
159
Chapitre 5
5. Dans la partie prcdente, lutilitaire avait pos la question : "Avez-vous ou souhaitez-vous une cl ?" Vous en avez demand une. Dans la fentre Disposez-vous dune cl Transfert de fichiers et paramtres Windows ?, cliquez sur Oui, je dispose dune cl, puis saisissez la cl afin de pouvoir crer la communication entre les deux ordinateurs et continuer.
Figure 5.25 : Cl alatoire compose de chiffres et de lettres en majuscules et minuscules
provenant de lordinateur cible 6. Saisissez la cl demande et cliquez sur Suivant. 7. Puisque la communication entre les deux ordinateurs est ralise, cest le moment de choisir ce qui doit tre transfr. Trois possibilits : cliquez sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand) afin de transfrer tous les fichiers et paramtres ; vous pouvez galement choisir de dterminer exactement les fichiers faire migrer, en cliquant sur Uniquement mon compte dutilisateur, mes fichiers et mes paramtres ou sur Options avances (voir fig. 5.26). 8. Dans notre cas, nous allons choisir de tout transfrer. Vous devez donc cliquer sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand).
160
Figure 5.26 : Fentre Que voulez-vous transfrer sur votre nouvel ordinateur
9. Examinez la liste des fichiers et des paramtres transfrer, puis cliquez sur Transfrer pour lancer le transfert. Malgr le fait davoir slectionn Tous les comptes dutilisateurs, fichiers et paramtres (recommand), vous avez la possibilit de personnaliser votre slection. Cela peut vous permettre dajouter des donnes qui ne se trouvent pas forcment dans les paramtres utilisateurs. Pour cela, cliquez sur Options avances, puis sur Ajouter des rpertoires.
Figure 5.27 : Slection des utilisateurs, des paramtres et des fichiers transfrer
10. Entrez un nouveau nom dutilisateur ou slectionnez-le sur la liste. Dans cette fentre, vous avez la possibilit de renommer les comptes que vous avez slectionns prcdemment et de donner le nouveau nom quils porteront sur lordinateur cible. Cliquez sur Suivant. 161
Chapitre 5
Figure 5.28 : Slection des noms utilisateur pour lordinateur cible
11. Dans le cas o vous possderiez plusieurs lecteurs logiques ou simplement plusieurs disques durs, vous avez la possibilit de transfrer les donnes, les paramtres et les fichiers sur le lecteur de votre choix. Vous avez mme la possibilit de ne possder quun lecteur, par exemple. Cliquez sur Suivant pour lancer le transfert.
Figure 5.29 : Correspondance des disques de lordinateur source vers lordinateur cible
162
Une estimation du temps de copie est ralise, puis la copie est lance.
Figure 5.30 : Estimation du temps de copie et lancement de la copie
12. Une fois le transfert termin, un bref rsum saffiche. Vous avez la possibilit dobtenir plus de dtails sur lensemble des fichiers transfrs en cliquant sur Afficher tous les lments transfrs. Cliquez sur Fermer pour fermer lutilitaire de transfert sur le poste source. Regardons prsent ce quil sest pass sur lordinateur cible. Les utilisateurs et les paramtres ont t transfrs. Paul a t renomm en Polo, Julie en Juju et Sylvain reste Sylvain. Seule remarque pour le moment, les profils avec des droits dadministrateurs au dpart du transfert se retrouvent avec des droits de simples utilisateurs larrive ; idem pour les donnes, elles sont prsent toutes sur le disque C.
Figure 5.31 : Contrle du transfert des profils sur lordinateur cible
163
Chapitre 5
Transfrer les chiers et les paramtres laide dun support amovible

Nous venons de voir en dtail comment transfrer les utilisateurs, les paramtres et les donnes de poste poste, mais il existe dautres mthodes. Le transfert laide dun support amovible en est une. Et selon les diffrentes mthodes, seuls deux ou trois paramtres changent, mais le principe entre le poste source et le poste cible ne change pas (cest dailleurs pour cela que nous avons pass du temps sur ce sujet). Pour ne pas rpter tout ce qui a t crit prcdemment, nous allons parcourir un peu plus rapidement les deux mthodes restantes. 1. Dmarrez lAssistant Migration de PC sur lordinateur partir duquel vous souhaitez faire migrer les paramtres et les fichiers en accdant au support amovible ou au lecteur rseau contenant les fichiers de lAssistant. Double-cliquez sur migwiz.exe. 2. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution. Cliquez sur Suivant. 5. Linstallation de Windows Vista 3. Dterminez la mthode de transfert utiliser. Slectionnez Sur un CD ou un autre support amovible, tel quun lecteur flash. Support Les deux ordinateurs doivent prendre en charge la mthode de transfert choisie. Par exemple, ils doivent prendre en charge le mme type de support amovible. 4. Cliquez sur Vers un lecteur rseau afin denregistrer les fichiers dans un dossier rseau ou un dossier sur un lecteur amovible. 5. Dans O souhaitez-vous enregistrer vos fichiers ?, tapez le chemin dun dossier sur le lecteur amovible. Cliquez sur Suivant. 6. Cliquez sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand) afin de transfrer tous les fichiers et paramtres. Vous pouvez galement choisir de dterminer exactement les fichiers migrer, en cliquant sur Seulement mon compte utilisateur, mes fichiers et mes paramtres de programme ou sur Personnalis. 7. Examinez la liste des fichiers et paramtres transfrer, puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. 8. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers.
164
9. Dplacez le support amovible vers le nouvel ordinateur et lancez lAssistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans O avez-vous copi vos fichiers ?, cliquez sur Support amovible. Si loption Support amovible nest pas disponible, cliquez sur Lecteur rseau. Cliquez sur Suivant. 12. Dans Localisez vos fichiers enregistrs, tapez le chemin vers vos fichiers enregistrs ou cliquez sur Parcourir. Cliquez sur Suivant une fois que vous avez localis les fichiers. 13. Choisissez sur le nouvel ordinateur des noms dutilisateurs qui correspondent ceux de lancien ordinateur. Vous pouvez tre amen crer de nouveaux comptes lors de cette tape. Tapez un nom dutilisateur afin de crer un compte sur lordinateur local. Saisissez un nom dutilisateur afin de crer un profil. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, slectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent tre dplacs sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramtres transfrer puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. 16. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers. 5. Linstallation de Windows Vista
Transfrer les chiers et les paramtres: laide dun CD ou dun DVD

Pour clore la partie sur les transferts de ce chapitre, voici de manire trs rapide la dernire mthode, celle par CD ou DVD : 1. Dmarrez lAssistant Migration de PC sur lordinateur partir duquel vous souhaitez faire migrer les paramtres et les fichiers en accdant au support amovible ou au lecteur rseau contenant les fichiers de lAssistant. Double-cliquez sur migwiz.exe. 2. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Fermer tout dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution. Cliquez sur Suivant. 3. Dterminez la mthode de transfert utiliser. Cliquez sur Graver un CD ou un DVD.
165
Chapitre 5
Support Les deux ordinateurs doivent prendre en charge la mthode de transfert choisie. Par exemple, ils doivent tre quips dun lecteur de CD ou de DVD. 4. Dans Choisissez votre support, tapez le chemin vers le support CD ou DVD rinscriptible. Cliquez sur Suivant. 5. Cliquez sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand) afin de transfrer tous les fichiers et paramtres. Vous pouvez galement choisir de dterminer exactement les fichiers migrer, en cliquant sur Seulement mon compte utilisateur, mes fichiers et mes paramtres de programme ou sur Personnalis. 6. Examinez la liste des fichiers et paramtres transfrer, puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. Sil ny a pas suffisamment despace disponible sur le support rinscriptible, lAssistant Migration de PC indique le nombre de disques vierges ncessaires. 7. Cliquez sur Suivant une fois le processus de gravure du CD ou du DVD termin. 5. Linstallation de Windows Vista 8. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers. 9. Dplacez le CD ou le DVD vers le nouvel ordinateur et lancez lAssistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans O avez-vous copi vos fichiers ?, cliquez sur Lire le CD ou le DVD. 12. Dans Choisissez votre support, slectionnez la lettre dunit du lecteur de CD ou de DVD ou se trouve le disque. Cliquez sur Suivant une fois que vous avez localis les fichiers. 13. Choisissez, sur le nouvel ordinateur, des noms dutilisateurs qui correspondent ceux de lancien ordinateur. Vous pouvez tre amen crer de nouveaux comptes lors de cette tape. Tapez un nom dutilisateur afin de crer un compte sur lordinateur local. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, slectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent tre dplacs sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramtres transfrer, puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. 16. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers.
166
Prparer la mise jour vers Windows Vista
5.5.
Tout au long de ce chapitre, nous avons vu comment faire cohabiter Windows XP et Windows Vista. Nous avons vu galement comment transfrer nos donnes dun poste utilisateur Windows XP vers un nouvel ordinateur quip de Windows Vista. Nous allons voir prsent comment mettre son ancien ordinateur niveau vers Windows Vista. Bien que cette opration semble simple, il est quand mme ncessaire deffectuer quelques vrifications dusage telles que la version vers laquelle lon souhaite migrer ou encore la compatibilit du matriel. Il ne faut pas oublier galement de vrifier les prrequis dinstallation et raliser une sauvegarde. Et pour terminer ce tour dhorizon, vous devez bien comprendre ce quil se passe durant la migration. Pour atteindre notre objectif, nous allons devoir raliser les tapes suivantes :
j j j j j j
la vrification de la compatibilit de lordinateur avec Windows Vista ; linstallation du Conseiller de mise niveau Windows Vista ; linstallation du Framework .NET 2.0 ; linstallation de MSXML ; la sauvegarde des donnes existantes ; linstallation de Windows Vista. 5. Linstallation de Windows Vista
Cette opration demande de rpondre aux prrequis suivants :

j j j
la mise jour de Windows Vista avec le numro de srie ; un disque dur ou un DVD pour la sauvegarde des donnes ; un espace disque libre dau moins 12 Go pour la mise niveau.
Choisir une version de mise jour

Voici un tableau rcapitulatif :
Tableau 5.1 : Installation et mise niveau vers Windows Vista Windows XP Professional Windows XP Familial Windows XP Media Center Ncessite une nouvelle installation Mise niveau possible sur la version existante Ncessite une nouvelle installation Ncessite une nouvelle installation Mise niveau possible sur la version existante Mise niveau possible sur la version existante Mise niveau possible sur la version existante Mise niveau possible sur la version existante Ncessite une nouvelle installation Mise niveau possible sur la version existante Mise niveau possible sur la version existante Mise niveau possible sur la version existante
167
Chapitre 5
Windows XP Professional Windows XP Tablet PC
Ncessite une nouvelle installation Ncessite une nouvelle installation
Ncessite une nouvelle installation Ncessite une nouvelle installation Ncessite une nouvelle installation Ncessite une nouvelle installation
Mise niveau possible sur la version existante Mise niveau possible sur la version existante Ncessite une nouvelle installation Ncessite une nouvelle installation
Mise niveau possible sur la version existante Mise niveau possible sur la version existante Ncessite une nouvelle installation Ncessite une nouvelle installation
Windows XP Ncessite une Professionnel x64 nouvelle installation Windows 2000 Ncessite une nouvelle installation
Une fois lanalyse du tableau ralise, il est ncessaire deffectuer quelques tches prliminaires comme valuer la configuration requise ou encore valider la version vers laquelle vous souhaitez mettre lordinateur jour. Pour cela, Microsoft propose un outil. Deuxime tape importante : la sauvegarde des donnes. Cest seulement aprs avoir ralis les deux tapes prliminaires que vous pourrez passer ltape 3 qui consiste mettre niveau un ordinateur possdant dj un systme dexploitation vers Windows Vista.
partir de Windows Vista Familiale Basic

Windows Vista Familiale Basic est la premire version fonctionner sur des ordinateurs classiques. Elle fonctionne avec les prrequis suivants :
j j j j
un CPU dau moins 800 MHz ; 512 Mo de mmoire ; une carte graphique DirectX 9 ; un disque de 20 Go, avec 15 Go despace libre.
Elle offre uniquement les fonctions de base de Windows Vista.
partir de Windows Vista Familiale Premium

La version Windows Vista Home Premium est, quant elle, la premire version multimdia de Windows Vista. Elle permet dactiver les fonctions graphiques. Le pilote WDDM permet dtendre le Bureau, ce qui apporte plusieurs fonctionnalits comme la transparence, mais aussi et surtout la composition du Bureau au sein de la carte graphique. Il va permettre aux processeurs graphiques de dlester les processeurs centraux. Cette version fonctionne avec les prrequis supplmentaires suivants :
j
un CPU dau moins 1 GHz ;
168
j j
1 Go de mmoire ; une carte graphique avec pilote WDDM.
Vrier la compatibilit matrielle

Lorsque lon choisit de mettre niveau son ancien ordinateur, il est important de vrifier la compatibilit, cela peut pargner bien des problmes en milieu dinstallation. Par exemple, la fiche KB927688, intitule "Lorsque vous tentez dinstaller Windows Vista, loption de mise niveau nest pas disponible", explique les problmes lis la compatibilit matrielle. Pour ne pas rencontrer ce type de dsagrment, Microsoft met votre disposition un Conseiller de mise niveau Windows Vista. Cependant, il ncessite linstallation de deux prrequis : le Framework .NET et MSXML.
Installer le Framework .NET

Lun des deux prrequis pour lutilisation de lutilitaire Upgrade Advisor est linstallation du Framework .NET. Tlchargement de Framework .NET
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=0856eacb-4362 -4b0d-8edd-aab15c5e04f5
Une fois le Framework tlcharg, il vous faut procder linstallation en respectant les tapes suivantes : 1. Cliquez une premire fois sur le fichier tlcharg et, son ouverture, cliquez sur Excuter. 2. Une fois le Framework dcompress, lassistant dinstallation se lance. Dans la fentre Bienvenue dans le programme dinstallation de Microsoft .NET Framework2.0, cliquez sur Suivant. 3. Dans la fentre Contrat de Licence Utilisateur Final, acceptez les termes du contrat de licence en cochant la case Jaccepte les termes du contrat de licence et cliquez sur Installer. 4. Linstallation peut prendre quelques minutes. Dans la fentre Installation termine, cliquez sur Terminer.
169
Chapitre 5
Installer MSXML
Le deuxime prrequis pour lutilisation de loutil Upgrade Advisor est MSXML. Tlchargement de MSXML
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=993c0bcf-3bcf -4009-be21-27e85e1857b1
Une fois MSXML tlcharg, procdez linstallation en respectant les tapes suivantes : 1. Cliquez une premire fois sur le fichier tlcharg. louverture, cliquez sur Suivant. 2. Dans la fentre Contrat de licence, cochez la case Jaccepte les termes du contrat de licence et cliquez sur Suivant. 3. Dans la fentre Information, remplissez ou modifier les champs Nom et Socit, puis cliquez sur Suivant. 4. Cliquez sur Installer dans la fentre Prt installer le programme pour lancer linstallation. 5. Pour finir linstallation, cliquez sur Terminer.
Installer le Conseiller de mise niveau Windows Vista

Tlchargement du Conseiller de mise niveau Windows Vista
www.microsoft.com/france/windows/products/windowsvista/buyorupgrade /upgradeadvisor.mspx
Sur le site, cliquez sur le lien Tlchargez le Conseiller de mise niveau Windows Vista pour que le tlchargement se lance. Windows Vista Upgrade Advisor ne fonctionne quavec Windows XP. Il nest pas possible de le faire fonctionner avec Windows 98 ou Windows 2000. Pour linstaller, procdez ainsi : 1. Lancez lexcutable WindowsVistaUpgradeAdvisor. Une fentre davertissement de scurit souvre, cliquez sur Excuter.
170
Figure 5.32 : La fentre davertissement de scurit de linstallation du Conseiller de mise niveau Windows Vista
2. Dans la fentre Assistant Installation du Conseiller de mise niveau Windows Vista, cliquez sur Suivant pour continuer.
Figure 5.33 : La fentre de lassistant dinstallation
3. Dans la fentre Contrat de licence, cliquez sur Jaccepte pour valider les termes de licence et cliquez sur Suivant (voir fig. 5.34). 4. Dans la fentre Slection du dossier dinstallation, gardez le rpertoire par dfaut et cliquez sur Suivant. Si vous souhaitez modifier le chemin dinstallation, cliquez sur Parcourir, slectionnez le nouveau chemin et cliquez sur Suivant (voir fig. 5.35).
171
Chapitre 5
Figure 5.34 : Validation du contrat de licence
Figure 5.35 : Slection du dossier dinstallation
5. Lassistant dinstallation vous propose de crer un raccourci sur votre Bureau en slectionnant par dfaut loption Crer un raccourci sur le bureau. Si vous ne souhaitez pas voir de raccourci, cliquez sur Ne pas crer de raccourci sur le bureau, puis cliquez sur Suivant pour continuer.
172
Figure 5.36 : Confirmation de linstallation
6. Pour terminer linstallation, cliquez sur Fermer.

Figure 5.37 : Fin de linstallation
Utiliser le Conseiller de mise niveau Windows Vista

Le Conseiller de mise niveau Windows Vista permet galement de vous aider choisir la version quil vous faut en fonction de vos besoins, en termes de multimdia, de connectivit ou encore daccs linformation : "Quest-ce que je veux faire lintrieur de lentreprise ? Est-ce que je veux faire du partage collaboratif ?" Il va dterminer en fonction des activits la version en adquation avec ces besoins. Il est capable galement de mettre un certain nombre de points bloquants en avant. 173
Chapitre 5
prsent, vous allez utiliser le Conseiller de mise niveau Windows Vista au travers de plusieurs tapes. 1. Pour lancer le programme, cliquez sur le menu Dmarrer/Tous les programmes/ Conseiller de mise niveau Windows Vista ou cliquez tout simplement sur le raccourci si vous avez slectionn loption durant linstallation.
Figure 5.38 : Le raccourci du Conseiller de mise niveau Windows Vista sur le Bureau
2. Dmarrez lanalyse de votre ordinateur en cliquant sur Dmarrer lanalyse. Cette analyse peut tre ralise partir de Windows XP bien videmment, mais galement depuis un ordinateur qui possde une version de Windows Vista que vous souhaitez faire voluer vers une version plus labore.
Figure 5.39 : Lancement de lanalyse de votre ordinateur
174
Le Conseiller de mise niveau Windows Vista se connecte Internet pour actualiser sa base. Ensuite, il commence analyser votre ordinateur en fonction de quatre dclinaisons de Windows Vista : Intgrale, Familial Premium, Professionnel et Familial Basic. Une fois lanalyse termine, le programme affiche la version de Windows Vista la mieux adapte votre ordinateur ainsi que trois rapports dtaills.
Figure 5.40 : Le rsultat de lanalyse
Chaque rapport dtaill prsent des recommandations propres sa partie. Le premier rapport reprsente le systme. Dans chaque rapport, un certain nombre dactions sont donnes avec les explications qui les accompagnent.
175
Chapitre 5
Le deuxime rapport reprsente les priphriques. Ce rapport se dcompose en trois parties son tour.
j
La partie Configuration requise correspond en quelque sorte aux problmes passer en revue.
Figure 5.41 : Le rapport de configuration
176
La partie Priphriques correspond la liste de priphriques pour lesquels le programme na pas trouv dinformations. Cependant, lutilitaire se met rgulirement jour sur la base de donnes qui elle-mme est rgulirement actualise.
Figure 5.42 : Le rapport sur les priphriques
177
Chapitre 5
La partie Programmes correspond aux programmes qui sont conformes Windows Vista, cest--dire qui nont pas besoin daction.
Figure 5.43 : Le rapport sur les programmes
Configuration requise Les PC qui ne satisfont pas la configuration matrielle pour le processeur, la mmoire et la carte vido peuvent tout de mme excuter Windows Vista, mais ils nen offriront peut-tre pas toutes les fonctionnalits et tous les avantages. Par 178
exemple, les PC avec des cartes graphiques qui ne prennent pas en charge WDDM offriront simplement un graphisme comparable celui de Windows XP avec les bnfices des fonctionnalits, de la stabilit et des performances ainsi que lamlioration de la scurit.
Sauvegarder les donnes importantes

Avant de mettre son ordinateur niveau, il est important de raliser une sauvegarde de ses donnes importantes. Bien que cette tape soit facultative, il est important, et mme recommand, de disposer dune sauvegarde rcente des donnes importantes avant dapporter des modifications significatives lordinateur, afin dviter la perte de donnes. Pour enregistrer vos donnes essentielles dans un emplacement sr, les options dpendent du systme dexploitation dorigine et des options de sauvegarde dont vous disposez. La liste suivante prsente quelques possibilits de sauvegarde :
j j j j
lutilisation de Windows Backup ou tout autre logiciel de sauvegarde ; 5. Linstallation de Windows Vista la copie des donnes importantes dans un point de partage sur le rseau ; la gravure des donnes sur un CD ou un DVD ; la sauvegarde sur un disque dur externe.
Vous allez ici utiliser Windows Backup : 1. Pour lancer lutilitaire de sauvegarde, cliquez sur Dmarrer/Tous les programmes/ Accessoires/Outils systme/Utilitaire de sauvegarde. 2. Dans la fentre Assistant de sauvegarde et restauration, cliquez sur Suivant. 3. La fentre suivante vous propose de sauvegarder ou de restaurer des donnes au travers des options. Slectionnez Sauvegarder les fichiers et les paramtres. Cliquez sur Suivant. Vous avez le choix deffectuer quatre types de sauvegarde :
j j j
Loption Mes documents et paramtres inclut le dossier Mes documents, les favoris, votre Bureau et vos cookies. Loption Les paramtres et les documents de tout le monde consiste sauvegarder les paramtres et les documents de tous les utilisateurs. Loption Toutes les informations sur cet ordinateur permet de sauvegarder toutes les informations sur lordinateur. Elle inclut toutes les donnes de lordinateur et cre un disque de rcupration du systme qui permettra de restaurer Windows en cas de problme majeur.
179
Chapitre 5
Loption Me laisser choisir les fichiers sauvegarder vous laisse le choix des informations que vous souhaitez sauvegarder. 4. Slectionnez la quatrime option et cliquez sur Suivant. 5. Slectionnez dans la fentre lments sauvegarder lensemble des lments que vous souhaitez sauvegarder. Une fois votre slection ralise, cliquez sur Suivant. 6. Donnez un nom et une destination pour les stocker. Dans la fentre Type, nom et destination de la sauvegarde, il est possible de sauvegarder vos donnes sur une cl USB, voire sur un disque dur amovible. Nommez la sauvegarde, par exemple Sauvegarde avant Vista. Cliquez sur Suivant. 7. Pour mettre fin lassistant de sauvegarde, cliquez sur Fin.
Une fois la sauvegarde termine, il vous est possible de consulter le rapport de sauvegarde pour vrifier quil ny a pas eu derreur :
tat de la sauvegarde Opration : sauvegarde Destination de sauvegarde active : Fichier Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Sauvegarde (par clichs instantans) de "C: " Jeu de sauvegardes n 1 sur le mdia n 1 Description de la sauvegarde : "Jeu cr le 29/08/2007 00:02" Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Type de sauvegarde : Normale Sauvegarde commence le 29/08/2007 00:03. Sauvegarde termine le 29/08/2007 00:05. Rpertoires : 280 Fichiers : 440 Octets : 222 557 106 Dure : 1 minute et 23 secondes Sauvegarde (par clichs instantans) de "E: DATA" Jeu de sauvegardes n 2 sur le mdia n 1 Description de la sauvegarde : "Jeu cr le 29/08/2007 00:02" Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Type de sauvegarde : Normale Sauvegarde commence le 29/08/2007 00:05. Sauvegarde termine le 29/08/2007 00:07. Rpertoires : 93 Fichiers : 1474 Octets : 554 711 280 Dure : 2 minutes et 11 secondes
5. Linstallation de Windows Vista 180
Mettre jour le systme dexploitation vers Windows Vista
5.6.
Mettre jour le systme dexploitation vers Windows Vista
La procdure de mise jour vers Windows Vista suppose que vous excutiez dj une version antrieure de Windows sur votre ordinateur. Les mises niveau sont prises en charge pour les versions suivantes de Windows :
j j j
Windows 2000 ; Windows XP ; Windows Vista.
Dans notre cas, la mise jour va seffectuer depuis Windows XP. Impratif Pour pouvoir mettre votre ordinateur niveau vers Windows Vista, il vous faut plus de 11 Go despace disponible. Autrement, loption de mise niveau restera grise. En cas de problme dinstallation, il se peut que lordinateur se fige et que vous deviez redmarrer lordinateur. Dans ce cas, une bote de dialogue souvre en vous indiquant que linstallation a t arrte de faon inattendue. Or, celle-ci aura consomm de lespace disque, et il se peut quil ne vous soit plus possible de mettre niveau la machine vers Vista cause dun manque despace disponible et que vous ne puissiez plus utiliser votre ancienne version de Windows. La parade est de redmarrer depuis le DVD dinstallation en mode de rparation, dutiliser lutilitaire en ligne de commandes et de supprimer les fichiers temporaires de linstallation, puis de rpter ltape dinstallation. Pour mettre votre ordinateur jour vers Windows Vista, suivez ces tapes : 1. Dmarrez le programme dinstallation de Windows Vista en insrant le DVD, puis en cliquant sur Installer. Si le programme dexcution automatique nouvre pas la fentre dinstallation de Windows, accdez au dossier racine du DVD et double-cliquez sur setup.exe. 2. Cliquez sur Suivant afin de lancer le processus dinstallation. 3. Cliquez sur Rechercher les dernires mises jour en ligne (recommand) afin de rechercher les dernires mises jour importantes pour Windows Vista. Cette tape est facultative. Si vous choisissez de ne pas rechercher les mises jour au cours de linstallation, cliquez sur Ne pas rechercher les dernires mises jour. 4. Dans la partie Cl du produit, tapez le numro de srie du produit. Il est compos de 25 caractres alphanumriques. Cliquez sur Suivant pour continuer. 5. Windows Vista ne droge pas la rgle : lisez et acceptez les termes du contrat de licence. Slectionnez Jaccepte les termes du contrat de licence (indispensable pour
5. Linstallation de Windows Vista 181
Chapitre 5
Windows), puis cliquez sur Suivant. Si vous ne validez pas cette option, vous serez oblig de mettre fin au programme dinstallation de Windows Vista. 6. Dans la fentre Quel type dinstallation voulez effectuer ?, cliquez sur Mettre niveau pour procder la mise jour de votre installation existante de Windows. Le programme dinstallation de Windows Vista se poursuit jusqu la fin sans autre interaction de la part de lutilisateur. la fin de la mise niveau, les partitions, les partages et les paramtres de lancienne version nont pas boug. prsent, il ne vous reste plus qu restaurer vos anciennes donnes. Pour cela, vous devez lancer lutilitaire de sauvegarde et choisir loption Restauration de donnes. Suivez les instructions de restauration comme ltape Sauvegarder des donnes de ce chapitre. Journaux dinstallation Les fichiers journaux suivants sont crs lorsquune mise niveau russit :
j j j j j j j
C:\Windows\Panther\Setupact.log ; C:\Windows\panther\setuperr.log ; C:\Windows\inf\setupapi.app.log ; C:\Windows\inf\setupapi.dev.log ; C:\Windows\panther\PreGatherPnPList.log ; C:\Windows\panther\PostApplyPnPList.log ; C:\Windows\panther\miglog.xml.
5.7.
Dpanner la mise niveau vers Windows Vista
Bien que ce soit vraiment trs rare, il arrive parfois que la mise niveau vers Windows Vista ne se droule pas pour le mieux. Quelques informations sont mises votre disposition durant la migration pour vous permettre de mieux comprendre ce quil se passe. Les fichiers journaux suivants sont crs en cas dchec dune mise niveau pendant linstallation et avant que lordinateur redmarre pour la seconde fois :
j j j
C:\$Windows.~BT\Sources\panther\setupact.log ; C:\$Windows.~BT\Sources\panther\miglog.xml ; C:\Windows\setupapi.log.
182
Dpanner la mise niveau vers Windows Vista
Les fichiers journaux suivants sont crs en cas dchec dune mise niveau pendant linstallation et aprs que lordinateur redmarre pour la seconde fois :
j j j j j j j
C:\Windows\panther\setupact.log ; C:\Windows\panther\miglog.xml ; C:\Windows\inf\setupapi.app.log ; C:\Windows\inf\setupapi.dev.log ; C:\Windows\panther\PreGatherPnPList.log ; C:\Windows\panther\PostApplyPnPList.log ; C:\Windows\memory.dmp.
Les fichiers journaux suivants sont crs en cas dchec dune mise niveau, lors de la restauration du bureau :
j j j j j
C:\$Windows.~BT\Sources\panther\setupact.log ; C:\$Windows.~BT\Sources\panther\miglog.xml ; C:\$Windows.~BT\sources\panther\setupapi\setupapi.dev.log ; C:\$Windows.~BT\sources\panther\setupapi\setupapi.app.log ; C:\Windows\memory.dmp. 5. Linstallation de Windows Vista
Lorsque vous tentez deffectuer une mise niveau vers Windows Vista, il se peut que loption Mettre niveau situe dans la bote de dialogue Installer Windows ne soit pas disponible. Pour tenter de rsoudre ce problme, Microsoft met votre disposition un ensemble de fiches techniques disponibles sur le site de support
j
927295 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Windows ne peut pas dterminer si un autre systme dexploitation existe sur lordinateur." 927296 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Il existe plusieurs systmes dexploitation sur votre partition de mise niveau." 927297 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Vous devez renommer ou supprimer <NomDossier> pour que la mise niveau puisse continuer." 926069 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "La mise niveau a t dsactive." 927688 : lorsque vous tentez dinstaller Windows Vista, loption de mise niveau nest pas disponible, et un message derreur spcifique au matriel install sur votre ordinateur saffiche.
183
Chapitre 5
j j
928432 : loption de mise niveau nest pas disponible lors du dmarrage de lordinateur laide du DVD Windows Vista. 932004 : message derreur lorsque vous essayez de mettre niveau un ordinateur Windows XP vers Windows Vista : "Le systme dexploitation existant ne remplit pas les conditions logicielles requises : Service Pack 2 pour Windows XP." 932005 : loption de mise niveau nest pas disponible pour Windows Vista, et le message derreur suivant peut safficher : "Vous ne pouvez pas mettre niveau Windows en mode sans chec." 932006 : message derreur lorsque vous essayez de mettre niveau un ordinateur vers Windows Vista :"Impossible de dmarrer la mise niveau car la langue de Windows installe est diffrente de celle de ce disque." 932007 : message derreur lorsque vous essayez de mettre niveau un ordinateur vers Windows Vista : "Le systme dexploitation install ne prend pas en charge la mise jour vers Windows Vista." 932009 : message derreur lorsque vous essayez dinstaller Windows Vista partir du support dinstallation Windows Vista. Vous recevez le message : "La mise niveau a t dsactive Pour la mise niveau, dmarrez linstallation partir de Windows."
5.8.
En rsum
Vous avez dcouvert linstallation dtaille de Windows Vista partir dun mdia ou dune mise jour. Vous avez appris transfrer votre profil et vos donnes partir de votre ancien poste Windows XP.
184
Chapitre 6
Le dploiement des ordinateurs Windows Vista en entreprise phase 1

6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 Le processus dinstallation de Windows Vista . . LAssistant Gestion dinstallation . . . . . . . . . . Larchitecture de lAssistant Gestion dinstallation Linterface graphique . . . . . . . . . . . . . . . . . Crer un chier de rponses . . . . . . . . . . . . . Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . ... ... .. ... ... ... ... ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 . 208 . 208 . 211 . 212 . 223 . 233 . 246
Le processus dinstallation de Windows Vista
s prsent, les dploiements venir partir des infrastructures Active Directory Windows Server 2003 vont concerner le dploiement de Windows Vista. En deux chapitres, vous allez entrer dans le dtail du dploiement de Windows Vista, dabord dans la prparation la cration dune image, puis dans la cration et lapplication proprement dites. Puisque Windows Vista est le dernier-n des systmes dexploitation clients de Microsoft, regardons de plus prs son processus dinstallation et les outils de prparation un dploiement dentreprise.
6.1.
Termin les modes textes et les modes graphiques de linstallation de Windows, comme avec Windows XP, termin le rpertoire I386, termin la commande winnt32.exe : un tout nouveau processus dinstallation de Windows fait son apparition avec Windows Vista, fond sur une image systme. Il est important de bien comprendre le mcanisme de ce nouveau processus pour bien comprendre les outils de dploiement qui en dcoule.
Introduction linstallation de Windows Vista

Vous ne verrez plus de parties dinstallation en mode texte et en mode graphique. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
Figure 6.1 : Mode texte de linstallation de Windows XP
187
Chapitre 6
Figure 6.2 : Mode graphique de linstallation de Windows XP
6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
Mettez un DVD de Windows Vista dans votre lecteur et redmarrez. Linstallation de Windows Vista se lance. Sous les aspects simples de cette installation se cachent une technologie avance et un nouveau processus dinstallation. Linstallation de Windows correspond au programme qui installe Windows ou procde aux mises niveau dune installation de Windows existante. Linstallation de Windows constitue aussi la base des mthodes dinstallation et de mise niveau. Il existe trois mthodes dinstallation de Windows
j j j
Linstallation interactive : elle consiste tre devant lordinateur et rpondre aux quelques questions poses. Linstallation en mode sans assistance : comme son nom lindique, elle consiste en une installation totalement automatise et matrise. WDS : cest le service de dploiement Windows. Il consiste en lautomatisation de linstallation et du dploiement en masse de Windows Vista.
Vous comprenez tout de suite que vous allez tendre le plus possible vers une installation et un dploiement le plus automatis possible car votre temps dadministrateur est prcieux et quil est plus utile des tches plus forte valeur ajoute. Il existe deux types dinstallation :
j
Linstallation de Windows peut effectuer une installation propre, cest linstallation classique qui se fait sur un disque dur vierge ou qui sauvegarde votre installation de
188
Windows prcdente mais neffectue pas de migration de vos paramtres. Linstallation de Windows prcdente ne dmarre alors pas aprs une installation propre.
j
Linstallation de Windows peut effectuer une installation qui conserve vos paramtres et prfrences tout en mettant niveau votre systme dexploitation. Cest la mise jour de Windows.
Lors du programme dinstallation, vous le savez, Windows dmarre et redmarre lordinateur, regroupe des informations, copie des fichiers et cre ou rgle des paramtres de configuration. Linstallation de Windows Vista est identique en ce qui concerne la copie et la configuration de fichiers mais est diffrente au sens o elle se droule par phases (ou passes).
Tableau 6.1 : Phases dinstallation globales de Windows Vista Phase dinstallation de Windows Windows PE Actions dinstallation Spcification des configurations de linstallation de Windows laide des botes de dialogue dinstallation de Windows (interactive) ou dun fichier de rponses (mode sans assistance). Les configurations dinstallation de Windows incluent lajout dune cl de produit et la configuration dun disque. Application des paramtres de fichier de rponses dans ltape de configuration WindowsPE. Configuration du disque. Copie de limage systme Windows vers le disque. Prparation des informations dinitialisation. Traitement des paramtres de fichier de rponses dans ltape de configuration OfflineServicing. Cration des configurations spcifiques, en rendant linstallation de Windows unique. Application des paramtres de fichier de rponses dans ltape de configuration OobeSystem. Application des paramtres de fichier de contenu partir du fichier Oobe.xml. Dmarrage de lAccueil Windows.
Configuration Accueil Windows
Le mode Audit et le mode personnalis

Une fois Windows Vista install, au premier dmarrage, lutilisateur peut dmarrer en mode Audit ou en mode personnalis.
j
Le mode personnalis, galement appel OOBE (Out-Of-Box Experience), reprsente la premire exprience de lutilisateur et permet aux utilisateurs finaux 189
Chapitre 6
de personnaliser leur installation Windows. Les utilisateurs finaux peuvent crer des comptes dutilisateur, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par dfaut, toutes les installations Windows dmarrent dabord en mode personnalis, avec laccueil Windows. Cest le mode classique que vous connaissez.
j
Le mode Audit, lui, est utilis par les fabricants dordinateurs et les entreprises afin dajouter des personnalisations leurs images Windows. Le mode Audit ne ncessite pas lapplication de paramtres dans lAccueil Windows. En ignorant laccueil Windows, vous pouvez accder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de priphrique supplmentaires, installer des applications et tester la validit de linstallation.
La personnalisation Oobe.xml
En plus du fichier de rponses de linstallation en mode sans assistance, vous pouvez utiliser le fichier de contenu Oobe.xml pour configurer ce quaperoit un utilisateur lors du premier dmarrage de Windows. Les paramtres dun fichier de contenu Oobe.xml sont appliqus aprs ltape de configuration OobeSystem, avant le dmarrage de lAccueil de Windows. Oobe.xml est un fichier qui sert collecter du texte et des images supplmentaires pour la personnalisation de lAccueil Windows. Si vous crez une image systme Windows unique comprenant plusieurs langues et pouvant tre livre dans plusieurs pays, vous pouvez ajouter diffrents fichiers Oobe.xml afin de personnaliser le contenu en fonction des slections de langue et de pays de lutilisateur final.
Lexcution automatique de scripts une fois linstallation de Windows acheve

Vous pouvez procder des personnalisations complmentaires votre installation de Windows par lintermdiaire dun ajout de commandes au fichier %WINDIR%\Setup\Scripts\SetupComplete.cmd. Ce fichier vous permet dinstaller des applications supplmentaires, dapporter dautres modifications au systme avant une ouverture de session dutilisateur. Vous pouvez utiliser le fichier SetupComplete.cmd pour excuter des scripts Windows. En outre, si linstallation de Windows rencontre une erreur, vous pouvez configurer le systme pour excuter automatiquement un script.
Ltat dinstallation de Windows Vista

Il existe plusieurs tats affects une image systme Windows au cours de linstallation. Ces informations dtat peuvent servir dtecter automatiquement les diffrents tats et tapes de linstallation de Windows.
190
Ltat de limage systme Windows est stock deux emplacements, dans le Registre et dans un fichier. Dans le Registre, la cl associe est :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\State TYPE : REG_SZ VALEUR : Nomtat
Figure 6.3 : Cl de Registre associe ltat de linstallation
Dans un fichier, le champ associ est :

%WINDIR%\Setup\State\State.ini Figure 6.4 : Fichier associ ltat de linstallation
Le tableau suivant dcrit les diffrentes valeurs existantes que peuvent prendre la cl de Registre ou le champ de fichier associ ltat de linstallation :
Tableau 6.2 : Valeurs de ltat dinstallation de limage systme Windows
Nom dtat IMAGE_STATE_COMPLETE Description Limage a t correctement installe. Les passes Specialize et OobeSystem sont termines. Cette image ne peut tre dploye vers un autre matriel car elle dpend maintenant du matriel. Il sagit de ltat par dfaut dune image dans une phase spcifique de linstallation de Windows qui nest pas encore acheve. Si un processus interroge la valeur dIMAGE_STATE et quIMG_UNDEPLOYABLE est renvoy, limage se trouve dans lun des tats suivants : Le programme dinstallation est en cours dexcution et na pas encore entirement achev la phase. Une fois quune phase spcifique est termine, IMAGE_STATE est dfini par une valeur dachvement approprie.
IMAGE_STATE _UNDEPLOYABLE
191
Chapitre 6
Nom dtat
Description Si une demande est effectue en ligne alors que le programme dinstallation nest pas en cours dexcution, une erreur sest produite lors de lachvement de la phase dinstallation. Cette image doit tre rinstalle. Si une demande est effectue hors connexion, limage na pas termin une phase et ne pourra jamais tre dploye.
IMAGE_STATE_GENERALIZE _RESEAL_TO_OOBE IMAGE_STATE_GENERALIZE _RESEAL_TO_AUDIT IMAGE_STATE_SPECIALIZE _RESEAL_TO_OOBE IMAGE_STATE_SPECIALIZE _RESEAL_TO_AUDIT
Limage a correctement achev la passe Generalize et continue avec OobeSystem une fois le programme dinstallation dmarr. Limage a correctement achev la passe Generalize et continue avec le mode Audit une fois le programme dinstallation dmarr. Limage a correctement achev la passe Specialize et continue avec OobeSystem une fois le programme dinstallation dmarr. Limage a correctement achev la passe Specialize et continue avec le mode Audit une fois le programme dinstallation dmarr.
Si vous souhaitez contrler par la suite une installation de Windows Vista, vous pouvez utiliser ces deux procds
j
Cliquez sur le logo Windows de dmarrage, tapez cmd et validez pour ouvrir lInvite de commandes, puis tapez la ligne reg query HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Setup\State /v ImageState.
Figure 6.5 : Commande saisir pour accder ltat de linstallation

j
Cliquez sur le logo Windows de dmarrage, tapez cmd et validez pour ouvrir lInvite de commandes, puis tapez type %windir%\Setup\State\State.ini.
Figure 6.6 : Commande saisir pour accder ltat de linstallation
192
Linstallation de Windows journalise galement toutes les actions dinstallation fondes sur limage. Servez-vous de cette multitude de fichiers en cas de problmes.
Tableau 6.3 : Les diffrents journaux dtat dinstallation de Windows Vista Emplacement du fichier journal $windows.~bt\sources \panther $windows.~bt\sources \rollback %WINDIR%\panther %WINDIR%\inf\setupapi* .log %WINDIR%\memory.dmp %WINDIR%\minidump\* .dmp %WINDIR%\system32 \sysprep\panther Description Consigne lemplacement dans un journal avant que le programme dinstallation puisse accder au lecteur Consigne lemplacement lorsque linstallation revient un vnement lorigine dune erreur fatale Consigne lemplacement dactions dinstallation aprs une configuration de disque Sert consigner des installations de priphrique Plug and Play dans un journal Emplacement du vidage de la mmoire partir de vrifications de bugs Emplacement des "mini-vidages" de journal partir de vrifications de bogues Emplacement de journaux Sysprep
Les mthodes dexcution du programme dinstallation Windows

Le programme dinstallation Windows propose des mthodes dinstallation interactive ou sans assistance. Le programme dinstallation propose galement la commande setup .exe qui permet de lancer linstallation.
Linstallation avec Setup.exe

Sur le DVD dinstallation de Windows Vista se trouve la commande setup.exe, qui remplace winnt32.exe. Elle permet de lancer manuellement linstallation de Windows Vista, que ce soit en mode interactif ou sans assistance, que ce soit une installation propre ou une mise jour. La commande propose de nombreux commutateurs
193
Chapitre 6
SETUP
Configure et excute une installation de Windows Vista.
Syntaxe :
setup.exe [/1394debug:canal [baudrate:DbitEnBauds]] [/debug:canal [baudrate:DbitEnBauds]] [/dudisable] [/emsport: {com1 | com2 | usebiossettings | off} [/emsbaudrate:DbitEnBauds]] [/m:nom_dossier] [/noreboot] [/tempdrive:lettre_lecteur] [/unattend:fichier_rponses] [/usbdebug:nomhte]
[/1394debug: canal [baudrate: DbitEnBauds]] Permet le dbogage du noyau via un port IEEE 1394 (firewire) pendant lexcution de Windows et au cours de ltape de configuration WindowsPE de linstallation de Windows. Canal de dbogage. La valeur par dfaut du canal est 1. [baudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. baudrate peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /1394debug:1 /baudrate:115200. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 [/debug:canal [baudrate:Dbit EnBauds]]
Permet le dbogage du noyau via un port de communications (COM) pendant lexcution de Windows et au cours de ltape de configuration WindowsPE de linstallation de Windows. Canal de dbogage. La valeur par dfaut du canal est 1. [baudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. baudrate peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /debug:1 /baudrate:115200. Dsactive la mise jour dynamique de Windows au cours de son installation. Seuls des fichiers dinstallation de Windows dorigine sont utiliss pour installer Windows. Cette option dsactive des mises jour dynamiques mme si loption DynamicUpdate est spcifie dans un fichier de rponses dinstallation de Windows en mode sans assistance. Par exemple : setup.exe /dudisable.
[/dudisable]
194
[/emsport: {com1 | com2 | usebiossettings | off} [/emsbaudrate: DbitEnBauds]]
Active ou dsactive les services de gestion durgence (EMS, Emergency Management Services) pendant linstallation de Windows et une fois le systme dexploitation serveur install. Les arguments suivants servent spcifier le comportement des services de gestion durgence au cours de linstallation de Windows : com1 autorise les services de gestion durgence via COM1. Pris en charge pour les systmes x86 uniquement. com2 autorise les services de gestion durgence via COM2. Pris en charge pour les systmes x86 uniquement. usebiossettings utilise les paramtres spcifis dans le BIOS. Pour les systmes x86, la valeur du tableau SPCR (Serial Port Console Redirection) est utilise. Pour les systmes fonds sur Itanium, linterface EFI (Extensible Firmware Interface) est utilise. Si aucun tableau SPCR ou chemin de priphrique de console dinterface EFI nest spcifi dans le BIOS, usebiossettings est dsactiv. off (dsactiv) dsactive les services EMS. Si vous dsactivez les services EMS dans linstallation de Windows, vous pouvez les activer ultrieurement en modifiant les paramtres de dmarrage. [/emsbaudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. Le dbit en bauds peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /emsport:COM1 /emsbaudrate: 115200. Spcifie au programme dinstallation de copier des fichiers de remplacement partir dun autre emplacement. Cette option demande au programme dinstallation de rechercher dabord des fichiers dans lautre emplacement et, si des fichiers sont prsents, de les utiliser la place des fichiers qui se trouvent lemplacement par dfaut. nom_dossier nom et emplacement du dossier contenant les fichiers de remplacement. nom_dossier peut correspondre nimporte quel emplacement de lecteur local. Les chemins UNC ne sont pas pris en charge. Vous devez savoir o les fichiers seront installs dans linstallation de Windows. Tous les fichiers supplmentaires doivent tre copis vers un dossier $OEM$ dans votre source dinstallation ou dans nom_dossier. La structure $OEM$ fournit une reprsentation du disque dinstallation de destination. Par exemple : $OEM$\$1 effectue un mappage vers
[/m:nom _dossier]
195
Chapitre 6
%SYSTEMDRIVE% comme le lecteur C. $OEM$\$$ effectue un mappage vers %WINDIR% comme C:\Windows\. $OEM$\$progs effectue un mappage vers le rpertoire Program files. $OEM$\$docs effectue un mappage vers le dossier Utilisateurs. [/noreboot] Demande linstallation de Windows de ne pas redmarrer lordinateur aprs lachvement de la phase de niveau infrieur de linstallation de Windows. Loption /noreboot vous permet dexcuter des commandes supplmentaires avant le redmarrage de Windows Vista. Cela supprime uniquement le premier redmarrage. Les redmarrages suivants, le cas chant, ne sont pas supprims. Par exemple : setup.exe /noreboot. Indique linstallation de Windows de placer les fichiers dinstallation temporaires sur la partition spcifie. Sil sagit dune mise niveau, loption /tempdrive affecte lemplacement des fichiers temporaires uniquement ; le systme dexploitation est mis niveau dans la partition partir de laquelle vous avez excut le ficher Setup.exe. lettre_lecteur est la partition o copier les fichiers dinstallation pendant linstallation de Windows. Par exemple : setup.exe /tempdrive:H.
[/tempdrive: lettre_lecteur]
[/unattend: fichier _rponses]
Active le mode dinstallation de Windows sans assistance. Vous pouvez galement spcifier une valeur pour fichier_rponses. Si vous spcifiez une valeur pour fichier_rponses, linstallation de Windows applique les valeurs dans le fichier de rponses au cours de linstallation. Si vous ne spcifiez pas de valeur pour fichier_rponses, linstallation de Windows met niveau votre version existante de Windows. Tous les paramtres proviennent de linstallation prcdente, lintervention de lutilisateur est donc minimale. fichier_rponses est le chemin daccs et nom du fichier de rponses de linstallation de Windows en mode sans assistance. Les chemins daccs un fichier de rponses peuvent tre un chemin local ou un chemin UNC. Par exemple : setup.exe /unattend:\\SRVDC01 \partage\unattend.xml.
196
[/usbdebug: nomhte]
Dfinit le dbogage sur un port USB. Les donnes de dbogage entrent en vigueur lors du redmarrage suivant. nomhte est le nom de lordinateur dboguer. Par exemple : setup.exe /usbdebug:CVIDK01.
Utilisez Setup.exe pour configurer votre propre mthode dinstallation ou pour crer un script dinstallation.
Linstallation interactive de Windows Vista

Si lutilisateur choisit cette mthode, il doit slectionner lemplacement dinstallation de Windows, lire et accepter les termes du contrat de licence logiciel et appliquer sa cl de produit. Cette mthode est utile pour un dploiement petite chelle ou une installation sur un seul ordinateur. Parce quelle utilise limage par dfaut fournie sur le mdia DVD de Windows Vista, linstallation de Windows ne ncessite aucune tche de prparation, telle que la cration de fichiers de rponses ou la capture dimages Windows. La mthode interactive dinstallation de Windows peut tre utilise en conjonction avec la cration et la capture dimages Windows personnalises. Vous pouvez installer Windows de manire interactive ou mettre niveau linstallation partir du mdia Windows Vista ou depuis un emplacement rseau aprs avoir stock et partag les fichiers dinstallation partir du support de Windows. Linstallation interactive ncessite une intervention de lutilisateur, qui doit spcifier notamment le lecteur de destination, son nom dutilisateur et son fuseau horaire. Linstallation standard de Windows Vista ne droge pas aux rgles de simplicit. Windows Vista reste trs lmentaire installer puisquil vous suffit de dmarrer lordinateur avec le DVD dinstallation pour que celle-ci se ralise presque seule. Il vous sera demand dentrer le numro de srie et de rpondre trois ou quatre questions, en indiquant notamment votre pays, votre nom, votre mot de passe, etc.
Linstallation sans assistance de Windows Vista

Le programme dinstallation de Windows fait appel un fichier de rponses dinstallation sans assistance pour automatiser les installations et les personnalisations en ligne de Windows. Cette mthode est adapte aux dploiements grande chelle et permet dassurer une configuration cohrente et prcise de chaque ordinateur. Le nom le plus commun de ce fichier de rponses est Unattend.xml. Dans le jargon, on parle de "fichier Unattend". Linstallation sans assistance ncessite la cration dun ou de plusieurs fichiers de rponses contenant les personnalisations dune installation. Vous pouvez par exemple modifier la partition ou la configuration dInternet Explorer. 197
Chapitre 6
Le programme dinstallation de Windows applique les fichiers rponses, au choix, en spcifiant explicitement un fichier de rponses ou en le recherchant implicitement :
j
Vous pouvez spcifier explicitement un fichier de rponses laide de la commande

setup.exe /unattend:\\SRVDC01\partage\unattend.xml. Ce fichier de
rponses permet de configurer linstallation Windows. Des redmarrages tant ncessaires dans le cadre de linstallation, une copie de ce fichier de rponses est place en mmoire cache sur le systme.
j
Si vous ne spcifiez pas de fichier de rponses, le programme dinstallation de Windows recherche ce dernier dans divers emplacements. Il recherche un fichier de rponses prcdemment plac en mmoire cache, un fichier de rponses stock sur la racine dun lecteur, ainsi que dautres emplacements. Le programme dinstallation de Windows recherche un fichier de rponses au dmarrage de chaque tape de configuration. Lorsquil recherche un fichier de rponses, le programme dinstallation de Windows applique un ordre dtermin. Si un fichier de rponses est dtect dans lun des emplacements valides, il doit inclure des paramtres valides associs ltape de configuration en cours. Si le fichier de rponses dtect ne comprend pas de paramtre associ ltape de configuration spcifie en cours dexcution, il nest pas pris en compte. Nom des fichiers de rponses Seuls les fichiers de rponses nomms Unattend.xml sont utiliss. Cependant, parce que certains fichiers de rponses comprennent des actions destructives telles que le partitionnement de disque, vous devez attribuer votre fichier Unattend.xml le nom Autounattend.xml lors des tapes de configuration WindowsPE et OfflineServicing. Ces actions sexcutent lorsque vous excutez pour la premire fois WindowsPE ou Setup.exe. Vous devez utiliser le fichier avec le nom Autounattend.xml lorsque vous tes dans le scnario o vous souhaitez automatiser linstallation de Windows Vista partir du DVD Vista tout en rajoutant le fichier de rponses stock sur une cl USB.
Le programme dinstallation de Windows identifie tous les fichiers de rponses disponibles en fonction de lordre de recherche. Il utilise le fichier de rponses dont la priorit est la plus leve. Ce fichier est valid, puis plac en mmoire cache sur lordinateur. Les fichiers de rponses valides sont placs en mmoire cache dans le rpertoire $Windows.~BT\Sources\Panther lors des tapes de configuration WindowsPE et OfflineServicing. Une fois linstallation de Windows extraite sur le disque dur, le fichier de rponses est plac en mmoire cache dans %WINDIR%\panther.
Tableau 6.4 : Ordre de recherche et emplacements du fichier de rponses
Ordre de recherche 1 Emplacement Dans le Registre : HKLM\System\Setup\UnattendFile Description Spcifie dans le Registre un pointeur vers un fichier de rponses. Le fichier de rponses peut ne pas sappeler Unattend.xml.
198
Ordre de recherche 2 3
Emplacement %WINDIR%\panther\unattend %WINDIR%\panther
Description Le fichier de rponses doit tre nomm Unattend.xml ou Autounattend.xml. Le programme dinstallation de Windows place en mmoire cache les fichiers de rponses dans cet emplacement.
Mdia amovible (cl USB, etc.), en fonction de Le nom du fichier de rponses doit lordre de la lettre qui identifie le lecteur correspondre Unattend.xml ou Autounattend.xml, et le fichier de rponses doit rsider sur la racine du lecteur. Mdia amovible en lecture seule, en fonction de lordre de la lettre qui identifie le lecteur Le nom du fichier de rponses doit correspondre Unattend.xml ou Autounattend.xml, et il doit rsider sur la racine du lecteur. Lors des passes de configuration WindowsPE et OfflineServicing, le nom du fichier de rponses doit correspondre Autounattend.xml. Pour toutes les autres passes de configuration, le nom du fichier de rponses doit correspondre Unattend.xml. Le nom du fichier de rponses doit correspondre Unattend.xml ou Autounattend.xml.
Rpertoire \sources lors des passes de configuration WindowsPE et OfflineServicing Rpertoire %WINDIR%\system32\sysprep lors des autres passes de configuration
%SYSTEMDRIVE%
6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 199
Si vous avez intgr des donnes sensibles dans les fichiers de rponses, le programme dinstallation les supprime la fin de ltape de configuration en cours. Cependant, si un fichier de rponses est incorpor un emplacement dont la priorit est plus leve que celle du fichier de rponses mis en cache, alors la rponse en cache peut tre remplace au dbut de chaque tape de configuration suivante si le fichier de rponses incorpor rpond aux critres de recherche. Si, par exemple, le fichier de rponses est incorpor %WINDIR%\panther\unattend\unattend.xml, le fichier de rponses incorpor remplace alors le fichier de rponses mis en cache au dbut de chaque tape de configuration. Si, par exemple, le fichier de rponses incorpor spcifie les deux passes Specialize et OobeSystem, alors le fichier de rponses incorpor est dcouvert pour la passe Specialize, mis en cache, trait et les donnes sensibles sont effaces. Le fichier de rponses incorpor est nouveau dcouvert au cours de la passe OobeSystem et mis nouveau en cache. Par consquent, les donnes sensibles de la passe Specialize ne sont plus effaces. Les donnes sensibles pour les tapes prcdemment traites ne seront pas nouveau effaces. Il vous faut donc incorporer les fichiers un emplacement avec une priorit infrieure.
Chapitre 6 Le dploiement des ordinateurs Windows Vista en entreprise phase 1
Aprs le traitement dune passe de configuration, linstallation de Windows Vista marque le fichier de rponses mis en cache pour indiquer que ltape a t traite. Si la passe de configuration est nouveau entre et que le fichier de rponses mis en cache na pas t remplac ni mis jour entre-temps, les paramtres du fichier de rponses ne sont pas traits une seconde fois. Vous pouvez, par exemple, installer Windows avec un fichier de rponses qui contient les commandes RunSynchronous dans ltape Specialize. Au cours de linstallation, la passe Specialize sexcute et les commandes RunSynchronous sexcutent. Aprs linstallation, excutez la commande sysprep /generalize. Sil nexiste aucun fichier de rponses avec une priorit plus leve que celle du fichier de rponses mis en cache, le programme dinstallation excute la passe Specialize lors du prochain dmarrage de lordinateur. Puisque le fichier de rponses mis en cache contient une marque selon laquelle les paramtres de cette passe ont dj t appliqus, les commandes RunSynchronous ne sexcutent pas.
Les scnarios dinstallation sans assistance de Windows Vista

Pour mieux comprendre lapplication des fichiers de rponses, prenons deux cas concrets Premier scnario : vous dcidez dutiliser le mdia DVD de Windows Vista pour faire linstallation et dutiliser un seul fichier de rponses pour automatiser les derniers renseignements afin que vous nayez pas du tout intervenir sur cette installation. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 1. Crez un fichier de rponses nomm Autounattend.xml qui comprend des paramtres associs ltape de configuration WindowsPE. 2. Copiez Autounattend.xml sur une cl USB. 3. Configurez le BIOS de votre ordinateur de sorte quil dmarre partir dun lecteur DVD. 4. Dmarrez le DVD de Windows Vista. 5. Insrez la cl USB lors du dmarrage de Windows. Le programme dinstallation de Windows dmarre et identifie automatiquement Autounattend.xml comme un fichier de rponses valide. Comme le fichier de rponses utilise un nom de fichier valide, quil rside dans lun des chemins de recherche valides (la lettre de lecteur de la cl USB) et quil comprend des paramtres valides pour la passe de configuration en cours (WindowsPE), il est utilis. Le fichier de rponses est plac en mmoire cache sur lordinateur. Si aucun autre fichier de rponses nest identifi par les passes de configuration ultrieures, le fichier de rponses plac en mmoire cache est utilis tout au long de linstallation de Windows. Second scnario : sur la base du premier scnario, vous allez utiliser plusieurs fichiers de rponses. 200
1. Installez Windows laide dun fichier de rponses en effectuant les procdures dcrites dans le cas de figure prcdent. Le fichier de rponses utilis pour installer Windows est plac en mmoire cache sur le systme dans le rpertoire %WINDIR%\panther. 2. Copiez un fichier Unattend.xml dans le rpertoire %WINDIR%\system32\sysprep. Ce fichier de rponses contient des paramtres associs la passe de configuration Generalize. 3. Excutez la commande sysprep /generalize pour crer une image de rfrence. Comme le rpertoire %WINDIR%\system32\sysprep figure dans les chemins de recherche, le fichier de rponses copi dans ce rpertoire est dtect. Cependant, le fichier de rponses utilis pour installer Windows demeure en mmoire cache sur lordinateur et contient des paramtres associs la passe de configuration Generalize. La priorit de ce fichier de rponses est plus leve que celle du fichier copi dans le rpertoire Sysprep. Le fichier de rponses plac en mmoire cache est donc utilis. Pour utiliser le nouveau fichier de rponses, copiez-le dans un rpertoire dont la priorit est suprieure celle du fichier de rponses plac en mmoire cache ou spcifiez le fichier de rponses requis par le biais de loption /unattend. 1. Copiez un fichier Unattend.xml sur une cl USB. Le fichier Unattend.xml ne contient de paramtres que pour les passes de configuration AuditSystem et AuditUser. 2. Sur un systme dexploitation Windows install, excutez la commande sysprep /generalize /oobe. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Bien que le fichier de rponses rside dans lun des chemins de recherche, le fichier Unattend.xml nest pas pris en compte, car il ne contient pas de paramtre valide pour ltape de configuration Generalize.
Les passes de conguration du programme dinstallation de Windows Vista

Pour mieux expliquer et comprendre comment sinstalle Windows Vista, il est plus simple de dcouper le processus dinstallation en diffrentes phases appeles passes de configuration. La dmarche est plus structurante, mais il est galement important de simprgner de cette notion de passes de configuration car les outils qui amliorent lautomatisation de linstallation sont fonds sur le mme principe de comprhension. Les passes de configuration servent spcifier diffrentes phases de linstallation de Windows. Des paramtres dinstallation sans assistance peuvent tre appliqus dans une ou plusieurs passes de configuration. Les passes de configuration sont des phases dinstallation de Windows qui servent appliquer des paramtres dans un fichier de rponses dinstallation en mode sans assistance.
201
Chapitre 6
Le tableau suivant dcrit les diffrentes passes de configuration dans lordre dans lesquelles elles se droulent du lancement de linstallation jusqu ce que le systme dexploitation soit oprationnel :
Tableau 6.5 : Les passes de configuration constituant une installation complte de
Windows Vista
tape de configuration WindowsPE Description Configure des options WindowsPE ainsi que des options de linstallation de Windows de base. Ces options peuvent inclure le paramtrage de la cl de produit et la configuration dun disque. Applique des mises jour une image systme Windows. Applique galement des packages, y compris des correctifs logiciels, des packs de langue et autres mises jour de scurit. Cre et applique des informations spcifiques au systme. Vous pouvez, par exemple, configurer des paramtres rseau, des paramtres internationaux et des informations de domaine. Vous permet de configurer sysprep /generalize de faon minime, ainsi que de configurer dautres paramtres Windows qui doivent persister sur votre image de rfrence. La commande sysprep /generalize supprime des informations spcifiques au systme. LID de scurit unique (SID), par exemple, tout comme dautres paramtres spcifiques au matriel sont supprims de limage. Ltape Generalize sexcute uniquement si vous excutez sysprep /generalize. Traite des paramtres dinstallation en mode sans assistance pendant que Windows sexcute dans un contexte de systme, avant quun utilisateur se connecte lordinateur en mode Audit. Ltape AuditSystem sexcute uniquement si vous dmarrez en mode Audit. Traite des paramtres dinstallation en mode sans assistance aprs la connexion dun utilisateur lordinateur en mode Audit. Ltape AuditUser sexcute uniquement si vous dmarrez en mode Audit. Applique des paramtres Windows avant le dmarrage de lAccueil de Windows.
OfflineServicing
Specialize
Generalize
AuditSystem
AuditUser
OobeSystem
202
Le schma suivant illustre la relation entre les passes de configuration :
Figure 6.7 : Linstallation de Windows Vista dcoupe en phases
Il faut maintenant dtailler une par une les diffrentes passes afin de comprendre toutes les actions qui se droulent lors dune installation.
La passe WindowsPE
La passe de configuration WindowsPE sert configurer des paramtres spcifiques Windows PE, ainsi que des paramtres qui sappliquent linstallation. Vous pouvez, par exemple, spcifier la rsolution daffichage de Windows PE, lemplacement denregistrement dun fichier journal et dautres paramtres associs Windows PE. La passe de configuration WindowsPE vous permet aussi de spcifier des paramtres relatifs linstallation de Windows, dont le partitionnement et le formatage du disque dur, la slection dune image systme Windows spcifique installer, le chemin daccs cette image systme et toute autre information didentification requise pour accder cette image systme, la slection dune partition sur lordinateur de destination o vous installez Windows, lapplication de la cl de produit et du mot de passe dadministrateur, lexcution des commandes spcifiques au cours de linstallation de Windows.
La passe OfflineServicing
La passe de configuration OfflineServicing sert appliquer des paramtres dinstallation sans assistance une image systme Windows qui nest pas utilise dans un processus dinstallation. Au cours de cette passe de configuration, vous pouvez ajouter des packs
203
Chapitre 6
de langues, des mises jour Windows, des Service Packs ou mme des applications (packages) limage systme hors connexion. La passe OfflineServicing est utile pour optimiser la dure de vie de limage : admettons que vous ayez cr une image puis, quelques mois plus tard un nouvel quipement, nouveau type dordinateur fait son apparition dans votre entreprise avec un nouveau pilote Vista associ, vous avez la possibilit dajouter froid le pilote limage cre prcdemment sans avoir refaire limage. Les paramtres du fichier Unattend.xml dans la passe de configuration OfflineServicing sont appliqus limage systme Windows hors connexion. Vous utiliserez le Gestionnaire de package (pkgmgr.exe) en complment dun fichier de rponses pour installer des packages.
La passe Generalize
Ltape Generalize de linstallation de Windows sert crer une image systme de rfrence Windows qui peut tre utilise travers lorganisation. Un paramtre de ltape Generalize vous permet dautomatiser le comportement pour tous les dploiements de cette image de rfrence. En comparaison, un paramtre associ ltape de configuration Specialize vous permet de remplacer le comportement dun dploiement unique et spcifique. Lorsquun systme est gnralis, des donnes de configuration spcifiques concernant une installation donne de Windows sont supprimes. Lors de ltape Generalize, par exemple, lidentificateur de scurit unique (SID) tout comme dautres paramtres spcifiques au matriel sont supprims de limage. La passe de configuration Generalize sexcute uniquement lorsque vous utilisez la commande sysprep /generalize. Les paramtres du fichier de rponses dans Generalize sont appliqus au systme avant que la gnralisation de sysprep ne se produise. Le systme est ensuite arrt. Lors du dmarrage suivant du systme, La passe de configuration Specialize sexcute immdiatement.
La passe Specialize
Des informations spcifiques aux machines associes limage sont appliques lors de ltape de configuration Specialize du programme dinstallation Windows. Vous pouvez par exemple configurer les paramtres rseau, les paramtres internationaux et les informations relatives aux domaines. La passe de configuration Specialize est utilise en conjonction avec ltape Generalize. Celle-ci a pour objet de crer une image de rfrence Windows qui peut tre utilise dans lensemble du parc informatique de lentreprise. partir de cette image de rfrence Windows de base, vous pouvez ajouter dautres personnalisations associes
204
aux diverses divisions dune organisation ou diverses installations de Windows. La passe de configuration Specialize permet dappliquer ces personnalisations spcifiques. Lors de la passe de configuration Specialize, vous pouvez par exemple spcifier diverses pages daccueil associes dans Internet Explorer aux diffrents services ou dpartements de lentreprise. Ce paramtre remplace alors la page daccueil par dfaut applique lors de la passe de configuration Generalize.
La passe AuditSystem
La passe AuditSystem, qui est facultative, traite des paramtres dinstallation en mode sans assistance dans le contexte dun systme en mode Audit. La passe AuditSystem sexcute immdiatement avant la passe AuditUser. En gnral, AuditSystem sert ajouter des pilotes de priphrique supplmentaires et affecter un nom au systme spcifique pour le mode Audit. Le mode Audit vous permet dinstaller des pilotes de priphrique supplmentaires, des applications et dautres mises jour. Lors du dmarrage de Windows en mode Audit, les paramtres dinstallation de Windows en mode sans assistance AuditSystem et AuditUser sont traits. En utilisant le mode Audit, vous pouvez grer moins dimages systme Windows car vous pouvez crer une image de rfrence avec un ensemble minimal de pilotes. Limage peut tre mise jour laide de pilotes supplmentaires au cours du mode Audit. Vous pouvez ensuite tester et rsoudre tout problme associ un dysfonctionnement ou une installation incorrecte de pilotes sur limage systme Windows. AuditSystem sexcute uniquement lorsque vous configurez linstallation de Windows pour un dmarrage en mode Audit.
La passe AuditUser
La passe de configuration AuditUser, qui est facultative, traite les paramtres dinstallation sans assistance dans le contexte utilisateur en mode daudit. Elle est excute aprs ltape de configuration AuditSystem. En rgle gnrale, AuditUser est utilis pour excuter des commandes RunSynchronous ou RunAsynchronous. Ces commandes permettent dexcuter des scripts, des applications ou autres excutables en mode daudit. Le mode daudit vous permet dinstaller dautres pilotes de priphrique, applications et mises jour. Lorsque Windows dmarre en mode daudit, les paramtres AuditSystem et AuditUser dinstallation sans assistance sont traits. Lutilisation du mode daudit permet de grer un nombre infrieur dimages Windows, car vous pouvez crer une image de rfrence associe un jeu minimal de pilotes. Vous
205
Chapitre 6
pouvez intgrer dautres pilotes limage en mode daudit. Vous pouvez alors identifier et rsoudre tout problme relatif des priphriques qui ne fonctionnent pas correctement ou dont linstallation est incorrecte dans limage Windows. AuditUser ne sexcute que si vous configurez linstallation de Windows de sorte dmarrer en mode daudit.
La passe OobeSystem
Enfin, la passe de configuration OobeSystem configure des paramtres appliqus au cours de lexprience du premier dmarrage pour lutilisateur final, galement appel Accueil Windows. Les paramtres OobeSystem sont traits avant la premire ouverture de session dun utilisateur sous Windows Vista. OOBE (Out-Of-Box-Experience) sexcute lors du premier dmarrage dun nouvel ordinateur. OOBE sexcute avant que lenvironnement Windows ou tout logiciel supplmentaire ne soit excut, puis effectue un ensemble restreint de tches ncessaires la configuration et lexcution de Windows. Les administrateurs peuvent modifier la passe OobeSystem afin dobtenir un Accueil Windows personnalis, qui peut savrer utile pour y renseigner les liens vers le site intranet du centre dappel de la socit par exemple, ou le lien vers le site intranet des Ressources Humaines ou le lien vers les sites internet des partenaires. OOBE peut rajouter une certaine proximit entre lutilisateur final et le service informatique par des liens utiles toujours disponible dans lAccueil Windows. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Vous pouvez configurer Windows pour quil dmarre partir de lAccueil Windows en excutant la commande sysprep /oobe. Par dfaut, aprs lexcution de linstallation de Windows, lAccueil Windows dmarre.
Les mthodes conseilles pour linstallation de Windows Vista

Voici quelques mthodes conseilles utiliser avec linstallation de Windows Vista.
j
Installer, capturer et dployer vers la premire partition active. Lorsque vous installez une image systme Windows, vous devez utiliser un seul disque, notamment la premire partition active sur le disque. Cela garantit que le systme dexploitation Windows est install sur la mme lettre de lecteur. Vrifiez que vous disposez dun espace suffisant pour les fichiers temporaires de linstallation de Windows Vista. Si vous installez Windows Vista partir de Windows XP, vrifiez que la quantit despace disque disponible est suffisante pour les fichiers temporaires de linstallation de Windows. Lespace requis peut varier, mais il peut atteindre jusqu 500 Mo. Les installations de Windows prcdentes sont dplaces vers un dossier Windows .old. Si vous installez Windows sur une installation prcdente de Windows, tous les fichiers et rpertoires prcdents de Windows sont dplacs vers un dossier
206
Windows.old. Vous pouvez accder vos donnes dans le dossier Windows.old une fois linstallation de Windows termine.
j
Vrifiez toujours les logs. Si vous avez rencontr des problmes au cours de linstallation de Windows, analysez les fichiers journaux dans %WINDIR%\panther et les emplacements adquats.
voquons tout de mme les limitations de tout ce processus dinstallation :

j
Dployez des images systme Windows Vista vers la mme lettre de lecteur. Si vous appliquez une image Windows Vista, la lettre du lecteur sur lequel est installe limage de rfrence doit correspondre exactement celle reconnue par limage systme Windows dploye. Si, par exemple, vous capturez une image systme Windows personnalise sur le lecteur C, vous devez dployer cette image systme sur la partition que Windows Vista reconnat en tant que lecteur C sur lordinateur de destination. Des applications peuvent ncessiter une lettre de lecteur cohrente. Si vous installez des applications personnalises sur votre image Windows Vista, installez Windows sur la mme lettre de lecteur sur lordinateur de destination, car certaines applications ncessitent une lettre de lecteur cohrente. Les scnarios de dsinstallation, de maintenance et de rparation risquent de ne pas fonctionner de manire approprie si la lettre de lecteur du systme ne correspond pas celle spcifie dans lapplication. Dploiement de plusieurs images vers diffrentes partitions. Si vous capturez et dployez plusieurs images vers diffrentes partitions, les conditions requises suivantes doivent tre respectes : Le nombre de disques, la structure de partition et lemplacement du bus doivent tre identiques sur les ordinateurs de rfrence et de destination. La partition et la lettre de lecteur sur lesquels limage systme de rfrence Windows est installe doivent correspondre exactement la partition et la lettre de lecteur reconnues par limage systme Windows dploye. Les types de partition (principale, tendue ou logique) doivent correspondre. La partition active sur lordinateur de rfrence doit correspondre lordinateur de destination.
Il est primordial de bien comprendre les diffrentes installations, les modes et, surtout, la manire dont se droule une installation de Windows Vista. La notion de passes est fondamentale afin de mieux comprendre les outils qui sont dcrits dans les chapitres suivants. Lillustration suivante vous montre une vue densemble des passes de configuration dune installation :
Chapitre 6
Figure 6.8 : Vue densemble des passes de configuration de linstallation de Windows Vista
6.2.
LAssistant Gestion dinstallation
Il existe deux grandes mthodes de dploiement, la premire par image, la seconde par script. Windows Vista combine les deux mthodes, cest--dire des images pour booter et installer le systme dexploitation et des fichiers rponses pour personnaliser linstallation. Puisque nous avons parcouru le dploiement par images avec Windows Deployment Service, abordons maintenant loutil de gestion de fichier Unattend.xml. Pour crer les fichiers Unattend.xml, le resource kit de dploiement livre un outil en interface graphique. Il sagit de lAssistant Gestion dinstallation. Lajout dun fichier de rponses une image permet de descendre cette image dans un certain contexte avec comme exemple la taille des partitions, les pilotes qui doivent tre utiliss, etc. Ce fichier sera lu par le Win PE pour tre appliqu ensuite votre image WIM.
6.3.
Larchitecture de lAssistant Gestion dinstallation
LAssistant Gestion dinstallation cre un fichier de rponses XML indispensable llaboration dune installation sans assistance. Cet assistant cre galement un fichier catalogue (.clg) pour assurer un suivi des packages et des paramtres, ce qui implique des mises jour priodiques. Un fichier appel "jeu de configuration" peut tre cr et
208
Larchitecture de lAssistant Gestion dinstallation
copi sur un support amovible pour constituer une version mobile des dossiers partags et facultatifs de la distribution.
Figure 6.9 : Architecture de lAssistant Gestion dinstallation
LAssistant Gestion dinstallation utilise lAPI CPI (Component Platform Interface) pour crer un fichier de rponses sans assistance. Cet assistant se sert au dpart de lAPI CPI pour monter une image systme Windows. Les composants et les paramtres contenus dans une image systme Windows particulire sont utiliss pour crer un fichier catalogue. Le fichier catalogue est ensuite exploit dans lAssistant Gestion dinstallation pour crer des fichiers de rponses. Un ensemble facultatif de dossiers, nomm "partage de distribution", peut tre ajout pour assurer le stockage des fichiers que vous utiliserez lors dune personnalisation ultrieure de votre installation Windows. LAssistant Gestion dinstallation peut crer un jeu de configuration, cest--dire une version dun partage de distribution plus lgre et plus mobile. Les jeux de configuration permettent aux utilisateurs dexploiter les versions de taille plus rduite dun partage de distribution. Ces fichiers moins volumineux peuvent se rvler plus faciles grer. Il vous est galement possible dutiliser lAPI CPI pour crer vos propres applications personnalises qui peuvent automatiser la cration et la gestion de fichiers de rponses dinstallation de Windows sans assistance.
209
Chapitre 6
Tableau 6.6 : Terminologie spcifique lAssistant Gestion dinstallation

Terme Fichier de rponses Dfinition Fichier qui indique par script les rponses apporter une srie de botes de dialogue de linterface graphique utilisateur. Le fichier de rponses de linstallation de Windows se nomme gnralement Unattend.xml. Vous pouvez crer et modifier ce fichier de rponses en utilisant lAssistant Gestion dinstallation ou les API CPI. Fichier binaire qui contient ltat de tous les paramtres et de tous les packages dans une image systme Windows. Lorsquun catalogue est cr, il interroge limage systme Windows afin dobtenir la liste de tous les paramtres contenus dans cette image. Dans la mesure o le contenu dune image systme Win PE peut varier avec le temps, il est important de recrer le fichier catalogue lors de la mise jour dune image systme. Partie du systme dexploitation Windows qui spcifie les fichiers, les ressources et les paramtres dune fonctionnalit spcifique de Windows, ou seulement une partie de cette fonctionnalit. Certains composants incluent les paramtres dune installation sans assistance de Windows ; ils sont utilisables pour les entreprises pour personnaliser linstallation. Phase de linstallation de Windows. Diverses parties du systme dexploitation Windows sont installes au cours des diffrentes tapes de configuration. Vous pouvez spcifier lapplication des paramtres dinstallation sans assistance de Windows dans une ou plusieurs tapes de configuration. Structure de fichiers et de dossiers contenant les fichiers ncessaires au contrle du processus de prinstallation et dfinissant les informations personnalises des fabricants. Un dossier qui contient les fichiers sources des produits Windows que vous installez. Il peut galement contenir des pilotes de priphriques et des fichiers dapplications supplmentaires. Ce dossier peut tre cr manuellement ou laide de lAssistant Gestion dinstallation. Chemin daccs indiquant lemplacement o rcuprer le logiciel qui permet au priphrique ou au composant matriel du pilote de fonctionner. Valeur dun paramtre de configuration dans une image systme Windows. Paramtre de configuration prsentant plusieurs entres. Par exemple, une liste de favoris, dans Internet Explorer, peut contenir aucun, un ou plusieurs favoris. Un groupe de fichiers fournis par Microsoft aux clients OEM en vue de modifier les fonctionnalits de Windows. Les types de packages incluent les Services Packs, les mises jour de scurit, les modules linguistiques et les correctifs logiciels. Exemples de packages : Product, Windows Foundation et Feature Pack.
Fichier catalogue
Composant
tape de configuration
Jeu de configuration
Partage de distribution
Chemin daccs du pilote
Valeur dimage lment de liste
Package
210
Linterface graphique
Terme Paramtre Commande synchrone
Dfinition Rglage de configuration dun programme ou dun systme dexploitation. Permet dexcuter une application ou tout autre fichier excutable durant linstallation de Windows. Vous pouvez indiquer ltape de configuration dans laquelle vous voulez que la commande sexcute. Les paramtres doivent en premier lieu tre valids pour que lAssistant Gestion dinstallation puisse enregistrer un fichier de rponses. Lorsquun fichier de rponses est correctement valid, toutes les valeurs des paramtres de ce fichier sont applicables limage systme Windows. Fonctionnalit facultative de Windows pouvant tre active ou dsactive. Un seul fichier compress contenant une collection de fichiers et de dossiers qui duplique une installation de Windows sur un volume de disque.
Valider le fichier de rponses
Fonctionnalit Windows Fichier image systme Windows (.wim)
6.4.
Linterface utilisateur de lAssistant Gestion dinstallation contient plusieurs volets. Ces volets permettent douvrir des fichiers image systme Windows, de crer des fichiers de rponses sans assistance et dajouter des composants et des packages aux cinq tapes de configuration correspondantes dans un fichier de rponses.
Figure 6.10 : Interface graphique de lAssistant Gestion dinstallation
211
Le volet Partage de distribution : il affiche le dossier de partage de distribution actuellement ouvert dans larborescence. Vous slectionnez, crez, explorez et fermez les dossiers de partage de distribution en slectionnant le nud suprieur et en cliquant avec le bouton droit de la souris sur le volet. Vous pouvez ajouter des lments un fichier de rponses contenu dans un dossier de partage de distribution en cliquant avec le bouton droit de la souris sur llment voulu. Le volet Fichier de rponses : il affiche les tapes de configuration de linstallation de Windows, ainsi que les paramtres appliquer chaque tape et les packages installer. Vous pouvez ouvrir et modifier un fichier de rponses existant, valider les paramtres contenus dans un fichier de rponses par rapport une image systme Windows ou crer un nouveau fichier de rponses. Le volet Image systme Windows : il affiche limage systme Windows actuellement ouverte dans larborescence. Lorsque larborescence est dveloppe, tous les composants et les packages prvus pour limage sont visibles et disponibles afin dtre ajouts un fichier de rponses dans le volet Fichier de rponses. Le volet Proprits : il affiche les proprits et les paramtres dun composant ou dun package slectionn. Le volet Proprits permet de modifier les paramtres et, lorsquil sagit de packages, de modifier les slections des fonctionnalits de Windows. Dans le bas du volet Proprits, lAssistant Gestion dinstallation affiche le nom du paramtre et le type .NET associ. Le volet Messages : il est compos de trois onglets nomms XML, Validation et Jeu de configuration. En cliquant sur un des onglets du volet Messages, vous affichez le type du message, un descriptif et lendroit o le problme est survenu.
6.5.
Crer un chier de rponses
1. Chargez le fichier image. Dans la section Image Windows, cliquez avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue, puis sur Slectionnez limage Windows. 2. Slectionnez limage du DVD dinstallation, par exemple Install.wim. Un catalogue des images instancies se lance. Un certain nombre de versions sont disponibles. Choisissez la version de Windows Vista que vous souhaitez personnaliser, la version Intgrale par exemple. Cliquez sur OK (voir fig. 6.11). La partie Image Windows est la partie la plus importante de loutil puisquelle comprend un certain nombre de packages qui vous permettront de personnaliser votre installation en ajoutant ou en supprimant des composants comme les jeux ou la personnalisation du DNS. Tous les composants seront lists et modifis partir de cette fentre.
212
Crer un fichier de rponses
Figure 6.11 : Slection de la version de Windows Vista personnaliser
3. Dans la fentre Fichier de rponses, cliquez avec le bouton droit de la souris, puis slectionnez Crer ou ouvrir un fichier de rponses. Un fichier de rponses contenant sept parties est cr :
j j j j j j j
WindowsPE ; OfflineServicing ; Generalize ; Specialize ; AuditSystem ; AuditUser ; 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 OobeSystem.
Ces sections correspondent une partie de linstallation de Windows Vista. Cette partie permet de vous aiguiller au cours de la ralisation de votre fichier image. Cliquez avec le bouton droit de la souris sur vos packages pour voir quelle partie ils peuvent appartenir. Par exemple, vous nallez pas pouvoir crer une partition en fin dinstallation. 4. Pour personnaliser linstallation, cliquez avec le bouton droit de la souris sur les packages afin de voir quelle section ils peuvent appartenir. 5. Une fois les packages slectionns, personnalisez-les en donnant des paramtres comme le nom de domaine, le compte utilisateur, un mot de passe ou encore la taille dune partition, bref, tout ce qui caractrise un systme dexploitation de bout en bout. 6. Une fois le fichier ralis, sauvegardez-le afin de pouvoir lutiliser avec des images WIM. Pour sauvegarder le fichier de rponses, cliquez sur Fichier/Enregistrer sous. Indiquez le chemin souhait.
213
Chapitre 6
Dans la plupart des cas, et en raison du nombre doptions configurer, il est recommand de partir des deux fichiers que Microsoft propose en exemple : les fichiers autounattend_sample et Corp_autounattend_sample.
Le chier autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> + <DiskConfiguration> - <Disk> - <CreatePartitions> - <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> - <ModifyPartitions> - <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> - <UserData> - <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> </UserData> - <ImageInstall> - <OSImage> - <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID>
</InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> </component> - <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> </component> - <component name="Microsoft-Windows-Deployment" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Reseal> <Mode>Audit</Mode> </Reseal> </component> </settings> </unattend>
Le chier Corp_autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
215
Chapitre 6
<DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> <UserData> <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> <FullName><user name></FullName> <Organization><company organization></Organization> </UserData> <ImageInstall> <OSImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> <UpgradeData> <WillShowUI>OnError</WillShowUI> </UpgradeData> <Display> <ColorDepth>16</ColorDepth> <HorizontalResolution>1024</HorizontalResolution> <RefreshRate>60</RefreshRate> <VerticalResolution>768</VerticalResolution> </Display>
</component> - <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OOBE> <HideEULAPage>true</HideEULAPage> <ProtectYourPC>3</ProtectYourPC> <SkipMachineOOBE>true</SkipMachineOOBE> <SkipUserOOBE>true</SkipUserOOBE> </OOBE> - <UserAccounts> - <LocalAccounts> - <LocalAccount wcm:action="add"> - <Password> <Value><strongpassword></Value> <PlainText>false</PlainText> </Password> <DisplayName><username></DisplayName> <Name><username></Name> <Group>administrators</Group> </LocalAccount> </LocalAccounts> </UserAccounts> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> <RegisteredOrganization><Your Organization></RegisteredOrganization> <RegisteredOwner><Your Organization></RegisteredOwner> </component> </settings> - <settings pass="specialize"> - <component name="Microsoft-Windows-IE-InternetExplorer" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
217
Chapitre 6
language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <BlockPopups>yes</BlockPopups> <Home_Page><Company Home Page></Home_Page> <IEWelcomeMsg>false</IEWelcomeMsg> <PlaySound>true</PlaySound> <ShowInformationBar>true</ShowInformationBar> </component> - <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Identification> - <Credentials> <Domain><domain></Domain> <Password><strongpassword></Password> <Username><username></Username> </Credentials> </Identification> </component> </settings> </unattend>
Attribuer des chiers Unattend des images

6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Les tapes suivantes se droulent au niveau du serveur WDS (Windows Deployment Services).
Vous entrerez dans le dtail du fonctionnement du serveur WDS au chapitre Le service de dploiement qui lui est ddi. Une fois votre fichier de rponses cr, vous devez effectuer encore quelques manipulations sur votre serveur pour accrocher vos images vos fichiers de rponses. Procdez ainsi : 1. Cliquez sur le menu Dmarrer/Tous les programmes/Outils dadministration. Slectionnez Windows Deployment Services. 2. Il faut dfinir la premire option qui consiste spcifier un fichier de rponses par dfaut en fonction des architectures. Slectionnez votre serveur WDS, cliquez avec le bouton droit de la souris, puis choisissez Proprit et Windows DS Client. 3. Cochez la case Enable Unattend mode. 4. Pour x86 Architecture, cliquez sur Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour ia64 Architecture, cliquez sur Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour x64 Architecture, cliquez sur
218
Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Une fois les fichiers dclars, cliquez sur OK. 5. Attribuez des fichiers spcifiques des images spcifiques. Placez-vous dans le serveur WDS. Slectionnez Images dinstallation, puis le groupe dimages prcdemment cr et choisissez limage laquelle vous souhaitez attribuer le fichier de rponses. 6. Cliquez avec le bouton droit de la souris sur votre image, puis sur Proprit. Dans la fentre Proprit de limage, slectionnez longlet General. 7. Sous longlet General, cochez la case Autoriser limage sinstaller en mode sans assistance, puis cliquez sur Slectionner un fichier. Choisissez votre fichier laide du bouton Parcourir et cliquez sur OK. Pour terminer, cliquez sur OK.
Figure 6.12 : Attribution dun fichier Unattend.xml une image spcifique
Le fichier ImageUnattend.xml est ajout pour limage WIM dans le rpertoire E:\RemoteInstall\Images\Vista\Windows_Vista_Ultimate-CQXQK\Unattend de limage Ultimate de Windows Vista. Installation de packages Une fois les diffrentes tapes de paramtrages ralises, vous avez la possibilit dutiliser galement des packages et des points de distribution qui pourront servir linstallation de logiciels supplmentaires aprs linstallation de Windows Vista.
Quelques points importants

Voici quelques points et tapes importants de la ralisation du fichier de rponses Unattend.xml. Dabord, vous devez ouvrir le fichier de rponses prcdemment cr. Dans un premier temps, nous avions vu comment fonctionne le principe de fichier de rponses Unattend.xml avec Windows Deployment Services et les images WIM.
219
Chapitre 6
prsent, nous allons voir comment fonctionne le paramtrage du fichier avec une tape importante qui est la partie 1 WindowsPE. 1. Dans la partie gauche de linterface graphique, slectionnez Windows Image, puis la version dimages dj prsente. Ouvrez la section Components. 2. Slectionnez le package x86_Microsoft-Windows-Setyp_(version de build)_neutral. Cest dans ce package que vous allez crer une partition pour linstallation de Windows Vista. Vous allez pouvoir indiquer si vous souhaitez crer une partition ou bien garder la partition existante, prciser galement le type de partition (FAT ou NTFS) ainsi que la taille, mais aussi des actions lies lventuelle prsence dun autre systme sur la machine, et beaucoup dautres options encore. Bien que toutes les parties soient importantes, la partie du package considrer est WindowsDeploymentServices. Elle est divise en deux sections
j
ImageSelection : dans cette section, vous allez trouver le nom du fichier dinstallation, le groupe auquel il appartient (ce groupe a t prcdemment cr dans Windows Deployment Services pour descendre les images) ainsi que le nom que vous avez donn limage sur le serveur WDS. Login : dans cette section, vous allez pouvoir spcifier les credantials, le nom de domaine, le compte utilisateur et le mot de passe pour pouvoir entrer dans le domaine lors de linstallation. Validation du fichier de rponses Noubliez pas de valider rgulirement votre fichier de rponses pour voir si vous navez pas fait derreur dans les informations que vous avez donnes au fichier.
Exemple dune partie du fichier Unattend.xml qui a t gnr la suite du paramtrage propos :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <servicing></servicing> <settings pass="windowsPE"> <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/ WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Size>30000</Size>
220
<Type>Primary</Type> <Order>1</Order> </CreatePartition> </CreatePartitions> <DiskID>0</DiskID> </Disk> </DiskConfiguration> <WindowsDeploymentServices> <ImageSelection> <InstallImage> <Filename>install.wim</Filename> <ImageGroup>Vista</ImageGroup> <ImageName>Ultimate</ImageName> </InstallImage> </ImageSelection> <Login> <Credentials> <Domain>puzzmania.com</Domain> <Username>admin</Username> <Password>P@ssW0r2</Password> </Credentials> </Login> </WindowsDeploymentServices> </component> </settings> <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
Prsentation des partages de distribution et des jeux de conguration

Un "partage de distribution" est un ensemble facultatif de dossiers contenant des fichiers utiliss pour personnaliser Windows via des fichiers de rponses sans assistance. Lorsque vous ajoutez des lments un fichier de rponses contenu dans un partage de distribution, les chemins daccs de ces lments sont inclus dans le fichier de rponses. Au cours de linstallation, le programme dinstallation de Windows utilise ces chemins pour installer les applications et les pilotes de priphriques supplmentaires. Par exemple, lorsque vous vous connectez un partage de distribution sur un rseau, le chemin daccs au rseau est rfrenc dans le fichier de rponses. Lorsque vous crez un partage de distribution laide de lAssistant Gestion dinstallation, trois dossiers sont automatiquement crs. Ils sont nomms Dossiers $OEM$, Pilotes non fournis avec Windows et Packages. Si vous crez votre propre partage de distribution, celui-ci doit contenir au moins un de ces trois dossiers pour tre reconnu comme dossier de partage de distribution valide par lAssistant Gestion dinstallation. Le dossier et les sous-dossiers $OEM$ sont uniquement utilisables au cours de la cration de jeux de configuration. Vous utilisez des dossiers $OEM$ pour intgrer des logos dans le cadre dune stratgie de marque et pour ajouter des applications et des
221
Chapitre 6
fichiers supplmentaires permettant de personnaliser linstallation sans assistance. Les dossiers $OEM$ ont t utiliss dans des prcdentes versions de Windows et, dans certains cas, ils ne sont pas pris en charge dans Windows Vista. En rgle gnrale, vous ajoutez des ressources et des nouveaux fichiers Windows par lintermdiaire dune image de donnes. Voici les sections dun partage de distribution :
Tableau 6.7 : Prise en charge des anciens dossiers $OEM$
Ancienne dnomination $OEM$ Ancienne dfinition Contient tous les fichiers et les dossiers supplmentaires qui permettent une installation automatise ou personnalise. Contient les pilotes de stockage de masse et les fichiers HAL mis jour qui sont indispensables lors de la phase en mode texte du programme dinstallation. Contient les fichiers copis dans le dossier %WINDIR% (par exemple, C:\Windows) au cours de linstallation Windows. Contient les fichiers daide personnaliss copis dans le dossier %WINDIR%\Help au cours de linstallation Windows. Contient les fichiers que copis dans le dossier %WINDIR%\System32 au cours de linstallation Windows. Prise en charge Oui
\$OEM$\Textmode
Non
\$OEM$\$$
Oui
\$OEM$\$$\Help
Non
\$OEM$\$$\System32
Oui
\$OEM$\$1
Reprsente la racine du lecteur o est install Windows Oui (galement appele "partition de dmarrage") et contient des fichiers copis dans la partition de dmarrage au cours de linstallation Windows. Contient des pilotes Plug and Play (PnP) nouveaux ou mis jour. Lutilisateur indique le nom du dossier dans le fichier Unattend.xml pour les installations sans assistance. Ce dossier peut par exemple tre nomm \$OEM$\$1\pilotesPnP. Contient les fichiers utiliss pour une installation prpare avec Sysprep. Contient les fichiers copis dans le dossier %DOCUMENTS_AND_SETTINGS% au cours de linstallation Windows. Contient les programmes copis dans le dossier %PROGRAM_FILES% au cours de linstallation Windows. Oui
\$OEM$\$1\pilotesPlugand-Play
\$OEM$\$1\SysPrep \$OEM$\$Docs
Non Non
\$OEM$\$Progs
Non
222
Sysprep
Ancienne dnomination \$OEM$\$Progs\Internet Explorer \$OEM$\lettre_lecteur \sous_dossier
Ancienne dfinition Contient le fichier de paramtres pour personnaliser Internet Explorer. Sous-dossier du lecteur qui contient les fichiers copis dans le sous-dossier au cours de linstallation Windows. Plusieurs instances de ce type de dossier peuvent exister dans le dossier \$OEM$\lettre_lecteur, par exemple \$OEM$\D\MonDossier.
Prise en charge Non Oui
6.6.
Sysprep
Dans la plupart des cas, en entreprise, pour dployer des ordinateurs Windows Vista, vous souhaitez crer une image de Windows Vista personnalise, qui contient les applications mtiers communes la socit afin de ne pas avoir les installer une par une sur chaque poste de travail. Communment, vous allez utiliser un outil de cration dimage pour crer une image personnalise. Ici, vous procderez de la mme faon quavec des outils tiers de cration et dapplication dimages systme (comme Symantec Ghost). Voici un scnario de dpart : 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 1. Vous installez Windows Vista sur un ordinateur de test. 2. Vous y installez les diverses applications et vous vous assurez quelles fonctionnent correctement. 3. Vous utilisez Sysprep pour prparer lordinateur la duplication. 4. Vous teignez lordinateur. 5. Vous rcuprez limage systme associe. la diffrence prs quavec Windows Vista vous navez pas besoin doutil tiers et que limage cre fonctionnera sur nimporte quelle plateforme matrielle. Voyez maintenant comment fonctionne loutil Sysprep sous Windows Vista.
Introduction Sysprep
Loutil Sysprep prpare une installation de Windows la duplication, laudit et la livraison lutilisateur final. La duplication, galement appele "acquisition dimages", permet de capturer une image systme Windows Vista personnalise que vous tes mme de rutiliser dans toute votre entreprise. Pour cela, Sysprep excute un certain nombre de tches pour nettoyer le systme (informations relatives au Registre, lutilisateur logu, la licence, au SID dordinateur) afin de le rendre neutre et 223
Chapitre 6
rutilisable pour nimporte quel autre utilisateur. Grce au mode Audit, vous pouvez ajouter des applications ou des pilotes de priphriques supplmentaires une installation de Windows. Une fois les applications et les pilotes installs, vous avez la possibilit de tester lintgrit de linstallation de Windows. Sysprep permet galement de prparer une image qui sera ensuite livre un utilisateur final. Ainsi, lorsque le client dmarre Windows, les crans daccueil de Windows saffichent. Sysprep nest utilisable que pour configurer de nouvelles installations de Windows Vista. Cet outil peut tre excut autant de fois quil est ncessaire pour laborer et configurer votre installation de Windows. Toutefois, vous ne pouvez pas rinitialiser lactivation de la plateforme de Windows Vista pour la protection contre le piratage plus de trois fois. Vous ne devez pas utiliser Sysprep pour reconfigurer une installation existante de Windows dj dploye. Cet outil est uniquement utilisable pour la configuration de nouvelles installations de Windows. Loutil Sysprep est maintenant inclus la base dans Windows Vista, plus besoin de tlcharger le Deployment Pack Microsoft. Suivez le chemin %WINDIR%\ system32\sysprep. Sysprep prsente un certain nombre davantages :
j
Il supprime des donnes spcifiques au systme partir de Windows. Il peut supprimer toutes les informations spcifiques au systme partir dune image systme Windows installe, y compris lID de scurit. Linstallation de Windows peut ensuite tre capture et installe travers toute lentreprise. Il configure Windows pour dmarrer en mode Audit. Le mode Audit vous permet dinstaller des applications et des pilotes de priphrique tiers et de tester la fonctionnalit de lordinateur. Il configure Windows pour dmarrer avec laccueil du premier dmarrage de Windows. Il configure une installation de Windows pour initialiser laccueil du premier dmarrage de Windows au prochain dmarrage de lordinateur. En gnral, vous configurez un systme pour quil sinitialise partir de cet accueil de premier dmarrage immdiatement avant la livraison de lordinateur lutilisateur final. Celui-ci na plus qu entrer les quelques informations personnelles quil lui manque. Il rinitialise lactivation du produit Windows. Sysprep peut rinitialiser lactivation du produit Windows jusqu trois fois.
Implmenter Sysprep
Reprenons notre scnario de dpart : vous installez Windows Vista sur un ordinateur de test, vous y installez toutes les applications que vous voulez inclure dans votre image personnalise et vous vrifiez leur fonctionnement. Maintenant, vous allez utiliser Sysprep pour prparer lordinateur la duplication. 1. Cliquez sur le logo Windows de dmarrage. 224
Sysprep
2. Tapez Sysprep dans la fentre Excuter que vous avez ouvert.
Figure 6.13 : Rpertoire %WINDIR%\system32\sysprep
3. Ouvrez le rpertoire Sysprep et cliquez deux fois sur lapplication.

Figure 6.14 : Application Sysprep
Vous remarquez une interface graphique trs pure en comparaison de la prcdente version de Sysprep contenue dans le Deployment Pack Microsoft Windows XP. Deux menus droulants uniquement, donc deux choix faire : un choix sur le mode de nettoyage du systme et un sur le mode dextinction de lordinateur.
Le nettoyage du systme
Dans le premier menu droulant de lapplication Sysprep, vous devez choisir laction de nettoyage du systme mener.
Figure 6.15 : Choix daction de nettoyage du systme
225
Chapitre 6
Entrer en mode OOBE (Out-Of-Box Experience) : OOBE, autrement appel "accueil de premier dmarrage de Windows", reprsente la premire exprience de lutilisateur et permet aux utilisateurs finaux de personnaliser leur installation Windows. Les utilisateurs finaux peuvent crer des comptes utilisateurs, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par dfaut, toutes les installations Windows dmarrent dabord avec laccueil de premier dmarrage de Windows. La passe de configuration OobeSystem sexcute immdiatement avant le dmarrage de laccueil de premier dmarrage de Windows. Cest le choix le plus commun dans le sens o vous nettoyez compltement le systme pour une duplication en masse. Entrer en mode daudit systme : le mode Audit permet aux fabricants dordinateurs et aux entreprises dajouter des personnalisations leurs images Windows. Le mode Audit ne ncessite pas lapplication de paramtres dans laccueil de premier dmarrage de Windows. En ignorant laccueil de Windows, vous pouvez accder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de priphrique supplmentaires, installer des applications et tester la validit de linstallation. En mode Audit, les paramtres dun fichier de rponses, en mode sans assistance, sont traits lors des tapes de configuration AuditSystem et AuditUser. Dans une installation Windows Vista par dfaut, une fois linstallation termine, laccueil de Windows dmarre. Cependant, vous pouvez ignorer laccueil de Windows et dmarrer directement en mode Audit en appuyant sur les touches [Ctrl]+[Maj]+[F3] partir du premier cran daccueil de Windows. Loption Gnraliser Juste en dessous de la liste Action de nettoyage du systme se trouve une case cocher trs importante appele Gnraliser. Cette option est lquivalent de loption Resceller sous Windows XP : cest en la cochant que vous allez gnrer un SID ordinateur diffrent chaque application de limage. Si vous utilisez Sysprep pour gnrer une image de rfrence devant sappliquer sur tous les postes de travail de lentreprise, alors il est primordial de cocher cette case.
Les options dextinction

Dans le second menu droulant de lapplication Sysprep, vous devez faire un choix doptions dextinction : arrter, quitter ou redmarrer lordinateur (voir fig. 6.16). La fin de lexcution de Sysprep se marque par loption dextinction. Dans la plupart des cas, vous choisirez dteindre lordinateur. L, votre ordinateur est prt pour redmarrer, mais en bootant sur un outil de rcupration de limage systme.
226
Sysprep
Figure 6.16 : Options dextinction de Sysprep
Le processus de Sysprep
Pour que Sysprep sexcute sans problme, vous devez vous assurer du processus suivant : 1. Vrifiez que Sysprep est capable de sexcuter. Seul un administrateur peut excuter Sysprep, dont il est impossible de faire tourner plusieurs instances. Sysprep doit galement sexcuter sur la version de Windows sur laquelle il a t install. 2. Analysez les arguments de ligne de commande. 3. Si vous navez pas spcifi dargument de ligne de commande, la fentre de Sysprep qui saffiche permet aux utilisateurs de dfinir des actions Sysprep. 4. Traitez les actions Sysprep, appelez les fichiers .dll et les excutables appropris, puis ajoutez des actions au fichier journal. 5. Vrifiez que tous les fichiers .dll ont trait toutes leurs tches, puis arrtez le systme, relancez-le ou quittez Sysprep. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
Rinitialiser lactivation de Windows Vista

Lorsque vous installez Windows Vista avec une cl de produit de licence unique, vous disposez de 30 jours au cours desquels vous devez activer cette installation de Windows. Si vous nactivez pas Windows Vista dans cette priode de 30 jours et que vous ne rinitialisez pas lhorloge dactivation, Windows entre en mode de fonctionnalit rduite. Ce mode empche les utilisateurs douvrir une session sur lordinateur avant lactivation de Windows. Il nexiste aucune limite au nombre dexcutions de Sysprep sur un ordinateur. Cependant, lhorloge de lactivation de Windows Vista commence son dcompte la premire fois que Windows est lanc. Vous pouvez utiliser la commande sysprep /generalize pour rinitialiser lactivation du produit Windows trois reprises au maximum. Aprs trois excutions de la commande sysprep /generalize, lhorloge ne peut plus tre rinitialise.
227
Chapitre 6
Lorsque vous excutez la commande sysprep /generalize, lhorloge dactivation est automatiquement rinitialise. Vous pouvez ignorer la rinitialisation de lhorloge dactivation laide du paramtre SkipRearm dans le composant Microsoft-Windows-Security-Licensing-SLC. Cela vous permet dexcuter Sysprep plusieurs reprises sans rinitialiser lhorloge dactivation.
Figure 6.17 : Paramtre SkipRearm
Selon le mode de licence, le comportement de rinitialisation de lhorloge dactivation est diffrent.

j
Lactivation peut tre rinitialise un nombre de fois illimit pour des clients du service KMS. KMS est un mode de licence faisant parti des licences en volume qui permet lentreprise de surveiller et de comptabiliser lutilisation des licences au sein de lentreprise. Cest un service sinstallant sur un serveur ddi aux ordinateurs de lentreprise toujours connects au rseau. Les entreprises clientes du service KMS doivent utiliser la commande sysprep /generalize avec la valeur du paramtre SkipRearm gale 0. Pour les clients de cls dactivation multiples (MAK), la recommandation consiste installer ces cls dactivation multiples immdiatement avant dexcuter Sysprep pour la dernire fois avant la livraison de lordinateur un utilisateur. MAK est aussi un mode de licence faisant parti des licences en volume qui permet lentreprise de surveiller et de comptabiliser lutilisation des licences, mais il est plus particulirement ddi aux ordinateurs nomades de lentreprise peu ou pas connects au rseau. Ce nest pas un service que lon installe, cest un type de cl. Pour les licences dactivation OEM, aucune activation nest requise. Lactivation OEM nest disponible que pour les fabricants dordinateurs OEM. Image et activation Vous ne pouvez pas crer dimage dune installation Windows active et dupliquer cette image sur un autre ordinateur. Si vous le faites, Windows ne parvient pas reconnatre lactivation et force lutilisateur final ractiver manuellement linstallation.
228
Sysprep
Utiliser des chiers de rponses en conjonction avec Sysprep

Si vous installez Windows Vista par le biais dun fichier de rponses, celui-ci est plac en mmoire cache sur le systme de sorte que lors des passes de configuration suivantes, les paramtres dfinis dans le fichier de rponses soient appliqus au systme. Le fichier de rponses tant plac en mmoire cache, les paramtres quil contient sont appliqus lorsque vous excutez Sysprep. Si vous utilisez les paramtres extraits dun autre fichier de rponses, vous pouvez spcifier un autre fichier Unattend.xml par le biais de loption sysprep /unattend:fichierrponses. Pour assurer la persistance des pilotes de priphrique lorsque vous excutez la commande sysprep /generalize, spcifiez le paramtre PersistentAll DeviceInstalls dans le composant Microsoft-Windows-PnPSysprep. Lors de la passe de configuration Specialize, la fonction plug and play analyse le systme pour y rechercher des priphriques et installe les pilotes correspondants. Par dfaut, ces pilotes de priphrique sont supprims du systme lors de la passe de configuration Generalize. Si vous rglez PersistAllDeviceInstalls sur true dans un fichier de rponses, Sysprep ne supprime pas les pilotes de priphrique dtects.
Figure 6.18 : Paramtre PersistAllDeviceInstalls
Vous pouvez configurer automatiquement une installation de Windows Vista de sorte activer le mode daudit ou laccueil de premier dmarrage Windows (mode OOBE) une fois linstallation de Windows termine. Lutilisation du paramtre reseal dans le composant Microsoft-Windows-Deployment vous permet de spcifier le mode de dmarrage de Windows. Si cette valeur nest pas spcifie, Windows dmarre en mode daccueil de premier dmarrage Windows par dfaut (voir fig. 6.19). En mode daudit, vous pouvez afficher ltat des commandes RunSynchronous excutes lors de la passe de configuration AuditUser. La fentre AuditUI affiche ltat des commandes et fournit les informations suivantes :
j
Indicateur visuel montrant quune installation est en cours dexcution.
229
Chapitre 6
Figure 6.19 : Paramtre Reseal

j
Indication visuelle de la date, de lheure et de lemplacement des checs. Cette fonction permet dtablir un diagnostic rapide si la commande ne gnre pas de fichiers journaux.
Si le fichier de rponses contient des commandes RunSynchronous lors de la passe de configuration AuditUser, la liste des commandes saffiche dans la fentre AuditUI, dans lordre spcifi par le paramtre Order qui se trouve dans le sous-lment RunSynchronousCommand de llment RunSynchronous.
Figure 6.20 : Sous-lment RunSynchronousCommand
Chaque lment de la liste affiche dans linterface utilisateur correspond la chane extraite du paramtre Description ou du paramtre Path. Toutes les commandes RunSynchronous sont traites dans lordre. Si la commande aboutit, llment de liste correspondant est associ une coche verte. Si la commande 230
Sysprep
choue, llment de liste correspondant est associ un X rouge. Si un redmarrage est requis, la fentre AuditUI rapparat aprs le redmarrage, mais seuls les lments non traits de la liste sont recenss. Les lments prcdemment traits ne sont plus indiqus. Si la liste dlments affichs dpasse la hauteur de la fentre AuditUI, sa taille est adapte lcran et il est impossible de la faire dfiler. De ce fait, certains lments risquent de ne pas tre visibles. Le programme dinstallation de Windows Vista interprte les codes de retour 0 et diffrents de 0 comme des valeurs dtat dans la fentre AuditUI. La valeur 0 indique un succs, tandis quune autre valeur reprsente un chec. Selon la valeur du paramtre WillReboot qui se trouve dans le sous-lment RunSynchronousCommand de llment RunSynchronous, la valeur renvoye par la commande risque daffecter le comportement de linstallation.
Figure 6.21 :
Paramtre WillReboot
Si le paramtre WillReboot est rgl sur Always, si la commande renvoie 0, llment de liste correspondant est coch en vert. Un redmarrage est immdiatement excut. Si la commande renvoie une autre valeur, llment de liste correspondant est signal par un X rouge. Un redmarrage est immdiatement excut. Si le paramtre WillReboot est rgl sur Never, si la commande renvoie 0, llment de liste correspondant est coch en vert. Si la commande renvoie une autre valeur, llment de liste correspondant est signal par un X rouge. Une autre valeur nest pas considre comme une erreur irrcuprable si WillReboot est rgl sur Always ou Never. Si le paramtre WillReboot est rgl sur OnRequest, si la commande renvoie 0, llment de liste correspondant coch en vert. Si la commande renvoie 1, llment de liste correspondant est coch en vert. Un redmarrage est immdiatement excut. Si la commande renvoie 2, llment de liste correspondant est temporairement coch en vert. Un redmarrage est immdiatement excut. la suite du redmarrage, llment de liste correspondant saffiche nouveau dans la fentre AuditUI sans annotation car la commande est encore en cours dexcution. Si la commande renvoie dautres valeurs, il se produit une erreur irrcuprable et une bote de dialogue de blocage saffiche.
231
Chapitre 6
Les chiers journaux de Sysprep

Sysprep consigne les actions dinstallation de Windows dans divers rpertoires, selon la passe de configuration concerne. La passe de configuration Generalize supprimant certains fichiers journaux du programme dinstallation Windows, Sysprep consigne les actions Generalize hors des fichiers journaux dinstallation Windows standard.
Tableau 6.8 : Journaux de log de Sysprep lment Generalize Specialize Actions dinstallation sans assistance de Windows Chemin des fichiers journaux %WINDIR%\system32\sysprep\panther %WINDIR%\panther\ %WINDIR%\panther\unattendgc
Les limitations de Sysprep

Sysprep comporte les limitations suivantes :
j
Vous devez uniquement utiliser la version de Sysprep installe avec limage systme Windows que vous voulez configurer. Sysprep est install avec chaque version de Windows et doit toujours tre excut partir du rpertoire %WINDIR%\ system32\sysprep. Sysprep ne doit pas tre utilis sur des types dinstallation de mise niveau. Excutez Sysprep uniquement sur des installations propres. Si vous prvoyez dutiliser la commande imagex dapplication dune image systme Windows Vista un ordinateur, le format de partition sur les ordinateurs de test et de destination doit tre identique. Par exemple, si vous capturez une image systme Windows personnalise sur le lecteur C, vous devez toujours dployer cette image systme sur le lecteur C de lordinateur de destination. La liste suivante dcrit les paramtres de partition qui doivent tre identiques sur les ordinateurs de test et de destination Le numro de partition o est install Windows Vista doit correspondre. Le type de partition (principale, tendue ou logique) doit correspondre. Si la partition est dfinie comme active sur lordinateur de rfrence, lordinateur de destination doit galement tre dfini comme actif.
j j
Lors de la copie dimages systme Windows entre diffrents systmes, les ordinateurs de test et de destination nont pas besoin de disposer de fichiers HAL (Hardware Abstraction Layer) compatibles.
232
Windows PE 2.0
Les priphriques plug and play prsents sur les ordinateurs de test et de destination, tels que les modems, les cartes son, les cartes rseau et les cartes vido, nont pas besoin dtre du mme fabricant. Cependant, les lecteurs de ces priphriques doivent tre inclus dans linstallation. Lhorloge dactivation commence son compte rebours la premire fois que Windows est dmarr. Vous pouvez utiliser Sysprep au maximum trois fois pour rinitialiser lhorloge en vue de lactivation de produit Windows. Aprs trois excutions de Sysprep, lhorloge ne peut plus tre rinitialise. Que ce soit ImageX (outil de cration dimage systme de Windows Vista) ou que ce soit des logiciels de cration dimage systme de disque tiers ou des priphriques matriels de duplication de disque, ils sont ncessaires pour linstallation fonde sur une image. Ces produits crent des images du disque dur dun ordinateur, puis la dupliquent sur un autre disque dur ou la stockent dans un fichier sur un disque spar. Sysprep sexcute seulement si lordinateur est membre dun groupe de travail, et non dun domaine. Si lordinateur appartient un domaine, Sysprep le retire de ce domaine. Si vous excutez Sysprep sur une partition de systme de fichiers NTFS qui contient des fichiers ou des dossiers crypts, les donnes contenues dans ces dossiers deviennent compltement illisibles ou irrcuprables. Sysprep convertit la variable denvironnement %COMPUTERNAME% en caractres majuscules. Cependant, le nom rel de lordinateur ne change pas. Lexcution de Sysprep fait que les crans daccueil de Windows vous demandent une cl de produit. Vous pouvez utiliser un fichier de rponses avec Sysprep pour viter que les crans daccueil de Windows ne vous demandent une cl de produit. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
j j
Une fois le Sysprep effectu, la prochaine tape consiste dmarrer sur Windows PE 2 .0 pour avoir un environnement adquat afin de capturer limage qui servira de rfrence au dploiement.
6.7.
Windows PE 2.0
Une fois votre ordinateur de test configur et la commande Sysprep effectue, lenvironnement de prinstallation Windows PE 2.0 va vous permettre de dmarrer sur un environnement autonome et relativement complet afin de rcuprer votre image systme. Mais Windows PE 2.0 va quand mme plus loin : cet environnement vous servira galement appliquer les images, voire diagnostiquer un poste de travail. Windows PE 2.0 est incontournable quand on parle de dploiement car mme le processus dinstallation de Windows Vista provenant du DVD Vista effectue en premier lieu un dmarrage sur Windows PE 2.0.
233
Chapitre 6
Introduction WIN PE
Windows PE 2.0 (Windows Preinstallation Environnement) constitue lune des bases du dploiement de Windows Vista. Il est conu pour faciliter les dploiements de ce nouveau systme dexploitation. Cest un environnement bootable limit conu sur la base de Windows Vista. Windows PE 2.0 Jusqu prsent Windows PE tait rserv aux clients disposant dun contrat Microsoft Software Assurance (SA). La bonne nouvelle, cest que Windows PE 2.0 devient disponible pour toutes les personnes ou socits dsireuses dinstaller ou de dployer Windows Vista au travers du WAIK. Windows PE (ou Win PE) offre de puissants outils de prparation et dinstallation pour Windows Vista. Mme sil ne dispose pas de toutes les classes WMI, il en possde un certain nombre, ce qui vous permettra doptimiser vos dploiements. Dans sa version 2.0, Win PE est personnalisable au travers doutils livrs dans le WAIK (Windows Automated Installation Kit). Ainsi, il est possible dajouter simplement des pilotes ou des packages. Windows PE Win PE est un outil de dmarrage systme de Microsoft qui offre des fonctionnalits avances pour linstallation, le dpannage et la rcupration. Il a t conu pour remplacer MS-DOS comme environnement de prinstallation. Win PE 2.0 est la version lie Windows Vista.
Les versions de Windows PE

Mme si cest la premire fois que vous entendez parler ou utilisez Win PE 2.0, sachez que Win PE offre plusieurs versions. Il sort une nouvelle version de Win PE chaque rvision dun systme dexploitation ou larrive dun service pack. La dernire version officielle avant la sortie de Windows Vista correspond Windows Server 2003 SP1. Au dbut de Win PE, un grand nombre dapplications ne pouvaient sexcuter car elles ncessitaient de lespace de stockage temporaire, et Win PE tait souvent lanc partir dun support non inscriptible, tel quun CD. Les versions se sont enrichies et amliores pour prendre en charge le WMI, les priphriques plug and play, mais galement en apportant le support du Ramdisk et en permettant le dmarrage partir dune cl USB :
j j j j j
Win PE 1.0, bas sur la version Windows XP ; Win PE 1.1, bas sur la version Windows XP SP1 ; Win PE 1.2, bas sur la version Windows 2003 Server ; Win PE 1.5, bas sur la version Windows XP SP2 ; Win PE 1.6, bas sur la version Service Pack 1 de Windows 2003.
234
Windows PE 2.0
Win PE 2.0
Que de chemin parcouru entre la version 1.0 et la version 2.0 de Win PE. La version 2.0 de Win PE sappuie en effet sur les composants de Windows Vista. Par consquent, Win PE 2.0 prend en charge les pilotes Windows Vista et tire parti dun grand nombre damliorations apportes par Windows Vista, par exemple la protection amliore contre les attaques rseaux offertes par le pare-feu Windows. Dsormais, cette nouvelle version de Win PE prend en charge lajout de pilotes, ce qui vous permet de charger des pilotes avant ou aprs le lancement de Win PE. Si vous dmarrez Win PE et que vous constatiez quil manque un pilote ncessaire, vous avez la possibilit de charger le pilote non standard partir dun support amovible et dutiliser aussitt le matriel sans redmarrage. Pour plus de flexibilit, en particulier lors de la cration de scripts de prinstallation, Win PE 2.0 inclut dsormais une prise en charge amliore de WMI. Cela vous permet deffectuer la plupart des tches de configuration et de gestion partir dun script ou de la ligne de commandes. Utilisation de Win PE Win PE nest pas une version Embedded du systme dexploitation. Il ne remplace pas un systme dexploitation client ou serveur. Il reboote toutes les soixante-douze heures. Windows PE est un outil amorable fond sur les composants de Windows Vista. Contrairement Windows Vista, qui est un systme dexploitation gnral, Windows PE est conu pour tre utilis dans le cadre de linstallation ou du dpannage. Voici la liste des nouveauts apportes par la version 2.0 de Win PE
j j
Mises jour de scurit : Windows PE prend dsormais en charge le protocole SSL (Secure Socket Layer). Outils de gestion des fichiers .wim : les fichiers .wim peuvent tre personnaliss et dmarrs au moyen de loutil de ligne de commandes ImageX et du pilote WIM FS Filter (Windows Imaging File System Filter). Prise en charge de nouvelles mthodes de dmarrage : vous pouvez dmarrer Windows PE depuis le fichier .wim hberg sur le DVD Windows AIK ou loption /boot de loutil de ligne de commandes ImageX. Prise en charge du redmarrage sur 72 heures : lhorloge de redmarrage de Windows PE a t tendue de 24 72 heures. Prise en charge du plug and play (PnP) : les priphriques matriels peuvent tre dtects et installs alors que Windows PE est en cours dexcution. Tous les priphriques PnP fournis sont pris en charge, y compris les mdias amovibles et les priphriques de stockage de masse. Cette prise en charge est active par dfaut.
j j
235
Chapitre 6
Outil Drvload : utilisez ce nouvel outil de ligne de commandes pour ajouter des pilotes non fournis au dmarrage de Windows PE. Drvload installe les pilotes en utilisant les fichiers .inf des pilotes en tant quentres. Outil PEImg : utilisez ce nouvel outil de ligne de commandes pour personnaliser une image de Windows PE hors ligne. PEImg vous permet dajouter et de supprimer des pilotes, des composants de Windows PE et des modules linguistiques. Donnes de configuration de dmarrage (BCD) : utilisez ce nouveau fichier de configuration de dmarrage pour personnaliser les options de dmarrage. Ce fichier remplace le fichier Boot.ini. Outil bootsect (secteur de dmarrage) : utilisez cet outil pour permettre le dploiement de versions antrieures de Windows en changeant le code de dmarrage de la prcdente version de Windows en vue dassurer la prise en charge du gestionnaire de dmarrage (Bootmgr) pour Windows Vista. Disque virtuel inscriptible automatique : en cas de dmarrage depuis un mdia en lecture seule, Windows PE cre automatiquement un disque virtuel inscriptible (disque X) et alloue 32 Mo de ce dernier au stockage gnral. En utilisant un systme de fichiers NTFS compress, les 32 Mo sont adressables jusqu 60 Mo.
Avec larrive de Windows Vista, Win PE sera donc disponible pour tout le monde. Win PE 2.0 sera disponible dans le WAIK et utilisable pour dployer Windows Vista dans toutes les entreprises sans problme de licence. La premire tape pour utiliser Win PE consiste installer le WAIK. Dans lun des rpertoires du kit dinstallation automatique Windows se trouvent deux images WIM de Win PE ainsi que des outils :
C:\Program Files\Windows AIK\Tools\x86>dir Le volume dans le lecteur C na pas de nom. Le numro de srie du volume est FC61-F515 Rpertoire de C:\Program Files\Windows AIK\Tools\x86 14/05/2006 23/02/2006 09/11/2005 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 14/05/2006 14/05/2006 18/02/2006 18/02/2006 10/02/2006 18/02/2006 20:13 15:01 16:01 01:03 01:03 01:50 01:06 01:50 01:50 20:13 20:13 01:50 01:48 16:09 01:05 <REP> 125 123 1 409 59 337 2 041 231 189 <REP> <REP> 1 318 2 75 231 boot boot.wim bootfix.bin bootmgr BootSect.exe cbscore.dll cmiv2.dll dpx.dll drvstore.dll efi en-us msxml6.dll msxml6r.dll oscdimg.exe peimg.exe
301 024 980 392 920 344 424 440
912 560 776 424
236
Windows PE 2.0
18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006
01:50 01:50 01:05 01:50 1 01:50 01:02 01:05 01:05 14:07 132 01:05 01:33 23 fichier(s) 5 Rp(s) 9
781 43 19 282 287 3 110 176 400 233 116
824 smiengine.dll 520 smipi.dll 968 sys.exe 560 wcp.dll 744 wdscore.dll 113 wimfltr.inf 848 wimfltr.sys 640 wimgapi.dll 517 winpe.wim 984 ImageX.exe 224 xmllite.dll 265 479 439 octets 044 193 280 octets libres
La premire image se nomme winpe.wim, cest le Win PE 2.0 fourni pour dployer Windows Vista. La seconde image sappelle boot.wim. Les deux images font sensiblement la mme taille, 125 Mo et 130 Mo. Cependant, elles prsentent quelques diffrences non ngligeables. Dans les versions prcdentes de Win PE, il tait souvent reproch Win PE de mettre trop longtemps dmarrer car il ntait pas optimis. Ce problme est rsolu grce ces deux images. Vous trouverez deux modes dans cette nouvelle version de Win PE, un mode Prpar et un mode Non prpar. Vous crerez votre propre arborescence, ajouterez des lments, puis, au travers dune commande, vous pourrez loptimiser en fonction de son dmarrage via le rseau, un support USB ou un CD. Le fichier boot.wim est la version de Win PE "prpare". La problmatique du boot.win et des versions prpares, cest que vous ne pouvez plus ajouter de composants. Seul lajout de pilotes sera possible dans ce mode. Il est donc trs important de conserver une version dite non prpare de Win PE, ce qui est le cas avec winpe.wim. Pour voir la diffrence entre les versions, utilisez la commande suivante : ImageX /info nom_image.wim. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
La version winpe.wim
Pour visualiser le contenu de la version de winpe.wim, utilisez linstruction ImageX
/info winpe.wim. C:\Program Files\Windows AIK\Tools\PETools\x86>imagex /info winpe.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.
WIM Information: ---------------GUID: {d86b36d5-4860-4a9d-baa7-5b251ba821aa} Image Count: 1
237
Chapitre 6
Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x8 Relative path junction
Available Image Choices: -----------------------<WIM> <TOTALBYTES>164491669</TOTALBYTES> <IMAGE INDEX="1"> <NAME>Microsoft Windows Vista PE (X86)</NAME> <DESCRIPTION>Microsoft Windows Vista PE (X86)</DESCRIPTION> <WINDOWS> <ARCH>0</ARCH> <PRODUCTNAME>Microsoft "Windows" Operating System</PRODUCTNAME> <PRODUCTTYPE>WinNT</PRODUCTTYPE> <PRODUCTSUITE></PRODUCTSUITE> <LANGUAGES> <LANGUAGE>fr-FR</LANGUAGE> <DEFAULT>fr-FR</DEFAULT> </LANGUAGES> <VERSION> <MAJOR>6</MAJOR> <MINOR>0</MINOR> <BUILD>6000</BUILD> <SPBUILD>16386</SPBUILD> </VERSION> <SYSTEMROOT>WINDOWS</SYSTEMROOT> </WINDOWS> <DIRCOUNT>2070</DIRCOUNT> <FILECOUNT>8293</FILECOUNT> <TOTALBYTES>708015723</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xBFD8DDC6</LOWPART> </CREATIONTIME> <LASTMODIFICATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xC375E20E</LOWPART> </LASTMODIFICATIONTIME> </IMAGE> </WIM>
Dans la partie <NAME> se trouve le nom de limage winpe.wim : Microsoft Windows Vista PE (X86). Cette version est la version de Windows Vista. Vous dcouvrirez un peu plus loin comment voir le contenu de chaque image. Cette version dimage est non prpare, il est donc possible dy ajouter des packages et des pilotes.
238
Windows PE 2.0
La version boot.wim
Pour visualiser le contenu de la seconde image de Win PE boot.wim, utilisez linstruction ImageX /info boot.wim.
C:\Program Files\Windows AIK\Tools\x86>ImageX /info boot.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. WIM Information: ---------------GUID: {6c00797e-6e60-4b43-9be6-cf327f16f3f6} Image Count: 1 Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x0 Available Image Choices: -----------------------<?xml version="1.0" encoding="UTF-16"?> <WIM> <TOTALBYTES>125121945</TOTALBYTES> <IMAGE INDEX="1"> <DIRCOUNT>362</DIRCOUNT> <FILECOUNT>2289</FILECOUNT> <TOTALBYTES>319894252</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x1C638CD</HIGHPART> <LOWPART>0x196493A</LOWPART> </CREATIONTIME> <NAME>Windows Preinstallation Environment (x86)</NAME><WINDOWS ><ARCH>0</ARCH><PRODUCTNAME>Microsoft "Windows" Operating Syst em</PRODUCTNAME><PRODUCTTYPE>WinNT</PRODUCTTYPE><PRODUCTSUITE /><LANGUAGE>00000409</LANGUAGE><VERSION><MAJOR>6</MAJOR><MINOR >0</MINOR><BUILD>5308</BUILD><SPBUILD>17</SPBUILD></VERSION><S YSTEMROOT>WINDOWS</SYSTEMROOT></WINDOWS></IMAGE></WIM>
la partie <NAME> se trouve le nom de limage boot.wim : Windows Preinstallation Environment (x86). Cette version est la version de Dans dmarrage de Windows Vista. la diffrence de la version winpe.win, cette version dimage est prpare, il est donc impossible dy ajouter des packages, seuls les pilotes peuvent y tre ajouts.
239
Chapitre 6
Lutilisation de Win PE
Win PE 2.0 est capable de traiter trois aspects spcifiques.
j
Installation de Windows Vista : Win PE sexcute chaque fois que vous installez Windows Vista. Les outils graphiques qui collectent les informations de configuration au cours de la phase dinstallation sexcutent dans Windows PE. Rsolution des problmes : Win PE sert galement pour la rsolution de problmes. Par exemple, Win PE dmarre automatiquement et lance lenvironnement de rcupration de Windows. Rcupration : il peut tre utilis pour crer des solutions personnalises et automatises pour la rcupration et la reconstruction dordinateurs bass sur Windows Vista.
Win PE consomme moins de 100 Mo despace disque et peut sexcuter intgralement partir de la mmoire vive, ce qui vous permet dinsrer un deuxime CD contenant les pilotes ou les logiciels. Ces fonctionnalits permettent Windows PE de sexcuter sur des ordinateurs qui ne sont pas encore quips dun disque dur format ou dun systme dexploitation install. Cependant, Windows PE nest pas un systme dexploitation complet tel que Windows Vista. De plus, vous pouvez faire le test, Win PE redmarre toutes les 72 heures.
Les limitations de Win PE

6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Win PE possde les limitations suivantes :
j j
Lordinateur doit tre quip dun minimum de 256 Mo de RAM. Windows PE ncessite un priphrique daffichage compatible VESA et utilise la rsolution dcran la plus leve possible. Si Windows PE ne peut dtecter les paramtres vido, il utilise une rsolution de 640 x 480 pixels. Il prend en charge la rsolution de noms DFS (Distributed File System) uniquement pour les racines DFS autonomes. Vous ne pouvez accder aux fichiers ou dossiers dun ordinateur excutant Win PE partir dun autre ordinateur ; le service Serveur nest pas disponible dans Windows PE. Win PE prend en charge la fois IPv4 et IPv6 mais ne prend pas en charge dautres protocoles, tels que IPX/SPX. Les affectations de lettres dunit ne sont pas persistantes dune session lautre. Aprs le redmarrage de Win PE, les affectations de lettres dunit sont dans lordre par dfaut. Windows PE ne prend pas en charge le .NET Framework.
j j
j j
240
Windows PE 2.0
Dans la mesure o WOW (Windows on Windows) nest pas pris en charge, les applications 16 bits ne sexcutent pas dans les versions 32 bits de Windows PE, et les applications 32 bits ne sexcutent pas dans les versions 64 bits de Win PE. Win PE redmarre 72 heures aprs le dmarrage initial.
Les outils
Un certain nombre doutils permettent dutiliser Win PE, certains sont inclus dans Win PE, dautres non. Voici la liste et les fonctions de ces outils
j
ImageX : il nest pas prsent dans Win PE, mais vous pouvez le trouver dans le resource kit de dploiement. Il est utilis pour lajout dune image, la capture dimages, lapplication dimages, etc. DiskPart : cest un outil qui permet de crer ou supprimer des partitions. Il nest pas nouveau mais cest uniquement aprs la cration dune partition que vous pourrez descendre limage WIM. Drvload : cest un nouvel outil. Vous pouvez utiliser la commande drvload pour ajouter des pilotes de priphrique, comme des chipsets audio, vido et des chipsets de carte mre une image Windows PE. Vous pouvez galement utiliser la commande drvload pour charger dynamiquement un pilote aprs le dmarrage de Windows PE. OSCDImg : cet outil permet de crer une image ISO de son Win PE. PEImg : il permet de lister ou dajouter des composants en ligne de commandes dans Win PE, mais galement de prparer une image. BCDEdit : cet outil permet dditer les donnes de configuration de dmarrage (Boot Configuration Data). Il est aussi utilis pour ajouter WINPE dans un menu de boot. Cest le remplaant du boot.ini.
j j j
Personnaliser un Win PE non prpar

Pour tre utile au dploiement et aussi aux tches dadministration des postes de travail, vous allez crer votre propre mdia bootable Win PE (cl USB, CD, etc.) qui runira les lments les plus utiles pour mener bien votre travail. Tout le travail va seffectuer partir dun ordinateur Windows Vista sur lequel le WAIK est install. Pour prparer et personnaliser Win PE, soit limage winpe.wim, cest--dire le Win PE non prpar, il faut appliquer son contenu dans un rpertoire afin dutiliser ses fichiers et son arborescence. Vous avez plusieurs possibilits : la premire serait dutiliser la commande ImageX /mountrw, la seconde demployer la commande ImageX /apply. Cest la commande que nous utiliserons. Voici la syntaxe ImageX avec le commutateur /apply (ce commutateur permet dappliquer des images) avec le nom de limage WIM suivi du numro dindexation de limage dans le fichier WIM, pour terminer le chemin complet du rpertoire de destination.
241
Chapitre 6
On obtient la syntaxe suivante : ImageX /apply winpe.wim 1 c:\extractPE.
Ajouter des packages

Une fois limage ouverte et tous les fichiers Win PE accessibles, vous avez la possibilit dajouter des packages qui offrent de la valeur ajoute lutilisation de Win PE. Lajout de packages est une fonction trs pratique de Win PE puisque ce dernier peut galement excuter des fichiers batch, des scripts VBScript, des scripts WSH si le composant optionnel WSH est install, des applications HTA (HTML Applications) et des objets ADO. Dans la mesure o Win PE offre un espace temporaire sappuyant sur la mmoire vive, Win PE peut excuter des applications qui ncessitent la possibilit dcrire des fichiers temporaires sur le disque dur, mme si aucun disque dur nest disponible. Pour raliser linstallation de packages, il faut disposer dune version de Win PE non prpare, par exemple winpe.wim. Vous devez lister les packages contenus dans cette image. Pour cela, vous disposez de la commande peimg /list et avez la possibilit de dtailler le contenu des packages avec le commutateur /verbose. Une fois cette tche effectue, vous pouvez ajouter des packages laide de la commande peimg /install. Vous pouvez galement installer des pilotes avec la commande peimg /inf, condition de possder le fichier INF de celui-ci. Une fois les ajouts termins, il vous restera encore deux tapes suivre pour utiliser votre image. La premire consiste prparer limage avec la commande peimg /prep /f et la seconde, un peu plus complexe, ImageX / boot /compress maximum /capture, permettra de capturer limage. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Voici la procdure dans le dtail.
Lister les packages contenus dans Win PE

Les images contiennent un ensemble de packages activs ou non. Loutil peimg permet de voir les packages de limage. La commande offre la possibilit de dtailler ou non le contenu des packages en utilisant le commutateur /verbose derrire le commutateur /list. Pour lister les packages, saisissez la commande suivante : peimg c:\extractPE\Windows /list /verbose. Du rsultat de cette commande, il est important de retenir deux informations parmi les informations listes : le nom exact du package, par exemple WinPE-Scripting-Package, vous servira pour la syntaxe dinstallation ; les signes + et vous permettront de dterminer les packages installs. Le signe + indique un package install, le signe un package non install.
Ajouter un package
Une fois les packages lists, il vous faut installer les packages non installs. Si vous souhaitez utiliser des applications HTML, il vous faudra ajouter le package HTA (HTML Applications). Pour cela, utilisez la commande peimg avec le commutateur 242
Windows PE 2.0
/install suivi du signe = et du nom exact du package list prcdemment. Pour installer le package HTA, saisissez la commande suivante : C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\Windows /install=WinPE-HTA-Package Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Lang | Version | Ins | Name ------+-------------+-----+----------------------------------en-US |6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------|6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------Installed 2 packages. PEIMG completed the operation successfully.
Faites de mme pour les autres packages.
Ajouter des pilotes

Win PE offre galement une certaine flexibilit. En effet, si Windows Vista inclut les pilotes pour votre matriel informatique, le matriel fonctionnera probablement aussi avec Win PE car ce dernier inclut la plupart des pilotes Windows Vista. Vous pouvez galement ajouter de nouveaux pilotes. Pour raliser cette tche, vous devez disposer du pilote et de son fichier .inf. Pour installer vos pilotes, utilisez la commande peimg /inf :
C:\Program Files\Windows AIK\Tools\x86>peimg /inf:c:\drivers\lan\yukon.inf c:\extractpe\windows Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Installing INF package: c:\drivers\lan\yukon.inf PEIMG completed the operation successfully. C:\Program Files\Windows AIK\Tools\x86>
Win PE dans les environnements dentreprise Vous pouvez ajouter chaque pilote requis par nimporte quel ordinateur de votre organisation une image Windows PE unique, de sorte que limage fonctionne avec nimporte lequel de vos ordinateurs.
Chapitre 6
Prparer limage
Il existe deux modes dimages Win PE : un mode non prpar, qui permet lajout de packages et pilotes et un mode prpar permettant doptimiser votre version de Win PE une fois celle-ci personnalise. Le passage dun mode lautre ne se fait pas automatiquement, il faut utiliser la commande peimg /prep :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\windows /PREP Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. [==========================100.0%==========================] PEIMG completed the operation successfully. C:\Program Files\Windows AIK\Tools\x86>
Crer un CD Win PE personnalis

Vous allez maintenant crer votre CD Win PE 2.0 qui vous suivra dans vos dplacements dadministrateur : 1. Remplacez le fichier Boot.wim par dfaut dans le rpertoire C:\extractPE\ISO\Sources de cration de limage Win PE par votre nouvelle image prpare. Limage doit tre ensuite renomme en Boot.wim. 2. Vous disposez maintenant dune image de disque virtuel de Windows PE personnalise que vous pouvez placer sur un support de dmarrage comme un CD. Sur votre ordinateur de prinstallation, lInvite de commandes, crez un fichier .iso au moyen de la commande Oscdimg. Tapez : oscdimg n bc:\extractPE \boot\etfsboot.com c:\extractPE\ c:\winpeISO\winpeISO.iso. 3. Gravez limage WinpeISO.iso sur un CD.
Crer une cl USB Win PE personnalise

Plus moderne : au lieu de graver limage sur CD, vous pouvez la copier sur une cl USB et en faire une cl USB de dpannage fort utile et bootable ( condition que le BIOS de lordinateur sur lequel vous utilisez la cl permette le dmarrage sur cl USB). Pour cela : 1. Remplacez le fichier Boot.wim par dfaut dans le rpertoire de cration de limage Win PE par votre nouvelle image prpare. Limage doit tre ensuite renomme en Boot.wim. 2. Insrez votre cl USB. Si ce nest dj fait, formatez-la en FAT32 et dclarez la partition comme active. 3. Copiez le contenu du rpertoire C:\extractPE\ISO sur la cl USB.
244
Windows PE 2.0
Configuration de la cl USB La cl USB doit tre formate en FAT32 et surtout la partition de cette cl doit tre marque comme active. Sans quoi, le dmarrage ne seffectuera pas.
Repackager limage
Une fois votre Win PE prpar, il ne reste plus qu remettre limage au format WIM et la rendre bootable. Pour raliser cette tche, utilisez la commande ImageX avec les connecteurs / boot si vous souhaitez rendre limage bootable, /compress maximum pour optimiser limage, suivi du connecteur /capture pour capturer limage.
C:\Program Files\Windows AIK\Tools\x86>ImageX /boot /compress maximum /capture "c:\extractPE" "c:\lab-winPE\WINPE LAB.wim" W inpeLab" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Progress: 100% Successfully imaged c:\extractPE
Win PE doit tre le plus petit possible, afin de pouvoir tre stock sur un support amovible tel quun CD ou une cl USB, tre dmarr rapidement et tre stock intgralement dans la mmoire de lordinateur. La taille de Windows PE varie en fonction de la faon dont vous personnalisez limage, mais il consomme gnralement moins de 100 Mo lorsquil est compress au format WIM. Les versions 64 bits de Win PE sont plus volumineuses, et la personnalisation de limage Win PE avec des packs de langues ou des applications fait augmenter la taille. Pour rduire lutilisation de la mmoire, Win PE peut sexcuter partir dune image compresse. Vous pouvez compresser Win PE dans un fichier WIM et lexcuter partir de la mmoire sans le dcompresser. Vous tirez parti de la compression la fois lors du stockage de limage sur un disque et aprs son chargement dans la mmoire de lordinateur. Pour rduire le stockage sur disque, le format WIM stocke une seule instance des fichiers dupliqus. Par consquent, si vous disposez dun fichier WIM avec deux images Win PE, les fichiers partags par les deux images sont stocks une seule fois. Voici linterface Windows PE que vous avez lcran lorsque vous dmarrez sur votre mdia personnalis :
245
Chapitre 6
Figure 6.22 : Interface Windows PE
Windows PE contribue rendre votre infrastructure informatique efficace et fiable. Microsoft vous offre cet outil lger, puissant et flexible pour linstallation, la configuration et le dpannage. Vous allez pouvoir crer vos propres mdias personnaliss et mme utiliser Windows PE pour dautres outils dadministration de Windows Vista. En ce qui concerne le dploiement, Windows PE est la brique de base de linstallation car cest la plateforme qui va vous permettre de manipuler limage wim : la capturer ou lappliquer.
6.8.
En rsum
Vous venez dtudier les outils trs importants de prparation au dploiement. Le chapitre suivant est la deuxime partie du dploiement de Windows Vista ; vous allez y aborder la manire deffectuer ce dploiement.
246
Chapitre 7

7.1 7.2 7.3 7.4 7.5 Capturer une image avec ImageX . Appliquer une image avec ImageX Personnaliser limage . . . . . . . . La maintenance de limage . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 . 265 . 267 . 283 . 299
Capturer une image avec ImageX
A
7.1.
u chapitre prcdent, vous avez appris la technologie autour du dploiement des ordinateurs Windows Vista en entreprise et vous avez prpar le dploiement (utilisation de Sysprep et de Win PE). Maintenant, crez, appliquez, personnalisez et maintenez les images Windows Vista pour un dploiement efficace.
Cest une des nouveauts majeures de Windows Vista : lapparition dun format dimage disque pour linstallation et le dploiement. Le format WIM va changer nos habitudes en ce qui concerne linstallation et le dploiement. Cest la commande ImageX qui permet de manipuler les fichiers WIM (les capturer, les appliquer, les maintenir, etc.). Une fois que vous avez cr votre installation de rfrence sur un ordinateur de test, excut la commande Sysprep, redmarr votre ordinateur sous Windows PE 2.0, vous tes fin prt pour capturer limage qui vous servira de rfrence dans votre processus de dploiement.
Prsentation dImageX
ImageX est un outil de ligne de commande ( lancienne !) qui permet aux entreprises de capturer, de modifier et dappliquer des images disques de fichiers pour raliser des dploiements rapides. Loutil ImageX fonctionne avec des fichiers image systme Windows WIM pour la copie vers un rseau, mais il peut utiliser dautres technologies qui exploitent les images .wim, comme linstallation de Windows, les services de dploiement Windows et le Feature Pack de dploiement de systme dexploitation pour SMS.
Les avantages de loutil ImageX

Les limites de lacquisition dimages bases sur les secteurs (tel Ghost) ont conduit Microsoft dvelopper la technologie ImageX et le format de fichier associ : image systme Windows (.wim). Vous pouvez utiliser ImageX pour crer une image, la modifier sans lextraire ni la recrer, et la dployer dans votre environnement sans changer doutil. La technologie ImageX intervient au niveau du fichier et offre, par consquent, de multiples possibilits
j
La possibilit de travailler sur nimporte quelle plateforme matrielle prise en charge par Windows : rien que cet argument devrait suffire convaincre. Cela veut dire que, peu importe la plateforme matrielle utilise par lordinateur de test, limage capture servira pour tous les ordinateurs de lentreprise. Lapplication dimages non destructive : ImageX ne procde aucun remplacement global du contenu de votre lecteur. Vous pouvez slectionner les informations ajouter ou supprimer. Limage sappliquera mme sur une partition sur laquelle des donnes sont prsentes (on pense aux cas de la rinstallation) ; lorsque vous 249
Chapitre 7
capturerez une image, vous pourrez la fois capturer limage dune partition et gnrer le fichier WIM associ sur cette mme partition.
j j
La possibilit dinclure des images dans une seule et mme image. Une taille dimage rduite en raison de linstanciation unique : cela signifie un stockage distinct pour les donnes du fichier et les informations du chemin daccs. Cette particularit permet aux fichiers prsents dans plusieurs chemins daccs ou plusieurs images dtre stocks une seule fois tout en tant partags entre les images. La possibilit de traiter un fichier image comme un rpertoire : vous pouvez ainsi ajouter, copier, coller et supprimer des fichiers en utilisant un outil de gestion de fichiers tel que lExplorateur Windows. Vous pouvez travailler et maintenir limage froid (hors connexion). Plus de flexibilit et un contrle accru sur le support dploy. Lextraction rapide dimages pour raccourcir le temps dinstallation. Deux algorithmes de compression diffrents, Rapide et Maximum, pour diminuer davantage la taille de vos images.
j j j
Nombreux sont les assembleurs et les entreprises qui ont besoin de dployer et dinstaller Windows en un temps record tout en intgrant les applications, paramtres et mises jour voulues. Le raccourcissement du temps dinstallation et de dploiement abaisse les cots de production et peut diminuer le cot et les risques de planification des dploiements raliss par les entreprises. Des tudes ont montr que plus la technique de dploiement dun systme dexploitation tait souple et performante et plus le taux dadoption du systme dexploitation par les entreprises tait lev. Auparavant, les entreprises qui devaient rduire au minimum la dure de leur installation de Windows utilisaient les outils tiers dacquisition dimages fonde sur les secteurs (les plus connus tant Symantec Ghost et Acronis True Image) pour dupliquer une installation de Windows sur un nouveau matriel informatique. Les outils dacquisition dimages de secteurs prsentent certaines limites :
j
Lacquisition dimages fonde sur les secteurs implique que lordinateur de destination utilise la mme couche dabstraction matrielle, ou couche HAL (Hardware Abstraction Layer), que lordinateur de test sur lequel limage a t capture. Dans la plupart des cas, cela signifie que les modles dordinateurs doivent tre les mmes ! Ce qui vous oblige avoir et maintenir, par exemple, une image pour les ordinateurs HP, une pour les Dell, une pour les IBM, etc., et mme une image diffrente pour les ordinateurs HP et une autre pour les portables HP Elle suppose que lordinateur de destination dmarre partir du mme contrleur de stockage de masse que lordinateur de test sur lequel limage a t capture. Elle dtruit le contenu existant sur le disque dur de lordinateur de destination, ce qui complique les scnarios de dploiement de Windows. Lopration est destructive.
j j
250
Elle duplique scrupuleusement le disque dur, ce qui implique un dploiement de limage uniquement sur des partitions du mme type, et de taille minimale identique, que celles de lordinateur matre. Elle ne permet pas la modification directe des fichiers mis en image. Elle peut ncessiter lachat dapplications et de services tiers.
j j
La puissance et la souplesse du tandem ImageX et WIM permettent de passer outre ces limitations.
Les scnarios ImageX

ImageX est un outil de ligne de commande qui permet la cration, la modification et le dploiement dimages en utilisant un format dacquisition dimages partag entre diffrentes images de systmes dexploitation qui incluent des applications. Les scnarios suivants sont ceux qui sont naturellement mis en avant pour lutilisation dImageX
j
La cration dune image pour un dploiement rapide : le scnario le plus courant qui est excut par ImageX est la capture et lapplication dune image partir dun emplacement rseau pour raliser un dploiement rapide. Ce scnario implique le dmarrage de lordinateur de test dans Windows PE, la capture de limage avec ImageX, la mise en place de cette image sur un partage rseau et lapplication de cette image sur les ordinateurs de destination. Cest ce que nous dveloppons dans les chapitres. La modification dun fichier image : un autre scnario dImageX classique consiste personnaliser une image existante en englobant les fichiers et les dossiers de mises jour. Ce scnario passe par lajout, la suppression, la modification et la copie de fichiers partir de votre image grce au pilote WIM FS Filter (Windows Imaging File System Filter) et un outil de gestion de fichiers comme lExplorateur Windows.
Les limites dImageX

ImageX prsente tout de mme des limites que vous devez connatre :
j
Vous pouvez utiliser ImageX uniquement pour capturer et appliquer une version complte du systme dexploitation et des applications logicielles. Vous ne pouvez pas utiliser cet outil pour capturer et appliquer des mises niveau vers un systme dexploitation ou pour des applications. Vous pouvez utiliser uniquement des fichiers .wim pour interagir avec ImageX. Les images prcdentes, cres avec des outils dacquisition dimages tiers, sont inutilisables avec la technologie ImageX. Seul un type de compression unique peut tre utilis pour un fichier .wim. Les fichiers image ajouts doivent utiliser le mme type de compression que la capture initiale.
251
Chapitre 7
Vous pouvez monter une image uniquement partir de Microsoft Windows XP SP2, Microsoft Windows Server 2003 SP1 ou Windows Vista. Les systmes dexploitation concerns par ImageX Mme si loutil ImageX ne peut pas monter dimages partir dordinateurs excutant dautres systmes dexploitation, il peut nanmoins capturer et appliquer des images pour toute version de Windows Vista, Windows Server 2003, Windows XP et Windows 2000 Professionnel.
Il est possible de monter un fichier .wim dot dautorisations de lecture/criture uniquement sur un systme de fichiers NTFS. La limite des 2 Go impose par les systmes de fichiers FAT est ainsi contourne, et la perte ventuelle de donnes due aux systmes de fichiers FAT ou non NTFS est vite. Utilisation dImageX selon le format de fichier Mme si loutil ImageX ne peut monter un fichier .wim avec des autorisations de lecture/criture qu partir dun systme de fichiers NTFS, vous pouvez malgr tout monter vos images en lecture seule partir des systmes de fichiers NTFS, FAT, ISO et UDF. Il est impossible denregistrer les modifications apportes au fichier image lorsquil est mont en lecture seule.
ImageX et le format dimage .wim ne doivent pas tre utiliss en conjonction pour se substituer aux outils de sauvegarde/restauration de Windows Vista.
Dautres outils de Windows sont indispensables, par exemple Diskpart ou loutil de formatage, pour prparer les disques afin de constituer des images de volumes. Outils quil vaut mieux intgrer directement dans une version personnalise de Windows PE.
Larchitecture dImageX
ImageX est un outil dacquisition dimages construit partir dun ensemble dAPI, appel API dacquisition dimages systme pour Windows. La principale utilit dImageX est de capturer, de modifier et dappliquer des images en vue de leur dploiement dans un environnement informatique dentreprise ou de fabrication. ImageX prend en charge le nouveau format dacquisition dimages de Windows Vista : le format .wim. ImageX repose sur diffrents composants, notamment sur lexcutable ImageX (ImageX.exe), sur le filtre du systme de fichiers WIM (Wimfltr.sys et Wimfltr.inf), sur lensemble dAPI WIM et sur le format de fichier .wim.
252
Voici un schma reprsentant les interactions :
Figure 7.1 : Schmatisation de larchitecture ImageX
Le tableau suivant dcrit plus prcisment larchitecture dImageX :

Tableau 7.1 : Description de larchitecture dImageX
Composant ImageX.exe Description Programme excutable qui utilise une couche API pour prendre en charge linteraction avec le fichier .wim. Cette interaction comprend la capture de limage, la compression de limage, le montage et le dmontage de limage, lapplication de limage, etc. Aprs installation du pilote du filtre WIM FS, le filtre du systme de fichiers WIM gre les fonctions de navigation et de modification pour le fichier .wim. Une fois que vous avez mont un fichier .wim dans un rpertoire, le filtre surveille toutes les demandes de fichiers ou de donnes provenant du systme de fichiers et mappe les demandes aux donnes appropries dans le fichier .wim. Cela vous permet de visualiser le contenu de votre fichier image dans nimporte quel outil de gestion de fichiers standard, tel que lExplorateur Windows. La maintenance hors connexion de votre image vous permet de visualiser et de modifier vos fichiers .wim sans avoir rappliquer et recapturer limage. Pour monter et modifier le contenu de votre fichier .wim, un outil en mode utilisateur et un filtre de systme de fichiers en mode noyau interagissent laide dun protocole de communication et de lensemble dAPI WIM.
Filtre du systme de fichiers WIM
253
Chapitre 7
Composant Ensemble dAPI WIM
Description Couche API qui interagit la fois avec le programme excutable ImageX et avec le pilote du filtre WIM FS. Cest aussi linterface principale pour les outils tiers et la technologie dinstallation. Les API peuvent tre classes selon les fonctions suivantes : - ajouter, mettre jour et supprimer des donnes de fichier ; - ajouter, mettre jour et supprimer des donnes dimage ; - extraire des donnes dimage ; - monter une image laide du filtre du systme de fichiers WIM ; - grer le fractionnement dimages ; - surveiller le statut et la progression de la messagerie. Une collection de fichiers image qui contient un systme dexploitation et ses composants. ImageX utilise le format de fichier .wim pour la capture, la maintenance hors connexion et le processus de dploiement. ImageX offre ainsi une solution dacquisition dimages complte pour vos scnarios de dploiement.
Fichier dacquisition dimages de Windows (.wim)
La commande ImageX
ImageX est un outil de ligne de commande de Windows Vista que vous pouvez utiliser pour crer et grer des fichiers dimage Windows. Un fichier .wim contient une ou plusieurs images de volumes, des volumes de disques contenant des images dun systme dexploitation Windows install. Pour modifier vos images de volumes, vous devez installer le pilote de filtre systme de fichier dimage Windows (filtre WIM FS) sur un ordinateur excutant Windows XP SP2, Windows Server 2003 SP1 ou Windows Vista. Linstallation du pilote de filtre WIM FS vous permet de monter un fichier .wim comme sil sagissait dun rpertoire et de rechercher, copier, coller et diter les images de volumes depuis un outil de gestion de fichiers comme lExplorateur Windows, sans extraire ou sans recrer limage. La commande ImageX comprend un certain nombre de commutateurs qui ont leur propre rle dans les diffrentes phases de manipulation dune image WIM.
IMAGEX
Permet de manipuler les images WIM laide de nombreux commutateurs.
Syntaxe :
imagex [indicateurs] {/append | /apply | /capture | /delete | /dir | /export | /info | /split | /mount | /mountrw | /unmount} [paramtres] Ajoute une image de volume un fichier image Windows .wim existant.
/append
254
/apply /capture /delete /dir /export /info /mount /mountrw /split /unmount
Applique une image de volume un disque spcifi. Capture une image de volume issue dun disque dans un nouveau fichier .wim. Supprime limage de volume spcifie dun fichier .wim comportant plusieurs images de volumes. Affiche une liste des fichiers et des dossiers contenus dans limage de volume spcifie. Exporte une copie du fichier .wim spcifi vers un autre fichier .wim. Renvoie les descriptions XML enregistres pour le fichier .wim spcifi. Monte un fichier .wim avec droit de lecture seule vers un rpertoire spcifi. Monte un fichier .wim avec droit de lecture/criture vers un rpertoire spcifi. Divise un fichier .wim existant en plusieurs fichiers .wim diviss .swm en lecture seule. Dmonte limage monte dun rpertoire spcifi.
Dtaillons maintenant chaque commutateur un par un.
La commande Imagex /apply

IMAGEX /APPLY
Applique une image de volume un disque spcifi.
Syntaxe :
Fichier_image numro_image nom_image
imagex /apply [fichier_image numro_image | nom_image chemin_image] {/check | /ref | /scroll | /verify} Le nom et la situation de limage de volume applique au rpertoire. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui identifie limage dans le fichier .wim.
255
Chapitre 7
chemin_image /check
Le chemin du fichier o limage sera applique. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
/ref splitwim.swm Active la rfrence des fichiers .wim diviss (SWM). splitwim.swm est le nom et la situation des fichiers diviss supplmentaires. Les caractres gnriques sont accepts. /scroll /verify Droule la liste des rpertoires pour rediriger le fichier rsultant de lopration. Active la vrification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.
Vous devez crer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous excutez cette option laide dun script. Si vous utilisez loption /apply pour une structure de rpertoire, cette option inclura le rpertoire spcifi, y compris tous les sous-rpertoires et tous les fichiers. Vous devez inclure le rpertoire parent pour loption /apply. Sinon, lorsque limage sera applique, elle remplacera tout ce qui se trouve cet endroit. Par exemple, si vous appliquez limage au disque C, loption /apply remplacera tout ce qui se trouve sur le disque C par vos fichiers image. Pour automatiser la cration dun rpertoire, vous devez ajouter la commande mkdir
nom_rpertoire votre script avant dexcuter imagex /apply.
Par exemple : imagex /apply e:\images\puzzmaniainstall.wim 1 c: /verify. La numrotation de limage est importante dans lapplication dune image. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
Figure 7.2 : imagex /apply
256
La commande Imagex /capture
IMAGEX /CAPTURE
Capture une image de volume issue dun disque dans un nouveau fichier .wim. Les rpertoires capturs comprennent tous les sous-dossiers et toutes les donnes. Vous ne pouvez capturer un rpertoire vide. Un rpertoire doit contenir au moins un fichier.
Syntaxe :
imagex /capture chemin_image fichier_image "nom" {"description"} {/boot | /check | /compress [type] | /config | /flags "IDdition" | /scroll | /verify} Le nom et la situation de limage du volume pour la capture. Le nom et la situation du nouveau fichier .wim. Le nom du nouveau fichier .wim. Cette valeur est obligatoire. Les guillemets dactylographiques sont obligatoires. Texte constituant des informations de rfrence supplmentaires. Cette valeur est facultative. Les guillemets dactylographiques sont obligatoires. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
chemin_image fichier_image "nom" "description"
/boot
/check
/compress [maximum | rapide | aucune] Spcifie le type de compression utilise pour lopration de capture initiale. Loption maximum propose la meilleure compression mais le temps de capture de limage est le plus long. Loption rapide propose une compression dimage plus rapide mais les fichiers rsultants ont une taille plus importante que ceux compresss avec loption maximum. Cest galement le type de compression par dfaut, utilis si vous laissez ce paramtre vide. Loption aucune ne compresse pas du tout limage capture. /config fichier _configuration.ini Le nom et la situation du fichier de configuration. Vous pouvez renommer ce fichier comme vous le souhaitez.
257
Chapitre 7
/flags "IDdition" Spcifie la version de Windows capturer. La valeur de /flags est obligatoire si vous redployez un fichier Install.wim personnalis avec le programme dinstallation de Windows. Les guillemets dactylographiques sont obligatoires. Cet indicateur nest pas ncessaire si vous dployez limage laide dImageX. Les valeurs valides de lattribut IDdition sont les suivantes : HomeBasic, HomePremium, Starter, Ultimate, Business, Enterprise, ServerDatacenter, ServerEnterprise, ServerStandard. /scroll /verify Droule la liste des rpertoires pour rediriger le fichier rsultant de lopration. Active la vrification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.
ImageX ne prend pas en charge les attributs tendus. ImageX ignore les attributs tendus au cours dune opration de capture. Pendant lopration de capture, la compression rapide est automatiquement applique. Si vous dsirez un type de compression diffrent, utilisez loption /compress. Alors que le type de compression que vous choisissez affecte le temps de capture, il naffecte que lgrement le temps dapplication. Si vous renommez votre fichier Liste_configuration.ini en Wimscript.ini et si vous lenregistrez dans votre rpertoire ImageX (o est situ le fichier ImageX.exe), il sera excut automatiquement lorsque vous excutez loption /capture, sans vous demander dutiliser loption /config. Loption /verify affectera le temps de capture global. Pendant lopration de capture, la barre de progression indique seulement ltat de lopration de capture et non celui de la vrification. Lorsque la capture est termine, le processus de vrification commence. Ce processus prend du temps mme si la barre de progression affiche 100 %. Loption de compression maximum compresse environ 40 % la taille de limage, ce qui est dans le standard lev des outils tiers actuels du march. Par exemple : imagex /capture c: c:\images\puzzmaniainstall.wim /verify.
Figure 7.3 : imagex /capture
La commande ImageX /info

IMAGEX /INFO
Renvoie les descriptions XML enregistres pour le fichier .wim spcifi, incluant mais sans limitation la taille totale du fichier, le numro dindice dimage, le nombre de rpertoires, le nombre de fichiers et une description.
Syntaxe :
fichier_image numro_image nom_image nouveau_nom
imagex /info fichier_img [numro_img | nom_img] [nouveau_nom] [nouvelle_desc] {/boot | /check} Le nom et la situation du fichier .wim pour rvision des donnes XML. Le numro qui identifie une image dans le fichier .wim. Le nom qui identifie une image dans le fichier .wim. Le nouveau nom unique de limage spcifie.
259
Chapitre 7
nouvelle_desc /boot
La nouvelle description de limage spcifie. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
/check
Par exemple : imagex /info c:\images\puzzmaniainstall.wim. Cette commande est trs utile pour connatre le contenu dune image et savoir par exemple si limage contient dautres images WIM.
Figure 7.4 : imagex /info
La commande ImageX /mountrw
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista avec droit de lecture/criture vers un rpertoire spcifi. Une fois que le fichier est mont, vous pouvez voir et modifier toutes les informations contenues dans le rpertoire.
260
Syntaxe :
fichier_image numro_image nom_image chemin_image /check
imagex /mountrw [fichier_image numro_image | nom_image chemin_image] {/check} Le chemin du fichier .wim contenant limage spcifie. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui rfrence limage dans le fichier .wim. Le chemin du fichier o limage spcifie sera monte. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Vous devez installer le filtre WIM FS avant de pouvoir monter une image. Loption /mountrw exige un accs exclusif au fichier .wim. Par consquent, vous ne pouvez pas utiliser loption /mountrw si une image est dj monte laide de loption /mount ou de loption /mountrw. Vous ne devez pas monter une image vers le rpertoire parent ou les sous-rpertoires dun rpertoire dj mont. Lors du montage dune image vers un rpertoire contenant des fichiers, les fichiers existants seront cachs jusqu ce vous excutiez loption /unmount. De plus, vous ne devez pas monter votre image dans les dossiers rservs Windows. Par exemple : imagex /mountrw c:\images\puzzmaniainstall.wim 1 c:\mount.
Figure 7.5 : imagex /mountrw
261
Chapitre 7
La commande ImageX /split
IMAGEX /SPLIT
Divise un fichier .wim existant en plusieurs fichiers .wim, diviss en .swm en lecture seule.
Syntaxe :
fichier_image dest_fichier Taille /check
imagex /split fichier_image dest_fichiers taille {/check} Le nom et la situation du fichier .wim diviser. Le chemin des fichiers diviss. La taille maximale en mgaoctets (Mo) de chaque fichier cr. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Cette commande cre des fichiers .swm dans le rpertoire spcifi, nommant chaque fichier par le nom spcifi dans fichier_image, mais en ajoutant un numro et avec lextension .swm. Par exemple, si vous choisissez de diviser un fichier nomm Data.wim, cette option crera les fichiers Data.swm, Data2.swm, Data3.swm, etc., dfinissant chaque portion du fichier .wim divis. Par exemple : imagex /split c:\images\newvista.wim 600.
Figure 7.6 : imagex /split
262
La commande Imagex /unmount
IMAGEX /UNMOUNT
Dmonte limage monte dun rpertoire spcifi.
Syntaxe :
chemin_image
imagex /unmount chemin_image {/commit} Le chemin complet du rpertoire pour dmonter les fichiers. Si vous ne spcifiez pas de rpertoire, cette option dressera la liste de toutes les images montes.
Vrifiez que vous disposez dun espace disque suffisant pour ajouter les fichiers de votre image. Vous devez compter la taille des fichiers que vous ajoutez au fichier .wim, plus toute augmentation de taille due la modification des fichiers existants, moins les fichiers que vous avez supprims, avant dexcuter loption /commit. Si lespace disque est insuffisant, une erreur se produira. Si vous utilisez loption /unmount sans loption /commit, vos modifications seront rejetes. Afin de pouvoir enregistrer vos modifications, vous devez monter limage en utilisant loption /mountrw et utiliser loption /commit lors du dmontage de limage ; par exemple : imagex /unmount /commit c:\mount.
Figure 7.7 : imagex /unmount
Capturer une image

Reprenons le scnario de cration dimage du chapitre prcdent : 1. partir dun ordinateur de test, vous avez cr une image de rfrence contenant Windows Vista, des configurations particulires et des applications installes. 263
Chapitre 7
2. Vous vous tes assur que le comportement du poste de travail tait tout fait stable. 3. Vous avez excut la commande Sysprep afin de prparer le systme la duplication. 4. Vous redmarrez lordinateur sur votre mdia personnalis Windows PE 2.0 sur lequel vous avez rajout la commande ImageX. 5. Vous allez maintenant utiliser la commande ImageX /capture afin de crer limage de rfrence. 6. Dans la fentre dInvite de commande Windows PE, tapez : imagex /compress maximum /capture c: c:\images\puzzmaniainstall.wim /verify. Limage de rfrence se cre. Loption de compression maximum compresse environ 40 % la taille de limage, ce qui est dans le standard haut des outils tiers actuels du march. Remarquez que vous capturez la partition C: mais que vous tes en train de crer cette image sur cette mme partition. Cest possible car ImageX est non destructif. Cest un des nombreux avantages de loutil. Tout de mme, ImageX /capture est destin capturer une image des fins de dploiement et non de sauvegarde de lordinateur. Une fois limage cre, vous pouvez redmarrer lordinateur en mode normal. Dans lutilisation des images WIM, la capture est dautant plus cruciale quil faut bien que vous gardiez lesprit que le but du jeu est de crer une et une seule image : un seul fichier qui puisse servir au dploiement de Windows Vista sur tous les ordinateurs de lentreprise. Voici quelques conseils de cration dimage : 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
j j j
Ayez toujours lesprit que vous crer une image pour quelle soit unique pour toute lentreprise. Matrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver une image unique.
Configurez soigneusement et scrupuleusement lordinateur de test, cest--dire la version de Windows Vista installe, les paramtres, les applications, le style, la scurit, les comptes utilisateurs, les accs, etc. Rcuprez et conservez sur le rseau ou sur un support amovible limage ainsi cre. Sauvegardez cette image.
264
Appliquer une image avec ImageX
7.2.
Appliquer une image avec ImageX
Aprs avoir captur votre image de rfrence, il sera temps pour vous de lintgrer dans votre processus de dploiement de postes de travail Windows Vista. Par la suite, Vous pourrez utiliser WDS comme outil de dploiement, par exemple. Mais vous serez peut-tre amen dployer uniquement avec les outils livrs avec Windows Vista. Pour cela vous allez utiliser le tandem Windows PE 2.0 et ImageX pour appliquer une image WIM un ordinateur. Vous le ferez peut-tre en conjonction dun fichier Autounattend.xml par exemple. Dans ce chapitre, vous allez dcouvrir le droulement de lapplication manuelle dune image WIM sur un ordinateur laide de Windows PE et ImageX et vous comprendrez mieux le mcanisme dinstallation par image. Ce chapitre vous dtaille un scnario dutilisation de bout en bout de la commande ImageX.
La commande Imagex /apply

Reprenons notre scnario de cration dimage : 1. partir dun ordinateur de test, vous avez cr une image de rfrence contenant Windows Vista, des configurations particulires et des applications installes. 2. Vous vous tes assur que le comportement du poste de travail tait tout fait stable. 3. Vous avez excut la commande Sysprep afin de prparer le systme la duplication. 4. Vous redmarrez lordinateur sur votre mdia personnalis Windows PE 2.0 sur lequel vous avez rajout la commande ImageX. 5. Vous avez maintenant utilis la commande ImageX /capture afin de crer limage de rfrence que vous avez sauvegarde. Maintenant partons du scnario suivant : vous devez dployer une image sur un poste de travail. 1. Vous dmarrez cet ordinateur partir de votre mdia personnalis Windows PE 2.0 sur lequel vous avez rajout la commande ImageX. 2. Assurez-vous que la configuration du disque dur de lordinateur est correcte. Utilisez Diskpart.exe le cas chant pour crer la partition dinstallation, la formater en NTFS, lui affecter une lettre de lecteur (la mme que celle qui a t capture avec limage, soit par dfaut C:) et lactiver. Voici un exemple des commandes passer partir de Diskpart.exe :
265
Chapitre 7
diskpart select disk 0 create partition primary size=<taille souhaite> select partition 0 active format fs=ntfs label="Systme" quick assign letter=c exit
3. Assurez-vous que vous accdez correctement votre image (qui se trouve soit sur un mdia amovible, soit sur le rseau). 4. Vous allez maintenant utiliser la commande ImageX /apply pour appliquer limage sur la station de travail. Vous devez crer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous excutez cette option laide dun script. Si vous utilisez loption /apply pour une structure de rpertoire, cette option inclura le rpertoire spcifi, y compris tous les sous-rpertoires et tous les fichiers. 5. Dans la fentre dInvite de commandes Windows PE, tapez la ligne suivante : imagex /apply e:\puzzmaniainstall.wim 1 c: /verify. Le processus est lanc. Votre image sinstalle. Comptez une dure dapplication de 11 ou 12 minutes avec une image standard de Windows Vista. Ce qui est intressant, cest de constater quune image personnalise, incluant par exemple le pack Office 2007, ne prend quune minute de plus pour tre applique. 6. Une fois le processus termin, redmarrez lordinateur. Vous entrez alors en mode daccueil de premier dmarrage de Windows Vista (finalisation de linstallation), qui peut tre contrl et automatis par lajout des fichiers Unattend.xml et/ou Oobe.xml. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 Voici quelques conseils pour lapplication dimage :
j j j j
Essayez, dans la mesure du possible, dappliquer la mme image Windows sur tous les postes pour garder une cohrence et une efficacit de dploiement Matrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver au but recherch.
Configurez correctement le disque dur de lordinateur de destination laide de Diskpart.exe si vous utilisez Windows PE ou laide dun fichier Autounattend.xml. Avant de vous lancer, testez soigneusement et scrupuleusement lapplication de limage sur un ordinateur de test et validez lusage de limage (la version de Windows Vista installe, les paramtres, les applications, le look, la scurit, les comptes utilisateurs, les accs, etc.).
266
Personnaliser limage
7.3.
Vous avez la possibilit de personnaliser limage que vous avez capture afin de lui donner une identit dentreprise plus marque. Vous avez la possibilit de personnaliser les crans daccueil de premier dmarrage de Windows Vista, lAccueil Windows et labonnement auprs dun fournisseur de services Internet en les configurant aux couleurs de votre entreprise. De ce fait, Windows Vista vous permet, en tant que membre dun service informatique, dapporter une proximit supplmentaire entre lutilisateur et son service informatique.
Le chier Oobe.xml
Oobe.xml (prononcez "oubi") est un fichier qui sert collecter du texte et des images pour personnaliser les crans daccueil de premier dmarrage de Windows Vista, lAccueil Windows et labonnement auprs dun fournisseur de services Internet. Pour crer une image systme de Windows unique comprenant plusieurs langues et destine tre livre dans plusieurs pays, vous pouvez ajouter diffrents fichiers Oobe.xml afin de personnaliser le contenu en fonction des slections de langue et de pays ou de rgion du client. Oobe.xml est un fichier de contenu qui peut tre utilis en liaison avec Unattend.xml pour recevoir et dployer des personnalisations dentreprises pour les crans daccueil de premier dmarrage de Windows (utile pour les constructeurs et assembleurs), pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet. Le fichier Oobe.xml offre les avantages suivants :
j
un seul fichier pour recevoir les documentations et les ressources daccompagnement de personnalisation pour les crans daccueil de personnalisation de Windows Vista ; un espace de stockage pour les fichiers et les informations concernant les valeurs par dfaut des paramtres internationaux ; un espace de stockage pour des offres spcifiques une langue lintention des utilisateurs ; un espace de stockage pour les choix darrire-plan de Bureau des utilisateurs ; un espace de stockage pour les termes du contrat de licence logiciel Microsoft et vos termes du contrat de licence avec les utilisateurs.
j j j j
Le fichier Oobe.xml est gnralement utilis dans les scnarios suivants :

j
En liaison avec Unattend.xml, il permet de dfinir des valeurs par dfaut dentreprise pour les crans daccueil de premier dmarrage de Windows, pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet.
267
Chapitre 7
Sans Unattend.xml, il permet de dfinir des valeurs par dfaut dentreprise pour les crans daccueil de Windows, pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet.
Bien que le fichier Oobe.xml puisse contenir toutes les informations dont vous avez besoin pour personnaliser les crans daccueil de Windows, vous pouvez utiliser les paramtres Unattend.xml pour dfinir si et comment lutilisateur final pourra choisir les options rgionales. De plus, vous pouvez utiliser les paramtres Unattend.xml pour montrer ou masquer diffrentes pages des fins de test. Voici les composants avec les paramtres Unattend.xml qui peuvent servir manipuler des pages dcrans daccueil de premier dmarrage de Windows :
j j j
Microsoft-Windows-Setup ; Microsoft-Windows-Shell-Setup ; Microsoft-Windows-International-Core.
Faisons une correspondance entre les pages dcrans daccueil de premier dmarrage Windows Vista, les paramtres Unattend.xml et les rsultats affichs.
Tableau 7.2 : Correspondance entre les pages dcrans daccueil de premier dmarrage
Windows Vista, les paramtres Unattend.xml et les rsultats affichs

Pages des crans daccueil de premier dmarrage de Windows Paramtres rgionaux Paramtres Unattend.xml Rsultats
MicrosoftWindowsInternational Core | UILanguage MicrosoftWindowsInternational Core | InputLocale MicrosoftWindowsInternational Core | SystemLocale MicrosoftWindowsInternational Core | UILanguageFallback MicrosoftWindowsInternational Core | UserLocale
Si ces quatre paramtres sont dfinis, cette page est ignore. Si des paramtres individuels sont dfinis, les champs napparaissent pas sur cette page.
Termes du contrat de licence
MicrosoftWindowsShellSetup Si ce paramtre est dfini, la page sera | OOBE | HideEULAPage ignore. Il est suppos que ladministrateur dentreprise accepte les termes du contrat de licence logiciel Microsoft pour les utilisateurs. MicrosoftWindowsSetup | UserData | ProductKey | Key MicrosoftWindowsSetup | UserData | ProductKey | WillShowUI Si Windows dtecte une installation de version commerciale dans laquelle lutilisateur a dj entr une cl, une installation de licence multiple ou une cl de produit valide dans Unattend.xml, cette page ne sera pas affiche.
Cl de produit
268
Pages des crans daccueil de premier dmarrage de Windows Nom dutilisateur
Paramtres Unattend.xml
Rsultats
MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Description MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | DisplayName MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Group MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Name MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Password | PlainText MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Password | Value
Si un compte dutilisateur a t cr avec ce paramtre, cette page ne sera pas affiche. Si cette page nest pas affiche, une fentre de lutilisateur sera automatiquement slectionne pour lutilisateur. Il ny a pas de paramtre Unattend.xml pour dfinir une fentre de lutilisateur.
Nom dordinateur
MicrosoftWindowsShellSetup Si le paramtre ComputerName a t | ComputerName dfini, cette page ne sera pas affiche. Cette page contrle aussi le choix du papier peint initial. Si cette page nest pas affiche, le premier papier peint du bureau Windows sera slectionn par dfaut. Ce paramtre peut tre dfini en spcifiant un thme dans Unattend.xml, mais ce paramtre ne dtermine pas si cette page est affiche ou non. MicrosoftWindowsShellSetup Si ce paramtre a t dfini, la page ne sera | OOBE | ProtectYourPC pas affiche et la valeur approprie sera dfinie. Les valeurs possibles sont : - 1 (recommandes) ; - 2 (seulement les mises jour dinstallation) ; - 3 (nactive aucune protection). Non applicable Si toutes les pages des autres crans daccueil de Windows sont ignores, cette page ne sera pas affiche.
Protgez votre PC
Page finale
Lorsquil est utilis exclusivement pour la personnalisation, les paramtres internationaux et les offres, Oobe.xml affiche toutes les pages dcrans daccueil de Windows, la page unique de lAccueil Windows et lAssistant pour labonnement auprs dun fournisseur de services Internet.
269
Chapitre 7
Le fonctionnement dOobe.xml
Laccueil de premier dmarrage de Windows, lAccueil Windows et les opportunits dabonnement au fournisseur daccs Internet qui occupent le contenu du fichier Oobe .xml vrifieront et chargeront ce fichier aux endroits suivants et dans cet ordre : 1. %WINDIR%\system32\oobe\info\oobe.xml. 2. %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. 3. %WINDIR%\system32\oobe\info\<pays>\<langue>\oobe.xml. Lorsque laccueil de premier dmarrage Windows trouve un nouveau fichier lun de ces endroits, il remplace toutes les informations trouves dans les fichiers Oobe.xml prcdents nud par nud. LAccueil Windows et les opportunits dabonnement au fournisseur daccs Internet neffectueront pas de remplacement nud par nud. Au lieu de cela, les informations trouves dans le nouveau fichier Oobe.xml remplaceront toutes les informations contenues dans les fichiers Oobe.xml prcdents. Lors dun dploiement dans une seule langue, lorsquil sexcute pour la premire fois, laccueil de premier dmarrage de Windows recherchera un fichier Oobe.xml lendroit suivant : %WINDIR%\system32\oobe\info\. Aprs la slection par lutilisateur dun pays ou dune rgion, laccueil de premier dmarrage de Windows recherchera une autre version du fichier Oobe.xml lendroit suivant : %WINDIR%\system32\oobe\info\<pays>. Si un dossier de pays correspondant au pays slectionn par le client est trouv, laccueil de premier dmarrage de Windows le charge et remplace les nuds du fichier Oobe.xml dorigine par ceux trouvs dans le fichier spcifique au pays. Si un tel dossier est trouv, laccueil de premier dmarrage de Windows chargera le fichier Oobe.xml de ce dossier et remplacera toutes les informations trouves dans les fichiers Oobe.xml antrieurs nud par nud. Laccueil de premier dmarrage de Windows cherchera aussi un fichier oobe.xml dans %WINDIR%\system32\oobe\info\default\<langue>\. En revanche, comme il ny a quune seule langue disponible sur le systme, il nest pas ncessaire de crer ce dossier. Si vous expdiez avec plusieurs langues, crez plusieurs dossiers de pays pour vos pays de destination et des dossiers de langue pour les langues cibles dans les dossiers de pays, en y incluant un fichier Oobe.xml avec le contenu propre au pays et la langue dans chaque dossier de langue, aux endroits suivants :
j j j j
%WINDIR%\system32\oobe\info\<pays1>\<langue1> ; %WINDIR%\system32\oobe\info\<pays1>\<langue2> ; %WINDIR%\system32\oobe\info\<pays2>\<langue1> ; %WINDIR%\system32\oobe\info\<pays2>\<langue3>.
270
Par exemple, <pays1> peut tre le Canada, <langue1> le franais, <langue2> langlais, etc. Crez galement des dossiers de langue avec le dossier default et placez un fichier Oobe.xml localis en consquence dans chacun deux, pour sadapter aux scnarios dans lesquels lutilisateur final ne slectionne pas lun de vos pays de destination : %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. Si vous configurez laccueil de premier dmarrage de Windows afin quil prsente un exemplaire des termes de votre contrat de licence, placez chaque fichier des termes du contrat de licence localiss de manire adquate dans son dossier de langue correspondant : %WINDIR%\system32\oobe\info\<pays>\<langue>.
Implmenter Oobe.xml
Le fichier Oobe.xml nest pas un fichier que vous allez crer laide de Windows System Image Manager. Il va falloir le construire de toutes pices. Pour cela, partez de lexemple suivant qui pourra vous servir de modle de fichier Oobe.xml :
<?xml version="1.0" encoding="utf-8" ?> <FirstExperience> <oobe> <oem> <name>Educsoft</name> <logopath>c:\educsoft\educsoft.png</logopath> <eulafilename>educsoft_eula.rtf</eulafilename> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper1.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper2.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper3.jpg</path> </wallpaper> <offerheader>Accdez aux offres spciales Educsoft</offerheader> <offer type="list"> <title>Offer 1</title> <imagepath>c:\educsoft\offers\offer1.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut a est non mauris fringilla bibendum. Nulla aliquam facilisis est. Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer1.rtf</detailsfilename> <shellexecute>%systemroot%\system32\notepad.exe</shellexecute> </offer> <offer type="list"> <title>Offer 2</title> <imagepath>c:\educsoft\offers\offer2.bmp</imagepath>
271
Chapitre 7
<details>Quisque congue faucibus lacus. Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Nullam vel neque eu lacus viverra tincidunt.</details> <shellexecute>%systemroot%\system32\calc.exe</shellexecute> </offer> <offer type="list"> <title>Offer 3</title> <imagepath>c:\educsoft\offers\offer3.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut a est non mauris fringilla bibendum. Nulla aliquam facilisis est. Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer3.rtf</detailsfilename> <shellexecute>%systemroot%\system32\mspaint.exe</shellexecute> </offer> </oem> <defaults> <language>1036</language> <location>54</location> <locale>1036</locale> <keyboard>0000040c</keyboard> <timezone>Paris, Madrid</timezone> </defaults> </oobe> <useroobe> <oemStrip xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <offerSource>Offres de Educsoft</offerSource> <tasks> <task id="{1D8650FD-8935-4657-A3E3-C6AD82DCFEB8}" xmlns="http://schemas.microsoft.com/windows/tasks/v1"> <name>nom tache exemple</name> <icon>%systemroot%\system32\notepad.exe</icon> <description>description exemple</description> <command>http://tempurl/fwlink.asp=?id=test</command> <sortPriority>1</sortPriority> <infotip>Souscrivez maintenant!</infotip> <previewPaneView xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <previewBackground>%systemroot%\system32\oobe\info\background_wc.png </previewBackground> <startText>bouton action tache exemple</startText> <title>titre tache exemple</title> <columnOne> <para><text>texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> </columnOne> </previewPaneView> 
<parameter name="Before" value="1/1/2006 5:00am" /> </condition> </conditions>
</task> </tasks> </oemStrip> </useroobe> </FirstExperience>
Vous navez qu le recopier dans un fichier Oobe.xml, ladapter votre entreprise et il fonctionnera. Pour mieux comprendre son fonctionnement et sa structure, dcortiquons les grandes lignes de ce fichier.
Description de la partie accueil de premier dmarrage Windows

La section <oem>
Le tableau suivant indique les paramtres disponibles pour Oobe.xml et leurs valeurs autorises pour la section <oem> dOobe.xml.
Tableau 7.3 : Description de la section <oem> du fichier oobe.xml
Paramtre name logopath Description Nom du fabricant ou de lentreprise. Chemin absolu vers le logo de lentreprise. Langue et situation/version spcifique du contrat de licence dutilisateur final de lentreprise sil y a lieu. Chemin absolu du fichier de papier peint. Peut en contenir jusqu trois pour laffichage. Description initiale de loffre. Plus pour les assembleurs que pour les entreprises. Titre de loffre. Chemin absolu dun fichier .bmp. Valeur Caractres. Chemin daccs absolu au fichier de logo, un fichier 32 bits au format .png. 240 x 100 pixels.
nomfichiercluf
Chemin daccs absolu dun fichier .rtf nominatif. Chemin daccs absolu vers au plus trois fichiers 32 bits au format .png nomms. 128 x 128 pixels. Chane de caractres avec au maximum 40 caractres. Caractres. Chemin daccs absolu dun fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers de type .png ne sont pas pris en charge.
wallpaper
offerheader
title imagepath
273
Chapitre 7
Paramtre details detailsfilename
Description Description plus approfondie de loffre. Fichier contenant des informations concernant loffre. Chemin du fichier excutable pour loffre.
Valeur Chane de caractres avec au maximum 128 caractres Chemin daccs absolu dun fichier .rtf. Les graphiques intgrs ne peuvent pas tre affichs. Chemin daccs absolu du programme dinstallation pour loffre.
shellexecute
Rfrences aux chemins daccs dans Oobe.xml Les dossiers et fichiers auxquels les chemins daccs absolus dans Oobe.xml font rfrence doivent tre inclus dans limage, soit hors connexion, soit lors de la cration de limage avant deffectuer le Sysprep.
La section <defaults>
Le tableau suivant indique les paramtres disponibles pour Oobe.xml et leurs valeurs autorises pour la section <defaults>.
Tableau 7.4 : Description de la section <defaults> du fichier oobe.xml
Paramtre langue emplacement Description Sparateur dcimal de la langue par dfaut. Valeur Identificateur dcimal. Pour la France, lidentificateur est 1036.
Lemplacement est spcifi laide dune Identificateur dcimal. Pour la France, valeur dcimale. lidentificateur est 54. Les paramtres rgionaux sont spcifis laide dune valeur. La disposition du clavier est dtermine par le format didentifiant des paramtres rgionaux dentre, constitu par une combinaison de la valeur hexadcimale de lidentificateur linguistique et dun identificateur de priphrique. Identificateur dcimal. Pour la France, lidentificateur est 1036. Utilisez la valeur du paramtre keyboard figurant dans le Registre sous HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Control \Keyboard Layouts et prcdez-la de la valeur du paramtre rgional convertie en hexadcimal. Pour la France, cette valeur est 0x40c.
Paramtres rgionaux clavier
274
Paramtre fuseauhoraire
Description Le fuseau horaire de lendroit o se situe lordinateur est spcifi par une chane. Sa longueur maximale est de 256 caractres. De nouveaux fuseaux horaires peuvent apparatre dans les versions futures. Si vous souhaitez ajouter la prise en charge dun nouveau fuseau horaire, vous devez taper la chane exacte correspondante. Valeur boolenne dterminant lutilisation de la transparence.
Valeur Voir le tableau suivant.
transparence
0 ou 1. La valeur 0 indique quaucune transparence nest utilise.
Liens utiles pour le remplissage de la section <defaults> Si vous souhaitez consulter la liste complte des valeurs langue, emplacement, paramtres rgionaux et clavier quil est possible de renseigner, ces liens vous intresseront :
j j j
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp ; http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_locations.asp ; http://www.microsoft.com/globaldev/reference/lcid-all.mspx.
Implmenter la partie accueil au premier dmarrage Windows

Voici un exemple dun accueil de premier dmarrage Windows remodel laide dun fichier Oobe.xml de personnalisation. Voici le rendu visuel qua lutilisateur final devant les yeux au moment o il dmarre pour la premire fois son nouvel ordinateur Windows Vista. Nous sommes dans le cas o limage a dj t applique. 1. Aprs avoir dmarr pour la premire fois son ordinateur, lutilisateur arrive sur lcran daccueil de premier dmarrage de Windows Vista en mode personnalis (voir fig. 7.8). 2. Cet cran daccueil doit retranscrire les options demplacement gographique et dutilisation du clavier ainsi que le logo de constructeur (ou dentreprise) paramtrs dans Oobe.xml. Cliquez sur Suivant. 3. La fentre qui suit vous montre deux contrats dutilisation : celui de Microsoft et le vtre (paramtr dans Oobe.xml). Vous ne pouvez passer qu ltape suivante quen cochant lacceptation des deux contrats et en cliquant sur Suivant (voir fig. 7.9). 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 275
Chapitre 7
Figure 7.8 : Premire fentre daccueil de premier dmarrage de Windows
Figure 7.9 : Les Contrats dutilisation
276
4. Configurez votre compte dutilisateur et cliquez sur Suivant.
Figure 7.10 : Renseignement du compte utilisateur
5. Entrez un nom lordinateur et choisissez un fond dcran. Vous remarquez que certains fonds dcran sont personnaliss. Cliquez sur Suivant.
Figure 7.11 : Choix du nom de lordinateur et du fond dcran.
277
Chapitre 7
6. Vrifiez les paramtres dheure et de date (provenant de Oobe.xml) et cliquez sur Suivant.
Figure 7.12 : Vrification des paramtres de date et dheure
7. Enfin, juste avant de terminer la personnalisation de linstallation, vous pouvez consulter les offres. Lorsque vous slectionnez une offre, vous serez redirig vers le lien de cette offre, une fois linstallation termine et votre compte dutilisateur logu.
Figure 7.13 : Consultation des offres personnalises
278
8. Cliquez sur Dmarrer pour finaliser linstallation.
Description de la partie Accueil Windows

La section <useroobe>
Le tableau suivant indique les paramtres disponibles dOobe.xml pour la section <useroobe> et leurs valeurs autorises.
Tableau 7.5 : Description de la section <useroobe> du fichier Oobe.xml
Paramtre oemStrip Description Chemin du logo apparatre dans le volet de prvisualisation Dtails de lordinateur de lAccueil Windows. Ce paramtre doit contenir lespace de noms xmlns="http://schemas.microsoft .com/windows/oobetasks/v1". Nom de loffre. Apparat dans la section de titre du volet prcdent. Chemin absolu vers licne doffre. Courte description de loffre. Chemin du fichier excutable. Valeur Chemin dun fichier .png. La taille maximale est de 250 x 30 pixels.
name icne description commande sortPriority
Chane dune longueur maximale de 255 caractres. Chemin daccs absolu un fichier .ico ou autre. Obligatoire. Chane dune longueur maximale de 255 caractres Chemin absolu du fichier excutable.
Valeur numrique dterminant lordre de Valeur numrique comprise entre 1 loffre. Les nombres les plus importants et 99 inclus. La valeur par dfaut est 1. ont la priorit la plus haute. Par consquent, un lment ayant un numro de priorit de tri lev (comme 94) apparatra avant un lment un numro plus faible (comme 7). Courte description de loffre affiche sur Chane dune longueur maximale de pointage de la souris. 255 caractres. Mots-cls utiliss des fins de recherche. Chemin dun fichier .png pour loffre. Chane dlimite par un point-virgule (;). Chemin absolu dun fichier .png. 128 x 128 pixels. Si cette valeur est omise, le fichier spcifi pour la valeur de <icon> correspondant loffre sera affich sa place (si le contenu du fichier .ico peut tre mis lchelle 126 x 126).
infotip mots cls Prvisualisation Image
279
Chapitre 7
Paramtre Prvisualisation darrireplan Textdmarrage titre puce texte
Description Chemin dun fichier .png pour larrireplan de loffre OEM. Courte description de la tche de dmarrage. Texte de titre de loffre. Cre une puce en face du paragraphe de texte. Texte dcrivant loffre.
Valeur Chemin absolu dun fichier .png. La taille maximale est de 800 x 178 pixels. Chane dune longueur maximale de 64 caractres. Chane dune longueur maximale de 255 caractres. Chemin absolu dun fichier .png. Chane dune longueur maximale de 255 caractres
Implmenter la partie Accueil Windows

Une fois linstallation termine, lutilisateur ouvre sa session et lAccueil Windows souvre automatiquement. Cette fois-ci lAccueil Windows est personnalis grce au fichier Oobe.xml.
Figure 7.14 : Accueil Windows personnalis
280
Les entreprises peuvent se servir de lAccueil Windows personnalis pour proposer aux utilisateurs des liens vers loutil helpdesk interne, vers lintranet, vers des applications communes, la vie de lentreprise etc. Cest un moyen mis disposition des services informatiques pour garder un contact avec lutilisateur afin quil ait sous la main les moyens de contacter facilement son service informatique. Cela augmentera la satisfaction de lutilisateur.
Description de la partie offres dabonnement auprs dun fournisseur de services Internet

La section <oem>
Le tableau suivant indique les paramtres disponibles pour Oobe.xml et leurs valeurs autorises pour la section <oem> de Oobe.xml lorsquelles sont utilises pour des offres dabonnement auprs de fournisseurs de services Internet.
Tableau 7.6 : Description de la section <oem> en vue de linscription dun fournisseur
daccs Internet
Paramtre nom type doffre showin informations imagepath Description Valeur Nom du fournisseur. Utilis comme titre chane de loffre Doit tre un type de liste doffres de fournisseurs de services Internet (ISP). Paramtre dterminant lendroit o est affiche loffre. Description plus approfondie de loffre. Chemin absolu dun fichier .bmp. list tous Chane avec au maximum 60 caractres Chemin absolu dun fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers PNG et ICO ne sont pas pris en charge. Chemin absolu dun fichier .rtf. Les graphiques intgrs ne peuvent pas tre affichs.
detailsfilename
Fichier contenant des informations concernant loffre. Si cette tiquette est omise, le contenu de ltiquette <informations> est de nouveau affich sur la page dinformations. Chemin du fichier excutable pour loffre.
shellexecute
Chemin absolu du programme dinstallation pour loffre.
281
Chapitre 7
Les conditions dans Oobe.xml

Chaque tche peut tre affiche ou cache aux utilisateurs en configurant certains paramtres conditionnels. Les conditions sont interprtes chaque fois que lAccueil Windows est dmarr. Si aucune condition nest exprime, lAccueil Windows affiche alors la tche par dfaut. Les conditions sont cumulatives, ce qui signifie que la somme de toutes les conditions exprimes est utilise comme logique daffichage. Les conditions sont exprimes par un nom et peuvent contenir un jeu de paramtres. Chaque condition appartient lespace de nom shcond://v1. Elles sont par consquent exprimes sous la forme <nom de condition= "shcond://v1# %conditionName%">. Chaque condition peut galement sinverser laide de lattribut invert="true". Par exemple, pour afficher une tche dans toutes les versions de Windows Vista lexception de Windows Vista Ultimate, utilisez la condition suivante :
<nom de condition="shcond://v1#SkuEquals" invert="true"> <param name="Sku" value="Ultimate" /> </condition>
Le tableau suivant indique les noms de condition, leurs paramtres, leurs valeurs et leurs descriptions :
Tableau 7.7 : Description des conditions utilisables dans Oobe.xml
Nom de condition RegvalEquals Paramtres Regkey Regval RegvalExpected Regkey Regval Regkey Valeurs Chemin de la cl de registre Nom de la valeur de Registre Valeur de Registre attendue Chemin de la cl de Registre Nom de la valeur de Registre Chemin de la cl de Registre Aucun Aucun Aucun Description La valeur de Registre est la valeur attendue.
RegvalExists
La valeur de Registre existe.
RegkeyExists
La cl de Registre existe. Lordinateur est sur un domaine. Lutilisateur est un administrateur. Un moniteur auxiliaire (Windows SideShow) est connect. Lordinateur est un ordinateur portable. Des fichiers hors connexion ont t activs.
IsMachineOnDomain Aucun IsUserAdmin IsAuxDisplay Connected IsMobilePC Aucun Aucun
Aucun
Aucun
IsOfflineFiles Enabled
Aucun
Aucun
282
La maintenance de limage
Nom de condition SkuEquals
Paramtres Sku
Valeurs Nom de SKU. Nom faisant rfrence la version du systme dexploitation.
Description Lors de la dfinition de cette condition, nutilisez pas le nom de rfrence (SKU) complet. Utilisez au lieu de cela les valeurs qui correspondent la rfrence souhaite. Windows Vista dition Familiale Basique : homebasic. Windows Vista dition Familiale Premium : homepremium. Windows Vista Professionnel : business. Windows Vista Entreprise : enterprise. Windows Vista dition Intgrale : ultimate. Lordinateur est un Tablet PC. Lordinateur a un priphrique de numrisation tactile activ. Dfinissez une plage de dates. Utilisez un format rgional de date invariant.
IsTabletPC
Aucun
Aucun Aucun
IsTouchAvailable Aucun
DateInRange
1. Avant 2. Aprs
1. Date et heure 2. Date En combinant ces deux conditions, on peut obtenir une offre valide pendant un certain laps de temps.
7.4.
Le processus de dploiement ne sarrte pas lunique projet de dploiement de Windows Vista sur les ordinateurs de lentreprise la place de Windows XP, par exemple. Il peut aussi tre quotidien : ds quun nouvel employ arrive et quil a donc besoin dun ordinateur frachement install. Et cest aussi un processus qui volue dans le temps : de nouveaux quipements feront tt ou tard leur apparition avec leurs nouveaux pilotes, des mises jours et des Service Packs de Windows Vista. Pour tre complet, le processus de dploiement doit fournir des outils qui permettent de mettre jour les images captures sans avoir forcment les recrer, cest--dire des outils qui permettent dajouter des packages, des packs de langue, des pilotes, des mises jour une image hors connexion ( froid), et bien dautres.
Ajouter une image dans une image

Lun des grands avantages du format dimages WIM est linstanciation unique. Si vous avez cr plusieurs images, vous avez la possibilit de les regrouper en une seule et mme image. Et le poids de cette nouvelle image ne sera pas la somme des tailles des diffrentes images, mais uniquement la taille des fichiers communs de toutes les images additionne la taille des fichiers diffrents entre les images. Cest l lune des autres qualits du format WIM : il est orient fichier et non secteur. Cela offre un ensemble de possibilits, notamment le travail en mode Delta dans linstanciation des images. Lorsque lon ajoute limage 2 limage 1, les seuls fichiers copis sont les fichiers diffrents de limage 2. Cela permet dconomiser sur trois images les deux tiers de lespace disque. Si on le rapporte des tailles de masters relles on parle alors de gigaoctets et non de mgaoctets , multipli par le nombre de masters matriel et service, ce nest plus ngligeable. prsent, prenons comme exemple lajout dune image image1.wim limage image2 .wim. Pour cela, il faut utiliser la commande ImageX avec le commutateur /export.
IMAGEX /EXPORT
Exporte une copie du fichier .wim spcifi vers un autre fichier .wim. Les fichiers source et destination doivent utiliser le mme type de compression.
Syntaxe :
imagex /export [fichier_src numro_src | nom_src dest_fichier nom_dest] {/boot | /check | /compress [type] | /ref [splitwim.swm]} Le chemin du fichier .wim contenant limage copier. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui identifie limage dans le fichier source .wim. Le chemin du fichier .wim qui recevra limage copier. Le nom unique qui identifie limage dans le fichier .wim de destination. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
fichier_src 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 numro_src nom_src dest_fichier nom_dest /boot
/check
284
/compress [maximum | rapide | aucune] Spcifie le type de compression utilise pour lopration de capture initiale. Loption maximum propose la meilleure compression, mais le temps de capture de limage est le plus long. Loption rapide propose une compression dimage plus rapide, mais les fichiers rsultants ont une taille plus importante que ceux compresss avec loption maximum. Cest galement le type de compression par dfaut, utilis si vous laissez ce paramtre vide. Loption aucune ne compresse pas du tout limage capture. /ref splitwim.swm Active la rfrence des fichiers .wim diviss (SWM). splitwim.swm est le nom et la situation des fichiers diviss supplmentaires. Les caractres gnriques sont accepts. cela, il faudra ajouter le chemin de limage ainsi que son numro dindex, puis terminer par le chemin de limage de destination :
C:\Program Files\Windows AIK\Tools\x86>ImageX /export c:\images\image1.wim 1 c:\images\image2.wim "image1" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Exporting: [c:\images\image1.wim, 1] -> [c:\images\image2.wim] Progress: 100% Successfully exported image #1.
Une fois cette opration termine, image1 se trouve dans le fichier image2.wim. ImageX /export Lorsque vous utilisez la commande ImageX /export, il est important dindiquer le numro dindexation de limage source, mme si le fichier ne possde quune image. Autrement, la commande ne fonctionnera pas. Il ny aura pas de message derreur, uniquement un retour laide sur la commande image.
Le Gestionnaire de packages
Le Gestionnaire de packages est un outil de ligne de commandes (Pkgmgr.exe) que vous pouvez utiliser hors connexion pour installer, pour supprimer ou pour mettre jour des packages Windows, des pilotes, des applications, des mises jour de scurit, des Service Packs. Vous pouvez ajouter les packages fournis sous forme de fichiers .cab
285
Chapitre 7
une image systme Windows hors connexion. Le Gestionnaire de packages peut galement activer ou dsactiver des fonctionnalits de Windows, hors connexion ou bien sur une installation de Windows en cours dexcution. Le Gestionnaire de packages peut considrer un fichier de rponses dinstallation sans assistance comme une entre et configurer les paramtres rpertoris dans la passe de configuration OfflineServicing. Le Gestionnaire de packages peut effectuer les tches suivantes :
j j j j j j j
installer ou dsinstaller des correctifs logiciels ; installer des packs de langues ; ajouter des pilotes de matriel ; activer ou dsactiver des fonctionnalits de Windows ; accepter un fichier de rponses comme entre (paramtres OfflineServicing uniquement) ; ajouter des packages une image de Windows hors connexion ; installer ou dsinstaller plusieurs packages avec une seule chane de commandes.
Le Gestionnaire de packages peut fonctionner sur une image Windows monte ou applique. Il peut tre utilis avec danciens fichiers image Windows (.wim), mais non avec des images Windows plus rcentes que la version installe du WAIK dans lequel le Gestionnaire de packages est distribu. Le Gestionnaire de packages peut sexcuter sur les systmes dexploitation suivants :
j
Windows XP SP2 ; Windows Server 2003 SP1 ; Windows Vista.
j j
Certains packages exigent que dautres packages soient dabord installs. En raison de cette condition de dpendance, si vous installez plusieurs packages, procdez de lune des manires suivantes :
j
Utilisez un fichier de rponses. En transmettant un fichier de rponses au Gestionnaire de packages, plusieurs packages peuvent tre installs dans lordre correct. Cest la mthode recommande pour installer plusieurs packages. Installez ou supprimez plusieurs packages dans une seule commande en les sparant par un point-virgule dans une liste. Les packages peuvent apparatre dans nimporte quel ordre. Le Gestionnaire de packages installe ou supprime les packages dans lordre correct.
286
La commande Pkgmgr.exe
Avant de dtailler lutilisation du Gestionnaire de packages et la manire de mettre jour une image, voici les descriptions des commutateurs de loutil en ligne de commande Pkgmgr.exe.
PKGMGR
Installe, dsinstalle, configure et met jour des fonctionnalits et des packages pour Windows Vista.
Syntaxe :
pkgmgr.exe [/?] [/h] [/help] [/l:nom_fichier] [/ip] [/iu:nom_fonctionnalit_Windows] [/m:rpertoire_package] [/n:fichier_rponses] [/norestart] [/o:chemin_disque_systme; chemin_rpertoire_Windows_hors_connexion] [/p:nom_package] [/quiet] [/s:rpertoire_sandbox] [/up:nom_package] [/uu:nom_fonctionnalit_Windows] Affiche laide lorsque cette commande est excute sans option. Utilisable en ligne ou hors connexion. Installe les packages. Le nom de package respecte la casse. Exige que les packages soient dsigns par loption /m ou par loption /p. Plusieurs packages peuvent tre installs avec une seule commande et doivent tre spars par des points-virgules. Utilisable en ligne ou hors connexion. Vous devez pointer vers le rpertoire du package dvelopp ; une option /ip doit aussi tre accompagne dune option /m. Dsigne le fichier journal pour la sortie de diagnostic. Utilisable en ligne ou hors connexion. Les journaux par dfaut sont situs dans le rpertoire %WINDIR%\logs\cbs\cbs.log. Setupact.log est un journal complet et Setuperr.log ne rpertorie que les erreurs. Lenregistrement dans un journal ne fonctionne pas lors de linstallation depuis un support en lecture seule, comme un CD Windows PE.
/?, /h, /help /ip
/l: nom_fichier
/iu: nom_ fonction-nalit _Windows
Spcifie la fonctionnalit Windows activer. Plusieurs fonctionnalits Windows peuvent tre installes avec une seule commande et doivent tre spares par des points-virgules. Utilisable en ligne ou hors connexion. Si vous installez une mise jour, vous avez alors besoin du nom de la mise jour si son package 287
Chapitre 7
est dans le package Windows Foundation. Si ce nest pas le cas, loption /iu exige aussi lidentit du package spcifie par loption /p, qui est suppose tre par dfaut loption de Windows Foundation pour loption /iu. Si ce nest pas le cas, annulez cette option. /m: rpertoire _package Spcifie le rpertoire avec le manifeste et la charge utile du package. Des rpertoires source supplmentaires peuvent tre spcifis aprs un point-virgule. Utilisable hors connexion. Exig pour loption /up. Si vous installez un package, vous devez pointer vers le rpertoire du package dvelopp, auquel cas une option /ip doit aussi tre accompagne dune option /m. Spcifie le nom du fichier de rponses dinstallation sans assistance. Utilisable en ligne ou hors connexion. Toutes les installations sans assistance exigent loption /n. Supprime le redmarrage. Si le redmarrage nest pas ncessaire, cette commande ne fait rien. Utilisable en ligne seulement. Utilisable avec loption /quiet.
/n: fichier _rponses
/norestart
/o: chemin_disque _systme ; chemin _rpertoire _Windows _hors _connexion Spcifie une installation hors connexion. Le chemin_disque_systme dfinit la situation du Gestionnaire de dmarrage, daprs le mappage donn par le systme dexploitation hte. Chemin _rpertoire_Windows_hors_connexion spcifie le chemin complet du rpertoire Windows hors connexion tel quil est vu par le systme dexploitation actif. Toutes les oprations hors connexion exigent loption /o pour spcifier limage dont vous avez lintention deffectuer la maintenance hors connexion. /p: nom_package /quiet Installe la totalit du package. Utilisable hors connexion. Exig pour loption /up. Sexcute en mode silencieux. Aucune interface utilisateur, ni de sortie console nest fournie. Si un redmarrage est ncessaire, celui-ci est forc automatiquement, sans afficher de bote de dialogue de demande de confirmation. Utilisable en ligne ou hors connexion. Spcifie le rpertoire sandbox dans lequel les fichiers sont extraits. Cette option est ncessaire pour un traitement correct des fichiers
/s: rpertoire _sandbox
288
lors de linstallation des packages depuis un rseau. Utilisable en ligne ou hors connexion. /up: nom _package Dsinstalle les packages. Exige que les packages soient dsigns par loption /m ou par loption /p. Plusieurs packages peuvent tre dsinstalls avec une seule commande et doivent tre spars par des points-virgules. Utilisable hors connexion. /uu: nom_fonctionnalit_Windows Spcifie la fonctionnalit de Windows dsactiver. Une fonctionnalit au moins de Windows doit tre spcifie. Plusieurs fonctionnalits Windows peuvent tre dsactives avec une seule commande et doivent tre spares par des points-virgules. Utilisable en ligne ou hors connexion. Loption /uu fonctionne de la mme manire que loption /iu.
Ajouter des pilotes une image de Windows hors connexion

Un scnario trs intressant consiste modifier limage .wim de rfrence froid pour y rajouter des pilotes pour de nouveaux quipements. Pas besoin de recrer une installation de rfrence sur un ordinateur de test pour faire vivre limage. Et le ou les pilotes rajouts ne seront utiliss que dans la phase de dtection Plug and Play du matriel. Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs pilotes de priphriques dans une image de Windows hors connexion. Vous pouvez ainsi ajouter Windows, avant linstallation, des pilotes de priphriques indispensables au dmarrage. Lorsque vous utilisez le Gestionnaire de packages pour installer un pilote de priphrique dans une image hors connexion, le pilote de priphrique est ajout au magasin de pilotes. Le magasin de pilotes est un emplacement sur lordinateur qui contient tous les pilotes pour cet ordinateur. Lorsque le Plug and Play est excut, les priphriques dtects sont associs aux pilotes de priphriques dans le magasin de pilotes. Le magasin de pilotes remplace Drivers.cab. Les pilotes indispensables au dmarrage sont insrs sur le systme. Linsertion dun pilote est le processus consistant installer un pilote sur un ordinateur qui est ou non dot dun priphrique pour ce pilote. Gnralement, cela comprend la copie des fichiers de pilote vers un emplacement de destination et la cration du service. Pour ajouter des pilotes une image de Windows hors connexion : 1. Recherchez les fichiers .inf des pilotes de priphriques que vous souhaitez installer sur votre image de Windows. Vous pouvez les chercher sur le site Internet de lditeur. Par exemple, crez un rpertoire C:\pilotes qui contiendra les fichiers de ce pilote.
289
Chapitre 7
2. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. Vous allez crer un fichier de rponses contenant les chemins daccs aux pilotes de priphriques installer : 3. Ajoutez le composant Microsoft-Windows-PnpCustomizationsNonWinPE votre fichier de rponses dans la passe de configuration OfflineServicing. 4. Dveloppez le nud Microsoft-Windows-PnpCustomizationsNonWinPE dans le fichier de rponses. Cliquez avec le bouton droit de la souris sur DevicePaths, puis slectionnez Insrer un nouvel lment PathAndCredentials. Un nouvel lment est intgr la liste PathAndCredentials.
Figure 7.15 : lment PathAndCredentials
5. Si vous devez rajouter plusieurs pilotes qui se trouvent plusieurs emplacements diffrents, alors ajoutez autant dlment sur la liste PathAndCredentials quil y a demplacements diffrents ajouter. 6. Dans les proprits du composant Microsoft-Windows-Pnp CustomizationsNon WinPE, spcifiez le chemin daccs au pilote de priphrique et les informations didentification utilises pour accder au fichier si celui-ci rside sur un partage rseau.
Figure 7.16 : Configuration du chemin daccs au pilote
290
Gestion de llment Key En ajoutant plusieurs lments de la liste PathAndCredentials, vous pouvez inclure plusieurs chemins daccs aux pilotes de priphriques. Si vous ajoutez plusieurs lments de la liste, vous devez incrmenter la valeur de Key pour chaque chemin. Par exemple, vous pouvez ajouter deux chemins daccs distincts dans lesquels la valeur de Key gale 1 pour le premier chemin daccs et la valeur de Key gale 2 pour le second chemin daccs. 7. Enregistrez le fichier de rponses sous le nom pilotes.xml par exemple et quittez Windows SIM. Le fichier de rponses doit tre similaire lextrait suivant :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="offlineServicing"> <component name="Microsoft-Windows-PnpCustomizationsNonWinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas .microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DriverPaths> <PathAndCredentials wcm:action="add" wcm:keyValue="1"> <Credentials> <Domain>PUZZMANIA</Domain> <Password>*</Password> <Username>Administrateur</Username> </Credentials> <Path>C:\Pilotes</Path> </PathAndCredentials> </DriverPaths> </component> </settings> <cpi:offlineImage cpi:source="catalog:c:/images/puzzmaniainstall.clg" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend>
8. Montez limage de Windows dans laquelle vous voulez installer les pilotes laide dImageX. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. Voici la dfinition de la commande imagex /mountrw :
291
Chapitre 7
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista, avec droit de lecture/criture vers un rpertoire spcifi. Une fois que le fichier est mont, vous pouvez voir et modifier toutes les informations contenues dans le rpertoire.
Syntaxe :
fichier_image numro_image nom_image chemin_image /check
imagex /mountrw [fichier_image numro_image | nom_image chemin_image] {/check} Le nom et le chemin du fichier .wim monter avec les droits de lecture/criture. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui rfrence limage dans le fichier .wim. Le chemin du fichier o limage spcifie sera monte. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Utilisation de la commande Imagex /mountrw lors de lutilisation du Gestionnaire de packages Veillez utiliser la commande Imagex avec le commutateur /mountrw lorsque vous montez une image en vue dune utilisation avec le Gestionnaire de packages et non le commutateur /mount car celui-ci ne permettrait pas au Gestionnaire de packages de modifier limage. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 9. Activez la journalisation dans un fichier journal distinct de certaines actions dinjection de pilote de priphrique. Sur lordinateur sur lequel vous excutez le Gestionnaire de packages, modifiez la cl de Registre DebugPkgMgr situe dans HKLM\Software\Microsoft\Windows\CurrentVersion\Device Installer et donnez-lui la valeur 0x01. Cela cre un fichier Drivers.log pendant linjection du package de pilote. Ce fichier journal enregistre toutes les actions du processus dinjection du pilote.
292
Figure 7.17 : Cration de la nouvelle valeur DWORD DebugPkgMgr
10. Utilisez le Gestionnaire de packages pour appliquer le fichier de rponses de linstallation sans assistance limage de Windows Vista monte. Spcifiez un emplacement pour le fichier journal crer. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" logfile.txt". /n:"C:\pilotes.xml" /l:"C:\pkgmgrlogs\
Les fichiers .inf rfrencs dans le chemin daccs du fichier de rponses sont ajouts limage de rfrence Windows Vista. Vous pouvez ouvrir le fichier Drivers.log et examiner les actions dinjection du pilote de Gestionnaire de packages. Un fichier journal est cr dans le rpertoire C:\pkgmgrlogs\. Examinez le contenu du rpertoire \Windows\inf dans limage de Windows Vista monte pour vrifier que les fichiers .inf ont t installs. Les pilotes ajouts limage de Windows sont nomms oem*.inf. Cette opration assure que les nouveaux pilotes intgrs sur lordinateur portent un nom unique. Ainsi, les fichiers Pilote1.inf et Pilote2 .inf sont renomms oem0.inf et oem1.inf.
Figure 7.18 : Contenu du rpertoire \Windows\inf de limage monte
11. Enfin, dmontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est ferme et prte repartir dans votre processus de dploiement. Vous avez mis jour le contenu de limage partir de votre poste, sans pour autant avoir rejouer un Sysprep et une recration dimage.
Activer ou dsactiver les fonctionnalits Windows lorsque le systme dexploitation est hors connexion
Pour activer ou dsactiver des fonctionnalits Windows dune image Windows hors connexion, crez un fichier de rponses dinstallation sans assistance avec Windows SIM 293
Chapitre 7
et utilisez-le comme entre pour le Gestionnaire de packages. Un peu comme ce que vous venez de le faire avec lajout de pilotes mais les composants utiliser ne sont pas les mmes. 1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. 2. Dveloppez le catalogue dans le volet Image Windows et dveloppez les lignes Packages, puis Foundation.
Figure 7.19 : Le package Windows Foundation
3. Cliquez avec le bouton droit de la souris sur Microsoft-Windows -Foundation-Package et cliquez sur Ajouter au fichier de rponses.
Figure 7.20 : Configuration du package Windows Foundation
294
4. Cliquez sur Activ ou sur Dsactiv (Enabled ou Disabled) prs des fonctionnalits que vous souhaitez activer ou dsactiver. Cliquez sur la flche pour slectionner le contraire. 5. Vous devrez peut-tre dvelopper un lment pour voir tous ses enfants. Le parent doit tre activ si lun de ses enfants est activ. 6. Cliquez sur Outils dans le menu principal et cliquez sur Valider le fichier de rponses. 7. Corrigez toutes les erreurs qui apparaissent dans le volet Messages et sauvegardez le fichier de rponses, par exemple sous le chemin C:\addwinfeatures.xml. 8. Montez limage Windows hors connexion. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 9. Dans lInvite de commandes, excutez la commande suivante : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\addwinfeatures.xml". 10. Enfin, dmontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est ferme et prte repartir dans votre processus de dploiement. Vous avez ajout, dans cet exemple, linstallation de la fonctionnalit Windows de serveur web personnel comme effective pour chaque nouvelle installation faite partir de cette image.
Installer ou supprimer des packages hors connexion laide du Gestionnaire de package

Pour installer ou supprimer des packages une image hors connexion, procdez de la sorte : 1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. 2. Cliquez sur Insrer dans le menu principal et slectionnez Packages. 3. Cherchez le package dsir et cliquez sur Ouvrir. Les packages sont des fichiers .cab. 4. Validez et sauvegardez le fichier de rponses, par exemple sous le chemin C:\newpackage.xml. 5. Montez limage Windows hors connexion. Dans une Invite de commandes, tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de
295
Chapitre 7
rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall .wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 6. Dans la mme fentre dInvite de commandes, tapez la commande suivante :
pkgmgr /o:"C:\mount\;C:\mount\Windows" /l:"C:\pkgmgrlogs\logfile.txt". /n:"C:\newpackage.xml"
7. Ouvrez le fichier journal afin de vrifier si le package a t ajout avec succs. 8. Procdez aux modifications et au dmontage de limage. Tapez : imagex /unmount /commit C:\mount. Vous avez rajout un package de type fichier .cab une image froid.
Installer un pack de langues dans une image hors connexion

Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs modules linguistiques (packs de langues) dans une image de Windows hors connexion. Lajout de plusieurs modules linguistiques une image de Windows peut en augmenter la taille de faon importante. Un fichier dimage .wim de Windows Vista avec diffrents modules linguistiques peut comporter plusieurs gigaoctets de plus quun fichier image de Windows Vista en une seule langue. Linstallation de grandes images de Windows sur le rseau risque de ralentir les installations. Pour utiliser le Gestionnaire de packages afin dinstaller un nouveau module linguistique : 1. Naviguez avec lExplorateur Windows jusqu un ou plusieurs modules linguistiques installer dans le fichier image de Windows. Les modules linguistiques sont enregistrs dans des fichiers .cab et sont appels Lp.cab. 2. Utilisez Windows SIM pour crer un fichier de rponses contenant uniquement les modules linguistiques que vous souhaitez installer. Pour ajouter un module linguistique directement un fichier de rponses : 3. Ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. Cliquez sur Insrer dans le menu principal et slectionnez Packages. Cherchez le package dsir et cliquez sur Ouvrir. Les packages sont des fichiers .cab. 4. Enregistrez le fichier de rponses en lui donnant le chemin C:\langpack.xml par exemple et fermez Windows SIM.
Le fichier de rponses doit tre similaire lextrait suivant :

<?xml version="1.0" encoding="utf-8" ?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <servicing> <package action="install"> <assemblyIdentity name="Microsoft-Windows-LanguagePack-Package" version="6.0.5350.0" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="fr-FR" /> <source location="C:\LPs\fr-fr\lp.cab" /> </package> <package action="install"> <assemblyIdentity name="Microsoft-Windows-LanguagePack-Package" version="6.0.5350.0" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="fr-FR" /> <source location="C:\LPs\fr-FR\lp.cab" /> </package> </servicing> <cpi:offlineImage cpi:source="wim:C:\images\puzzmaniainstall.wim#Windows Vista ULTIMATE" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend>
5. Utilisez ImageX pour monter limage de Windows que vous souhaitez appliquer au module linguistique. Dans une Invite de commandes, tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 6. Utilisez le Gestionnaire de packages pour appliquer le fichier de rponses de linstallation sans assistance limage de Windows monte. Tapez : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\langpack.xml". 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 Le module linguistique est install dans limage de Windows. 7. Utilisez Intlcfg.exe pour recrer le fichier Lang.ini et slectionner les valeurs internationales par dfaut. Lorsque vous ajoutez ou supprimez des modules linguistiques dans une image de Windows, vous devez recrer le fichier Lang.ini. Le fichier Lang.ini est utilis pendant linstallation de Windows et contient une liste de tous les modules linguistiques disponibles, les emplacements des modules linguistiques et la langue par dfaut utiliser pendant linstallation de Windows. Recrez le fichier Lang.ini avec la commande suivante : intlcfg genlangini dist:C:\images image:C:\mount defaultlang:frFR all:frFR. Le fichier Lang.ini est recr et comprend une liste des modules linguistiques installs. En outre, la langue par dfaut utiliser pendant le processus dinstallation de Windows et la langue par dfaut de linstallation de Windows sont dfinies frFR. 8. Vous pouvez afficher les langues qui sont disponibles ou qui sont installes dans limage de Windows avec loption report de la commande Intlcfg. Tapez : intlcfg report dist:C:\images image:C:\mount. 297
Chapitre 7
Vrifiez que la langue installe apparat. Voici un retour de cette commande :

Reporting offline settings... The installed languages are: fr-FR: Type: Fully localized language Reporting distribution languages... The other available languages in the distribution are: No languages found The default system UI language is 040C System locale is 040c The default timezone is Romance Standard Time User locale for default user is fr-FR The location is 84 The active keyboards are: 0409:00000409, 040c:0000040c The default keyboard is 040c:0000040c
9. Procdez aux modifications et au dmontage de limage. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est prte tre rinjecte dans votre processus de dploiement. Si vous voulez modifier la langue utilise pendant linstallation de Windows, vous devez ajouter les ressources localises de linstallation de Windows la distribution de Windows.
Les limitations du Gestionnaire de packages

Le Gestionnaire de packages possde tout de mme un certain nombre de limitations quil vous faut connatre afin de mesurer au mieux son champ daction : 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
j
Linstallation des packages sur un ordinateur distant travers un rseau nest pas prise en charge. Limage de Windows doit tre prsente sur le systme local. Le Gestionnaire de packages peut prlever des packages sur un partage rseau, mais il doit les copier sur un rpertoire temporaire local, accessible en criture, appel rpertoire bac sable (sandbox). Le Gestionnaire de packages sexcute partir dune Invite de commandes et comporte une interface utilisateur trs limite. Si vous spcifiez un fichier de rponses avec le Gestionnaire de packages, seuls les paramtres spcifis dans la passe de configuration OfflineServicing sont appliqus. Tous les autres paramtres dans le fichier de rponses sont ignors. Le Gestionnaire de packages peut tre utilis avec des fichiers image de Windows plus anciens (.wim), mais pas avec des images de Windows qui sont plus rcentes que la version installe du WAIK de Windows Vista avec lequel le Gestionnaire de packages est distribu.
j j
298
En rsum
j j
Le Gestionnaire de packages peut installer uniquement des fichiers .cab. Les composants de MSI doivent tre installs en ligne laide dOCSetup. Nutilisez pas le Gestionnaire de packages pour installer Windows PE. Le Gestionnaire de packages peut servir la maintenance dans Windows PE des images appliques hors connexion, mais les oprations de montage dImageX ne sont pas prises en charge. Les Service Packs doivent tre installs en ligne avec lutilitaire dinstallation Windows Update StandAlone.
7.5.
En rsum
Dans ces grandes lignes, le dploiement de Windows Vista na plus de secret pour vous. Vous savez capturer et appliquer une image. Vous savez galement que Windows Vista met en uvre un certain nombre doutils qui permettent dajouter de la valeur, comme Oobe.xml et la mise jour froid dune image. Ces outils offrent une grande souplesse dans la dure de vie de limage dans le processus de dploiement. Utilisez-les.
299
Chapitre 8
Les services de dploiement Windows

8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12 Le fonctionnement des services de dploiement Windows . . . . . . . Installer les services de dploiement Windows . . . . . . . . . . . . . . Les modes de fonctionnement des services de dploiement Windows Congurer les services de dploiement Windows . . . . . . . . . . . . . Congurer DHCP pour les services de dploiement Windows . . . . . Les images de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les images dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les groupes dimages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La stratgie de noms de clients et lemplacement de compte . . . . . Le programme de dmarrage par dfaut . . . . . . . . . . . . . . . . . . WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 . 305 . 309 . 310 . 312 . 315 . 319 . 320 . 326 . 332 . 333 . 347
Le fonctionnement des services de dploiement Windows
usqu prsent Windows Server 2003 ne disposait que dun seul moyen de dploiement nomm RIS (Remote Installation Services, "services dinstallation distance"). Cet ensemble de services rpondait aux besoins des entreprises, jusqu larrive de Windows Vista qui bouleverse les mthodes de dploiement chez Microsoft. Pour rpondre ces changements, Windows Server 2003 SP2 inclut une version profondment remanie de RIS dsormais nomme "services de dploiement Windows" ou WDS, qui aide les entreprises prparer larrive de Windows Vista et de Windows Server 2008. WDS assure le stockage, ladministration et le dploiement des images qui utilisent le nouveau format WIM (Windows Imaging). Les services de dploiement Windows amliorent RIS sur plusieurs points :
j j j j
la prise en charge native de Windows PE comme systme dexploitation damorage ; la prise en charge native du format de fichier WIM (Windows Imaging) ; le composant serveur PXE extensible et plus performant ; le nouveau menu damorage client pour choisir le systme dexploitation.
Les services de dploiement Windows rduisent le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Services de dploiement Windows Les services de dploiement Windows sont livrs dans les services Pack 2 de Windows Server 2003. Cependant, les entreprises qui souhaitent utiliser ces services avant de dployer les services Pack les trouveront en tlchargement et peuvent les installer si les prrequis sont respects.
8.1.
Le fonctionnement des services de dploiement Windows
8. Les services de dploiement Windows
Mme si, dans lensemble, les dmos ou les documents Microsoft montre lexcution des services de dploiement Windows sur des serveurs Longhorn, il nen reste pas moins que le composant peut tre install partir des versions de serveurs Windows Server 2003 Service Pack 1. Il doit galement fonctionner dans un environnement Active Directory, ou un serveur DHCP doit tre prsent avec des adresses disponibles ainsi que DNS. WDS (Windows Deployment Services) prend en charge nativement le format WIM et Win PE en version optimise et en version personnalise. Le composant PXE devient plus performant et plus facile administrer grce un ensemble de commandes. 303
Chapitre 8
Globalement, WDS ressemble RIS, puisque le premier prrequis pour installer WDS consiste installer le service RIS. Sachez quavec les services de dploiement Windows, vous avez diffrents modes dutilisation. On peut imaginer en effet que certaines entreprises possdent dj un environnement RIS avec des images. Si vous installez les services de dploiement Windows sur votre serveur RIS, les services de dploiement Windows vont pouvoir fonctionner en mode mixte et vous pourrez rutiliser vos images aprs les avoir converties. Cela signifie quil existe un chemin de migration entre les serveurs RIS actuels et les services de dploiement Windows. Libre vous de repartir de zro sur un serveur de services de dploiement Windows "propre" ou de raliser une mise niveau de votre serveur RIS.
Figure 8.1 : Fonctionnement de Windows Deployment Services en six tapes
Le fonctionnement des services de dploiement Windows se droule en six tapes :

j j j j
Le poste dmarre et demande une adresse DHCP. Le serveur DHCP alloue une adresse. Le client contacte le serveur de services de dploiement Windows. Les services de dploiement Windows vrifient si le poste existe dans lActive Directory.
304
Installer les services de dploiement Windows
j j
Les services de dploiement Windows rpondent ou transfrent la demande au service de dploiement Windows le plus proche. Limage est installe sur le poste.
8.2.
Linstallation des services de dploiement Windows est cependant trs simple puisquil ne sagit en fait que dinstaller un service. Pour cela, vous devez aller dans le sous-rpertoire WDS du rpertoire WAIK. Installation des services de dploiement Windows Deux cas de figure sont possibles : linstallation des services de dploiement partir dun fichier tlcharg et linstallation partir de lajout dun composant du Services Pack 2 de Windows Server 2003. Nous avons souhait montrer linstallation partir dun fichier tlcharg. Cela permet de prsenter les prrequis, mais aussi daccompagner les entreprises encore en Services Pack 1 de Windows 2003 Server.
Figure 8.2 : Chemin de lexcutable du service WDS
Prrequis Avant de commencer linstallation des services de dploiement Windows, vous devez ajouter le service RIS. Pour cela, rendez-vous dans le menu Dmarrer. Dans le Panneau de configuration, slectionnez Ajout et suppression de programme, puis Ajout et suppression de composants Windows. Cochez la case Service dinstallation distance.
305
Chapitre 8
Figure 8.3 : Ajout du service RIS comme prrequis dinstallation des services de
dploiement Windows Pour raliser linstallation, procdez ainsi : 1. Placez-vous dans le rpertoire WAIK\WDS pour lancer linstallation du service. Cliquez sur windows-deployment-services-update-x86.exe si votre serveur est une machine X86 ou sur windows-deployment-services-update-amd64.exe si votre serveur est une machine base de processeurs 64 bits dAMD. 2. Dans la fentre daccueil Mises jour des services de dploiement Windows pour Windows Server 2003, cliquez sur Suivant pour dmarrer linstallation. 3. Acceptez les termes de licence en cliquant sur Jaccepte. Cliquez sur Suivant pour passer ltape suivante. 4. la fin de linstallation, si vous ne souhaitez pas redmarrer votre serveur, cochez la case Ne pas redmarrer, puis cliquez sur Terminer. Sinon, cliquez uniquement sur Terminer. Votre serveur rebootera en fin dinstallation. Pour installer les services de dploiement Windows partir dune Invite de commandes, procdez ainsi : 1. Ouvrez une fentre dInvite de commandes en tant quadministrateur et placez-vous sur le dossier contenant linstallation du service. 2. Dans
SERVICESUPDATEX86
tapez WINDOWSDEPLOYMENT pour larchitecture de lordinateur et larchitecture du systme dexploitation.

/quiet /forcerestart
la
fentre
dInvite
de
commandes,
306
Figure 8.4 : Installation des services de dploiement Windows en ligne de commandes en
mode silencieux avec un redmarrage forc Une fois linstallation termine, le serveur redmarre. Cependant, il faut vrifier que les services sont bien installs. Pour cela, vous pouvez aller dans les outils dadministration et vrifier la prsence du service Hritage de service de dploiement Windows et des services de dploiement Windows.
Figure 8.5 : Vrification des services de dploiement dans le menu Outils dadministration
307
Chapitre 8
Vous pouvez galement utiliser des options pour modifier le comportement de linstallation. Voici la liste doption dinstallation des services de dploiement Windows.
Tableau 8.1 : Options dinstallation des services de dploiement Windows
Option /help /quiet /passive Explication Vous pouvez lutiliser dans la ligne de commandes pour rpertorier ces options. Vous pouvez lutiliser lorsque vous ne voulez aucune interaction utilisateur, ni affichage dinformations durant linstallation. Vous pouvez lutiliser lorsque vous ne voulez aucune interaction utilisateur, mais que vous voulez voir une barre dtat pour contrler la progression de linstallation. Vous pouvez lutiliser pour supprimer le redmarrage aprs linstallation. Vous pouvez lutiliser pour vous assurer du redmarrage aprs linstallation. Vous pouvez lutiliser lorsque vous voulez tre averti avant le redmarrage de lordinateur, aprs linstallation. La valeur par dfaut, si aucun argument nest fourni, consiste vous prvenir 20 secondes avant le redmarrage. Vous pouvez lutiliser lorsque vous voulez quun message vous demande si un redmarrage est requis. Vous pouvez lutiliser si vous voulez remplacer des rpertoires OEM existants et supprimer les fichiers existants dans les rpertoires. Vous pouvez lutiliser si vous ne voulez pas sauvegarder les fichiers ncessaires la dsinstallation des services de dploiement Windows. Vous pouvez lutiliser lorsque vous voulez fermer les autres applications susceptibles dempcher lordinateur de redmarrer.
/norestart /forcerestart /warnrestart[:<secondes>]
/promptrestart /overwriteoem /nobackup
/forceappsclose
/integrate:<chemin_complet> Vous pouvez lutiliser pour installer les mises jour logicielles avec les services de dploiement Windows.
/log:<chemin_complet>
Vous pouvez lutiliser pour crer un fichier journal dans le chemin indiqu.
308
Les modes de fonctionnement des services de dploiement Windows
8.3.
Les modes de fonctionnement des services de dploiement Windows
Puisque les services de dploiement Windows se doivent dassurer la transition et la convergence des diffrents formats dimage, ils prennent en charge trois modes de fonctionnement : hrit, mixte et natif.
Le mode hrit
Le mode hrit des services de dploiement Windows fonctionne de manire similaire aux services dinstallation distance (RIS). Dans ce mode, seul OSChooser est prsent comme systme dexploitation de dmarrage et seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils de gestion des services de dploiement Windows ne sont pas utiliss ; les utilitaires RIS hrits sont les seuls autoriser la gestion du serveur. Vous pouvez utiliser le mode hrit des services de dploiement Windows en installant la mise jour des services de dploiement Windows, mais sans la configurer, par le biais de lassistant dinstallation ou laide de WDSUTIL partir dune Invite de commandes. Le mode hrit nest pas pris en charge par Windows Server 2003.
Le mode mixte
Le mode mixte des services de dploiement Windows dcrit un tat du serveur prenant en charge les services RIS hrits et la nouvelle fonctionnalit des services de dploiement Windows. En mode mixte, le menu OSChooser est disponible en mme temps que les images de dmarrage Win PE. Dans ce mode, il sera possible daccder aux anciens types dimages RISETUP et RIPREP par le biais dOSChooser et les nouvelles images de format WIM seront disponibles en utilisant une image de dmarrage Win PE (image de dmarrage Windows Vista PE avec le client Services de dploiement Windows). Du point de vue du client, un menu de dmarrage permettra deffectuer des slections dans RIS ou dans Windows Server Longhorn Win PE. Dun point de vue gestion, un administrateur utilisera les outils de gestion hrits pour administrer les images RISETUP et RIPREP et il utilisera les outils WDS pour administrer le serveur et les images WIM. Le mode mixte des services de dploiement Windows nest disponible que dans Windows Server 2003. Vous lobtenez en installant la mise jour des services de dploiement Windows sur un serveur RIS configur prcdemment et en configurant WDS laide de lassistant dinstallation ou de lutilitaire WDSUTIL partir dune Invite de commandes.
Le mode natif
Le mode natif des services de dploiement Windows sapplique un serveur WDS avec des images de dmarrage Win PE uniquement. Dans ce mode, OSChooser nest pas disponible et les images WIM sont le seul type dimages pris en charge pour le 309
Chapitre 8
dploiement vers les clients. La gestion du serveur seffectue entirement partir des nouveaux utilitaires de gestion des services de dploiement Windows. Le mode natif des services de dploiement Windows est disponible sous Windows Server 2003, et Windows Server Longhorn Il est le seul mode des services de dploiement Windows pris en charge sous Windows Server Longhorn. Pour utiliser le mode natif sur un serveur Windows Server 2003, installez, mais ne configurez pas RIS, puis installez et configurez les services de dploiement Windows. Vous pouvez galement forcer votre serveur passer en mode natif en excutant WDSUtil /setserver /ForceNative.
8.4.
Congurer les services de dploiement Windows
Une fois installs, les services de dploiement Windows ne sont pas pour autant fonctionnels. Il est ncessaire de les configurer. Pour configurer les services de dploiement Windows partir de lassistant, procdez ainsi : 1. Pour ouvrir le composant logiciel enfichable Services de dploiement Windows, activez le menu Dmarrer/Outils dadministration/Services de dploiement Windows.
Figure 8.6 : Lancement des services de dploiement Windows
310
Configurer les services de dploiement Windows
2. Dans le volet gauche du composant logiciel enfichable Services de dploiement Windows, cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Configurer le serveur. 3. Dans la page daccueil de lAssistant Installation de Services de dploiement Windows, assurez-vous que votre environnement rpond aux conditions nonces, puis cliquez sur Suivant. 4. Entrez un chemin pour le dossier dinstallation distante et cliquez sur Suivant. 5. Si vous choisissez dinstaller les services de dploiement Windows sur le lecteur systme, un message davertissement saffiche. Cliquez sur Oui pour continuer linstallation, ou sur Non pour slectionner un nouvel emplacement dinstallation.
Figure 8.7 : Avertissement dinstallation sur le volume systme Figure 8.8 : Installation dun autre chemin daccs que la partition systme
6. Dans la fentre Emplacement du dossier dinstallation distance, saisissez le chemin daccs, par exemple D:\RemoteInstall (voir fig. 8.9). 7. Dans la page de fin de lAssistant Configuration des services de dploiement Windows, vous pouvez ajouter des images au serveur ou dslectionner la case cocher Ajouter les images au serveur de dploiement Windows maintenant si vous souhaitez ajouter des images ultrieurement. Cliquez sur Terminer.
311
Chapitre 8
Figure 8.9 : Paramtres initiaux du serveur
Configuration des services de dploiement Windows Mme si vous avez dj configur les services de dploiement Windows partir de lassistant dinstallation, il est toujours possible de les configurer et de modifier la configuration partir de la console dadministration. Pour cela, cliquez du bouton droit de la souris sur le nom de votre serveur, puis slectionnez PXE Server Setting. Une fois la console lance, vous pouvez voir vos services de dploiement Windows dans votre domaine Active Directory. En dessous du serveur se trouvent quatre icnes.
j j
Images dinstallation : vous y trouvez toutes les images parses. Images de dmarrage : ici se trouve tout ce qui peut tre bootable, Boot.wim (le Win PE optimis pour linstallation de Windows Vista) ainsi que vos Win PE personnaliss. Images hrites : cest la partie o sont stockes toutes les anciennes images RIS ralises partir de Risetup. Priphriques en attente : liste lensemble des machines autorises ou non se connecter au serveur WDS.
8.5.
Congurer DHCP pour les services de dploiement Windows
Nous avons vu en introduction que les services de dploiement Windows ont comme prrequis Active Directory et un serveur DHCP actif sur le rseau. Ils se basent sur lenvironnement PXE, qui son tour utilise DHCP. Dans le cas o lentreprise 312
Configurer DHCP pour les services de dploiement Windows
nutiliserait quun seul serveur de dploiement, Il est ncessaire de modifier la configuration DHCP si les services de dploiement Windows et DHCP sont installs sur un seul serveur.
Loption DHCP 60
Si votre serveur DHCP est install sur le mme serveur que les services de dploiement Windows, lassistant Installation des services de dploiement Windows ajoute la balise 60 de loption DHCP, avec le paramtre de client PXE slectionn, toutes les tendues DHCP en tant quoption DHCP globale. Cest ncessaire pour quun client PXE de dmarrage reoive une notification de la prsence dun serveur PXE en coute sur le rseau. Si vous ajoutez le service DHCP un serveur ou les services de dploiement Windows sont existants, vous devez reconfigurer manuellement loption DHCP 60. Vous disposez pour cela de deux possibilits :
j j
la configuration laide de la console dadministration Services de dploiement Windows ; la configuration laide de lutilitaire WDSUTIL.
Pour configurer loption DHCP 60 partir de la console Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits.
Figure 8.10 : Proprit du serveur de dploiement
313
Chapitre 8
4. Dans la page Proprits du serveur, cliquez sur longlet DHCP. 5. Dans la page Options DHCP, cliquez sur Configurer loption DHCP 60 avec la valeur PXEClient .
Figure 8.11 : Configuration de loption DHCP 60 dans le serveur de dploiement
Droits utilisateur Pour excuter cette procdure, vous devez tre membre du groupe Oprateurs de compte ou du groupe Administrateurs du domaine, ou avoir reu par dlgation les autorisations ncessaires.
Le port 67
8. Les services de dploiement Windows Si le service DHCP est install sur le mme serveur que les services de dploiement Windows, lassistant de configuration des services de dploiement Windows configurera WDS en slectionnant loption Ne pas couter sur le port 67. Cest ncessaire pour que les clients de dmarrage puissent dtecter le serveur DHCP sur le rseau. Si vous ajoutez le service DHCP un serveur de services de dploiement Windows existant, vous devez reconfigurer le port 67, ce qui est possible laide de lune des deux procdures suivantes :
j j
la configuration de loption Port 67 laide de la console dadministration Services de dploiement Windows ; la configuration de loption Port 67 laide de lutilitaire WDSUTIL.
314
Les images de dmarrage
Pour configurer le port 67 laide de la console dadministration Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits. 4. Dans la page Proprits du serveur, cliquez sur longlet DHCP. 5. Dans la page Options DHCP, cliquez sur Ne pas couter sur le port 67.
Figure 8.12 : Configuration du port 67
Droits utilisateur Pour excuter cette procdure, vous devez tre membre du groupe Oprateurs de compte ou du groupe Administrateurs du domaine, ou avoir reu par dlgation les autorisations ncessaires.
8.6.
Les images de dmarrage sont des images Win PE contenant le client Services de dploiement Windows. Elles sont utilises pour prsenter un menu de dmarrage initial lorsquun client contacte le serveur de services de dploiement Windows.
315
Chapitre 8
Les images dinstallation reprsentent le type dimage par dfaut lorsque vous exportez une image de dmarrage partir du magasin dimages des services de dploiement Windows. Lorsquun client dmarre une image dinstallation, le programme dinstallation de Windows est immdiatement appel. Les images de capture offrent une alternative lutilitaire de ligne de commande
ImageX lors de la capture dune image prpare avec lutilitaire Sysprep. Lorsquun
client dmarre sur une image de capture, lutilitaire de capture des services de dploiement Windows est appel et vous guide pour la capture et lajout dune nouvelle image.
j
Les images de dcouverte sont des images de dmarrage qui prennent en compte les services de dploiement Windows, pouvant tre copies sur un CD pour tre utilis lorsque les services de dmarrage de lenvironnement dexcution de prdmarrage (PXE) sont indisponibles. Aprs le dmarrage sur une image de dcouverte, lutilisateur voit safficher le menu client des services de dploiement Windows et continue le programme dinstallation comme lorsquun dmarrage PXE se produit.
Ajouter une image de dmarrage

Pour ajouter une image de dmarrage laide de la console dadministration Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le dossier Images de dmarrage et cliquez sur Ajouter une image de dmarrage.
Figure 8.13 : Ajout dune image de dmarrage
316
4. Dans la fentre Fichier Image, cliquez sur Parcourir pour slectionner limage ajouter, puis cliquez sur Suivant.
Figure 8.14 : Emplacement du fichier dimage bootable
5. Dans la fentre Mtadonnes dimage, entrez le nom de limage et sa description, puis cliquez sur Suivant. 6. Cliquez sur Suivant dans la fentre Rsum. 7. Une fois la progression de la copie acheve, cliquez sur Terminer.
Figure 8.15 : Fin de la copie dinstallation
317
Chapitre 8
Exporter une image de dmarrage

Pour exporter une image de dmarrage laide de la console dadministration des services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Slectionnez le dossier Images de dmarrage. 4. Cliquez avec le bouton droit de la souris sur une image, puis cliquez sur Exporter limage.
Figure 8.16 : Export dune image
5. Dans la fentre Exporter en tant que, slectionnez le chemin et tapez un nom de fichier pour limage. Cliquez sur Enregistrer.
Figure 8.17 : Nom et destination de limage exporte
318
Les images dinstallation
Supprimer une image de dmarrage

Pour supprimer une image de dmarrage laide de la console dadministration Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Slectionnez lentre Images de dmarrage. 4. Dans le volet droit de la console dadministration, cliquez avec le bouton droit de la souris sur limage et cliquez sur Supprimer limage.
Figure 8.18 : Suppression dune image de dmarrage
5. Dans la bote de dialogue de confirmation, cliquez sur Oui pour supprimer limage.
8.7.
Les images dinstallation

Les images dinstallation sont des images du systme dexploitation qui sera install sur les ordinateurs clients, qui dmarrent sur un serveur des services de dploiement Windows.
j
Format WIM : les fichiers WIM reprsentent un nouveau format de fichier contenant une ou plusieurs images Windows compresses. Les fichiers WIM reposent sur des fichiers, plutt que sur des secteurs, ce qui facilite la mise jour des images existantes. Les fichiers WIM intgrent galement la technologie SIS (Single Instance Storage), pour viter les doublons de fichiers au sein dun WIM. Images RIPREP : les images RIPREP sont des images des services dinstallation distance hrites. Les services de dploiement Windows, en mode hrit ou mixte,
319
Chapitre 8
peuvent dployer des images RIPREP. Les images RIPREP dpendent de la couche HAL et de la langue, ce qui rend leur prise en charge trs coteuse.
j
Images RISETUP : les images RISETUP reprsentent le premier type dimage des services dinstallation distance. Pour lessentiel, il sagit dune copie de la structure de rpertoires du CD (rpertoire i386) sur un partage de fichiers sur le serveur des services dinstallation distance. Les images RISETUP prsentent un avantage considrable par rapport aux images RIPREP des services dinstallation distance : elles ne dpendent pas de la couche HAL.
8.8.
Les groupes dimages
Un groupe dimages est un ensemble de fichiers image WIM qui partage une scurit et des ressources de fichiers communes. Les groupes dimages limitent les services car laction de maintenir une image au sein dun groupe dimages, par exemple lapplication dun correctif logiciel, dun Service Pack ou la mise jour de fichiers, ncessite un accs exclusif au groupe. Les ressources de fichiers sont partages sur le groupe dimages instance unique bien que les mtadonnes de chaque image rsident dans un fichier WIM physique part. Les groupes dimages contiennent deux types de fichiers :
j
Res.rwm contient les flux de fichiers des images, comme il est dfini dans Install.wim, Install2.wim et WinXP.wim. Notez que chaque groupe dimages possde son propre fichier Res.rwm. Install.wim contient les mtadonnes dimage dcrivant le contenu dune image de systme dexploitation. Les ressources de fichiers relles de limage se trouvent dans Res.rwm.
Figure 8.19 : Fichiers Res.rwm et Install.wim du groupe dimages Windows Vista x64
Chaque groupe dimages possde un fichier Res.rwm cr lors de lajout de la premire image au groupe. Res.rwm est connu comme tant un fichier WIM rserv aux ressources uniquement ; toutes les ressources de tous les fichiers rsident dans Res.rwm. Le fichier .rwm est un fichier .wim renomm de manire tablir une distinction entre le fichier .wim rserv aux ressources et le fichier .wims de mtadonnes et acclrer
320
Les groupes dimages
lnumration des images. Dans la mesure o lnumration dimages ne fonctionne que sur les fichiers .wim, le fichier Res.rwm sera ignor. Les donnes dun fichier WIM sont instance unique, les fichiers dupliqus ne sont donc stocks quune seule fois, ce qui rduit fortement le volume de stockage des images dun groupe dimages sur le disque.
Crer des groupes dimages

Pour crer un groupe dimages laide de la console dadministration des services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste correspondante. 3. Slectionnez le dossier Images dinstallation, cliquez avec le bouton droit de la souris, puis slectionnez Ajouter un groupe dimages.
Figure 8.20 : Cration dun nouveau groupe dimages
4. dans le champ Entrez un nom pour le groupe dimages de la fentre Ajouter un groupe dimages, saisissez Windows Vista x64, puis cliquez sur OK.
321
Chapitre 8
Figure 8.21 : Saisie du nom du nouveau groupe dimages
Ajouter une image dinstallation

Pour ajouter une image dinstallation laide de la console dadministration des services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste. 3. Slectionnez le dossier Images dinstallation, cliquez avec le bouton droit de la souris sur le groupe dimages dans lequel vous souhaitez ajouter limage, par exemple Windows Vista x64 dans notre tude de cas, et cliquez sur Ajouter une image dinstallation.
Figure 8.22 : Slection du groupe dans lequel vous allez ajouter votre image
322
Les groupes dimages
4. Dans la fentre Fichier image, cliquez sur Parcourir pour slectionner limage ajouter, puis cliquez sur Suivant.
Figure 8.23 : Nom et chemin de limage ajouter dans le magasin du groupe dimages
Windows x64 5. Dans la fentre Liste des images disponibles, slectionnez les images, activez loption Utilisez le nom par dfaut et la description pour chaque image slectionne et cliquez sur Suivant. 6. Dans la fentre Rsum, cliquez sur Suivant, puis sur Terminer.
Supprimer une image dinstallation

Pour supprimer une image dinstallation laide de la console dadministration des services de dploiement Windows, procdez ainsi : 8. Les services de dploiement Windows 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste. 3. Slectionnez Images dinstallation. 4. Slectionnez le groupe dimages contenant limage, par exemple Windows Vista x64.
323
Chapitre 8
Figure 8.24 : Slection du groupe qui possde limage supprimer
5. Dans le volet droit, cliquez avec le bouton droit de la souris sur limage et cliquez sur Supprimer limage.
Figure 8.25 : Suppression de limage
6. Dans la bote de dialogue, confirmez la suppression de limage, cliquez sur Oui pour supprimer limage.
Figure 8.26 : Confirmation de la suppression de limage
324
Les groupes dimages
Exporter une image dinstallation

Pour exporter une image dinstallation laide de la console dadministration des services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste. 3. Cliquez sur le serveur, puis sur le dossier Images dinstallation. 4. Slectionnez le groupe dimages, puis cliquez avec le bouton droit de la souris sur une image et slectionnez Exporter limage.
Figure 8.27 : Export dune image dinstallation
5. Dans la fentre Exporter en tant que, choisissez le chemin et le nom donn au fichier, puis cliquez sur Enregistrer.
Figure 8.28 : Export de limage
325
Chapitre 8
8.9.
La stratgie de noms de clients et lemplacement de compte
Vous pouvez utiliser la page Proprits des services dannuaire du serveur de dploiement pour dfinir la stratgie de noms de clients par dfaut et lemplacement du compte client. Les services de dploiement Windows offrent quatre mthodes pour nommer un ordinateur et le placer dans une unit dorganisation :
j j j j
Ladministrateur spcifie le nom de lordinateur et lunit dorganisation. Le serveur spcifie le nom de lordinateur et lunit dorganisation. Le client effectue toutes les actions dajout un domaine lors du premier dmarrage. Un administrateur cre une interface utilisateur personnalise.
Ladministrateur spcie le nom de lordinateur et lunit dorganisation

Vous pouvez spcifier le nom de lordinateur et lunit dorganisation rejoindre ordinateur par ordinateur. Ce scnario vous demande dactiver la stratgie dajout automatique des priphriques en attente, puis dutiliser la console dadministration des services de dploiement Windows pour spcifier le nom de lordinateur et lunit dorganisation une fois lordinateur approuv. Les paramtres sont utiliss de deux manires
j
Dans le cadre du processus dapprobation des priphriques en attente : il sagit de paramtres par serveur ou par architecture qui sapplique tous les priphriques approuvs. Ladministrateur peut les ignorer sur ordinateur par ordinateur lors de lapprobation. Pour les scnarios dajout un domaine impliquant le client WDS : par dfaut, toutes les installations effectues laide du client Services de dploiement Windows entranent lajout de lordinateur au domaine la fin du processus. Si linstallation a lieu sur un client prdfini (cr manuellement ou via Priphriques en attente), le client est ajout en tant que priphrique existant. Si linstallation est effectue sur un nouvel ordinateur, le client Services de dploiement Windows cre un compte dordinateur dans Active Directory en fonction de ces paramtres de stratgie. Le client sera alors joint en tant que nouveau compte.
Spcier la stratgie de noms de clients et lunit dorganisation lors de lapprobation

Pour spcifier la stratgie de noms de clients et lunit organisationnelle lors de lapprobation, procdez de la faon suivante : 326
1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits. 4. Slectionnez longlet Paramtres de rponse PXE.
Figure 8.29 : Onglet Paramtres de rponse PXE du serveur de dploiement
5. Cliquez sur Rpondre tous les ordinateurs clients (connus et inconnus). 6. Cliquez sur Pour les clients inconnus, informer ladministrateur et rpondre aprs accord. 7. Effectuez un dmarrage PXE de lordinateur client. 8. Les services de dploiement Windows Sur lordinateur client, un message saffiche et indique lID de demande et ladresse IP du serveur qui a t contact lors du dmarrage de lordinateur client. 8. Dans le composant logiciel enfichable Services de dploiement Windows, slectionnez le serveur que le client a contact pour afficher le nouveau client sous la rubrique Priphriques en attente.
327
Chapitre 8
Figure 8.30 : Client en attente dans le serveur dans la file dattente du serveur de
dploiement 9. Cliquez avec le bouton droit de la souris sur le priphrique, puis cliquez sur Approuver.
Figure 8.31 : Approbation du client en attente
10. Tapez un nom dordinateur et une unit dorganisation. 11. Cliquez sur OK. 12. Sur lordinateur client, choisissez une image dans le menu et appuyez sur [].
Le serveur spcie le nom de lordinateur et lunit dorganisation

8. Les services de dploiement Windows Vous pouvez dfinir le nom de lordinateur et lunit dorganisation serveur par serveur, puis tous les clients crs partir dun serveur dtermin seront constitus avec une stratgie de noms dordinateur cohrente et dans le mme domaine. Ces paramtres sont dfinis sous les onglets Proprits du serveur et les valeurs sont utilises lorsque le client Services de dploiement Windows dmarre la premire phase de linstallation. Pour spcifier la stratgie de noms de clients et lunit dorganisation par serveur, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits. 3. Cliquez sur longlet Paramtres de rponse PXE.
328
4. Dans la partie Stratgie de rponse PXE, cliquez sur Rpondre tous les ordinateurs clients (connus et inconnus).
Figure 8.32 : Paramtres de rponse PXE
5. Cliquez sur longlet Services dannuaire. 6. Dfinissez la stratgie de nom de clients. Stratgie de nom client La stratgie de nom de clients par dfaut est dfinie par le nom dutilisateur suivi de deux chiffres alatoires. Vous pouvez utiliser les chiffres 1 9 pour modifier le nombre de chiffres aprs le nom dutilisateur. 7. Sous longlet Emplacement du compte client, choisissez lunit dorganisation par dfaut (mme domaine que le serveur des services de dploiement Windows) ou dfinissez une unit dorganisation pour le serveur. 8. Effectuez un dmarrage PXE dun ordinateur client pour le crer laide de la stratgie de nom de clients et de lunit dorganisation spcifies.
Dnir la stratgie de noms dordinateurs

1. Pour vrifier que chaque ordinateur client est dot dun nom dordinateur unique, slectionnez une option automatique dattribution de noms sur la liste approprie.
329
Chapitre 8
Toutes les options automatiques dattribution de nom bases sur le nom de lutilisateur ajoutent un numro incrmentiel au nom de lutilisateur pour quil soit unique. 2. Slectionnez une option dans le tableau suivant pour crer automatiquement le nom dordinateur personnalis.
Tableau 8.2 : Dfinir une stratgie de noms dordinateurs Variable %First %Last %Username %MAC %[0][n]# Rsultat Le prnom de lutilisateur est utilis en tant que nom de lordinateur. Le nom de lutilisateur est utilis en tant que nom de lordinateur. Le nom dutilisateur est utilis en tant que nom de lordinateur. Ladresse de contrle daccs au mdia de la carte rseau est utilise en tant que nom de lordinateur. Le nom dordinateur contient un numro incrmentiel comprenant n chiffres. Pour entrer un caractre de remplissage (0) dans le numro incrmentiel, tapez un zro, comme indiqu. Par exemple, si vous choisissez %03#, entrez un nombre trois chiffres compris entre 001 et 999.
Bonne pratique vitez de crer une convention de nom qui pourrait gnrer des noms dordinateurs dupliqus. Pour lviter, utilisez loption de numro incrmentiel dcrite dans le tableau prcdent. Lorsque vous dfinissez la rgle dattribution de noms de votre ordinateur, vous pouvez limiter la longueur du nom de lordinateur en ajoutant une valeur numrique la chane de texte. Par exemple, pour rduire trois caractres le nom dordinateur, avec un numro incrmentiel deux chiffres ajouts au nom de famille du dernier utilisateur, utilisez la chane %3Last%02#. Le nom dordinateur attribu au cinquime utilisateur de lordinateur dont le nom de famille est Paul, sera donc Paul05. Vous pouvez utiliser sparment ou combiner les options dattribution de noms personnalises. Par exemple, si vous voulez que le nom dordinateur contienne les trois premires lettres du prnom de lutilisateur, puis les trois premires lettres du nom de famille de lutilisateur, suivi dun nombre incrmentiel trois chiffres, vous pouvez utiliser la chane %3First%3Last%03#.
8. Les services de dploiement Windows 330
Effectuer toutes les actions dajout un domaine lors du premier dmarrage

Les informations dajout un domaine, y compris le nom dordinateur, le domaine et les informations didentification des utilisateurs, sont ajoutes par le client Services de dploiement Windows dans le fichier dinstallation sans assistance dimage utilis lors de linstallation du client. Si un fichier dinstallation sans assistance existant est associ limage que le client installe, ce fichier est mis jour. Si limage que le client installe nest pas associe un fichier dinstallation sans assistance, un fichier dinstallation sans assistance "modle" est utilis. Le modle dinstallation sans assistance des images de bas niveau se trouve dans le rpertoire \Templates du partage REMINST. Le modle dinstallation sans assistance pour les images Windows Vista et Windows Server Longhorn se trouve dans limage elle-mme, sous le nom \Windows\system32 \WdsUnattendFile.xml.
Figure 8.33 : Fichier WdsUnattendFile.xml
Si vous utilisez un fichier dinstallation sans assistance dimage, assurez-vous que le fichier contient les balises adquates :
j
La balise <UnsecureJoin> est utilise pour Unattend.xml. 331
Chapitre 8
La balise <DoOldStyleDomainJoin> est utilise pour Sysprep.inf.
La prsence de ces balises indique que les services de dploiement Windows doivent insrer les informations dajout au domaine. La section Microsoft-Windows-Shell-Setup dans la passe <specialize> doit tre prsente dans votre fichier dinstallation sans assistance. Le nom dordinateur nest pas ajout si la passe <specialize> ne contient pas au moins une section Microsoft-Windows-Shell-Setup vide. Lobjectif ici consiste viter le codage irrversible des attributs de ce composant, notamment de publicKeyToken et de la langue.
8.10. Le programme de dmarrage par dfaut

Vous pouvez dfinir les paramtres du programme de dmarrage par dfaut pour dfinir la faon dont le client PXE interagit avec le serveur de services de dploiement Windows par architecture. Le tableau suivant dcrit les programmes de dmarrage disponibles :
Programme de dmarrage Abortpxe.com Bootmgfw.efi Fonctionnalit Ce programme est envoy un ordinateur client lorsquun administrateur rejette un priphrique en attente. La version EFI de pxeboot.com inclut toutes les fonctionnalits de pxeboot.com, pxeboot.n12, abortpxe.com et bootmgr.exe. Uniquement disponible pour ia64 actuellement. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM1 des systmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Vous pouvez ensuite appuyer sur [F12] pour passer au processus de dmarrage ou quitter ce processus en nappuyant pas sur [F12]. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM1 des systmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Ce programme ignorera la touche [F12] et dmarrera directement le serveur PXE. Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM2 des systmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Vous pouvez ensuite appuyer sur [F12] pour passer au processus de dmarrage ou quitter ce processus en nappuyant pas sur [F12].
Hdlscom1.com
Hdlscom1.n12
Hdlscom2.com
332
WDSUTIL
Programme de dmarrage Hdlscom2.n12
Fonctionnalit Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM2 des systmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Ce programme ignorera la touche [F12] et dmarrera directement le serveur PXE. Vous pouvez utiliser ce programme de dmarrage (par dfaut) pour inviter lutilisateur appuyer sur la touche [F12] pour accder aux services de dmarrage. Vous pouvez utiliser ce programme de dmarrage pour ignorer la touche [F12] et dmarrer directement sur le serveur PXE. Wdsnbp.com est un programme de dmarrage rseau utilis par les services de dploiement Windows et ne doit jamais tre utilis en tant que programme de dmarrage par dfaut. Wdsnbp.com sert les oprations gnrales suivantes : - Il bloque le dmarrage PXE. Cela permet aux services de dploiement Windows dexcuter la logique de rponse avance en vitant que le client nexpire tandis quil attend le serveur. - Il rapporte larchitecture du client de dmarrage lorsque celle-ci ne peut pas tre dtermine partir du paquet rseau de dmarrage PXE. Cest particulirement important sur les systmes x64 qui ne rapportent pas leur architecture 64 bits. - Il rsout les cas de rfrences PXE lorsque les services de dploiement Windows et services dinstallation distance sont prsents sur le mme rseau ou segment rseau. - Il agit en tant que protocole de dmarrage rseau pour les cas dajouts automatiques o il bloquera le processus de dmarrage PXE et interrogera le serveur sur ltat dapprobation.
Pxeboot.com
Pxeboot.n12 Wdsnbp.com
8.11. WDSUTIL
wdsutil
wdsutil est loutil en ligne de commandes qui permet de configurer et dadministrer les services de dploiement de Windows.
Syntaxe :
/GetAllDevices
wdsutil <cmd> [option] Affiche des informations printermdiaires. sur tous les priphriques
333
Chapitre 8
/GetAllImageGroups /GetAllImages /GetAllServers /NewCaptureImage /NewDiscoverImage /AddDevice /GetDevice /SetDevice /AddImage /CopyImage /ExportImage /GetImage /RemoveImage /Replaceimage /SetImage /GetImageFile /AddImageGroup /GetImageGroup 8. Les services de dploiement Windows /RemoveImageGroup /SetImageGroup
Affiche les informations sur tous les groupes dimages. Affiche les informations sur toutes les images. Affiche les informations sur tous les serveurs de services de dploiement Windows. Cre une image Win PE utilise dans la capture des images du systme dexploitation. Cre une image Win PE utilise dans la dcouverte du serveur des services de dploiement Windows. Ajoute un priphrique printermdiaire. Affiche les attributs dun priphrique existant. Change les attributs dun priphrique existant. Ajoute les images de dmarrage ou dinstallation. Copie une image dans le magasin dimages. Exporte une image du magasin dimages vers un fichier WIM. Affiche les attributs dune image existante. Supprime une image de dmarrage ou dinstallation. Remplace une image de dmarrage ou dinstallation par une nouvelle version. Change les attributs dune image existante. Affiche les informations sur les images dun fichier WIM. Ajoute un groupe dimages. Affiche les informations dun groupe dimages. Supprime un groupe dimages. Change les attributs dun groupe dimages existant.
/ApproveAutoAddDevices Approuve les priphriques dajout automatique en attente sur le serveur. /RejectAutoAddDevices Refuse les priphriques dajout automatique en attente sur le serveur. /GetAutoAddDevices Affiche les priphriques dajout automatique du serveur.
334
WDSUTIL
/DeleteAutoAddDevices Supprime les priphriques dans la base de donnes de priphriques dajout automatique. /ConvertRiPrepImage /DisableServer /EnableServer /GetServer /InitializeServer /SetServer /StartServer /StopServer /UninitializeServer /UpdateServerFiles Convertit une image RIPREP existante en un fichier WMI. Dsactive lensemble des services de dploiement Windows sur un serveur. Active lensemble des services de dploiement Windows sur un serveur. Affiche les informations sur un serveur de services de dploiement Windows. Configure un serveur de services de dploiement Windows pour une utilisation initiale. Configure les paramtres dun serveur de services de dploiement Windows. Dmarre tous les services du serveur de services de dploiement Windows. Arrte tous les services du serveur de services de dploiement Windows. Restaure les modifications effectues lors de linitialisation du serveur. Met jour les fichiers du serveur sur le partage REMINST.
Pour illustrer la commande WDSUtil, voyez maintenant quelques exemples dadministration du serveur en ligne de commandes
Congurer loption 60 en ligne de commandes

8. Les services de dploiement Windows Pour configurer loption DHCP 60 laide de lutilitaire WDSUtil, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez WDSUTIL /setserver /DHCPOption60:yes.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server /DHCPOption60:yes
335
Chapitre 8
Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Congurer le port 67 en ligne de commandes

Pour configurer le port 67 laide de lutilitaire WDSUtil, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez WDSUTIL /setserver /usedhcpports:no.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server /usedhcpports:no Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Ajouter une image de dmarrage en ligne de commandes

Pour ajouter une image de dmarrage laide de lutilitaire WDSUtil partir dune Invite de commandes : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez WDSUTIL /addimage /imagefile:\\server\share\sources\boot.wim /imagetype:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /add-image /imagefile:\\stlscpap01\share\sources\boot.wim /imagetype:boot Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Ajouter une image dinstallation La mme manipulation en ligne de commandes existe pour ajouter une image dinstallation, la seule grande diffrence tant que cette image appartient un groupe. 336
WDSUTIL
Pour plus dinformations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalit des commandes du serveur.
Supprimer une image de dmarrage en ligne de commandes

Pour supprimer une image de dmarrage laide de lutilitaire WDSUTIL partir dune Invite de commandes, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez WDSUTIL /RemoveImage /Image:Nom_image /ImageType:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /Remove-Image /Image:"Microsoft Windows Longhorn Setup (x86)" /ImageType:boot /Architecture:x86 Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Supprimer une image dinstallation La mme manipulation en ligne de commandes existe pour supprimer une image dinstallation, la seule grande diffrence tant que cette image appartient un groupe. Pour plus dinformations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalit des commandes du serveur.
Obtenir des informations sur le serveur de dploiement en ligne de commandes

Pour lister la configuration de votre serveur un instant donn, vous pouvez utiliser la commande suivante : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 337
Chapitre 8
2. Dans la fentre dInvite de commandes, tapez wdsutil /verbose /getserver /Server:serveurWDS /Show:All /detailed.
C:\Documents and Settings\Administrateur>wdsutil /verbose /get-server /Server: stlscpap01 /Show:All /detailed Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs.
INFORMATIONS DINSTALLATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] tat du serveur : Version du systme : 5.2 Mode de fonctionnement WDS : Natif tat de linstallation : Emplacement REMINST : e:\RemoteInstall Partage REMINST jour : Oui Fichiers de dmarrage installs : x86 - Oui x64 - Oui ia64 - Non [----------------------------------------------------------------------------] INFORMATIONS DE CONFIGURATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] Autorisation de serveur : tat de lautorisation : Non autoris Stratgie de rponse : Rpondre aux clients : Oui Rpondre uniquement aux clients connus : Non Dlai de rponse : 0 secondes
Stratgie dutilisation des services dannuaire : Contrleur de domaine prfr : Catalogue global prfr : Prdfinir les priphriques laide de MAC : Non Stratgie de nommage des nouveaux ordinateurs : %61Username%# Ordre de recherche de domaine : Catalogue global uniquement Domaine de jointure des nouveaux ordinateurs : Oui Unit dorganisation Nouvel ordinateur : Type dunit dorganisation : ServerDomain Unit dorganisation : CN=Computers,DC=Copr,DC=puzzmania,DC=com Configuration DHCP : tat du service DHCP : En cours dexcution
338
WDSUTIL
Option DHCP 60 configure : Oui Stratgie de liaison PXE : Utiliser les ports DHCP : Oui Dtection de serveurs non autoriss : Dsactiv Port RPC : 5040 Stratgie de liaison dinterface : Stratgie : Exclure les inscrits Interfaces inscrites : Stratgie de programme de dmarrage : Autoriser N12 pour les nouveaux clients : Non Dcouverte darchitecture : Dsactiv Rinitialiser le programme de dmarrage : Non Programmes de dmarrage par dfaut : x86 - boot\x86\pxeboot.com x64 - boot\x64\pxeboot.com ia64 - boot\ia64\bootmgfw.efi Programmes de dmarrage N12 par dfaut : x86 - boot\x86\pxeboot.n12 x64 - boot\x64\pxeboot.n12 ia64 - boot\ia64\bootmgfw.efi Liste des GUID bannis : Stratgie dimage de dmarrage : Type dimage par dfaut pour les clients x64 : Les deux Images de dmarrage par dfaut : x86 x64 ia64 Stratgie de client WDS : Stratgie denregistrement : Active : Non Niveau denregistrement : Informations Stratgie autonome : Active : Non Prcdence de ligne de commande : Non Fichiers dinstallation sans assistance WDS : x86 x64 ia64 Stratgie OSChooser : Nom de menu : Stratgie dactualisation automatique de serveur : Dlai dactualisation : 900 secondes
Chapitre 8
Stratgie dactualisation de BCD : Active : Non Dlai dactualisation : 60 minutes Stratgie dajout automatique : Stratgie : Dsactiv Intervalle dinterrogation : 10 secondes Nombre max. de tentatives : 2160 fois Message : Priode de rtention : Priphriques approuvs : 30 jours Autres priphriques : 1 jours Valeurs par dfaut pour x86 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par dfaut pour x64 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par dfaut pour ia64 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui
: sans assistance client WDS
Fournisseurs PXE WDS : Nom : BINLSVC Chemin daccs : C:\WINDOWS\system32\binlsvc.dll Ordre : 1 Critique : Oui
340
WDSUTIL
[----------------------------------------------------------------------------] INFORMATIONS SUR LES IMAGES POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] IMAGES DE DMARRAGE ============================================================================== -----------------------------Images de dmarrage pour x86 -----------------------------Nombre dimages : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x86) Nom du fichier : boot.wim Nom de limage : Microsoft Windows Longhorn Setup (x86) Description : Microsoft Windows Longhorn Setup (x86) Architecture : x86 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 338034861 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 14:22:57 Dernire modification : samedi 3 fvrier 2007 21:20:46 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ******************************************************************************
Maintenance x86 v.1.3 Nom du fichier : Maintenance.wim Nom de limage : Maintenance x86 v.1.3 Description : Maintenance x86 v.1.3 Architecture : x86 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 338034861 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 14:22:57 Dernire modification : samedi 3 fvrier 2007 21:32:22 Langue par dfaut : Franais (France)
341
Chapitre 8
Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** -----------------------------Images de dmarrage pour ia64 -----------------------------Nombre dimages : 0 -----------------------------Informations sur les images : -----------------------------Aucune image ne correspond aux critres spcifis. -----------------------------Images de dmarrage pour x64 -----------------------------Nombre dimages : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x64) Nom du fichier : boot.wim Nom de limage : Microsoft Windows Longhorn Setup (x64) Description : Microsoft Windows Longhorn Setup (x64) Architecture : x64 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 383339906 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 16:07:42 Dernire modification : samedi 3 fvrier 2007 21:29:20 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Maintenance x64 v.1.1
WDSUTIL
Nom du fichier : Maintenance x64 v.1.1.wim Nom de limage : Maintenance x64 v.1.1 Description : Maintenance x64 v.1.1 Architecture : x64 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 383339906 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 16:07:42 Dernire modification : samedi 3 fvrier 2007 21:34:27 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ******************************************************************************
============================================================================== -------Rsum : -------Nombre total de magasins dimages de dmarrage : 3 Nombre total dimages de dmarrage : 4 --------
IMAGES DINSTALLATION ============================================================================== -------------------Groupe dimages Windows Vista x64 -------------------Nom : Windows Vista x64 Scurit : O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510) Nombre dimages : 2 ----------------------------Informations sur les images : -----------------------------
Windows Vista ULTIMATE Nom du fichier : install-(2).wim
343
Chapitre 8
Nom de limage : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x64 Type dimage : Installation Groupe dimages : Windows Vista x64 Taille : 11666352356 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 16:44:01 Dernire modification : dimanche 4 fvrier 2007 14:13:43 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 -1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de limage : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x64 Type dimage : Installation Groupe dimages : Windows Vista x64 Taille : 10604416502 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 16:37:21 Dernire modification : dimanche 4 fvrier 2007 14:11:50 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 -1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ***************************************************************************** -------------------Groupe dimages Windows Vista x86 -------------------Nom : Windows Vista x86 Scurit : O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
WDSUTIL
Nombre dimages : 2 ----------------------------Informations sur les images : ----------------------------Windows Vista ULTIMATE Nom du fichier : install-(2).wim Nom de limage : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x86 Type dimage : Installation Groupe dimages : Windows Vista x86 Taille : 8018307216 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 13:41:31 Dernire modification : dimanche 4 fvrier 2007 14:20:48 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de limage : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x86 Type dimage : Installation Groupe dimages : Windows Vista x86 Taille : 7066175656 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 13:37:02 Dernire modification : dimanche 4 fvrier 2007 14:20:03 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ
Chapitre 8
****************************************************************************** ============================================================================== -------Rsum : -------Nombre total de groupes dimages dinstallation : 2 Nombre total dimages dinstallation : 4 -------IMAGES NON NATIVES ============================================================================== -------Rsum : -------Nombre total de groupes dimages non natives : 0 Nombre total dimages non natives : 0 -------[----------------------------------------------------------------------------] -----------------------------RSUM GLOBAL SUR LES IMAGES : -----------------------------Nombre total de magasins dimages de dmarrage : 3 Nombre total dimages de dmarrage : 4 Nombre total de groupes dimages dinstallation : 2 Nombre total dimages dinstallation : 4 Nombre total de groupes dimages non natives : 0 Nombre total dimages non natives : 0 -----------------------------La commande sest termine correctement.
Dmarrer le serveur en ligne de commandes

8. Les services de dploiement Windows Si vous souhaitez dmarrer ou redmarrer votre serveur en ligne de commandes, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez wdsutil /startserver.
C:\Documents and Settings\Administrateur>wdsutil /start-server Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386]
346
En rsum
Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Arrter le serveur en ligne de commandes

Si vous souhaitez arrter votre serveur en ligne de commandes, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, tapez wdsutil /stopserver.
C:\Documents and Settings\Administrateur>wdsutil /stop-server Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
8.12. En rsum
Dans ce chapitre, nous avons vu que Windows Server 2003 possde prsent deux services de dploiement : le serveur RIS en natif depuis larrive de Windows Server 2003 et les services de dploiement Windows. Ces nouveaux services de dploiement permettent de continuer dployer les anciennes images prsentes dans votre systme dinformations, mais galement les images de Windows Vista. Pour assurer la compatibilit, ce serveur peut fonctionner selon trois modes. Pour dcrire le niveau de fonctionnalit associ chaque mode configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
j
347
Chapitre 8
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage, OSChooser et Windows PE, sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 8.4 : Le mode mixte WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
Tableau 8.5 : Le mode natif WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. 348
En rsum
Le passage dune exploitation RIS WDS en mode compatible (binaires WDS mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commandes) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative). Le serveur de dploiement peut tre install avec le Services Pack 2 de Windows Server 2003 ou depuis un fichier tlcharg sur les sites de Microsoft. Dans ce cas, le serveur doit rpondre lensemble des prrequis dinstallation. Les services de dploiement fonctionnent depuis linterface graphique, mais galement en ligne de commandes partir de loutil WDSutil. Pour conclure ce chapitre, ce quil faut retenir est que ce nouveau service de dploiement a pour objectif dunifier les anciens modes de dploiement tel que RIS et les nouveaux modes de dploiement de type WIM. Le service fonctionne avec trois niveaux de compatibilit. Ce service demande quelques prrequis tel que le Service Pack 1 de Windows Server 2003 ou encore le Framework .Net. Le grand avantage propos par le service de dploiement est quil est quasiment administrable en ligne de commandes.
Chapitre 9
Lintgration de Windows Vista dans linfrastructure

9.1 9.2 9.3 9.4 Lintgration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . Les stratgies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . La compatibilit des nouvelles fonctionnalits de Windows Vista dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 . . . . 362 . . . . 382 . . . . 397
Lintgration dans le domaine Active Directory
ans le monde des entreprises, les services informatiques mettent en uvre, font voluer et modifient les infrastructures systmes leur permettant de mieux contrler et administrer tous les services dploys pour les utilisateurs. Chez Microsoft, linfrastructure qui permet une administration centralise des ressources sappelle Active Directory. Windows Vista remplace Windows XP dans le contexte dentreprise. Windows Vista est taill pour rpondre aux exigences, de plus en plus grandes, damlioration de la productivit des utilisateurs en entreprise. Windows Vista arrive dans les entreprises et ces dernires disposent toutes dun systme dinformation existant. Que ce soit la petite PME avec cinq ou six postes ou la grande entreprise avec plus de 2000 utilisateurs. Windows Vista va devoir cohabiter avec les diffrentes versions de systmes dexploitation existants dans lentreprise et surtout, Windows Vista va devoir cohabiter au sein de linfrastructure systme et rseau de lentreprise. Dans le cadre des systmes dexploitation Microsoft, Windows Vista devra cohabiter au sein des forts et domaines Active Directory.
9. Lintgration de Windows Vista dans linfrastructure
9.1.
Pour mieux comprendre la problmatique actuelle, faisons un petit rappel historique. lpoque, Windows 2000 Server et Windows 2000 Professionnel (la version cliente) sont sortis simultanment, la premire version dActive Directory couvrant parfaitement toutes les options de configuration de Windows 2000 Professionnel. En 2001, Windows XP Professionnel fait son apparition. Il sintgre dans les forts Active Directory Windows 2000 Server, mais il possde des capacits de configuration plus grandes que Windows 2000 Professionnel. Il faut donc attendre 2003 et la sortie de Windows Server 2003 pour mettre niveau les fonctionnalits dActive Directory et tirer parti de tout le potentiel de configuration et damlioration de la productivit du tandem Windows XP Professionnel et Windows Server 2003. Il en va de mme pour Windows Vista. Il sintgre bien dans les forts et les domaines Active Directory existants, mais nous en tirerons tout le potentiel uniquement lorsque le successeur de Windows Server 2003 (connu sous le nom actuel de Windows Server Longhorn) sera sorti et que linfrastructure Active Directory sera mise niveau, cest--dire pas avant fin 2007. Prenons lexemple dune socit fictive pour tayer nos dmonstrations. Cette socit se compose dun domaine, lui-mme compos de stations de travail Windows XP Professionnel. Aujourdhui, cette entreprise installe des ordinateurs Windows Vista pour rpondre aux besoins dune certaine population de lentreprise et souhaite les intgrer au domaine existant. Ces ordinateurs Windows Vista ont dj t installs selon la procdure adquate. Voici comment procder pour les intgrer au domaine
353
Chapitre 9
9. Lintgration de Windows Vista dans linfrastructure 1. Loguez-vous sous Windows Vista avec un compte administrateur local. 2. Cliquez sur le logo Windows pour ouvrir le menu de dmarrage, puis cliquez avec le bouton droit de la souris de la souris sur Ordinateur.
Figure 9.1 : Slection du menu Ordinateur
3. Cliquez sur Proprits. La fentre dinformation systme de votre ordinateur souvre.
Figure 9.2 : La fentre dinformation systme
354
4. Cliquez sur Modifier les paramtres en bas droite de la fentre. 9. Lintgration de Windows Vista dans linfrastructure
Figure 9.3 : Validation du changement de configuration
5. Au message du contrle de compte utilisateur, cliquez sur Continuer. La fentre des proprits systme souvre.
Figure 9.4 : La fentre des proprits systme
355
Chapitre 9
6. Cliquez sur Modifier. Cochez loption Domaine et entrez le nom du domaine corp.puzzmania.com.
Figure 9.5 : Configuration du domaine rejoindre
7. Validez, puis tapez lidentifiant dun compte du domaine possdant les droits pour ajouter un ordinateur au domaine. Cliquez sur OK.
Figure 9.6 : Fentre didentification dun compte du domaine possdant les droits
dajouter un ordinateur au domaine
356
Si tout se passe bien, vous verrez apparatre un message de bienvenue dans votre domaine. Vous devrez, comme dans toutes les versions prcdentes de Windows, redmarrer lordinateur pour que les changements prennent effet.
Figure 9.7 : Vous devez redmarrer pour que vos changements prennent effet
Une fois lordinateur redmarr, la nouvelle fentre de login, propre aux ordinateurs Windows en rseau, fait son apparition, accessible par la fameuse combinaison de touches [Ctrl]+[Alt]+[Suppr].
Figure 9.8 : la fentre de login
357
Chapitre 9
8. Tapez sur la combinaison de touches et entrez votre identifiant de domaine. 9. Lintgration de Windows Vista dans linfrastructure
Figure 9.9 : Entrez votre identifiant de domaine
Aprs la validation, votre session de travail souvre. Sidentifier dans un autre domaine Si vous souhaitez vous loguer dans un autre domaine que le domaine dappartenance de lordinateur, domaine approuv dans lequel vous avez le droit de vous loguer, la diffrence des versions antrieures de Windows, il ny a pas de section vous permettant de slectionner un autre domaine. Vous devez taper le nom du domaine dans la partie rserve au nom de lutilisateur selon le format nomdomaine \nomutilisateur. Regardons maintenant de plus prs comment ce nouvel ordinateur apparat sous Active Directory Windows Server 2003. Pour cela, connectez-vous un contrleur de domaine ou un serveur Windows Server 2003 ou encore une station de travail comprenant les outils dadministration permettant de lancer loutil Utilisateurs et Ordinateurs Active Directory (cette dernire mthode est la plus scurise). Nous considrons que vous tes administrateur de linfrastructure Active Directory de lentreprise.
358
9. Lintgration de Windows Vista dans linfrastructure 1. partir de STLSCPDC01, lancez lutilitaire dadministration Utilisateurs et Ordinateurs Active Directory en cliquant sur Dmarrer/Programmes/Outils dadministration et Utilisateurs et Ordinateurs Active Directory.
Figure 9.10 : Vue Utilisateurs et Ordinateurs Active Directory de votre domaine
2. Cliquez sur le conteneur Computers ; vous voyez apparatre le compte dordinateur de la machine WTLSCPVI01 frachement ajoute au domaine.
Figure 9.11 : Vue du conteneur Computers
3. Cliquez deux fois sur le compte dordinateur WTLSCPVI01. La fentre des proprits du compte souvre. Cliquez sur longlet Systme dExploitation.
359
Chapitre 9
Figure 9.12 : Onglet Systme dExploitation de la fentre Proprits du compte dordinateur WTLSCPVI01
Vous retrouvez la version de Windows Vista, signifiant que linscription du compte dordinateur sest bien effectue. Version de Windows Vista Pour les nostalgiques et les curieux, sous longlet Systme dExploitation de la fentre Proprits dun compte dordinateur Windows Vista, le champ Version est dfini 6. Cela signifie qutant conu partir des versions de Windows NT Windows Vista serait en fait Windows NT 6 si Microsoft navait pas revu sa convention de dnomination, Windows 2000 tant NT 5 et Windows XP tant NT 5.1. Toutefois, nous vous recommandons de bien isoler tous les comptes dordinateurs de machines Windows Vista en les sortant du conteneur Computers et en les mettant part, soit dans une unit dorganisation spcifique commune linfrastructure, soit dans une sous-unit dorganisation spcifique chaque unit dorganisation reprsentant un service de lentreprise. Vous simplifierez ainsi votre vision du parc informatique et ladministration centralise des machines. Prenons lexemple dune unit dorganisation spcifique toutes les stations de travail Windows Vista de lentreprise. 1. Crez une unit dorganisation appele Ordinateurs Vista. 2. Par glisser-dposer, placez le compte dordinateur WTLSCPVI01 dans la nouvelle unit dorganisation. Le compte dordinateur est plus facilement identifiable et administrable.
360
Figure 9.13 : Une unit dorganisation particulire pour tous les ordinateurs Windows Vista
Votre ordinateur Windows Vista est prt tre administr de faon centralise via les stratgies de groupe.
Changer rapidement dutilisateur

Dornavant, il est possible de basculer dun utilisateur un autre, sans fermer de session, au sein dun mme domaine. Quest-ce que le changement rapide dutilisateur ? Cette fonctionnalit de Windows vous permet de basculer vers un autre compte dutilisateur sans fermer de programmes, ni de fichiers au pralable. Cette opration simplifie le partage dun ordinateur avec dautres utilisateurs. Cette fonctionnalit est active par dfaut. Attention tout de mme : si vous teignez lordinateur alors quun autre utilisateur a des programmes en cours dexcution, ses fichiers non enregistrs seront perdus. Pour changer dutilisateurs sans fermer la session : 1. Cliquez sur le logo Windows de dmarrage, puis cliquez sur la flche en regard du bouton de verrouillage (voir fig. 9.14). 2. Cliquez sur Changer dutilisateur, puis sur lutilisateur vers lequel vous souhaitez basculer. Assurez-vous denregistrer les fichiers ouverts avant de changer dutilisateurs car Windows nenregistre pas automatiquement les fichiers ouverts. Si vous basculez vers un autre utilisateur et que celui-ci arrte lordinateur, toutes les modifications non enregistres que vous avez apportes aux fichiers ouverts sur votre compte seront perdues.
361
Chapitre 9
Figure 9.14 : Accs au changement rapide dutilisateur
9.2.
Les stratgies de groupe avec Windows Vista
Un ordinateur, quip de Windows Vista et membre dun domaine, est parfaitement administrable partir de linfrastructure Active Directory. Lun des enjeux majeurs de Windows Vista est galement de rduire les cots oprationnels du systme dinformation de lentreprise. La direction du systme dinformation tant perptuellement en qute de rduction des cots, les administrateurs de lentreprise doivent avoir en main des outils et des technologies la fois simples et efficaces afin dadministrer de faon centralise tout le parc informatique. Selon la taille de lentreprise, arriver centraliser ladministration peut devenir un vrai casse-tte. Par contre, quand le dfi est russi, qui dit administration centralise, dit gain de temps et qui dit gain de temps, dit gain dargent. Windows Vista renforce la notion des stratgies de groupe, bien connues depuis Windows 2000, afin de toujours amliorer et simplifier les oprations dadministration. Ces nouveauts des stratgies de groupe vont tendre vers une administration du parc informatique toujours plus centralise.
362
Les stratgies de groupe permettent de configurer et de personnaliser de faon centralise le comportement des ordinateurs et des utilisateurs et dappliquer ces paramtres en masse sur tous les ordinateurs et les utilisateurs. Il existe des stratgies de groupe locales, cest--dire configurables et applicables localement lordinateur, et des stratgies de groupe dinfrastructure, cest--dire configurables via Active Directory soit au niveau de lunit dorganisation, soit au niveau du site ou du domaine et applicables en mme temps sur tout le spectre dordinateurs et dutilisateurs concerns (par exemple tous les ordinateurs et les utilisateurs dune mme unit dorganisation). Ces dernires, au contraire des stratgies de groupe locales, permettent de configurer de faon centralise une seule stratgie de groupe applicable potentiellement sur tous les utilisateurs et les ordinateurs dun domaine ou dune unit dorganisation ou dun site. Au sein dune stratgie de groupe, de trs nombreux paramtres peuvent tre modifis : que ce soit au niveau de lordinateur (icnes du Bureau, longueur des mots de passe, etc.) ou au niveau de lutilisateur (personnalisation dInternet Explorer, redirection de dossiers, etc.). Sous Windows XP prs de 1500 paramtres sont configurables. Sachez que sous Windows Vista, prs de 3000 paramtres sont configurables, cest--dire le double.
Vous trouverez dans les chapitres suivants de ce volume tout ce quil faut savoir sur Active Directory. Le tome II, quant lui, dtaillera les stratgies de groupe, entre autres. Voici les principales nouveauts apportes par les stratgies de groupes sous Windows Vista
Les chiers ADMX

Jusqu prsent, il tait possible de configurer, dajouter et de crer des modles dadministration au sein dune stratgie de groupe partir de fichiers de type ADM. Ouvrez une stratgie de groupe cre auparavant par linfrastructure Active Directory Windows Server 2003 R2 de corp.puzzmania.com laide de la GPMC (console de gestion de stratgie de groupe), tlchargeable partir du site de Microsoft. Tlchargement et installation de la GPMC Connectez-vous sur le site www.microsoft.com/france/technet/produits/win2003/default .mspx et suivez la procdure dinstallation. 1. partir dun ordinateur membre de corp.puzzmania.com, cliquez sur Dmarrer, pointez sur Outils dadministration, cliquez avec le bouton droit sur Gestion de stratgie de groupe, puis cliquez sur Excuter en tant que.
363
Chapitre 9
2. Dans la bote de dialogue Excuter en tant que, cliquez sur Lutilisateur suivant, tapez CORP\Administrateur comme nom dutilisateur, puis le mot de passe associ et cliquez sur OK. 3. Dveloppez successivement les rubriques Fort, Domaines, corp.puzzmania.com, Objets de stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Modifier.
Figure 9.15 : dition dune stratgie de groupe avec la console de gestion des stratgies
de groupe 4. Dveloppez les rubriques Configuration de lordinateur et Modles dadministration.
Figure 9.16 : dition dune stratgie de groupe place sur une unit dorganisation
364
5. Cliquez avec le bouton droit de la souris sur Modles dadministration et slectionnez Ajout/suppression de modles. La fentre de slection ou dajout de fichiers ADM souvre.
Figure 9.17 : Fentre de slection des fichiers ADM
6. Slectionnez un fichier ADM (les fichiers sont souvent classs selon leur rle, Windows Media Player par exemple). Une fois slectionn, vous pouvez configurer les paramtres que vous souhaitez en fonction du modle ADM. Les fichiers ADM modifient des paramtres de la base de Registre. En employant les fichiers ADM sous Windows 2000, Windows Server 2003 et Windows XP, les utilisateurs et Microsoft se sont aperus de deux inconvnients :
j j
Le format ADM nest pas standard. Tous les fichiers ADM sont dupliqus pour chaque stratgie de groupe dinfrastructure, alourdissant ainsi son application.
Windows Vista introduit les fichiers ADMX, une collection de fichiers ayant la mme fonction que les fichiers ADM, mais qui ont la particularit dtre des fichiers standards XML : il est possible de crer un rpertoire de stockage central o toutes les stratgies de groupe du domaine viendront lire les informations dont elles ont besoin. Ce nouveau format permet de rsoudre les inconvnients dtects au pralable avec le format ADM. Les fichiers ADMX permettent galement la gestion unifie des langues prises en charge avec lintroduction des fichiers ADML qui donnent la possibilit dajuster les paramtres des stratgies de groupe avec des langues diffrentes, selon les applications par exemple. 365
Chapitre 9
Considrations sur la compatibilit du format ADMX Le format ADMX tant une nouveaut Windows Vista, seul Windows Vista aujourdhui est capable den tirer les bnfices. Les nouvelles options de paramtrages de Windows Vista sont uniquement accessibles dans un fichier ADMX, donc invisibles des outils dadministration Windows XP ou Server 2003. Le format nest pas rtrocompatible avec les versions antrieures de Windows. Par contre, qui peut le plus, peut le moins : un ordinateur Windows Vista sait parfaitement grer les fichiers ADM des versions antrieures de Windows. Pour mettre en uvre les fichiers ADMX, considrons deux cas : le cas simple de la stratgie locale, puis le cas de limplmentation des fichiers ADMX dans un environnement Active Directory existant.
Le cas de la stratgie locale

Sous Windows Vista, pour diter la stratgie locale, donc charger les fichiers ADMX et modifier un paramtre, procdez comme suit : 1. Cliquez sur le logo Windows de la barre des tches. 2. Tapez gpedit.msc et validez. La stratgie locale souvre.
Figure 9.18 : La stratgie locale sous Windows Vista
Lditeur de stratgies de groupe que vous venez de lancer va lire automatiquement les fichiers de configuration au format ADMX. 3. Vous pouvez dvelopper larborescence, diter et modifier un paramtre (voir fig. 9.19). Sous Windows Vista, les fichiers ADMX sont localiss sous %systemroot% \PolicyDefinitions\. Par dfaut %systemroot% correspond C:\WINDOWS. En comparaison, les fichiers ADM se trouvaient sous %systemroot% \inf\. Et les fichiers ADML sont localiss sous %systemroot%\PolicyDefinitions\fr-FR pour la France. 366
Figure 9.19 : Exemple dun paramtre de stratgie de groupe
4. Fermez les fentres. Regardez le contenu du rpertoire PolicyDefinitions. Pour cela, procdez comme suit : 1. Ouvrez lExplorateur Windows en cliquant sur le logo Windows de la barre des tches, puis sur Tous les programmes, Accessoires et Explorateur Windows. 2. Parcourez lExplorateur jusqu C:\Windows\PolicyDefinitions.
Figure 9.20 : Le rpertoire C:\Windows\PolicyDefinitions
367
Chapitre 9
Il existe, la base, 132 fichiers ADMX. Autrement dit, contrairement aux versions antrieures de Windows et aux fichiers ADM, peu prs tous les paramtres sont configurables au format ADMX. ditons un fichier ADMX pour constater quil est bien au format XML standard. Cliquez deux fois sur un fichier ADMX. Prenons lexemple du fichier AddRemovePrograms.admx ; il contient les lments suivants :
<?xml version="1.0" encoding="utf-8"?>  <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="addremoveprograms" namespace="Microsoft.Policies .AddRemovePrograms" /> <using prefix="windows" namespace="Microsoft.Policies.Windows" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <categories> <category name="Arp" displayName="$(string.Arp)"> <parentCategory ref="windows:ControlPanel" /> </category> </categories> <policies> <policy name="DefaultCategory" class="User" displayName="$(string .DefaultCategory)" explainText="$(string.DefaultCategory_Help)" presentation="$(presentation.DefaultCategory)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> <elements> <text id="DefaultCategoryBox" valueName="DefaultCategory" required="true" /> </elements> </policy> <policy name="NoAddFromCDorFloppy" class="User" displayName="$(string .NoAddFromCDorFloppy)" explainText="$(string.NoAddFromCDorFloppy_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromCDorFloppy"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddFromInternet" class="User" displayName="$(string .NoAddFromInternet)" explainText="$(string.NoAddFromInternet_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromInternet"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy>
368
<policy name="NoAddFromNetwork" class="User" displayName="$(string .NoAddFromNetwork)" explainText="$(string.NoAddFromNetwork_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromNetwork"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddPage" class="User" displayName="$(string.NoAddPage)" explainText="$(string.NoAddPage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddRemovePrograms" class="User" displayName="$(string .NoAddRemovePrograms)" explainText="$(string.NoAddRemovePrograms_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddRemovePrograms"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoChooseProgramsPage" class="User" displayName="$(string .NoChooseProgramsPage)" explainText="$(string.NoChooseProgramsPage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoChooseProgramsPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoRemovePage" class="User" displayName="$(string.NoRemovePage)" explainText="$(string.NoRemovePage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoRemovePage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoServices" class="User" displayName="$(string.NoServices)" explainText="$(string.NoServices_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoServices"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoSupportInfo" class="User" displayName="$(string .NoSupportInfo)" explainText="$(string.NoSupportInfo_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoSupportInfo"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoWindowsSetupPage" class="User" displayName="$(string .NoWindowsSetupPage)" explainText="$(string.NoWindowsSetupPage_Help)"
369
Chapitre 9
key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoWindowsSetupPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> </policies> </policyDefinitions>
Vous retrouvez tous les lments paramtrables de lAjout Suppression de Programmes, ainsi que les cls de Registre modifier et les versions de Windows prises en charge. Sous lditeur de la stratgie de groupe locale, vous obtiendriez la vue suivante :
Figure 9.21 : Les paramtres de stratgie de groupe concernant lajout et la suppression de
programmes au travers de lditeur de stratgie de groupe Vous remarquez que les paramtres sont traduits en franais. Cest possible grce au fichier AddRemovePrograms.adml correspondant qui fait le lien entre les paramtres dfinis en anglais et une traduction franaise. Voici un tout petit extrait du contenu du fichier ADML sur un seul paramtre :
<?xml version="1.0" encoding="utf-8"?>  <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>tapez le nom complet ici</displayName> <description>tapez la description ici</description>
370
<resources> <stringTable> <string id="Arp">Ajouter ou supprimer des programmes</string> <string id="DefaultCategory">Spcifie la catgorie par dfaut pour Ajouter de nouveaux programmes</string> <string id="DefaultCategory_Help">Spcifie la catgorie des programmes qui apparat quand les utilisateurs ouvrent la page "Ajouter de nouveaux programmes". Si vous activez ce paramtre, seuls sont affichs les programmes appartenant la catgorie que vous spcifiez lorsque la page "Ajouter de nouveaux programmes" souvre. Les utilisateurs peuvent utiliser la zone Catgorie sur la page "Ajouter de nouveaux programmes" pour afficher les programmes dans dautres catgories.
Pour utiliser ce paramtre, tapez le nom dune catgorie dans la zone Catgorie pour ce paramtre. Vous devez entrer une catgorie qui est dj dfinie dans Ajouter ou supprimer des programmes. Pour dfinir une catgorie, utilisez Installation de logiciel. Si vous dsactivez ce paramtre ou ne le configurez pas, tous les programmes (Catgorie : toutes) sont affichs lorsque la page "Ajouter de nouveaux programmes" souvre. Vous pouvez utiliser ce paramtre pour diriger les utilisateurs vers les programmes dont ils auront certainement besoin. Remarque : ce paramtre est ignor si le paramtre "Supprimer lapplication Ajouter ou supprimer des programmes" ou le paramtre "Masquer la page Ajouter de nouveaux programmes" est activ.</string>
Le cas de la stratgie de groupe dans Active Directory

Les ordinateurs Windows Vista vont, dans un premier temps, se retrouver membres de domaines Active Directory Windows Server 2003 ou Windows Server 2003 R2. La fonctionnalit des fichiers ADMX offre la possibilit de crer un rpertoire de stockage central au domaine, dans lequel vous pouvez stocker tous les fichiers ADMX. Ainsi, toutes les stratgies de groupe cres au sein du domaine afin de contrler les paramtres des utilisateurs et des ordinateurs Windows Vista sappuieront sur la mme rfrence de fichiers, allgeant la taille des stratgies de groupe. Pour crer le rpertoire central, procdez ainsi : 1. partir dun ordinateur Windows Vista, loguez-vous avec un compte possdant des droits dadministration dans le domaine ou, au moins, les droits dcriture dans le rpertoire dinfrastructure Sysvol. 2. Cliquez sur le logo Windows de la barre des tches, puis tapez
\\STLSCPDC01\SYSVOL\corp.puzzmania.com\Policies et validez.
371
Chapitre 9
3. Une fentre souvre pointant sur le sous-rpertoire Policies dans Sysvol. Vous remarquez les rpertoires reprsentant les identifiants uniques des stratgies de groupe dj existantes. Crez un nouveau rpertoire que vous appelez PolicyDefinitions.
Figure 9.22 : Crez un rpertoire PolicyDefinitions dans Sysvol
4. Recopiez le contenu du rpertoire local C:\WINDOWS\PolicyDefinitions\ dans le rpertoire PolicyDefinitions que vous venez de crer dans le dossier Sysvol. Vous recopiez alors tous les fichiers ADMX et tous les fichiers ADML. Votre rpertoire central est cr et peupl.
Figure 9.23 : Les fichiers ADMX et ADML sont copis dans le rpertoire
PolicyDefinitions du Sysvol Pour tirer parti de ce rpertoire central, vous allez crer une stratgie de groupe afin de contrler les paramtres de tous les ordinateurs Windows Vista contenus dans lunit dorganisation Ordinateurs Vista. Attention, cette stratgie de groupe sera cre dans un domaine Active Directory Windows Server 2003 pour contrler des ordinateurs Windows Vista. La condition sine 372
qua non pour que cela fonctionne est quil faut que cette stratgie de groupe soit cre partir dun ordinateur Windows Vista. Pour cela, Windows Vista intgre par dfaut la console de gestion des stratgies de groupe GPMC (Group Policy Management Console). 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe.
Figure 9.24 : La console de gestion des stratgies de groupe de Windows Vista
3. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe. Un menu droulant apparat. Cliquez sur Nouveau.
Figure 9.25 : Cration dune nouvelle GPO
4. Donnez un nom votre stratgie de groupe, par exemple param ordi vista.
373
Chapitre 9
Figure 9.26 : La GPO param ordi vista
5. Cliquez avec le bouton droit de la souris sur lobjet Stratgie de groupe. Dans le menu droulant, cliquez sur Modifier. La stratgie de groupe param ordi vista souvre. Vous navez qu modifier les paramtres que vous souhaitez. Automatiquement, la stratgie de groupe lira les fichiers ADMX localiss dans le rpertoire de stockage central. 6. Liez la stratgie de groupe lunit dorganisation Ordinateurs Vista. Pour cela, dans linterface de la GPMC, glissez la stratgie de groupe param ordi vista du conteneur Objets de stratgie de groupe vers lunit dorganisation Ordinateurs Vista.
Figure 9.27 : La GPO est lie une unit dorganisation
374
Maintenance des stratgies de groupe de Windows Vista

9. Lintgration de Windows Vista dans linfrastructure Mme sous Windows Vista vous devez porter une attention toute particulire la sauvegarde des stratgies de groupe afin danticiper toute ventualit de sinistre. Grce la GPMC intgre Windows Vista, vous avez loccasion de raliser la sauvegarde de toutes les stratgies de groupe et tre sr que ses sauvegardes prendront en compte les nouveauts apportes par Windows Vista. Pour sauvegarder un objet de stratgie de groupe, procdez ainsi : 1. Ouvrez la console GPMC. 2. Dans larborescence de la console, dployez la fort et le domaine contenant lobjet de stratgie de groupe sauvegarder, puis double-cliquez sur Objets de stratgie de groupe. 3. Pour sauvegarder un unique objet de stratgie de groupe, cliquez dessus avec le bouton droit de la souris, puis cliquez sur Sauvegarder. Pour sauvegarder tous les objets de stratgie de groupe du domaine, cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe, puis cliquez sur Sauvegarder tout.
Figure 9.28 : Sauvegarde de GPO
4. Dans la zone Emplacement de la bote de dialogue Sauvegarde de lobjet GPO, entrez le chemin daccs lemplacement choisi pour stocker la ou les sauvegardes de GPO ou cliquez sur Parcourir pour rechercher le dossier o les stocker, puis cliquez sur OK. 5. Dans la zone Description, entrez la description des GPO sauvegarder, puis cliquez sur Sauvegarder. En cas de sauvegarde de plusieurs GPO, la description sapplique tous les GPO concerns. 375
Chapitre 9
Figure 9.29 : Description de sauvegarde de GPO
6. Une fois lopration termine, cliquez sur OK.

Figure 9.30 : Fin de lopration de sauvegarde
Pour restaurer un objet de stratgie de groupe sauvegard, procdez comme suit : 1. Ouvrez la console GPMC. 2. Recherchez lentre Objets de stratgie de groupe dans larborescence de la console, dans la fort et dans le domaine contenant lobjet de stratgie de groupe restaurer.
376
Deux options soffrent vous. Pour restaurer une version prcdente dun objet de stratgie de groupe existant, procdez comme suit : 1. Double-cliquez sur Objets de stratgie de groupe, cliquez avec le bouton droit de la souris sur lobjet de stratgie de groupe restaurer, puis cliquez sur Restaurer partir dune sauvegarde.
Figure 9.31 : Restaurer partir dune sauvegarde
2. Lorsque lAssistant Restauration dobjets de stratgie de groupe saffiche, suivez les instructions et fournissez les informations appropries sur lobjet de stratgie de groupe restaurer, puis cliquez sur Terminer. 3. Une fois lopration de restauration effectue par lAssistant Restauration dobjets de stratgie de groupe, cliquez sur OK. Pour restaurer un objet de stratgie de groupe supprim, procdez ainsi : 1. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe, puis slectionnez Grer les sauvegardes (voir fig. 9.32). 2. Dans la bote de dialogue Grer les tches de sauvegarde, sous la rubrique Emplacement de sauvegarde, tapez le chemin du dossier de sauvegarde. Vous pouvez galement utiliser Parcourir pour rechercher le dossier de sauvegarde. 3. Dans la bote de dialogue Objets de stratgie de groupe sauvegards, choisissez sur la liste des GPO la version restaurer en vous appuyant sur les diffrentes versions de sauvegarde, puis cliquez sur Restaurer (voir fig. 9.33).
377
Chapitre 9
Figure 9.32 : Grer les sauvegardes
Figure 9.33 : Choix de la version restaurer
4. Lorsque le systme vous invite confirmer lopration de restauration, cliquez sur OK 378
Les stratgies de groupe locales multiples

9. Lintgration de Windows Vista dans linfrastructure La stratgie de groupe locale vous permet dappliquer localement des paramtres lis la configuration de lutilisateur (le fond dcran, Internet Explorer, etc.) et/ou lis la configuration de lordinateur (les droits daccs lordinateur, par exemple). Dans les versions antrieures de Windows, une seule stratgie de groupe locale existait. Cela peut paratre normal : une seule stratgie locale pour contrler soit les paramtres dordinateur, soit les paramtres dutilisateur. Dans certains cas cependant, le fait quil ny ait quune stratgie de groupe locale peut entraner certaines limitations. En effet, si vous utilisez votre ordinateur Windows, hors domaine, comme kiosque ou borne daccs en libre-service, vous allez configurer la stratgie de groupe locale afin de rpondre vos besoins, cest--dire pour scuriser et simplifier son accs. Mais, lorsque vous agissez ainsi, vous appliquez la stratgie locale tous les utilisateurs qui se loguent sur cet ordinateur, y compris ladministrateur, entranant alors des difficults dadministration. Windows Vista lve cette limitation en permettant de crer et de configurer de multiples stratgies de groupe locales. Ces stratgies de groupe locales sappliquent en fonction des utilisateurs locaux (quels quils soient) ou des profils (les administrateurs ou les non-administrateurs). Ainsi, sur vos ordinateurs bornes daccs, vous pouvez configurer pour les utilisateurs qui ne sont pas administrateurs une utilisation trs scurise et directive et, pour les administrateurs, vous pouvez dfinir des paramtres moins restrictifs. Pour crer et configurer plusieurs stratgies locales sous Windows Vista, suivez cette procdure : 1. Cliquez sur le logo Windows de la barre des tches, puis tapez mmc et validez. La console MMC souvre. Windows Vista en propose la version 3.
Figure 9.34 : La console mmc v3.0
379
Chapitre 9
2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. 9. Lintgration de Windows Vista dans linfrastructure
Figure 9.35 : La fentre Ajouter/Supprimer un composant logiciel enfichable
3. Dans la colonne de gauche, contenant les composants logiciels enfichables disponibles, slectionnez le composant Editeur dobjets de stratgie de groupe et cliquez sur Ajouter >.
Figure 9.36 : La fentre de slection de la stratgie de groupe
380
4. Cliquez sur le bouton Parcourir. 9. Lintgration de Windows Vista dans linfrastructure
Figure 9.37 : Choix de la stratgie de groupe
5. Une fentre souvre afin que vous choisissiez une stratgie de groupe. Cliquez sur longlet Utilisateurs.
Figure 9.38 : Onglet Utilisateurs
6. Choisissez lutilisateur local ou le groupe local que vous souhaitez configurer. Vous ne voyez pas tous vos groupes locaux sur la liste, mais uniquement deux catgories : les administrateurs et les non-administrateurs. Validez, puis cliquez sur OK. 381
Chapitre 9
Rptez cette opration pour tous les utilisateurs que vous souhaitez configurer. Vous obtenez la console de configuration suivante :
Figure 9.39 : Stratgies de groupe locales multiples
Vous avez l plusieurs stratgies de groupe locales bases sur des utilisateurs locaux ou sur des catgories dutilisateurs locaux : les administrateurs ou les non-administrateurs. Vous pouvez alors procder des paramtrages diffrents.
9.3.
La compatibilit des nouvelles fonctionnalits de Windows Vista dans Active Directory
Toutes les nouveauts, toutes les amliorations apportes par les paramtres des stratgies de groupe de Windows Vista seront entirement exploitables uniquement avec une version dActive Directory provenant de serveurs Windows Server Longhorn. Les administrateurs ont dj connu cette phase de transition avec Windows XP Professionnel, en attendant la sortie de Windows Server 2003. Toutefois, il sera possible de prendre en compte certains nouveaux paramtrages des stratgies de groupe de Windows Vista en modifiant la version existante du schma Active Directory Windows Server 2003 ou Windows Server 2003 R2. La totalit de ces amliorations seront applicables aux ordinateurs Windows Vista, qui sont les seuls savoir en tirer pleinement parti, ce qui vous permettra de profiter dune trs bonne 382
intgration des machines Windows Vista dans votre infrastructure. Une partie de ces amliorations reste tout de mme applicable aux ordinateurs Windows XP, ce qui est un atout indniable. Les nouveaux paramtres de stratgie de groupe apportent un support avanc pour les ordinateurs Windows Vista en ce qui concerne la gestion des rseaux filaires Ethernet IEEE 802.3, la gestion des rseaux sans fil Ethernet IEEE 802.11 et la prise en charge de la fonctionnalit de cryptage fort de la partition du disque dur : Bitlocker. Cest sur la prise en compte de ces nouveaux paramtres que vous allez pouvoir modifier le schma de votre infrastructure Active Directory existante afin de tirer parti de ces amliorations au plus tt, sans attendre Windows Server Longhorn.
Grer les rseaux laires IEEE 802.3

Contrairement Windows XP, Windows Vista permet de contrler, grce aux stratgies de groupe, les paramtres relatifs lauthentification IEEE 802.1X des rseaux filaires Ethernet IEEE 802.3. Dans une infrastructure Active Directory existante de niveau Windows Server 2003 ou Windows Server 2003 R2, vous pouvez tendre le schma Active Directory pour que vos ordinateurs Windows Vista profitent de ces paramtres. Lexercice consiste ajouter les attributs suivants dans Active Directory :
j j j
msnetieee8023GPPolicyGUID : identificateur unique pour la gestion des rseaux filaires dans les objets de stratgie de groupe. msnetieee8023GPPolicyData : inclut les valeurs des paramtres pour la gestion des rseaux filaires dans les objets de stratgie de groupe. msnetieee8023GPPolicyReserved : rserv un usage futur.
Notions relatives lextension de schma Avant dtendre le schma dActive Directory, vous devez prendre en compte les points suivants : La modification du schma est globale tous les domaines de la fort. j Lextension de schma est irrversible. Les attributs ou les classes ne peuvent tre supprims aprs leur cration. Au mieux, ils peuvent tre dsactivs. j Une sauvegarde de tous vos contrleurs de domaine est ncessaire avant la modification. j Veillez bien documenter vos changements. Une des meilleures solutions consisterait procder dabord la modification de schma sur un domaine de test, proche de la configuration du domaine de production.
j
383
Chapitre 9
Pour plus dinformations sur le schma dActive Directory, consultez ladresse www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/default.mspx. Pour tendre le schma Active Directory de votre infrastructure existante, afin de prendre en compte les paramtres de gestion des rseaux filaires IEEE 802.3, procdez comme suit : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez le script suivant :
# ---------------------------------------------------------- # Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.3Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-8023-GP-PolicyGUID #ms-net-ieee-8023-GP-PolicyData #ms-net-ieee-8023-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific 802.3 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1954 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: WrCnlLK4WU+cJTnmm6oWhA== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyData adminDisplayName: ms-net-ieee-8023-GP-PolicyData adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.3 wired networks. attributeId: 1.2.840.113556.1.4.1955 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE
384
systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1956 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg== showInAdvancedViewOnly: TRUE systemFlags: 16 # ---------------------------------------------------------- # Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-8023-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-8023-GroupPolicy adminDisplayName: ms-net-ieee-8023-GroupPolicy adminDescription: This class represents an 802.3 wired network group policy object. This class contains identifiers and configuration data relevant to an 802.3 wired network. governsId: 1.2.840.113556.1.5.252 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1956 systemMayContain: 1.2.840.113556.1.4.1955 systemMayContain: 1.2.840.113556.1.4.1954
385
Chapitre 9
systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw== defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16 # ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.3Schema.ldf et au format ANSI. Stockez-le un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer, puis sur Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez la ligne ldifde i v k f 802.3Schema .ldf c DC=X Nom_LDAP_complet_du_domaine, o Nom_LDAP_complet _du_domaine correspond au nom unique LDAP du domaine.
Figure 9.40 : Ligne de commandes de modification du schma pour la gestion des
paramtres de GPO des rseaux filaires IEE802.3 Le schma est modifi. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Le schma est modifi. Il ne vous reste plus qu crer ou ouvrir une stratgie de groupe existante, partir dun ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe. 386
3. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier. 4. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows et Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau filaire (IEEE 802.3). 5. Cliquez sur Crer une nouvelle stratgie Windows Vista. La fentre des proprits souvre. 6. Vous pouvez entrer un nom et une description. Cliquez sur longlet Scurit. Vous pouvez ajuster vos paramtres dauthentification que tous les adaptateurs rseau affects par cette stratgie de groupe appliqueront.
Grer les rseaux sans l IEEE 802.11

Concernant la gestion des rseaux sans fil IEEE 802.11, les nouveaux paramtres de stratgie de groupe inclus dans Windows Vista (et nativement dans Windows Server Longhorn) apportent davantage de flexibilit et amliore la qualit dadministration, notamment sur les fonctions suivantes
j
Un mode de scurit mixte : vous pouvez maintenant configurer plusieurs profils avec le mme SSID, mais avec des mthodes de scurit diffrentes. Le SSID (Service Set IDentifier) dsigne le rseau auquel est attach le poste. Ainsi, les ordinateurs clients possdant des capacits de niveau de scurit diffrentes pourront malgr tout se connecter au mme rseau sans fil. Permettre et refuser les listes pour les rseaux sans fil : vous pouvez configurer une liste de rseaux sans fil auxquels le client sans fil de Windows Vista peut se relier et une liste de rseaux sans fil auxquels le client sans fil de Windows Vista ne peut pas se relier. Lextensibilit : vous pouvez importer les profils qui ont des paramtres spcifiques de connectivit et de scurit des fournisseurs sans fil, tels que diffrents types dEAP.
Vous pouvez tendre le schma Active Directory pour que vos ordinateurs Windows Vista puissent profiter de ces paramtres. Lexercice consiste ajouter les attributs suivants dans Active Directory
j j j
msnetieee80211GPPolicyGUID : identificateur unique pour la gestion des rseaux sans fil dans les objets de stratgie de groupe. msnetieee80211GPPolicyData : inclut les valeurs des paramtres pour la gestion des rseaux sans fil dans les objets de stratgie de groupe. msnetieee80211GPPolicyReserved : rserv pour un usage futur.
387
Chapitre 9
Pour tendre le schma Active Directory de votre infrastructure existante afin de prendre en compte les paramtres de gestion des rseaux sans fil IEEE 802.11, procdez ainsi : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez le script suivant :
# ----------------------------------------------------------# Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.11Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-80211-GP-PolicyGUID #ms-net-ieee-80211-GP-PolicyData #ms-net-ieee-80211-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific 802.11 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1951 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyData adminDisplayName: ms-net-ieee-80211-GP-PolicyData adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.11 wireless networks. attributeId: 1.2.840.113556.1.4.1952 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ== showInAdvancedViewOnly: TRUE
388
systemFlags: 16
dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1953 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg== showInAdvancedViewOnly: TRUE systemFlags: 16
# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-80211-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-80211-GroupPolicy adminDisplayName: ms-net-ieee-80211-GroupPolicy adminDescription: This class represents an 802.11 wireless network group policy object. This class contains identifiers and configuration data relevant to an 802.11 wireless network. governsId: 1.2.840.113556.1.5.251 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1953 systemMayContain: 1.2.840.113556.1.4.1952 systemMayContain: 1.2.840.113556.1.4.1951 systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
389
Chapitre 9
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16
# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.11Schema.ldf et au format ANSI. Stockez-le un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer puis Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez ldifde i v k f 802.11Schema.ldf c DC=X Nom_LDAP_complet_du_domaine.
paramtres de GPO des rseaux sans fil IEE802.11 La modification du schma sexcute. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Le schma est maintenant modifi. Il ne vous reste plus qu crer ou ouvrir une stratgie de groupe existante, partir dun ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe. 3. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier.
390
4. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows, puis Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau sans fil (IEEE 802.11). 5. Cliquez sur Crer une nouvelle stratgie Windows Vista. La fentre des proprits souvre. 6. Vous pouvez entrer un nom et une description. Vous pouvez entrer la liste des SSID autoriss. Cliquez sur longlet Permissions rseau. Vous pouvez ajuster vos paramtres dauthentification que tous les adaptateurs rseau sans fil affects par cette stratgie de groupe appliqueront. Vous pouvez galement crer une stratgie sans fil pour Windows XP, comme cela existait dj avec une infrastructure Active Directory Windows Server 2003 et Windows XP. 1. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier. 2. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows, puis Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau sans fil (IEEE 802.11). 3. Cliquez sur Crer une nouvelle stratgie Windows XP. La fentre des proprits souvre. 4. Vous pouvez entrer un nom, une description et configurer vos prfrences. Les possibilits sont moins tendues que sous Windows Vista.
Grer Bitlocker
Lorsque vous activez Bitlocker sur un ordinateur Windows Vista vous chiffrez de faon forte la partition de votre disque dur. La fonctionnalit Bitlocker sappuie sur une puce matrielle appele TPM, ce qui rend encore plus fort son chiffrement. Pour pouvoir crypter et dcrypter les donnes, vous avez besoin de grer les cls Bitlocker ainsi que les mots de passe TPM. Active Directory vous donne loccasion de les sauvegarder de faon centralise, condition que vous mettiez niveau le schma. Les informations de rcupration incluent le mot de passe de rcupration pour chaque volume Bitlocker activ, le mot de passe TPM, et linformation permettant didentifier quel ordinateur sapplique le cryptage. Sauvegarder le mot de passe de rcupration pour chaque volume Bitlocker activ ainsi que le mot de passe TPM permet aux administrateurs daccder et de rcuprer des donnes de volumes verrouills. Ce qui assure aux administrateurs de lentreprise de garantir laccs aux donnes cryptes lutilisateur, mme si celui-ci a perdu la cl Bitlocker et le mot de passe.
391
Chapitre 9
Prise en charge de lextension de schma pour Bitlocker Toutes les versions dActive Directory ne prennent pas en charge lextension de schma pour Bitlocker : tous les contrleurs de domaine de linfrastructure doivent tre au pralable sous Windows Server 2003, avec le Service Pack 1 au minimum. Pour tendre le schma Active Directory de votre infrastructure existante et prendre en compte la sauvegarde des paramtres de rcupration Bitlocker, procdez ainsi : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez ce script
#============================================================================= # TPM Recovery Information - Attributes #============================================================================= # # ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msTPM-OwnerInformation adminDisplayName: TPM-OwnerInformation adminDescription: This attribute contains the owner information of a particular TPM. attributeId: 1.2.840.113556.1.4.1966 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: bRpOqg1VBU6MNUr8uRep/g== showInAdvancedViewOnly: TRUE #============================================================================= # Bitlocker Recovery Information - Attributes # NOTE: FVE is the acronym for Full Volume Encryption, a pre-release name #============================================================================= # # ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryGuid adminDisplayName: FVE-RecoveryGuid adminDescription: This attribute contains the GUID associated with a Full Volume Encryption (FVE) recovery password. attributeID: 1.2.840.113556.1.4.1965 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 137
392
schemaIdGuid:: vAlp93jmoEews/hqAETAbQ== showInAdvancedViewOnly: TRUE # # ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryPassword adminDisplayName: FVE-RecoveryPassword adminDescription: This attribute contains the password required to recover a Full Volume Encryption (FVE) volume. attributeId: 1.2.840.113556.1.4.1964 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg== showInAdvancedViewOnly: TRUE #============================================================================= # Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # BitLocker Recovery Information - Class #============================================================================= # # ms-FVE-RecoveryInformation # dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: classSchema ldapDisplayName: msFVE-RecoveryInformation adminDisplayName: FVE-RecoveryInformation adminDescription: This class contains a Full Volume Encryption recovery password with its associated GUID. governsID: 1.2.840.113556.1.5.253 objectClassCategory: 1 subClassOf: top systemMustContain: msFVE-RecoveryGuid systemMustContain: msFVE-RecoveryPassword systemPossSuperiors: computer schemaIdGUID:: MF1x6lOP0EC9HmEJGG14LA== defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) defaultHidingValue: TRUE defaultObjectCategory: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
393
Chapitre 9
#============================================================================= # Classes - Schema Update #============================================================================= dn: CN=computer,CN=Schema,CN=Configuration,DC=X #changetype: ntdsSchemaModify changetype: modify add: mayContain mayContain: msTPM-OwnerInformation dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Bitlocker Recovery Information - Additional Attributes #============================================================================= # # ms-FVE-VolumeGuid # dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-VolumeGuid adminDisplayName: FVE-VolumeGuid adminDescription: This attribute contains the GUID associated with a BitLocker-supported disk volume. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. attributeID: 1.2.840.113556.1.4.1998 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 27 schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: TRUE rangeUpper: 128 # # ms-FVE-KeyPackage # dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-KeyPackage adminDisplayName: FVE-KeyPackage adminDescription: This attribute contains a volumes BitLocker encryption key secured by the corresponding recovery password. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. attributeId: 1.2.840.113556.1.4.1999 attributeSyntax: 2.5.5.10
394
omSyntax: 4 isSingleValued: TRUE searchFlags: 152 schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: FALSE rangeUpper: 102400 #============================================================================= # Additional Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Updates to BitLocker Recovery Information Class #============================================================================= dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This class contains BitLocker recovery information including GUIDs, recovery passwords, and keys. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify add: mayContain mayContain: msFVE-VolumeGuid mayContain: msFVE-KeyPackage #============================================================================= # Updates to pre-RC1 Attributes #============================================================================= # # Updates to ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 #
395
Chapitre 9
# Updates to ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains the GUID associated with a BitLocker recovery password. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 27 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: isMemberOfPartialAttributeSet isMemberOfPartialAttributeSet: TRUE # # Updates to ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains a password that can recover a BitLocker-encrypted volume. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 256 # # Reload the schema cache to pick up updated attributes # dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1
9. Lintgration de Windows Vista dans linfrastructure 396
En rsum
2. Sauvegardez le fichier sous le nom BitLockerTPMSchemaExtension.ldf et au format ANSI. Stockez-le dans un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer, puis Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez ldifde i v k f BitLockerTPMSchemaExtension.ldf c DC=X Nom_LDAP_complet_du_domaine.
paramtres Bitlocker La modification du schma sexcute. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Ntendez pas le schma dActive Directory laide du DVD dinstallation de Windows Vista ! Le DVD dinstallation de Windows Vista contient lutilitaire adprep.exe qui est cens tendre le schma dActive Directory pour la prise en compte des rseaux filaires IEEE 802.3, des rseaux sans fil IEEE 802.11 et de Bitlocker de faon unifie. Or, la version adprep.exe contenue sur le DVD dinstallation de Windows Vista est une version bta qui ne fonctionne pas en production et qui nest pas prise en charge. Vous devez imprativement suivre les procdures et les scripts qui viennent de vous tre dcrits.
9.4.
En rsum
Microsoft fait tout pour que Windows Vista sintgre le mieux possible un domaine existant, et cest normal : il y va de ladoption du produit par les entreprises. Outre les nombreuses nouveauts des paramtres de stratgie de groupe ou les optimisations de leur traitement, notez la prsence de la console de gestion des stratgies de groupe (GPMC) de base sous Windows Vista, qui vous permet dexploiter immdiatement des stratgies de groupe pour les ordinateurs Windows Vista.
397
Chapitre 10
Windows PowerShell
10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 Prsentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Excuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement dobjets . . . . . . . . . . . . . . . . Linteraction et les scripts . . . . . . . . . . . . . Utiliser Windows PowerShell . . . . . . . . . . . . Naviguer dans Windows PowerShell . . . . . . . PowerShell et Active Directory . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . .... .... .... ... .... .... .... .... .... .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 . 402 . 403 . 404 . 410 . 413 . 415 . 424 . 427 . 428
Prsentation de Windows PowerShell
indows PowerShell est un environnement de ligne de commande Windows spcialement conu pour les administrateurs systme. Il comprend une ligne de commandes interactive et un environnement de script qui peuvent tre utiliss indpendamment lun de lautre ou ensemble. Le parallle est tout de suite vident avec les puissants outils de ligne de commande et denvironnement de scripts prsents sous Unix/Linux. Mme si Windows PowerShell nest pas natif dans Windows Server 2003 ou dans Windows Vista, il y a fort parier quil va occuper une place importante dans ladministration de postes utilisateurs et des serveurs dans les annes venir. Windows PowerShell peut tre utilis galement sur Windows XP ainsi que Windows Server 2003. Le seul prrequis pour quil puisse fonctionner est la prsence de lenvironnement .NET Framework 2.0. 10. Windows PowerShell
10.1. Prsentation de Windows PowerShell

Windows PowerShell est bas sur le Common Language Runtime (CLR) .NET, le .NET Framework 2.0 et accepte et retourne des objets .NET. Cette modification fondamentale de lenvironnement apporte des mthodes et des outils entirement nouveaux pour la gestion et la configuration de Windows. Windows PowerShell introduit le concept dapplet de commande, un outil de ligne de commande simple, fonction unique, intgr dans lenvironnement. Vous pouvez utiliser chaque applet de commande sparment, mais leur puissance se rvle lorsque vous combinez ces outils simples pour effectuer des tches complexes. Windows PowerShell inclut plus de cent applets de commande principales. Vous pouvez galement crire vos propres applets de commande et les partager avec dautres utilisateurs. Comme de nombreux environnements, Windows PowerShell vous donne accs au systme de fichiers de lordinateur. En outre, les fournisseurs de Windows PowerShell vous permettent daccder dautres magasins de donnes, tels que le Registre et les magasins de certificats de signatures numriques, aussi facilement que vous accdez au systme de fichiers. La plupart des environnements, y compris la ligne de commande Windows et les environnements Unix/Linux fonctionnent en excutant une commande ou un utilitaire dans un nouveau processus, et en prsentant les rsultats lutilisateur sous forme de texte. Ces environnements prsentent aussi des commandes intgres lenvironnement et qui sexcutent dans le processus de lenvironnement. La prsence dans la plupart des environnements dun nombre limit de commandes intgres a donn lieu la cration de beaucoup dutilitaires complmentaires. Windows PowerShell est en cela trs diffrent des utilitaires disponibles aujourdhui.
j
Windows PowerShell ne traite pas de texte, mais des objets bass sur la plateforme .NET. 401
Chapitre 10
Windows PowerShell
j j
Windows PowerShell est livr avec un important jeu de commandes intgres, dotes dune interface homogne. Toutes les commandes de lenvironnement utilisent le mme analyseur de commande, au lieu danalyseurs diffrents pour chaque outil. Lutilisation de chaque commande est ainsi beaucoup plus simple acqurir.
10. Windows PowerShell
Mieux, vous navez pas abandonner les outils auxquels vous tes habitu. Vous pouvez toujours utiliser les outils Windows traditionnels, tels que net, sc et reg.exe dans Windows PowerShell. Concernant la conception de PowerShell, les dveloppeurs sont partis de zro pour redfinir le Shell avec comme inspiration ce qui se faisait dj dans les autres systmes :
j j j j
Unix pour le modle de composition trs puissant ; AS400 et VMS pour les nommages et la syntaxe consistante facilitant lapprentissage ; TCL et WSH pour le support multilangage ; Bash, Perl, C# pour le style et la richesse des expressions.
Windows PowerShell utilise son propre langage au lieu de rutiliser un langage existant, parce que Windows PowerShell avait besoin dun langage pour la gestion des objets .NET qui permette de fournir un environnement cohrent dutilisation des applets de commande qui permette la prise en charge de tches complexes, sans compliquer les tches simples et qui permette enfin une cohrence avec les langages de niveau suprieur utiliss en programmation .NET, comme C#.
10.2. Installer Windows PowerShell

Windows PowerShell ncessite certains prrequis pour pouvoir fonctionner correctement. Windows PowerShell requiert les programmes suivants :
j j
Windows Vista, Windows XP Service Pack 2 ou Windows Server 2003 Service Pack 1 ; Microsoft .NET Framework 2.0. Windows PowerShell Windows PowerShell nest pas fourni la base. Vous pouvez le tlcharger ladresse
www.microsoft.com/windowsserver2003/technologies/management/powershell/download .mspx. Choisissez alors la version que vous souhaitez en adquation avec le systme
dexploitation.
402
Excuter Windows PowerShell
Pour installer Windows PowerShell : 1. Excutez le fichier que vous venez de tlcharger. 2. Suivez les instructions des pages de lassistant dinstallation.
Figure 10.1 : Installation de Windows PowerShell
Vous avez la possibilit de procder linstallation de faon silencieuse depuis un partage rseau. 3. Une fois que vous avez recopi le fichier dinstallation sur le partage rseau souhait, ouvrez une Invite en ligne de commande, accdez au partage rseau, puis tapez <Nom_fichier_exe_PowerShell> /quiet.
10.3. Excuter Windows PowerShell

Pour lancer Windows PowerShell :
j
partir du menu de dmarrage de Windows, cliquez sur le logo Windows, sur Tous les programmes, sur Windows PowerShell 1.0, puis sur licne de Windows PowerShell. partir de la zone dexcution, cliquez sur le logo Windows, tapez powershell et validez. partir dune fentre dInvite de commandes, tapez powershell. Parce que Windows PowerShell sexcute dans une session de console, vous pouvez utiliser cette technique pour lexcuter au cours dune session Telnet ou SSH distance. Pour revenir votre session dinvite de commandes, tapez exit.
j j
403
Chapitre 10
Windows PowerShell
Figure 10.2 : Excution de Windows PowerShell par la ligne de commande
Vous remarquez que linvite PowerShell commence par les deux lettres PS.
10.4. Les applets de commande Windows PowerShell

Applet Une applet de commande est une commande fonctionnalit unique qui manipule des objets dans Windows PowerShell. Les applets sont identifiables au format de leur nom : un verbe et un substantif anglais, spars par un tiret, comme GetHelp, GetProcess et StartService. Labrviation donne ces applets de commande est Cmdlet. Voici la liste des applets de commande ainsi que leur description (ce tableau pourra vous servir de rfrence lorsque vous devrez administrer sous Windows PowerShell) :
Tableau 10.1 : Toutes les applets de commande utilisables dans Windows PowerShell
Applet de commande AddContent AddHistory AddMember AddPSSnapin ClearContent ClearItem ClearItemProperty ClearVariable CompareObject Description Ajoute le contenu aux lments spcifis. Ajoute des entres lhistorique de la session. Ajoute un membre personnalis dfini par lutilisateur une instance dun objet Windows PowerShell. Ajoute un ou plusieurs composants logiciels enfichables Windows PowerShell la console actuelle. Supprime le contenu dun lment, par exemple le texte dun fichier, mais ne supprime pas llment. Supprime le contenu dun lment, mais ne supprime pas llment. Supprime la valeur dune proprit, mais ne supprime pas la proprit. Supprime la valeur dune variable. Compare deux jeux dobjets.
ConvertFromSecureString Convertit une chane scurise en chane standard chiffre.
404
Les applets de commande Windows PowerShell
Applet de commande ConvertPath ConvertToHtml ConvertToSecureString
Description Convertit un chemin daccs Windows PowerShell en chemin daccs un fournisseur de Windows PowerShell. Cre une page HTML qui reprsente un objet ou un jeu dobjets. Convertit des chanes standards chiffres en chanes scurises. Cette commande peut aussi convertir du texte brut en chanes scurises. Elle est utilise avec ConvertFromSecureString et ReadHost. Copie un lment dun emplacement vers un autre dans un espace de noms. Copie une proprit et une valeur dun emplacement spcifi vers un autre emplacement. Exporte vers un fichier les informations sur les alias actuellement dfinis. Cre une reprsentation XML dun ou de plusieurs objets et la stocke dans un fichier. Exporte la configuration de la console actuelle vers un fichier afin que vous puissiez la rutiliser ou la partager. Cre un fichier de valeurs spares par des virgules (CSV) qui reprsente les objets dentre. Excute une opration en fonction de chacun des jeux dobjets dentre. Utilise un affichage personnalis pour mettre en forme la sortie. Met en forme la sortie en tant que liste de proprits sur laquelle chaque proprit apparat sur une nouvelle ligne. Met en forme la sortie en tant que tableau. Met en forme les objets en tant que large table qui affiche une seule proprit de chaque objet. Obtient le descripteur de scurit dune ressource, comme un fichier ou une cl de Registre. Obtient les alias pour la session active.
CopyItem CopyItemProperty ExportAlias ExportClixml ExportConsole ExportCsv ForEachObject FormatCustom FormatList FormatTable FormatWide GetAcl GetAlias
GetAuthenticodeSignature Obtient les informations relatives la signature Authenticode dun fichier. GetChildItem GetCommand GetContent GetCredential GetCulture GetDate Obtient les lments et les lments enfants un ou plusieurs emplacements spcifis. Obtient des informations de base sur les applets de commande et sur dautres lments des commandes Windows PowerShell. Obtient le contenu de llment lemplacement spcifi. Obtient un objet credential (informations didentification) bas sur le nom et le mot de passe dun utilisateur. Obtient des informations propos des paramtres rgionaux sur un ordinateur. Obtient lheure et la date actuelles.
405
Chapitre 10
Windows PowerShell
Applet de commande GetEventLog GetExecutionPolicy GetHelp
Description Obtient des informations propos des journaux des vnements locaux ou des entres stockes dans ces journaux des vnements. Obtient la stratgie dexcution actuelle de lenvironnement. Affiche des informations sur les applets de commande et les concepts Windows PowerShell. Obtient la liste des commandes entres pendant la session active. Obtient une rfrence lobjet hte de la console actuelle. Affiche la version Windows PowerShell et les informations rgionales par dfaut. Obtient llment lemplacement spcifi. Rcupre les proprits de llment spcifi. Obtient des informations propos de lemplacement de travail actif. Obtient des informations sur les objets ou les collections dobjets. Obtient des informations sur les fichiers de certificat .pfx de lordinateur. Obtient les processus qui sexcutent sur lordinateur local. Obtient des informations propos des lecteurs Windows PowerShell. Obtient des informations se rapportant au fournisseur de Windows PowerShell spcifi. Obtient les composants logiciels enfichables Windows PowerShell situs sur lordinateur. Obtient les services sur lordinateur local. Obtient les composants Windows PowerShell qui sont instruments pour le traage. Obtient des informations sur la culture de linterface utilisateur actuelle pour Windows PowerShell. Retourne les lments uniques sur une liste trie. Obtient les variables dans la console actuelle. Obtient des instances de classes WMI ou des informations propos des classes disponibles. Regroupe les objets qui contiennent la mme valeur pour les proprits spcifies. Importe une liste dalias partir dun fichier. Importe un fichier CLIXML et cre des objets correspondants dans Windows PowerShell. Importe des fichiers de valeurs spares par des virgules (CSV) dans le format produit par lapplet de commande ExportCsv et retourne des objets qui correspondent aux objets reprsents dans ce fichier CSV. Excute une expression Windows PowerShell qui est fournie sous la forme dune chane.
GetHistory GetHost GetItem GetItemProperty GetLocation GetMember GetPfxCertificate GetProcess GetPSDrive GetPSProvider GetPSSnapin GetService GetTraceSource GetUICulture GetUnique GetVariable GetWmiObject GroupObject ImportAlias ImportClixml ImportCsv
InvokeExpression
406
Applet de commande InvokeHistory InvokeItem JoinPath MeasureCommand MeasureObject MoveItem MoveItemProperty NewAlias NewItem NewItemProperty NewObject NewPSDrive NewService NewTimeSpan NewVariable OutDefault
Description Excute les commandes depuis lhistorique de la session. Appelle laction par dfaut spcifique au fournisseur sur llment spcifi. Combine un chemin daccs et un chemin daccs denfant en un seul chemin daccs. Le fournisseur fournit les sparateurs de chemin daccs. Mesure le temps quil faut pour excuter des blocs de script et des applets de commande. Mesure les caractristiques des objets et leurs proprits. Dplace un lment dun emplacement un autre. Dplace une proprit dun emplacement un autre. Cre un alias. Cre un nouvel lment dans un espace de noms. Dfinit une nouvelle proprit dlment un emplacement. Cre une instance dun objet .NET ou COM. Installe un nouveau lecteur Windows PowerShell. Cre une entre pour un service Windows dans le Registre et dans la base de donnes de services. Cre un objet TimeSpan. Cre une variable. Envoyez la sortie au formateur par dfaut et lapplet de commande de sortie par dfaut. Cette applet de commande na aucun effet sur la mise en forme ou la sortie. Cest un espace rserv qui vous permet dcrire votre propre fonction OutDefault ou une applet de commande. Envoie la sortie un fichier. Envoie la sortie la ligne de commande. Supprime la sortie au lieu de lenvoyer la console. Envoie la sortie une imprimante. Envoie des objets lhte en tant que srie de chanes. Dfinit lemplacement actuel sur le dernier emplacement plac sur la pile laide dune opration push. Vous pouvez extraire lemplacement partir de la pile par dfaut ou dune pile cre laide de PushLocation. Excute une opration push qui place lemplacement actuel sur la pile. Lit une ligne dentre partir de la console. Supprime les lments spcifis. Supprime la proprit et sa valeur dun lment. Supprime un lecteur Windows PowerShell de son emplacement. Supprime les composants logiciels enfichables Windows PowerShell de la console actuelle.
OutFile OutHost OutNull OutPrinter OutString PopLocation
PushLocation ReadHost RemoveItem RemoveItemProperty RemovePSDrive RemovePSSnapin
407
Chapitre 10
Windows PowerShell
Applet de commande RemoveVariable RenameItem RenameItemProperty ResolvePath
Description Supprime une variable et sa valeur. Renomme un lment dans un espace de noms du fournisseur de Windows PowerShell. Renomme la proprit dun lment. Rsout les caractres gnriques inclus dans un chemin daccs et affiche le contenu de ce dernier. Arrte, puis dmarre un ou plusieurs services. Reprend un ou plusieurs services interrompus (suspendus). Slectionne des proprits spcifies dun objet ou dun jeu dobjets. Il peut galement slectionner des objets uniques dun tableau dobjets ou slectionner un nombre spcifi dobjets du dbut ou de la fin dun tableau dobjets. Identifie des modles dans les chanes. Modifie le descripteur de scurit de la ressource spcifie, telle quun fichier ou une cl de Registre. Cre ou modifie un alias (autre nom) pour une applet de commande ou un autre lment de commande dans la session Windows PowerShell actuelle.
RestartService ResumeService SelectObject
SelectString SetAcl SetAlias
SetAuthenticodeSignature Utilise une signature Authenticode pour signer un script Windows PowerShell ou autre fichier. SetContent SetDate SetExecutionPolicy SetItem SetItemProperty SetLocation SetPSDebug SetService SetTraceSource SetVariable SortObject SplitPath StartService crit ou remplace le contenu dun lment par un nouveau contenu. Modifie lheure systme sur lordinateur en la remplaant par lheure que vous spcifiez. Modifie la prfrence utilisateur pour la stratgie dexcution de lenvironnement. Remplace la valeur dun lment par la valeur spcifie dans la commande. Dfinit la valeur dune proprit lemplacement spcifi. Dfinit lemplacement de travail actif sur un emplacement spcifi. Active/dsactive les fonctions de dbogage, dfinit le niveau de suivi et active/dsactive le mode strict. Modifie le nom daffichage, la description ou le mode de dmarrage dun service. Configure, dmarre et arrte une trace des composants Windows PowerShell. Dfinit la valeur dune variable. Cre la variable si aucune variable avec le nom demand nexiste pas. Trie les objets par les valeurs de proprit. Retourne la partie spcifie dun chemin daccs. Dmarre un ou plusieurs services arrts.
408
Applet de commande StartSleep StartTranscript StopProcess StopService StopTranscript SuspendService TeeObject TestPath TraceCommand UpdateFormatData UpdateTypeData WhereObject WriteDebug WriteError WriteHost WriteOutput WriteProgress WriteVerbose WriteWarning
Description Interrompez lenvironnement, le script ou lactivit de linstance dexcution pour lintervalle de temps spcifi. Cre un enregistrement de tout ou partie dune session Windows PowerShell dans un fichier texte. Arrte un ou plusieurs processus en cours dexcution.
Arrte un ou plusieurs services en cours dexcution. Arrte une transcription. Interrompt (suspend) un ou plusieurs services en cours dexcution. Dirige lentre dobjet vers un fichier ou une variable, puis passe lentre le long du pipeline. Dtermine si tous les lments dun chemin daccs existent. Lapplet de commande TraceCommand configure et dmarre une trace de lexpression ou de la commande spcifie. Met jour et ajoute les fichiers de donnes de mise en forme. Met jour la configuration de type tendu actuelle en rechargeant en mmoire les fichiers *.types.ps1xml. Cre un filtre qui contrle les objets qui seront passs le long dun pipeline de commandes. crit un message de dbogage pour laffichage hte. crit un objet au pipeline derreur. Affiche des objets laide de linterface utilisateur hte crit des objets au pipeline de succs. Affiche une barre de progression dans une fentre de commande Windows PowerShell. crit une chane pour laffichage comment de lhte. crit un message davertissement.
Dans les environnements traditionnels, les commandes sont des programmes excutables allant de la commande simple comme dir au trs complexe comme netsh. Dans Windows PowerShell, la plupart des applets de commande sont trs simples et conues pour une utilisation en association avec dautres applets de commande. Par exemple, les applets de commande get ne font que rcuprer des donnes, les applets de commande set permettent uniquement de dfinir ou de modifier des donnes, les applets de commande format servent exclusivement la mise en forme de donnes et les applets de commande out seulement diriger la sortie vers une destination spcifie. Chaque applet de commande est assortie dun fichier daide auquel vous pouvez accder en tapant gethelp <nom_applet_commande> detailed. 409
Chapitre 10
Windows PowerShell
Laffichage dtaill du fichier daide de lapplet de commande comprend une description de lapplet de commande, la syntaxe de commande, la description des paramtres et un exemple qui illustre lutilisation de lapplet de commande.
Figure 10.3 : Un exemple de fichier daide dune applet de commande
10.5. Le traitement dobjets

Bien que vous puissiez ne pas vous en rendre compte, lorsque vous travaillez dans Windows PowerShell, vous travaillez avec des objets .NET. Dun point de vue technique, un objet .NET est une instance dune classe .NET constitu de donnes et des oprations associes ces donnes. Vous pouvez cependant considrer un objet comme une entit de donnes assortie de proprits, qui sont en quelque sorte des caractristiques, et des mthodes, qui sont des actions que vous pouvez effectuer sur lobjet. Par exemple, lorsque vous obtenez un service dans Windows PowerShell, vous obtenez en ralit un objet qui reprsente le service. Lorsque vous consultez des informations sur un service, vous consultez les proprits de son objet service. Et lorsque vous dmarrez un service, cest--dire lorsque vous affectez la proprit Status du service la valeur started, vous utilisez une mthode de lobjet service. Tous les objets du mme type ont les mmes proprits et mthodes, mais chaque instance dun objet peut avoir des valeurs diffrentes pour les proprits. Pour dterminer le type dobjet obtenu par une applet de commande, utilisez un oprateur de pipeline | afin denvoyer les rsultats dune commande get la commande GetMember. Par exemple, la commande getservice | getmember envoie les objets rcuprs par une commande GetService GetMember.
PS C:\Documents and Settings\Administrateur> get-service | get-member TypeName: System.ServiceProcess.ServiceController
410
Le traitement dobjets
Name MemberType Definition ---------------------Name AliasProperty Name = ServiceName add_Disposed Method System.Void add_Disposed(EventHandler value) Close Method System.Void Close() Continue Method System.Void Continue() CreateObjRef Method System.Runtime.Remoting.ObjRef CreateObjRef(Type requestedType) Dispose Method System.Void Dispose() Equals Method System.Boolean Equals(Object obj) ExecuteCommand Method System.Void ExecuteCommand(Int32 command) GetHashCode Method System.Int32 GetHashCode() GetLifetimeService Method System.Object GetLifetimeService() GetType Method System.Type GetType() get_CanPauseAndContinue Method System.Boolean get_CanPauseAndContinue() get_CanShutdown Method System.Boolean get_CanShutdown() get_CanStop Method System.Boolean get_CanStop() get_Container Method System.ComponentModel.IContainer get_Container() get_DependentServices Method System.ServiceProcess.ServiceController[] get_DependentServices() get_DisplayName Method System.String get_DisplayName() get_MachineName Method System.String get_MachineName() get_ServiceHandle Method System.Runtime.InteropServices.SafeHandle get_ServiceHandle() get_ServiceName Method System.String get_ServiceName() get_ServicesDependedOn Method System.ServiceProcess.ServiceController[] get_ServicesDependedOn() get_ServiceType Method System.ServiceProcess.ServiceType get_ServiceType() get_Site Method System.ComponentModel.ISite get_Site() get_Status Method System.ServiceProcess .ServiceControllerStatus get_Status() InitializeLifetimeService Method System.Object InitializeLifetimeService() Pause Method System.Void Pause() Refresh Method System.Void Refresh() remove_Disposed Method System.Void remove_Disposed(EventHandler value) set_DisplayName Method System.Void set_DisplayName(String value) set_MachineName Method System.Void set_MachineName(String value) set_ServiceName Method System.Void set_ServiceName(String value) set_Site Method System.Void set_Site(ISite value) Start Method System.Void Start(), System.Void Start(String[] args) Stop Method System.Void Stop() ToString Method System.String ToString() WaitForStatus Method System.Void WaitForStatus(ServiceControllerStatus desiredStatus), System.Void WaitForStatus(ServiceControllerStatus desiredStatus, TimeSpan timeout) CanPauseAndContinue Property System.Boolean CanPauseAndContinue {get;} CanShutdown Property System.Boolean CanShutdown {get;}
10. Windows PowerShell 411
Chapitre 10
Windows PowerShell
CanStop Property System.Boolean CanStop {get;} Container Property System.ComponentModel.IContainer Container {get;} DependentServices Property System.ServiceProcess.ServiceController[] DependentServices {get;} DisplayName Property System.String DisplayName {get;set;} MachineName Property System.String MachineName {get;set;} ServiceHandle Property System.Runtime.InteropServices.SafeHandle ServiceHandle {get;} ServiceName Property System.String ServiceName {get;set;} ServicesDependedOn Property System.ServiceProcess.ServiceController[] ServicesDependedOn {get;} ServiceType Property System.ServiceProcess.ServiceType ServiceType {get;} Site Property System.ComponentModel.ISite Site {get;set;} Status Property System.ServiceProcess .ServiceControllerStatus Status {get;} GetMember affiche des informations sur lobjet service, y compris le nom de type (TypeName) de lobjet et une liste de ses proprits et mthodes.
Pour rechercher les valeurs de toutes les proprits dun objet particulier, utilisez un oprateur de pipeline afin denvoyer les rsultats dune commande get une commande FormatList ou FormatTable. Utilisez le paramtre Property des applets de commande Format avec une valeur visant tout inclure. Par exemple, pour rechercher toutes les proprits du service Planification du systme, tapez getservice schedule | formatlist property *.
Figure 10.4 : rsultat de la commande get-service schedule | format-list property *
Les pipelines dobjets

Lun des avantages lis lutilisation dobjets est quelle permet de canaliser la commande en pipeline, cest--dire de passer la sortie dune commande une autre commande, en tant quentre. La communication requiert souvent la manipulation de 412
Linteraction et les scripts
chanes afin de convertir la sortie dun format en un autre et de supprimer des titres et des en-ttes de colonnes. Windows PowerShell fournit un nouveau modle interactif bas sur les objets, plutt que sur du texte. Lapplet de commande qui reoit un objet peut agir directement sur ses proprits et mthodes sans la moindre conversion ou manipulation. Les utilisateurs peuvent faire rfrence aux proprits et mthodes de lobjet par nom, plutt que davoir calculer la position des donnes dans la sortie. Prenons un exemple : le rsultat dune commande IpConfig est pass une commande Findstr. Loprateur de pipeline envoie le rsultat de la commande situe sa gauche la commande situe sa droite.
Figure 10.5 : Utilisation de loprateur de pipeline
Le rsultat est laffichage de la ligne contenant la chane de caractres Adresse comme seul rsultat de la commande IpConfig.
10.6. Linteraction et les scripts

Comme dautres environnements, Windows PowerShell prend en charge un environnement interactif complet. Lorsque vous tapez une commande linvite, la commande est traite et la sortie saffiche dans la fentre denvironnement. Vous pouvez envoyer la sortie dune commande un fichier ou une imprimante, ou bien utiliser loprateur de pipeline pour envoyer la sortie une autre commande. Si vous excutez de faon rptitive des commandes ou des squences de commandes particulires, ou si vous dveloppez une srie de commandes pour effectuer une tche complexe, vous pouvez enregistrer vos commandes dans un fichier et excuter le fichier de commandes au lieu de taper des commandes linvite. Cest le principe du script. En plus de son interface interactive, Windows PowerShell prend pleinement en charge les scripts. Dans Windows PowerShell, les fichiers de script ont lextension de nom de fichier .ps1. Pour excuter un script, tapez le nom du script lInvite de commandes, par exemple c:\script.ps1. Vous devez spcifier le chemin daccs complet au fichier de script, mme si le script se trouve dans le rpertoire actif. Pour indiquer le rpertoire actif, tapez son nom ou utilisez un point (.) pour le reprsenter, par exemple .\testscript.ps1. Windows PowerShell inclut galement un langage de script trs labor qui vous permet de crer des scripts des plus simples aux plus complexes. Il prend en charge des
413
Chapitre 10
Windows PowerShell
constructions de langage pour les boucles, les conditions, le contrle de flux et laffectation de valeurs aux variables.
La stratgie dexcution
Bien que les scripts soient extrmement utiles, voire essentiels, dans certaines entreprises, ils peuvent tre utiliss pour diffuser du code malveillant. En consquence, la stratgie de scurit dans Windows PowerShell, appele "stratgie dexcution", vous permet de dterminer si des scripts peuvent sexcuter et sils doivent inclure une signature numrique. Pour liminer un risque vident, aucune des stratgies dexcution de Windows PowerShell ne vous permet dexcuter un script par un double-clic sur son icne. Pour obtenir plus dinformations, sous Windows PowerShell, tapez gethelp
about_signing.
Les stratgies dexcution PowerShell assurent la scurit de lenvironnement de script en dterminant les conditions dans lesquelles PowerShell charge des fichiers de configuration et excute des scripts. Les stratgies dexcution PowerShell sont numres dans le tableau suivant :
Tableau 10.2 : Les diffrentes stratgies dexcution de Windows PowerShell
Stratgie dexcution Restricted AllSigned Description Stratgie dexcution par dfaut. Autorise lexcution de commandes individuelles, mais de scripts. Les scripts peuvent tre excuts. Requiert la signature numrique dun diteur approuv sur tous les scripts et les fichiers de configuration, y compris les scripts que vous crivez sur lordinateur local, vous demande confirmation avant dexcuter des scripts provenant dditeurs approuvs et risque dexcuter des scripts signs mais malveillants. Les scripts peuvent tre excuts. Requiert la signature numrique dun diteur approuv sur les scripts et fichiers de configuration tlchargs partir dInternet (y compris les programmes de messagerie lectronique et de messagerie instantane), ne requiert pas de signatures numriques sur les scripts excuts depuis lordinateur local, ne vous demande pas de confirmation avant dexcuter des scripts provenant dditeurs approuvs et risque dexcuter des scripts signs mais malveillants. Les scripts non signs peuvent tre excuts. Les scripts et fichiers de configuration tlchargs partir dInternet (y compris Microsoft Outlook, Windows Mail et Windows Messenger) sont excuts aprs que vous avez t inform de leur provenance. Risque dexcuter des scripts malveillants.
RemoteSigned
Unrestricted
414
Utiliser Windows PowerShell
Restricted est la stratgie la plus sre. Cest la valeur par dfaut. Elle autorise lexcution de commandes individuelles, mais pas celle de scripts.
Lorsquune stratgie dexcution empche PowerShell de charger un fichier ou dexcuter un script, un avertissement qui explique la restriction saffiche. Pour charger le fichier ou autoriser lexcution de scripts, changez de stratgie dexcution. Le changement prend immdiatement effet et est conserv jusqu ce que vous en changiez de nouveau. Seuls les administrateurs sont autoriss changer de stratgie. Pour changer de stratgie dexcution : 1. Sous Windows PowerShell, tapez SetExecutionPolicy <nom_stratgie>, par exemple SetExecutionPolicy RemoteSigned. 2. Si la commande aboutit, PowerShell affiche lInvite de commandes. Aucun message de russite ne saffiche. Si la commande choue, PowerShell affiche un message derreur et rtablit la stratgie dexcution antrieure. Pour consulter la stratgie dexcution PowerShell : 3. Sous Windows PowerShell, tapez GetExecutionPolicy.
Figure 10.6 : Rsultat de la commande Get-ExecutionPolicy
10.7. Utiliser Windows PowerShell

Plongez-vous maintenant dans les principes fondamentaux de lutilisation de Windows PowerShell. Vous allez apprendre les bonnes pratiques dutilisation
Limportance de laide
Lapplet de commande GetHelp est un outil pratique pour en apprendre davantage sur Windows PowerShell. En lisant les descriptions des applets de commande, en tudiant les concepts et en explorant les rubriques lies au langage, vous pouvez commencer comprendre comment utiliser Windows PowerShell. La premire rubrique dintrt est donc le systme daide.
j
Pour afficher des informations sur le systme daide de Windows PowerShell, tapez
gethelp.
415
Chapitre 10
Windows PowerShell
Figure 10.7 : Rsultat de la commande get-help
Pour commencer utiliser Windows PowerShell, vous souhaiterez donc en savoir plus sur quelques applets de commande de base, telles que GetCommand, GetProcess, GetService, GetEventlog, etc.
j
Pour afficher la forme la plus simple de laide dune applet de commande, tapez
gethelp, suivi du nom de lapplet de commande en question. Par exemple, pour obtenir de laide sur GetCommand, tapez gethelp getcommand.
Pour afficher laide dtaille dune applet de commande, qui inclut la description des paramtres et des exemples, utilisez le paramtre Detailed de GetHelp. Par exemple, pour obtenir laide dtaille relative lapplet de commande GetCommand, tapez gethelp getcommand detailed. Pour afficher lintgralit de laide disponible pour une applet de commande, y compris des informations techniques sur cette applet de commande et ses paramtres, utilisez le paramtre Full. Par exemple, pour obtenir lintgralit de laide relative lapplet de commande GetCommand, tapez gethelp getcommand full.
416
Vous pouvez aussi afficher des parties slectionnes du fichier daide. Pour consulter uniquement les exemples, utilisez le paramtre Examples. Par exemple, pour afficher les exemples de lapplet de commande GetCommand, tapez gethelp getcommand examples. Pour consulter uniquement des descriptions dtailles de paramtres, utilisez le paramtre Parameter de GetHelp. Vous pouvez spcifier le nom dun paramtre ou utiliser le caractre gnrique * pour spcifier tous les paramtres. Par exemple, pour consulter une description du paramtre TotalCount de GetCommand, tapez gethelp getcommand parameter totalcount. Pour consulter tous les paramtres de lapplet de commande GetCommand, tapez gethelp getcommand parameter *.
Vous pouvez galement utiliser lune des fonctions de Windows PowerShell qui appellent GetHelp. La fonction Help affiche un cran daide complet la fois. La fonction Man affiche une aide qui ressemble aux pages Man sous Unix (tiens ?).
j
Pour utiliser les fonctions Help et Man afin dafficher laide de lapplet de commande GetCommand, tapez man getcommand ou help getcommand.
Figure 10.8 : Rsultat de la commande man get-command
Lorsque vous demandez une rubrique daide particulire, GetHelp affiche le contenu de la rubrique. Mais lorsque vous utilisez des caractres gnriques pour demander plusieurs rubriques, GetHelp affiche une liste de rubriques. Par exemple, pour consulter la liste des rubriques daide relatives aux applets de commande Get, tapez gethelp get*. Laide sur les concepts de Windows PowerShell commence par about_. Pour afficher de laide sur un concept Windows PowerShell, tapez gethelp, suivi du nom du concept qui vous intresse. Par exemple, pour obtenir de laide sur les caractres gnriques, tapez gethelp about_wildcard. Pour afficher une liste de toutes les rubriques conceptuelles de Windows PowerShell, tapez gethelp about_*.
417
Chapitre 10
Windows PowerShell
La lecture des rubriques daide et lessai des exemples vous permettront de vous familiariser avec le fonctionnement de Windows PowerShell et la manire dont vous pouvez lutiliser dans votre rle dadministrateur.
Utiliser des applets de commande

10. Windows PowerShell Commencez en tapant le nom de lapplet de commande lInvite de commandes de Windows PowerShell. Les commandes Windows PowerShell ne respectent pas la casse : vous pouvez les taper votre convenance en majuscules ou en minuscules.
Figure 10.9 : Exemple de commande get-date
Pour rpertorier les applets de commande de votre session, utilisez lapplet de commande GetCommand sans paramtres de commande. Laffichage par dfaut de GetCommand comprend trois colonnes : CommandType, Name et Definition. Lorsquil sagit dafficher la liste des applets de commande, la colonne Definition affiche la syntaxe de lapplet de commande. Lapplet de commande GetCommand obtient galement des commandes et lments de commande autres que des applets de commande, notamment les alias (surnoms de commandes), fonctions et fichiers excutables disponibles dans Windows PowerShell. Voici un exemple qui rpertorie les fichiers excutables disponibles dans Windows PowerShell en utilisant GetCommand, limage correspondante ne montre quune petite partie du rsultat :
Figure 10.10 : Une partie des rsultats de get-command *.exe
Dans cet exemple, lorsquil sagit dafficher la liste des fichiers excutables, la colonne Definition contient le chemin daccs complet au fichier excutable. Maintenant, essayez dautres applets de commande, comme GetProcess, GetService, GetEventLog et GetAlias. Lorsque vous serez laise avec les 418
applets de commande de type Get simples, essayez-en une plus intressante, comme GetWmiObject. Cette applet de commande vous permet dafficher et de modifier les composants dordinateurs distants. Par exemple, la commande getwmiobject win32_bios computername srvdc01 obtient des informations sur le BIOS du serveur SRVDC01. Et noubliez pas dutiliser la commande gethelp avec ses multiples commutateurs pour entrer dans les dtails techniques de la commande.
Mettre en forme la sortie des commandes

Dans Windows PowerShell, vous avez la possibilit de faire appel des applets de commande qui mettent en forme la sortie de la commande que vous voulez excuter. Ce sont les applets de commande format :
j j j j
FormatList ; FormatCustom ; FormatTable ; FormatWide.
Aucune autre applet de commande ne met en forme la sortie. Lorsque vous excutez une commande, Windows PowerShell appelle le formateur par dfaut, dtermin par le type des donnes affiches. Le formateur dtermine les proprits de la sortie afficher et si elles doivent tre affiches sous forme de liste ou de tableau. Par exemple, lorsque vous utilisez lapplet de commande GetService, laffichage par dfaut est un tableau trois colonnes comme dans limage suivante (qui ne contient quune petite partie du rsultat) :
Figure 10.11 :
Une partie des rsultats de get-service
Pour modifier le format de la sortie de toute applet de commande, utilisez loprateur de pipeline afin denvoyer la sortie de la commande une applet de commande Format. Par exemple, la commande suivante envoie la sortie dune commande GetService lapplet de commande FormatList. En consquence, les donnes de service sont prsentes sous forme de liste pour chaque service.
419
Chapitre 10
Windows PowerShell
Figure 10.12 : Une partie des rsultats de get-service | format-list
Dans ce format, non seulement les donnes apparaissent dans une liste au lieu dun tableau, mais les informations sur chaque service sont plus nombreuses. Au lieu de trois colonnes de donnes pour chaque service, il y a neuf lignes de donnes. FormatList na pas rcupr les informations de service supplmentaires. Les donnes taient prsentes avec les objets rcuprs par GetService, mais FormatTable, le formateur par dfaut, les a omises car il ne pouvait pas afficher plus de trois colonnes sur la largeur de lcran.
Utiliser des alias

La saisie des noms dapplets de commande peut tre fastidieuse. Pour rduire la saisie et faciliter lutilisation de Windows PowerShell par des utilisateurs habitus dautres environnements, Windows PowerShell prend en charge le concept dalias, cest--dire un autre nom pour une commande. Vous pouvez crer un alias pour un nom dapplet de commande, de fonction ou de fichier excutable, puis taper lalias au lieu du nom dans toute commande. Windows PowerShell inclut de nombreux alias intgrs et vous pouvez crer les vtres. Les alias que vous crez sont valides uniquement dans la session active. Voici la liste des alias intgrs la base dans PowerShell :
420
Tableau 10.3 : Liste des alias prconfigurs sous PowerShell Alias % ? ac asnp cat cd chdir clc clear cli clp cls clv copy cp cpi cpp cvpa del diff dir echo epal epcsv erase fc fl foreach ft fw gal gc gci Commande PowerShell correspondante ForEachObject WhereObject AddContent AddPSSnapin GetContent SetLocation SetLocation ClearContent ClearHost ClearItem ClearItemProperty ClearHost ClearVariable CopyItem CopyItem CopyItem CopyItemProperty ConvertPath RemoveItem CompareObject GetChildItem WriteOutput ExportAlias ExportCsv RemoveItem FormatCustom FormatList ForEachObject FormatTable FormatWide GetAlias GetContent GetChildItem
Chapitre 10
Windows PowerShell
Alias gcm gdr ghy gi gl gm gp gps group gsnp gsv gu gv gwmi h history iex ihy ii ipal ipcsv kill lp ls mi mount move mp mv nal ndr ni nv oh
Commande PowerShell correspondante GetCommand GetPSDrive GetHistory GetItem GetLocation GetMember GetItemProperty GetProcess GroupObject GetPSSnapin GetService GetUnique GetVariable GetWmiObject GetHistory GetHistory InvokeExpression InvokeHistory InvokeItem ImportAlias ImportCsv StopProcess OutPrinter GetChildItem MoveItem NewPSDrive MoveItem MoveItemProperty MoveItem NewAlias NewPSDrive NewItem NewVariable OutHost
Alias popd ps pushd pwd r rd rdr ren ri rm rmdir rni rnp rp rsnp rv rvpa sal sasv sc select set si sl sleep sort sp spps spsv sv tee type where write
Commande PowerShell correspondante PopLocation GetProcess PushLocation GetLocation InvokeHistory RemoveItem RemovePSDrive RenameItem RemoveItem RemoveItem RemoveItem RenameItem RenameItemProperty RemoveItemProperty RemovePSSnapin RemoveVariable ResolvePath SetAlias StartService SetContent SelectObject SetVariable SetItem SetLocation StartSleep SortObject SetItemProperty StopProcess StopService SetVariable TeeObject GetContent WhereObject WriteOutput
Chapitre 10
Windows PowerShell
Dans ces alias, vous en remarquerez des biens connus dUnix/Linux comme ls, rm, etc.
Crer un alias
Pour crer des alias pour les applets de commande et les commandes dans Windows PowerShell, utilisez lapplet de commande SetAlias. Par exemple, pour crer lalias gh pour lapplet de commande GetHelp, tapez setalias gh gethelp. 10. Windows PowerShell
Supprimer un alias
Pour supprimer un alias, utilisez lapplet de commande RemoveItem. Par exemple, pour supprimer lalias ls, tapez removeitem alias:ls.
10.8. Naviguer dans Windows PowerShell

Une fonctionnalit particulirement intressante de Windows PowerShell est quil vous permet de naviguer travers de nombreux magasins de donnes diffrents en utilisant les techniques auxquelles vous tes habitu dans le systme de fichiers. En plus des lecteurs classiques du systme de fichiers, comme C: et D:, Windows PowerShell inclut des lecteurs qui reprsentent les ruches HKEY_LOCAL_MACHINE (HKLM:) et HKEY_CURRENT_USER (HKCU:) du Registre, le magasin de certificats de signatures numriques de votre ordinateur et les fonctions de la section active, entre autres. Il sagit des lecteurs Windows PowerShell. Windows PowerShell est livr avec plusieurs lecteurs pratiques, pris en charge par les fournisseurs de Windows PowerShell. Pour obtenir la liste des lecteurs Windows PowerShell, tapez getpsdrive.
Figure 10.13 : Les lecteurs Windows PowerShell
Naviguer dans le systme de chiers

Pour naviguer dans le lecteur de systme de fichiers, utilisez les applets de commande SetLocation (qui a comme alias cd) et GetChilditem (qui a comme alias dir ou ls). Dans Windows PowerShell, les lecteurs sont indiqus par leur nom, suivi dun 424
Naviguer dans Windows PowerShell
deux-points et les lments parents sont spars des lments enfants par des barres obliques inverses (\), comme lorsque vous tapez C:\windows, ou des barres obliques (/). La navigation dans Windows PowerShell est facilite grce quelques fonctionnalits :
j j
Des symboles reprsentent le rpertoire actif (le point) et le contenu dun rpertoire *. Des variables intgres reprsentent votre rpertoire de base $home et le rpertoire dinstallation de Windows PowerShell $pshome.
Comme dans dautres environnements, vous pouvez passer dun emplacement un autre, crer, supprimer, dplacer et copier des rpertoires et des fichiers ou modifier leurs proprits. Vous pouvez mme utiliser la saisie automatique par tabulation pour les noms de chemins daccs. Les commandes Item vous seront trs utiles pour cela.
Naviguer dans le Registre

Vous pouvez naviguer dans la base de Registre Windows en utilisant les mmes techniques de navigation que dans le lecteur de systme de fichiers. Dans Windows PowerShell, la ruche HKEY_LOCAL_MACHINE est mappe au lecteur Windows PowerShell HKLM: et HKEY_CURRENT_USER au lecteur Windows PowerShell HKCU:. Vous pouvez manipuler le lecteur de Registre comme dans limage suivante :
Figure 10.14 : Exemple de navigation dans le registre
425
Chapitre 10
Windows PowerShell
Vous remarquerez que le rsultat de la commande dir (GetChildItem) dans les lecteurs de Registre est diffrent de celui du systme de fichiers. Parce que le Registre propose des informations diffrentes sur diffrents lecteurs, lenvironnement fournit une vue diffrente des donnes. Dans ce cas, il est important de savoir combien de sous-cls et dentres sont prsentes, de sorte que la sortie inclut un nombre de sous-cls et un nombre dentres de valeurs, en plus des noms des sous-cls et des entres. 10. Windows PowerShell
Figure 10.15 : Informations sur les sous-cls et les valeurs
Vous ne rencontrerez que peu de diffrences de navigation jusqu laccs aux entres du Registre. Les entres dune cl de Registre sont considres comme tant les proprits de la cl sous laquelle elles se trouvent. Comme telles, vous pouvez les rcuprer au moyen de lapplet de commande GetItemProperty.
Figure 10.16 : Proprits dune cl dans Windows PowerShell
Naviguer dans le magasin de certicats

Vous pouvez aussi naviguer dans le magasin de certificats de signatures numriques de votre ordinateur. Le magasin de certificats est mapp au lecteur Windows PowerShell Cert: comme dans lexemple suivant :
426
PowerShell et Active Directory
Figure 10.17 : Exemple de navigation dans le magasin de certificat
10.9. PowerShell et Active Directory

Pour mettre en exergue la puissance de PowerShell dans Active Directory, voyez un exemple de script li ladministration dActive Directory. Ce script issu du script center vous permet de lister les informations lies au domaine :
$strComputer = "." $colItems = get-wmiobject -class "Win32_NTDomain" -namespace "root\CIMV2" -computername $strComputer foreach ($objItem in $colItems) { write-host "Caption: " $objItem.Caption write-host "Client Site Name: " $objItem.ClientSiteName write-host "Creation Class Name: " $objItem.CreationClassName write-host "DC Site Name: " $objItem.DcSiteName write-host "Description: " $objItem.Description write-host "DNS Forest Name: " $objItem.DnsForestName write-host "Domain Controller Address: " $objItem.DomainControllerAddress write-host "Domain Controller Address Type: " $objItem.DomainControllerAddressType write-host "Domain Controller Name: " $objItem.DomainControllerName write-host "Domain GUID: " $objItem.DomainGuid
427
Chapitre 10
Windows PowerShell
write-host "Domain Name: " $objItem.DomainName write-host "DS Directory Service Flag: " $objItem.DSDirectoryServiceFlag write-host "DS DNS Controller Flag: " $objItem.DSDnsControllerFlag write-host "DS DNS Domain Flag: " $objItem.DSDnsDomainFlag write-host "DS DNS Forest Flag: " $objItem.DSDnsForestFlag write-host "DS Global Catalog Flag: " $objItem.DSGlobalCatalogFlag write-host "DS Kerberos Distribution Center Flag: " $objItem.DSKerberosDistributionCenterFlag write-host "DS Primary Domain Controller Flag: " $objItem.DSPrimaryDomainControllerFlag write-host "DS Time Service Flag: " $objItem.DSTimeServiceFlag write-host "DS Writable Flag: " $objItem.DSWritableFlag write-host "Installation Date: " $objItem.InstallDate write-host "Name: " $objItem.Name write-host "Name Format: " $objItem.NameFormat write-host "Primary Owner Contact: " $objItem.PrimaryOwnerContact write-host "Primary Owner Name: " $objItem.PrimaryOwnerName write-host "Roles: " $objItem.Roles write-host "Status: " $objItem.Status write-host
10.10. En rsum
Windows PowerShell est un noyau et, au moins pour ce qui nous concerne, vous pouvez comparer un noyau un interprteur de ligne de commande. Bien que VBScript puisse sexcuter partir de la ligne de commande, un fichier VBScript ne peut pas tre excut ligne par la ligne. Un script Windows PowerShell, par contre, peut tre immdiatement cr comme une srie de commandes individuelles. De plus, Windows PowerShell dispose de fonctions dont le comportement sapparente beaucoup des sous-routines VBScript, ce qui peut tre cr en temps rel au niveau de linvite de commande de Windows PowerShell. Encore mieux, Windows PowerShell est construit sur Microsoft .NET Framework, tandis que VBScript se base sur la technologie COM plus ancienne. Cela signifie que la vaste quantit de code .NET produite aujourdhui peut tre directement utilise partir de Windows PowerShell. Pour conclure, avec Windows PowerShell, vous avez une prise en charge complte du script et un mode interactif, tout en un. Cependant, mme si PowerShell doit simposer comme standard dans les annes venir, il nen reste pas moins quil sera ncessaire de convertir les milliers de lignes de VBScript existantes.
428
Chapitre 11
La maintenance des serveurs

11.1 11.2 11.3 Prparer ladministration dun serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Prparer ladministration dun serveur
a surveillance et la gestion des serveurs ne sont pas des activits qui supportent les approximations. Elles doivent tre planifies correctement.
Cette leon prsente les tches, les outils et les droits requis pour administrer un serveur. Ces informations sont essentielles la bonne marche de votre travail dadministrateur systme. Ce chapitre dcrit les conditions demploi et les fonctions des outils que vous utilisez pour administrer un serveur. Il explique galement les concepts dadministration dun serveur local ou distant.
11.1. Prparer ladministration dun serveur

Cette section met en avant tous les outils et techniques que doit matriser un administrateur afin de se connecter de faon scurise au serveur quil doit administrer. Cela comprend lutilisation de lappartenance aux groupes, la fonction Excuter en tant que, loutil Gestion de lordinateur et le Bureau distance.
11. La maintenance des serveurs
Utiliser les appartenances de groupe pour administrer un serveur

Pour administrer un serveur, vous devez disposer des autorisations requises. Il est essentiel de bien se familiariser avec les autorisations affectes aux groupes locaux de domaine et permettant leurs membres deffectuer des tches spcifiques. En effet, vous pouvez utiliser ces groupes pour effectuer des tches administratives courantes.
Les groupes locaux de domaine intgrs

Lorsquun ordinateur devient contrleur de domaine, les groupes intgrs (appels "groupes locaux au serveur") sont crs dans le service dannuaire Active Directory. Par dfaut, ces groupes disposent dautorisations prdfinies qui dterminent les tches que les membres dun groupe intgr peuvent accomplir. Il est impossible de supprimer ces groupes. La liste ci-aprs prsente les groupes locaux de domaine intgrs et le niveau prdfini de leurs autorisations respectives.
j
Administrateurs : les membres du groupe Administrateurs peuvent effectuer toutes les tches prises en charge par le systme dexploitation. Les administrateurs peuvent sattribuer nimporte quel droit dutilisateur dont ils ne disposent pas par dfaut. Lappartenance au groupe local Administrateurs doit tre limite aux seuls utilisateurs qui ont besoin dun accs total au systme. Connectez-vous en tant quadministrateur uniquement lorsque cest ncessaire. Soyez trs prudent lorsque vous ajoutez dautres utilisateurs au groupe Administrateurs. Par exemple, si le personnel dassistance technique est responsable des imprimantes de votre
431
Chapitre 11
organisation, ajoutez-le dans le groupe Oprateurs dimpression plutt que dans le groupe Administrateurs.
j j
Oprateurs de sauvegarde : les membres de ce groupe peuvent sauvegarder et restaurer les fichiers en utilisant loutil de sauvegarde. Oprateurs de compte : les membres de ce groupe peuvent grer les comptes dutilisateurs et les groupes, lexception du groupe Administrateurs ou de tout groupe doprateurs qui ne peuvent tre modifis que par un membre du groupe Administrateurs. Oprateurs de serveur : les membres de ce groupe peuvent partager les ressources disque, se connecter un serveur de manire interactive, crer et supprimer les partages rseau, dmarrer et arrter des services, formater le disque dur du serveur et arrter lordinateur. Ils peuvent galement sauvegarder et restaurer les fichiers laide de loutil de sauvegarde. Oprateurs dimpression : les membres de ce groupe peuvent configurer les imprimantes locales et rseau de sorte que les utilisateurs puissent facilement sy connecter et utiliser leurs ressources.
Figure 11.1 : Groupes prdfinis
Les groupes locaux de domaine et protection des ressources

Le recours plusieurs groupes locaux de domaine et leurs autorisations respectives peut protger les ressources contre les violations de la scurit. Un administrateur systme doit toujours tre membre du groupe le plus restreint, qui fournit cependant les droits appropris ainsi que les autorisations requises pour accomplir la tche. Par exemple, un administrateur systme charg de grer uniquement les imprimantes et la sauvegarde des donnes de serveur doit tre membre du groupe doprateurs dimpression et disposer des droits ncessaires la sauvegarde des donnes serveur. 432
Les autorisations des groupes locaux de domaine

Les membres des groupes locaux de domaine se voient accorder des autorisations leur permettant daccomplir des tches systme telles que la sauvegarde et la restauration de fichiers et la modification de lhorloge systme. Vous pouvez utiliser ces groupes pour administrer les ressources telles que des systmes de fichiers ou des imprimantes de tous les ordinateurs du domaine pour lesquels des autorisations daccs courantes sont requises. Lorsque vous effectuez des tches sur un ordinateur en tant que membre du groupe Administrateurs, le systme devient vulnrable aux attaques de type chevaux de Troie ou tout autre risque en termes de scurit. Le simple fait de consulter un site Internet ou douvrir la pice jointe dun courrier lectronique risque dendommager le systme car une pice jointe ou un site Internet inconnu peuvent contenir un programme malveillant qui peut tre tlcharg vers le systme puis excut.
La commande Excuter en tant que

laide de la commande Excuter en tant que, qui correspond louverture dune session secondaire, les administrateurs peuvent ouvrir une session avec un compte non administratif et, sans fermer la session, effectuer des tches en excutant des programmes approuvs pour la ralisation de tches administratives. Deux comptes dutilisateurs sont requis. En effet, pour employer la commande Excuter en tant que dans le cadre de lexcution de tches administratives, les administrateurs systme doivent possder deux comptes dutilisateurs : un compte normal disposant des privilges de base et un compte administratif. Les administrateurs peuvent possder chacun un compte administratif diffrent ou partager le mme compte administratif.
Quand utiliser la commande Excuter en tant que ?

Utilisez la commande Excuter en tant que pour la plupart des activits. Louverture dune session en tant que membre du groupe Administrateurs peut poser un problme de scurit. Certains lments, tels que lExplorateur Windows, le dossier Imprimantes et les lments du Bureau, sont lancs indirectement par Windows. Ils ne peuvent tre activs laide de la commande Excuter en tant que. Pour les tches qui ne peuvent tre ralises avec la commande Excuter en tant que, telles que la mise niveau du systme dexploitation ou la configuration des paramtres systme, fermez la session ouverte avec le compte dutilisateur, puis ouvrez une nouvelle session avec le compte dadministrateur. Utilisez la commande Excuter en tant que pour ouvrir les composants logiciels enfichables personnaliss. En effet, pour administrer des ordinateurs locaux ou distants, vous pouvez utiliser la commande Excuter en tant que afin douvrir les consoles personnalises que vous avez cres. Lutilisation de cette commande vous donne accs
433
Chapitre 11
aux services et aux outils dadministration inclus dans la console et vous fait bnficier des autorisations appropries pour intervenir sur les composants administrs par la console. Tout utilisateur peut employer la commande Excuter en tant que. Bien que la commande Excuter en tant que soit avant tout destine aux administrateurs systme, nimporte quel utilisateur disposant de plusieurs comptes peut employer cette commande pour lancer des programmes avec diffrents comptes sans pour autant fermer de session.
Accder la commande Excuter en tant que

Il existe trois solutions pour accder la commande Excuter en tant que :
j j j
Dans le menu Dmarrer, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Excuter en tant que. Dans lExplorateur Windows, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Excuter en tant que. Activez la commande Excuter en tant que partir dune Invite de commandes. Cette mthode est gnralement utilise pour le script de tches administratives ou le lancement dune Invite de commandes dans le cadre dune administration locale. Pour excuter la commande, tapez runas /user:nom_domaine\nom _utilisateur nom_programme.
Figure 11.2 : Excuter en tant que depuis lExplorateur
434
Par exemple, pour activer loutil Gestion de lordinateur en tant quadministrateur partir de la ligne de commandes, ouvrez une Invite de commandes et tapez runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc.
Figure 11.3 : Lancement de loutil de gestion de lordinateur de la commande runas
Figure 11.4 : Invite de commandes pour lauthentification de la commande Excuter en tant
que
Congurer des raccourcis associs la commande Excuter en tant que

Vous pouvez galement configurer des raccourcis associs la commande Excuter en tant que vers les services et les outils dadministration que vous utilisez le plus souvent : par exemple la console Performances, loutil Gestion de lordinateur, le Gestionnaire de priphriques et loutil Gestion des disques. Comment configurer les raccourcis associs la commande Excuter en tant que ? Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associs la commande Excuter en tant que, vers les outils dadministration que vous utilisez le plus souvent. Pour configurer un raccourci associ la commande Excuter en tant que vers loutil Performances : 1. Cliquez du bouton droit de la souris sur le Bureau, pointez sur Nouveau, puis cliquez sur Raccourci. 2. Sur la page Cration dun raccourci, tapez runas /user:corp\administrateur "mmc %windir%\system32\perfmon.msc" dans le champ Entrez lemplacement de llment, puis cliquez sur Suivant.
435
Chapitre 11
Figure 11.5 : Cration du raccourci avec la commande runas
3. Dans la page Slection dun titre pour le programme, tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer. 4. Sur le Bureau, double-cliquez sur licne Performances, puis choisissez Gestion de lordinateur, Gestionnaire de priphriques ou Gestion des disques. 5. Saisissez votre mot de passe.
Figure 11.6 : Proprit du raccourci permon
436
Tableau 11.1 : Raccourcis associs la commande Excuter en tant que Outil Gestion de lordinateur Gestion de priphriques Gestion des disques Utilisateurs et ordinateurs Active Directory MMC Invite de commandes Ligne de commandes runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\devmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\diskmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\dsa.msc" runas /user:corp\administrateur mmc runas /user:corp\administrateur cmd
Comment utiliser la commande Excuter en tant que ?

Utilisez la commande Excuter en tant que pour lancer une console MMC partir dun compte disposant des droits appropris pour lexcution de cette tche. Par exemple, si vous ouvrez une session sur un serveur en tant quutilisateur et que vous souhaitiez installer un nouveau logiciel, vous pouvez fermer la session, en ouvrir une autre en tant quadministrateur, ouvrir le Panneau de configuration, utiliser la fonction Ajout/ Suppression de programmes pour installer le nouveau logiciel, fermer la session en tant quadministrateur, puis rouvrir une nouvelle session avec votre compte dutilisateur. Avec la commande Excuter en tant que, vous pouvez ouvrir le Panneau de configuration, appuyer sur la touche [Maj], cliquer du bouton droit de la souris sur Ajout/Suppression de programmes, puis utiliser la commande Excuter en tant que pour ajouter ou supprimer des programmes en tant quadministrateur. Pour utiliser la commande Excuter en tant que partir du menu Dmarrer, procdez comme suit : 1. Dans le menu Dmarrer, cliquez du bouton droit de la souris sur le fichier excutable du programme de votre choix. 2. Cliquez sur Excuter en tant que (voir fig. 11.17). 3. Cliquez sur Lutilisateur suivant. 4. Dans les champs Nom dutilisateur et Mot de passe, saisissez le nom et le mot de passe du compte.
437
Chapitre 11
Figure 11.7 : Lancement dun programme avec un compte diffrent de celui de la
session en cours 5. Cliquez sur OK.
Figure 11.8 : contexte dexcution de loutil Utilisateurs et Ordinateurs avec la
commande en tant que 438
Pour utiliser la commande Excuter en tant que partir de lInvite de commandes, procdez ainsi : 1. Dans le menu Dmarrer, cliquez sur Excuter, tapez runas /user:corp\administrateur cmd, sachant que corp doit correspondre au nom de votre domaine, puis cliquez sur OK. 2. Une fentre dInvite de commandes apparat vous proposant dentrer un mot de passe pour le compte corp\administrateur. Saisissez le mot de passe correspondant au compte dadministrateur, puis appuyez sur []. 3. Une nouvelle console apparat, excute en mode Administrateur. Le titre de la console affiche "en tant quutilisateur corp\administrateur". 11. La maintenance des serveurs
Figure 11.9 : La commande Excuter en tant que partir de lInvite de commandes
Loutil Gestion de lordinateur

La Gestion de lordinateur offre un ensemble doutils qui vous permettront dadministrer un ordinateur local ou distant. Utilisez loutil Gestion de lordinateur pour :
j j j
analyser les vnements systme tels que les heures douverture de session et les erreurs applicatives ; crer et grer des ressources partages ; afficher la liste des utilisateurs connects un ordinateur local ou distant ;
439
Chapitre 11
j j j j
dmarrer et arrter les services systme tels que le Planificateur de tches et le service dindexation ; dfinir les proprits des priphriques de stockage ; afficher les configurations de priphrique et ajouter de nouveaux pilotes de priphriques ; grer les applications et les services.
La console Gestion de lordinateur rpartit les outils dadministration en trois catgories : 11. La maintenance des serveurs
j
Les outils systme : ils sont destins la gestion des vnements systme et des performances de lordinateur. LObservateur dvnements : utilisez cet outil pour grer et afficher les vnements enregistrs dans le journal des applications, le journal de scurit et le journal systme. Vous pouvez analyser les journaux pour suivre les vnements de scurit et identifier dventuels problmes lis aux logiciels, au matriel ou au systme. Les Dossiers partags : utilisez cet outil pour visualiser les connexions et les ressources en cours dutilisation sur lordinateur. Vous pouvez crer, afficher et grer les ressources partages, afficher les sessions et les fichiers ouverts, fermer les fichiers et dconnecter les sessions. Les Utilisateurs et groupes locaux : utilisez cet outil pour crer et grer les groupes et comptes dutilisateurs locaux. Les Journaux et alertes de performance : utilisez cet outil pour analyser et collecter les donnes relatives aux performances de lordinateur. Le Gestionnaire de priphriques : utilisez cet outil pour afficher les priphriques matriels installs sur lordinateur, mettre jour les pilotes de priphriques, modifier les paramtres matriels et rsoudre les conflits de priphriques.
Le stockage : les outils de stockage sont destins la gestion des proprits des priphriques de stockage. Le Stockage amovible : utilisez cet outil pour assurer le suivi des supports de stockage amovibles et grer les bibliothques ou les systmes de stockage de donnes les contenant. Le Dfragmenteur de disque : utilisez cet outil pour analyser et dfragmenter des volumes sur les disques durs. La Gestion des disques : utilisez cet outil pour effectuer les tches lies au disque, telles que la conversion de disques ou la cration et le formatage de volumes. Loutil Gestion des disques vous aide grer les disques durs ainsi que les partitions ou les volumes quils contiennent.
440
Les services et applications : les outils de la catgorie des services et des applications vous aident grer les services et les applications de lordinateur. Les Services : utilisez cet outil pour grer les services sur des ordinateurs locaux ou distants. Vous pouvez dmarrer, arrter, interrompre, reprendre ou dsactiver un service. Ainsi, vous pouvez employer loutil Services pour arrter un service sur un ordinateur distant. Le Contrle WMI : utilisez cet outil pour configurer et grer le service de gestion Windows. Le Service dindexation : utilisez cet outil pour grer lindexation, crer et configurer des catalogues supplmentaires pour stocker les informations dindex.
Figure 11.10 : La console Gestion de lordinateur
Pour utiliser loutil Gestion de lordinateur afin dadministrer un ordinateur distance, procdez ainsi : 1. Dans le menu Dmarrer, cliquez du bouton droit de la souris sur Poste de travail, puis cliquez sur Grer. 2. Cliquez du bouton droit de la souris sur Gestion de lordinateur (local), puis cliquez sur Se connecter un autre ordinateur. 3. Cliquez sur Un autre ordinateur, tapez le nom de lordinateur que vous souhaitez grer distance ou cliquez sur Parcourir pour le rechercher. Cliquez sur OK.
441
Chapitre 11
Figure 11.11 : Gestion de dun ordinateur distance
4. Dans larborescence de la console Gestion de lordinateur, dveloppez les entres Outils systme, Stockage ou Services et applications. 5. Cliquez sur llment, puis slectionnez les outils que vous souhaitez utiliser.
Figure 11.12 : Gestion de dun ordinateur distance
Les administrateurs systme doivent souvent travailler en dehors du site. Ainsi, en tant quadministrateur, vous pouvez vous trouver sur un site et devoir effectuer la maintenance dun serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console MMC pour grer le serveur distance. Par exemple, vous pouvez dmarrer ou arrter des services sur un serveur distant, consulter le journal des vnements et grer les partages ou les disques.
442
Pour configurer la console MMC afin de grer un serveur distance, procdez comme suit : 1. Ouvrez la console MMC en cliquant sur Dmarrer, puis sur Excuter. Tapez mmc et validez. 2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. 3. Sur la liste des composants logiciels enfichables, cliquez sur Gestion de lordinateur, puis sur Ajouter. 4. linvite, slectionnez lordinateur local ou distant que vous souhaitez grer laide de ce composant logiciel enfichable, puis cliquez sur Terminer. 5. Cliquez sur Fermer, puis sur OK. 11. La maintenance des serveurs
Le Bureau distance
laide de loutil Bureau distance pour administration, vous pouvez grer un ou plusieurs ordinateurs distants partir dun seul emplacement. Dans une grande entreprise, vous pouvez avoir recours ladministration distance pour centraliser la gestion de plusieurs ordinateurs situs dans dautres btiments, voire dans dautres villes. Dans une petite entreprise, vous pouvez avoir recours ladministration distance pour grer un seul serveur situ dans un bureau voisin ou dans un autre site. Loutil Bureau distance pour administration fournit un accs au serveur partir dun ordinateur situ sur un autre site, laide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet linterface utilisateur la session cliente. De mme, il transmet les manipulations sur le clavier et les clics de souris du client vers le serveur. Vous pouvez crer jusqu deux connexions distantes simultanes. Chaque session que vous ouvrez est indpendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez loutil Bureau distance pour administration afin douvrir une session sur un serveur distant, la connexion est tablie comme sil sagissait de louverture dune session sur le serveur local. Le Bureau distance pour administration fournit deux outils permettant dadministrer un serveur distant : la Connexion Bureau distance et le composant logiciel enfichable des Bureaux distance. Chaque instance de loutil Connexion Bureau distance cre sa propre fentre. Vous pouvez administrer un serveur distant par fentre. Chaque instance dmarre toujours une nouvelle session sur le serveur.
Congurer le Bureau distance

Un administrateur systme peut utiliser la fonction Bureau distance pour effectuer des tches, telles que lajout dun logiciel et linstallation de Services Packs sur un serveur distant.
443
Chapitre 11
Pour configurer les connexions serveur afin dadministrer un serveur distance, procdez ainsi : 1. Connectez-vous en tant quadministrateur. 2. Dans le menu Dmarrer, cliquez du bouton droit de la souris sur Poste de travail. 3. Cliquez sur Proprits. 4. Cliquez sur Utilisation distance. 5. Cochez la case Autoriser les utilisateurs se connecter distance cet ordinateur. 11. La maintenance des serveurs
Figure 11.13 :
Configuration de lassistance distance pour ladministration du serveur
Congurer les prfrences du client

Pour configurer la connexion Bureau distance, vous devez paramtrer les prfrences du client. Pour cela, utilisez linterface Connexion Bureau distance pour configurer les donnes relatives la connexion et lordinateur client. Pour procder la configuration, dfinissez les prfrences du client sous les onglets suivants :
j
Utilisez longlet Gnral pour fournir les informations requises pour la connexion automatique au serveur distant. Ces informations sont le nom du serveur, le nom et le mot de passe de lutilisateur et le nom de domaine. Vous pouvez galement enregistrer votre mot de passe et les paramtres de connexion, et ouvrir une connexion enregistre.
444
Utilisez longlet Affichage pour modifier la taille de laffichage et les paramtres de couleur du Bureau distant, et pour afficher ou masquer la barre de connexion en mode Plein cran. Utilisez longlet Ressources locales pour choisir dautoriser ou non un Bureau distant avoir accs aux lecteurs de disque, aux ports srie, aux imprimantes ou la carte puce de lordinateur local. On appelle "redirection des ressources" le fait dautoriser laccs depuis le Bureau distant. Lorsque vous autorisez le Bureau distant avoir accs ces ressources, il peut les utiliser pendant toute la dure de la session. 11. La maintenance des serveurs
Admettons que vous choisissiez dautoriser laccs au disque dur local depuis le Bureau distant. Cette autorisation vous permet de facilement copier des fichiers depuis ou vers le Bureau distant, mais elle signifie galement que le Bureau distant dispose dun accs au contenu du disque dur local. Si cet accs nest pas appropri, vous pouvez dcocher la case correspondante afin dempcher que le disque dur local ou toute autre ressource ne soient redirigs vers le Bureau distant.
j j
Utilisez longlet Programmes pour spcifier un programme dmarrer lors de la connexion au serveur distant. Utilisez longlet Avanc pour amliorer la performance de la connexion au serveur distant en autorisant laffichage de certaines caractristiques de la session Windows distante, telles que larrire-plan du Bureau, comme si elles taient actives sur lordinateur distant. Pour optimiser les performances de la connexion, slectionnez une vitesse de connexion plus rapide. La vitesse de connexion par dfaut, de 56 kbits/s, offre de bonnes performances pour la plupart des rseaux. Mais vous pouvez utiliser des paramtres de vitesse suprieurs pour activer des fonctions graphiques plus performantes, telles que le papier peint du Bureau et laffichage ou le masquage des menus.
Se connecter un serveur distant

En tant quadministrateur systme, vous vous tes srement retrouv perdre du temps en vous dplaant sur les sites des serveurs distants pour effectuer des tches administratives. En utilisant loutil Connexion Bureau distance pour administrer distance les serveurs de votre entreprise, vous pouvez conomiser du temps sur vos dplacements et consacrer ainsi plus de temps votre travail. Pour vous connecter un serveur distant laide de loutil Connexion Bureau distance, procdez ainsi : 1. Sur lordinateur client, cliquez sur Dmarrer, puis choisissez Tous les programmes/ Accessoires/Communications. Cliquez sur Connexion Bureau distance. 2. Dans la zone Ordinateur, tapez le nom dun ordinateur ou ladresse IP du serveur excutant Windows Server 2003 et sur lequel le service de Bureau distance est install.
445
Chapitre 11
Figure 11.14 : Connexion de Bureau distance
Figure 11.15 : Ouverture de sessions sur le serveur distant
3. Lorsque vous avez termin de travailler sur la session distante, dans le menu Dmarrer, cliquez sur Fermer la session. En tant quadministrateur systme, vous tes amen vous connecter la session de la console afin de voir les messages systme envoys la console. Vous devez peut-tre galement grer simultanment plusieurs serveurs. Pour cela, utilisez le composant logiciel enfichable Bureaux distance.
446
Pour vous connecter un ou plusieurs serveurs laide du composant logiciel enfichable Bureaux distance : 1. Dans le menu Dmarrer, cliquez sur Outils dadministration, puis sur Bureaux distance.
Figure 11.16 : Bureau distance
2. Dans larborescence de la console, cliquez du bouton droit de la souris sur Bureaux distance, puis sur Ajouter une nouvelle connexion. 3. Dans la bote de dialogue Ajouter une nouvelle connexion, entrez le nom du serveur, un nom de connexion, un nom dutilisateur, le mot de passe correspondant et le nom du domaine.
Figure 11.17 : Ajout dune nouvelle connexion
4. Si vous souhaitez vous connecter la session de la console, activez loption Se connecter la console.
447
Chapitre 11
Figure 11.18 : Activer le mode Se connecter en mode Console
5. Pour grer plusieurs serveurs, rptez les tapes 2 et 3.
Figure 11.19 : Bureau distance en mode Console
6. Lorsque vous avez termin de travailler sur la session distante, dans le menu Dmarrer, cliquez sur Fermer la session. Pour vous connecter la session de la console sur un serveur distant laide de loutil de ligne de commandes mstsc : 1. Dans le menu Dmarrer, cliquez sur Excuter, tapez cmd, puis cliquez sur OK.
448
2. linvite, tapez la commande mstsc /v:stlscpdc01 /console, puis validez (Stlscpdc01 correspond au nom du serveur distant).
Figure 11.20 : Se connecter un serveur distant laide de loutil de ligne de commandes
mstsc 3. Connectez-vous au serveur distant. Lutilisation des paramtres de dlai peut vous aider grer les ressources du serveur. Aprs avoir dfini les limites des connexions de session, vous pouvez administrer le serveur plus efficacement. Pour configurer un paramtre de dlai pour une connexion distante, procdez comme suit : 1. Cliquez sur Dmarrer, puis sur Outils dadministration. Cliquez sur Configuration des services Terminal Server.
Figure 11.21 : Configuration des services Terminal Server
2. Dans le volet dinformations, cliquez du bouton droit de la souris sur RDP-Tcp, puis cliquez sur Proprits (voir fig. 11.22). 3. Sous longlet Sessions, activez la premire option Remplacer les paramtres de lutilisateur.
449
Chapitre 11
Figure 11.22 : Proprit de RDP-Tcp
4. Modifiez les paramtres appropris : Fin dune session dconnecte, Limite de session active ou Limite de session inactive. Nombre de connexions En mode Administration distance, le nombre de connexions est limit deux.
Figure 11.23 : Nombre de connexions en mode Administration distance
Dconnexion des sessions Une session dconnecte doit imprativement tre ferme pour tre termine. Aussi, noubliez pas de bien fermer les sessions quand vous avez fini vos oprations. Sinon, vous vous trouverez dans limpossibilit douvrir dautres sessions, du moins jusqu ce que vous fassiez le mnage dans les sessions. 450
Analyser les performances du serveur
11.2. Analyser les performances du serveur

Lanalyse des performances du serveur constitue une part importante de ladministration et de la maintenance du systme dexploitation. Elle permet non seulement danalyser le comportement du serveur en cas de problme, mais galement dobtenir des informations qui peuvent tre utilises pour prvoir une volution future et anticiper sur la faon dont les modifications des configurations du systme peuvent affecter lexploitation ultrieure.
Pourquoi analyser les performances ?

Lanalyse des performances est indispensable la maintenance du serveur. Effectue de faon quotidienne, hebdomadaire ou mensuelle, elle permet de dfinir les performances de base du serveur. Grce cette analyse, vous obtenez des donnes sur les performances qui facilitent le diagnostic des problmes du serveur. Les donnes sur les performances permettent :
j j j j
de comprendre pourquoi la charge de travail dun serveur augmente soudainement ; dobserver les modifications et les tendances de lutilisation des ressources afin de planifier les mises niveau matrielles ultrieures ; de tester les changements de configuration ou tout autre effort de rglage des performances en analysant les rsultats ; de diagnostiquer les problmes et didentifier les composants ou les processus pour optimiser les performances.
Analyser les donnes de performances et les goulets dtranglement

Lanalyse des donnes de performances peut rvler des problmes, tels quune demande excessive de certaines ressources entranant des goulets dtranglement. Un engorgement se produit lorsquune seule ressource a un impact ngatif sur les performances de lensemble du systme. La demande dune ressource peut devenir excessive au point de provoquer lengorgement des quatre sous-systmes principaux que sont la mmoire, le processeur, le disque et le rseau. Les causes dun engorgement sont diverses et peuvent tre les suivantes :
j
Les sous-systmes sont insuffisants, et des composants supplmentaires ou mis niveau sont alors requis (par exemple, les goulets dtranglement sont souvent dus une mmoire insuffisante). Les sous-systmes ne partagent pas les charges de travail de faon quitable et un quilibrage est ncessaire (par exemple, une ancienne carte rseau est installe sur un nouveau serveur).
451
Chapitre 11
Un sous-systme ne fonctionne pas correctement et doit tre remplac (par exemple, un disque dur qui prsente souvent des problmes mineurs avant de tomber dfinitivement en panne). Un programme monopolise une ressource particulire (par exemple, la mmoire nest pas correctement partage par une application dveloppe maison). Pour rsoudre ce problme, il est ncessaire de demander un dveloppeur de rcrire le programme, dajouter ou de mettre niveau des ressources ou dexcuter le programme durant des priodes de faible utilisation. Un sous-systme nest pas correctement configur, et les paramtres de configuration doivent donc tre modifis (par exemple, il se peut quune ancienne carte rseau plusieurs vitesses soit configure pour 10 Mbits/s au lieu de 100 Mbit/s).
tablir une ligne de base

On dtermine une base de rfrence partir dun ensemble de donnes releves sur une priode tendue au cours de charges de travail et de connexions utilisateur de types divers mais reprsentatifs. La ligne de base est un indicateur qui permet de connatre lutilisation des ressources systme individuelles ou dun groupe de ressources en priode dactivit normale. Postulat de base : relever des chantillons de valeurs des compteurs toutes les 30 45 minutes pendant une semaine, lors de niveaux dexploitation levs, normaux et faibles. Les principales tapes de cration dune ligne de base sont :
j j j
lidentification des ressources ; la capture des donnes ; lenregistrement des donnes.
Les quatre principales ressources systme pour les lignes de base des performances sont :
j j j j
la mmoire ; le processeur ; le disque physique ; le rseau.
Ce sont des objets de performance. Il sagit de donnes gnres par un composant ou une ressource du systme. Chaque objet de performance inclut des compteurs, qui comprennent des donnes concernant des aspects spcifiques des performances du systme. Les objets de performances peuvent avoir plusieurs instances.
452
Choisir entre analyse programme et analyse en temps rel

Les administrateurs peuvent utiliser lanalyse programme pour contrler rgulirement les serveurs. Il est possible, avec cette mthode, de dfinir les performances de base et dutiliser lanalyse des tendances pour identifier les problmes du serveur. Par exemple, si vous suspectez des ralentissements sur un serveur, vous pouvez vrifier les fichiers journaux correspondants pour rechercher lorigine du problme. Les administrateurs doivent galement identifier les problmes dus des vnements spcifiques. Pour ce type de problme, il est ncessaire deffectuer une analyse en temps rel. Par exemple, si on vous informe que les imprimantes connectes au serveur dimpression fonctionnent par intermittence, utilisez un outil danalyse en temps rel, tel que le Gestionnaire des tches ou le Moniteur systme, pour rechercher lorigine du problme.
La console Performances
Windows Server 2003 fournit les outils suivants qui font partie de la console Performances et permettent danalyser lutilisation des ressources sur votre ordinateur :
j j
le Moniteur systme ; les Journaux et alertes de performance.
Vous pouvez afficher les donnes de compteur enregistres laide du Moniteur systme ou les exporter vers des tableurs ou des bases de donnes pour les analyser et gnrer un rapport. Le Moniteur systme permet de crer des graphiques, des histogrammes et des rapports concernant les donnes des compteurs de performance. Laffichage graphique, qui reprsente laffichage par dfaut, propose le plus grand choix de paramtres facultatifs.
Laffichage graphique
Il permet danalyser en temps rel tous les processus dun systme. Les donnes des compteurs dune priode dfinie sont prsentes sous forme de graphique linaire.
Lhistogramme
Il permet de dtecter les goulets dtranglement au niveau du processeur. Les donnes de compteurs sont prsentes sous forme de diagramme en btons (une valeur par instance de compteur).
Le rapport
Il permet danalyser les valeurs numriques de chaque compteur. Les donnes de compteurs sont prsentes dans un tableau (une valeur par instance de compteur). 453
Chapitre 11
Lanalyse en temps rel

Avec cette mthode, le Moniteur systme traite les compteurs de donnes et les met jour ds rception des donnes provenant du systme dexploitation. Utilisez lanalyse en temps rel pour dterminer ltat actuel des quatre sous-systmes (mmoire, processeur, disque et rseau). Ainsi, si les utilisateurs signalent un long dlai de rponse pour une application client/serveur dans une situation qui navait jusqu prsent gnr aucun problme, vous pouvez employer le Moniteur systme pour raliser un diagnostic et rsoudre le problme. Pour effectuer une analyse en temps rel avec la console Performances, procdez ainsi : 11. La maintenance des serveurs 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
Figure 11.24 : Moniteur systme
2. Cliquez sur Moniteur systme. 3. Cliquez du bouton droit de la souris dans le volet des informations, puis sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs ajouter au journal : 4. Dans la zone Objet de performance, slectionnez le type dobjet de performance analyser. Pour ajouter des compteurs, slectionnez loption Tous les compteurs si vous souhaitez inclure tous les compteurs pour lobjet de performance slectionn 454
ou loption Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour lobjet de performance slectionn. Pour analyser les instances du compteur slectionn, slectionnez loption Toutes les instances si vous souhaitez analyser toutes les instances des compteurs slectionns ou loption Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs slectionns.
Figure 11.25 : Ajouter des compteurs
5. Cliquez sur Ajouter.
Figure 11.26 : Moniteur systme avec les compteurs de performance
455
Chapitre 11
6. Cliquez sur Fermer. Information sur les compteurs Pour obtenir la description dun compteur, slectionnez celui-ci, puis cliquez sur Expliquer.
Figure 11.27 : Expliquer les compteurs de performance
Cas particuliers Certains types dobjets possdent plusieurs instances. Par exemple, si un serveur possde plusieurs processeurs, le type dobjet Processeur dispose de plusieurs instances. Si un systme contient deux disques, le type dobjet Disque physique possde deux instances. Certains objets, tels que ceux de la mmoire ou du serveur, ne disposent que dune seule instance. Si un type dobjet a plusieurs instances, vous pouvez ajouter des compteurs pour raliser le suivi statistique de chaque instance ou, dans de nombreux cas, de toutes les instances la fois.
Lanalyse programme
Lanalyse programme consiste rcuprer et conserver des donnes sur une priode dfinie pour les analyser ultrieurement. Cela permet dtablir une ligne de base, de dtecter les goulets dtranglement et de dterminer si des modifications du systme se
456
sont produites au cours de cette priode. Utilisez loutil Journaux et alertes de performance pour effectuer une analyse programme. Pour effectuer une analyse programme laide de la console Performances, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance. 11. La maintenance des serveurs
Figure 11.28 : Journaux et alertes
3. Cliquez du bouton droit de la souris sur Journaux de compteur, puis sur Nouveaux paramtres de journal. 4. Dans la bote de dialogue qui apparat, indiquez le nom du journal, puis cliquez sur OK.
Figure 11.29 : Nom du nouveau fichier journal
5. Sous longlet Gnral, cliquez sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs ajouter au journal : 6. Dans la zone Objet de performance, slectionnez le type dobjet de performance analyser. Pour ajouter des compteurs, slectionnez loption Tous les compteurs si vous souhaitez inclure tous les compteurs pour lobjet de performance slectionn ou loption Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour lobjet de performance slectionn. Pour analyser les instances du compteur slectionn, slectionnez loption Toutes les instances si vous souhaitez analyser toutes les instances des compteurs slectionns ou loption Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs slectionns.
457
Chapitre 11
Figure 11.30 : Slection des objets et compteurs
7. Cliquez sur Ajouter, puis sur Fermer. 8. Sous longlet Gnral, modifiez lintervalle dans le champ correspondant.
Figure 11.31 :
Modification de la priode dchantillonnage des donnes
9. Sous longlet Planification, modifiez le jour et lheure du dmarrage et de larrt du journal, puis cliquez sur OK.
458
Figure 11.32 : Planification du dmarrage et de larrt du journal
10. Si un message vous invite crer un dossier de journal, cliquez sur Oui.
Figure 11.33 : Journaux de compteur avec la tche planifie
Le Gestionnaire des tches

Le Gestionnaire des tches offre une vue densemble de lactivit et des performances du systme et fournit des informations concernant les programmes et les processus en cours dexcution sur votre ordinateur. Il indique galement le type de mesure des performances du processus le plus utilis. De plus, vous pouvez lemployer pour une analyse en temps rel.
459
Chapitre 11
Le Gestionnaire des tches peut permettre danalyser les indicateurs cls des performances de votre ordinateur :
j j
Vous pouvez afficher ltat des programmes en cours dexcution et terminer ceux qui ne rpondent plus. Lactivit des processus en cours peut tre value en utilisant jusqu 15 paramtres, et des graphiques ainsi que des donnes concernant lutilisation du processeur et de la mmoire peuvent tre affichs. Si vous tes connect un rseau, vous avez la possibilit dafficher ltat de ce rseau. Si plusieurs utilisateurs sont connects votre ordinateur, vous pouvez savoir qui ils sont, quels fichiers sont utiliss et leur envoyer un message. Le Gestionnaire des tches propose cinq onglets qui permettent deffectuer lensemble de ces actions.
Figure 11.34 : Le gestionnaire des tches
Analyser un serveur distant

La charge de travail supplmentaire apporte au serveur par le Gestionnaire des tches et la console Performances peut entraner une reprsentation incorrecte des donnes rcupres. Lanalyse du serveur distance permet de limiter ce type de problme. Analyser des ordinateurs distants Si vous envisagez danalyser des ordinateurs distants, vous devez disposer des droits daccs requis.
460
Pour analyser un serveur distant, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Cliquez du bouton droit de la souris dans le volet droit du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Cliquez sur Choisir les compteurs sur, puis tapez le nom de lordinateur distant.
Figure 11.35 :
Ajout dun compteur depuis un ordinateur distant
4. Dans Objet de performance, slectionnez les objets analyser. Pour chaque objet de performance, slectionnez les compteurs correspondants sur la liste. Cliquez sur Ajouter aprs chaque slection de compteur, puis cliquez sur Fermer.
Figure 11.36 : Moniteur systme avec les compteurs dordinateurs distants
461
Chapitre 11
Les journaux
Windows Server 2003 peut rcuprer des donnes concernant les ressources disque, la mmoire, les processeurs et les composants rseau. De plus, certaines applications, par exemple Exchange Server, peuvent galement rcuprer des donnes. Celles-ci constituent des objets de performances et leur nom est gnralement celui du composant qui les gnre. Lobjet Processeur reprsente un ensemble de donnes de performances relatives aux processeurs du serveur. Les journaux sont des compteurs qui indiquent les donnes enregistres dans le fichier journal. Les journaux de compteur permettent de slectionner les compteurs pour rcuprer les donnes sur les performances. Pour crer un journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. Tous les journaux de compteur existants apparaissent dans le volet des informations. Licne verte indique quun journal est en cours et licne rouge signale larrt du journal. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis cliquez sur Nouveaux paramtres de journal. 4. Dans la zone de texte Nom, tapez le nom du journal, puis cliquez sur OK. 5. Sous longlet Gnral, cliquez sur Ajouter des compteurs pour slectionner les compteurs enregistrer. 6. Si vous souhaitez modifier le fichier par dfaut et planifier des informations, utilisez les onglets Fichiers journaux et Planification. 7. Pour enregistrer les paramtres dun journal de compteur, cliquez du bouton droit de la souris sur celui-ci dans le volet situ droite dans la console Performances, puis cliquez sur Enregistrer les paramtres sous. Vous pouvez indiquer le fichier .htm dans lequel enregistrer les paramtres. 8. Pour rutiliser les paramtres enregistrs avec un autre journal de compteur, cliquez du bouton droit de la souris dans le volet situ droite, puis cliquez sur Nouveaux paramtres de journalisation issus de. Cela permet de gnrer facilement de nouveaux paramtres partir de la configuration dun journal de compteur. Vous pouvez galement ouvrir le fichier HTML dans Internet Explorer pour afficher un graphique du Moniteur systme. Les journaux de compteur pouvant rapidement remplir lespace disque, prenez lhabitude de les supprimer lorsque vous nen avez plus besoin ; gnralement, aprs avoir tabli une ligne de base et enregistr les informations correspondantes. Il est 462
conseill dtablir une ligne de base une fois par semaine et de supprimer les journaux ayant plus de 30 jours. Pour supprimer un journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur supprimer. 11. La maintenance des serveurs
Figure 11.37 : Suppression dun journal
4. Cliquez sur Supprimer. Voici les diffrents formats de fichiers journaux :

Tableau 11.2 : Journaux et alertes de performance
Format du fichier journal Fichier texte (dlimit par des virgules) Fichier texte (dlimit par des tabulations) Description Dfinit un fichier journal dlimit par des virgules (extension .csv). Dfinit un fichier journal dlimit par des tabulations (extension .csv). Utilisation Utilisez ce format pour exporter les donnes du journal vers un tableur, par exemple. Utilisez ce format pour exporter les donnes du journal vers un tableur, par exemple.
463
Chapitre 11
Format du fichier journal Fichier binaire
Description Dfinit un fichier journal squentiel binaire (extension .blg). Seuls les formats binaires peuvent intgrer des instances discontinues.
Utilisation Utilisez ce format de fichier pour enregistrer les instances de donnes intermittentes, savoir celles qui sarrtent et reprennent une fois le journal commenc. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux dlimits par des virgules. Utilisez ce format pour enregistrer des donnes en continu dans le mme fichier journal, les nouvelles donnes remplaant les enregistrements prcdents lorsque la taille maximale du fichier est atteinte. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux dlimits par des virgules. Utilisez ce format de fichier pour rcuprer les donnes sur les performances au niveau de lentreprise et non pour chaque ordinateur.
Fichier circulaire binaire
Dfinit un fichier journal circulaire binaire (extension .blg).
Base de donnes SQL
Dfinit le nom dune base de donnes SQL et dun ensemble de journaux au sein de la base de donnes dans laquelle les donnes sur les performances seront lues ou crites.
Pour dfinir les paramtres de fichier dun journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance. 3. Pour dfinir les proprits de fichier dun journal de compteur, double-cliquez sur Journaux de compteur. 4. Dans le volet des informations, double-cliquez sur le journal. 5. Passez sous longlet Fichiers journaux. 6. Sur la liste Type de fichier journal, slectionnez le format souhait pour ce fichier journal, paramtrez les options, puis cliquez sur le bouton Configurer. 7. Dans la zone Configurer, dterminez les paramtres de configuration laide des options Configurer les fichiers journaux ou Configurer les journaux SQL, selon le type de fichier journal choisi sur la liste correspondante. 8. Activez loption Terminer les noms de fichiers avec, puis, sur la liste, cliquez sur le style de suffixe souhait. Utilisez cette option pour distinguer les fichiers journaux
464
ayant le mme nom de fichier dans un groupe de journaux gnrs automatiquement. 9. Dans la zone Dmarrer la numrotation partir de, indiquez le premier chiffre de la numrotation automatique des fichiers, lorsque vous slectionnez nnnnnn pour loption Terminer les noms de fichiers avec. 10. Dans la zone Commentaire, tapez si ncessaire un commentaire ou une description concernant le fichier journal.
Figure 11.38 : Les diffrents types de fichiers journal
11. Dans la bote de dialogue Configurer les fichiers journaux, sous la rubrique Taille du fichier journal, activez loption Limite maximale pour que les donnes soient rcupres de faon continue dans un fichier journal jusqu ce que sa taille limite dfinie par les quotas de disque ou le systme dexploitation soit atteinte. Pour les journaux SQL, les donnes sont rcupres dans une base de donnes jusqu ce que sa taille limite dfinie par le nombre denregistrements effectus soit atteinte. Choisissez Limite de et indiquez la taille limite du fichier journal. Pour les journaux de compteur et de traage, indiquez la taille maximale en mgaoctets. Pour les journaux SQL, indiquez la taille maximale dans les enregistrements (voir fig. 11.39). Pour dfinir les paramtres de dbut et de fin dun journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur.
465
Chapitre 11
Figure 11.39 : Limiter la taille du fichier journal
3. Dans le volet des informations, double-cliquez sur le nom du journal de compteur. 4. Sous longlet Planification, sous la rubrique Dmarrer lenregistrement dans le journal, cliquez sur Heure, puis indiquez lheure et la date.
Figure 11.40 : Planification des heures de dmarrage et darrt du journal
5. Sous longlet Arrter lenregistrement dans le journal, slectionnez lune des options suivantes :
j j
Pour que le journal sarrte aprs une dure prcise, cliquez sur Aprs, puis indiquez le nombre dintervalles et leur type (jours, heures, etc.). Pour que le journal sarrte une heure et une date prcises, cliquez sur Heure, puis indiquez lheure et la date. Vous pouvez saisir quatre caractres dans la zone de lanne, deux dans les autres.
466
Pour que le journal de compteur sarrte lorsque le fichier journal atteint sa taille maximale, activez loption Quand le fichier journal de 10 Mo est plein. Le fichier continue accumuler des donnes selon la taille limite indique sous longlet Fichiers journaux (en kilo-octets, jusqu 2 Go).
6. Dans la zone Quand un fichier journal est ferm, slectionnez loption approprie :
j j
Si vous souhaitez configurer un journal de compteur circulaire (continu, automatique), slectionnez loption Commencer un nouveau fichier journal. Pour excuter un programme aprs larrt du fichier journal (par exemple, si vous souhaitez utiliser la commande copy pour transfrer les journaux termins vers un site darchive), slectionnez Excuter cette commande. Tapez le chemin daccs et le nom du fichier du programme excuter ou cliquez sur Parcourir pour rechercher lemplacement du programme.
Pour commencer et arrter manuellement les journaux de compteur, procdez ainsi : 1. Ouvrez la console Performances, puis double-cliquez sur Journaux et alertes de performance. 2. Cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur arrter ou dmarrer. 4. Cliquez sur Dmarrer ou Arrter.
Figure 11.41 : Dmarrage et arrt manuel du fichier journal
467
Chapitre 11
Les alertes
Grce la fonction dalerte, vous pouvez dfinir une valeur de compteur qui dclenche des actions, telles que lenvoi dun message rseau, lexcution dun programme ou le dmarrage dun journal. Les alertes sont utiles si vous nanalysez pas de faon active une valeur seuil dun compteur particulier mais que vous souhaitiez tre inform lorsquelle est suprieure ou infrieure un paramtre spcifi, afin de pouvoir rechercher lorigine de ce changement. Alertes Une alerte est une fonction qui dtecte quel moment une valeur de compteur prdfinie est suprieure ou infrieure un paramtre spcifi. Ce dernier est un seuil dalerte. Vous pouvez dfinir une alerte pour un compteur afin deffectuer les actions suivantes :
j j j j
crer une entre dans le journal des vnements de lapplication pour, notamment, enregistrer tous les vnements ayant provoqu une alerte ; commencer un journal lorsque la valeur de compteur slectionne est suprieure ou infrieure au seuil dalerte ; envoyer un message pour tre prvenu lorsquun vnement spcifique se produit ; excuter un programme pour lancer un programme lorsquun vnement se produit (par exemple, le serveur peut sarrter si le disque dur est plein).
Pour crer une alerte, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes. Toutes les alertes existantes apparaissent dans le volet des informations. Licne verte indique que lalerte est en cours et licne rouge signale larrt de lalerte. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis sur Nouveaux paramtres dalerte. 4. Dans la zone de texte Nom, tapez le nom de lalerte, puis cliquez sur OK.
Figure 11.42 : Nouveaux paramtres dalerte
468
5. Dans la fentre dalerte portant le nom du fichier que vous venez de donner, paramtrez les diffrents onglets :
j
Sous longlet Gnral, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des compteurs, des seuils dalerte et des intervalles dchantillonnage.
Figure 11.43 : Longlet Gnral
Sous longlet Action, dfinissez les actions raliser lorsque des donnes de compteur gnrent une alerte.
Figure 11.44 :
Longlet Action dune alerte
469
Chapitre 11
Sous longlet Planification, vous avez la possibilit de dfinir quel moment le service commence rechercher les alertes.
Figure 11.45 : Longlet Planification dune alerte
Si vous avez choisi denvoyer un message rseau, vous recevrez ce type de message :
Figure 11.46 : Pop-up dalerte
Si vous avez choisi denregistrer un vnement dans le journal des vnements, voici ce que vous obtiendrez :
Figure 11.47 : Message dalerte enregistr dans le journal dvnements
470
Pour supprimer une alerte, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur lalerte supprimer.
Figure 11.48 : Suppression dune alerte
4. Cliquez sur Supprimer.
Les compteurs de performance

Nous venons de voir comment tirer parti des compteurs de performance. Maintenant, tudions un peu plus dans le dtail ces compteurs.
La mmoire
La mmoire du serveur est le sous-systme ayant la plus grande incidence sur les performances gnrales du serveur. Si le serveur ne dispose pas de mmoire suffisante pour contenir les donnes qui lui sont ncessaires, il doit temporairement stocker ces donnes sur le disque (on dit quil swappe). Laccs au disque est beaucoup plus lent que laccs la mmoire RAM. Par consquent, tout stockage de donnes sur le disque altre les performances du serveur de faon importante. Par rebond, si les performances du serveur sont altres, les applications quil fait tourner le sont aussi, logiquement. 471
Chapitre 11
La surveillance et lanalyse de lutilisation de la mmoire sont, par consquent, les premires tapes suivre dans le cadre de lvaluation des performances du serveur.
Tableau 11.3 : Identifier et rsoudre les problmes de goulet dtranglement au niveau de
la mmoire
Compteur de mmoire Pages/s Plage moyenne acceptable De 0 20 Valeur dsire Basse Haute Basse Action Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher une fuite de mmoire dans une application Rechercher le processus lorigine des changes. Ajouter de la RAM
Octets disponibles Au moins 5 % de la mmoire totale Octets valids Moins que la mmoire RAM physique Reste constante, naugmente pas Infrieure 5
Octets de rserve non pagine Dfauts de pages/s
Sans objet Basse
Pour analyser la mmoire laide de la console Performances, procdez comme suit : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Dans Objet de performance, cliquez sur Mmoire. Slectionnez un un les compteurs suivants, puis cliquez sur Ajouter :
j j j j j
Pages/s ; Octets disponibles ; Octets valids ; Octets de rserve non pagine ; Dfauts de page/s.
4. Bien que les compteurs suivants ne soient pas explicitement des compteurs dobjets mmoire, ils sont galement utiles lanalyse de la mmoire :
j j j
Fichier dchange\Pourcentage dutilisation ; Cache\% Prsence des donnes mappes ; Serveur\Octets de rserve pagine et Serveur\Octets de rserve non pagine.
472
Figure 11.49 : Slection des compteurs et objets pour lanalyse de la mmoire
5. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution du problme de mmoire.
Figure 11.50 : Analyseur de performance utilis depuis Internet Explorer
473
Chapitre 11
Le processeur
Laspect le plus important concernant les performances du processeur est le niveau dutilisation de ce dernier. Lorsquune application ou un autre logiciel utilise plus que sa part du cycle du processeur, tous les autres programmes en cours dexcution sont ralentis. Aprs la quantit de mmoire utilise, lactivit du processeur est linformation la plus importante permettant danalyser un serveur.
Tableau 11.4 : Identifier et rsoudre les problmes de goulet dtranglement au niveau du
processeur
Compteur processeur % Temps processeur Systme : longueur de la file du processeur Files de travail du serveur : longueur de la file Interruptions/S Plage moyenne acceptable Infrieur 85 % Valeur dsire Basse Action Rechercher le processus utilisant trop de processeur. Mettre niveau ou ajouter un autre processeur Mettre niveau ou ajouter un autre processeur Rechercher le processus utilisant trop de processeur. Mettre niveau ou ajouter un autre processeur Rechercher le contrleur gnrant les interruptions
Infrieur 10
Basse
Infrieur 4
Basse
Dpend du processeur
Basse
Les disques
La vitesse daccs du disque dur physique peut fortement ralentir les applications et le chargement des donnes. De plus, lespace de stockage sur le disque doit tre suffisant pour permettre linstallation des applications, ainsi que le stockage des donnes et du fichier dchange. Il est important danalyser les disques pour maintenir le bon fonctionnement de vos systmes.
474
disque
Compteur de disque Plage acceptable physique % Temps du disque Infrieure 50 % Valeur dsire Basse Action Analyser les disques pour dterminer si des oprations dchange seffectuent, mettre niveau le sous-systme disque Mettre niveau le sous-systme disque
Taille de la file dattente du disque actuel Disque, octets transfert moyen Octets disque/s
De 0 2
Basse
Ligne de base ou suprieure Ligne de base ou suprieure
Haute Haute
Mettre niveau le sous-systme disque Mettre niveau le sous-systme disque
Pour analyser les disques, procdez ainsi : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Dans la bote de dialogue Ajouter des compteurs, sous Objet de performance, choisissez Disque physique. Slectionnez les compteurs suivants et cliquez sur Ajouter.
j j j j
% Temps du disque ; Moy. disque, octets/transfert ; Taille de file dattente du disque actuelle ; Octets disque/s.
4. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution des ventuels problmes de disque.
Le rseau
Les performances du rseau dpendent de la vitesse du matriel de linfrastructure de votre rseau et de celle des logiciels en cours dexcution sur les serveurs et clients. Dans tout environnement de travail, les communications rseau sont extrmement importantes. linstar du processeur ou des disques de votre systme, le comportement du rseau influe sur le fonctionnement du systme.
475
Chapitre 11
rseau
Compteur de linterface rseau Utilisation du rseau (dans le Gestionnaire de tches) Interface rseau : Octets envoys/s Interface rseau : Total des octets/s Plage moyenne acceptable Infrieur 30 %, en gnral Ligne de base ou suprieure Ligne de base ou suprieure Valeur Dsire Basse Haute Haute Action Mettre niveau la carte ou le rseau physique Mettre niveau la carte ou le rseau physique Poursuivre lanalyse pour dterminer la cause du problme, mettre niveau la carte ou le rseau physique Mettre niveau la carte ou le rseau physique
Serveur : Octets reus
Moins de 50 % de la capacit de la bande passante de la carte rseau
Sans objet
Pour analyser le rseau, procdez ainsi : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Sous Objet de performance, choisissez Interface rseau. Slectionnez les compteurs suivants et cliquez sur Ajouter :
j j
Interface rseau\Octets envoys/s ; Interface rseau\Total des octets/s.
4. Sous Objet de performance, choisissez Serveur. Slectionnez les compteurs Serveur\Octets et reus/s, cliquez sur Ajouter, puis sur Fermer. 5. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution des ventuels problmes de rseau.
11.3. En rsum
La maintenance de vos serveurs Windows Server 2003 est, videmment, une partie trs importante du travail dun administrateur. Cest mme une des parties qui vous suivra une fois le projet dimplmentation dActive Directory termin. Comme nous pouvons le constater, Windows Server 2003 est suffisamment bien quip en standard pour vous proposer de maintenir et danalyser les performances afin de rsoudre des problmes ou raliser des prvisions sur les volutions matrielles du serveur. Sachez tirer parti de tous les outils mis votre disposition. 476
Chapitre 12
Windows Server 2008

12.1 12.2 12.3 12.4 12.5 12.6 12.7 12.8 Les prrequis linstallation de Windows Server 2008 Quest-ce que la version Server Core ? . . . . . . . . . . Les groupes et utilisateurs . . . . . . . . . . . . . . . . . Les services par dfaut . . . . . . . . . . . . . . . . . . . Grer le serveur . . . . . . . . . . . . . . . . . . . . . . . . Les rles et les fonctionnalits . . . . . . . . . . . . . . . Les amliorations lies la scurit . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 . 480 . 486 . 487 . 489 . 493 . 500 . 507
Les prrequis linstallation de Windows Server 2008
inq ans aprs larrive de Windows Server 2003, Windows Server 2008 est le successeur dun systme dexploitation fiable et robuste qui a fait toutes ces preuves. Mais alors quapporte Windows Server 2008 ? Tout dabord, il a t conu pour fournir aux entreprises la plateforme la plus productive pour virtualiser des charges de travail, alimenter des applications et protger des rseaux. Il propose une plateforme scurise et facile grer servant dvelopper et hberger de faon fiable des applications et des services web. Polyvalent, du groupe de travail au centre de donnes, Windows Server 2008 propose des fonctionnalits nouvelles et extrmement utiles, ainsi que des amliorations importantes au systme dexploitation de base.
12.1. Les prrequis linstallation de Windows Server 2008

Linstallation de Windows Server dans une entreprise ne diffre pas des versions prcdentes de Windows 2000 Server ou Windows Server 2003. Il est toujours ncessaire de dfinir son besoin au pralable en vrifiant les points suivants :
j j j
12. Windows Server 2008
dfinir lutilisation de son serveur pour choisir la version Standard, Entreprise, Datacenter ou Web ; vrifier que lon rpond bien aux prrequis matriels de linstallation CPU, RAM, disques, etc. ; choisir la version que lon souhaite installer, complte ou Core.
Voici les prrequis dinstallation de demande Windows Server 2008, que cela soit dans les versions Core ou compltes Le processeur
j j j
Minimum : 1 GHz. Recommand : 2 GHz. Optimal : 3 GHz ou plus.
Lespace disque
j j j
Espace disque requis au minimum : 8 Go. Recommand : 40 Go (installation complte) ou 10 Go (installation Server Core). Optimal : 80 Go (installation complte) ou 40 Go (installation Server Core) ou plus.
La mmoire
j j
Mmoire minimale : 512 Mo de RAM. Recommand : 1 Go de RAM. 479
Chapitre 12
Windows Server 2008
j j j
Optimal : 2 Go de RAM (installation complte) ou 1 Go de RAM (installation Server Core) ou plus. Maximum (systmes 32 bits) : 4 Go (Standard) ou 64 Go (Entreprise). Maximum (systmes 64 bits) : 32 Go (Standard) ou 2 To (Entreprise). Taille du fichier dchange Les ordinateurs avec plus de 16 Go de RAM ncessiteront davantage despace disque pour les fichiers de pagination, de mise en veille prolonge et de vidage.
Les priphriques
j j j
Un lecteur de DVD-Rom ; un moniteur Super VGA (800 x 600) ou dune rsolution suprieure ; un clavier et une souris.
12.2. Quest-ce que la version Server Core ?

Le serveur dans sa version Core et lune des nouveauts de Windows 2008 Server. Les administrateurs peuvent choisir une installation minimale de Windows Server avec des fonctionnalits spcifiques et sans les fonctionnalits inutiles. Server Core fournit un environnement pour lexcution dun ou de plusieurs rles de serveur suivants :
j j j j j j j j
virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services dannuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de limpression (voir fig. 12.1).
Server Core offre les avantages principaux suivants aux organisations :

j
La maintenance de logiciels rduite : tant donn que Server Core installe uniquement ce qui est ncessaire pour quun serveur facile grer excute les rles de serveur pris en charge, le serveur requiert moins de maintenance logicielle. Avec une installation Server Core plus rduite, le nombre des mises jour et correctifs est rduit, ce qui permet dconomiser sur lutilisation de la bande passante du rseau tendu par les serveurs et le temps dadministration pour le personnel informatique.
480
Quest-ce que la version Server Core ?
Figure 12.1 : Slection de linstallation dun serveur Core ou dun serveur en version
complte
j
Une surface dattaque rduite : tant donn quil y a moins de fichiers installs et excuts sur le serveur, il y a moins de vecteurs dattaque exposs au rseau. Par consquent, la surface dattaque est rduite. Les administrateurs peuvent installer uniquement les services spcifiques ncessaires un serveur donn, en maintenant le risque dexposition un minimum absolu. Moins de redmarrages et un espace disque rduit : avec une installation minimale de Server Core, moins de composants installs auront besoin dtre mis jour ou corrigs et le nombre de redmarrages requis sera rduit. Une installation Server Core installe les fichiers minimaux ncessaires pour les fonctionnalits requises, et lespace disque utilis sur le serveur sera donc rduit. En choisissant dutiliser loption dinstallation Server Core sur un serveur, les administrateurs peuvent rduire les exigences en matire de gestion et mise jour logicielle pour un serveur, tout en rduisant les risques lis la scurit.

Linstallation de Windows Server 2008 ressemble normment celle de Windows Vista et pour cause, ils partagent les mmes mcanismes dinstallation et de fonctionnement.
481
Chapitre 12
Windows Server 2008
Ils utilisent tous les deux le principe des images WIM. Pour installer Windows Server 2008, procdez de la manire suivante : 1. Insrez le DVD de Windows Server 2008 et redmarrez votre serveur partir de votre lecteur de DVD. Une premire fentre souvre et vous propose de choisir les options suivantes :
j j j
langues installer ; format de lheure et de la monnaie ; clavier ou mthode dentre.
2. Une fois vos choix raliss, cliquez sur Suivant.
Figure 12.2 : Premire fentre de linstallation de Windows Server 2008
La fentre suivante vous propose :

j j j
de lire les instructions et les recommandations ; daccder aux fonctionnalits de rparation ; de poursuivre linstallation standard.
3. Cliquez sur Installer pour continuer.
482
Figure 12.3 : partir de cettee fentre, vous avez la possibilit dinstaller ou rparer
Windows Server 2008 4. Dans la fentre Entrez votre cl de produit pour activation, dans le champ Cl de produit, saisissez votre cl de produit et cliquez sur Suivant.
Figure 12.4 : Saisie de la cl produit qui dbloque la version de Windows Server 2008
(Standard, Entreprise) 483
Chapitre 12
Windows Server 2008
La partie Slectionnez le systme dexploitation que vous voulez installer est une tape importante et structurante. Cest ici, que vous allez choisir linstallation dun serveur complet ou linstallation dun serveur Core. 5. Dans notre exemple, slectionnez Windows Server 2008 Enterprise (Installation complte), puis cliquez sur Suivant. Server Core Pour rappel, Server Core est une version de serveur sans interface graphique pour ladministration. Sa configuration se fait en ligne de commandes. Le Serveur Core ne possde pas la totalit des rles que propose la version complte de Windows Server 2008. Les rles proposs par le serveur Core sont les suivants :
j j
j j j j j j
virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services dannuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de limpression.
6. Dans la fentre Veuillez lire le contrat de licence, cliquez sur la case cocher Jaccepte les termes du contrat de licence et cliquez sur Suivant.
Figure 12.5 : La fentre des termes de licence
484
7. Nous devons choisir la destination de linstallation, savoir le lecteur logique et la taille de la partition sur laquelle nous souhaitons raliser linstallation. Dans la fentre Quel type dinstallation voulez-vous effectuer, slectionnez Personnalise (option avance).
Figure 12.6 : Cest cette tape que vous avez le choix de mettre votre systme niveau
ou de personnaliser une installation 8. ltape O souhaitez-vous installer Windows ?, slectionnez le disque de votre choix et cliquez sur Suivant. Pour dfinir une partition et une taille de partition spcifique, cliquez sur Options de lecteurs (avances).
Figure 12.7 : tape de personnalisation de la partition dinstallation
485
Chapitre 12
Windows Server 2008
9. Une fois linstallation termine, Windows Server 2008 redmarre et vous demande de changer de mot de passe.
Figure 12.8 : La fentre de login du premier dmarrage
12.3. Les groupes et utilisateurs

Une fois install, Windows Server propose par dfaut les groupes suivants :
j j j j j j j
Accs DCOM au service de certificats ; Administrateurs ; Duplicateurs ; IIS_IUSRS ; Invits ; Lecteurs des journaux dvnements ; Oprateurs de chiffrement ;
486
Les services par dfaut
j j j j j j j j j
Oprateurs de configuration rseau ; Oprateurs de sauvegarde ; Oprateurs dimpression ; Utilisateurs ; Utilisateurs avec pouvoirs ; Utilisateurs de lanalyseur de performances ; Utilisateurs du bureau distance ; Utilisateurs du journal de performances ; Utilisateurs du modle COM distribu.
Les utilisateurs suivants sont galement crs lors de linstallation :

j j
Administrateur ; Invit (dsactiv par dfaut). 12. Windows Server 2008
12.4. Les services par dfaut

Lors du premier dmarrage Windows Server 2008 excute un certain nombre de services avec des profils diffrents. Le tableau suivant vous les prsente :
Tableau 12.1 : Services dmarrs par dfaut dans Windows Server 2008 Entreprise
Nom Application Experience Background Intelligent Transfer Service Base Filtering Engine COM+ Event System Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Diagnostic System Host Distributed Link Tracking Client Statut Started Started Started Started Started Started Started Started Started Started Started Type de dmarrage Automatic Automatic (Delayed Start) Automatic Automatic Automatic Automatic Automatic Automatic Automatic Manual Automatic Systme pour louverture de session Local System Local System Local Service Local Service Network Service Local System Local System Local Service Local Service Local System Local System
487
Chapitre 12
Windows Server 2008
Nom Distributed Transaction Coordinator DNS Client Group Policy Client IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent KtmRm for Distributed Transaction Coordinator Network Connections Network List Service
Statut Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started
Type de dmarrage Automatic (Delayed Start) Automatic Automatic Automatic Automatic Automatic Automatic (Delayed Start) Manual Automatic Automatic Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Automatic Manual Automatic Automatic
Systme pour louverture de session Network Service Network Service Local System Local System Local System Network Service Network Service Local System Local Service Network Service Local Service Local System Local System Local System Network Service Local Service Local System Local Service Local System Local System Local System Local Service Network Service Local System Local System Local Service Network Service Network Service Local System
Network Location Awareness Network Store Interface Service Plug and Play Print Spooler Remote Access Connection Manager Remote Procedure Call (RPC) Remote Registry Secondary Logon Secure Socket Tunneling Protocol Service Security Accounts Manager Server Shell Hardware Detection SL UI Notification Service Software Licensing System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper Telephony Terminal Services User Profile Service
488
Grer le serveur
Nom Windows Error Reporting Service Windows Event Log Windows Firewall Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Time Windows Update Workstation
Statut Started Started Started Started Started Started Started Started
Type de dmarrage Automatic Automatic Automatic Automatic Automatic (Delayed Start) Automatic Automatic (Delayed Start) Automatic
Systme pour louverture de session Local System Local Service Local Service Local System Network Service Local Service Local System Local Service
12.5. Grer le serveur

De la rationalisation de la configuration de nouveaux serveurs lautomatisation des tches de gestion rptitives, la simplification des complexits quotidiennes de ladministration des serveurs est un thme cl dans un grand nombre des amliorations incluses dans Windows Server 2008. Des outils de gestion centraliss, des interfaces intuitives et des fonctionnalits dautomatisation permettent aux professionnels de linformatique de grer plus facilement les serveurs, les services et les imprimantes rseau, aussi bien dans le rseau central que dans les sites distants comme les succursales.
Les tches de conguration initiales

Avec Windows Server 2008, le processus dinstallation rationalis nest pas interrompu par des tches de configuration qui requirent lintervention de lutilisateur. Ces tches et ces botes de dialogue surviennent maintenant une fois linstallation principale termine, ce qui signifie que ladministrateur na plus besoin dtre disponible pour interagir avec la squence dinstallation (voir fig. 12.9). La fentre Tches de configuration initiales reprsente une nouvelle fonctionnalit de Windows Server 2008 qui aide les administrateurs fournir un nouveau serveur et le configurer. Elle permet notamment de dfinir le mot de passe administrateur, de modifier le nom du compte administrateur pour amliorer la scurit du serveur, de joindre le serveur un domaine existant et dactiver Windows Update et le pare-feu Windows.
489
Chapitre 12
Windows Server 2008
Figure 12.9 : La fentre Tches de configuration initiales
La console Gestionnaire de serveur

Windows Server 2008 facilite la gestion et la scurisation de plusieurs rles de serveurs dans une organisation grce la nouvelle console Gestionnaire de serveur. Elle propose une seule console unifie pour grer la configuration et les informations systme dun serveur. Elle affiche ltat du serveur, identifie les problmes de configuration des rles du serveur et gre tous les rles installs sur le serveur (voir fig. 12.10). Le volet hirarchie de la console Gestionnaire de serveur contient des nuds extensibles que les administrateurs peuvent utiliser pour atteindre directement des consoles afin de grer des rles spcifiques, de dpanner des outils ou de trouver des options de sauvegarde et de rcupration aprs un incident (voir fig. 2.11).
490
Grer le serveur
Figure 12.10 : La console Gestionnaire de serveur Figure 12.11 : Le volet Hirarchie de la console Gestionnaire de serveur
491
Chapitre 12
Windows Server 2008
Le Gestionnaire de serveur consolide une varit dinterfaces et doutils de gestion dans une console de gestion unifie, permettant aux administrateurs de complter des tches de gestion courantes sans avoir naviguer entre plusieurs interfaces, outils et botes de dialogue.
Les assistants Server Manager

Les assistants Server Manager rationalisent les tches de dploiement de serveurs dans une entreprise en rduisant le temps de dploiement, par rapport aux versions antrieures de Windows Server. La plupart des tches de configuration courantes telles que la configuration ou la suppression de rles, la dfinition de plusieurs rles et les services de rles peuvent maintenant tre ralises en une seule session grce aux assistants Server Manager.
Figure 12.12 : Assistant dajout de rles de serveurs
492
Les rles et les fonctionnalits
12.6. Les rles et les fonctionnalits

Les rles sont au nombre de 17.
j
Serveur dapplications : il permet la gestion centralise et lhbergement dapplications mtier distribues hautes performances, telles que celles des entreprises et le Framework 3.0 Serveur de tlcopie : il envoie des tlcopies. Il permet de grer les ressources de tlcopie, comme les tches, les paramtres, les rapports et les priphriques de tlcopie sur le serveur ou sur le rseau. Serveur DHCP : il permet la configuration, la gestion et la fourniture de manire centralise dadresses IP et dinformations connexes pour les ordinateurs clients. Serveur DNS : il permet la rsolution de noms pour les rseaux TCP/IP. Pour simplifier la gestion de ce serveur, il est prfrable quil soit install sur le mme serveur que le service Active Directory. En slectionnant le rle Active Directory, il est possible dinstaller et configurer le service DNS et le Service Active Directory pour quils fonctionnent ensemble. Serveur Web IIS : il fournit une infrastructure web par le biais dun ensemble de composants. Services AD LDS (Active Directory Lightweight Directory Services) : ils fournissent un magasin pour les donnes spcifiques de lapplication, pour les applications Active Directory qui ne ncessitent pas linfrastructure des services de domaine Active Directory. Il peut avoir plusieurs instances AD LDS sur un seul serveur, chacune dentre elles disposant de son propre schma. Services AD RMS (Active Directory Rights Management Services) : ils permettent de protger les informations contre une utilisation non autorise. Les services AD RMS tablissent lidentit des utilisateurs et fournissent aux utilisateurs autoriss des licences pour les informations protges. Services ADFS (Active Directory Federation Services) : ils intgrent des fonctionnalits de fdration des identits scurise et simplifies dauthentification unique via le Web. AD FS inclut un service de fdration via le Web bas sur un navigateur, un proxy du service de fdration pour personnaliser lenvironnement au client et protger les ressources internes et des agents web utiliss pour fournir aux utilisateurs fdrs laccs aux applications hbergs en interne. Services dimpression : ils permettent de partager des imprimantes sur un rseau, ainsi que de centraliser des tches de gestion de serveur dimpression et dimprimantes rseau. Ils permettent galement de migrer des serveurs dimpression et de dployer des connexions dimprimante laide de la stratgie de groupe. Services de certificats Active Directory : ils permettent de crer des autorits de certification et des services de rle associs pour mettre et grer les certificats utiliss dans diverses applications.
j j
j j
493
Chapitre 12
Windows Server 2008
Services de dploiement Windows : ils fournissent un moyen simple et scuris pour dployer rapidement distance des systmes dexploitation Windows sur des ordinateurs par le rseau. Services de domaine Active Directory : ils stockent des informations sur les objets sur le rseau et les rendent disponibles aux utilisateurs et aux administrateurs du rseau. Ces services utilisent des contrleurs de domaines pour donner accs aux ressources autorises aux utilisateurs rseau nimporte o sur le rseau via un processus douverture de session unique. Services de fichiers : ils fournissent des technologies simplifiant la gestion du stockage, la rplication des fichiers, la gestion des dossiers partags, la recherche rapide de fichiers et laccs aux ordinateurs clients Unix. Services de stratgie et accs rseau : ils fournissent le serveur NPS (Network Policy Server), le routage et laccs distant, lautorit HRA (Health Registration Authority) et le protocole HCAP (Host Credential Authorization Protocol), qui favorisent le maintient de lintgrit et de la scurit de votre rseau. Services Terminal Server : il intgre des technologies qui permettent aux utilisateurs daccder aux programmes Windows installs sur un serveur Terminal Server ou daccder au Bureau Windows. Grce aux services Terminal Server, les utilisateurs peuvent accder un serveur Terminal Server partir du rseau dentreprise ou dInternet. Services UDDI : ils offrent des fonctionnalits UDDI (description, dcouvertes et intgration universelles) pour le partage dinformations relatives aux services web sur lintranet dune organisation entre partenaires commerciaux sur un extranet. Services Windows Sharepoint : ils permettent la cration de sites web sur lesquels les utilisateurs peuvent collaborer sur des documents, tches et vnements et partager facilement des contacts et dautres informations. Cet environnement est conu pour le dploiement, ladministration et le dveloppement souples des applications.
Il y a 36 fonctionnalits :
j j j j j j j j j
assistance distance ; base de donnes interne Windows ; chiffrement de lecteur Bitlocker ; client dimpression Internet ; client Telnet ; client TFTP ; clustering avec basculement ; compression diffrentielle distance ; disque de rcupration de donnes ;
494
j j j j j j j j j j j j j j j j j j j j j j j j j j j
quilibrage de charge rseau ; exprience audio-vido haute qualit Windows ; exprience utilisateur ; extensions du serveur BITS ; fonctionnalits .NET Framework 3.0 ; fonctionnalits de la sauvegarde de Windows Server ; gestion des stratgies de groupe ; gestionnaire de ressources systme Windows ; gestionnaire de stockage amovible ; gestionnaire de stockage pour rseau SAN ; kit dadministration de Connection Manager ; message Queuing ; 12. Windows Server 2008 moniteur de port LPR ; MPIO (Multhipath I/O) ; outils dadministration de serveur distance ; protocole de rsolution de noms dhomologues ; proxy RPC sur HTTP ; serveur ISSN (Internet Storage Name Server) ; serveur SMTP ; serveur Telnet ; serveur WINS ; service dactivation de processus Windows ; service de rseau local sans fil ; services SMNP ; services TCP/IP simplifis ; sous-systmes pour les applications Unix ; Windows PowerShell.
Pour ajouter une fonctionnalit, procdez ainsi : 1. Slectionnez le menu Dmarrer/Gestionnaire de serveur.
495
Chapitre 12
Windows Server 2008
Figure 12.13 : Slection du Gestionnaire de serveur
2. Dans la partie gauche du Gestionnaire de serveur, cliquez sur Rles.
Figure 12.14 : Slection de loutil de gestion des rles
496
3. Dans le volet de droite, slectionnez Ajouter des rles. Dans la fentre Slectionnez des rles de serveurs, cochez la case du rle que vous souhaitez installer et cliquez sur Suivant.
Figure 12.15 : Slection dun rle
4. En cas dajout de composants optionnels ncessaires, lassistant vous propose de les ajouter et de les installer galement. Pour cela, cliquez sur Ajouter les fonctionnalits requises.
Figure 12.16 : Ajout des fonctionnalits requises pour le rle
497
Chapitre 12
Windows Server 2008
5. Dans la fentre suivante, lassistant vous expliquez les fonctionnalits du rle et vous propose des informations complmentaires lies au rle. Cliquez sur Suivant pour poursuivre linstallation.
Figure 12.17 : Description du rle
6. Un rle reprsente bien souvent plusieurs services. Dans la fentre Slectionner les services de Rle, slectionnez uniquement les services utiles votre besoin et cliquez sur Suivant.
Figure 12.18 : Slection des services pour le rle
498
7. Dans la fentre Confirmation, cliquez sur Installer pour continuer linstallation.
Figure 12.19 : La fentre de confirmation dinstallation du rle
8. la fin de linstallation, la fentre Rsultat de linstallation prsente un rcapitulatif de linstallation. Cliquez sur Fermer pour terminer linstallation du rle
Figure 12.20 : Fentre de rsultat de linstallation
499
Chapitre 12
Windows Server 2008
La fentre de rle prsente le nouveau rle install, il sagit ici du serveur web Internet Information Server 7.
Figure 12.21 : Prsentation du nouveau rle install
12.7. Les amliorations lies la scurit

La scurit est lun des sujets que lon ne peut plus ignorer de nos jours. Derrire ce mot se cache un ensemble denjeux pour lentreprise, quil sagisse de protger les accs, les authentifications ou les autorisations. ce titre, Windows Server 2008 compte de nombreuses fonctionnalits qui amliorent la scurit et la conformit. Voici les principales amliorations
j
Obliger les postes clients rester en bonne sant : la protection NAP (Network Access Protection) permet aux administrateurs de configurer et de mettre en place des exigences en matire de sant et de scurit avant dautoriser les postes clients accder au rseau. Contrler les autorits de certification : linfrastructure de cl publique (PKI, Public Key Infrastructure) dentreprise amliore la possibilit de contrler et de dpanner plusieurs autorits de certification.
500
Les amliorations lies la scurit
j j j j j
Disposer dun vritable pare-feu : le nouveau pare-feu Windows avec scurit avance fournit un certain nombre damliorations en matire de scurit. Le chiffrement et la protection des donnes : BitLocker protge les donnes sensibles en chiffrant le lecteur de disque. Les outils cryptographiques : une cryptologie nouvelle gnration fournit une plateforme de dveloppement cryptographique flexible. Lisolement de serveur et de domaine : les ressources de serveur et de domaine peuvent tre isoles pour limiter laccs aux ordinateurs authentifis et autoriss. Le contrleur de domaine en lecture seule (RODC) : le RODC est une nouvelle option dinstallation de contrleur de domaine qui peut tre installe sur des sites distants susceptibles davoir des niveaux infrieurs de scurit physique.
Ces amliorations aident les administrateurs augmenter le niveau de scurit de leur organisation et simplifient la gestion et le dploiement des configurations et des paramtres lis la scurit. 12. Windows Server 2008
Les fonctionnalits de scurit avance du pare-feu Windows

Le pare-feu de Windows Server 2008 est avant tout la plateforme Windows Filtering platform. Elle se compose des lments suivants :
j
Un ensemble dAPI, destin avant tout aux diteurs tiers, leur permet de venir inclure leur moteur de filtrage et de disposer ainsi dun filtrage beaucoup plus volu. Des fonctionnalits de filtrage avances : communications authentifies ; configuration dynamique et robuste du pare-feu avec les appels WinSock ; fondation de pare-feu Windows et IPSec ; fonctionnement avec du trafic chiffr (par exemple, RPC dans Windows Server 2008).
Le systme de Hooking passage dans la pile (stack) est mieux document, ce qui rduit considrablement les risques dincompatibilit.
Larchitecture Windows Filtering Platform

Pour mieux comprendre, voici une prsentation de larchitecture de Windows Filtering Platform. Windows Filtering Platform utilise le Filtering Engine qui est plac dans le kernel de Windows. Lorsquon utilise une application pare-feu et une application antivirus, elles font toutes deux appel aux API de Windows Filtering Platform. Elles vont pouvoir tre 501
Chapitre 12
Windows Server 2008
contrles depuis le BFE (Base Filtering Engine). Il y a plusieurs niveaux comme IPSec, ALE (Application Layer Enforcement), etc. Toutes les applications dditeurs tiers vont donc venir sinclure dans le systme sous forme de Callout. Par lintermdiaire des API, Windows Filtering Platform va faire appel de manire standard aux diffrents composants quel que soit leur diteur. Voici un petit comparatif entre le pare-feu de Windows Server 2003 et celui de Windows Server 2008 :
Tableau 12.2 : Comparatif des pare-feu Windows XP SP2 et Windows Vista Fonction Sens Rglage par dfaut Filtres de paquets Critres de rgles Windows Server 2003 Entrant Bloquer TCP, UDP, ICMP Application, port, types ICMP Bloquer Panneau de configuration et Netsh Aucune Fichier ADM Exceptions, profils Windows Server 2008 Entrant et sortant Cela dpend du sens Tout type Multiples combinaisons Bloquer, autoriser, ignorer Panneau de configuration et Netsh enrichis et MMC Via RPC MMC et Netsh Rgles, catgorie profils
Action Configuration Administration distance GPO Terminologie
Le nouveau pare-feu, dans ses fonctions avances, vous permet de crer des rgles selon les critres de filtrage suivants :
j j j j j j j j
groupe utilisateurs/machine Active Directory ; IP source et destination (individuelle ou plage) ; ports TCP/UDP source et destination ; liste des ports dlimits par des points-virgules ; numro de protocole IP ; type dinterface (filaire, sans-fil, VPN/RAS) ; type/code ICMP ; service.
502
Le stockage des rgles de votre pare-feu se fait diffrents endroits :

Tableau 12.3 : Stockage des rgles de scurit Stockage GPO GP_RSOP Local Description Lorsquil sagit du stockage des GPO, ces rgles sont stockes dans le SYSVOL des contrleurs de domaine, stockage de la stratgie de groupe. Il sagit du rsultat de lapplication des stratgies de groupe, il se trouve dans la base de Registre de la machine. Le store local est en fait la ruche de Registre o sont stockes les informations des applications et des utilisateurs pour les stratgies locales. Voici le chemin de registre : HKEY-LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\. Cela consiste en la stratgie actuellement applique par le pare-feu.
Dynamique
Dans les versions antrieures de Windows Server, le pare-feu Windows et IPSec taient configurs sparment. tant donn quun pare-feu bas sur lhte et IPSec dans Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de crer des exceptions de pare-feu et des rgles IPSec contradictoires ou qui se chevauchent. Le nouveau pare-feu Windows de Windows Server 2008 a associ la configuration des services rseau avec les mmes commandes dinterface graphique et de ligne de commande. Cette intgration de paramtres de pare-feu et IPSec simplifie la configuration du pare-feu et IPSec, et contribue empcher les chevauchements de stratgies et les paramtres contradictoires.
La protection : NAP
NAP (Network Access Protection) empche les ordinateurs non intgres daccder au rseau dune organisation et de le compromettre. NAP est utilise pour configurer et mettre en place des exigences en matire de sant client et mettre jour, ou corriger, des ordinateurs clients non conformes afin quils puissent tre connects au rseau de lentreprise. Avec NAP, les administrateurs peuvent configurer des stratgies de sant qui dfinissent des lments tels que la configuration logicielle requise, les mises jour de scurit requises et les paramtres de configuration requis pour les ordinateurs se connectant au rseau de lorganisation. NAP permet dappliquer les exigences en matire de sant en valuant la sant des ordinateurs clients et en limitant laccs rseau lorsque les ordinateurs clients ne sont pas conformes. Les composants clients et serveurs participent la correction des ordinateurs clients non conformes, pour quils puissent obtenir un accs rseau illimit. Si un ordinateur client est dtermin non conforme, il peut se voir refuser laccs au rseau ou tre rpar immdiatement pour devenir conforme.
503
Chapitre 12
Windows Server 2008
Les mthodes de mise en place de la NAP prennent en charge quatre technologies daccs rseau qui travaillent conjointement avec celle-ci pour mettre en place des stratgies de sant : mise en place dIPSec (Internet Protocol Security), de 802.1X, dun rseau priv virtuel (VPN) pour le routage et laccs distant et du protocole DHCP (Dynamic Host Configuration Protocole).
Le chiffrement de lecteur BitLocker

Le chiffrement de lecteur BitLocker est une nouvelle fonctionnalit de scurit cl dans Windows Server 2008 qui aide protger les serveurs, les postes de travail et les ordinateurs mobiles. Cette fonctionnalit est galement disponible dans Windows Vista Entreprise et Windows Vista dition Intgrale pour la protection des ordinateurs clients et des ordinateurs mobiles. BitLocker chiffre le contenu dun lecteur de disque. Cela empche un voleur qui excute un systme dexploitation parallle ou qui excute dautres outils logiciels de contourner les protections de fichiers et systme ou dexcuter un affichage hors ligne des fichiers enregistrs sur le lecteur protg. 12. Windows Server 2008 BitLocker amliore la protection des donnes en runissant deux sous-fonctions majeures : le chiffrement de volume systme et la vrification de lintgrit des composants damorage. Lensemble du volume systme est chiffr, y compris les fichiers de remplacement et de veille prolonge, ce qui augmente la scurit des serveurs distants dans la succursale. BitLocker rpond aux menaces de vol de donnes ou dexposition partir dun PC perdu, vol ou mis hors service de faon inapproprie.
Enterprise PKI
Il existe un certain nombre damliorations de linfrastructure de cl publique (PKI) dans les systmes dexploitation Windows Server 2008 et Windows Vista. La gestion a t facilite dans tous les aspects de PKI Windows, les services de rvocation ont t retravaills et la surface dattaque pour linscription a diminu. Voici quelques-unes des amliorations de la PKI
j
Enterprise PKI (PKIView) : PKIView, qui faisait partie lorigine du kit de ressources Microsoft Windows Server 2003 et sappelait "loutil PKI Health", est maintenant un composant logiciel enfichable MMC (Microsoft Management Console) pour Windows Server 2008. Il est utilis pour analyser ltat de sant des autorits de certification et pour afficher des dtails sur les certificats gnrs par lautorit de certification et publis dans AD CS. Protocole OCSP (Online Certificate Status Protocol) : un rpondeur en ligne bas sur le protocole OCSP (Online Certificate Status Protocol) peut tre utilis pour grer et distribuer des informations sur ltat de rvocation dans les cas o lutilisation de CRL conventionnelles ne serait pas une solution optimale. Des rpondeurs en ligne peuvent tre configurs sur un seul ordinateur ou dans un tableau de rpondeurs en ligne.
504
Service NDES (Network Device Enrollment Service) : dans Windows Server 2008, le service NDES est limplmentation Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol), un protocole de communication qui permet aux logiciels excuts sur des priphriques rseau, tels que les routeurs et les commutateurs qui ne peuvent pas tre authentifis autrement sur le rseau, dobtenir des certificats x509 auprs dune autorit de certification. Web Enrollment : le nouveau contrle Web Enrollment (inscription par le Web) est plus sr, plus facile rdiger en script et plus facile mettre jour que sa version antrieure. Stratgie de groupe et PKI : des paramtres de certificat dans la stratgie de groupe permettent aux administrateurs de grer les paramtres de certificat partir dun emplacement central pour tous les ordinateurs du domaine.
La cryptographie nouvelle gnration (CNG)

La CNG fournit une plateforme de dveloppement cryptographique flexible permettant aux professionnels de linformatique de crer, de mettre jour et dutiliser des algorithmes cryptographiques personnaliss dans des applications caractre cryptographique, telles quAD CS (Active Directory Certificate Services), SSL (Secure Sockets Layer) et IPSec (Internet Protocol Security). CNG implmente les algorithmes cryptographiques de la Suite B du gouvernement amricain, qui incluent des algorithmes pour le chiffrement, les signatures numriques, lchange de cls et le hachage. CNG propose une srie dAPI qui sont utilises pour excuter des oprations cryptographiques fondamentales, telles que la cration, le stockage et la rcupration de cls cryptographiques. Elle prend galement en charge linstallation et lutilisation de fournisseurs cryptographiques supplmentaires. CNG permet aux organisations et aux dveloppeurs dutiliser leurs propres algorithmes cryptographiques ou des implmentations dalgorithmes cryptographiques standards. CNG prend en charge lensemble actuel dalgorithmes CryptoAPI 1.0 et fournit galement une prise en charge pour les algorithmes de cryptographie courbe elliptique. La Suite B du gouvernement amricain exige un certain nombre dalgorithmes de cryptographie courbe elliptique. 12. Windows Server 2008
RODC (contrleurs de domaine en lecture seule)

Le contrleur de domaine en lecture seul (RODC, Read-Only Domain Controller) est un nouveau type de contrleur de domaine disponible dans le systme dexploitation Windows Server 2008, conu principalement pour tre dploy dans des environnements de succursales. Un RODC peut rduire les risques de dploiement dun contrleur de domaine dans des emplacements distants tels que des succursales o la scurit physique ne peut pas tre garantie.
505
Chapitre 12
Windows Server 2008
En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs des services de domaine Active Directory (AD DS) de Microsoft quun contrleur de domaine rinscriptible renferme. Cependant, les clients ne peuvent pas inscrire de modifications directement dans un RODC. Comme les modifications ne peuvent pas tre inscrites directement dans le RODC et que, par consquent, leur source nest pas locale, les contrleurs de domaine rinscriptibles qui sont des partenaires de rplication nont pas besoin dextraire des modifications du RODC. La sparation des rles dadministrateur spcifie que nimporte quel utilisateur de domaine peut tre dlgu pour tre ladministrateur local dun RODC sans que cet utilisateur ne bnficie de droits dutilisateur pour le domaine lui-mme ou dautres contrleurs de domaine.
Lisolement de serveur et de domaine

Dans un rseau Microsoft Windows, les administrateurs peuvent logiquement isoler des ressources de serveur et de domaine pour limiter laccs aux ordinateurs authentifis et autoriss. Par exemple, un rseau logique peut tre cr dans le rseau physique existant, o les ordinateurs partagent une srie commune dexigences pour les communications scurises. Chaque ordinateur dans ce rseau isol logiquement doit fournir des informations dauthentification aux autres ordinateurs du rseau isol pour tablir la connectivit. Cet isolement empche les ordinateurs et programmes non autoriss dobtenir un accs abusif aux ressources. Les demandes provenant dordinateurs qui ne font pas partie du rseau isol sont ignores. Lisolation du serveur et du domaine permet de protger les serveurs et les donnes spcifiques de grande valeur, ainsi que les ordinateurs grs des ordinateurs et des utilisateurs non grs ou non autoriss. Deux types disolation peuvent tre utiliss pour protger un rseau.
j
Isolation du serveur : dans un scnario disolation du serveur, les serveurs spcifiques sont configurs en utilisant la stratgie dIPSec afin de naccepter que les communications authentifies issues dautres ordinateurs. Par exemple, le serveur de base de donnes peut tre configur pour naccepter que les connexions du serveur dapplication web. Isolation du domaine : pour isoler un domaine, les administrateurs peuvent utiliser lappartenance de domaine Active Directory afin de sassurer que les ordinateurs qui sont membres dun domaine nacceptent que les communications authentifies et scurises manant dautres ordinateurs membres du domaine. Le rseau isol est compos uniquement dordinateurs faisant partie du domaine. Lisolation du domaine utilise la stratgie dIPSec pour assurer la protection du trafic circulant entre les membres de domaine, y compris tous les ordinateurs clients et serveurs.
506
En rsum
12.8. En rsum
Windows Server 2008 reprsente la nouvelle gnration de Windows Server. Il offre un contrle accru de linfrastructure serveur et rseau. Il augmente la scurit en renforant le systme dexploitation et en protgeant lenvironnement rseau. Il permet galement dtre flexible en acclrant le dploiement et la maintenance des systmes informatiques, facilitant la consolidation et la virtualisation des serveurs et applications et en fournissant des outils dadministration intuitifs.
12. Windows Server 2008 507
Partie
B
Active Directory
Partie
B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17 Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22
Active Directory
Introduction LDAP et Active Directory . . . . . . . 511 La planication dun projet Active Directory . . . . . . 535 La conception de linfrastructure logique Active Directory . 545 La conception de la topologie de sites . . . . . . . . 563 La conception et limplmentation de la structure des units dorganisation . . . . . . . . . . . . . . . . . 593 Limplmentation des serveurs dinfrastructure Active Directory . . . . . . . . . . . . . . . . . . . 613 Les fonctions et les rles dans Active Directory . . . . . 661 La maintenance dActive Directory . . . . . . . . . . 695 La scurisation dActive Directory . . . . . . . . . . 715 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . . . . . . 733
Chapitre 13
Introduction LDAP et Active Directory

13.1 13.2 13.3 Gnralits sur lannuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Gnralits sur lannuaire et LDAP
e chapitre a pour premier objectif dintroduire les principes de base des annuaires, mais galement de prsenter le protocole LDAP, jusqu sa version 3, qui constitue une norme ouverte pour les annuaires. Dans un second temps, ce chapitre abordera la prsentation dActive Directory avec la structure logique et physique pour se terminer par un bref rsum.
13.1. Gnralits sur lannuaire et LDAP

Il est trs important de bien comprendre ce quest un annuaire et ce quoi il sert avant de dcrire le standard LDAP (Lightweight Directory Access Protocol) lui-mme. En effet, le standard LDAP et lannuaire quil soit LDAP ou non sont deux choses diffrentes. Le premier dfinit linterface daccs un annuaire et le second est une sorte de base de donnes permettant de retrouver facilement des personnes ou des ressources comme des imprimantes, des ordinateurs et des applications. Cest parce que les annuaires prsentent certains besoins caractristiques que leur accs ncessite de dfinir un standard. Les annuaires ne sont pas que des bases de donnes. Ils doivent galement offrir des services particuliers comme la recherche, le classement ou lorganisation des informations. Cest ce que la suite de ce chapitre va sefforcer de vous dmontrer. 13. Introduction LDAP et Active Directory
Quest-ce quun annuaire ?

Nous sommes tous familiers dannuaires que nous utilisons dans notre quotidien. Prenons, par exemple, notre carnet dadresses, les annuaires web ou les pages blanches et les jaunes que nous recevons dans nos botes aux lettres. Ils sont tous destins faciliter la localisation dune personne ou dune entreprise partir de diffrents critres de recherche comme le nom, le code postal, voire la fonction pour les personnes ou le type de service rendu pour les entreprises. Le rsultat des recherches est un numro de tlphone, une adresse postale complte, une adresse de site web, une adresse de messagerie lectronique, etc. Ils doivent donc offrir des critres de recherche puissants, pragmatiques et simples utiliser. Un annuaire est dautant plus utile quil est simple employer, notamment lorsque vous devez effectuer une recherche avec trs peu dinformations. lextrme, cette recherche peut ntre quune vague formulation ; par exemple : Je veux trouver un restaurant. Dailleurs, si vous tapez cette phrase dans la zone de recherche du site
513
Chapitre 13
Internet des pages jaunes (www.pagesjaunes.fr), vous retrouverez les services relatifs la restauration et aux tablissements de la restauration. Les annuaires lectroniques et en ligne ont la mme vocation que les annuaires papier, mais ils apportent en plus les avantages suivants : ils sont dynamiques, flexibles, scuriss et personnalisables.
Un peu dhistoire sur le protocole

En 1988 lISO (International Organization Standardization) et lITU (International Telecommunications Union) fusionnent leurs travaux et approuvent la premire version du standard X.500, laquelle sera officiellement publie par lITU en 1990. En fait, X.500 est constitu dun ensemble de protocoles standards, tous issus des travaux de lISO. Pour vous donner un bref aperu de ltendue des services offerts par le standard X.500, voici un rappel de ses diffrentes recommandations et protocoles
j j j
Spcification X.501 : description des concepts X.500. Spcification X.509 : descriptions des mcanismes dauthentification X.500. Spcification X.511 : description des fonctions de recherche et de manipulation dobjets. Spcification X.518 : description des services distribus. Spcification X.519 : description des protocoles X.500 tels que DAP, DSP, DOP et DISP. Spcification X.520 : description des attributs et des classes X.500. Spcification X.525 : description des mcanismes de rplication X.500. Spcification X530 : description des services dadministration des annuaires X.500.
13. Introduction LDAP et Active Directory
j j j j j
Comme vous pouvez le constater, le protocole X.500 a t conu ds le dpart pour offrir aux services dannuaires des services complets et sophistiqus. Annuaire du monde OSI, il repose sur les services de la couche 7 (application) du modle ISO de lOSI. Cependant, ce cahier des charges norme et sa complexit de mise en uvre seront les causes des nombreux problmes de fonctionnement et de performance des premires versions dannuaire X.500. En raison de son cot, il sera rserv aux grands comptes exigeants, comme les oprateurs de tlcommunication, pour lesquels il a t initialement conu. Malgr une couverture fonctionnelle complte, il naura pas connu le succs escompt. De plus, le principal inconvnient viendra du fait que seuls les protocoles ISO taient reconnus. Au commencement de lInternet, certains disaient mme que le rve secret des architectes de lOSI aurait t que X.500 supplante TCP/IP ! En fait, cela narrivera jamais et, bien au contraire, les implmentations X.500 les plus modernes seront petit petit adaptes pour prendre en charge TCP/IP.
514
LDAP version 2 et version 3

Les mthodes daccs aux annuaires bass sur X.500 taient bien trop complexes. Cest ainsi quaprs plusieurs mthodes "plus simples" permettant laccs aux annuaires X .500, lOSI et lIETF (Internet Engineering Task Force) dcidrent de se regrouper pour formaliser un protocole allg capable daccder aux annuaires X.500. Ces diffrentes volutions sont rappeles ici :
j j j
La premire spcification a t publie en 1993 sous la RFC 1487. La spcification LDAPv2 publie sous la RFC 1777 sera la premire version approuve par lindustrie. La RFC 1778 (String Representation of Standard Attribute Syntaxes) et la RFC 1779 (String Representation of Distinguished Mane) participent aussi la clarification des syntaxes reconnues. La spcification LDAPv3 est publie en 1997 sous la RFC 2251. Cette version amliorera de manire significative LDAPv2 dans les domaines suivants Lextensibilit plus importante : le protocole LDAPv3 peut tre tendu pour prendre en charge de nouvelles oprations laide de nouveaux contrles. De cette manire, les services LDAP pourront tre tendus au fur et mesure que ce sera ncessaire. La dcouverte des fonctionnalits et du schma disponible : les serveurs LDAPv3 disposent dune nouvelle entre dans lannuaire appele "RootDSE" (Root Directory Server Specific Entry). Ce nouvel lment permet la publication de nombreuses informations spcifiques, par exemple les informations de schma ou les contrles disponibles. Cette fonctionnalit permet aux clients LDAP de mieux ngocier les fonctionnalits et les services disponibles par tel ou tel serveur dannuaires LDAP. Une meilleure gestion des authentifications : LDAPv3 implmente le support de SASL (Simple Authentification and Security Layer) et de TLS (Transport Layer Security). La gestion des rfrences : LDAPv3 implmente un mcanisme de gestion des rfrences qui permet aux serveurs LDAP de renvoyer des rfrences vers dautres serveurs LDAP. Le support des jeux de caractres Unicode : le support du jeu de caractres UTF-8 permet au protocole LDAP de manipuler des donnes quel que soit le langage utilis.
Comme LDAPv2, le protocole LDAPv3 ncessite un certain nombre de clarifications, lesquelles sont publies dans les RFC suivantes
j j j
RFC 2252 : Attribut Syntax Definitions. RFC 2253 : UTF-8 String Representation of Distinguished Names. RFC 2254 : String Representation of LDAP Search Filters. 515
Chapitre 13
j j j j
RFC 2255 : The LDAP URL Format. RFC 2256 : A Summary of X.500 (96) User Schema for Use with LDAPv3. RFC2829 : Authentication Methods for LDAP. RFC2830 : Extensions for Transport Layer Security. Adresse de rfrence des RFC Voici une adresse incontournable pour les RFC, mais surtout pour les RFC traduites en franais : http ://abcdrfc.free.fr.
Le standard LDAP v3
Le standard LDAP v3 est constitu de plusieurs spcifications dont certaines sont ltat de standard propos (premire tape avant de devenir un standard Internet part entire), dautres sont ltat exprimental ou ont un simple statut dinformation. Vous trouverez dans le tableau suivant les principales spcifications existant ce jour ainsi que leurs tats respectifs : 13. Introduction LDAP et Active Directory
Tableau 13.1 : Spcifications du standard LDAP v3
Numro RFC 1823 Titre The LDAP Application Program Interface Using Domains in LDAP /X.500 Distinguished Name Description Description de linterface de programmation pour laccs aux services dun annuaire LDAP. Date Aot 1995 Statut Information
RFC 2247
Janvier 1998 Ce document dcrit comment tablir la correspondance entre un nom de domaine Internet (par exemple, NomSociete.com) et un DN (Distinguished Name), racine de larbre LDAP de ce domaine. Ce document dcrit les lments du protocole LDAP, ainsi que lensemble des fonctions, leurs paramtres et leurs codes retour. Ce document dcrit la syntaxe des attributs et lensemble des attributs normaliss qui doivent tre pris en charge pour les serveurs LDAP. Dcembre 1997
Standard propos
RFC 2251
Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (v3)
Standard propos
RFC 2252
Dcembre 1997
Standard propos
516
Numro RFC 2253
Titre Lightweight Directory Access Protocol (v3)
Description Ce document dcrit la syntaxe UTF-8 pour la prise en charge du multilinguisme dans les requtes LDAP.
Date Dcembre 1997
Statut Standard propos
RFC 2254
The String Ce document dcrit la syntaxe Representation des filtres de recherche dans une of LDAP requte LDAP. Search Filters The LDAP URL Format Ce document dcrit le format des URL permettant dinterroger un annuaire LDAP partir dun navigateur Web ou de toute application HTTP.
Dcembre 1997
Standard propos
RFC 2255
Dcembre 1997
Standard propos
RFC 2256
A Summary of the X.500 (96) User Schema for Use With LDAP v3 An Approach for Using LDAP as a Network Information Service Internet .X509 Public Key Infrastructure LDAP v2 Schema Lightweight Directory Access Protocol (v3)
Ce document dcrit les attributs Dcembre 1997 normaliss dans le standard X500 et communment utiliss dans les annuaires LDAP. Ce document tablit une correspondance entre des attributs et des classes dobjets LDAP et NIS. Rappelons que NIS est une sorte dannuaire de ressources, implment dans la majorit des systmes Unix. Ce document dcrit les attributs et les objets requis pour grer dans un annuaire LDAP des certificats X509. Mars 1998
Standard propos
RFC 2307
Exprimental
RFC 2587
Juin 1999
Standard propos
RFC 2589
Ce document dcrit une extension Mai 1999 du protocole LDAP permettant de grer des donnes volatiles (ou dynamiques) dans lannuaire. Par exemple une adresse IP attribue dynamiquement par un rseau un utilisateur peut tre sauvegarde dans lannuaire et tre rattach lentre qui dcrit cet utilisateur. Mais elle a une dure de vie limite, et change chaque fois que lutilisateur se reconnecte au rseau.
Standard propos
517
Chapitre 13
Numro RFC 2596
Titre Use of Language Codes in LDAP An LDAP Control and Schema for Holding Operation Signatures
Description Ce document dcrit la faon de dsigner laide dune codification la langue utilise dans les requtes LDAP.
Date Mai 1999
Statut Standard propos
RFC 2649
Ce document dcrit une extension Aot 1999 du protocole LDAP permettant de signer les informations sauvegardes dans lannuaire. Cette signature permet de sassurer de lintgrit des donnes et de leur appartenance leur auteur, en se basant sur des certificats. Ce document dcrit une extension Septembre 1999 du protocole LDAP permettant de contrler la taille des rponses renvoyes suite une recherche. Ce document dfinit des classes dobjets permettant de dcrire des objets Java dans un annuaire LDAP. Octobre 1999
Exprimental
RFC 2696
LDAP Control Extension for Simple Paged Results Manipulation Schema for Representing Java Y Objects in LDAP Directory Schema for Representing CORBA Object References in an LDAP Directory
Information
RFC 2713
Information
RFC 2714
Ce document dfinit des classes dobjets permettant de dcrire des objets CORBA dans un annuaire LDAP.
Octobre 1999
Information
Lensemble de ces spcifications a favoris lmergence de produits qui prennent en charge le standard LDAP en mode natif. Plutt que de dvelopper des interfaces LDAP des annuaires existants ou des bases de donnes, les diteurs de solutions ont prfr de nouveaux produits optimiss pour ce standard. Cest le cas de Microsoft avec Active Directory (AD), dIBM avec Secure Way, diPlanet avec iPlanet Directory Server, et de bien dautres encore. Notons enfin que ce standard est actuellement adopt par la majorit des acteurs du march, et quil est dores et dj intgr dans leurs produits. Citons titre dexemple Novell, IBM, Oracle, Microsoft, iPlanet, Lotus, HP, etc. Comme vous pouvez le constater dans la liste des spcifications du standard LDAP v3, ce standard volue constamment. Aucune version 4 nest prvue pour le moment, car la
518
plupart des volutions sont soit des modifications du schma, soit de nouveaux services quil est possible de solliciter travers les extensions LDAP. On entend par extensions, de nouvelles fonctions offertes travers une opration particulire prvue dans le standard LDAP v3, permettant dexcuter des traitements dans un serveur dannuaire, qui ne font pas partis du standard lui-mme. Un groupe de travail de lIETF, nomm LDAPEXT, uvre normaliser ces extensions. Ainsi, il nest pas ncessaire, pour le moment, de modifier la structure du standard LDAP. Il est tout fait possible avec la version actuelle de faire voluer le schma si celui-ci drive du schma propos dans le standard, et de faire appel de nouvelles fonctions travers les interfaces dj prvues cet effet.
La conformit LDAP de Windows Server 2003

Windows Server 2003 Active Directory est en fait une implmentation de LDAP, qui comprend une multitude de classes dobjets permettant de stocker les droits des utilisateurs, leurs prfrences, ltat de leur bureau etc. Il est possible dy accder au moyen de lAPI approprie spcifie par Microsoft. Attention toutefois car, mme si Microsoft sest clairement engag dans le support des technologies dannuaires, notamment le support inconditionnel de LDAP avec sa participation active au sein des diffrents groupes de lIETF, il nen reste pas moins qu proprement parler le LDAP implment par Microsoft respecte le standard ! Par contre, le schma utilis est, quant lui, propritaire, ce qui pose certains problmes dintgration avec dautres environnements. Il existe cependant des produits permettant de rsoudre ce problme. Windows Server 2003 reprend les bases apportes par Windows 2000 Server et apporte de nouvelles fonctionnalits qui peuvent aussi bien intresser les dveloppeurs que les ingnieurs ou bien les architectes systme. Il est important de noter que toutes ces nouvelles fonctionnalits font lobjet de RFC. En voici un bref rcapitulatif des fonctionnalits les plus importantes
j
Support des entres dynamiques : lannuaire Active Directory peut stocker les valeurs dentres dynamiques en leur assignant une dure de vie (TTL). De cette manire, ces valeurs peuvent tre automatiquement dtruites lors de lexpiration du TTL. Support du protocole TLS (Transport Layer Security) : les connexions vers lActive Directory via le protocole LDAP peuvent tre dsormais cryptes et authentifies laide du support TLS. Support des authentifications DIGEST-MD5 : les connexions vers lActive Directory via le protocole LDAP peuvent dsormais tre authentifies laide du mcanisme dauthentification SASL-DIGEST-MD5 (SASL, Simple Authentication and Security Layer). Linterface Windows Digest SSPI (Security Support Provider Interface) permet dutiliser des authentifications de type DIGEST-MD5 en tant que mthode de type SASL.
519
Chapitre 13
Support des vues virtuelles : il sagit dune optimisation du traitement des rponses aux requtes LDAP. Par exemple, lorsquune requte doit retourner vers le client un rsultat trop volumineux, lide consiste lui retourner seulement le contenu dune fentre de valeurs plutt que lintgralit de la rponse. De cette manire, le client voit le rsultat instantanment et la surcharge sur le rseau est contenue. Bind LDAP multiples : cette fonctionnalit permet un client de raliser plusieurs Bind LDAP au travers de la mme connexion pour pouvoir authentifier les utilisateurs.
Le tableau suivant liste les diffrentes RFC LDAP reconnues par limplmentation de lannuaire Active Directory de Windows 2000 Server.
Tableau 13.2 : Principales RFC LDAP prises en charge par lannuaire Active Directory
Windows 2000 Server

RFC 2251 2252 RFC LDAP principaux Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (v3) : Attribute Syntax Definitions Attention, certaines syntaxes Unix ne sont pas reconnues ce jour ! Lightweight Directory Access Protocol (v3) : UTF-8 String Representation of Distinguished Names String Representation of LDAP Search Filters The LDAP URL Format A Summary of the X.500 User Schema for Use with LDAPv3 Authentication Methods for LDAP Lightweight Directory Access Protocol (v3) : Extension for Transport Layer Security tat des RFC Propos Propos
2253 2254 2255 2256 2829 2830
Propos Propos Propos Propos Propos Propos
Le tableau suivant liste les diffrentes RFC LDAP additionnelles reconnues par limplmentation de lannuaire Active Directory de Windows 2000 Server.
Tableau 13.3 : RFC LDAP additionnelles prises en charge par lannuaire Active Directory
Windows 2000 Server

RFC 2696 2247 RFC LDAP additionnels LDAP Control Extension for Simple Paged Results Manipulation Using Domains in LDAP/X.500 Distinguished Names tat des RFC Propos Propos
520
Support des RFC Lensemble des RFC prises en charge par limplmentation de LDAP sous Windows 2000 Server est accept par Windows Server 2003. Le tableau suivant liste les diffrentes RFC LDAP reconnues par limplmentation de lannuaire Active Directory de Windows Server 2003.
Tableau 13.4 : RFC LDAP additionnelles prises en charge par lannuaire Active Directory
Windows Server 2003

RFC 2589 2798 2831 2891 2589 RFC LDAP additionnels LDAP Protocol (v3) : Extension for Dynamic Directory Services Definition of the InetOrgPerson LDAP Object Class Using Digest Authentication as an SASL Mechanism LDAP Control extension for Server Side Sorting of Search Results LDAP Protocol (v3) : Extensions for Dynamic Directory Services tat des RFC Propos Propos Propos Propos Propos
Cependant, tout le monde le sait, les technologies passent par des tapes intermdiaires ncessaires, lesquelles gnrent souvent des problmes de compatibilit. Cest le cas avec les problmes gnrs par la classe InetOrgPerson dfinie dans la RFC 2798.
La compatibilit LDAP et InetOrgPerson

Une nouvelle classe dobjet est disponible dans les versions Windows Server 2003 dActive Directory : la classe dobjet InetOrgPerson. La dfinition dune classe dobjet est donne plus loin dans ce chapitre. La classe dobjet InetOrgPerson est dfinie dans la RFC 2798, et a t accepte en tant que standard. Active Directory, dans sa version Windows Server 2003, a donc t modifi afin de prendre en charge la classe InetOrgPerson et, avec lajout de la dfinition de classe Utilisateur, vous pouvez dsormais crer la classe InetOrgPerson comme entit de scurit dans Active Directory. Cela optimise les possibilits de migration des comptes dutilisateur de rpertoires tiers (provenant de programmes tiers qui utilisent Active Directory comme mthode dauthentification) vers Active Directory. Des critiques ont t mises concernant la pseudo-compatibilit de lannuaire Active Directory comme annuaire respectant les recommandations de lIETF, et tout particulirement la conformit LDAPv3. Le grand reproche tait que la classe InetOrgPerson ntait pas prise en charge.
521
Chapitre 13
En fait, plusieurs lments sont prendre en compte :

j
Lannuaire Active Directory respecte toutes les RFC fondamentales traitant du protocole LDAP et tout particulirement la RFC 3377 qui dfinit les spcifications du protocole LDAPv3. La classe InetOrgPerson est dfinie dans la RFC 2798, laquelle est considre comme une extension de LDAPv3 et, de ce fait, elle nest donc pas incluse dans la RFC 3377 qui dcrit les spcifications LDAPv3. La classe InetOrgPerson dfinie dans la RFC 2798 na t publie par lIETF quen avril 2000 alors que Windows 2000 Server tait livr en fvrier de la mme anne, ce qui videmment rend impossible la prise en charge de cette classe sous Windows 2000 Server. En cas de ncessit, il est toujours possible dtendre le schma de lActive Directory pour y ajouter une nouvelle classe. Microsoft a livr quelque temps aprs la sortie de Windows 2000 Server un complment logiciel capable dintgrer cette nouvelle classe dans le schma Active Directory. Ce complment logiciel sappelle "Windows 2000 InetOrgPerson Kit", il est disponible gratuitement sur le site de Microsoft. Le schma Active Directory de Windows Server 2003 intgre la dfinition complte de la classe InetOrgPerson ainsi que lintgralit des fonctions dadministrations relatives cette classe.
j j
Finalement, nous pourrions en conclure que cette classe a toujours t reconnue sous Windows 2000 Server, mais quelle na rellement t intgre la base que sous Windows Server 2003.
13.2. Active Directory

Active Directory est le service dannuaire de Microsoft. Ce service dannuaire est disponible depuis la version Windows 2000 Server, ce qui a marqu un vrai tournant pour la plateforme Windows et une vritable rupture avec Windows NT4 en ce qui concerne la faon dadministrer son organisation. Mme si avec Windows Server 2003, Active Directory a subi des modifications et des amliorations, il nen reste pas moins que les systmes dexploitation Windows 2000 Server et Windows Server 2003 fonctionnent parfaitement ensemble et cela mme au niveau des contrleurs de domaine. Toutefois, pour bnficier pleinement des modifications apportes par la version 2003, il est ncessaire de passer par quelques exigences au niveau de la fort et des domaines.
522
Active Directory
Les avantages dActive Directory

Active Directory est bien plus que le simple modle de domaine Windows NT. Il va aussi au-del des annuaires propritaires parpills en fournissant des sources dinformations centralises. Voici, ce titre, quelques caractristiques et avantages offerts par Active Directory
La centralisation des donnes

Lide directrice de la centralisation de donnes est de diminuer le nombre dannuaires sur le rseau. Le stockage des informations concernant toutes les ressources rseau dans un annuaire centralis a pour effet de fournir un point unique dadministration. Cela simplifie la gestion des ressources et permet de dlguer plus efficacement les tches administratives. Cela offre aussi un point dentre unique aux utilisateurs, ordinateurs et applications qui cherchent des ressources.
Lvolutivit
Le service dannuaire doit tre galement en mesure de faire face la croissance du rseau sans quil soit trop surcharg. Cela implique que lon puisse partitionner la base de donnes dannuaire de faon ce quelle naugmente pas au point de devenir instable. Rassurez-vous, cela ne sera jamais le cas pour un trs grand nombre de petites et moyennes entreprises, particulirement en France. Pour information, Microsoft supporte des bases de donnes pouvant aller jusqu 1 million dobjets et des tests avec plusieurs dizaines de millions dobjets ont dj t raliss avec succs.
La standardisation
Le service dannuaire doit aussi permettre laccs ses donnes via des normes ouvertes. Cela garantit que dautres applications pourront utiliser les ressources de lannuaire au lieu de grer des annuaires spcifiques. Active Directory repose sur des protocoles daccs standardiss comme LDAP version 3 et NSPI (Name Service Provider Interface). noter que le protocole NSPI, qui est exploit par les clients Microsoft Exchange Server 5.x, est pris en charge par Active Directory, ce qui permet la compatibilit avec lannuaire Exchange.
Lextensibilit
Le service dannuaire doit permettre aux administrateurs et aux applications dajouter toutes sortes de donnes en fonction des besoins de lentreprise.
523
Chapitre 13
La sparation par rapport au rseau physique

Le service dannuaire doit galement rendre la topologie physique du rseau transparente pour les utilisateurs et les administrateurs. Il doit tre possible de localiser une ressource et dy accder, sans tre oblig de savoir o et comment elle est relie sur le rseau.
La scurit
Le service dannuaire pourrait permettre un intrus de tout savoir sur lentreprise. Il est donc impratif que le service dannuaire dispose de moyens pour scuriser le stockage. Pour y rpondre, Active Directory est intgr la scurit de Windows Server 2003, et il est possible de dfinir un contrle daccs pour tout objet de lannuaire et pour chaque proprit des objets. Il est possible dappliquer des stratgies de scurit localement ou lchelle dun site, dun domaine ou dune unit organisationnelle. Le trafic LDAP est sign et crypt. Par dfaut, les outils Active Directory de Windows Server 2003 signent et cryptent tout le trafic LDAP. Cela garantit que les donnes proviennent dune source connue et quelles nont pas subi daltrations. Active Directory prend en charge plusieurs protocoles dauthentification, comme Kerberos, version 5, SSL, version 3, avec les certificats X.509, version 3. Active Directory permet galement de mettre en place des groupes de scurit qui stendent sur plusieurs domaines.
La structure logique dActive Directory

Voici une prsentation des diffrents composants de la structure dActive Directory
Les objets
Dans Active Directory, les ressources sont stockes sous forme dobjets. Lobjet tant le composant dActive Directory le plus facile dcrire puisquil reprsente en gnral une ressource concrte. Dans Active Directory, les objets sont stocks dans une structure hirarchique de conteneurs et de sous-conteneurs qui facilite ladministration. Il serait simple de comparer cela au systme de dossiers dans Windows. Il est possible de tailler cette structure sur mesure pour pouvoir rpondre aux besoins de lentreprise, mais aussi pour quelle sadapte aux diffrentes volutions sans trop de contraintes.
j
Les classes dobjets : un objet nest en fait quune collection dattributs. Ainsi un objet utilisateur est fait dattributs du genre nom, mot de passe, appartenance de groupe, etc. Les attributs dun objet sont dfinis via une classe dobjets. La classe utilisateur, par exemple, spcifie les attributs constituant lobjet utilisateur. Les classes dobjets permettent de regrouper les objets en fonction de leurs
524
Active Directory
similitudes. Ainsi, tous les objets utilisateur sont dfinis par la classe dobjet utilisateur. Quand vous crez un nouvel objet, il hrite automatiquement des attributs de sa classe. Microsoft dfinit un ensemble basique de classes dobjets avec leurs attributs utiliss par Active Directory sous Windows Server 2003. Active Directory tant extensible, les administrateurs et les applications peuvent naturellement modifier les classes dobjet ainsi que les attributs dfinis par ces classes.
j
Le schma Active Directory : les classes et les attributs quelles dfinissent sont dsigns collectivement par lappellation de "schma Active Directory" (dans la terminologie des bases de donnes, le schma est la structure des tables et des champs avec leurs interrelations). Vous pouvez vous reprsenter Active Directory comme un ensemble de donnes (classes dobjets) qui dfinissent la faon selon laquelle les donnes relles de lannuaire (attributs des objets) sont structures et stockes.
Presque tout dans Active Directory est un objet, y compris le schma lui-mme. linstar de tous les autres objets, le schma est protg par des listes de contrles daccs (ACL) administres par le sous-systme de scurit de Windows Server 2003. Les utilisateurs et les applications munis de permissions appropries peuvent lire le schma, voire le modifier. 13. Introduction LDAP et Active Directory
Les domaines
Un domaine est une partition dans une fort Active Directory. Le partitionnement des donnes permet aux organisations de rpliquer des donnes uniquement l o elles sont requises. De cette manire, lannuaire peut stendre globalement sur un rseau qui possde une bande passante limite. En outre le domaine prend en charge un certain nombre dautres fonctions centrales lies ladministration, dont
j
Lidentit dutilisateur de niveau rseau : les domaines permettent de crer des identits dutilisateurs une fois, puis de le rfrencer sur nimporte quel ordinateur joint la fort dans laquelle le domaine se trouve. Les contrleurs de domaine qui constituent un domaine sont utiliss pour stocker de manire scurise les comptes dutilisateurs et les informations dauthentification comme les mots de passe ou les certificats. Lauthentification : les contrleurs de domaine offrent des services dauthentification pour les utilisateurs et fournissent des donnes dautorisation supplmentaires, comme des appartenances de groupes dutilisateurs, qui peuvent tre utilises pour contrler laccs aux ressources sur le rseau. La relation dapprobation : les domaines peuvent tendre les services dauthentification aux utilisateurs dans des domaines en dehors de leur propre fort grce des relations dapprobation. La rplication : le domaine dfinit une partition de lannuaire contenant suffisamment de donnes pour fournir des services de domaine et les rpliquer
525
Chapitre 13
entre contrleurs de domaines. De cette manire, tous les contrleurs de domaine sont des pairs dans un domaine et sont grs comme une unit.
Larbre
Les domaines sont organiss en une structure hirarchique appele "arbre". Mme avec un seul domaine, il y a un arbre. Le premier domaine cr dans un arbre est le domaine racine. Le domaine suivant sera un domaine enfant de la fort. Cette extensibilit, permet davoir une multitude de domaines dans un arbre.
Figure 13.1 : Schma dun arbre
Ce schma dexemple vous montre la reprsentation dun arbre. Dans cet exemple, puzmmania.com a t le premier domaine cr dans Active Directory, ce qui en fait le domaine racine.
526
Active Directory
Tous les domaines dun arbre se partagent le mme schma et un espace de noms connexe. Dans lexemple du schma darbre, tous les domaines situs sous le domaine racine puzzmania.com se partagent lespace de noms puzzmania.com. Possder un seul arbre peut tre bien si lentreprise emploie le mme espace de noms DNS. Par contre, pour une entreprise utilisant plusieurs espaces de noms DNS, le modle doit pouvoir staler sur plusieurs arbres Ce qui nous donne loccasion de passer au concept de fort.
Les forts
Une fort reprsente un groupe darbres qui ne forment pas un espace de noms connexe, mais qui peuvent se partager un mme schma et un mme catalogue global. Il y a toujours au moins une fort dans une infrastructure Active Directory et elle est cre lors de linstallation du premier contrleur de domaine Active Directory sur le rseau.
Figure 13.2 : Schma dune fort
Les units organisationnelles

Les units dorganisation (OU) sont utilises pour grouper des objets des fins administratives, par exemple pour lapplication de stratgies de groupe ou pour la dlgation dautorit. Les OU peuvent tre utilises pour former une hirarchie de conteneurs au sein dun mme domaine. Le contrle sur une unit organisationnelle et
527
Chapitre 13
les objets quelle contient est dtermin par des listes de contrle daccs (ACL, Access Control Lists) associes lunit organisationnelle et aux objets quelle contient.
Figure 13.3 : Schma dOU
Le partitionnement de la base de donnes Active Directory

Comme vous le savez dj certainement, Active Directory reprsente lensemble des objets de la fort. Quand la fort grossit, il en est de mme pour lannuaire. Lune des difficults en matire de conception est de garantir que la base de donnes de lannuaire pourra augmenter en mme temps que lentreprise sans pour autant pnaliser les performances dun serveur ou dun emplacement particulier du rseau. La rponse cette problmatique consiste partitionner lannuaire en plusieurs morceaux. Bien videmment, cela concerne davantage les grandes entreprises, mais il reste toutefois intressant de connatre ou de comprendre lexistence de cette fonctionnalit. De manire plus simple, en partant du principe que les domaines sont les briques fondamentales de linfrastructure, il est judicieux de partitionner lannuaire selon les frontires du domaine. Chaque domaine contient une partition de lannuaire qui renferme les informations relatives aux objets de ce domaine. Chaque domaine ne 528
Active Directory
contient quune et une seule partition dannuaire. La combinaison des partitions des diffrents domaines de la fort reprsente lintgralit dActive Directory. Quel pourrait tre le ou les avantages partitionner lannuaire ? Lun des avantages est que vous pouvez ajouter de nouveaux domaines une fort sans surcharger de manire injustifie les domaines existants. La raison en est que lorsque lon cre une partition pour un nouveau domaine, ce sont les nouveaux contrleurs de domaine qui font la plupart des tches impliques par ladministration de la nouvelle partition.
La structure physique dActive Directory

La structure physique de linfrastructure, au sens Active Directory du terme, est trs simple compare avec la structure logique. Les composants physiques sont au nombre de deux : les sites et les contrleurs de domaine.
Les sites
Par dfinition, un site est une combinaison dun ou plusieurs sous-rseaux IP relis par une liaison fiable et rapide permettant de localiser autant de trafic rseau que possible. En rgle gnrale, un site prsente les mmes limites quun rseau local (LAN). Lorsque vous regroupez des sous rseaux de votre rseau, vous ne devez combiner entre eux que des sous-rseaux quips de connexions rapides. On peut considrer comme rapides les connexions qui seffectuent au moins 512 kbits/s. Avec Active Directory, les sites ne font pas partie de lespace de noms. Lorsque vous parcourez lespace de noms logique, vous ne voyez pas de sites. Vous ne voyez que les utilisateurs et les ordinateurs regroups en domaine et en OU.
Figure 13.4 : Site dans Active Directory
13. Introduction LDAP et Active Directory 529
Les sites ne contiennent que les objets ordinateurs et connexions utiliss pour configurer la rplication entre les sites.
Chapitre 13
Figure 13.5 : Objets ordinateur et connexion
Considrations sur les sites Un seul domaine peut stendre sur plusieurs sites gographiques et un seul site gographique peut inclure des comptes dutilisateurs et dordinateurs appartenant plusieurs domaines. Les sites servent surtout contrler le trafic de rplication. Les contrleurs de domaine dun site disposent dune grande latitude pour rpliquer les modifications apportes la base de donnes Active Directory chaque fois quil y a des modifications. Les contrleurs de domaine situs sur des sites diffrents compressent le trafic de rplication et oprent selon une planification prdfinie, tout cela afin de rduire le trafic rseau. Cette rplication peut tre planifie par dfaut (cest--dire toutes les 3 heures) ou bien tre planifie par ladministrateur selon ses besoins. 13. Introduction LDAP et Active Directory
Figure 13.6 : Intervalle de rplication
Cration de site et site par dfaut Si vous ne crez pas vous-mme votre propre site dans Active Directory, tous les contrleurs de domaine appartiendront automatiquement un mme site, par dfaut appel "Premier-Site-par-dfaut", qui est cr en mme temps que le premier domaine.
Pour plus dinformations sur les sites et la topologie de site, reportez-vous au chapitre La conception de la topologie des sites.
Les contrleurs de domaine

Les contrleurs de domaine permettent aux utilisateurs douvrir une session sur le rseau et daccder aux ressources pour lesquelles ils ont les autorisations adquates. Ils permettent galement de rechercher dans Active Directory des dossiers partags, des 530
Active Directory
imprimantes partages et dautres informations publies. Un domaine doit avoir au moins un contrleur de domaine, cest une obligation. En fait, cest en promouvant un serveur Windows Server 2003 autonome au rle de contrleur de domaine que le domaine est cr. Cependant, pour des questions de redondance, il est fortement recommand davoir au moins deux contrleurs de domaine par domaine pour chaque domaine. Si votre entreprise est constitue de plusieurs sites relis par des liaisons WAN lentes, il sera judicieux alors de placer galement un contrleur de domaine sur chaque site afin de rduire le trafic douverture de session sur le WAN.
Les rles matres doprations

Les contrleurs de domaine de la fort, peu importe leur nombre, doivent se partager les rles matres doprations. Ces rles matres sont diviss en deux familles :
j j
Les rles matres au niveau de la fort sont au nombre de deux dans la fort entire. Les rles matres au niveau du domaine sont au nombre de trois par domaine.
Un contrleur de domaine peut-tre propritaire dun ou de plusieurs rles tout en respectant des rgles bien prcises. Ces rles matres jouent un rle (comme leur nom lindique) au niveau de linfrastructure Active Directory. 13. Introduction LDAP et Active Directory
Pour plus dinformations sur la rpartition des rles matres, reportez-vous au chapitre La conception de la topologie des sites.
Les rles matres au niveau de la fort

j
Le matre de schma : le premier contrleur de domaine de la fort tient le rle de matre de schma. Il est charg de grer et de distribuer le schma au reste de la fort. Il gre la liste de toutes les classes dobjets et de tous les attributs dfinissant les objets rencontrs dans Active Directory. Le matre de schma doit tre oprationnel pour que lon puisse actualiser ou modifier le schma. Le matre dattribution de noms de domaine : ce contrleur enregistre les ajouts et les suppressions de domaines dans la fort, il est vraiment vital pour la prservation de lintgrit de domaine. Le matre dattribution de noms de domaine est consult chaque fois que lon ajoute de nouveaux domaines la fort. En cas dindisponibilit de ce rle matre, il sera impossible dajouter de nouveaux domaines.
Les rles matres au niveau du domaine

j
Le matre dID relatifs : il alloue des squences dID relatifs chacun des diffrents contrleurs de son domaine. tout moment, il ne peut exister quun seul contrleur de domaine jouant se rle de matre RID dans chaque domaine de la fort. Quand un contrleur de domaine cre un utilisateur, un groupe ou un ordinateur, il assigne 531
Chapitre 13
cet objet un ID de scurit unique. LID de scurit se compose dun ID de scurit de domaine qui est identique tous les ID de scurit dans le domaine, et un ID relatif qui est unique pour chaque ID cr dans le domaine.
j
Lmulateur de contrleur principal de domaine (CDP) : ce contrleur de domaine a la charge dmuler un CDP (contrleur de domaine principal) Windows NT 4.0 pour les clients nayant pas encore migr vers une des versions de Windows 2000, Windows Server 2003 ou Windows XP et qui nexcutent pas de logiciel client pour les services dannuaire. Lune des grandes fonctions de lmulateur PDC est de contrler louverture de session pour les clients antrieurs Windows 2000. Lmulateur de PDC est consult galement si un client narrive pas se faire authentifier. Cela donne lopportunit de voir sil y a eu des modifications de mots de passe de dernire minute pour les anciens clients du domaine (avant Windows 2000) avant de rejeter louverture de session. Le matre dinfrastructure : ce contrleur de domaine enregistre les modifications apportes aux objets du domaine. Toutes les modifications sont dabord signales au matre dinfrastructure, avant dtre rpliques vers les autres contrleurs de domaine. Le matre dinfrastructure gre les groupes et les appartenances de groupe concernant les objets du domaine. Le matre dinfrastructure a aussi pour rle dinformer les autres domaines des modifications apportes aux objets.
Le catalogue global
Le catalogue global est une rplique partielle des attributs le plus souvent recherchs de tous les objets de tous les domaines de la fort. Lobjectif du catalogue global est daugmenter la rapidit des recherches mises sur Active Directory, en particulier les requtes concernant la fort entire et les tentatives douvertures de sessions interdomaines. Le catalogue global rside sur un ou plusieurs contrleurs de domaine dun site ou dun domaine. Un serveur qui contient le catalogue global est appel serveur de catalogue global. Les serveurs de catalogue global contiennent les objets Active Directory suivants :
j j
La rplique complte de tous les objets de leur propre domaine ; la rplique partielle de tous les objets de la fort de tous les contextes de nommage.
Par dfaut, le premier contrleur de domaine du premier domaine (domaine racine de la fort) est configur automatiquement comme serveur de catalogue global. Tout autre contrleur de domaine peut tre serveur de catalogue global condition dtre configur pour cela.
Pour configurer un serveur en tant que serveur de catalogue global, reportez-vous au chapitre Ladministration et la gestion des sites du volume II de cet ouvrage.
532
Active Directory
La rplication dans Active Directory

Dans le principe, tous les objets et attributs doivent tre rpliqus vers tous les contrleurs dun domaine, afin que chaque contrleur de domaine possde un exemplaire matre jour de la partition du domaine. Voil qui peut reprsenter parfois une quantit gigantesque de donnes en circulation sur le rseau. Suivre toutes ces donnes ne reste pas une simple affaire. Alors comment cela se passe-t-il ? Pour cela, Windows Server 2003 emploie un modle de rplication, appel "rplication multimatre", dans lequel toutes les rpliques de la base de donnes sont considres comme gales. Vous pouvez modifier la base de donnes sur nimporte quel contrleur de domaine, et les modifications seront propages juste aprs vers lensemble des contrleurs du domaine. Lorsquil se produit une modification sur lun des contrleurs de domaine du mme site, celui-ci informe ces partenaires de rplication. Les partenaires rclament alors les modifications. Il y a donc rplication. Deux types de rplications sont possibles
j
La rplication intrasite : elle envoie le trafic de rplication sous forme non compresse dans la mesure o tous les contrleurs de domaine du mme site sont relis par des liaisons haut dbit. La rplication fonctionne alors avec un mcanisme de notifications. Cela veut dire plus simplement quen cas de modifications faites sur le domaine, celles-ci sont rapidement rpliques vers les autres contrleurs de domaine du mme site. La rplication intersite : elle compresse tout le trafic de rplication car celui-ci transite travers les liens WAN. Il est possible de planifier la rplication intersite pour que celle-ci rplique aux heures les plus justes ou simplement laisser les paramtres par dfaut, cest--dire toutes les 3 heures.
Figure 13.7 : plages horaires de rplication
Pour plus dinformations sur les concepts de rplication, reportez-vous au chapitre La conception de la topologie des sites.
533
Chapitre 13
13.3. En rsum
Ce chapitre vous a prsent les bases et les dfinitions du protocole LDAP et surtout dActive Directory. Tout cela vous sera trs utile pour la suite et plus particulirement dans votre activit professionnelle. Prenez le temps daller sur Internet et de lire les RFC si vous souhaitez approfondir le sujet. Cela vous permettra daborder les problmatiques dannuaire avec un certain recul et un regard avis. Maintenant que vous avez les bases, mettez tout cela en pratique en attaquant la conception de linfrastructure dannuaire de la socit Puzzmania.
13. Introduction LDAP et Active Directory 534
Chapitre 14
La planication dun projet Active Directory

14.1 14.2 14.3 14.4 14.5 Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de conception dActive Directory . . . . . . . Le processus de planication dun projet Active Directory Les dnitions communes dans un projet Active Directory En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 . 538 . 539 . 541 . 544
Vue densemble
vant daborder en dtail (dans les chapitres suivants) la conception technique dActive Directory, ce chapitre va vous permettre daborder globalement la planification dun projet Active Directory. Implmenter Active Directory, cest matriser non seulement des aspects techniques, mais aussi la gestion de projet, llaboration du planning, lencadrement des ressources humaines qui travailleront ainsi que la rdaction de toute la documentation qui laccompagne. Cette vision globale vous permettra daborder aussi bien un projet Active Directory Windows Server 2003 que Windows Server 2008.
14.1. Vue densemble

Limplmentation dActive Directory commence par la cration de sa conception, autrement dit de son architecture. Cette conception vous permet ensuite de planifier Active Directory avant son implmentation. Un ou plusieurs architectes de systmes crent la conception dActive Directory, en se basant sur les besoins de lentreprise. Ces besoins dterminent les spcifications fonctionnelles pour la conception. Le plan dimplmentation dActive Directory dtermine la mise en uvre de la conception dActive Directory en fonction de linfrastructure matrielle de lentreprise. Par exemple, la conception dActive Directory peut spcifier le nombre de contrleurs de domaine pour chaque domaine sur la base de la configuration dun serveur spcifique. Cependant, si cette configuration nest pas disponible, lors de la phase de planification, vous pouvez dcider de modifier le nombre de serveurs afin de rpondre aux besoins de lentreprise. Aprs avoir implment Active Directory, vous devez grer et assurer la maintenance dActive Directory afin de garantir disponibilit, fiabilit et scurit du rseau. Durant le dploiement dActive Directory, les ingnieurs systme :
j j j j j j
14. La planification dun projet Active Directory
crent la structure du domaine et de la fort et dploient les serveurs ; crent la structure de lunit dorganisation ; crent les comptes dutilisateur et dordinateur ; crent les groupes de scurit et de distribution crent les objets Stratgie de groupe (GPO) quils appliquent aux domaines, aux sites et aux units dorganisation ; crent les stratgies de distribution de logiciels.
537
Chapitre 14
La planification dun projet Active Directory
Figure 14.1 : Vue densemble de la planification projet
14.2. Le processus de conception dActive Directory

Une conception dActive Directory inclut plusieurs tches. Chacune dfinit les besoins fonctionnels pour un composant de limplmentation dActive Directory. 14. La planification dun projet Active Directory Le processus de conception dActive Directory inclut les tches suivantes
j
Collecte dinformations sur lentreprise : cette premire tche dfinit les besoins en service dannuaire et les besoins de lentreprise concernant le projet. Les informations sur lorganisation incluent notamment un profil organisationnel de haut niveau, les implantations gographiques de lentreprise, linfrastructure technique et du rseau et les plans lis aux modifications apporter dans lentreprise. Analyse des informations sur lorganisation : vous devez analyser les informations collectes pour valuer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite dterminer quelles sont les informations les plus importantes et quels composants de la conception dActive Directory ces informations affecteront. Soyez prt appliquer ces informations dans lensemble du processus de conception. Analyse des options de conception : lorsque vous analysez des besoins dentreprise spcifiques, plusieurs options de conception peuvent y rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais dune conception de domaine ou dune structure dunit dorganisation. Comme chacun de vos choix affecte les autres composants de la conception, restez flexible dans votre approche de la conception durant tout le processus.
538
Le processus de planification dun projet Active Directory
Slection dune conception : dveloppez plusieurs conceptions dActive Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous slectionnez une conception, analysez les besoins dentreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut quaucune des conceptions soumises ne fasse lunanimit. Choisissez la conception qui rpond le mieux vos besoins dentreprise et qui reprsente globalement le meilleur choix. Affinage de la conception : la premire version de votre plan de conception est susceptible dtre modifie avant la phase pilote de limplmentation. Le processus de conception est itratif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins dentreprise.
Le rsultat de la phase de conception dActive Directory inclut les lments suivants

j
La conception du domaine et de la fort : la conception de la fort inclut des informations comme le nombre de forts requis, les consignes de cration des approbations et le nom de domaine pleinement qualifi pour le domaine racine de chaque fort. La conception inclut galement la stratgie de contrle des modifications de la fort, qui identifie les processus de proprit et dapprobation pour les modifications de la configuration prsentant un impact sur toute la fort. Identifiez la personne charge de dterminer la stratgie de contrle des modifications de chaque fort dans lorganisation. Si votre plan de conception comporte plusieurs forts, vous pouvez valuer si des approbations de forts sont requises pour rpartir les ressources du rseau parmi les forts. La conception du domaine indique le nombre de domaines requis dans chaque fort, le domaine qui sera le domaine racine pour chaque fort et la hirarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut galement le nom DNS pour chaque domaine et les relations dapprobation entre domaines. La conception de lunit dorganisation : elle indique comment vous crerez les units dorganisation pour chaque domaine dans la fort. Incluez une description de lautorit dadministration qui sera applique chaque unit dorganisation, et qui cette mme autorit sera dlgue. Pour finir, incluez la stratgie utilise pour appliquer la stratgie de groupe la structure de lunit dorganisation. La conception du site : elle spcifie le nombre et lemplacement des sites dans lorganisation, les liens requis pour relier les sites et le cot de ces liens.
14.3. Le processus de planication dun projet Active Directory

Le rsultat du processus de planification est le plan dimplmentation dActive Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les besoins
539
Chapitre 14
fonctionnels pour un composant spcifique de limplmentation dActive Directory. Ces plans sont tout autant de documents trs importants conserver et archiver soigneusement. Un plan Active Directory inclut les composants suivants
j
Stratgie de compte : elle inclut des informations comme les consignes dattribution de nom aux comptes et la stratgie de verrouillage, la stratgie en matire de mots de passe et les consignes portant sur la scurit des objets. Stratgie daudit : elle dtermine le suivi des modifications apportes aux objets Active Directory. Plan dimplmentation dunit dorganisation : il dfinit quelles units dorganisation crer et comment. Par exemple, si la conception dunit dorganisation spcifie que ces units seront cres gographiquement et organises par division lintrieur de chaque zone gographique, le plan dimplmentation des units dorganisation dfinit les units implmenter, telles que celles des ventes, des ressources humaines et de production. Le plan fournit galement des consignes portant sur la dlgation dautorit. Plan de stratgie de groupe : il dtermine qui cre, relie et gre les objets de stratgie de groupe, et comment cette stratgie sera implmente. Plan dimplmentation du site : il spcifie les sites, les liens qui les relient, et les liaisons de sites planifies. Il spcifie galement la planification et lintervalle de rplication ainsi que les consignes en matire de scurisation et de configuration de la rplication entre sites. Plan de dploiement de logiciels : il spcifie comment vous utiliserez la stratgie de groupe pour dployer de nouveaux logiciels et des mises niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de logiciels sont obligatoires ou facultatives. Plan de placement des serveurs : il spcifie le placement des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS intgrs Active Directory et des matres doprations. Il spcifie galement si vous activerez la mise en cache des appartenances un groupe universel pour les sites ne possdant pas de serveur de catalogue global.
j j
j j
Lorsque tous les plans de composant sont termins, vous devez les combiner pour former le plan complet dimplmentation dActive Directory. Si la taille de votre entreprise ne ncessite pas des documents distincts pour tous ces plans, vous ne pouvez crer quun seul et unique document qui combine les diffrents plans en chapitres du mme document matre. Une fois le plan dimplmentation dActive Directory en place, vous pouvez commencer implmenter Active Directory conformment votre plan de conception. Vous devez excuter les tches suivantes pour implmenter Active Directory
540
Les dfinitions communes dans un projet Active Directory
Implmentation de la fort, du domaine et de la structure DNS : crez le domaine racine de la fort, les arborescences de domaines et tout autre domaine enfant constituant la fort et la hirarchie des domaines. Cration des units dorganisation et des groupes de scurit : crez la structure dunit dorganisation pour chaque domaine dans chaque fort, crez des groupes de scurit et dlguez lautorit administrative des groupes administratifs dans chaque unit dorganisation. Cration des comptes dutilisateur et dordinateur : importez les comptes dutilisateur dans Active Directory. Cration des objets Stratgie de groupe : crez des objets Stratgie de groupe bass sur la stratgie de groupe, puis reliez-les des sites, des domaines ou des units dorganisation. Implmentation des sites : crez des sites en fonction du plan des sites, crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et dployez sur les sites des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS et des matres doprations.
j j
Mais tout cela sera largement dtaill dans la suite de louvrage.
14.4. Les dnitions communes dans un projet Active Directory

14. La planification dun projet Active Directory Pour vous aider rdiger votre documentation de planification projet Active Directory, ou pour vous donner des arguments supplmentaires faire valoir dans votre projet, voici une srie de dfinitions standards que vous pourrez utiliser.
Dnition du service dannuaire

Dans de grands rseaux, les ressources sont partages par de nombreux utilisateurs et applications. Pour permettre aux utilisateurs et aux applications daccder ces ressources et aux informations les concernant, une mthode cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et scuriser les informations concernant ces ressources. Un service dannuaire remplit cette fonction. Un service dannuaire est un rfrentiel dinformations structur concernant les personnes et les ressources dune organisation. Dans un rseau Windows Server 2003, le service dannuaire est Active Directory. Active Directory dispose des fonctionnalits suivantes
j
Accs pour les utilisateurs et les applications aux informations concernant des objets : ces informations sont stockes sous forme de valeurs dattributs. Vous pouvez rechercher des objets selon leur classe dobjet, leurs attributs, leurs valeurs 541
Chapitre 14
dattributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs.
j
Transparence des protocoles et de la topologie physique du rseau : un utilisateur sur un rseau peut accder toute ressource, une imprimante par exemple, sans savoir o celle-ci se trouve ou comment elle est connecte physiquement au rseau. Possibilit de stockage dun trs grand nombre dobjets : comme il est organis en partitions, Active Directory peut rpondre aux besoins issus de la croissance dune organisation. Par exemple, un annuaire peut ainsi passer dun serveur unique contenant quelques centaines dobjets des milliers de serveurs contenant des millions dobjets. Possibilit dexcution en tant que service indpendant du systme dexploitation : ADAM (Active Directory Application Mode) est une nouvelle fonctionnalit dActive Directory de Windows Server 2003 permettant de rsoudre certains scnarios de dploiement lis des applications utilisant un annuaire. ADAM sexcute comme un service indpendant du systme dexploitation qui, en tant que tel, ne ncessite pas de dploiement sur un contrleur de domaine. Lexcution en tant que service indpendant du systme dexploitation signifie que plusieurs instances ADAM peuvent sexcuter simultanment sur un serveur unique, chaque instance tant configurable de manire indpendante.
Dnition du schma
14. La planification dun projet Active Directory Le schma Active Directory dfinit les genres dobjets, les types dinformations concernant ces objets, et la configuration de scurit par dfaut pour les objets pouvant tre stocks dans Active Directory. Le schma Active Directory contient les dfinitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stocks dans Active Directory. Les contrleurs de domaine excutant Windows Server 2003 ne comportent quun seul schma pour toute une fort. Ainsi, tous les objets crs dans Active Directory se conforment aux mmes rgles. Le schma possde deux types de dfinitions : les classes dobjets et les attributs. Les classes dobjets, comme utilisateur, ordinateur et imprimante, dcrivent les objets dannuaire possibles que vous pouvez crer. Chaque classe dobjet est un ensemble dattributs. Les attributs sont dfinis sparment des classes dobjets. Chaque attribut nest dfini quune seule fois et peut tre utilis dans plusieurs classes dobjets. Par exemple, lattribut Description est utilis dans de nombreuses classes dobjets, mais il nest dfini quune seule fois dans le schma afin de prserver la cohrence. Vous pouvez crer de nouveaux types dobjets dans Active Directory en dveloppant le schma. Par exemple, pour une application de serveur de messagerie comme Exchange, vous pouvez dvelopper la classe dutilisateur dans Active Directory en lui ajoutant de nouveaux attributs stockant des informations supplmentaires, telles que les adresses de messagerie des utilisateurs. On appelle cela "tendre le schma".
542
Les dfinitions communes dans un projet Active Directory
Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des modifications apportes un schma en les dsactivant, permettant ainsi aux organisations de mieux exploiter les fonctionnalits dextensibilit dActive Directory (ce ntait pas le cas sous Windows 2000). Vous pouvez galement redfinir une classe ou un attribut de schma.
Dnition du catalogue global

Dans Active Directory, les ressources peuvent tre partages parmi des domaines et des forts. Le catalogue global dActive Directory permet de rechercher des ressources parmi des domaines et des forts de manire transparente pour lutilisateur. Par exemple, si vous recherchez toutes les imprimantes prsentes dans une fort, un serveur de catalogue global traite la requte dans le catalogue global, puis renvoie les rsultats. En labsence de serveur de catalogue global, cette requte exigerait une recherche dans chaque domaine de la fort. Le catalogue global est un rfrentiel dinformations qui contient un sous-ensemble des attributs de tous les objets dActive Directory. Les membres du groupe Administrateurs du schma peuvent modifier les attributs stocks dans le catalogue global, en fonction des impratifs dune organisation. Le catalogue global contient :
j j j j
les attributs les plus frquemment utiliss dans les requtes, comme le nom et le prnom dun utilisateur, et son nom douverture de session ; les informations requises pour dterminer lemplacement de tout objet dans lannuaire ; un sous-ensemble dattributs par dfaut pour chaque type dobjet ; les autorisations daccs pour chaque objet et attribut stock dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possdez pas les autorisations de visualisation requises, cet objet napparatra pas dans les rsultats de la recherche. Les autorisations daccs garantissent que les utilisateurs ne pourront trouver que les objets pour lesquels ils possdent un droit daccs.
Un serveur de catalogue global est un contrleur de domaine qui traite efficacement les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que vous crez dans Active Directory devient automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour quilibrer le trafic li aux authentifications de connexion et aux requtes. Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes :
j j
trouver les informations Active Directory en tout point de la fort, indpendamment de lemplacement des donnes ; utiliser les informations dappartenance au groupe universel pour se connecter au rseau.
543
Chapitre 14
Dnition dun nom unique et dun nom unique relatif

Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des objets dans une base de donnes Active Directory. Le protocole LDAP est un sous-ensemble de la norme ISO X.500 relative aux services dannuaire. Il utilise les informations portant sur la structure dun annuaire pour trouver des objets individuels possdant chacun un nom unique. Le protocole LDAP utilise un nom reprsentant un objet Active Directory par une srie de composants concernant la structure logique. Cette reprsentation, appele nom unique de lobjet, identifie le domaine dans lequel se trouve lobjet ainsi que le chemin complet permettant daccder celui-ci. Un nom de ce type ne peut tre quunique dans une fort Active Directory. Le nom unique relatif dun objet identifie lobjet de manire unique dans son conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le mme nom. Le nom unique relatif est toujours le premier composant du nom unique, mais il nest pas toujours un nom usuel. Chaque lment de la structure logique de lutilisatrice Coralie Darboux de lunit dorganisation Ventes du domaine corp.puzzmania.com est reprsent dans le nom unique suivant : CN=Coralie Darboux,OU=Ventes,DC=corp,DC=puzzmania, DC=com.
j j
CN (Common Name) est le nom usuel de lobjet dans son conteneur. OU (Organizational Unit) est lunit dorganisation qui contient lobjet. Plusieurs valeurs dOU peuvent exister si lobjet se trouve dans une unit dorganisation imbrique. DC (Domain Component) est un composant de domaine, tel que com ou local. Il existe toujours au moins deux composants de domaine, voire davantage si le domaine est un domaine enfant.
Les composants de domaine du nom unique sont bass sur le DNS. Dans lexemple suivant, Ventes est le nom unique relatif dune unit dorganisation reprsente par le chemin LDAP suivant : OU=Ventes,DC=corp,DC=puzzmania,DC=com.
14.5. En rsum
Limplmentation dActive Directory, dans toute entreprise, sera considre comme un projet part entire. Il est donc intressant davoir les lments en main pour savoir comment grer, mettre en place et dmarrer rapidement un projet autour dActive Directory.
544
Chapitre 15
La conception de linfrastructure logique Active Directory

15.1 15.2 15.3 15.4 15.5 15.6 15.7 15.8 Du projet dentreprise la conception dActive Directory Les modles de forts . . . . . . . . . . . . . . . . . . . . . . Principe de conception des forts . . . . . . . . . . . . . . Les modles de domaines . . . . . . . . . . . . . . . . . . . Choisir le domaine racine de la fort . . . . . . . . . . . . Conception de domaine et scurit . . . . . . . . . . . . . . Principe de conception des domaines . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 . 548 . 550 . 552 . 555 . 559 . 560 . 561
Du projet dentreprise la conception dActive Directory
eprenons le cours de notre tude de cas Puzzmania. Comme vous lavez suivi, la direction et le service informatique de Puzzmania ont dcid dimplmenter une fort puzzmania.com selon un modle de racine vide avec les domaines fils corp .puzzmania.com et rd.puzzmania.com. Ce choix dcoule dun historique, dun besoin et dune orientation stratgique dentreprise. Ce chapitre explique le choix des quipes de Puzzmania en dcrivant les diffrents modles dinfrastructures logiques dActive Directory.
15.1. Du projet dentreprise la conception dActive Directory

Lintrt de ltude de cas Puzzmania est de montrer que la conception de linfrastructure logique dActive Directory satisfait des besoins et sinscrit dans un projet dentreprise. Vous devez en permanence mettre en relation les besoins et linfrastructure Active Directory. Une infrastructure logique Active Directory bien choisie est celle qui rpond le mieux lentreprise, en termes de besoins et dvolution. Suivez toujours les quelques conseils suivants avant de slectionner votre modle de fort ou de domaine :
j
Faites en sorte que les besoins de lentreprise dterminent la conception. Une conception dActive Directory approprie doit satisfaire les exigences initiales. La conception du service dannuaire doit tre labore en fonction de ces besoins, et non en fonction de la technologie du service dannuaire. Traitez le processus de conception dActive Directory au fur et mesure que vous recevez des informations. En effet, vous analyserez de nouveau vos dcisions de conception lorsque vous recevrez de nouvelles informations (par exemple, lajout de pare-feu entre des sites distants). tant donn que votre conception est susceptible de changer au cours du processus, il est important de rester flexible jusqu ce que tous les besoins de lentreprise aient t considrs. Commencez par la conception la plus simple possible, soit une fort avec un seul domaine et un site unique. Dfinissez ensuite le critre li lintroduction dlments plus complexes. Tout nouvel lment que vous souhaitez ajouter, une fort, un domaine, un site ou une unit dorganisation, doit avoir un objectif dfini spcifique car la quantit dobjets augmente les cots dinfrastructure et dadministration de limplmentation. Considrez les compromis comme faisant partie intgrante de la conception de linfrastructure logique dActive Directory. Lobjectif est de crer une structure Active Directory qui rpond tous les besoins. Toutefois, ces derniers pourront
15. La conception de linfrastructure logique Active Directory
547
Chapitre 15
entraner des conflits de conception qui vous conduiront prendre des dcisions et trouver des compromis : ils font partie du jeu et vous devez les inclure tout au long de lvolution de la conception. MSF Si vous souhaitez mettre en place un projet tel que la conception et limplmentation dActive Directory au sein de votre entreprise, sachez que Microsoft a mis au point une mthode trs performante pour crer des solutions professionnelles dans les limites temporelles et budgtaires fixes. Cette mthode sappelle MSF (Microsoft Solutions Framework). Cest une approche pose et structure pour mener bien des projets technologiques. MSF coupl MOF (Microsoft Operations Framework) sapparente une mthodologie proche de celle dcrite dans le rfrentiel ITIL. Pour en savoir plus, rendez-vous ladresse www.microsoft.com/technet/itsolutions/msf/default.mspx. La suite du chapitre prsente les diffrents modles dinfrastructures afin que vous vous posiez les bonnes questions quant votre projet dentreprise et que vous dterminiez le modle le mieux adapt.
15.2. Les modles de forts

Il existe trois modles de forts Active Directory : lun se fonde sur lorganisation, lautre sur les ressources et le dernier est le modle de fort accs restreint. En fonction de vos contraintes, vous serez peut-tre amen utiliser une combinaison de ces diffrents modles pour rpondre aux besoins de votre entreprise. 15. La conception de linfrastructure logique Active Directory
Le modle de fort bas sur lorganisation

Dans ce modle, une fort (ou plusieurs selon le contexte) permet de grer les comptes dutilisateurs et les ressources. Chaque solution Active Directory comprend au moins une fort base sur lorganisation. Si, pour une raison ou une autre, plusieurs forts sont utilises, des relations dapprobation peuvent permettre aux utilisateurs dune fort daccder aux ressources dune autre fort. Vous pouvez utiliser ce modle pour assurer lautonomie ou lisolation de donnes ou dun service de lentreprise. Ainsi, pour garantir lisolation du service, il suffit dune seule fort configure pour empcher toute personne extrieure de ladministrer.
548
Les modles de forts
Figure 15.1 : Modle de fort bas sur lorganisation
La fort reste la limite de scurit de linfrastructure la plus forte.
Le modle de fort bas sur les ressources

Dans ce modle, une fort distincte est cre pour la gestion des ressources. Une fort de ressources comprend uniquement les comptes dutilisateur ncessaires pour administrer cette fort et les ressources quelle contient. Si vous isolez des ressources de la sorte, on peut dduire aisment leur importance au sein de lentreprise. Des relations dapprobation sont utilises pour permettre aux utilisateurs dautres forts daccder ces ressources isoles. Vous pouvez utiliser une fort de ressources pour assurer lisolation dun service. Par ce moyen, vous pouvez, par exemple, protger une zone du rseau qui contient des ressources auxquelles accdent plusieurs forts qui ne doivent pas communiquer directement ensemble ou qui est oblige de maintenir un tat lev de disponibilit.
Figure 15.2 : Modle de fort bas sur les ressources
549
Chapitre 15
Le modle de fort accs restreint

Dans ce modle, une fort distincte est cre pour les comptes dutilisateurs et les donnes qui doivent tre isoles du reste de lorganisation. Vous pouvez utiliser des forts accs restreint pour assurer lisolation de donnes classes confidentielles et soumises des contraintes de scurit fortes (du style norme C2 par exemple). Dans ce modle, aucune relation dapprobation nest utilise car les utilisateurs des autres rseaux ne doivent pas pouvoir accder aux donnes. De plus, les utilisateurs qui ont besoin daccder aux donnes de plusieurs forts doivent possder un compte dutilisateur dans chacune de ces forts. Dans les situations o lintgrit et la confidentialit des donnes doivent tre prserves tout prix, la fort daccs aux ressources peut tre place sur un rseau compltement isol du reste. Les utilisateurs qui doivent accder aux donnes de la fort accs restreint disposent dune station de travail distincte connecte au rseau ddi isol. Vu les contraintes que cela impose, ce modle ultra-scuris sera utilis uniquement dans des cas bien prcis.
Figure 15.3 : Modle de fort accs restreint
15.3. Principe de conception des forts

Lanalyse de lexistant et des besoins reste toujours le point de dpart de la conception. Vous pouvez vous inspirer des conseils suivants pour axer votre rflexion de conception :
j
Dterminez le nombre minimal de forts requis pour rpondre aux besoins. Une seule fort permet une collaboration maximale au sein de lenvironnement et elle reprsente la configuration la plus facile et la moins coteuse grer. Elle doit tre
550
Principe de conception des forts
toujours voque en priorit car un nombre minimal de forts rduit la charge de gestion ncessaire la maintenance du rseau.
j
Utilisez des units dorganisation dans une fort existante base sur lorganisation pour rpondre aux besoins dautonomie des donnes. Il nest pas ncessaire de crer une nouvelle fort ou un nouveau domaine pour assurer lautonomie des donnes. Utilisez plutt des units dorganisation dans un domaine existant de la fort base sur lorganisation et dlguez-en le contrle des administrateurs. Crez une nouvelle fort base sur lorganisation ou accs restreint pour rpondre aux besoins disolation des donnes. Dterminez le type de fort en fonction du niveau de confidentialit et dintgrit requis pour les donnes isoles. En ce qui concerne les donnes trs confidentielles ou secrtes, envisagez lutilisation dune fort accs restreint. Pour tous les autres besoins disolation des donnes, utilisez une fort base sur lorganisation. Vrifiez avant tout que le besoin disolation des donnes est bien rel et que lautonomie des donnes est insuffisante avant dajouter une fort votre solution. Crez une nouvelle fort pour assurer lisolation dun service. Lisolation du service est gnralement impose par des contraintes oprationnelles ou lgales. La seule faon dassurer lisolation du service consiste crer une nouvelle fort. Pour atteindre le niveau maximal disolation du service, envisagez dutiliser un modle de fort accs restreint.
Quand vous concevrez votre fort, commencez par prendre en compte les besoins de votre entreprise en matire disolation dun service ou de donnes particulires. Dailleurs, ces deux principes disolation (service ou donnes) sont des lments dterminants lors de la conception dune fort. Aprs lanalyse de lexistant, si votre conception de fort doit comprendre une stratgie disolation dun service, suivez ces tapes : 15. La conception de linfrastructure logique Active Directory 551 1. Crez une fort supplmentaire base sur lorganisation ou une fort de ressources pour permettre lisolation du service. 2. tablissez un pare-feu entre la fort base sur lorganisation et les autres forts afin de limiter laccs dadministrateurs extrieurs aux informations contenues dans la fort. 3. Configurez les forts qui sont cres pour assurer lisolation du service de telle sorte quelles approuvent des domaines appartenant dautres forts. Assurez-vous que les utilisateurs dautres forts ne sont pas membres des groupes dadministrateurs dans les forts isoles pour viter de compromettre la scurit de ces dernires. 4. Protgez vos contrleurs de domaine contre les attaques potentielles. En ce qui concerne la protection physique, placez les contrleurs de domaine dans une salle informatique avec accs scuris. Pour ce qui est de la protection logique, placez les contrleurs de domaine sur un rseau scuris avec limitation daccs.
Chapitre 15
Si, aprs lanalyse de lexistant, votre conception de fort doit comprendre une stratgie disolation des donnes, suivez ces tapes : 1. Crez une fort supplmentaire base sur lorganisation ou une fort accs restreint pour assurer lisolation des donnes. 2. Si vous utilisez une fort base sur lorganisation, configurez-la de telle sorte quelle approuve des domaines appartenant dautres forts. Pour garantir que la scurit de la fort isole nest pas compromise, vrifiez que les utilisateurs dautres forts ne peuvent pas tre membres des groupes ayant des droits levs sur les serveurs sur lesquels sont places les donnes. 3. Configurez dautres forts pour quelles approuvent la fort base sur lorganisation afin que les utilisateurs de la fort isole puissent accder aux ressources de ces autres forts (si ncessaire). 4. tablissez un pare-feu entre la fort base sur lorganisation et les autres forts afin de limiter laccs des utilisateurs aux informations situes hors de leur fort. Si vous utilisez un modle de fort accs restreint pour lisolation des donnes, faites en sorte quelle napprouve pas dautres forts ou domaines. Par ailleurs, limitez laccs au rseau hbergeant les contrleurs de domaine et les ordinateurs dans la fort accs restreint. Si ncessaire, et si vous en avez les moyens et les besoins, vous pouvez maintenir les donnes protges de la fort accs restreint sur un rseau indpendant qui nest pas connect physiquement un autre rseau de votre entreprise.
15.4. Les modles de domaines

15. La conception de linfrastructure logique Active Directory chaque fois que vous crez une fort Active Directory, vous devez forcment slectionner un modle de domaine. Vous avez le choix entre le modle de domaine unique (qui est recommand) et le modle de domaine dit rgional.
Le modle de domaine unique

Le modle de domaine unique est le plus simple administrer et le moins coteux maintenir. Vous devez valuer en premier lieu sil convient. Dans ce modle, la fort ne compte quun seul domaine qui contient tous les comptes (utilisateurs, ordinateurs et groupes) existants. On parle alors de structure "monofort monodomaine". Chaque contrleur de domaine contient tous les comptes dutilisateur, dordinateur et de groupe de la fort, de sorte que nimporte quel contrleur de domaine peut authentifier tous les utilisateurs de la fort. Par ailleurs, dans la mesure o le catalogue global ne contient pas dinformations sur les comptes dautres domaines, chaque contrleur de domaine peut tre dsign comme serveur de catalogue global sans quaugmente la charge de rplication.
552
Les modles de domaines
Figure 15.4 : Modle de domaine unique
Le modle de domaine unique rpond peu prs tous les besoins des petites entreprises. La raison qui motiverait la cration dun domaine supplmentaire au sein dune fort pourrait tre le nombre excessif dutilisateurs au sein dun domaine. Mais en fait, il nen est rien car, comme le montre le tableau qui suit (tir des informations donnes par Microsoft), le nombre maximal dutilisateurs dans un seul domaine est trs lev. Seul le trafic de rplication sur les liaisons distantes (WAN) influe sur le nombre maximal dutilisateurs dans un domaine.
Tableau 15.1 : Nombre maximal recommand dutilisateurs dans un seul domaine
Liaison la plus lente Nombre maximal connectant un contrleur dutilisateurs si 1 % de de domaine (kbit/s) la bande passante est disponible 28,8 32 56 64 128 256 512 1 500 10 000 10 000 10 000 10 000 25 000 50 000 80 000 100 000 Nombre maximal dutilisateurs si 5 % de la bande passante sont disponibles 25 000 25 000 50 000 50 000 100 000 100 000 100 000 100 000 Nombre maximal dutilisateurs si 10 % de la bande passante sont disponibles 40 000 50 000 100 000 100 000 100 000 100 000 100 000 100 000
553
Chapitre 15
Conditions dvaluation du tableau Les valeurs de ce tableau tiennent compte des hypothses suivantes :
j j j j j j
Le taux de nouveaux utilisateurs rejoignant la fort est de 20 % par an. Le taux dutilisateurs quittant la fort est de 15 % par an. Chaque utilisateur est membre de cinq groupes globaux et de cinq groupes universels. Le rapport utilisateurs/ordinateurs est de 1 pour 1. Le systme DNS intgr Active Directory est utilis. La fonction de nettoyage DNS est utilise.
Le modle de domaine rgional

Dans votre contexte dentreprise, si votre fort comprend beaucoup dutilisateurs rpartis entre diffrents sites gographiques connects via le WAN, il sera peut-tre ncessaire de dployer des domaines dits rgionaux, cest--dire bass sur lemplacement gographique, pour rduire le trafic des rplications sur les liaisons WAN. Le modle de domaine rgional permet de maintenir un environnement stable avec le temps. Basez les rgions utilises pour dfinir les domaines de votre modle sur des lments stables, par exemple une ville. Utilisez des domaines rgionaux dans les cas suivants : 15. La conception de linfrastructure logique Active Directory
j j
Le nombre dutilisateurs de votre fort est suprieur au nombre dutilisateurs quun seul domaine peut contenir. Vous souhaitez permettre aux administrateurs rgionaux de bnficier dune autonomie de service au niveau domaine.
Le modle de domaine bas sur les entits de lentreprise

Dans votre contexte dentreprise, si votre fort comprend beaucoup dutilisateurs rpartis entre diffrentes entits, par exemple des ples de comptences bien spcifiques tels la recherche et le dveloppement, il sera peut-tre ncessaire de dployer des domaines bass sur les entits de lentreprise pour mieux segmenter et scuriser les ples, tout en ayant une administration centralise. Cest le modle de domaine auquel a pens lquipe informatique de Puzzmania. Attention, ce modle de domaine est soumis aux rorganisations internes ! Slectionnez-le avec prcaution en vous assurant que votre contexte lui correspond
554
Choisir le domaine racine de la fort
bien. Ce nest pas parce quil convient ltude de cas Puzzmania quil reprsente forcment la meilleure solution pour vous.
15.5. Choisir le domaine racine de la fort

Le domaine racine de la fort se trouve au sommet de la reprsentation de la fort. Il est galement appel "domaine pre", les autres domaines tant ses fils. Il contient, entre autres, le contrleur de domaine qui sera matre du schma de toute la fort et les administrateurs qui seront administrateurs de lentreprise tout entire.
Figure 15.5 : Domaine racine de la fort
Des choix soffrent vous quant au design de ce domaine racine. Tout dpend du modle de domaine slectionn.
555
Chapitre 15
Le domaine racine dune fort dans un modle de domaine unique

Lorsque vous utilisez un modle de domaine unique, deux options soffrent vous :
j j
Vous pouvez utiliser le domaine unique en tant que domaine racine de la fort (cela parat logique). Vous pouvez crer un domaine racine contenant uniquement les comptes administratifs lchelle de la fort (on lappelle un "domaine racine vide", au sens vide dutilisateurs et de ressources), le domaine de vos comptes tant un enfant du domaine racine de la fort. Utilisez cette option si vos plans de croissance vous amnent utiliser un modle de domaine rgional.
Figure 15.6 : Domaine racine vide et modle de domaine unique
556
Choisir le domaine racine de la fort
Si lon ajoute un domaine racine vide un modle de domaine unique, on pourrait croire que ce dernier nest plus unique ! En fait, il est unique au sens o il est le seul contenir tous les utilisateurs et toutes les ressources de lentreprise.
Le domaine racine dune fort dans un modle de domaine rgional ou bas sur les entits de lentreprise
Lorsque vous utilisez un modle de domaine rgional ou un modle bas sur les entits de lentreprise, deux options soffrent vous :
j
Vous pouvez crer un domaine racine vide et faire de chaque domaine (rgional ou autres) un enfant du domaine racine de la fort.
Figure 15.7 : Domaine racine vide et domaines enfants
557
Chapitre 15
Vous pouvez utiliser un des domaines rgionaux en tant que domaine racine de la fort et faire des domaines rgionaux restants les enfants de la racine. Si vous choisissez cette option, slectionnez comme racine de la fort un domaine rgional de situation centrale. Cette mthode sapplique galement aux domaines bass sur les entits de lentreprise.
Figure 15.8 : Domaine racine rgional et domaines enfants rgionaux
La mthode qui consiste crer un domaine racine vide, puis des domaines enfants bass sur lorganisation de lentreprise, a t adopte par Puzzmania. Pourquoi une racine vide ? En voici les avantages.
558
Conception de domaine et scurit
Les avantages du domaine racine vide

Lutilisation dun domaine racine vide prsente un certain nombre davantages
j
Sparation oprationnelle entre les administrateurs de la fort et les administrateurs du domaine (domaines enfants) : dans un environnement domaine unique, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intgr peuvent utiliser des outils et des procdures standards pour adhrer aux groupes Administrateurs de lentreprise et Administrateurs du schma. En revanche, dans une fort qui utilise un domaine racine ddi, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intgr dans les domaines enfants ne peuvent pas adhrer aux groupes dadministrateurs de niveau fort laide doutils et de procdures standards. Cela permet de scuriser linfrastructure. Protection contre les changements oprationnels dans lorganisation ou dans dautres domaines : un domaine racine ddi ne reprsente pas une rgion ou une activit particulire dans la structure de domaines. Cest pourquoi il nest pas affect par les rorganisations et les autres modifications qui obligent renommer ou restructurer les domaines. Par exemple, si votre entreprise rachte une autre entreprise (comme la fait Puzzmania), lintgration au sein de linfrastructure informatique se fera de faon plus aise. Maintien dune racine neutre pour quaucune rgion ou activit napparaisse comme subordonne une autre : certaines entreprises prfrent viter de donner limpression quune rgion est subordonne une autre dans lespace de noms. Lorsque vous utilisez un domaine racine vide dans la fort, tous les domaines enfants peuvent tre gaux dans la hirarchie des domaines.
Les avantages dun domaine rgional ou dentit en tant que racine de la fort
Lutilisation dun domaine rgional ou bas sur une entit de lentreprise en tant que domaine racine de la fort peut galement prsenter un avantage. Cela vous permet dviter la surcharge administrative lie la gestion dun domaine racine vide supplmentaire.
15.6. Conception de domaine et scurit

La scurit peut tre un lment important dans le choix de conception. Voyons en quoi elle peut influencer vos dcisions. Active Directory comprend des fonctionnalits de scurit qui sont dfinies par deux composants.
559
Chapitre 15
Le logiciel systme qui compose un contrleur de domaine Active Directory : il gre entre autres les processus dauthentification et la dfinition de lidentit dun utilisateur. La base de donnes de lannuaire stocke sur les contrleurs de domaine : elle stocke des informations telles que les mots de passe des utilisateurs, la composition des groupes et les listes de contrle daccs (ACL) qui rgissent laccs aux objets.
Si un intrus modifie le logiciel systme ou la base de donnes de lannuaire sur un contrleur de domaine, les fonctionnalits de scurit incluses dans Active Directory peuvent tre dsactives ou modifies. Les personnes suivantes ont la possibilit de lancer de telles attaques
j
Les administrateurs : ils doivent avoir la possibilit de modifier le logiciel systme sur les contrleurs de domaine pour appliquer des correctifs logiciels, pour installer des Service Packs ou des mises niveau du systme dexploitation. Pendant ces interventions classiques, un administrateur peut trs bien installer un logiciel tiers qui effectue des modifications malveillantes. Les personnes pouvant accder physiquement aux contrleurs de domaine : tout individu ayant physiquement accs un contrleur de domaine peut attaquer le systme de deux manires. Soit il modifie ou remplace des fichiers de Windows Server 2003 sur le disque dur hbergeant le logiciel systme du contrleur de domaine, soit il utilise un accs hors ligne la base de donnes de lannuaire pour lire des donnes sans que les listes de contrle daccs ne fonctionnent, pour utiliser les mots de passe stocks dans la base ou faire des modifications dans cette dernire qui affectent le comportement des contrleurs de domaine si la base de donnes hors ligne est connecte au systme.
Les mthodes dattaque sont les suivantes : 15. La conception de linfrastructure logique Active Directory
j j j
accs aux disques physiques en redmarrant un contrleur de domaine sur un autre systme dexploitation ; suppression ou remplacement des disques physiques sur un contrleur de domaine ; obtention et manipulation dune copie dune sauvegarde de ltat du systme dun contrleur de domaine.
Toutes ces ventualits dattaque doivent tre prises en compte, notamment dans le choix du nombre de domaines (ou forts) et de lemplacement des contrleurs de domaine par exemple. La rflexion autour de la conception dActive Directory doit tenir compte de la scurit.
15.7. Principe de conception des domaines

Voici quelques principes que vous pouvez appliquer dans votre conception de domaines : 560
En rsum
j j
Dterminez le nombre minimal de domaines requis pour rpondre aux besoins de lentreprise. Si possible, utilisez un modle de domaine unique, sinon ayez recours un modle de domaine rgional ou bas sur les entits de lentreprise. Si vous utilisez un modle de domaine rgional ou bas sur les entits de lentreprise, crez un nouveau domaine comme racine vide de la fort ou dsignez un des domaines rgionaux ou bass sur les entits de lentreprise comme racine de la fort.
Enfin et surtout, pensez dcrire votre projet de conception dans un document, en prcisant le modle de domaine, le nombre de domaines, le niveau fonctionnel de chacun deux et celui qui sera utilis comme racine de la fort.
15.8. En rsum
En exposant les diffrents modles de forts et de domaines, nous avons pos les briques fondamentales de la conception dActive Directory. Les besoins de lentreprise, ses contraintes et son activit sont trs importants car ils vont orienter la conception de linfrastructure logique dActive Directory. Il ny a pas de recette toute faite indiquant dappliquer tel modle en fonction de lactivit de lentreprise. Chaque cas est diffrent. Ayez toujours le rflexe de considrer la structure monofort monodomaine en premier lieu. Seules de bonnes raisons doivent vous pousser ajouter des domaines dans la fort (comme Puzzmania) ou ajouter dautres forts. Cette structure est la plus simple, mais elle couvre quand mme un trs grand nombre de cas dentreprise. Il serait dommage de sen priver. Les grandes lignes de la conception sont maintenant poses : cest vous de jouer ! 15. La conception de linfrastructure logique Active Directory 561
Chapitre 16
La conception de la topologie de sites

16.1 16.2 16.3 16.4 16.5 16.6 16.7 Les mcanismes de conception : dnitions . . . . . Collecter les informations sur le rseau . . . . . . . . Prvoir lemplacement des contrleurs de domaine Concevoir des sites . . . . . . . . . . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . . . . . . . . . . Concevoir les ponts de liaison de sites . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 . 580 . 581 . 587 . 588 . 590 . 591
Les mcanismes de conception : dfinitions
expression "topologie des sites" dsigne la reprsentation logique du rseau physique. La conception dune topologie de sites permet de router efficacement les requtes clients et le trafic de rplication dActive Directory. Lorsquelle est russie, elle offre les avantages suivants :
j j j j
une diminution du cot de la rplication des donnes Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la rplication pendant les heures creuses pour les emplacements quips de liens rseau lents ou de connexions distance ; une optimisation de la localisation des ressources les plus proches (contrleurs de domaine, serveurs DFS), une amlioration des processus douverture et de fermeture de session et une amlioration des oprations de tlchargement de fichiers.
En outre, elle permet une meilleure visibilit sur le projet de dploiement dActive Directory. Une conception de topologie de sites russie permet aussi davoir les ides claires avant daborder des aspects plus techniques. Une rflexion sur les aspects concrets que sont la structure physique du rseau et lobjectif dentreprise dans ce projet est cruciale : cest le moyen dviter les ennuis techniques par la suite. Bien que ce chapitre soit plus thorique que pratique, notamment en ce qui concerne la mise en place dActive Directory chez Puzzmania, il est indispensable daborder ce sujet au pralable afin dviter de prendre une mauvaise direction. La conception dune topologie de sites Active Directory inclut la comprhension de la structure physique du rseau, la planification du placement des contrleurs de domaine, la conception des sites, des sous-rseaux, des liens de sites et des ponts de liaison de sites pour assurer lefficacit du routage des requtes et du trafic de rplication. Voici la description du processus de conception dune topologie de sites :
16. La conception de la topologie de sites
Figure 16.1 : Processus de conception de la topologie de sites
Avant dexaminer chaque point, familiarisez-vous avec les concepts relatifs aux sites.
16.1. Les mcanismes de conception : dnitions

La topologie de sites affecte les performances du rseau et la capacit des utilisateurs accder aux ressources rseau. Autrement dit, les utilisateurs risquent davoir une
565
Chapitre 16
mauvaise opinion de la nouvelle infrastructure si vous ne matrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adquate. Pour ce faire, vous devez connatre un minimum de dfinitions techniques.
Les fonctionnalits lies aux sites

Windows Server 2003 utilise des fonctionnalits lies aux sites quil est important de comprendre. Il sagit du routage de la rplication, de laffinit des clients, de la rplication des volumes systmes (Sysvol), de DFS et de la localisation des services.
Routage de la rplication
Active Directory utilise un modle de rplication multimatre afin de rpliquer dun contrleur de domaine un autre. Cela signifie quun contrleur de domaine communique les modifications de lannuaire un deuxime contrleur, qui les communique un troisime, et ainsi de suite, jusqu ce que tous les contrleurs de domaine soient informs des modifications. Afin dobtenir le meilleur quilibre possible entre la rduction de la latence de rplication et la rduction du trafic, la topologie des sites contrle la rplication Active Directory en distinguant la rplication qui intervient au sein dun site et celle qui intervient entre les sites distants. lintrieur dun mme site, la rplication, dite rplication intrasite, est optimise en termes de vitesse. En pratique, vous trouverez et pourrez configurer lobjet de connexion de rplication dans le composant logiciel enfichable Sites et services Active Directory en dployant lobjet contrleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :
Bote de dialogue dun objet de connexion de rplication intrasite du composant logiciel enfichable Sites et services Active Directory
566
Une mise jour de donnes dannuaire, la cration dun compte par exemple, dclenche la rplication et les donnes sont transmises non compresses aux autres contrleurs de domaine. linverse, on compresse les donnes dans le cadre dune rplication entre des sites distants afin de minimiser le cot de transmission sur les liens distants. Lorsque la rplication intervient entre des sites, un unique contrleur par domaine sur chaque site collecte et stocke les modifications de lannuaire et les communique intervalles planifis un contrleur de domaine dun autre site.
Affinit des clients

Les contrleurs de domaine utilisent les informations de site pour signaler aux clients Active Directory la prsence dun ou de plusieurs contrleurs de domaine lintrieur du site le plus proche des clients en question. Prenons lexemple de Puzzmania. Considrez un client du domaine corp.puzzmania.com situ sur le site gographique de Toulouse. Il ne connat pas son affiliation de site. Il contacte un contrleur de domaine du site de Nice. En consultant ladresse IP du client, le contrleur de Nice dtermine le site auquel le client appartient et lui transmet les informations de site affrentes. Il indique au client si le contrleur de domaine choisi est le plus proche ou non. Le client met en cache les informations de site fournies par Nice, demande lenregistrement de ressources de service (SRV) spcifiques au site et trouve donc un contrleur de domaine sur le site qui est le sien.
Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services
Active Directory
567
Chapitre 16
Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilis pour localiser les contrleurs de domaine Active Directory. En trouvant un contrleur de domaine sur son site, le client spargne les communications par les liens distants. Mais il est possible quil nen trouve pas. Dans ce cas, un contrleur de domaine qui possde les connexions de plus faible cot par rapport aux autres sites connects publis sur le site du client (enregistre via un enregistrement de ressources SRN spcifique au site dans le DNS). Les contrleurs de domaine publis dans le DNS sont ceux du site le plus proche selon ce qui est configur dans la topologie. Ce processus garantit que chaque site possde un contrleur de domaine prfr pour lauthentification.
Rplication Sysvol
Le volume systme Sysvol est une arborescence de dossiers qui se trouve sur chaque contrleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par dfaut pour les fichiers qui doivent tre rpliqus dans un domaine, cest--dire les objets de stratgie de groupe, les scripts de dmarrage et de fermeture ainsi que les scripts douverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrleur de domaine.
Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com
Windows Server 2003 utilise le service de rplication de fichiers (FRS, File Replication Service) pour rpliquer les modifications apportes au contenu de Sysvol dun contrleur de domaine vers un autre. Le service FRS rplique ces modifications en fonction de la planification que vous crez durant la conception de la topologie des sites. 16. La conception de la topologie de sites
DFS (Distributed File System)

Le systme de fichiers distribus DFS utilise les informations de site pour diriger un client vers le serveur qui hberge les donnes requises. Si le service DFS ne trouve pas une copie des donnes dans le mme site que celui du client, il utilise les informations de site de lannuaire pour dterminer le serveur de fichiers qui possde les donnes partages DFS les plus proches du client.
568
Localisation de services
En publiant des services comme les services de fichiers et dimpression dans Active Directory, vous permettrez aux clients de localiser les services quils requirent dans leur propre site ou dans le site le plus proche. Les services dimpression, par exemple, utilisent lattribut demplacement stock dans Active Directory pour permettre aux utilisateurs de parcourir le rseau la recherche dimprimantes en fonction de leur emplacement, mme sils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configures pour ce site apparaissent en rsultat.
Figure 16.5 :
Recherche dimprimantes par emplacement
Les concepts de rplication dActive Directory

Nous dfinissons dans ce qui suit les concepts de rplication dActive Directory.
Les diffrentes partitions

La base de donnes Active Directory est divise de manire logique en plusieurs partitions.
j j j j j
la partition de schma ; la partition dannuaire ; la partition de la configuration ; la partition du domaine ; la partition dapplication. 16. La conception de la topologie de sites
La partition dannuaire
Chaque partition est une unit de rplication et possde sa propre topologie de rplication. La rplication est excute entre les rplicas des partitions dannuaire. Tous les contrleurs de domaine de la mme fort ont au moins deux partitions dannuaire en commun : celles du schma et de la configuration. De plus, ils partagent une partition de domaine commune. 569
Chapitre 16
Figure 16.6 : Dfinition des partitions dannuaire
La partition de schma
Chaque fort possde une seule partition de schma. Cette partition de schma est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient les dfinitions de tous les objets et attributs crs dans lannuaire, ainsi que les rgles qui permettent de les crer et de les manipuler. Les donnes du schma sont rpliques dans tous les contrleurs de domaine de la fort. Cest pourquoi les objets doivent tre conformes aux dfinitions dobjet et dattribut du schma.
La partition de la conguration
Chaque fort possde une seule partition de configuration. Stocke dans tous les contrleurs de domaine de la mme fort, la partition de configuration contient les donnes sur la structure Active Directory de lensemble de la fort, telles que les domaines et les sites existants, les contrleurs de domaine existants dans chaque fort et les services disponibles. Les donnes de la configuration sont rpliques dans tous les contrleurs de domaine de la fort.
La partition de domaine
16. La conception de la topologie de sites Chaque fort peut avoir plusieurs partitions de domaine. Elles sont stockes dans chaque contrleur de domaine dun domaine donn. Une partition de domaine contient les donnes sur tous les objets propres au domaine et crs dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les units dorganisation. Une partition de domaine est rplique dans tous les contrleurs de domaine du domaine considr. Tous les objets de chaque partition de domaine dune fort sont stocks dans le catalogue global avec un seul sous-ensemble de leurs valeurs dattribut.
La partition dapplication
Les partitions dapplication stockent les donnes sur les applications dans Active Directory. Chaque application dtermine comment elle stocke, classe et utilise ses propres donnes. Pour viter toute rplication inutile des partitions dapplication, vous pouvez dsigner les contrleurs de domaine qui en hbergent dans une fort. la 570
diffrence dune partition de domaine, une partition dapplication ne peut pas stocker les principaux objets de scurit, tels que les comptes dutilisateur. De plus, les donnes contenues dans une partition dapplication ne sont pas stockes dans le catalogue global. Par exemple, si vous utilisez le systme DNS intgr Active Directory, vous avez deux partitions dapplication pour les zones DNS : ForestDNSZones et DomainDNSZones.
j
ForestDNSZones fait partie dune fort : tous les contrleurs de domaine et les serveurs DNS dune fort reoivent un rplica de cette partition. Une partition dapplication dune fort entire stocke les donnes de la zone de la fort. DomainDNSZones est unique pour chaque domaine : tous les contrleurs de domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de cette partition. Les partitions dapplication stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>.
Chaque domaine possde une partition DomainDNSZones, mais il nexiste quune partition ForestDNSZones. Aucune donne DNS nest rplique sur le serveur de catalogue global.
Le numro de squence de mise jour (USN)

Limplmentation dun annuaire implique la mise en place dun mcanisme afin de grer le stockage incrmentiel des modifications apportes aux objets de lannuaire. En effet, le moindre changement de mot de passe doit pouvoir tre transmis tous les contrleurs de domaine. Ce systme doit pouvoir tre slectif en cas de changements portant sur une mme proprit dobjet pour nappliquer que le plus rcent. Certains services dannuaire sappuient sur une synchronisation en temps rel de tous les contrleurs de domaine. Toutefois, ce type de synchronisation temporelle de plusieurs contrleurs de domaine entre eux, savre difficile grer. La plus faible variation peut influencer les rsultats de la rplication. La rponse ce problme est le concept de numro de squence de mise jour (USN, Update Sequence Number). Active Directory lutilise pour assurer une application exacte des changements de lannuaire. Un USN est une valeur de 64 bits et tous les contrleurs de domaine en possdent un. Chaque modification dune proprit dobjet dans un annuaire (un changement de mot de passe par exemple) entrane une incrmentation de lUSN du contrleur de domaine en question. Chaque contrleur de domaine possde galement une copie du dernier USN reu par les autres contrleurs. Grce cette technique, les mises jour sont plus directes. Prenons lexemple de Puzzmania : lorsque le contrleur de domaine racine de la fort SNCERCDC01 sollicite du contrleur de domaine SNCERCDC02 la rplication des modifications de ce dernier (cration dutilisateurs), il extrait de sa table de rfrence interne lUSN de SNCERCDC02 le plus rcent reu et ne rclame que les changements intervenus depuis ce numro. La simplicit de cette opration garantit la justesse du processus. Lintgrit de la rplication est garantie car lincrmentation dun USN est dpendante de la russite dune mise jour. Si un problme vient entraver un cycle de rplication, le rcepteur concern recherche toujours une mise jour partir de lUSN appropri. 571
Chapitre 16
Il est inutile de vous inquiter des risques ventuels dpuisement de la rserve dUSN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu 18 446 744 073 709 551 616 changements par contrleur de domaine.
La collision de rplication
Mme avec le mcanisme de numro de squence de mise jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la fort puzzmania .com rinitialise un mot de passe sur SNCERCDC01 et quun autre administrateur rinitialise le mme mot de passe sur SNCERCDC02 avant que SNCERCDC01 nait eu loccasion de distribuer sa modification, il y a invitablement collision. Ce problme est rsolu grce un numro de version de proprit (PVN, Property Version Number). Il est appliqu en tant quattribut chaque objet dans Active Directory et est mis jour et horodat en squence chaque fois quune modification est apporte lobjet. Si une collision de rplication se produit, le PVN le plus rcent a priorit et le mot de passe associ est affect lutilisateur.
Lobjet connexion
Un objet connexion est un objet Active Directory qui reprsente une connexion de rplication dun contrleur de domaine un autre. Un contrleur de domaine est un membre dun unique site et est reprsent dans le site par un objet serveur dans Active Directory. Chaque objet serveur possde un objet NTDS Settings enfant qui reprsente le contrleur de domaine rpliquant dans le site.
Figure 16.7 : Objet serveur de type contrleur de domaine et objet NTDS Settings vus par le
composant logiciel enfichable Sites et services Active Directory 572
Lobjet connexion est un enfant de lobjet NTDS Settings du serveur de destination. Pour que la rplication intervienne entre deux contrleurs de domaine, lobjet serveur de lun doit avoir un objet connexion qui identifie le serveur source de rplication. Toutes les connexions de rplication dun contrleur de domaine sont stockes sous la forme dobjets de connexion sous lobjet NTDS Settings. Lobjet connexion identifie le serveur source de rplication, contient une planification de rplication et spcifie un transport de rplication. Le vrificateur de cohsion de connaissances (KCC, Knowledge Consistency Checker) cre automatiquement des objets de connexion, qui peuvent aussi tre crs manuellement. chaque fois que vous modifiez un objet de connexion cr par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.
Les protocoles de transport de rplication

Active Directory utilise la technologie dappel de procdure distante RPC (Remote Procedure Call) sur le protocole IP pour transfrer les donnes de rplication entre les contrleurs de domaine. Les rplications intersite et intrasite se servent de RPC sur IP. Pour assurer la scurit des donnes en transit, la rplication RPC sur IP fait appel la fois lauthentification (protocole Kerberos v5) et au cryptage des donnes. Si aucune connexion directe ou IP fiable nest disponible, la rplication intersite peut tre configure pour utiliser le protocole SMTP (Simple Mail Transfer Protocol). Toutefois, la fonctionnalit de rplication SMTP est limite et ncessite une autorit de certification dentreprise. SMTP ne peut tre utilis que pour rpliquer les partitions de configuration, de schma et dapplication de lannuaire ; il ne prend pas en charge la rplication des partitions de domaine.
Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intgr qui sexcute sur tous les contrleurs de domaine et gnre la topologie de rplication pour la fort. Il cre des topologies de rplications intrasite et intersite spares. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont dplacs dun site un autre, des modifications de cots, des planifications. KCC et ISTG Le KCC cre des objets de connexion afin de relier les contrleurs de domaine au sein dune topologie commune. Il comprend deux composants : un contrleur intrasite KCC, qui se charge de la rplication lintrieur dun site, et le gnrateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui cre les objets de connexion entre sites.
16. La conception de la topologie de sites 573
Chapitre 16
Dans Windows Server 2003, ISTG a t amlior et peut maintenant grer jusqu 5000 sites. Toutefois, vous ne pourrez bnficier des amliorations apportes ISTG que lorsque le niveau fonctionnel de la fort sera pass en mode Windows Server 2003. Sur chaque contrleur de domaine, le KCC cre des itinraires de rplication en crant des objets de connexion entrante unidirectionnelle qui dfinissent des connexions depuis dautres contrleurs de domaine. Pour les contrleurs de domaine dans le mme site, le KCC cre des objets de connexion de manire automatique. Lorsque vous possdez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de crer automatiquement les connexions intersites.
Fonctionnalit de basculement
Les sites garantissent que les donnes de rplication sont routes mme en cas de pannes rseau et de pannes des contrleurs de domaine. Le KCC sexcute des intervalles spcifis afin dajuster la topologie de rplication pour ladapter aux modifications qui interviennent dans Active Directory (par exemple, en cas dextension de la socit, lorsque de nouveaux contrleurs de domaine sont ajouts ou lorsque de nouveaux sites sont crs). Le KCC vrifie le statut de rplication des connexions existantes afin de dterminer si des connexions ont cess de fonctionner. Si une connexion ne fonctionne pas cause dun contrleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de rplication (sil en existe) afin de sassurer que la rplication peut soprer. Si tous les contrleurs de domaine dans un site sont indisponibles, le KCC cre automatiquement des connexions de rplication avec les contrleurs de domaine dun autre site.
Le sous-rseau
16. La conception de la topologie de sites Un sous-rseau est un segment dun rseau TCP/IP auquel un ensemble dadresses IP logiques est attribu. Les sous-rseaux regroupent des ordinateurs en fonction de leur proximit physique sur le rseau. Dun point de vue Active Directory, les objets de sous-rseau identifient les adresses rseau qui sont utilises pour mettre en correspondance les ordinateurs avec les sites.
574
Figure 16.8 : Les sous-rseaux vus par le composant logiciel enfichable Sites et services
Active Directory
Les sites
Les sites correspondent un ou plusieurs sous-rseaux TCP/IP dots de connexions rseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer laccs et la rplication Active Directory afin doptimiser lutilisation du rseau physique. Les sites sont reprsents dans Active Directory sous la forme dobjets de site. Les objets de site sont des ensembles de sous-rseaux et chaque contrleur de domaine dans la fort est associ un site Active Directory en fonction de son adresse IP. Les sites peuvent hberger des contrleurs de domaine de plusieurs domaines et un domaine peut tre reprsent dans plusieurs sites.
Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory
575
Chapitre 16
Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour tablir une connexion pour la rplication Active Directory. Ils sont stocks dans Active Directory sous la forme dobjets de lien de sites. Un tel objet reprsente un ensemble de sites qui peuvent communiquer cot uniforme via un transport intersite spcifi.
Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services
Active Directory Tous les sites contenus dans un lien sont considrs comme connects au sein dun mme type de rseau. On relie manuellement les sites en utilisant des liens de sorte que les contrleurs de domaine dans un site puissent rpliquer les modifications de lannuaire vers les contrleurs de domaine dun autre site. tant donn que les liens de sites ne correspondent pas au chemin effectif pris par les paquets rseau sur le rseau physique durant la rplication, vous navez pas besoin de crer des liens redondants pour amliorer lefficacit de la rplication Active Directory. Lorsque deux sites sont connects par un lien, le systme de rplication cre automatiquement des connexions entre des contrleurs de domaine spcifiques dans chaque site, appels "serveurs tte de pont". Dans Windows Server 2003, le KCC peut dsigner plusieurs contrleurs de domaine par site hbergeant la mme partition dannuaire comme candidat au rle de serveur tte de pont. Les connexions de rplication cres par le KCC sont alatoirement rparties entre tous les serveurs tte
de pont candidats dans un site afin que la charge de rplication soit partage. Par dfaut, le processus de slection alatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajouts au site. Toutefois, vous pouvez excuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appel "ADLB" (Active Directory Load Balancing) pour rquilibrer la charge chaque fois quune modification intervient dans la topologie des sites ou que le nombre de contrleurs de domaine du site varie. En outre, ADLB peut chelonner les planifications de manire que la charge de rplication sortante pour chaque contrleur de domaine soit rpartie de faon gale au fil du temps. Interrogez laide de lutilitaire ADLB afin dobtenir ses diffrentes options.
Pont de liaison de sites

Un pont de liaison de sites est un objet Active Directory qui reprsente un ensemble de liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts de liaison permettent aux contrleurs de domaine qui ne sont pas directement connects au moyen dun lien de communication doprer des rplications intersites. En gnral, un pont de liaison correspond un routeur (ou un ensemble de routeurs) dun rseau IP. En pratique, vous pourrez crer un pont de liaison de sites dans le composant logiciel enfichable Sites et services Active Directory en dployant le conteneur Inter-Site Transports, en slectionnant le protocole de transport souhait, puis en cliquant sur Action et Nouveau pont entre liens de sites.
Figure 16.11 : Cration dun pont de liaison de sites laide du composant logiciel enfichable Sites et services Active Directory
Par dfaut, le KCC peut former un itinraire transitif via les liens de sites qui possdent certains sites en commun. Si ce comportement est dsactiv, chaque lien de sites 577
Chapitre 16
reprsente son propre rseau distinct isol. Les ensembles de liens de sites qui peuvent tre traits comme un unique itinraire sont reprsents sous la forme de ponts de liaison de sites. Chaque pont reprsente un environnement de communication isol pour le trafic rseau. Les ponts de liaison permettent de reprsenter logiquement la connectivit physique transitive entre les sites. Chaque pont permet au KCC dutiliser nimporte quelle combinaison de liens de sites inclus pour dterminer litinraire le moins coteux lorsquil sagit dinterconnecter des partitions dannuaires conserves dans ces sites. Le pont ne fournit lui-mme aucune connectivit aux contrleurs de domaine. Sil est supprim, la rplication sur les liens de sites combins se poursuit jusqu ce que le KCC supprime les liens. Les ponts ne sont ncessaires que si un site contient un contrleur de domaine hbergeant une partition dannuaire qui nest pas galement hberge par un contrleur de domaine dans un site adjacent. Les sites adjacents sont dfinis comme tant inclus dans un unique lien de sites. Le pont cre une connexion logique entre deux liens de sites dconnects, qui fournit un chemin transitif via un site intrimaire. Pour les besoins du gnrateur de topologie intersite (ISTG, Intersite Topology Generator), le pont nimplique pas quun contrleur de domaine dans le site intrimaire fournisse le chemin de rplication. Toutefois, ce serait le cas si le site intrimaire contenait un contrleur de domaine qui hbergeait la partition dannuaire rpliquer ; un pont ne serait alors pas requis. Le cot de chaque lien de sites est additionn jusqu former une somme totale pour le chemin rsultant. Le pont serait utilis si le site intrimaire ne contenait pas un contrleur hbergeant la partition dannuaire et sil nexistait aucun lien de cot plus faible. Si le site intrimaire contenait un contrleur qui hberge la partition dannuaire, deux sites dconnects configureraient des connexions de rplication pour le contrleur de domaine intermdiaire et nutiliseraient pas le pont.
Transitivit des liens de sites

16. La conception de la topologie de sites Par dfaut, tous les liens de sites sont transitifs. Lorsquils sont relis par un pont et que les planifications se chevauchent, le KCC cre des connexions de rplication qui dterminent les partenaires de rplication intersite des contrleurs de domaine. Dans ce contexte, les sites sont connects, non pas directement par des liens, mais de manire transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter nimporte quel site nimporte quel autre via une combinaison de liens. En gnral, pour un rseau compltement rout, vous navez pas besoin de crer de ponts, moins de vouloir contrler le flot des changements de rplication. Tous les liens de sites pour un transport spcifique appartiennent implicitement un unique pont. La mise en pont par dfaut des liens de sites survient automatiquement et aucun autre objet Active Directory ne reprsente ce pont. Le paramtre Relier tous les liens du site
578
disponible dans les proprits des conteneurs de transport intersite IP et SMTP implmente les ponts de liaison de sites.
Serveur de catalogue global

Un serveur de catalogue global est un contrleur de domaine qui stocke des informations concernant tous les objets de la fort, mais pas les attributs, afin que les applications puissent effectuer des recherches dans lannuaire Active Directory sans avoir se rfrer des contrleurs de domaine spcifiques qui stockent les donnes requises. Comme tous les contrleurs de domaine, le serveur de catalogue global stocke des rplicas complets et enregistrables du schma et de la configuration des partitions dannuaire ainsi quun rplica complet et enregistrable de la partition dannuaire du domaine qui lhberge. Il est possible de configurer le contrleur qui sera serveur de catalogue global laide du composant logiciel enfichable Sites et services et des proprits de lobjet NTDS Settings de lobjet contrleur de domaine.
Figure 16.12 : Configuration du serveur de catalogue global laide du composant logiciel enfichable Sites et services Active Directory
Mise en cache de lappartenance aux groupes universels

Un contrleur de domaine peut mettre en cache les informations dappartenance aux groupes universels. Sur les contrleurs de domaine excutant Windows Server 2003, vous pouvez activer cette fonctionnalit laide du composant logiciel enfichable Sites et services Active Directory, via les proprits de lobjet NTDS Settings du site.
579
Chapitre 16
Figure 16.13 : Configuration de la mise en cache de lappartenance aux groupes universels laide du composant logiciel enfichable Sites et services Active Directory
La mise en cache de lappartenance aux groupes universels vite quun serveur de catalogue global soit requis dans chaque site dun domaine. Lutilisation de la bande passante rseau est ainsi minimise car il nest pas ncessaire quun contrleur de domaine rplique tous les objets situs dans la fort. Les temps dauthentification sont galement rduits, car les contrleurs de domaine qui authentifient nont pas toujours besoin daccder un catalogue global pour obtenir des informations dappartenance aux groupes universels.
16.2. Collecter les informations sur le rseau

16. La conception de la topologie de sites Cette tape, trs importante, permet de se faire une meilleure ide de ce qui va tre mis en place par la suite et de reprer des points de contention ou difficults dues au rseau physique. Pour synthtiser ces informations, vous devez
j
Crer une carte des emplacements : il sagit de lister les sites gographiques et les groupes dordinateurs sur un rseau local dans le but de schmatiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra dattirer lattention sur les sites relis par des lignes bas dbit, par exemple. Lister les sous-rseaux IP chaque emplacement : il sagit de relever les sous-rseaux IP et les masques associs afin de dterminer la configuration des sites dans Active Directory.
j j
580
Prvoir lemplacement des contrleurs de domaine
Tableau 16.1 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,
Toulouse, Londres et Nice R&D pour Puzzmania

Site gographique Nice Toulouse Paris Londres Nice R&D Numro de sous-rseau 1 2 3 4 5 Adresse du sousrseau 172.100.0.0 172.100.16.0 172.100.32.0 172.100.48.0 172.100.64.0 Adresses IP des machines 172.100.0.1 172.100.15.254 172.100.16.1 172.100.31.254 172.100.32.1 172.100.47.254 172.100.48.1 172.100.63.254 172.100.64.1 172.100.79.254 Adresse de broadcast 172.100.15.255 172.100.31.255 172.100.47.255 172.100.63.255 172.100.79.255
Active Directory associe chaque machine un site spcifique en comparant ladresse IP de la machine avec les sous-rseaux associs chaque site. Lorsque vous ajoutez des contrleurs un domaine, Active Directory examine galement leur adresse IP et les place dans le site appropri. Ce processus est automatique.
j
Lister les domaines et le nombre dutilisateurs pour chaque emplacement : cette information est un des facteurs qui dtermine le placement des contrleurs de domaine et des serveurs de catalogue global.
Lassociation des informations sur les sous-rseaux IP, la bande passante et les emplacements va dterminer la configuration de rplication.
16.3. Prvoir lemplacement des contrleurs de domaine

Grce aux informations recueillies par la collecte des informations sur le rseau, vous pourrez dterminer quel endroit il sera judicieux dinstaller un contrleur de domaine. 16. La conception de la topologie de sites Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre grands rles dvolus aux contrleurs de domaine :
j j j j
les contrleurs de domaine racine de la fort ; les contrleurs de domaine rgionaux (les contrleurs de domaine des domaines enfants) ; les contrleurs de domaine qui sont aussi serveurs de catalogue global ; les contrleurs de domaine ayant des rles matres dopration particuliers.
Dune manire gnrale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa scurit physique. 581
Chapitre 16
Prvoir lemplacement des contrleurs de domaine racine de la fort

Les contrleurs de domaine racine de la fort sont cruciaux dans linfrastructure. Sans eux, il est difficile daller plus loin. Ils doivent donc tre situs plutt des emplacements qui hbergent des centres de donnes ou des emplacements principaux de la socit, l o se trouvent les personnes les plus comptentes. Ces personnes doivent avoir mis en place et dcrit des procdures de sauvegarde et de restauration dActive Directory prouves.
Pour plus dinformations sur les techniques de sauvegarde et de restauration dActive Directory, consultez le chapitre La maintenance dActive Directory. Les contrleurs de domaine racine de la fort doivent tre placs sur un site gographique qui possde des liens distants suffisamment rapides pour rpliquer correctement les donnes dannuaire vers les autres sites. Les lignes daccs distants vers les contrleurs de domaine racine de la fort doivent tre les plus stables possibles. Les administrateurs de linfrastructure de Puzzmania dcident donc, daprs ces caractristiques, de placer les contrleurs de domaine racine de la fort puzzmania.com sur le site gographique de Nice. Cest cet endroit que se trouvent les personnes les plus comptentes et aussi les locaux les plus scuriss, notamment en raison de lactivit de recherche et de dveloppement. Le site de Nice est en outre un point nvralgique du rseau. Les contrleurs de domaine en question sappellent SNCERCDC01 et SNCERCDC02.
Prvoir lemplacement des contrleurs de domaine rgionaux

Les contrleurs de domaine rgionaux soccupent des domaines fils du domaine racine de la fort.
Figure 16.14 : Schma de reprsentation de la fort puzzmania.com
Ici, corp.puzzmania.com et rd.puzzmania.com sont considrs comme des domaines rgionaux contenant des contrleurs de domaine rgionaux. Il faut prvoir de les positionner, pour chaque domaine reprsent, aux emplacements principaux. Limitez leur nombre autant que possible pour rduire les cots. Le fait dliminer des contrleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent quune poigne de personnes) rduit les cots de maintenance des contrleurs de domaine distance. Combien existe-t-il de contrleurs de domaine de secours ? Outre le placement de ces contrleurs de domaine, posez-vous la question du nombre de contrleurs de domaine de secours dont vous avez besoin pour un domaine donn. tes-vous prt navoir quun seul contrleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problme ? Prfrez-vous placer un, voire deux contrleurs de domaine de secours, quitte ce quils soient sur des sites distants, pour modrer limpact dun arrt dun contrleur de domaine, mme si les authentifications sont plus lentes, et viter une ventuelle indisponibilit totale du domaine ? vous de faire la part des choses en vous aidant des informations collectes sur le rseau et en tenant compte galement du nombre dutilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le dploiement dapplications. Quel sera limpact sur les postes clients en cas dindisponibilit du domaine ? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre dmarche.
Figure 16.15 : Prvoir lemplacement des contrleurs de domaine rgionaux
583
Chapitre 16
En recoupant les informations, les administrateurs de linfrastructure des domaines corp.puzzmania.com et rd.puzzmania.com dcident de placer les contrleurs de domaine de la faon suivante
j
Pour corp.puzzmania.com : trois contrleurs seront installs et configurs, un dans chaque site gographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on rduit les cots en prenant le risque de ne mettre quun contrleur par site gographique et de subir des ralentissements, et la faisabilit car on tient compte du nombre dutilisateurs et de ressources. Pour rd.puzzmania.com : deux contrleurs seront installs et configurs sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront scuriss (il y en aura deux pour viter les arrts de service et ils seront installs dans une salle informatique scurise, et donc situe Nice). En outre, les utilisateurs qui sy connecteront sont situs Nice.
Prvoir lemplacement des serveurs de catalogue global

Les serveurs de catalogue global facilitent les requtes dauthentification des utilisateurs et les recherches portant sur la fort entire. Certaines applications, comme Exchange et les applications utilisant DCOM (Distributed COM), ncessitent un accs rapide aux serveurs de catalogue global afin de rpondre aux transactions utilisateurs sans effet de latence. Cela signifie quil faut au moins un serveur de catalogue global sur le mme site que le serveur applicatif. Pour des emplacements qui incluent moins de cent utilisateurs et peu dutilisateurs itinrants ou dapplications qui requirent un serveur de catalogue global, vous pouvez activer la mise en cache de lappartenance aux groupes universels. Assurez-vous que les serveurs de catalogue global ne se trouvent pas plus dun saut de rplication du contrleur de domaine sur lequel la mise en cache de lappartenance aux groupes universels est active, de manire que les informations de groupe universel dans le cache puissent tre actualises. 16. La conception de la topologie de sites Afin de dterminer quel emplacement vous devez mettre vos serveurs de catalogue global ou si vous devez activer la mise en cache de lappartenance aux groupes universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16). Revenons Puzzmania. Cest le nombre dapplications ncessitant un accs rapide aux serveurs de catalogue global qui dtermine combien et quels contrleurs de domaine doivent tre configurs comme serveurs de catalogue global :
j j j j
SNCERCDC01 (racine puzzmania.com) ; SNCECPDC01 (corp.puzzmania.com) ; SPARCPDC01 (corp.puzzmania.com) ; SNCERDDC01 (rd.puzzmania.com).
584
Figure 16.16 : Prvoir lemplacement des serveurs de catalogue global
Dterminer lemplacement des rles matres dopration

Trois rles matres dopration existent dans chaque domaine :
j
Lmulateur de contrleur de domaine principal (CPD) traite toutes les requtes de rplication provenant de contrleurs de domaine secondaires Windows NT 4.0
585
Chapitre 16
Server et toutes les mises jour de mots de passe pour les clients qui nexcutent pas le logiciel client Active Directory (Windows 95 par exemple).
j
Le matre dID relatifs alloue des ID relatifs tous les contrleurs de domaine pour garantir que tous les principaux de scurit (les identifiants de scurit) possdent un identifiant unique. Le matre dinfrastructure dun domaine conserve une liste des principaux de scurit dautres domaines qui sont membres de groupes dans son propre domaine.
Deux rles matres dopration existent dans chaque fort :

j j
Le matre de schma rgit les modifications du schma. Le matre dattribution de noms de domaine ajoute et supprime des domaines la fort. Matre de schma Avant douvrir le composant logiciel enfichable Schma Active Directory, qui permet dattribuer le rle matre de schma, noubliez pas denregistrer la DLL schmmgmt .dll de la faon suivante : cliquez sur Dmarrer/Excuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schma Active Directory condition davoir les droits ncessaires.
Les dtenteurs des rles matres dopration sont dsigns automatiquement lorsque le premier contrleur de domaine dans un domaine est cr. Les deux rles de niveau fort sont attribus au premier contrleur de domaine cr dans la fort et les trois rles de niveau domaine sont attribus au premier contrleur de domaine cr dans le domaine. Dsignez ces contrleurs de domaine, puis ceux qui seront matres dopration remplaants. Assurez-vous que le matre doprations remplaant est un partenaire de rplication direct du matre dopration titulaire. Dans un modle de fort comprenant des domaines pre et fils, veillez ce que le contrleur matre dinfrastructure ne soit pas galement serveur de catalogue global. Une pratique courante est de placer, dans un domaine donn, tous les rles matres dopration sur le premier contrleur install et de dsigner le contrleur de domaine de secours comme serveur de catalogue global. Cest un choix possible. Dans un modle domaine unique, laissez le rle matre dinfrastructure au premier contrleur de domaine et configurez tous les autres, mme le premier, comme serveurs de catalogue global. En effet, le rle de matre dinfrastructure est sans importance dans un modle domaine unique parce que les principaux de scurit des autres domaines nexistent pas. La rpartition des matres dopration est intressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de lquilibre de charge et des bonnes coutumes de placement des matres dopration. Voici un tableau synthtisant les rles tenus par les contrleurs de domaine de la fort puzzmania.com.
Concevoir des sites
Tableau 16.2 : Emplacement des matres dopration dans la fort puzzmania.com

Localisation Rles matres dopration de la fort Contrleur de domaine Matre de schma Rles matres dopration du domaine Matre dID relatifs (RID) Oui Non Non Non Oui Oui Non Matre dinfrastructure Paramtre de site Serveur de catalogue global Oui Non Oui Non Oui Oui Non
Domaine
Matre mulateur dattribution CPD de noms de domaine Non Oui Non Non Non Non Non Oui Non Oui Non Non Oui Non
puzzmania.com SNCERCDC01 SNCERCDC02 corp.puzzmania SNCECPDC01 .com STLSCPDC01 SPARCPDC01 rd.puzzmania .com SNCERDDC01 SNCERDDC02
Non Oui Non Non Non Non Non
Non Oui Non Oui Non Non Oui
16.4. Concevoir des sites

Une fois les contrleurs de domaine dfinis et placs sur le rseau, vous devez maintenant en crer les sites dans Active Directory. Pour cela, respectez les conseils suivants :
j
Crez des sites pour tous les emplacements dans lesquels vous prvoyez de placer des contrleurs de domaine (utilisez les informations rcoltes lors de la phase de prvision des emplacements des contrleurs de domaine). Crez des sites pour les emplacements qui incluent des serveurs excutant des applications qui requirent quun site soit cr (par exemple DFS). Si un site nest pas requis, ajoutez le sous-rseau associ un site pour lequel lemplacement possde la vitesse et la bande passante disponible intersite maximales. 16. La conception de la topologie de sites
j j
Cest laide du composant logiciel enfichable Sites et services Active Directory que vous crerez les sites.
Pour plus dinformations sur les oprations pratiques raliser laide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre Ladministration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration applique Puzzmania est trs simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont crs. Mme sil ny a aucun contrleur de domaine Londres, cela ne cote pas grand-chose danticiper lavenir.
587
Chapitre 16
16.5. Concevoir les liens de sites

Maintenant que les contrleurs de domaine sont positionns et que les sites sont crs dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de manire que lesdits contrleurs dans chaque site puissent rpliquer les modifications dActive Directory. En vous aidant des informations collectes sur le rseau, notamment de la liste des liens de communication et de la bande passante, "superposez" les sites gographiques, les liens de communication, les sites Active Directory et dduisez-en les sites relier et les liens mettre en place. Une fois les liens de sites positionns, vous devez les pondrer. En effet, dun point de vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique premire vue nimporte quel autre lien. Or, lorsque vous superposez les liens de sites et les liens de communication entre les sites gographiques, vous vous apercevez immdiatement de leurs diffrences (certains sont 56 ko et dautres 4 Mo par exemple). Il faut en fait tenir compte de la notion de cot dans Active Directory afin de pondrer les liens de sites. Comment dterminer le cot dun lien de sites ? Il faut savoir que le cot permet de valoriser les connexions peu coteuses (rapides) par rapport aux connexions plus coteuses (lentes) dans le but dencombrer le moins possible les liens rseau lents pendant les requtes clients ou la rplication dActive Directory. Par exemple : un contrleur de domaine dun site qui est reli plusieurs autres sites par des liens dbits diffrents rpliquera en priorit les informations vers les contrleurs de domaine situs sur les sites o le lien de sites est le moins coteux. Pour savoir comment affecter un cot un lien de sites par rapport aux caractristiques du lien de communication, aidez-vous du tableau des valeurs de cot suivant :
Tableau 16.3 : Tableau des valeurs de cot en fonction de la bande passante disponible Bande passante disponible (Ko/s) 9,6 19,2 38,4 56 64 128 256 512 1024 2048 4096 Cot 1042 798 644 586 567 486 425 378 340 309 283
Concevoir les liens de sites
Figure 16.17 : Affectation du cot dun lien de sites laide du composant logiciel enfichable Sites et services Active Directory
Des liens de sites sont donc crs entre les diffrents sites de linfrastructure Puzzmania. En correspondance avec le schma rseau, un cot de 283 est paramtr sur les liens Nice-Paris et Nice-Toulouse. Un cot de 309 est paramtr sur le lien Toulouse-Paris. Ltape logique qui vient aprs la dtermination du cot du lien de sites est la planification des horaires de rplication entre les deux sites relis. Vous avez la possibilit de dterminer les heures auxquelles la rplication va se drouler en fonction de la qualit du lien de sites (et par extension, de la qualit du lien de communication). Pour rgler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.
Figure 16.18 : Rglage des horaires de rplication laide du composant logiciel enfichable Sites et services Active Directory
Chapitre 16
En fonction des heures travailles, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la rplication de 7 heures 12 heures et de 14 heures 20 heures. Cela permettra de rserver le WAN dautres usages.
16.6. Concevoir les ponts de liaison de sites

Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de sites ou plus. Il active la transitivit entre les liens. Chaque lien dans un pont doit avoir un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut calculer le cot entre les sites dans le lien et les sites dans les autres liens du pont. Par dfaut, tous les liens de sites sont transitifs. Le paramtre Relier tous les liens du site est en effet activ par dfaut. Crer un pont correspond dsactiver cette option pour certains liens de sites et activer la transitivit pour les liens de sites que lon slectionne. Dans quels cas devez-vous crer un pont ?
j j
Pour pallier le fait que le rseau IP nest pas compltement rout. Pour contrler le flux de rplication dActive Directory, soit parce que la rplication seffectue au travers dun pare-feu, soit parce que vous voulez contrler le basculement de la rplication lors dune panne dun contrleur de domaine.
Figure 16.19 : Schma de pont de liaison de sites
590
En rsum
Dans cet exemple, ce pont empchera la rplication des contrleurs de domaine des sites A, C et D vers le reste du rseau en cas de panne du contrleur du site B. Linfrastructure de Puzzmania nest pas assez complexe pour ncessiter la cration de ponts de liaison de sites.
16.7. En rsum
Ce chapitre aborde les aspects thoriques de la conception de la topologie de sites. Il prsente des dfinitions, une mthodologie mais galement des rgles incontournables de bon fonctionnement. Si vous respectez cette mthodologie et ces rgles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la rplication des informations dannuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcment plusieurs solutions, plusieurs configurations qui rpondront correctement vos besoins en respectant la mthodologie et les rgles. Dautres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la rduction des cots. En ce sens, il est intressant de mettre en parallle les rgles de conception et ltude de cas car, durant la lecture de ce chapitre, vous vous tes srement dit que vous auriez procd autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranch, ils ont fait des compromis et vous serez amen en faire de votre ct.
Chapitre 17
La conception et limplmentation de la structure des units dorganisation

17.1 17.2 17.3 17.4 Planier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter la structure dunits dorganisation . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 . . . . 598 . . . . 601 . . . . 611
Planifier la structure administrative
es units dorganisation sont les conteneurs (des sortes despaces de classement) du service dannuaire Active Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Du fait de la grande flexibilit dans la cration des units dorganisation et de leur imbrication, ces conteneurs peuvent reflter une structure organise et, par extension, les structures hirarchique et logique de votre entreprise. Vous pouvez grer la configuration et lutilisation de comptes et de ressources en fonction de votre modle dorganisation. Vous tes libre, par exemple, dutiliser les units dorganisation pour appliquer automatiquement des stratgies de groupe dfinissant des paramtres pour les comptes dordinateur et dutilisateur dans Active Directory en accord avec la politique dentreprise (scurit, applications, droits). Le cycle de vie des units dorganisation inclut quatre phases :
17. La conception et limplmentation de la structure des UO
j j j j
La planification : durant cette phase, vous dterminez quelles units dorganisation vous allez crer et comment vous en dlguerez le contrle administratif. Le dploiement : vous crez la structure dunits dorganisation en fonction de leur plan. La maintenance : aprs avoir cr la structure, vous pouvez renommer, dplacer ou modifier les units dorganisation cres en fonction des besoins de lorganisation. La suppression : dans Active Directory, tous les objets, y compris les units dorganisation, occupent de lespace sur le contrleur de domaine qui les hberge. Lorsque des units dorganisation ne sont plus requises, vous devez les supprimer.
17.1. Planier la structure administrative

Cette section explique comment concevoir la structure administrative de linfrastructure. Elle montre comment collecter les donnes ncessaires et fournit des instructions suivre. En rgle gnrale, la conception de la structure administrative de linfrastructure est base sur la structure dadministration du service informatique de lentreprise. La technologie (les units dorganisation) se met au service des besoins (le service informatique de lentreprise qui comprend les hommes et les processus). Lun des points-cls concerne la conception dune structure dunits dorganisation. Par exemple, une structure dunits dorganisation bien conue permet aux administrateurs de dlguer leur autorit, ce qui allge leur charge de travail par rapport une administration centralise. Mais cette dlgation nest possible que si le dcoupage de ladministration des objets est en adquation avec les rles et les responsabilits de la personne qui lon dlgue cette administration.
La collecte des donnes

Vous devez examiner les lments essentiels de votre structure dannuaire et de votre service informatique, puis collecter les informations utiles pour concevoir une nouvelle structure administrative. Voici les bonnes questions vous poser pour y arriver. 595
Chapitre 17
La conception et limplmentation de la structure des UO
Examen de la structure dannuaire existante

Comprendre comment et pourquoi la structure dannuaire existante a t cre vous aidera concevoir une structure administrative en adquation avec vos besoins. Utilisez les donnes fournies en rponse aux questions suivantes pour votre rflexion.
j
Quelles sont les raisons qui justifient la structure dannuaire actuelle ? Par exemple, quels sont les liens avec le dcoupage en sites physiques ? Avec lenjeu dentreprise ? La structure dannuaire est-elle volutive ? Quelles personnes administrent actuellement la fort et les domaines ? Leurs rles doivent-ils tre maintenus ? Qui sont les administrateurs de service actuels ? Le nombre de personnes remplissant ce rle est-il suffisant ? Les responsabilits de ces personnes doivent-elles rester les mmes ?
j j j
Examen des ressources de lorganisation

Lidentification et la catgorisation des ressources sont un aspect essentiel dans la conception dune structure administrative. La collecte dinformations sur les ressources vous permet de concevoir une structure englobant tous les types de ressources. Par exemple, vous pouvez crer une unit dorganisation qui contient tous les ordinateurs portables des commerciaux. Prenez en compte les informations suivantes sur les ressources de votre organisation :
j
Le matriel : identifiez les serveurs, les ordinateurs, les portables, les imprimantes, etc. Veillez inclure la fonction de chaque quipement, son emplacement physique et la quantit de chaque quipement. Consignez certains dtails importants sur les quipements. Pour des imprimantes par exemple, indiquez si elles sont locales ou relies au rseau. Les rles professionnels : consignez tous les rles professionnels (par exemple, commercial) et dcrivez les tches associes chacun dentre eux. Dterminez quels rles prsentent des exigences particulires en matire dadministration. Les groupes : identifiez tous les groupes et dcrivez-les.
Examen des ressources administratives

Pour crer une structure administrative efficace, vous devez identifier et catgoriser les ressources de votre entreprise selon leur fonction administrative. partir des informations collectes, dterminez si la structure dunits organisation est base sur le rle professionnel, sur la fonction administrative ou sur les deux. Collectez les informations relatives aux thmes suivants :
596
Planifier la structure administrative
Les rles administratifs

Parmi les rles suivants, dterminez ceux qui existent actuellement dans votre organisation :
j j j
Les administrateurs de rles : administrateurs du administrateurs des services, administrateurs des donnes.
support
technique,
Les administrateurs de groupes fonctionnels : administrateurs de serveurs, dimprimantes, de bureaux. Les administrateurs demplacements : administrateurs de sites distants.
Les contraintes pour ladministration

Posez-vous les questions suivantes :
j j j
Quelles personnes ont besoin de crer, de modifier, de grer et de supprimer des comptes dutilisateurs ? Quelles personnes ont besoin de grer les ressources de fichiers et de dossiers, y compris les autorisations associes ? Quelles personnes ont besoin de grer la stratgie de groupe ?
Les modles administratifs informatiques

Un modle administratif informatique dfinit les personnes charges de grer des ressources informatiques spcifiques dans le rseau dune entreprise, ainsi que le niveau de contrle exerc par chaque administrateur. Si vous arrivez tablir un parallle entre un modle administratif prdfini et votre structure administrative lorsque vous concevez une structure dunits dorganisation, vous tes sur la bonne voie. Nous allons dcrire dans ce qui suit les diffrents types de modles administratifs.
Le modle Informatique centralise

Le service informatique de lentreprise ne fait appel qu une seule personne. Elle est responsable de tous les services rseau et informatiques, mais quelques tches quotidiennes peuvent tre dlgues certains groupes.
Le modle Informatique centralise avec administration dcentralise

Le service informatique utilise une gestion distribue o le contrle est rparti entre plusieurs emplacements. Une quipe informatique principale centralise est responsable de ladministration de linfrastructure, mais elle dlgue des tches aux administrateurs informatiques situs sur les sites distants, lesquels assurent le support technique leurs utilisateurs. 597
Chapitre 17
Le modle Informatique dcentralise

Ce modle permet plusieurs services de lentreprise de choisir le modle informatique qui rpond le mieux aux besoins de chacun dentre eux. Il peut se composer de plusieurs groupes dadministrateurs informatiques avec des objectifs et des besoins divers. Pour chaque mise jour ou installation majeure affectant toute lentreprise, par exemple la mise en place de la messagerie lchelle de lentreprise, les groupes dadministrateurs informatiques doivent travailler ensemble pour implmenter les modifications.
Le modle Informatique externalise

Les entreprises externalisent tout ou partie de leur service informatique. Ce modle accrot les risques dintrusion du fait de droits daccs incompltement matriss. Il faut redoubler defforts sur la scurit lors de la mise en place de ce modle.
17.2. Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation
Aprs avoir dtermin le meilleur modle administratif pour votre entreprise, vous devez structurer ce modle pour quil reflte la manire dont lentreprise gre ses ressources informatiques. Ces ressources comprennent des utilisateurs, des ordinateurs, des groupes, des imprimantes et des fichiers partags. Cette structure montre comment sont organiss les personnes ou les groupes chargs de grer des ressources spcifiques.
j
Lexamen de la structure du modle administratif vous permettra de dterminer comment faire en sorte que la conception des units dorganisation reflte la structure du service informatique et la structure de gestion des ressources. Lorsque vous concevez une structure dunits dorganisation, veillez ce quelle puisse prendre en charge les volutions et la croissance de lorganisation. Les modifications de lorganisation ne doivent pas affecter la structure dunits dorganisation.
Voici des modles de structure dunits dorganisation auxquels peut correspondre votre modle administratif. Ils vous aideront concevoir la meilleure structure dunits dorganisation pour votre entreprise. Dtaillons les cinq modles de structure dunits dorganisation les plus frquemment rencontrs.
Le modle bas sur lemplacement

Description
Vous pouvez organiser vos units dorganisation en fonction de leur emplacement aux niveaux suprieurs de larborescence si le service informatique de lentreprise est centralis et si ladministration du rseau est distribue gographiquement. 598
Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation
Avantage
j j
Rsiste aux rorganisations de lentreprise. Accepte les fusions et les expansions.
Inconvnient
j
Risque ventuel pour la scurit : si un emplacement inclut plusieurs divisions ou services, une personne ou un groupe possdant lautorit administrative sur un domaine ou une unit dorganisation peut galement possder cette autorit sur les domaines ou les units dorganisation enfants. Ncessite des administrateurs rseau chaque emplacement.
Le modle bas sur lorganisation

Description
Vous pouvez organiser les units dorganisation des niveaux suprieurs de larborescence par dpartement ou par service de lentreprise (par exemple, le service des ressources humaines) pour que chaque service ait son propre groupe informatique.
Avantage
j j
Conserve lautonomie des services de lentreprise. Accepte les fusions, les acquisitions et les expansions de lentreprise.
Inconvnient
j j
Impact possible sur la rplication dActive Directory. Ne rsiste pas aux rorganisations de lentreprise.
Le modle bas sur la fonction

Description
Vous pouvez organiser les units dorganisation des niveaux suprieurs de larborescence par fonction, si le service informatique est dcentralis mais sil base ses modles administratifs sur les fonctions professionnelles au sein de lentreprise. Ce modle est idal pour les petites entreprises o les responsabilits professionnelles couvrent plusieurs domaines de comptence de lentreprise. 599
Chapitre 17
Du fait de la spcificit du domaine rd.puzzmania.com, ce modle bas sur la fonction, dans ce cas la recherche et le dveloppement, est le mieux adapt aux contraintes.
Avantage
j
Insensible aux rorganisations de lentreprise.
Inconvnient
j j
Impact possible sur la rplication dActive Directory. Il peut tre ncessaire de crer des couches supplmentaires dans la hirarchie des units dorganisation pour prendre en charge ladministration des utilisateurs, des imprimantes, des serveurs et des partages rseau.
Le modle hybride bas sur lemplacement, puis sur lorganisation

Description
Vous pouvez organiser les units dorganisation situes aux niveaux suprieurs de la hirarchie selon leur emplacement, puis organiser les units dorganisation situes plus bas dans la hirarchie selon lorganisation. En ce qui concerne Puzzmania, ce modle est appliqu pour le domaine corp .puzzmania.com, qui contient le plus grand nombre dobjets utilisateurs et ordinateurs. En effet, comme le domaine est clat sur trois sites gographiques qui ont des rles particuliers, ce modle hybride est le plus adapt.
Avantage
j j
Permet denvisager la croissance des services de lentreprise. Permet de dfinir des limites de scurit distinctes en fonction des sites.
Inconvnient
j j
Ncessite une nouvelle conception si le service informatique se retrouve dcentralis. Ncessite une coopration entre les administrateurs informatiques si ces derniers sont situs au mme emplacement, mais appartiennent des dpartements diffrents.
600
Implmenter la structure dunits dorganisation
Le modle hybride bas sur lorganisation, puis sur lemplacement

Description
Vous pouvez organiser les units dorganisation situes aux niveaux suprieurs de la hirarchie selon lorganisation, puis organiser les units dorganisation situes plus bas dans la hirarchie selon leur emplacement.
Avantage
j
Permet une scurit robuste entre les services de lentreprise, tout en autorisant la dlgation dadministration base sur lemplacement physique.
Inconvnient
j
Ne rsiste pas aux rorganisations de lentreprise.
17.3. Implmenter la structure dunits dorganisation

Une fois la conception ralise, vous tes prt implmenter votre hirarchie dunits dorganisation.
Les outils de cration

Windows Server 2003 fournit plusieurs composants logiciels enfichables et outils en ligne de commandes qui permettent, entre autres, de crer des units dorganisation. Vous pouvez galement utiliser des outils en ligne de commandes afin dexcuter des scripts pour grer des units dorganisation. Voici quelques outils (composants logiciels enfichables et outils en ligne de commandes) qui vous permettront de crer et de grer des units dorganisation :
j
Utilisateurs et ordinateurs Active Directory : ce composant logiciel enfichable permet de crer, de modifier et de supprimer des units dorganisation. Utilisez-le lorsque vous navez que quelques units dorganisation grer, ou pour des oprations de base. Outils de service dannuaire : cet ensemble doutils en ligne de commandes, parmi lesquels Dsadd, Dsmod et Dsrm, permet de grer des objets et deffectuer des requtes dinformations dans Active Directory. Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange) : cet outil en ligne de commandes permet de crer des units dorganisation et dautres objets Active Directory. Ldifde utilise un fichier dentre contenant des informations sur les objets ajouter, modifier ou supprimer. 601
Chapitre 17
Environnement dexcution de scripts Windows : vous pouvez crer des units dorganisation laide dapplications Windows ou laide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces).
Le composant logiciel enchable Utilisateurs et ordinateurs Active Directory

Cet outil permet de grer les units dorganisation de faon la plus intuitive et naturelle possible. Vous lutiliserez la plupart du temps. Entrons dans le dtail de lopration de cration dunit dorganisation. Pour crer une unit dorganisation, procdez comme suit : 1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour cela, cliquez sur Dmarrer/Programmes/Outils dadministration/ Utilisateurs et ordinateurs Active Directory. 2. Dans larborescence de la console, double-cliquez sur le nom du domaine. 3. Cliquez du bouton droit sur le nom du domaine ou sur le dossier dans lequel vous souhaitez ajouter lunit dorganisation, pointez sur Nouveau, puis cliquez sur Unit dorganisation.
Figure 17.1 : Cration dunit dorganisation avec le composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory 602
4. Dans la zone Nom de la bote de dialogue Nouvel objet Unit dorganisation, saisissez le nom de lunit dorganisation, puis cliquez sur OK. Les oprations de suppression et de modification sont aussi trs simples : cliquez du bouton droit sur lunit dorganisation et slectionnez la bonne commande.
Les outils de service dannuaire

Les outils en ligne de commandes Dsadd, Dsmod et Dsrm du service dannuaire vous permettent de crer et de grer des units dorganisation partir de lInvite de commandes. Vous pouvez galement les utiliser dans des scripts.
Crer une unit dorganisation avec Dsadd

Pour crer une unit dorganisation, excutez la commande Dsadd partir de lInvite de commandes. Voyons dabord la syntaxe de cette commande.
DSADD
Ajoute des types dobjets spcifiques lannuaire. dsadd computer dsadd contact dsadd group dsadd ou dsadd user dsadd quota Ajoute un ordinateur lannuaire. Ajoute un contact lannuaire. Ajoute un groupe lannuaire. Ajoute une unit dorganisation lannuaire. Ajoute un utilisateur lannuaire. Ajoute une spcification de quota une partition dannuaire.
Parmi tous les lments, cest le commutateur ou qui nous intresse le plus. En voici la description :
DSADD OU
Ajoute des units dorganisation lannuaire.
603
Chapitre 17
Syntaxe :
17. La conception et limplmentation de la structure des UO NU_Unit_ Organisation
dsadd ou NU_Unit_Organisation desc Description s Serveur d Domaine u Nom_Utilisateur p Mot_de_passe q Nom unique de lunit dorganisation que vous dsirez ajouter.
desc Description Description de lunit dorganisation que vous dsirez ajouter. s Serveur d Domaine Contrleur de domaine auquel lordinateur se connecte. Domaine auquel lordinateur se connecte. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert une session. Nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astrisque), un mot de passe sera demand. Mode silencieux : supprime tout affichage sur la sortie standard.
u Nom _Utilisateur
p Mot_de_Passe q
Chez Puzzmania, il sagit de crer des units dorganisation pour le domaine corp .puzzmania.com. Suite la conception de la structure dunits dorganisation, commencez par crer les units dorganisation hirarchiques relatives aux sites gographiques de Nice, Toulouse et Paris. Procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsadd ou OU=Toulouse,DC=corp,DC=puzzmania, DC=com desc "OU de niveau hirarchique du site de Toulouse" et validez. Dans cet exemple, la commande est lance partir dun contrleur de domaine. Si ce navait pas t le cas, vous auriez utilis les commutateurs donnant les droits ncessaires la cration dunits dorganisation sur le domaine.
604
Figure 17.2 : Cration dune unit dorganisation avec Dsadd
Commande Dsadd Si vous ne saisissez pas le nom distinctif de lobjet que vous crez, il est lu sur lentre standard (STDIN), cest--dire via le clavier, dans un fichier redirig ou une sortie de canal provenant dune autre commande. Utilisez [Ctrl]+[Z] pour indiquer le caractre de fin de fichier pour STDIN.
Modier une unit dorganisation avec Dsmod

Pour modifier la description dune unit dorganisation, excutez la commande Dsmod partir de lInvite de commandes. Voyons dabord la syntaxe de cette commande, comparable celle de Dsadd.
DSMOD
Modifie des types dobjets spcifiques lannuaire. dsmod computer dsmod contact dsmod group dsmod ou dsmod server dsmod user Modifie un ordinateur existant dans lannuaire. Modifie un contact existant dans lannuaire. Modifie un groupe existant dans lannuaire. Modifie une unit dorganisation existant dans lannuaire. Modifie un contrleur de domaine existant dans lannuaire. Modifie un utilisateur existant dans lannuaire. 605
Chapitre 17
dsmod quota 17. La conception et limplmentation de la structure des UO dsmod partition
Modifie une spcification de quota existant dans lannuaire. Modifie une spcification de quota existant dans lannuaire.
Parmi tous les lments, cest le commutateur ou qui nous intresse. En voici la description :
DSMOD OU
Modifie des units dorganisation de lannuaire.
Syntaxe :
NU_Unit _Organisation desc Description s Serveur d Domaine
dsmod ou NU_Unit_Organisation desc Description s Serveur d Domaine u Nom_Utilisateur p Mot_de_passe c q Nom unique de lunit dorganisation que vous dsirez modifier. Description de lunit dorganisation que vous dsirez modifier. Contrleur de domaine auquel lordinateur se connecte. Domaine auquel lordinateur se connecte. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert une session. Nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astrisque), un mot de passe sera demand. Mode opratoire continu. Signale les erreurs, mais passe lobjet suivant sur la liste darguments quand plusieurs objets cibles sont spcifis. Sans cette option, la commande se termine la premire erreur. Mode silencieux : supprime tout affichage sur la sortie standard.
u Nom _Utilisateur
p Mot_de_Passe c
606
Les paramtres transmis la commande dsmod sont les mmes que ceux de dsadd. 17. La conception et limplmentation de la structure des UO Pour transmettre une nouvelle description via le paramtre desc, procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsmod ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com desc "OU de niveau hirarchique du site gographique de Toulouse" et validez.
Le champ de description de lunit dorganisation est modifi.
Figure 17.3 : Modification dune unit dorganisation avec Dsmod
Supprimer dune unit dorganisation avec Dsrm

Vous devez supprimer dActive Directory les units dorganisation qui ne sont plus utilises. Pour ce faire, utilisez la commande Dsrm. Voyons dabord la syntaxe de cette commande, comparable celles de Dsadd et de Dsmod.
DSRM
Supprime des objets de lannuaire.
Syntaxe :
dsrm NU_Unit_Organisation [noprompt] [subtree [exclude]] [{s <Serveur> | d <Domaine>}] [u <Nom_Utilisateur>] [p {<Mot_de_passe> | *}] [c] [q] [{uc | uco | uci}] Requis/stdin. Liste dun ou de plusieurs noms uniques (DN) dobjets supprimer. Si ce paramtre est omis, il est lu partir de lentre standard (stdin). 607
NU_Unit _Organisation
Chapitre 17
noprompt 17. La conception et limplmentation de la structure des UO subtree [exclude]
Mode silencieux : ne demande pas de confirmation de suppression. Supprime lobjet et tous les objets de sa sous-arborescence. Avec exclude, lobjet nest pas supprim ; seule sa sous-arborescence lest. s <Serveur> : contrleur de domaine nomm <Serveur> auquel lordinateur se connecte. d <Domaine> : contrleur de domaine auquel lordinateur se connecte dans le domaine <Domaine>. Par dfaut : un contrleur de domaine dans le domaine de connexion. Nom dutilisateur permettant de se connecter. Par dfaut : lutilisateur connect. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe de lutilisateur <Nom_Utilisateur>. Si vous saisissez *, un mot de passe sera demand. Mode opratoire continu : signale les erreurs mais poursuit avec lobjet suivant sur la liste darguments lorsque plusieurs objets cibles sont spcifis. Sans cette option, la commande se termine la premire erreur. Mode silencieux : supprime tout affichage sur la sortie standard. uc indique que lentre partir du pipe ou la sortie vers le pipe est au format Unicode. uco indique que la sortie vers le pipe ou le fichier est au format Unicode. uci indique que lentre partir du pipe ou du fichier est au format Unicode.
{s <Serveur> | d <Domaine>}
u <Nom _Utilisateur>
p {<Mot_de _passe> | *} c
q {uc | uco | uci}
Les paramtres transmis la commande dsrm sont les mmes que ceux de la commande dsadd. Par contre, vous pouvez utiliser les paramtres supplmentaires suivants avec dsrm :
j
subtree supprime lobjet ainsi que tous les objets contenus dans la sous-arborescence situe sous cet objet.
608
exclude spcifie de ne pas supprimer lobjet de base fourni par NU_Unit_Organisation lorsque vous supprimez la sous-arborescence situe
au-dessous. Par dfaut, seul lobjet de base spcifi est supprim. Le paramtre exclude ne peut tre spcifi quavec le paramtre subtree. Pour supprimer lunit dorganisation Toulouse du domaine corp.puzzmania.com, procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsrm OU=Toulouse,DC=corp,DC=puzzmania,DC=com
desc "OU de niveau hirarchique du site gographique de Toulouse"
et validez.
Figure 17.4 : Suppression dune unit dorganisation avec Dsrm
Loutil Ldifde
Loutil en ligne de commandes Ldifde vous permet de crer, de modifier et de supprimer des units dorganisation et de dfinir des hirarchies dunits dorganisation. Loutil se base sur un fichier dentre qui indique les actions excuter. La premire tape consiste donc crer le fichier dentre utiliser. Aprs avoir cr ce fichier, excutez la commande Ldifde. Procdez comme suit pour crer des units dorganisation (ici pour le domaine corp
.puzzmania.com) laide de loutil en ligne de commandes Ldifde :
1. Crez un fichier dentre.
609
Chapitre 17
Lexemple suivant montre le format du fichier : 17. La conception et limplmentation de la structure des UO
dn: OU=Toulouse,DC=corp,DC=puzzmania,DC=com changetype: add objectClass: organizationalUnit
j j
Changetype dtermine le type dopration effectue sur lobjet Active Directory. ObjectClass spcifie la classe de lobjet Active Directory. Ldifde ajoute une unit dorganisation appele Toulouse au domaine corp.puzzmania.com. Vous pouvez ajouter plusieurs units dorganisation en ajoutant dautres entres. Chaque entre dn: doit tre prcde dune ligne vide, sauf la premire.
2. Excutez Ldifde pour crer, modifier ou supprimer des units dorganisation en saisissant la commande ldifde i k f OUList.ldf b Nom_Utilisateur Domaine Mot_de_Passe. Les premiers paramtres de la commande sont : i k f b Nom _Utilisateur Domaine Mot_de _Passe Mode dimportation. Si celui-ci nest pas spcifi, le mode par dfaut est exportation. Permet de ne pas tenir compte des erreurs durant une opration dimportation et de poursuivre le traitement. Nom du fichier dimportation ou dexportation. O List.ldf est le fichier dentre.
Nom dutilisateur, nom de domaine et mot de passe associs au compte dutilisateur qui sera utilis pour excuter lopration dimportation ou dexportation.
Loutil de scripts Windows

ADSI est une interface de programmation dapplications (API, Application Programming Interface) que vous utilisez partir de lenvironnement dexcution de scripts pour automatiser ladministration dActive Directory. ADSI utilise le protocole LDAP pour communiquer avec Active Directory. Toutes les oprations ADSI que vous effectuez sur Active Directory respectent la mme procdure. Dabord, vous devez vous connecter Active Directory, ensuite vous pouvez effectuer des tches, comme extraire des informations concernant des objets, ajouter, modifier ou supprimer des objets. Si vous apportez des modifications Active Directory, vous devez les enregistrer dans la base de donnes Active Directory afin quelles soient conserves.
610
En rsum
Procdez comme suit pour crer une unit dorganisation laide de lenvironnement dexcution de scripts Windows : 1. laide du Bloc-notes, crez un fichier texte portant lextension .vbs. Insrez les oprations effectuer dans ce fichier de la faon suivante : 2. Commencez par vous connecter au domaine dans lequel vous souhaitez crer lunit dorganisation en saisissant Set objDom = GetObject("LDAP://dc=corp, dc=puzzmania,dc=com"). 3. Crez ensuite lunit dorganisation en spcifiant OrganizationalUnit comme type dobjet Active Directory crer et le nom de lunit dorganisation en saisissant Set objOU = objDom.Create("OrganizationalUnit", "ou=Toulouse"). 4. Enregistrez ces informations dans la base de donnes Active Directory en saisissant la commande objOU.SetInfo. 5. Enregistrez le fichier sous le nom script.vbs par exemple. 6. Pour excuter les commandes de ce fichier, saisissez lInvite de commandes wscript script.vbs.
17.4. En rsum
Le plus remarquable, quand on travaille avec les units dorganisation, notamment dans la phase de conception, cest de voir quel point on peut faire reflter la vie du service informatique et, par extension, la vie de lentreprise, au travers dune technologie telle que les conteneurs dActive Directory. Au-del des possibilits techniques, vous devez vous attacher mettre limplmentation de la structure dunits dorganisation (la technologie) au service de lorganisation informatique de lentreprise (le besoin). Cest la cl de la russite de limplmentation en entreprise, quel que soit le contexte. Profitez de lexprience des units dorganisation, o cest facilement visible et apprhendable, pour le mettre en uvre dans tous les domaines informatiques de lentreprise.
611
Chapitre 18
Limplmentation des serveurs dinfrastructure Active Directory

18.1 18.2 18.3 18.4 18.5 18.6 Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dployer le domaine racine de la fort puzzmania.com . . . . Aprs linstallation du premier contrleur de domaine . . . . . Dployer le deuxime contrleur de domaine sur le mme site Dployer les domaines enfants . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... .... .... ... .... .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615 . 619 . 641 . 649 . 655 . 658
Vue densemble
e chapitre dcrit la mise en place de linfrastructure, savoir limplmentation dActive Directory selon les besoins de lentreprise. Aprs avoir tudi dans les chapitres prcdents linstallation de Windows Server 2003 et les diffrents concepts servant fdrer lorganisation de lentreprise, nous abordons limplmentation de la structure au sens large et, plus prcisment, celle de Puzzmania. Seront nonces dans un premier temps les diverses prconisations concernant Active Directory ainsi que les conditions requises pour son installation. Ensuite, il sera question de la mise en place de la fort et de ses domaines. Pour cela, nous verrons les diffrentes installations possibles dActive Directory. Une fois le ou les domaines implments, nous vrifierons linstallation des contrleurs de domaine et regarderons les objets crs par dfaut aprs linstallation du premier contrleur de domaine. Au besoin, nous supprimerons ou rtrograderons un contrleur de domaine.
18. Limplmentation des serveurs dinfrastructure AD
18.1. Vue densemble

Avant de commencer le dploiement de linfrastructure de lorganisation Puzzmania et la mise en place du service dannuaire Active Directory, voyez cette vue densemble des diffrentes tapes ncessaires la mise en place des contrleurs de domaine :
j
Dtermination des contraintes matrielles : il sagit destimer les serveurs pour pouvoir utiliser les contrleurs de domaine aujourdhui et demain, dans des conditions optimales. Vrification des conditions requises pour linstallation dActive Directory : partitionnement disque, DNS, NTFS, etc. Installation des contrleurs de domaine : il existe quatre mthodes dinstallation et de dploiement dActive Directory, vous utiliserez celle qui correspond le plus votre cadre de travail.
j j
Pour limplmentation des domaines et de la fort, nous adopterons une vision plutt globale. La aussi, plusieurs mthodes de fonctionnement soffrent vous (plusieurs forts, plusieurs domaines ou pas de domaine racine). Il nexiste pas ou peu de mauvaises solutions tant quelles rpondent pleinement vos contraintes dentreprise (par exemple, le nombre de sites et de personnes par site, les contraintes de bande passante). Pour rpondre ses besoins et contraintes, comme vous lavez dans les chapitres prcdents, Puzzmania a choisi de sparer la partie recherche et dveloppement de la partie plus classique appele Corp. Pour que ces domaines restent unifis et volutifs, Puzzmania a choisi de mettre en place un domaine racine.
Pour en savoir plus sur les besoins et les contraintes de Puzzmania, lisez les chapitres Une tude de cas et La conception de linfrastructure logique dActive Directory.
615
Chapitre 18
Limplmentation des serveurs dinfrastructure AD
Fort multidomaine Dans le cas dune conception multidomaine, le domaine racine de la fort peut tre une racine ddie, utilise uniquement pour ladministration de la fort ou, au contraire, contenir des utilisateurs, des groupes et des ressources en plus des comptes dadministration de la fort. Une fois le domaine racine de la fort dploye, le propritaire de la fort cre un ou plusieurs domaines enfants pour terminer la hirarchie de la fort Active Directory. Les domaines enfants peuvent tre crs soit en mettant niveau des domaines Windows NT ou Windows 2000, soit en dployant des domaines supplmentaires. Ce qui nous conduit donc aux tapes suivantes :
j
Installation du premier contrleur de domaine, donc cration de la fort : cette partie du dploiement du domaine racine de la fort est la premire tape du dploiement de linfrastructure de service dannuaire Active Directory dans lorganisation de Puzzmania. Vrification de linstallation du contrleur de domaine et de la mise en place du service dannuaire Active Directory. Installation du deuxime contrleur de domaine sur le mme site : ce stade, on peut dj dire quil commence y avoir une tolrance aux pannes dans la fort, les rplications du service dannuaire se font automatiquement. Installation du premier contrleur de domaine du domaine enfant, une fois le domaine racine install : de prfrence, commencez par le site o les contrleurs de domaine racine sont installs. Vrification de linstallation du contrleur de domaine et de la cration du domaine enfant. Installation des autres contrleurs de domaine du domaine enfant localement ou sur les sites distants. Installation des autres domaines enfants.
j j
j j j
Maintenant que les grandes lignes de limplmentation ont t brosses, entrons dans le vif du sujet.
Dterminer les contraintes matrielles pour les contrleurs de domaine

Lanalyse des besoins dun contrleur de domaine en matire de processeurs dpend essentiellement du nombre dutilisateurs qui ouvriront une session sur le domaine :
j
Pour 500 utilisateurs, le contrleur de domaine naura besoin que dun seul processeur cadenc 850 MHz.
616
Vue densemble
j j
Entre 500 et 1500 utilisateurs, le contrleur de domaine aura besoin de deux processeurs cadencs 850 MHz. Sil y a plus de 1500 utilisateurs, le contrleur de domaine aura besoin de quatre processeurs cadencs 850 MHz. 18. Limplmentation des serveurs dinfrastructure AD
Notez quun processeur 1,6 GHz peut remplacer deux processeurs cadencs 850 MHz. Un processeur 3 GHz peut remplacer quatre processeurs cadencs 850 MHz. Lanalyse des besoins dun contrleur en matire despace disque, comme les besoins en matire de processeur, dpend surtout du nombre dutilisateurs dans le domaine. Tenez compte des lments suivants pour analyser lespace disque ncessaire :
j
Le lecteur qui contient la base de donnes Active Directory (NTDS.dit) exige au moins 400 Mo pour chaque bloc dutilisateurs. Cela englobe lespace requis pour la partition DNS. Le lecteur qui contient les journaux de transactions Active Directory exige au moins 500 Mo. Le lecteur qui contient le dossier SYSVOL exige lui aussi au moins 500 Mo. Le lecteur qui contient les fichiers du systme dexploitation Windows Server 2003 exige environ 2 Go despace disque. Calcul de lespace libre Lors du calcul de lespace disque, vous devez prvoir de lespace disque supplmentaire sur les contrleurs de domaine qui hbergent le catalogue global. Pour une fort multidomaine, chaque domaine supplmentaire ajoute au catalogue global environ 50 % de la taille de sa base de donnes personnelle.
j j j
Lanalyse des besoins en matire de mmoire dpend une fois de plus du nombre dutilisateurs :
j j j
Pour 500 utilisateurs, le contrleur de domaine naura besoin que de 512 Mo de mmoire. Entre 500 et 1500 utilisateurs, le contrleur de domaine aura comme exigence 1 Go de mmoire. Sil y a plus de 1500 utilisateurs, le contrleur de domaine aura alors besoin de 2 Go de mmoire. Dimensionnement de la base de donnes Active Directory Rendez-vous ladresse www.microsoft.com/france/technet/produits/win2000s/info/info .asp?mar=/france/technet/produits/win2000s/info/adsize.html.
617
Chapitre 18
Toute configuration de serveur lheure actuelle peut faire face et rpondre aux besoins de la quasi-totalit des moyennes et grandes entreprises, ce qui laisse des marges de manuvre et de la souplesse dans la configuration. Cest pourquoi il nest pas toujours ncessaire de placer des machines neuves ou puissantes pour les contrleurs de domaine du domaine racine par exemple. Cela dit, nhypothquez pas lavenir en plaant des machines dont la maintenance est trop complique. 18. Limplmentation des serveurs dinfrastructure AD
Les conditions requises pour linstallation dActive Directory

Avant dinstaller Active Directory, vous devez vous assurer que lordinateur devant tre configur comme contrleur de domaine satisfait certaines conditions de configuration relatives au systme dexploitation. De plus, le contrleur de domaine doit tre en mesure daccder un serveur DNS satisfaisant certaines conditions de configuration pour prendre en charge lintgration Active Directory. La liste suivante dcrit la configuration requise pour une installation dActive Directory :
j
Un serveur sur lequel est install Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition : attention, Web Edition ne prend pas en charge Active Directory ! Une partition ou un volume format avec le systme de fichiers NTFS : la partition NTFS est ncessaire pour le dossier SYSVOL. Les privilges administratifs ncessaires pour la cration, le cas chant, dun domaine dans un rseau Windows Server 2003 existant. Le protocole TCP/IP install et configur pour utiliser le systme DNS. Un serveur DNS qui fait autorit pour le domaine.
j j j j
Le serveur DNS qui fait autorit pour le domaine DNS doit prendre en charge les conditions suivantes :
Tableau 18.1 : Conditions de prise en charge du serveur DNS Condition requise Enregistrements de ressources SRV (obligatoires) Description Les enregistrements de ressources SRV sont des enregistrements DNS identifiant les ordinateurs qui hbergent des services spcifiques dans un rseau Windows Server 2003. Le serveur DNS qui prend en charge le dploiement dActive Directory doit galement prendre en charge les enregistrements de ressources SRV. Si ce nest pas le cas, vous devez configurer le systme DNS localement lors du processus dinstallation dActive Directory ou le configurer manuellement aprs linstallation dActive Directory.
618
Dployer le domaine racine de la fort puzzmania.com
Condition requise Mises jour dynamiques (facultatives)
Description Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent en charge les mises jour dynamiques. Le protocole de mise jour dynamique permet aux serveurs et aux clients voluant dans un environnement DNS dajouter et de modifier automatiquement des enregistrements dans la base de donnes DNS, ce qui rduit les tches administratives. Si vous utilisez un logiciel DNS qui prend en charge des enregistrements de ressources SRV, mais pas le protocole de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV manuellement dans la base de donnes DNS. Dans un transfert de zone incrmentiel, les modifications apportes une zone dun serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois recommands car ils permettent dconomiser de la bande passante rseau. En effet, seuls les enregistrements de ressources nouveaux ou modifis sont rpliqus entre des serveurs DNS, au lieu du fichier entier de base de donnes de la zone.
Transferts de zones incrmentiels (facultatives)
Dans la plupart des cas, dans les PME et PMI, ces questions ne se posent pas car le serveur Windows Server 2003 lui-mme gre le DNS.
18.2. Dployer le domaine racine de la fort puzzmania.com

Le premier domaine que nous allons crer dans la fort Active Directory (puzzmania .com) est automatiquement dsign comme tant le domaine racine de la fort. Le domaine racine de la fort constitue le fondement de la fort Active directory. Il est impratif de crer le domaine racine puzzmania.com avant de crer les domaines rgionaux (corp.puzzmania.com et rd.puzzmania.com). Rle de contrleur de domaine Par rapport Windows NT 4.0 Server, qui distingue contrleur de domaine principal et contrleur de domaine secondaire, Windows Server 2003 considre que tous les contrleurs de domaine sont gaux en droits dans le cadre dun systme de rplication multimatre. Avant de passer linstallation du premier contrleur de domaine de la fort, il est intressant daborder les diffrentes faons dimplmenter Active Directory. Linstallation dActive Directory peut se raliser de quatre manires :
619
Chapitre 18
Utilisation de lAssistant Installation dActive Directory : cette mthode convient la majeure partie des situations. Nous laborderons en dtail et lutiliserons tout au long de notre tude de cas sur lensemble des contrleurs de domaine, lexception du contrleur SNCERCDC03 (pour ce dernier, nous emploierons une autre mthode uniquement pour montrer une alternative dinstallation). Cet assistant prsente une suite de pages dans lesquelles il faudra saisir les informations que nous allons dtailler lors de linstallation de notre premier contrleur de domaine SNCERCDC01. Lassistant permet dinstaller tous les contrleurs de domaine de manire identique, tout en limitant le nombre derreurs. Utilisation dun fichier de rponses pour lancer linstallation sans assistance : cela permet dinstaller Active Directory distance (nous naborderons pas cette mthode dans ce chapitre vu le faible nombre de contrleurs utilis pour Puzzmania). Cette mthode reste toutefois intressante pour les entreprises qui possdent un nombre important dagences ayant des contrleurs de domaine sur site. Utilisation du rseau ou dun support de sauvegarde : attention, cette installation ne permet dinstaller Active Directory que sur des contrleurs de domaine supplmentaires ! Utilisation de lAssistant Configurer votre serveur : une manire supplmentaire dinstaller le premier contrleur de domaine uniquement.
Le processus dinstallation dActive Directory

Pour dmarrer le processus dinstallation dActive Directory, lancez lAssistant Installation dActive Directory. Lors de cette tche, un certain nombre de modifications sont apportes au serveur Windows Server 2003 sur lequel est install Active Directory. La connaissance de ces modifications permet de rsoudre les problmes susceptibles de survenir aprs linstallation. Active Directory Pour avoir une vue densemble dActive Directory, rendez-vous ladresse http://support.microsoft.com/default.aspx?scid=kb;fr;196464. Vous trouverez des informations sur larchitecture Active Directory ladresse
www.microsoft.com/france/technet/produits/win2000s/info/info.asp?mar/france/technet /produits/win2000s/info/adarch.html.
Le processus dinstallation excute les tches suivantes :

j j j
Dmarrage du protocole dauthentification Kerberos, version 5. Dfinition de la stratgie de lautorit de scurit locale (LSA, Local Security Authority) : le paramtre indique que ce serveur est un contrleur de domaine. Cration de partitions Active Directory : une partition de rpertoire est une partie de lespace de noms du rpertoire. Chaque partition contient une hirarchie, ou une
620
sous-arborescence, des objets dannuaire de larborescence de rpertoire. Lors de linstallation, les partitions suivantes sont cres sur le premier contrleur de domaine dune fort partition dannuaire de schma ; partition dannuaire de configuration ; 18. Limplmentation des serveurs dinfrastructure AD partition dannuaire de domaine ; zone DNS de la fort ; partition de la zone DNS du domaine.
j j
Mises jour des partitions par lintermdiaire de la rplication sur chaque contrleur de domaine subsquent cr dans la fort. Cration de la base de donnes Active Directory et des fichiers journaux : lemplacement par dfaut de la base de donnes et des fichiers journaux est systemroot\Ntds. Amliorer les performances Pour amliorer les performances, placez la base de donnes et les fichiers journaux sur des disques durs distincts. De cette manire, les oprations de lecture et dcriture ralises dans la base de donnes et dans les fichiers journaux nentrent pas en concurrence pour les ressources en entre et en sortie.
Cration du domaine racine de la fort : si le serveur est le premier contrleur de domaine du rseau, le processus dinstallation cre le domaine racine de la fort, puis attribue les rles matres dopration au contrleur de domaine, notamment lmulateur de contrleur principal de domaine (PDC, Primary Domain Controller) ; le matre des identificateurs relatifs (RID, Relative Identifier) ; le matre dattribution de noms de domaine ; le contrleur de schma ; le matre dinfrastructure. Attribution des rles matres dopration Vous pouvez attribuer les rles matres dopration un autre contrleur de domaine lorsque vous ajoutez des contrleurs de domaine rpliqus au domaine.
Cration du dossier volume systme partag : cette structure de dossiers est hberge sur tous les contrleurs de domaine Windows Server 2003. Elle contient les dossiers suivants
621
Chapitre 18
le dossier partag SYSVOL, qui contient des informations relatives la stratgie de groupe ; le dossier partag Net Logon, qui contient les scripts de connexion des ordinateurs qui ne sont pas quips de Windows Server 2003. 18. Limplmentation des serveurs dinfrastructure AD
j
Configuration de lappartenance du contrleur de domaine un site appropri : si ladresse IP du serveur que vous souhaitez promouvoir contrleur de domaine se trouve dans la plage dadresses dun sous-rseau donn dfini dans Active Directory, lassistant configure lappartenance du contrleur de domaine au site associ au sous-rseau. Si aucun objet de sous-rseau nest dfini ou si ladresse IP du serveur ne se trouve pas dans la plage des objets de sous-rseau prsents dans Active Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier site configur automatiquement lorsque vous crez le premier contrleur de domaine dans une fort).
Pour plus dinformations sur les sites sous Windows Server 2003, lisez le chapitre La conception de la topologie des sites du volume I et le chapitre Ladministration et la gestion des sites du volume II de cet ouvrage. LAssistant Installation dActive Directory cre un objet serveur pour le contrleur de domaine dans le site appropri. Lobjet serveur contient les informations ncessaires pour la rplication. Cet objet serveur contient une rfrence lobjet ordinateur de lunit dorganisation Domain Controllers qui reprsente le contrleur de domaine en cours de cration. Objet serveur Si un objet serveur pour ce domaine existe dj dans le conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine, lassistant le supprime, puis le recre car il suppose que vous rinstallez Active Directory.
j
Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichiers : cela permet de contrler laccs des utilisateurs aux objets Active Directory. Application du mot de passe fourni par lutilisateur au compte administrateur : vous utilisez ce compte pour lancer le contrleur de domaine en mode Restauration des services dannuaire.
Installer le premier contrleur de domaine

Une fois linstallation des serveurs termine, installez le premier contrleur de domaine.
622
Pour apprendre installer des serveurs, lisez le chapitre Linstallation et le dploiement de Windows Server 2003. LAssistant Installation Active Directory Windows Server 2003 apporte des amliorations lAssistant Installation Active Directory. Lorsque vous installez le premier contrleur de domaine dans un domaine, vous pouvez autoriser lassistant installer et configurer automatiquement le service DNS intgr Active Directory. Mme sil reste quand mme certains rglages effectuer manuellement par la suite, lassistant permet de gagner du temps et dviter des erreurs de configuration. Que fait lassistant sur le premier contrleur de domaine de la racine de la fort (SNCERCDC01) ?
j j
Il demande ladministrateur de vrifier linstallation et la configuration du service DNS. Il configure la rsolution de noms DNS rcursive par redirection, en ajoutant les adresses IP des entres existantes pour le serveur DNS prfr et le serveur DNS auxiliaire la liste des serveurs DNS de longlet Redirecteur. Cet onglet est accessible sur la page des proprits du contrleur de domaine dans le composant logiciel enfichable DNS. Il configure la rsolution des noms rcursive par indications de racine, en ajoutant les indications de racine configures sur le serveur DNS prfr. Il configure le serveur DNS prfr de manire ce quil pointe sur le serveur DNS qui sexcute. Serveur contrleur de domaine Contrairement Windows NT 4.0 Server, Windows Server 2003 ne permet pas de spcifier en cours dinstallation que la machine sera un contrleur de domaine. Chaque serveur Windows Server 2003 est install en tant que serveur autonome ou en tant que serveur membre dun domaine. Une fois linstallation termine, vous pouvez promouvoir le serveur au rang de contrleur de domaine.
j j
Linstallation dtaille dActive Directory

1. Cliquez sur Dmarrer/Tous les programmes/Outils dadministration/Grer votre serveur.
623
Chapitre 18
Figure 18.1 : Assistant Grer votre serveur
2. Dans lAssistant Grer votre serveur, cliquez sur Ajouter ou supprimer un rle. 3. LAssistant Configurer votre serveur se lance. Cliquez sur Suivant. Lassistant inspecte votre configuration afin dy trouver les rles dj installs sur votre serveur. 4. Une fois linspection termine, cliquez sur Configuration personnalise. 5. Lassistant ouvre la fentre Rle du serveur dans laquelle se trouve lensemble des rles configurs ou non. Slectionnez Contrleur de domaine (Active Directory), puis cliquez sur Suivant.
Figure 18.2 : Assistant Configurer votre serveur Rle Contrleur de domaine (Active
Directory) 624
6. Lassistant ouvre une fentre Aperu des slections dans laquelle se trouve un rsum. Dans ce rsum doit figurer la mention "Excuter lAssistant Installation dActive Directory pour configurer ce serveur en tant que contrleur de domaine". Cliquez sur Suivant. 7. La fentre Assistant Installation Active Directory dmarre. Cliquez sur Suivant.
Figure 18.3 : Assistant Installation dActive Directory
8. Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. 9. Sur la page Type de contrleur de domaine, slectionnez loption Contrleur de domaine pour un nouveau domaine.
Figure 18.4 : Type de contrleur de domaine
625
Chapitre 18
10. Sur la page Crer un nouveau domaine, slectionnez loption Domaine dans une nouvelle fort, puis cliquez sur Suivant.
Figure 18.5 : Crer un nouveau domaine
11. Sur la page Installer ou configurer le service DNS, slectionnez Non, je veux installer et configurer le service DNS sur cet ordinateur. Cliquez sur suivant. 12. Sur la page Nouveau nom de domaine, saisissez le nom du domaine puzzmania.com dans la zone Nom DNS complet pour le nouveau domaine, puis cliquez sur Suivant.
Figure 18.6 : Nom de domaine DNS pour le domaine
propos des minuscules et des majuscules (RFC 1034) Les noms de domaine peuvent tre enregistrs en minuscules, en majuscules ou dans un mlange des deux. Cependant, le RFC prcise que, quelle que soit la faon dont le nom est enregistr, toutes les oprations sont insensibles la casse.
626
13. Patientez jusqu laffichage de la page Nom de domaine NetBIOS. Il est recommand dutiliser le nom NetBIOS prconis par dfaut (PUZZMANIA). Cliquez sur Suivant.
Figure 18.7 : Nom de domaine NetBIOS
14. Sur la page Dossiers de la base de donnes et du journal, saisissez le chemin de lemplacement de la base de donnes Active Directory dans la zone Dossier de la base de donnes. Saisissez le chemin de lemplacement du journal dans la zone Dossier du journal. Cliquez sur Suivant.
Figure 18.8 : Dossiers de la base de donnes et du journal
Dossiers de la base de donnes et du journal Bien quil soit recommand de placer ces deux dossiers sur des disques durs diffrents, il est prfrable pour une entreprise de taille moyenne possdant des contrleurs de domaine de puissance correcte de garder ces deux dossiers lemplacement dorigine.
627
Chapitre 18
15. Sur la page Volume systme partag, saisissez lemplacement du dossier SYSVOL. Le volume systme partag doit se trouver sur une partition ou un volume formats NTFS. Cliquez sur Suivant. Il est prfrable pour de moyennes entreprises de garder SYSVOL son emplacement dorigine. 16. Sur la page Autorisations, slectionnez les permissions par dfaut des objets utilisateur et groupe, et cliquez sur Suivant.
Figure 18.9 : Autorisations
17. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez de mot de passe que vous souhaitez affecter ce compte dadministrateur sur le serveur pour le cas o il serait ncessaire de dmarrer lordinateur en mode Restauration des services dannuaire. Confirmez le mot de passe et cliquez sur Suivant.
Figure 18.10 : Mot de passe administrateur de restauration des services dannuaire
628
18. Sur la page Rsum, les options que vous avez slectionnes apparaissent. Revoyez le contenu de cette page avant de cliquer sur Suivant. Lassistant met quelques minutes configurer les composants Active Directory. Si vous navez pas configur ladresse IP statique pour le serveur, vous serez invit le faire ce moment-l.
Figure 18.11 :
Rsum
Voici le rsum de linstallation du contrleur de domaine que nous venons dinstaller.

Configurer ce serveur en tant que premier contrleur de domaine dune nouvelle fort darborescences de domaines. Le nouveau nom de domaine est puzzmania.com. Cest aussi le nom de la nouvelle fort. Le nom NetBIOS du domaine est PUZZMANIA. Dossier de la base de donnes : C:\WINDOWS\NTDS Dossier du fichier journal : C:\WINDOWS\NTDS Dossier Sysvol : C:\WINDOWS\SYSVOL Le service DNS sera install et configur sur cet ordinateur. Cet ordinateur sera configur pour utiliser ce serveur DNS en tant que serveur DNS prfr. Le mot de passe du nouvel administrateur de domaine sera le mme que celui de ladministrateur de cet ordinateur.
19. Lorsque la page Fin de lAssistant Installation de Active Directory apparat, cliquez sur Terminer, puis sur Redmarrer maintenant.
629
Chapitre 18
Figure 18.12 : Fin dinstallation
Une fois que le serveur a redmarr, la fentre Grer votre serveur indique quil a t configur avec les rles contrleur de domaine (Active Directory) et serveur DNS. Le premier contrleur de domaine est install. ce stade de limplmentation, ce contrleur joue le contrleur de domaine du domaine, mais galement de la fort. Il possde donc pour le moment tous les rles matres dopration ainsi que le catalogue global.
Vrier le premier contrleur de domaine

Le processus dinstallation dActive Directory cre un certain nombre dobjets par dfaut dans la base de donnes Active Directory. Il cre galement le dossier systme partag ainsi que la base de donnes et les fichiers journaux. Vrifiez linstallation dActive Directory lorsque lassistant a termin linstallation et que le nouveau contrleur de domaine redmarre. Emplacement de la base de donnes et des fichiers journaux Si vous avez modifi lemplacement de la base de donnes et des fichiers journaux de lannuaire lors de linstallation, remplacez %systemroot% par lemplacement correct. Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers partags ncessaires ont t crs. Si le dossier SYSVOL na pas t cr correctement, ses donnes (stratgie de groupe et scripts, par exemple) ne seront pas rpliques entre les contrleurs de domaine.
630
Vrier la structure de dossiers

Pour vrifier que la structure de dossiers a t cre, excutez la procdure suivante : 1. Cliquez sur Dmarrer, puis sur Excuter. 2. Saisissez %systemroot%\sysvol et cliquez sur OK. 18. Limplmentation des serveurs dinfrastructure AD LExplorateur Windows affiche le contenu du dossier SYSVOL, qui doit runir les sous-dossiers domain, staging, staging areas et sysvol.
Figure 18.13 : Dossier SYSVOL
Vrier les dossiers partags

Pour vrifier que les dossiers partags ncessaires ont t crs, saisissez net share lInvite de commandes et appuyez sur []. Les partages NETLOGON et SYSVOL doivent apparatre.
Figure 18.14 : net share
Tableau 18.2 : Partage NETLOGON et SYSVOL Nom de partage NETLOGON SYSVOL Enregistrement %systemroot%\SYSVOL\sysvol \domaine\SCRIPTS %systemroot%\SYSVOL\sysvol Remarque Partage de serveur daccs Partage de serveur daccs
631
Chapitre 18
Vrier la base de donnes et les chiers journaux dActive Directory

Pour vrifier que la base de donnes et les fichiers journaux dActive Directory ont t crs, cliquez sur Dmarrer, sur Excuter, saisissez %systemroot%\ntds et cliquez sur OK. LExplorateur Windows affiche le contenu du dossier Ntds, qui doit runir les fichiers suivants j Ntds.dit : fichier de la base de donnes de lannuaire.
j j
Edb.* : fichiers journaux des transactions et des points de vrification. Res*.log : fichiers journaux rservs.
Figure 18.15 : %systemroot%ntds
Lors de linstallation dActive Directory sur le premier contrleur de domaine dun nouveau domaine, ce qui est le cas sur SNCERCDC01 pour le domaine puzzmania, plusieurs objets par dfaut sont crs. Ces objets peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des units dorganisation. Affichez ces objets par dfaut laide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Figure 18.16 : Objets par dfaut
632
Nous aborderons plus en dtail les objets crs par Active Directory un peu plus loin dans ce chapitre.
Vrier la conguration DNS

Si vous autorisez lAssistant Installation dActive Directory configurer le DNS automatiquement, et si votre installation prend en charge les mises jour dynamiques, le service Netlogon enregistre un certain nombre dinscriptions de ressources SRV par dfaut sur le serveur DNS. Bien que la capture dimage suivante montre lensemble des trois domaines, il est possible de voir les inscriptions DNS qui sont ncessaires aux clients pour localiser les htes qui fournissent les services quils sollicitent. 18. Limplmentation des serveurs dinfrastructure AD
Figure 18.17 : Les inscriptions par dfaut pour le serveur scnercdc01
Voici les tapes permettant de vrifier la configuration DNS : 1. Cliquez sur Dmarrer/Outils dadministration, puis slectionnez DNS. 2. Dans larborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, slectionnez puzzmania.com et dveloppez les nuds _msdcs, _sites, _tcp et _udp pour voir les inscriptions de ressources par dfaut. Le service Netlogon cre un fichier journal qui contient les inscriptions de ressources SRV. Ce fichier est stock dans %systemroot%\system32\config\Netlogon.dns. 633
Chapitre 18
Figure 18.18 : Fichier journal Netlogon.dns
Vrier lintgration du DNS Active Directory

Si vous autorisez lAssistant Installation dActive Directory configurer automatiquement un DNS de base et que la solution DNS prenne en charge les mises jour dynamiques, lassistant configure une zone de recherche directe intgre Active Directory prenant en compte le nom du domaine. La configuration de cette zone modifie lemplacement de stockage des donnes de la zone, qui passent du fichier de zone Active Directory sur le serveur. Si vous souhaitez vrifier lintgration de DNS, affichez les proprits de la zone DNS et du serveur DNS. Voici les tapes permettant deffectuer cette vrification : 1. Cliquez sur Dmarrer/Outils dadministration, puis slectionnez DNS. 2. Dans larborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, slectionnez puzzmania.com. Cliquez du bouton droit de la souris sur la zone et choisissez Proprits dans le menu contextuel. Une bote de dialogue apparat. 3. Sous longlet Gnral, vrifiez que longlet Type indique Intgre Active Directory. La zone Mises jour dynamiques doit prsenter les options Non scuris et Scuris. Longlet Scurit est prsent et vous permettra de configurer la scurit des mises jour dynamiques. Cliquez sur OK.
634
Figure 18.19 : Donnes enregistres dans Active Directory
18. Limplmentation des serveurs dinfrastructure AD 4. Dans larborescence de la console, cliquez du bouton droit de la souris sur le serveur DNS et choisissez Proprits dans le menu contextuel. Une bote de dialogue apparat. 5. Sous longlet Avanc, vrifiez que, dans la zone intitule Charger les donnes de zone au dmarrage, loption partir dActive Directory et du registre est active. Cliquez sur OK.
Vrier le mode Restauration des annuaires

Cette option damorage permet de restaurer Active Directory sur un contrleur de domaine. Elle nest pas disponible pour les serveurs membres. Vrifiez quelle est oprationnelle avec le mot de passe que vous avez saisi au cours de linstallation Active Directory. Vous en aurez peut-tre besoin au cours des oprations de maintenance ou de restauration. Voici les tapes raliser : 1. Redmarrez votre serveur et appuyez sur [F8] lorsque vous voyez apparatre le menu damorage. 2. Dans le menu doptions avances de Windows, slectionnez Mode restauration Active Directory en vous servant des touches de dfilement du clavier. Appuyez sur []. 3. Le menu damorage rapparat avec la mention "Mode restauration Active Directory" en lettres bleues au bas de lcran. Slectionnez le systme dexploitation dmarrer et appuyez sur []. Le systme redmarre en mode Restauration des services dannuaire. Cela peut prendre quelques minutes.
635
Chapitre 18
4. Dans la fentre de bienvenue de Windows, cliquez sur [Ctrl]+[Alt]+[Suppr]. Ouvrez une session sur lordinateur local en utilisant le nom de compte administrateur (spcifi au cours de la configuration du serveur) et le mot de passe du mode Restauration (spcifi pendant linstallation dActive Directory). Cliquez sur OK. Nom de compte et mot de passe Il nest pas possible dutiliser le nom et le mot de passe administrateur Active Directory car le service est dconnect et la vrification de compte ne peut avoir lieu. Cest la base de compte SAM qui intervient pour le contrle des accs Active Directory sur lordinateur pendant que ce dernier est dconnect. 5. Un message vous avertit que Windows fonctionne en mode sans chec. Cliquez sur OK pour dmarrer le contrleur de domaine en mode sans chec. 6. Pour retourner au fonctionnement normal dActive Directory, redmarrez votre serveur.
Vrier les journaux dvnements

Aprs avoir install Active Directory, jetez un il dans les journaux des vnements pour prendre connaissance des ventuelles erreurs produites lors du processus dinstallation. Les messages derreur gnrs lors de linstallation sont enregistrs dans les journaux Systme, Service dannuaire, Serveur DNS et Service de rplication de fichier. 1. Slectionnez Dmarrer, puis cliquez du bouton droit de la souris sur le Poste de travail. 2. Dveloppez le nud Observateur dvnements, puis parcourez lensemble des journaux.
Figure 18.20 : Observateur dvnements
636
Congurer le serveur de temps

La synchronisation des horloges entre les contrleurs de domaine dun domaine Active Directory est capitale car le protocole Kerberos sappuie sur cette horloge pour valider les tickets dauthentification. Le contrleur de domaine ayant le rle dmulateur PDC, cest--dire scnercdc01 pour le moment dans le domaine racine, est automatiquement considr par les autres contrleurs de domaine du mme domaine comme la source de temps utiliser pour la synchronisation. Les postes clients Windows 2000 ou XP et les serveurs membres Windows 2000 ou 2003 se synchronisent automatiquement avec un contrleur du domaine auquel ils appartiennent. Les postes clients antrieurs Windows 2000 ou XP et les serveurs membres antrieurs Windows 2000 ou 2003 devront tre synchroniss avec la commande Net Time ou le service horaire prsent dans les ressources kit respectif. Il ny a aucune action prvoir dans larchitecture Active Directory pour que les serveurs et les postes conservent en permanence leurs horloges synchronises. Le seul contrleur sur lequel il est ncessaire dintervenir, si lon souhaite que lheure systme soit exacte est lmulateur PDC du domaine racine de la fort. Pour cela, il faut indiquer une rfrence externe accessible via le protocole NTP sur Internet ou sur une source interne
j
Sur Internet via le protocole NTP : dans ce cas, il faut permettre lmulateur PDC de rsoudre les noms DNS vers Internet et faire en sorte quil puisse dialoguer avec un serveur NTP externe via le port TCP/IP 123. Sur une source interne via le protocole NTP : il faudra dans ce cas permettre lmulateur PDC de rsoudre le nom DNS de la rfrence externe et faire en sorte quil puisse dialoguer avec le serveur NTP interne via le port TCP/IP 123.
Il est possible de synchroniser lheure de lmulateur PDC avec celle dun serveur externe en excutant la commande net time conformment la syntaxe net time \\NomServeur /setsntp:SourceHeure. Cela permet tous les ordinateurs de la fort qui excutent Windows Server 2003, Windows 2000 ou Windows XP dtre la mme heure, quelques secondes prs. Les ordinateurs excutant une version de Windows antrieure doivent disposer de la commande de synchronisation partir dune rfrence horaire lors de louverture de session utilisateur (script de login), conforme la syntaxe net time \\NomServeur /set.
Congurer le service de temps Windows pour utiliser une horloge matrielle interne
Pour configurer le contrleur de domaine sans utiliser de source de temps externe, il faut modifier lindicateur dannonce sur le serveur mulateur PDC. Cette configuration force le matre mulateur PDC se dclarer en tant que source de temps fiable et utilise lhorloge temps rel CMOS (Complementary Metal Oxide Semiconductor) intgre. 637
Chapitre 18
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config
Tableau 18.3 : Configuration du service de temps Windows pour utiliser une horloge
matrielle interne 18. Limplmentation des serveurs dinfrastructure AD

Paramtre AnnounceFlags Valeur A Observation Lmulateur PDC ne doit pas tre configur pour se synchroniser avec lui-mme. Si lmulateur PDC est configur pour se synchroniser avec lui-mme, plusieurs vnements sont enregistrs dans le journal dapplication. Ces vnements sont des rappels pour utiliser une source de temps externe et peuvent tre ignors.
Congurer le service de temps Windows pour utiliser une source de temps externe
Changer le type de serveur en NTP
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Parameters
Tableau 18.4 : Changement du type de serveur en NTP Paramtre Type Valeur NTP Observation
Dnir lAnnounceFlags
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config
Tableau 18.5 : Dfinition de lAnnounceFlags Paramtre AnnounceFlags Valeur 5 Observation
Activer NTPServer
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders
638
Tableau 18.6 : Activation de NTPServer Paramtre NTPServer Valeur Homologues Observation Homologues est un espace rserv pour une liste limite dhomologues partir desquels votre ordinateur obtient les informations horaires. Chaque nom DNS rpertori doit tre unique. Vous devez ajouter ,0x1 la fin de chaque nom DNS.
Slectionner lintervalle dinterrogation

j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders\NtpClient
Tableau 18.7 : Slection de lintervalle dinterrogation Paramtre SpecialPoll Interval Valeur TempsEn Secondes Observation TempsEnSecondes est un espace rserv pour le nombre de secondes souhait entre chaque interrogation. La valeur recommande est 900. Cette valeur configure le serveur de temps pour une interrogation toutes les 15 minutes.
Congurer les paramtres de correction de temps

j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Configq
Tableau 18.8 : Configuration des paramtres de correction de temps Paramtre Valeur Observation TempsEnSecondes est un espace rserv pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous slectionnez dpend de lintervalle dinterrogation, des conditions rseau et de la source de temps externe. TempsEnSecondes est un espace rserv pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous slectionnez dpend de lintervalle dinterrogation, des conditions rseau et de la source de temps externe. MaxPos Phase TempsEn Correction Secondes
MaxNeg Phase TempsEn Correction Secondes
639
Chapitre 18
Vrier la rsolution de noms rcursive sur le premier contrleur de la fort

18. Limplmentation des serveurs dinfrastructure AD La rsolution de noms DNS rcursive est configure automatiquement durant le processus dinstallation dActive Directory. Si la conception spcifie une configuration diffrente, vous pouvez utiliser le composant logiciel enfichable DNS ou Dnscmd.exe pour modifier les rglages. Utilisez le composant logiciel enfichable DNS pour vrifier la rsolution de noms rcursive du serveur DNS sur le premier contrleur du domaine racine de la fort. Selon la mthode utilise dans votre organisation, reportez-vous aux informations fournies dans le tableau suivant :
Tableau 18.9 : Vrification de la rsolution de noms rcursive du serveur DNS Mthode Rsolution de noms rcursive par indications de racine Configuration Les indications de racine sont la mthode recommande pour la rsolution de noms rcursive dans un environnement Windows Server 2003. Aucune configuration supplmentaire nest requise. Lorsque le serveur DNS spcifi comme serveur DNS prfr durant le processus dinstallation est correctement configur, les indications de racine sont automatiquement configures. Pour vrifier les indications de racine en utilisant le composant logiciel enfichable DNS, dans larborescence de la console, cliquez du bouton droit de la souris sur le nom du contrleur de domaine, puis choisissez Proprits. Sur la page Proprits du contrleur de domaine, affichez les indications de racine en cliquant sur longlet Indication de racine. Nutilisez les redirecteurs que si la conception de votre organisation le spcifie. Les indications de racine sont la mthode recommande pour la rsolution de noms rcursive dans un environnement Windows Server 2003. Redirigez les requtes non rsolues vers des serveurs DNS spcifis. Pour tester la redirection en utilisant le composant logiciel enfichable DNS, dans larborescence de la console, cliquez du bouton droit de la souris sur le nom du contrleur de domaine, puis choisissez Proprits. Sous longlet Redirecteur, observez la liste dadresses des redirecteurs et vrifiez que les adresses IP correspondent celles spcifies dans votre conception. Aucune configuration supplmentaire nest requise. Dans cet environnement, si vous souhaitez configurer un serveur DNS interne pour rsoudre les requtes pour des noms externes, configurez ce serveur DNS de manire rediriger les requtes non rsolues vers un serveur externe, par exemple dans votre rseau de primtre, ou un serveur hberg par un prestataire de service Internet.
Rsolution de noms rcursive par redirection
Aucune infrastructure DNS existante
640
Aprs linstallation du premier contrleur de domaine
18.3. Aprs linstallation du premier contrleur de domaine

Lors de linstallation dActive Directory sur le premier contrleur de domaine dun nouveau domaine, plusieurs objets par dfaut sont crs. Ces objets peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des units dorganisation. Affichez ces objets par dfaut laide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Le tableau suivant prsente la fonction de certains de ces objets par dfaut :
Tableau 18.10 : Objets crs par dfaut dans un domaine Active Directory
Objet Builtin Computers Users Contrleur de domaine Oprateurs Type dobjet Domaine intgr Conteneur Conteneur Unit organisationnelle (OU) Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local prdfini Groupe de scurit local au domaine Groupe de scurit local au domaine Emplacement Racine du domaine Racine du domaine Racine du domaine Racine du domaine Interne Fonction Conteneur par dfaut des groupes qui permettent dadministrer le serveur Conteneur par dfaut des comptes dordinateur Conteneur par dfaut des comptes dutilisateur Conteneur par dfaut des contrleurs de domaine Windows Server 2003 Personnes pouvant administrer les groupes utilisateurs/les groupes du domaine Personne pouvant administrer lordinateur/le domaine Personnes pouvant passer outre les permissions de fichiers pour faire des sauvegardes Personnes pouvant accder lordinateur/ au domaine avec des privilges trs limits Personnes pouvant administrer les imprimantes du domaine Gre la rplication de fichiers dans un domaine Personnes pouvant administrer les serveurs du domaine Utilisateurs ordinaires
Administrateurs Oprateurs de sauvegarde Invits
Interne Interne
Interne
Oprateurs dimpression Duplicateurs Oprateurs de serveurs Utilisateurs Utilisateurs DHCP DnsAdmins
Interne Interne Interne Interne
Conteneur Personnes pouvant accder en lecture Users seule au serveur DHCP Conteneur Administrateurs DNS Users
641
Chapitre 18
Objet Serveurs RAS et IAS Utilisateurs WINS
Type dobjet Groupe de scurit local au domaine Groupe de scurit local au domaine Groupe de scurit global Groupe de scurit Global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Utilisateur Utilisateur Utilisateur
Emplacement
Fonction
Conteneur Serveurs RAS et IAS Users Conteneur Personnes pouvant accder en lecture Users seule WINS Conteneur Certification dentreprise et agents de Users renouvellement Conteneur Clients DNS pouvant faire des mises Users jour dynamiques pour le compte dautres clients (serveurs DHCP par exemple) Conteneur Administrateurs du domaine Users Conteneur Stations et serveurs, membres du Users domaine Conteneur Contrleurs du domaine Users Conteneur Tous les invits du domaine Users Conteneur Tous les utilisateurs du domaine Users Conteneur Administrateurs dsigns de lentreprise Users Conteneur Administrateurs dsigns du schma Users Conteneur Compte prdfini pour ladministration de Users lordinateur/du domaine Conteneur Compte prdfini pour les accs du type Users Invit lordinateur/au domaine Conteneur Compte prdfini pour les accs Users anonymes IIS (Internet Information Services) Conteneur Compte prdfini pour les accs Users anonymes aux applications IIS Out-ofprocess Conteneur Compte du service KDC Users
diteurs de certificats DnsUpdateProxy
Admins du domaine Ordinateurs du domaine Contrleurs de domaine Invits du domaine Utilisa. du domaine Administrateurs de lentreprise Administrateurs du schma Administrateur Invit IUSR_xxx
IWAM_xxx
Utilisateur
Krbtgt
Utilisateur

Lors de linstallation dActive Directory, vous risquez de rencontrer certains problmes. Ils peuvent tre le rsultat dinformations didentification de scurit invalides, de lutilisation de noms qui ne sont pas uniques, dun rseau qui nest pas fiable ou de ressources insuffisantes. Le tableau suivant dcrit certains problmes courants que vous
642
tes susceptible de rencontrer lors de linstallation dActive Directory, ainsi que les stratgies permettant de les rsoudre :
Tableau 18.11 : Problmes lis linstallation dActive Directory Problme Accs refus lors de linstallation ou de lajout de contrleurs de domaine Solution
Fermez la session, puis ouvrez-la de nouveau laide dun compte appartenant au groupe Administrateurs local. Fournissez les informations didentification dun compte dutilisateur membre des groupes Admins du domaine et Administrateurs de lentreprise. Modifiez le nom de sorte quil soit unique. Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez promouvoir au titre de contrleur de domaine et au moins lun des contrleurs de domaine du domaine. Utilisez la commande ping partir de lInvite de commandes. Pour tester la connexion un contrleur de domaine du domaine, vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur du domaine en vous connectant un contrleur de domaine laide de son nom DNS. Pour cela, lInvite de commandes, saisissez le nom de domaine pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter au contrleur de domaine. Vous pouvez galement vous assurer que le systme DNS a t configur correctement en vrifiant les enregistrements A que les contrleurs de domaine enregistrent dans la base de donnes DNS. Augmentez la taille de la partition ou installez la base de donnes et les fichiers journaux Active Directory sur des partitions distinctes.
Les noms de domaine DNS ou NetBIOS ne sont pas uniques Le domaine ne peut pas tre contact
Espace disque insuffisant
Windows Server 2003 propose un ensemble doutils pour diagnostiquer et rsoudre les problmes susceptibles de survenir durant linstallation dActive Directory :
j j
Le journal du service dannuaire. Netdiag.exe : cet utilitaire permet de tester la connectivit rseau. Excutez netdiag .exe chaque fois quun ordinateur rencontre un problme sur le rseau. Cet utilitaire essaiera de diagnostiquer le problme. Il peut mme baliser les zones problmatiques pour une inspection plus approfondie. Il est capable de remdier des problmes de DNS simples grce son commutateur /fix.
643
Chapitre 18
Figure 18.21 : netdiag.exe

j
Dcdiag.exe : cet outil permet dexaminer les contrleurs de domaine. Il analyse ltat des contrleurs de domaine de la fort ou dune entreprise et dcrit les problmes ventuels. Dcdiag.exe lance une srie de tests pour vrifier diffrentes fonctions dActive Directory. Saisissez la commande dcdiag /s:mon_controleur_domaine /test:connectivity depuis une Invite de commandes pour tester la connectivit un autre contrleur de domaine.
Figure 18.22 : dcdiag : test de connectivit

j j
Les fichiers Dcpromoui.log, Dcpromos.log et Dcpromo.log. Ntdsutil.exe : il sagit de loutil de diagnostic dActive Directory. Il propose des services de gestion dActive Directory. Attention, utilisez cet utilitaire trs puissant avec prcaution !
Saisissez un nom dutilitaire suivi de /? pour en savoir plus son sujet. Ces outils sont puissants et complets. Avant dutiliser certains dentre eux, il faut installer les supports tools qui se trouvent dans la partie Support\tools\suptools.msi du CD-Rom dinstallation de Windows Server 2003. 644
Modier le nom dun contrleur de domaine

Dans Windows Server 2003, vous avez la possibilit de renommer un contrleur de domaine aprs lavoir install. Pour cela, vous devez disposer des droits Administrateurs du domaine. Lorsque vous renommez un contrleur de domaine, vous devez ajouter le nouveau nom et supprimer lancien des bases de donnes DNS et Active Directory. Vous pouvez renommer un contrleur de domaine uniquement si le niveau fonctionnel du domaine est dfini sur Windows Server 2003. Pour renommer un contrleur de domaine, procdez ainsi : 1. Dans le Panneau de configuration, double-cliquez sur licne Systme. 2. Dans la bote de dialogue Proprits Systme, sous longlet Nom de lordinateur, cliquez sur Modifier.
Figure 18.23 : Modifier le nom dun contrleur de domaine
18. Limplmentation des serveurs dinfrastructure AD 645
3. Lorsque vous y tes invit, confirmez que vous souhaitez renommer le contrleur de domaine. 4. Entrez le nom complet de lordinateur (notamment le suffixe DNS principal), puis cliquez sur OK. Indisponibilit du contrleur Le fait de renommer un contrleur de domaine risque de le rendre provisoirement indisponible : ni les utilisateurs ni les ordinateurs ne pourront y accder. Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son suffixe DNS principal. Cependant, cette modification ne permet pas de dplacer le contrleur de domaine vers un nouveau domaine Active Directory. Par exemple, si vous renommez le serveur stlsrcdc01.corp.puzzmania.com en sncercdc04.puzzmania.com, lordinateur reste un contrleur de domaine pour le domaine corp.puzzmania.com, mme si le suffixe DNS principal est puzzmania.com. Pour dplacer un contrleur de
Chapitre 18
domaine vers un autre domaine, vous devrez pralablement "rtrograder" le contrleur de domaine, puis le promouvoir au titre de contrleur de domaine dans le nouveau domaine.
Supprimer un contrleur de domaine dans Active Directory

Dans Windows Server 2003, vous avez la possibilit de supprimer un contrleur de domaine qui nest plus ncessaire ou qui a t endommag. Sil sagit du dernier contrleur de domaine, le domaine va tre supprim de la fort lors du retrait du contrleur. Si ce domaine est le dernier de la fort, celle-ci sera galement supprime. Rtrograder un contrleur de domaine principal Windows NT 4.0 Server permet de rtrograder un contrleur de domaine principal pour en faire un contrleur de domaine secondaire, mais, pour transformer un contrleur en serveur autonome ou en serveur membre, il faut rinstaller le systme dexploitation. Cette limitation a disparu sous Windows 2000 Server et a t amliore sous Windows Server 2003.
Supprimer le contrleur depuis linterface graphique

Pour supprimer depuis linterface graphique un contrleur de domaine qui est en ligne et qui nest plus ncessaire, procdez ainsi : 1. Ouvrez lAssistant Installation dActive Directory. 2. Sur la page Supprimer Active Directory, sil sagit du dernier contrleur de domaine du domaine, cochez la case Ce serveur est le dernier contrleur de domaine du domaine, puis cliquez sur Suivant.
Figure 18.24 : Information sur la suppression du contrleur de domaine
646
3. Sur la page Mot de passe administrateur, saisissez le nouveau mot de passe administrateur dans les botes de dialogue Nouveau mot de passe administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
Figure 18.25 : Validation du mot de passe Active Directory pour la suppression du contrleur de domaine
4. Sur la page Rsum, passez en revue le rsum, cliquez sur Suivant, puis sur Terminer. Une fois redmarr, le serveur sera toujours dans le domaine, mais il sera un simple serveur membre du domaine.
Supprimer le contrleur en ligne de commandes

Pour supprimer en ligne de commandes un contrleur de domaine qui est en ligne et qui nest plus ncessaire, procdez de la manire suivante : 1. Tout dabord, ouvrez une Invite de commandes et saisissez ntdsutil. 2. Saisissez metadata cleanup, puis appuyez sur []. Cest la section du programme qui supprime les objets. Mais, pour cela, vous devez vous connecter un contrleur de domaine. Ensuite, indiquez Ntdsutil ce que vous souhaitez supprimer. Aprs cela, vous pourrez supprimer le contrleur de domaine ou le domaine. 3. linvite de commandes metadata cleanup, saisissez connections et appuyez sur []. 4. linvite de commandes server connections, saisissez connect to server localhost, puis appuyez sur []. 5. Retournez lInvite metadata cleanup en saisissant quit, puis en appuyant sur []. 647
Chapitre 18
6. Maintenant, il faut slectionner le serveur supprimer. Pour cela, saisissez select operation target, puis appuyez sur []. 7. Vous pouvez slectionner domaines, sites et serveurs en demandant pralablement Ntdsutil de les lister. Celui-ci les liste en les numrotant. Tout dabord, saisissez list domains, puis appuyez sur []. La liste de domaines apparat. Dans notre exemple, Ntdsutil liste les trois domaines en les numrotant de 0 2. 8. Pour slectionner le domaine puzzmania.com, saisissez select domain 0 et appuyez sur [].
select operation target: list domains 3 domaine(s) trouv(s) 0 - DC=puzzmania,DC=com 1 - DC=corp,DC=puzzmania,DC=com 2 - DC=rd,DC=puzzmania,DC=com
9. Ensuite, choisissez le site dans lequel rside le contrleur de domaine supprimer. Vous devez connatre le numro du site de Nice o rside SNCERCDC03. Pour trouver les sites qui existent et connatre leur numro, saisissez list sites, puis appuyez sur []. 10. Le site de Nice porte le numro 0. Saisissez select site 1 et appuyez sur [] pour le slectionner.
Figure 18.26 : Suppression dun contrleur de domaine en ligne de commandes
11. Maintenant que vous avez le domaine et le site, il faut vous rapprocher du serveur. Pour trouver le numro du serveur, saisissez list servers for domain in site, puis appuyez sur [].
648
Dployer le deuxime contrleur de domaine sur le mme site
12. Une fois les serveurs lists, slectionnez le contrleur de domaine en saisissant select server 2 puisque SCNERCDC03 est le troisime contrleur de domaine. Appuyez sur []. 13. prsent, le contrleur de domaine du site choisi est slectionn. Saisissez quit pour revenir lInvite de commandes metadata cleanup. 14. Saisissez remove selected server et appuyez sur []. Deux botes de dialogue davertissement demandent de confirmer votre choix. Confirmez et le serveur est supprim. Ntdsutil Si vous effectuez les mmes manipulations au niveau du domaine et que vous saisissiez remove selected domain, aprs confirmation dans les botes de dialogue, votre domaine part en fume. 15. Saisissez quit et appuyez sur [] pour quitter Ntdsutil. Attention, lorsque vous supprimez un contrleur de domaine qui est serveur de catalogue global, assurez-vous que les utilisateurs peuvent disposer dun autre catalogue global avant la suppression ! De mme, si le contrleur de domaine dtient un rle matre dopration, vous devez transfrer ce rle vers un autre contrleur avant la suppression. Nous y reviendrons plus loin. 18. Limplmentation des serveurs dinfrastructure AD
18.4. Dployer le deuxime contrleur de domaine sur le mme site

Pour activer la tolrance aux pannes au cas o le contrleur de domaine se dconnecterait de manire inattendue, vous devez disposer dau moins deux contrleurs de domaine dans un seul domaine. tant donn que tous les contrleurs de domaine dun domaine rpliquent entre eux les donnes spcifiques au domaine, leur installation dans le domaine active automatiquement la tolrance aux pannes pour les donnes enregistres dans Active Directory. Si lun dentre eux tombe en panne, les autres fournissent les services dauthentification et assurent laccs aux objets dActive Directory, de sorte que le domaine peut continuer fonctionner. Les choix possibles quant au positionnement du deuxime contrleur peuvent diffrer dune entreprise lautre. Les deux contrleurs de domaine peuvent tre sur un mme site ou sur des sites diffrents. Tout dpend des besoins.
Installer un contrleur de domaine via le rseau

Nous souhaitons vous montrer les diffrentes possibilits dinstaller Active Directory. En ce sens, nous allons installer le deuxime contrleur de domaine via le rseau.
649
Chapitre 18
1. Ouvrez une session en tant quadministrateur. 2. Cliquez sur Dmarrer/Excuter, puis saisissez dcpromo/adv dans la zone Ouvrir. Cliquez sur OK. 3. Sur la page Type de contrleur de domaine, cochez la case Contrleur de domaine supplmentaire pour un domaine existant. Sinon, si vous lancez lAssistant Installation dActive Directory avec loption /adv, choisissez sur la page Copie des informations du domaine en cours loption Via le rseau ou loption partir des fichiers de restauration de cette sauvegarde, puis indiquez lemplacement des fichiers de sauvegarde restaurs.
Figure 18.27 : Installation Active Directory depuis le rseau
4. Sur la page Informations didentification rseau, saisissez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Admins du domaine pour le domaine cible. 5. Sur la page Contrleur de domaine supplmentaire, spcifiez le nom de domaine pour lequel ce serveur deviendra un contrleur de domaine supplmentaire. 6. Sur la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, ou cliquez sur Parcourir pour choisir un emplacement. 7. Sur la page Volume systme partag, saisissez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement.
650
8. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez et confirmez le mot de passe du mode Restauration des services dannuaire, puis cliquez sur Suivant. 9. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 10. Lorsque le systme vous y invite, redmarrez lordinateur. Domaine et fichiers de sauvegarde Pour copier les informations de domaine partir de fichiers de sauvegarde, vous devez dabord sauvegarder ltat du systme (System State) dun contrleur de domaine appartenant au domaine dans lequel le nouveau serveur deviendra contrleur de domaine supplmentaire. Ensuite, restaurez la sauvegarde de ltat du systme localement sur le serveur que vous vous apprtez promouvoir. Pour cela, recourez lutilitaire de sauvegarde Windows Server 2003, choisissez loption Restaurez vers : Autre emplacement. Si le contrleur de domaine partir duquel vous avez restaur ltat du systme tait galement un catalogue global, lAssistant Installation dActive Directory vous demande si vous souhaitez que ce contrleur de domaine devienne galement un catalogue global. 18. Limplmentation des serveurs dinfrastructure AD
Installer un contrleur de domaine partir dun chier de rponses

Voici une troisime possibilit dinstaller Active Directory sur un contrleur de domaine. Cette possibilit peut tre intressante pour les entreprises souhaitant automatiser et industrialiser le dploiement. 1. Ouvrez une session en tant quadministrateur. 2. Cliquez sur Dmarrer/Excuter. Dans la zone Ouvrir, saisissez dcpromo /answer : fichier rponse, o fichier rponse reprsente le nom de ce fichier. Cliquez sur OK.
Pour plus dinformations sur les installations partir de fichier de rponses, reportez-vous au chapitre Linstallation et le dploiement de Windows Server 2003.
Vrier le deuxime contrleur de domaine

Suivez les mmes tapes que celles indiques dans la procdure concernant le premier contrleur de domaine. Mais au lieu de vrifier que DomainDnsZones et ForestDnsZones ont t cres, utilisez la commande Repadmin /showreps pour vrifier que les partitions dapplications des annuaires ForestDnsZones et
651
Chapitre 18
DomainDnsZones sont bien rpliques. Utilisez le composant logiciel enfichable DNS pour vrifier que la rsolution de noms rcursive du serveur DNS est configure en accord avec la mthode utilise par votre organisation.
Figure 18.28 : Utilisation de la commande repadmin /showreps
Voici un script issu du script center qui vous permet de lister les partenaires de rplications :
strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & _ strComputer & "\root\MicrosoftActiveDirectory") Set colReplicationOperations = objWMIService.ExecQuery _ ("Select * from MSAD_ReplNeighbor") For each objReplicationJob in colReplicationOperations Wscript.Echo "Domain: " & objReplicationJob.Domain Wscript.Echo "Naming context DN: " & objReplicationJob.NamingContextDN Wscript.Echo "Source DSA DN: " & objReplicationJob.SourceDsaDN Wscript.Echo "Last synch result: " & objReplicationJob.LastSyncResult Wscript.Echo "Number of consecutive synchronization failures: " & _ objReplicationJob.NumConsecutiveSyncFailures Next
Recongurer le service DNS

Reconfigurez le service DNS afin de tenir compte de lajout du deuxime contrleur de domaine dans le domaine racine de la fort. Vous pouvez galement utiliser ces procdures mesure que vous dployez des contrleurs de domaine supplmentaires qui excutent le service DNS. Pour configurer le service DNS : 1. Activez le vieillissement et le nettoyage pour le DNS.
652
2. Configurez les paramtres DNS clients du premier contrleur de domaine et des contrleurs de domaine subsquents. 3. Mettez jour la dlgation DNS.
Activer le vieillissement et le nettoyage pour le DNS

Activez le vieillissement et le nettoyage sur deux contrleurs de domaine Windows Server 2003 excutant le service Serveur DNS, afin dautoriser le nettoyage automatique et la suppression des enregistrements de ressources obsoltes, qui peuvent saccumuler dans les zones au cours du temps. Avec la mise jour dynamique, les enregistrements de ressources sont automatiquement ajouts aux zones lorsque des ordinateurs sont introduits sur le rseau. Toutefois, dans certains cas, ces enregistrements ne sont pas automatiquement supprims lorsque les ordinateurs quittent le rseau. Par exemple, si un ordinateur enregistre son propre enregistrement dhte (A) au dmarrage et se trouve par la suite incorrectement dconnect du rseau, son enregistrement (A) peut ne pas tre supprim. Si votre rseau possde des utilisateurs et ordinateurs mobiles, cette situation peut se prsenter frquemment. Lorsquils ne sont pas grs, les enregistrements de ressources obsoltes peuvent causer des problmes, notamment :
j j
Les enregistrements de ressources obsoltes peuvent consommer lespace disque du serveur et gnrer des temps de transfert de zones inutilement longs. Les serveurs DNS chargeant des zones avec des enregistrements de ressources obsoltes risquent dutiliser des informations qui ne sont pas jour pour rpondre aux requtes clients, ce qui peut gnrer des problmes de rsolution de noms pour les clients sur le rseau. Laccumulation denregistrements de ressources obsoltes sur le serveur DNS peut dgrader ses performances et sa ractivit. Vieillissement et nettoyage Par dfaut, le mcanisme de vieillissement et de nettoyage du service Serveur DNS est dsactiv. Ne lactivez quaprs en avoir compris tous les paramtres. Sans cela, le serveur pourrait accidentellement supprimer des enregistrements de ressources qui ne doivent pas ltre. Si un enregistrement de ressource est accidentellement supprim, les utilisateurs ne parviendront plus obtenir une rponse leurs requtes pour cet enregistrement de ressource ; tout utilisateur pourra en outre crer lenregistrement de ressource et en devenir le propritaire, mme sur des zones configures pour les mises jour dynamiques scurises. Pour plus dinformations concernant la manire de configurer le vieillissement et le nettoyage, consultez la page de prsentation du vieillissement du nettoyage du centre daide et de support de Windows Server 2003.
653
Chapitre 18
Pour activer les fonctionnalits de vieillissement et de nettoyage, suivez ces tapes : 1. Activez le vieillissement et le nettoyage sur le serveur DNS appropri. Ces paramtres dterminent les proprits de niveau zone pour toute zone intgre Active Directory sur le serveur. 18. Limplmentation des serveurs dinfrastructure AD 2. Activez le vieillissement et le nettoyage pour les zones slectionnes sur le serveur DNS. Lorsque des proprits de zone sont dfinies pour une zone slectionne, ces paramtres sappliquent uniquement la zone en question et ses enregistrements de ressources. moins que ces proprits de niveau zone soient configures autrement, elles hritent leurs paramtres par dfaut de rglages comparables conservs dans les proprits de vieillissement/nettoyage du serveur DNS.
Dnir les proprits de vieillissement et de nettoyage du serveur DNS

Pour dfinir les proprits de vieillissement et de nettoyage sur le serveur, procdez comme suit : 1. Connectez-vous lordinateur qui excute le service Serveur DNS avec un compte membre du groupe local Administrateur. 2. Dans larborescence de la console DNS, cliquez du bouton droit de la souris sur le serveur DNS appropri, puis choisissez Dfinir le vieillissement/nettoyage pour toutes les zones.
Figure 18.29 :
Vieillissement de serveur/Proprits de nettoyage
3. Cochez loption Nettoyer les enregistrements de ressources obsoltes. 4. Modifiez les autres proprits de vieillissement et de nettoyage comme requis.
654
Dployer les domaines enfants
Figure 18.30 : Vieillissement de serveur/Confirmation de nettoyage
Dnir les proprits de vieillissement et de nettoyage pour une zone

Pour dfinir les proprits de vieillissement et de nettoyage pour une zone, procdez ainsi : 1. Connectez-vous lordinateur qui excute le service Serveur DNS avec un compte membre du groupe local Administrateur. 2. Dans larborescence de la console DNS, cliquez du bouton droit de la souris sur le serveur DNS appropri, puis choisissez Proprits. 3. Sous longlet Gnral, cliquez sur Vieillissement et slectionnez la case cocher Nettoyer les enregistrements de ressources obsoltes. 4. Modifiez les autres proprits de vieillissement et de nettoyage comme requis.
18.5. Dployer les domaines enfants

Maintenant que le domaine racine de Puzzmania est en place, il est possible de passer la mise en place de domaines enfants corp.puzzmania.com et rd.puzzmania.com. Dans cette application pratique, vous allez installer Active Directory et crer un domaine enfant recherche dans le domaine racine de la fort puzzmania.com. Aprs linstallation dActive Directory et la cration du domaine enfant, vous effectuerez lensemble des vrifications que vous avez prcdemment ralises aprs linstallation dun contrleur de domaine et la cration dun domaine savoir :
j j j j j j
vrification de la structure des dossiers ; vrification des dossiers partags ; vrification de la base de donnes et des fichiers journaux dActive Directory ; vrification de la configuration DNS ; vrification de lintgration du DNS Active Directory ; vrification du mode Restauration des annuaires.
Ces oprations pourront se faire galement pour le deuxime domaine enfant de puzzmania.
655
Chapitre 18
Pour installer le premier domaine enfant de puzzmania, procdez comme suit : 1. Connectez-vous en tant que puzzmania\administrateur. 2. Cliquez sur Dmarrer, cliquez du bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant que. 18. Limplmentation des serveurs dinfrastructure AD
Figure 18.31 : Commande Excuter en tant que
3. Dans la bote de dialogue Excuter en tant que, cliquez sur Lutilisateur suivant, saisissez un nom dutilisateur puzzmania\administrateur et le mot de passe, puis cliquez sur OK. 4. lInvite de commandes, saisissez dcpromo et appuyez sur []. 5. Sur la page Assistant Installation dActive Directory, cliquez sur Suivant. 6. Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. 7. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis cliquez sur Suivant. 8. Sur la page Crer un nouveau domaine, cliquez sur Domaine enfant dans une arborescence de domaine existante, puis sur Suivant.
Figure 18.32 : Cration dun domaine enfant dans une arborescence existante
656
Dployer les domaines enfants
9. Sur la page Informations didentification rseau, saisissez Administrateur comme nom dutilisateur, assurez-vous que puzzmania.com est le domaine, puis cliquez sur Suivant. 10. Sur la page Installation dun domaine enfant, assurez-vous que le domaine parent est puzzmania.com, saisissez le nom de domaine enfant recherche, puis cliquez sur Suivant.
Figure 18.33 : Cration du domaine enfant rd
11. Sur la page Nom de domaine NetBIOS, vrifiez que le nom NetBIOS est RD, puis cliquez sur Suivant. 12. Sur la page Dossier de la base de donnes et du journal, acceptez la slection par dfaut, puis cliquez sur Suivant. 13. Sur la page Volume systme partag, acceptez lemplacement par dfaut dinstallation du dossier SYSVOL, puis cliquez sur Suivant. 14. Sur la page Diagnostics des inscriptions DNS, assurez-vous que les paramtres de configuration DNS sont exacts, puis cliquez sur Suivant. 15. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systmes dexploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 16. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez et confirmez le mot de passe et cliquez sur Suivant. 17. Passez en revue la page Rsum, cliquez sur Suivant pour commencer linstallation, puis sur Terminer. 18. Redmarrez le serveur.
657
Chapitre 18
19. Vous pouvez maintenant installer les deuximes contrleurs de domaine de chaque domaine sur leurs sites respectifs. 20. Testez la rplication laide de la commande repadmin /showrepl pour vous assurer que les rplications fonctionnent correctement entre les contrleurs de domaine. En cas de problme, vous pouvez dans un premier temps utiliser la commande netdiag /fix.
18.6. En rsum
Pour rsumer et clore ce chapitre, Active directory est en quelque sorte la colonne vertbrale de votre organisation. Il bnficie dune grande souplesse lui permettant de prendre en compte dans son implmentation les notions logiques pour les domaines, par exemple, et les notions physiques telle que les sites. Le mode de rplication multimatre permet Active Directory de fonctionner de manire dsynchronise durant quelque temps. Nous avons vu quActive Directory devait rpondre quelque prrequis pour son bon fonctionnement. Ce qui peut amener poser la question suivante : "Active Directory est-il tributaire de la configuration du serveur pour pouvoir bnficier de bonnes performances ?" Oui, Active Directory est tributaire de sa configuration pour de bonnes performances, celle-ci doit rpondre aux exigences suivantes :
j j j j j
850 MHz par tranche de 500 utilisateurs ; 512 Mo de RAM par tranche de 500 utilisateurs ; 500 Mo despace disque pour SYSVOL ; 400 Mo despace disque pour NTDS.dit ; 2 Go despace disque pour la partition systme.
Lors de linstallation du domaine racine de fort, nous avons pu constater que lon pouvait installer Active Directory de plusieurs manires. Combien existe-t-il mthodes pour installer Active Directory sur un contrleur de domaine ? Il existe quatre mthodes pour installer un contrleur de domaine.
j j j j
utilisation de lAssistant Installation dActive Directory ; utilisation dun fichier de rponse ; installation depuis le rseau ou un mdia ; utilisation de lAssistant Configurer votre serveur.
658
En rsum
Aprs linstallation dActive Directory sur les contrleurs de domaine, il est ncessaire de vrifier et de reconfigurer certains paramtres. Que se passe-t-il une fois que le premier contrleur de domaine est install ? Un ensemble dutilisateurs et de groupes prdfinis est install. Le contrleur possde automatiquement le catalogue global, mais aussi lensemble des rles matre doprations. Lvolution de la puissance des processeurs fait quaujourdhui la plupart des contrleurs de domaine restent sous-exploits. La virtualisation permet doptimiser et de consolider les contrleurs de domaines de plusieurs domaines dun mme site sur le mme serveur physique. Cependant, il nest pas recommand ce jour de virtualiser lensemble des contrleurs de domaine dun mme domaine. ce titre, Microsoft met disposition sur son site un document de 70 pages sur les recommandations de la virtualisation des contrleurs de domaine. Ce quil est important de garder lesprit, cest que les performances dActive Directory rsident dans la puissance processeur, mais galement dans la capacit charger la base de donnes en mmoire.
659
Chapitre 19
Les fonctions et les rles dans Active Directory

19.1 19.2 19.3 19.4 19.5 Congurer les rles matres dopration Congurer le catalogue global . . . . . . . lever les niveaux fonctionnels . . . . . . Les relations dapprobation . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663 . 674 . 681 . 684 . 693
Configurer les rles matres dopration
ien quessentiels mais peu utiliss par les administrateurs, nous allons aborder les rles matres dopration, apporter des explications par le biais de quelques dfinitions ou travaux pratiques. Nous aborderons galement la mise en place de relations dapprobation afin de pouvoir continuer utiliser des ressources des domaines existants. Afin dexploiter au mieux les nouvelles fonctionnalits apportes par Windows Server 2003, nous dcrirons les niveaux fonctionnels aux niveaux des domaines et de la fort.
19.1. Congurer les rles matres dopration

Avant daborder la configuration des rles matres en voici dabord un bref rappel. Mme si de faon gnrale sous Active Directory aucun contrleur de domaine install nest plus important que lautre, il existe quand mme quelques exceptions pour les contrleurs de domaines qui hbergent les rles matres doprations. Par dfaut, lensemble des rles matres doprations appels aussi FSMO (Flexible Single Master of Operation) sont installs sur le premier contrleur de domaine et, par consquent, le premier contrleur de la fort. Ce contrleur de domaine possde donc lensemble de cinq FSMO. De plus, ces rles matres sont installs sur le contrleur de domaine possdant le catalogue global. ce stade de limplmentation, cela ne pose aucun problme, mais au fur et mesure que limplmentation du service dannuaire volue, et une fois encore selon les besoins de lentreprise, il pourra tre judicieux et parfois mme obligatoire de dplacer certains rles matres, nous allons voir pourquoi.
19. Les fonctions et les rles dans Active Directory
Les rles matres au niveau de la fort

Les rles du matre doprations concernent des tches irralisables en mode multimatre. Il en existe cinq diffrents, et vous pouvez les attribuer un ou plusieurs contrleurs de domaine. Certains rles doivent tre dfinis une fois dans chaque domaine. Mais dautres ne peuvent tre assigns quune seule fois dans une fort de domaines. Cest le cas pour les rles Contrleur de schme et le matre dattribution de nom de domaine.
Le contrleur de schma
Le schma Active Directory dfinit les types dobjets et les types dinformations qui sy rapportent pouvant tre stocks dans Active Directory. Active Directory stocke ces dfinitions sous forme dobjets. Active Directory gre les objets du schma laide des mmes oprations de gestion dobjet que celles quil utilise pour grer les autres objets de lannuaire. Le contrleur de schma excute les rles suivants :
j
Il contrle toutes les mises jour dorigine apportes au schma.
663
Chapitre 19
j j
Il contient la liste principale des classes dobjets et des attributs utiliss pour la cration de tous les objets Active Directory. Il rplique les mises jour apportes au schma Active Directory sur tous les contrleurs de domaine de la fort en utilisant la rplication de la partition de schma. Il autorise uniquement les membres du groupe Administrateurs du schma modifier le schma. Chaque fort possde un seul contrleur de schma. Cela permet dviter les conflits quentraneraient des tentatives de mise jour simultanes du schma par plusieurs contrleurs de domaine. Si le contrleur de schma nest pas disponible, vous ne pouvez pas modifier le schma ou installer des applications qui le modifient.
Le matre dattribution de noms de domaine

Lorsque vous ajoutez ou supprimez un domaine dans une fort, cette modification est enregistre dans Active Directory. Le matre dattribution de noms de domaine contrle lajout ou la suppression de domaines dans la fort. Il nexiste quun matre dattribution de noms de domaine dans chaque fort. Lorsque vous ajoutez un domaine la fort, seul le contrleur de domaine possdant le rle de matre dattribution des noms de domaine peut ajouter le nouveau domaine. Le matre dattribution de noms de domaine empche que plusieurs domaines portant le mme nom soient ajouts la fort. Lorsque vous utilisez lAssistant Installation dActive Directory pour crer un domaine enfant, il contacte le matre dattribution des noms de domaine pour demander lajout ou la suppression. Si le matre dattribution des noms de domaine est indisponible, vous navez pas la possibilit dajouter ni de supprimer des domaines. Ces rles au niveau de la fort doivent tre uniques cest--dire quil ne peut exister quun seul matre contrleur de schma et quun seul matre dattribution de noms de domaine par fort. Cest pour cela que, pour lorganisation, ces rles matres seront placs sur lun des contrleurs de domaine du domaine racine (puzzmania.com) sur le contrleur de domaine sncercdc02.
Les rles matres au niveau du domaine

Les trois rles matres doprations suivants concernent donc les rles matres dopration agissant au niveau du domaine. Ils seront installs par dfaut sur le premier contrleur enfant de chaque domaine. Et puisque dun domaine lautre les besoins peuvent changer, ces rles matres pourront tre positionns de manire diffrente.
Le matre des ID relatifs

Le matre des identificateurs relatifs (ou matre RID) est un contrleur de domaine qui alloue des blocs didentificateurs relatifs chaque contrleur de domaine du domaine. Chaque fois quun contrleur de domaine cre une nouvelle entit de scurit, telle quun objet utilisateur, groupe ou ordinateur, il attribue un identificateur de scurit 664
(SID, Security IDentifier) cet objet. Cet identificateur consiste en un identificateur de scurit de domaine, qui est le mme pour toutes les entits de scurit cres dans le domaine, et en un identificateur relatif qui est unique pour chaque entit de scurit cre dans le domaine. Le matre RID prend en charge la cration et les dplacements dobjets
j
Cration dobjets : pour permettre une opration multimatre de crer des objets sur un contrleur de domaine, le matre RID alloue un bloc didentificateurs relatifs un contrleur de domaine. Lorsquun contrleur de domaine requiert un bloc didentificateurs relatifs supplmentaires, il contacte le matre RID qui lui alloue un nouveau bloc didentificateurs relatifs, puis les attribue de nouveaux objets. Lorsque la rserve didentificateurs relatifs dun contrleur de domaine est vide et que le matre RID est indisponible, la cration dentit de scurit sur ce contrleur de domaine est impossible. Lutilitaire de diagnostic du contrleur de domaine (commande dcdiag) vous permet dafficher lattribution de rserve didentificateurs relatifs. Dplacement dobjets : lorsque vous dplacez un objet dun domaine lautre, le dplacement est initi sur le matre RID qui contient lobjet. De cette faon, il ny a pas de duplication des objets. Si vous dplaciez un objet sans quun seul matre conserve cette information, vous pourriez dplacer lobjet vers plusieurs domaines sans savoir quun dplacement prcdent a dj eu lieu. Suppression Lors dun dplacement dun domaine un autre, le matre RID supprime lobjet du domaine dorigine.
Lmulateur PDC
Lmulateur PDC agit comme un contrleur de domaine principal Microsoft Windows NT pour prendre en charge les contrleurs secondaires de domaine excutant Windows NT dans un domaine en mode mixte. la cration dun domaine, Active Directory attribue le rle dmulateur PDC au premier contrleur de domaine du nouveau domaine. Lmulateur PDC excute les rles suivants :
j
Il agit en tant que contrleur de domaine principal pour tous les contrleurs secondaires de domaine existants. Si un domaine contient des contrleurs secondaires de domaine ou des ordinateurs clients excutant Windows NT 4.0 ou une version antrieure, lmulateur PDC fonctionne en tant que contrleur de domaine principal Windows NT ; lmulateur PDC rplique les modifications apportes lannuaire sur tous les contrleurs secondaires de domaine excutant Windows NT.
665
Chapitre 19
Il gre les modifications de mot de passe des ordinateurs excutant Windows NT, Microsoft Windows 95 ou Windows 98. Active Directory inscrit directement les modifications de mot de passe dans lmulateur PDC. Il minimise la latence de rplication des modifications de mot de passe. Le dlai ncessaire pour quun contrleur de domaine reoive une modification apporte un autre contrleur de domaine est appel"latence de rplication". Lorsque le mot de passe dun ordinateur client excutant Windows 2000 ou une version ultrieure est modifi sur un contrleur de domaine, ce dernier transmet immdiatement la modification lmulateur PDC. Si une authentification de connexion choue sur un autre contrleur de domaine du fait dun mauvais mot de passe, ce contrleur de domaine transmet la demande dauthentification lmulateur PDC avant de rejeter la tentative de connexion. Il synchronise lheure de tous les contrleurs de domaine du domaine en fonction de son heure. Le protocole dauthentification Kerberos, version 5, exige que lheure des contrleurs de domaine soit synchrone pour autoriser lauthentification. Les ordinateurs clients dun domaine synchronisent galement leur heure sur celle du contrleur de domaine authentifiant lutilisateur. Il interdit toute possibilit dcrasement des objets de stratgie de groupe (GPO, Group Policy Object). Par dfaut, la stratgie de groupe rduit les risques de conflits de rplication en sexcutant sur le contrleur de domaine jouant le rle dmulateur PDC pour ce domaine.
Le matre dinfrastructure
Le matre dinfrastructure est un contrleur de domaine qui met jour les rfrences des objets de son domaine qui pointent vers les objets dun autre domaine. La rfrence contient lidentificateur global unique (GUID, Globally Unique IDentifier) de lobjet, son nom unique et ventuellement un identificateur de scurit (SID). Active Directory met rgulirement jour le nom unique et lidentificateur de scurit afin de reflter les modifications apportes lobjet, par exemple lorsquun objet a t dplac au sein dun domaine ou entre des domaines, ou quil a t supprim.
Identication de lappartenance un groupe

Si lidentificateur de scurit ou le nom unique dun compte dutilisateur ou dun groupe est modifi dans un autre domaine, Active Directory doit mettre jour lappartenance au groupe de votre domaine faisant rfrence lutilisateur ou au groupe modifi. Le matre dinfrastructure du domaine dans lequel rside le groupe (ou la rfrence) met jour lappartenance au groupe en rpliquant la modification sur lensemble du domaine. Le matre dinfrastructure met jour lidentification de lobjet en fonction des rgles suivantes :
j
Si lobjet est dplac, son nom unique change car il reprsente son emplacement exact dans lannuaire.
666
j j j
Si lobjet est dplac au sein du domaine, son identificateur de scurit ne change pas. Si lobjet est dplac vers un autre domaine, lidentificateur de scurit change afin de reflter le nouvel identificateur de scurit du domaine. Lidentificateur global unique ne change pas quel que soit lemplacement car il est unique sur tous les domaines. Vrifier le transfert de rle Dans un environnement domaines multiples, assurez-vous que le rle matre dinfrastructure est transfr sur un contrleur de domaine qui nhberge pas le catalogue global. Sinon, certains contrleurs de domaine peuvent finir par disposer dinformations obsoltes sur les appartenances aux groupes.
Le matre dinfrastructure et le catalogue global

Ne nommez pas matre dinfrastructure un contrleur de domaine qui hberge le catalogue global. Si le matre dinfrastructure et le catalogue global sont sur le mme ordinateur, le matre dinfrastructure ne fonctionne pas car il ne renferme aucune rfrence aux objets quil ne contient pas. Rgulirement, le matre dinfrastructure dun domaine examine les rfrences aux objets non conservs sur ce contrleur de domaine dans son rplica des donnes de lannuaire. Il demande un serveur de catalogue global les informations en cours relatives au nom unique et lidentificateur de scurit de chaque objet rfrenc. Si ces informations ont chang, le matre dinfrastructure reproduit la modification dans son rplica local, puis rplique les modifications sur les autres contrleurs de domaine du domaine.
Le transfert des rles

Puisque nous venons de voir quil peut tre utile et mme parfois quasi obligatoire de modifier lemplacement des rles matres doprations. Puzzmania a choisi en fonction de besoins et des contraintes de positionner les rles matres dopration de la manire suivante :
Tableau 19.1 : Rcapitulatif des rles matres pour lorganisation de puzzmania
Rles matres Contrleur de schma Attribution de noms de domaine Puzzmania.com sncdrcdc02 sncdrcdc02 Corp.puzzmania.com Recherche.puzzmania.com Aucun Aucun Aucun Aucun
667
Chapitre 19
Rles matres ID relatifs mulateur PDC Infrastructure
Puzzmania.com sncercdc01 sncercdc01 sncercdc02
Corp.puzzmania.com Recherche.puzzmania.com sparcpdc01 sncecpdc01 stlscpdc01 sncerddc01 sncerddc01 sncerddc02
Ce qui nous amne aborder le transfert de rles des matres doprations. Une question lgitime pour se poser : "Mais sil ny a quun seul matre doprations pour la fort ou le domaine ! Que le contrleur de domaine tombe en panne, comment vais-je faire pour transfrer mon rle matre ? Que va-t-il se passer ?" En fait, dans ce cas, il ne sera plus question de transfrer un rle matre, mais plutt deffectuer une prise de ce rle. Cela comporte un certain nombre de recommandations.
Le transfert du rle matre de contrleur de schma

Commenons tout dabord par transfrer les rles matres doprations uniques la fort.
Procdure de dtermination du contrleur de schma

Avant de transfrer un rle, vous devez tout dabord savoir quel est le contrleur de domaine qui possde ce rle matre. Pour cela, deux possibilits soffrent vous : le mode graphique ou le mode ligne de commandes. Pour dterminer en lignes de commandes quel serveur est le matre actuel du schma, tapez dans une fentre dInvite de commandes : Dsquery server hasfsmo schema.
Figure 19.1 : Ligne de commande
Pour dterminer en mode graphique quel serveur est le contrleur de schma, procdez comme suit : 1. Enregistrez le composant logiciel enfichable Schma Active Directory en excutant la commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll.
Figure 19.2 :
Enregistrement de la DLL schmmgmt.dll
668
2. Cliquez sur OK. 3. Crez une console MMC (Microsoft Management Console) personnalise, puis ajoutez-lui le composant logiciel enfichable Schma Active Directory. 4. Dans larborescence de la console, dveloppez, puis cliquez avec le bouton droit sur Schma Active Directory, et cliquez sur Matre doprations. 5. Dans la bote de dialogue Modifier le matre doprations, examinez le nom de lactuel contrleur de schma.
Procdure de transfert du rle de contrleur de schma

Pour transfrer le rle de matre doprations du schma, procdez comme suit : 1. Ouvrez Schma Active Directory. 2. Dans larborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Changer le contrleur de domaine.
Figure 19.3 : Changer le contrleur d domaine
3. Cliquez sur Spcifiez un nom, entrez le nom du contrleur de domaine auquel vous souhaitez transfrer le rle de contrleur de schma (scerddc02), puis cliquez sur OK. 4. Dans larborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Matre doprations.
Figure 19.4 : Transfert du rle matre de schma
669
Chapitre 19
5. Lorsque vous voyez le nom du contrleur de domaine scerddc02, cliquez sur Modifier, puis sur Oui. Utiliser le composant logiciel enfichable Schma Active Directory Avant de pouvoir utiliser le composant logiciel enfichable Schma Active Directory, vous devez utiliser Regsvr32.exe pour enregistrer ce composant, Schmmgmt.dll, puis crer une nouvelle console MMC personnalise.
Le transfert du rle matre dattribution de noms de domaine

Procdure de dtermination du matre dattribution de noms de domaine
Pour dterminer en lignes de commandes quel serveur est le matre dattribution de noms de domaine actuel, tapez dans une fentre dInvite de commandes : Dsquery server hasfsmo name.
Figure 19.5 : Ligne de commande
Pour dterminer en mode graphique quel serveur est le matre dattribution de noms de domaine actuel, procdez comme suit : 1. Ouvrez Domaines et approbations Active Directory.
Figure 19.6 : Console Domaines et approbations Active Directory
670
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre doprations. 3. Dans la bote de dialogue Modifier le matre doprations, examinez le nom de lactuel matre dattribution de noms de domaine scncercdc01 (premier contrleur par dfaut de la fort).
Procdure de transfert du rle de matre dattribution de noms de domaine

Pour transfrer le rle de matre dattribution de noms de domaine sur un autre contrleur de domaine, procdez comme suit : 1. Ouvrez Domaines et approbations Active Directory. 2. Dans larborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrleur de domaine. 3. Sur la liste, slectionnez un contrleur de domaine disponible, cliquez sur le contrleur de domaine qui deviendra le nouveau matre dattribution de noms de domaine scncercdc02, puis sur OK. 4. Dans larborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre doprations.
Figure 19.7 : Transfert du rle matre dattribution de noms
5. Lorsque le nom du contrleur de domaine apparat, cliquez sur Modifier, puis sur Oui.
Figure 19.8 : Message de validation du transfert
671
Chapitre 19
Le transfert des rles matres de domaine

La dtermination du matre RID, de lmulateur PDC et du matre dinfrastructure
Avant denvisager le dplacement dun rle de matre doprations, identifiez le contrleur de domaine qui dtient un rle de matre doprations particulier. Localisation des rles matres doprations Seuls les utilisateurs authentifis ont lautorisation de localiser les rles de matre doprations. Selon le rle de matre doprations, utilisez lun des composants logiciels enfichables Active Directory suivants : Utilisateurs et ordinateurs Active Directory (rles de matre dinfrastructure, mulateur PDC et matre RID) ; j Domaines et approbations Active Directory (rle de matre dattribution de noms de domaine) ;
j j
Schma Active Directory (rle de contrleur de schma).
Pour dterminer quel contrleur de domaine excute le rle de matre RID, dmulateur PDC ou de matre dinfrastructure, procdez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
Figure 19.9 : Console Utilisateurs et Ordinateurs Active Directory
2. Dans larborescence de la console, cliquez avec le bouton droit sur le domaine pour lequel vous souhaitez afficher les matres doprations, puis cliquez sur Matres doprations. 3. Sous les onglets RID, CDP et Infrastructure, sous la rubrique Matres doprations, visualisez le nom de lactuel Matre doprations.
672
Figure 19.10 : Matres doprations de domaine
Le transfert des rles de matre RID, dmulateur PDC et de matre dinfrastructure

Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory vous permet de transfrer les trois rles de matre doprations au niveau du systme. Pour transfrer le rle de matre dattribution de noms de domaine, utilisez le composant logiciel enfichable Domaines et approbations Active Directory. Pour transfrer le rle de contrleur de schma Active Directory, utilisez loutil Schma Active Directory. Pour transfrer le rle de matre RID, dmulateur PDC ou de matre dinfrastructure, procdez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Dans larborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrleur de domaine. 3. Sur la liste, slectionnez un contrleur de domaine disponible, cliquez sur les contrleurs de domaine pour chaque rle qui conviendra au nouveau matre doprations (voir le tableau rcapitulatif des rles matres doprations pour puzzmania), puis sur OK. 4. Dans larborescence de la console, cliquez avec le bouton droit sur le domaine puzzmania contenant les serveurs qui deviendront les nouveaux matres doprations, puis cliquez sur Matres doprations. Effectuez ces tches autant de fois quil y a de domaines.
673
Chapitre 19
Figure 19.11 : Transfert du rle matre dinfrastructure
5. Sous les onglets RID, CDP et Infrastructure, sous Matres doprations, visualisez, cliquez sur Modifier, puis sur Oui. Dterminer les contrleurs de domaine qui doivent obtenir les rles Lorsquun contrleur de domaine est rtrograd au rang de serveur membre, il abandonne les rles de matre doprations quil dtenait aux autres contrleurs de domaine. Pour pouvoir dterminer les contrleurs de domaine qui doivent obtenir les rles, transfrez ces derniers avant de procder la rtrogradation.
19.2. Congurer le catalogue global

Maintenant que les rles matres doprations sont transfrs sur leur contrleur de domaine respectif, il faut encore configurer les contrleurs de domaine qui devront rpondre au rang de serveur de catalogue global. Mais avant, voici un petit rappel concernant le catalogue global. Le catalogue global est le rfrentiel central des informations concernant les objets dune fort dans Active Directory. La mise en cache de lappartenance au groupe universel dans Windows Server 2003 rduit le trafic et amliore le temps de connexion entre des liaisons lentes de rseau tendu (WAN, Wide Area Network). Vous devez comprendre les serveurs de catalogue global et la mise en cache de lappartenance au groupe universel pour planifier le placement de contrleurs de domaine dans votre rseau. 674
Configurer le catalogue global
Congurer des catalogues globaux

1. Dmarrez Sites et services Active Directory.
Figure 19.12 : Console Sites et Services
2. Dans larborescence de la console, dveloppez larborescence du site avec lequel vous souhaitez travailler, par exemple Nice. 3. Dveloppez le dossier serveur du site, puis cliquez sur le serveur qui devra hberger le catalogue global. Prenons comme exemple scnecpdc01, domaine contrleur du site de Nice pour le domaine corp. 4. Dans le volet affichage, cliquez du bouton droit de la souris sur le paramtre NTDS, puis slectionnez Proprits. 5. Pour activer le catalogue global, cochez la case Catalogue global sous longlet Gnral. Voici lexemple prsent ci-aprs :
675
Chapitre 19
Figure 19.13 : Activer le catalogue global
6. Pour dsactiver le catalogue global, dcochez tout simplement loption.
Figure 19.14 : Catalogue global pour puzzmania dans un environnement multidomaine
676
Trafic de rplications Lactivation dun serveur de catalogue global peut entraner un trafic de rplications supplmentaire pendant que le serveur rcupre une copie initiale complte de tout le catalogue global. Le contrleur de domaine ne sannonce pas comme serveur de catalogue global avant davoir reu les informations du catalogue global via la rplication.
Que se passe-t-il en labsence de catalogue global ?

Si un catalogue global nest pas disponible lorsquun utilisateur ouvre une session sur un domaine sexcutant dans le niveau fonctionnel de domaine de Windows 2000 natif ou Windows Server 2003, le contrleur de domaine qui traite la demande de connexion de lutilisateur refuse la requte, et lutilisateur ne peut pas ouvrir de session. Si aucun contrleur de domaine nest disponible pour traiter une demande de connexion dun utilisateur, le contrleur de domaine traite la demande de connexion laide des informations didentification de lutilisateur en mmoire cache. Cette fonctionnalit permet des utilisateurs douvrir une session sur des ordinateurs portables lorsquils ne sont pas connects au rseau dentreprise. Le compte Administrateur du domaine peut toujours ouvrir une session, mme lorsquaucun serveur de catalogue global nest disponible. Bnficier des avantages de rduction du trafic Les ordinateurs clients doivent avoir accs un serveur de catalogue global pour ouvrir une session. Par consquent, dans la plupart des cas, vous devez disposer dau moins un serveur de catalogue global dans chaque site pour bnficier des avantages de rduction du trafic sur le rseau que permet lutilisation de sites.
Les niveaux fonctionnels sous Windows Server 2003

Sous Windows Server 2003, les fonctionnalits des forts et des domaines offrent un moyen dactiver les fonctionnalits Active Directory tendues lchelle de la fort ou du domaine dans votre environnement rseau. Selon votre environnement, diffrents niveaux de fonctionnalit de fort et de fonctionnalit de domaine sont disponibles. Outre les fonctionnalits de base dActive Directory sur les contrleurs de domaine individuels, de nouvelles fonctionnalits Active Directory tendues la fort et au domaine sont disponibles lorsque certaines conditions sont satisfaites.
677
Chapitre 19
Au niveau des domaines

Par dfinition la fonctionnalit de domaine active des fonctionnalits qui auront un impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels de domaine sont disponibles :
j j j
Windows 2000 mixte ; Windows 2000 natif ; Windows 2003 Server ; Windows 2003, version prliminaire. Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support.
Attention, il nest pas possible de rduire le niveau fonctionnel dun domaine aprs lavoir lev !
Conditions requises pour activer de nouvelles fonctionnalits tendues au domaine

Bien videmment, tout le monde sous Windows 2003 Server ne peut pas lever les niveaux fonctionnels des domaines comme il le souhaite. Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur de domaine. Voici les diffrents niveaux fonctionnels de domaine de Windows Server 2003 et les contrleurs de domaine pris en charge pour chaque niveau :
Tableau 19.2 : Niveaux de fonctionnalit dans le domaine Niveau fonctionnel du domaine Windows 2000 mixte Windows 2000 natif Windows Server 2003, version prliminaire Windows Server 2003 Contrleurs de domaine pris en charge Windows NT 4, Windows 2000, Windows Server 2003 Windows 2000, Windows Server 2003 Windows NT 4, Windows Server 2003 Windows Server 2003
Voici un rcapitulatif des diffrences fonctionnelles entre les modes de domaine :
678
Tableau 19.3 : Diffrences fonctionnelles entre les modes de domaine Fonctionnalit Renommer un contrleur de domaine Mise jour de lheure douverture de session Windows 2000 mixte Non Non Windows 2000 natif Non Non Non Windows Server 2003 Oui Oui Oui
Non Mot de passe de lutilisateur dans lobjet InetOrgPerson object Groupes Universels Groupes de distribution : oui ; Groupes de scurit : non
Oui Autorise les groupes de scurit et de distribution Oui Autorise une imbrication totale des groupes
Oui Autorise les groupes de scurit et de distribution Oui Autorise une imbrication totale des groupes
Imbrication de groupes Groupes de distribution : oui ; Groupes de scurit : non (toutefois les groupes de scurit du domaine local peuvent avoir des groupes globaux comme membres) Conversion de groupes Non Aucune conversion de groupe nest autorise
Oui Autorise la conversion entre les groupes de scurit et les groupes de distribution Oui Autorise les principaux de scurit migrer dun domaine un autre
Oui Autorise la conversion entre les groupes de scurit et les groupes de distribution Oui Autorise les principaux de scurit migrer dun domaine un autre
Historique SID
Non
Au niveau de la fort
Par dfinition la fonctionnalit de fort active les fonctionnalits travers tous les domaines de votre fort. Deux niveaux fonctionnels de fort sont disponibles : Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel de la fort vers Windows Server 2003 afin dactiver des fonctionnalits qui ne sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
j j
les approbations de fort ; une rplication accrue. 679
Chapitre 19
Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support. Attention, il nest pas possible de rduire le niveau fonctionnel dune fort aprs lavoir lev ! Tout comme pour llvation de niveau fonctionnel de domaine, ne peut pas lever qui veut le niveau fonctionnel de fort. Il est important de rappeler qulever ce niveau fonctionnel aura un impact sur toute la fort. Pour pouvoir effectuer cette manipulation, il est ncessaire de rpondre certainement conditions. Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur dentreprise. Voici les diffrents niveaux fonctionnels de fort de Windows Server 2003 et les contrleurs de domaine pris en charge pour chaque niveau :
Tableau 19.4 : Niveaux de fonctionnalit de fort Niveau fonctionnel de fort Windows 2000 Windows Server 2003, version prliminaire Windows Server 2003 Contrleurs de domaine pris en charge Windows NT 4, Windows 2000, Windows Server 2003 Windows NT 4, Windows Server 2003 Windows Server 2003
Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support. Voici un rcapitulatif des diffrences fonctionnelles entre les modes de domaine :
Tableau 19.5 : Diffrences fonctionnelles entre les modes de fort Fonctionnalit Amliorations de la rplication du catalogue global Windows 2000 Non, moins que les partenaires de rplication soient tous sous Windows Server 2003 Windows Server 2003 Oui
680
lever les niveaux fonctionnels
Fonctionnalit Objets du schma dfunts Approbations de forts Rplication de valeurs lies Changement de nom dun domaine Algorithmes amliors de la rplication Active Directory Classes auxiliaires dynamiques Changement dans InetOrgPerson objectClass
Windows 2000 Non Non Non Non Non Non Non
Windows Server 2003 Oui Oui Oui Oui Oui Oui Oui
19.3. lever les niveaux fonctionnels

En augmentant les fonctionnalits de la fort et du domaine vers Windows Server 2003, vous activez certaines fonctionnalits comme les approbations de fort, par exemple qui ne sont pas disponibles dautres niveaux fonctionnels. Vous pouvez augmenter les fonctionnalits de la fort ou du domaine en utilisant le composant logiciel enfichable Domaines et approbations Active Directory.
Figure 19.15 : Console Domaines et approbations Active Directory
lever le niveau fonctionnel du domaine

Conditions requises pour activer de nouvelles fonctionnalits tendues au domaine :
681
Chapitre 19
Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur de domaine. Pour augmenter le niveau fonctionnel du domaine, procdez ainsi : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Cliquez du bouton droit de la souris sur le domaine que vous souhaitez faire voluer et choisissez Augmenter le niveau fonctionnel du domaine. Une bote de dialogue souvre.
Figure 19.16 : Augmenter le niveau fonctionnel du domaine
3. Slectionnez le niveau dsir sur la liste droulante. Seuls les niveaux possibles apparaissent. Cliquez sur Augmenter. Une bote de confirmation apparat.
Figure 19.17 : Information de mise en garde
4. Si vous tes sr de votre choix, cliquez sur OK. Prudence Vous ne pourrez plus revenir en arrire sans un gros travail de restauration du domaine des sauvegardes Active Directory. Soyez prudent !
Figure 19.18 : Confirme que le niveau fonctionnel a bien t lev
682
lever les niveaux fonctionnels
Unique rfrence aux contrleurs de domaines dun domaine particulier Le niveau fonctionnel du domaine fait. Vous pouvez toujours utiliser des contrleurs de domaines de niveaux infrieurs dans la mme arborescence pourvu quils se situent dans des domaines diffrents.
Changer le niveau fonctionnel dune fort

Des conditions sont requises pour activer de nouvelles fonctionnalits tendues la fort Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur dentreprise. Augmenter le niveau fonctionnel de tous les domaines dune fort Vous devez augmenter le niveau fonctionnel de tous les domaines dune fort vers Windows 2000 natif ou suprieur avant de pouvoir augmenter celui de la fort. Pour augmenter le niveau fonctionnel de la fort, procdez ainsi : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Cliquez du bouton droit de la souris la racine de larborescence. Choisissez Augmenter le niveau fonctionnel de la fort. 3. Slectionnez le niveau de fonctionnalit souhait sur la liste droulante. Seuls les niveaux possibles apparaissent. Cliquez sur Augmenter. Une bote de confirmation apparat. Si le niveau de la fort ne peut pas tre augment, la bote de dialogue apparat.
Figure 19.19 : Augmenter le niveau fonctionnel de fort
4. Si vous tes sr de votre choix, Cliquez sur OK. Attention car vous ne pourrez plus revenir en arrire ! 683
Chapitre 19
19.4. Les relations dapprobation

Limplmentation du service dannuaire Active Directory touche a fin ! Il reste encore une tape facultative mais importante aborder : les relations dapprobation. Une fois limplmentation et la nouvelle organisation mises en place, cest par les relations dapprobation avec les diffrents domaines de lentreprise que puzzmania pourra continuer accder aux ressources des domaines en productions. Sous Windows Server 2003, plusieurs types de relations dapprobation existent. En voici quelques explications Le composant logiciel enfichable Domaines et approbations Active Directory permet de visualiser tous les domaines de la fort, de grer les relations dapprobation entre domaines, de modifier le mode opratoire dun domaine, de configurer les suffixes de noms principaux dutilisateurs pour la fort et enfin daccder loutil dadministration Utilisateurs et ordinateurs Active Directory. Pour rappel, quest-ce quune relation dapprobation ? Cest tout simplement un canal scuris entre des domaines, des arborescences ou de forts. Les approbations permettent aux utilisateurs dun domaine dtre authentifis par un contrleur de domaine prsent dans dautres domaines et, par nature, elles peuvent reprsenter des liaisons transitives, unidirectionnelles ou bidirectionnelles. Les domaines Windows 2003 Server sont plus simples grer que les domaines NT4 car les approbations transitives bidirectionnelles sont tablies automatiquement entre les domaines parents et enfants dans une arborescence de domaine et entre les domaines racines des arborescences dune fort. Cependant, il faut savoir que ces approbations ne sont transitives que lorsque vous avez pass vos domaines au niveau fonctionnel Windows 2000 natif ; autrement dit, lorsquil ne reste plus aucun BDC NT.
Les diffrentes approbations

Approbation racine darborescence
Celle-ci stablit implicitement lorsque vous ajoutez un nouveau domaine racine une fort. Par exemple dans le schma Approbations racine darborescence (voir fig. 19.20). Cette relation stablit entre le domaine puzzmania.com et le domaine creadesign .com. Ce dernier, qui est un nouveau domaine, vient sajouter la fort. Lapprobation est cre entre le domaine que vous vous apprtez crer (la racine de la nouvelle arborescence) et le domaine racine de la fort existante. Cela nest possible quentre les racines de deux arborescences de la mme fort. Lapprobation est alors transitive et bidirectionnelle.
684
Les relations dapprobation
Figure 19.20 : Approbations racine darborescence
Approbation parent enfant

Celle-ci stablit implicitement lorsque vous crez un nouveau domaine enfant dans une arborescence. Voyez, par exemple, le schma suivant :
Figure 19.21 : Approbations parent enfant
685
Chapitre 19
Une relation dapprobation stablit entre le domaine puzzmania.com et le corp .puzzmania.com lorsque ce dernier, un nouveau domaine enfant du domaine puzzmania.com, vient sajouter larborescence. Le processus dinstallation dActive Directory cre automatiquement une relation dapprobation entre le nouveau domaine et celui qui le prcde immdiatement dans la hirarchie de lespace de noms (par exemple, corp.puzzmania.com et cr en tant quenfant de puzzmania.com). Il en rsulte quun domaine qui rejoint une arborescence dispose immdiatement des relations dapprobations tablies avec tous les domaines de larborescence. Cela rend disponibles tous les objets de tous les domaines de larborescence pour tous les autres domaines de ladite arborescence. Lapprobation est transitive et bidirectionnelle. 19. Les fonctions et les rles dans Active Directory
Approbation raccourcie
Il sagit tout simplement dapprobations externes cres pour raccourcir le chemin entre deux domaines dune mme fort lorsque les utilisateurs de lun ou des domaines ont besoin dun accs frquent aux ressources de lautre domaine.
Figure 19.22 : Approbations raccourcie
En crant une approbation raccourcie entre deux domaines dune fort, le processus dauthentification Kerberos, par lequel un accs des ressources dans deux domaines diffrents est accord des utilisateurs, est considrablement plus court dun point de vue du nombre de domaine traverser, rduisant dautant le trafic dauthentification et acclrant le processus le processus dauthentification interdomaine. Ce type de relations dapprobations reste utile uniquement pour les organisations possdant plusieurs niveaux de domaines.
686
Approbation externe
galement appel "approbation sens unique", ce type dapprobation est unidirectionnel et non transitif (similaire NT) et doit tre cr explicitement laide de la console Domaines et approbations Active Directory. Dans une approbation externe le domaine approuvant approuve le domaine approuv et les utilisateurs du domaine approuv peuvent accder aux ressources du domaine approuvant, condition quils disposent des autorisations adquates sur les ressources auxquelles ils essaient daccder. 19. Les fonctions et les rles dans Active Directory
Figure 19.23 : Approbations raccourcie
Vous pouvez tablir explicitement une approbation externe entre un domaine Windows Server 2003 et un autre domaine Windows Server 2003, un domaine Windows 2000 Server ou un domaine NT. Vous pouvez galement crer une approbation bidirectionnelle non transitive entre deux domaines en crant deux approbations unidirectionnelles dans des sens opposs. Voici les utilisations types des approbations externes :
j j
pour tablir une approbation explicite entre un domaine Windows Server 2003 ou Windows 2000 Server et un domaine NT4 ; pour tablir une approbation explicite entre deux domaines Windows Server 2003 et Windows 2000 se trouvant dans des forts diffrentes.
687
Chapitre 19
Approbation au niveau de la fort

Les approbations de fort sont nouvelles sous Windows Server 2003. Elles ne sont disponibles que pour les forts configures au niveau fonctionnel de fort Windows 2003. Les approbations de fort permettent aux utilisateurs dune fort daccder aux ressources dune autre fort en utilisant lauthentification Kerberos ou NTLM. Les approbations de forts sont des approbations transitives qui peuvent tre cres manuellement entre les domaines racines des deux forts. Elles ajoutent une nouvelle souplesse supplmentaire la planification dune implmentation dActive Directory. Notons toutefois que les approbations de fort sont des approbations externes cres entre les domaines racines de deux forts. Que les approbations de forts ne fonctionnent quentre deux forts. Autrement dit, si une approbation de fort et cre entre A et B et une seconde entre B et C, il ny a aucune approbation implicite entre les forts A et C ; la transitivit nest valide quentre deux forts connectes par lapprobation.
Approbation domaine kerberos

Encore une des nouveauts sous Windows Server 2003, Il est possible maintenant de raliser des approbations Kerberos. Ce sujet ne concerne pas le propos de cet ouvrage et son tude de cas, et nous vous invitons consulter les diffrents sites Internet traitant de Windows Server 2003.
Le fonctionnement des approbations

Comment fonctionnent les approbations dans une fort ?
Les approbations permettent aux utilisateurs dun domaine daccder aux ressources dun autre domaine. Les relations dapprobation peuvent tre transitives ou non transitives.
Comment les approbations permettent aux utilisateurs daccder aux ressources dune fort
Lorsquun utilisateur tente daccder une ressource dun autre domaine, le protocole dauthentification Kerberos, version 5, doit dterminer si le domaine approuver (cest--dire le domaine qui contient la ressource laquelle tente daccder lutilisateur) possde une relation dapprobation avec le domaine approuv (cest--dire le domaine dans lequel lutilisateur tente douvrir une session). Pour dterminer cette relation, le protocole Kerberos, version 5, suit le chemin dapprobation en utilisant le TDO afin dobtenir une rfrence au contrleur de domaine du domaine cible. Le contrleur de domaine cible met un ticket de service pour le service demand. Le chemin dapprobation est le chemin daccs le plus court dans la hirarchie dapprobation. 688
Lorsquun utilisateur du domaine approuv tente daccder aux ressources dun autre domaine, son ordinateur contacte dabord le contrleur de domaine de son domaine afin dobtenir lauthentification pour la ressource. Si la ressource ne se trouve pas dans le domaine de lutilisateur, le contrleur de domaine utilise la relation dapprobation avec son parent et renvoie lordinateur de lutilisateur vers un contrleur de domaine de son domaine parent. Cette tentative de localisation de la ressource se poursuit jusquau sommet de la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la hirarchie tant quun contact nest pas tabli avec un contrleur de domaine du domaine dans lequel se trouve la ressource.
Comment fonctionnent les approbations entre les forts ?

Windows Server 2003 prend en charge les approbations entre forts, qui permettent aux utilisateurs daccder aux ressources dune autre fort. Lorsquun utilisateur tente daccder aux ressources dune fort approuve, Active Directory doit pralablement rechercher les ressources. Une fois que les ressources ont t localises, lutilisateur peut tre authentifi et autoris accder aux ressources. Si vous comprenez bien le fonctionnement de ce processus, vous serez mme de rsoudre les problmes susceptibles de survenir avec les approbations entre forts.
Comment seffectue laccs une ressource

Nous vous donnons une description de la manire dont un ordinateur client Windows 2000 Professionnel ou Windows XP Professionnel recherche et accde aux ressources dune autre fort dote de serveurs Windows 2000 Server ou Windows Server 2003. 1. Un utilisateur qui a ouvert une session sur le domaine corp.puzzmania.com tente daccder un dossier partag de la fort creadesign.com. Lordinateur de lutilisateur contacte le KDC dun contrleur de domaine de corp.puzzmania.com et demande un ticket de service en utilisant le SPN de lordinateur sur lequel rsident les ressources. Un SPN peut tre le nom DNS dun hte ou dun domaine, ou le nom unique dun objet point de connexion de service. 2. Les ressources ne sont pas localises dans corp.puzzmania.com, le contrleur de domaine de corp.puzzmania.com demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la fort. tant donn quun catalogue global ne contient que des informations relatives sa propre fort, il ne trouve pas le SPN. Il recherche alors dans sa base de donnes les informations relatives des approbations de fort qui ont t tablies avec sa fort. Sil en trouve une, il compare les suffixes de noms rpertoris dans le TDO de lapprobation de fort par rapport au suffixe du SPN cible. Sil trouve une correspondance, le catalogue global fournit les informations de routage relatives la manire de localiser les ressources au contrleur de domaine de corp.puzzmania.com.
689
Chapitre 19
3. Le contrleur de domaine de corp.puzzmania.com envoie une rfrence son domaine parent, puzzmania.com, lordinateur de lutilisateur. 4. Lordinateur de lutilisateur contacte un contrleur de domaine de puzzmania.com pour obtenir une rfrence un contrleur de domaine du domaine racine de la fort creadesign.com. 5. Grce la rfrence renvoye par le contrleur de domaine de puzzmania.com, lordinateur de lutilisateur contacte un contrleur de domaine de la fort creadesign.com pour obtenir un ticket de service pour le service demand. 19. Les fonctions et les rles dans Active Directory 6. Les ressources ne se trouvent pas dans le domaine racine de la fort creadesign .com, le contrleur de domaine contacte donc son catalogue global pour trouver le SPN. Le catalogue global trouve une correspondance pour le SPN et lenvoie au contrleur de domaine. 7. Le contrleur de domaine envoie une rfrence etude.creadesign.com lordinateur de lutilisateur. 8. Lordinateur de lutilisateur contacte le KDC sur le contrleur de domaine detude .creadesign.com et ngocie un ticket pour lutilisateur afin de pouvoir accder aux ressources du domaine etude.creadesign.com. 9. Lordinateur de lutilisateur envoie le ticket de service lordinateur sur lequel se trouvent les ressources partages, il lit les informations didentification de scurit et cre un jeton daccs permettant lutilisateur daccder aux ressources.
Crer des approbations

Vous pouvez utiliser Domaines et approbations Active Directory pour crer des relations dapprobation entre des forts ou entre des domaines de la mme fort. Vous pouvez galement lutiliser pour crer des approbations raccourcies. Avant de crer une relation de fort, vous devez crer une zone secondaire de recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le serveur DNS dune autre fort. La cration de zones secondaires de recherche inverse garantit que le contrleur de domaine de la fort dans laquelle vous crez une approbation de fort est mme de localiser un contrleur de domaine de lautre fort et de dfinir une relation dapprobation. Pour crer une approbation, procdez comme suit : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Dans larborescence de la console, suivez lune de ces tapes
j j
Pour crer une approbation de fort, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine racine de la fort, puis cliquez sur Proprits. Pour crer une approbation raccourcie, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine avec lequel vous souhaitez tablir une approbation raccourcie, puis cliquez sur Proprits.
690
Pour crer une approbation externe, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine avec lequel vous souhaitez tablir une approbation, puis cliquez sur Proprits.
Figure 19.24 :
Proprits de corp.puzzmania.com
19. Les fonctions et les rles dans Active Directory Pour crer une approbation de domaine, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
3. Sous longlet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
Figure 19.25 : Assistant de cration de la nouvelle approbation
691
Chapitre 19
4. Dans la page daccueil de lAssistant Nouvelle approbation, cliquez sur Suivant. 5. Sur la page Nom dapprobation, suivez lune de ces tapes
j j j j
Si vous crez une approbation de fort, tapez le nom DNS de la deuxime fort, puis cliquez sur Suivant. Si vous crez une approbation raccourcie, tapez le nom DNS du domaine, tapez et confirmez le mot de passe de lapprobation, puis cliquez sur Suivant. Si vous crez une approbation externe, tapez le nom DNS du domaine, puis cliquez sur Suivant. Si vous crez une approbation de domaine, tapez le nom DNS du domaine cible, puis cliquez sur Suivant.
6. Sur la page Type dapprobation, suivez lune de ces tapes

j j j
Si vous crez une approbation de fort, cliquez sur Approbation de fort, puis sur Suivant. Si vous crez une approbation raccourcie, passez ltape 7. Si vous crez une approbation externe, cliquez sur Approbation externe, puis sur Suivant.
Figure 19.26 : Type dapprobation
Si vous crez une approbation de domaine, cliquez sur Approbation de domaine, puis sur Suivant. Sur la page Transitivit de lapprobation, suivez lune de ces tapes suivantes
Pour crer une relation dapprobation avec le domaine et le domaine Kerberos spcifi, cliquez sur Non transitif, puis sur Suivant. Pour crer une relation dapprobation avec le domaine et le domaine Kerberos spcifi, cliquez sur Transitif, puis sur Suivant.
692
En rsum
7. Dans la page Direction de lapprobation, suivez lune de ces tapes

j j j
Pour crer une approbation bidirectionnelle, cliquez sur Bidirectionnel, puis suivez les instructions de lassistant. Pour crer une approbation unidirectionnelle entrante, cliquez sur Sens unique : en entre, puis suivez les instructions de lassistant. Pour crer une approbation unidirectionnelle sortante, cliquez sur Sens unique : en sortie, puis suivez les instructions de lassistant.
19.5. En rsum
Concluons ce chapitre par deux questions importantes Combien y a-t-il de rles matres doprations et comment peut-on les administrer ? Il y a cinq rles matres doprations deux pour la fort et trois par domaine, il est possible de les administrer depuis la MMC ou en lignes de commandes laide de NTDSUtil. Pour la fort
j j
Contrleur de schma : schema master (matre du schma). Matre dattribution de noms de domaine : domain naming master (matre nom de domaine).
Pour le domaine
j j j
Matre des ID relatifs : rid master (matre identificateur relatif). mulateur PDC : pdc (mulateur de PDC). Matre dinfrastructure : domain naming master (matre nom de domaine).
Nous avons vu galement quil tait possible dutiliser des fonctionnalits avances sous Windows Server 2003. Autre question : comment est-il possible dutiliser les fonctions avances de Windows Server 2003 ? En levant les niveaux fonctionnels, de la fort et des domaines. Voici un rcapitulatif des diffrents niveaux. Au niveau de la fort :
j j j
Windows 2000 ; Windows Server 2003, version prliminaire ; Windows Server 2003, natif. 693
Chapitre 19
Au niveau du domaine :
j j j j
Windows 2000 mixte ; Windows 2000 natif ; Windows Server 2003, version prliminaire ; Windows Server 2003 natif.
Nous avons galement abord le catalogue global et les relations dapprobations. 19. Les fonctions et les rles dans Active Directory Enfin, ne perdez pas de vue deux choses :
j j
Nhypothquez jamais lavenir concernant vos machines dinfrastructure. Il ny a quasiment pas ou peu de mauvaise solution tant que votre implmentation, aussi bizarre soit-elle, rpond vos besoins. Lun des avantages dActive Directory rside dans sa souplesse.
694
Chapitre 20
La maintenance dActive Directory

20.1 20.2 20.3 20.4 20.5 Sauvegarder Active Directory . . . . . . . . . Restaurer Active Directory . . . . . . . . . . Dfragmenter et dplacer Active Directory Prendre les rles matres . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 . 700 . 704 . 707 . 712
Sauvegarder Active Directory
e chapitre dcrit les oprations de maintenance dActive Directory les plus couramment effectues : la prise de rles matres dopration, la dfragmentation et le dplacement dActive Directory. Les plus critiques sont, bien sr, les oprations de sauvegarde et de restauration de lannuaire. Il est obligatoire en entreprise de nos jours de mettre en place un plan de sauvegarde et de restauration dActive Directory. Il y va de la survie de linfrastructure. Commenons justement le chapitre par cette partie.
20.1. Sauvegarder Active Directory

La sauvegarde dActive Directory est une pierre angulaire de votre infrastructure. Cest une tape importante, bien que la restauration soit en fait lopration essentielle en cas de dfaillance. Mais une restauration russie implique une sauvegarde minutieusement prpare, implmente et surveille. Que signifie sauvegarder Active Directory ? Cela veut dire sauvegarder tous les fichiers ncessaires au bon fonctionnement et la rcupration dActive Directory. Sous Windows Server 2003, tous ces fichiers sont regroups dans ce que lon appelle ltat du systme. Ltat du systme englobe les lments suivants
j j j
20. La maintenance dActive Directory
Le dossier partag Sysvol : il contient les modles Stratgie de groupe et les scripts douverture de session. La base de Registre : elle contient les informations sur la configuration de lordinateur. Les fichiers de dmarrage du systme : Windows Server 2003 requiert ces fichiers lors de la phase de dmarrage initial. Ils incluent les fichiers systme et de dmarrage sous la protection de fichier Windows et sont utiliss par Windows pour charger, configurer et excuter le systme dexploitation. La base de donnes des inscriptions de classe COM+ : elle contient des informations sur les applications des services de composants. La base de donnes des services de certificats : elle contient les certificats quun serveur excutant Windows Server 2003 utilise pour authentifier les utilisateurs. Elle est prsente uniquement si le serveur fonctionne comme serveur de certificats. Active Directory : la base en elle-mme est compose des fichiers suivants : Ntds.dit : il sagit de la base de donnes Active Directory qui stocke tous les objets dActive Directory au niveau du contrleur de domaine. Lextension .dit fait rfrence larborescence des informations de lannuaire. Son emplacement par dfaut est le dossier %systemroot%\NTDS. Active Directory enregistre chaque transaction dans un ou plusieurs fichiers journaux associs au fichier Ntds.dit. 697
j j
Chapitre 20
Edb*.log : il sagit du fichier journal des transactions dont le nom par dfaut est Edb.log et dont la capacit est de 10 Mo environ. Lorsque le fichier Edb.log est satur, Active Directory cre un autre fichier dnomm Edbxxxxx.log (o xxxxx correspond lordre chronologique de cration). Edb.chk : il sagit dun fichier de points de vrification que la base de donnes utilise pour garder une trace des donnes qui ne sont pas encore crites dans le fichier Ntds.dit. Le fichier de points de vrification est un pointeur qui conserve des donnes de statut entre la mmoire et le fichier Ntds.dit sur le disque. Il indique le point de dbut partir duquel les informations doivent tre rcupres en cas de dfaillance. Res1.log et Res2.log : il sagit des fichiers journaux de transactions. La quantit despace disque rserve sur un disque ou dans un dossier pour les journaux de transactions est de 20 Mo. Cet espace disque offre aux fichiers journaux de transactions une marge suffisante de fermeture si le reste de lespace disque est utilis. 20. La maintenance dActive Directory Quels sont les outils qui permettent de sauvegarder Active Directory ? Tous les outils tiers disponibles sur le march de la sauvegarde sont capables de sauvegarder et de restaurer Active Directory, et donc ltat du systme (par exemple, Backup Exec de Symantec Veritas ou BrightStor Arcserve Backup de Computer Associates). Windows Server 2003 propose de sauvegarder de manire simple ltat du systme avec lutilitaire de sauvegarde (NTBackup), en gnrant un fichier de sauvegarde au format .bkf. Cet outil sera utilis dans ce qui suit. Utilisation de NTBackup Lutilitaire de sauvegarde NTBackup permet de sauvegarder ou de restaurer tout type de fichier, et pas seulement Active Directory. Pour les petites entreprises, il sagit dun outil de sauvegarde et de restauration part entire. Quels sont les principaux conseils pour la planification de sauvegarde de ltat du systme ? Tout dpend si vous souhaitez sauvegarder ltat du systme avec votre outil tiers (si vous en possdez un) ou si vous prfrez utiliser NTBackup. NTBackup est un outil fiable et robuste lorsquil effectue cette tche de sauvegarde parce quil a t conu dans cette optique par Microsoft. Quant la frquence de sauvegarde, sachez quelle doit tre adapte au nombre de modifications quotidiennes effectues dans Active Directory et la granularit de restauration que vous dsirez. Couramment, dans une entreprise de taille moyenne, une sauvegarde par nuit, toutes les nuits, est suffisante. Pour ce qui est de la rtention, elle ne doit pas dpasser soixante jours car, pass ce dlai, la sauvegarde nest plus valide pour la restauration. Sauvegardez et faites des cycles darchivage tous les 60 jours. Les sauvegardes effectues doivent tre compltes, vu le caractre changeant des fichiers jour aprs jour.
698
Sauvegarder Active Directory
Par rapport ltude de cas, Puzzmania, on a dcid de sauvegarder ltat du systme sur la totalit des contrleurs de domaine. La socit possdant un outil tiers de sauvegarde centralis, il est quand mme dcid de configurer NTBackup sur tous les contrleurs de domaine afin de sauvegarder ltat du systme. Cela permet, en cas de panne du logiciel de sauvegarde centralis, davoir au moins une sauvegarde dActive Directory qui aura fonctionn. NTBackup est configur pour crire le fichier de sauvegarde .bkf sur le contrleur de domaine. Ce fichier sera ensuite sauvegard ailleurs (soit recopi par scripts sur un point du rseau, soit sauvegard par loutil tiers de sauvegarde), puis archiv. Les sauvegardes de ltat du systme sont ralises chaque nuit en mode complet. Pour sauvegarder ltat du systme (ici du contrleur de domaine SNCERCDC01), procdez ainsi : 1. Dans le menu Dmarrer, pointez sur Programmes/Accessoires/Outils systme, puis cliquez sur Utilitaire de sauvegarde. 20. La maintenance dActive Directory 2. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 3. Sur la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des paramtres, puis sur Suivant. 4. Sur la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les fichiers sauvegarder, puis sur Suivant. 5. Sur la page lments sauvegarder, dveloppez la zone Poste de travail, activez la case cocher System State, puis cliquez sur Suivant.
Figure 20.1 : tat du systme sauvegarder
6. Sur la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir. Slectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer, puis sur Suivant. 7. Sur la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer.
699
Chapitre 20
Figure 20.2 : Sauvegarde en cours
8. Une fois la sauvegarde termine, sur la page Sauvegarde en cours, cliquez sur Fermer. 20. La maintenance dActive Directory Vous pouvez utiliser les options de sauvegarde avances de lutilitaire de sauvegarde pour dfinir ou configurer des paramtres, comme la vrification des donnes, la compression matrielle et les tiquettes de support. Sauvegarde des contrleurs de domaine Cette section explique comment sauvegarder Active Directory titre indicatif. Mais, en entreprise, vous sauvegarderez le contrleur de domaine, savoir lintgralit du disque systme (lecteur C), les fichiers de donnes importants, sil y en a, et ltat du systme.
20.2. Restaurer Active Directory

Active Directory vient de montrer une dfaillance, suite une panne matrielle, une dfaillance logicielle, une erreur humaine, etc. ? Pas de panique ! Vous allez procder une restauration totale ou partielle, en fonction du cas de figure. Si vous avez bien conu et implment votre sauvegarde dActive Directory, tout va bien se passer. Plusieurs mthodes de restauration soffrent vous :
j
Vous pouvez rinstaller le contrleur de domaine, puis laisser le processus de rplication normale alimenter le nouveau contrleur de domaine avec les donnes de ses rplicas. Cest la mthode la plus longue, nutiliser quen dernier recours. videmment, si vous navez quun seul contrleur de domaine, elle marche moins bien. Vous pouvez utiliser lutilitaire de sauvegarde NTBackup pour restaurer des donnes rpliques partir dun support de sauvegarde (un fichier .bkf par exemple) sans rinstaller le systme dexploitation ni reconfigurer le contrleur de domaine. Cest cette mthode de restauration qui va tre dveloppe.
700
Restaurer Active Directory
partir dune sauvegarde de ltat du systme correctement effectue, vous pouvez restaurer Active Directory en utilisant NTBackup, mais cette restauration doit imprativement seffectuer en mode de dmarrage de Windows Server 2003, appel mode restauration Active Directory. Dans ce mode, il est possible de restaurer Active Directory de deux faons diffrentes :
j j
selon une restauration autoritaire ; selon une restauration non autoritaire.
Choisir une restauration non autoritaire

Le principe de ce mode est de restaurer, sur un contrleur de domaine, ltat du systme en date de la dernire sauvegarde afin de rsoudre un problme de type remplacement de contrleur de domaine dfectueux ou de dommage dans Active Directory. Si dautres contrleurs de domaine sur le rseau font vivre Active Directory (cration, suppression dobjets) pendant le temps de restauration de lun des leurs, ils rpliqueront, lors du redmarrage en mode normal, les modifications (entre ce moment et la dernire sauvegarde) sur le contrleur de domaine frachement restaur. On les dit autoritaires sur la rplication alors que lon dit du contrleur de domaine restaur quil est non autoritaire. Pour effectuer une restauration non autoritaire dActive Directory, par exemple sur SNCERCDC01, procdez ainsi : 1. Redmarrez le contrleur de domaine, appuyez sur [F8] pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis validez. 20. La maintenance dActive Directory
Figure 20.3 : Redmarrage en mode de restauration Active Directory
701
Chapitre 20
2. Ouvrez une session laide du mot de passe de restauration indiqu au moment de linstallation dActive Directory et dmarrez NTBackup. 3. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 4. Sur la page Sauvegarder ou restaurer, cliquez sur Restaurer des fichiers et des paramtres. 5. Sur la page Que voulez-vous restaurer, sous la rubrique lments restaurer, slectionnez la sauvegarde que vous dsirez, dveloppez la liste, activez la case cocher System State, puis cliquez sur Suivant.
Figure 20.4 : tat du systme restaurer
6. Sur la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer. 7. Sur la bote de dialogue Avertissement, cliquez sur OK.
Figure 20.5 : Restauration en cours
702
Restaurer Active Directory
8. Une fois la restauration termine, dans la bote de dialogue Restauration en cours, cliquez sur Fermer. 9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Choisir une restauration autoritaire

La restauration autoritaire sappuie sur une restauration non autoritaire (cest--dire quelle utilise la mme procdure) mais ensuite, avant le redmarrage du contrleur de domaine en mode normal, elle utilise la commande Ntdsutil pour marquer des objets (units dorganisation, voire Active Directory tout entier) comme tant autoritaires sur toute autre modification effectue depuis, dans Active Directory. Cela veut dire que, lors du redmarrage en mode normal du contrleur de domaine frachement restaur, les objets marqus par Ntdsutil sont rpliqus vers les autres contrleurs de domaine, mme en cas de version plus rcente prsente sur les autres contrleurs de domaine. Les objets font alors autorit, ils sont pousss du contrleur de domaine restaur vers les autres. Pour effectuer une restauration force, procdez ainsi. Dans cet exemple, nous allons restaurer de faon autoritaire lunit dorganisation qui sappelle Serveurs. 1. Redmarrez le contrleur de domaine en mode de restauration Active Directory. 2. Restaurez Active Directory dans son emplacement dorigine (procdure de restauration non autoritaire). 3. Ouvrez une Invite de commandes, saisissez Ntdsutil. 4. linvite ntdsutil, saisissez authoritative restore. 5. linvite authoritative restore, saisissez ou=serveurs,dc=puzzmania,dc=com et validez.
restore subtree
Figure 20.6 : Restauration autoritaire dune unit dorganisation
703
Chapitre 20
6. Saisissez quit et appuyez sur [].
20.3. Dfragmenter et dplacer Active Directory

Cette section est consacre deux oprations de maintenance qui sont, tort, souvent ngliges : la dfragmentation et le dplacement dActive Directory.
Dfragmenter Active Directory

La fragmentation de la base de donnes se produit au fur et mesure que des enregistrements sont ajouts ou supprims. Lorsque les enregistrements sont fragments, lordinateur doit parcourir la base de donnes Active Directory pour rechercher tous les enregistrements, chaque fois que cette dernire est ouverte. Cette recherche ralentit le temps de rponse. La fragmentation diminue galement les performances gnrales des oprations de la base de donnes Active Directory. Pour rgler les problmes lis la fragmentation, vous devez dfragmenter la base de donnes Active Directory. La dfragmentation est le processus de rcriture des enregistrements dans des secteurs contigus de la base de donnes Active Directory : il accrot la vitesse daccs et dextraction. Lorsque les enregistrements sont mis jour, Active Directory enregistre ces mises jour dans le plus large espace contigu de la base de donnes Active Directory. Cela revient recopier ailleurs Active Directory, mais de faon propre. On appelle cette technique "dfragmentation hors connexion". Pour dfragmenter une base de donnes Active Directory hors connexion, excutez les tapes suivantes : 1. Sauvegardez les donnes dtat du systme. 2. Redmarrez le contrleur de domaine, appuyez sur [F8] pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis validez. 3. Ouvrez une session laide du mot de passe de restauration indiqu au moment de linstallation dActive Directory. 4. Ouvrez une Invite de commandes, saisissez ntdsutil et validez. 5. Saisissez files et validez. 6. linvite files, saisissez compact to d:\defrag (o d:\defrag dfinit le chemin daccs) et validez. Cette tape permet de dfinir un emplacement avec suffisamment despace disque libre pour y stocker la base de donnes compresse. Une nouvelle base de donnes Ntds.dit est cre lemplacement spcifi.
20. La maintenance dActive Directory 704
Dfragmenter et dplacer Active Directory
Figure 20.7 : Dfragmentation dActive Directory
7. Saisissez quit et validez. Pour revenir lInvite de commandes, saisissez de nouveau quit. 8. Remplacez lancien fichier Ntds.dit par le nouveau fichier dans le chemin daccs de la base de donnes Active Directory. 9. Redmarrez le contrleur de domaine en mode normal.
Dplacer Active Directory

Vous dplacez une base de donnes vers un nouvel emplacement lorsque vous dfragmentez cette dernire (lexercice prcdent vous la montr). Le dplacement ne supprimera pas la base de donnes originale, que vous pourrez donc utiliser si la base de donnes dfragmente ne fonctionne pas ou est corrompue. En outre, si votre espace disque est limit, vous pourrez ajouter un autre disque dur pour y placer la base de donnes dfragmente. Vous pouvez aussi dplacer les fichiers de la base de donnes en vue deffectuer une opration de maintenance matrielle. Si le disque de stockage des fichiers doit tre mis niveau ou doit subir une opration de maintenance, vous pouvez dplacer les fichiers vers un autre emplacement de faon temporaire ou permanente. Pour dplacer la base de donnes Active Directory, procdez ainsi : 1. Par prcaution, sauvegardez Active Directory.
705
Chapitre 20
2. Redmarrez le contrleur de domaine, appuyez sur [F8] pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis validez. 3. Ouvrez une session laide du mot de passe de restauration indiqu au moment de linstallation dActive Directory. 4. linvite de commandes, saisissez ntdsutil et validez. 5. Saisissez files et validez. 6. linvite files, et aprs avoir dfini un emplacement offrant suffisamment despace pour y stocker la base de donnes, saisissez move DB to d:\newadpath (o d:\newadpath correspond au chemin daccs sur lordinateur local o vous voulez placer la base de donnes), puis validez.
Figure 20.8 : Dplacement dActive Directory
La base de donnes Ntds.dit est dplace vers lemplacement spcifi. 7. Saisissez quit et appuyez sur []. Pour revenir lInvite de commandes, saisissez de nouveau quit. 8. Redmarrez le contrleur de domaine en mode normal. 706
Prendre les rles matres
20.4. Prendre les rles matres

Certains rles matres dopration sont dterminants pour le fonctionnement dun rseau. Dautres peuvent tre indisponibles pendant un certain temps avant que leur absence ne pose problme.
Pour plus dinformations sur les matres dopration, consultez lAnnexe Les ports et services Active Directory. Si un serveur matre dopration nest pas disponible, la suite dune dfaillance matrielle ou dun problme du rseau, vous pouvez prendre le rle matre dopration. Ce processus est galement dsign comme un transfert forc du rle matre dopration. Mais attention, ne prenez pas le rle matre dopration si vous pouvez le transfrer la place. Il faut que laction de prise de rle soit mrement rflchie et que toutes les contraintes soient tudies. Avant de forcer le transfert, dterminez dabord la cause et la dure approximative de la panne du contrleur de domaine ou du rseau. Si le problme est d une dfaillance du rseau ou du serveur qui sera rpare rapidement, attendez que le propritaire du rle soit nouveau disponible. Par contre, si le contrleur de domaine qui dtient actuellement le rle est indisponible, vous devez dterminer sil est possible de le rcuprer et de le remettre ligne. En rgle gnrale, la prise du rle matre dopration est une tape lourde de consquences, que vous devez envisager uniquement si vous tes sr que le matre dopration actuel ne sera plus disponible. La dcision dpend du rle et du temps pendant lequel le propritaire du rle sera indisponible. Dans les manipulations qui suivent, nous allons transfrer un rle de SNCERCDC01 vers SNCERCDC02.
Prendre le rle matre de schma

Une perte temporaire du contrleur de schma nest pas visible pour les utilisateurs sauf sils tentent de modifier le schma ou dinstaller une application qui modifie le schma pendant linstallation. Si le contrleur de schma nest pas disponible pendant un dlai trop prolong, vous pouvez prendre le rle et lattribuer au contrleur de domaine que vous jugerez apte recevoir le rle, uniquement lorsque la dfaillance du contrleur de schma est dfinitive.
707
Chapitre 20
Prise du rle matre de schma Un contrleur de domaine dont le rle matre de schma a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre de schma, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 20. La maintenance dActive Directory 6. Saisissez seize schema master.
Figure 20.9 : Prise du rle matre de schma
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [] pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [] pour quitter Ntdsutil.
Prendre le rle matre dattribution de noms de domaine

Une perte temporaire du matre dattribution de noms de domaine nest pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf sils tentent dajouter ou de supprimer un domaine de la fort. Si le matre dattribution de noms de domaine nest pas disponible pendant un dlai trop prolong, vous pouvez prendre le rle et lattribuer au contrleur de domaine que vous jugerez apte recevoir le rle, uniquement lorsque la dfaillance du matre dattribution de noms de domaine est dfinitive.
708
Prise du rle matre dattribution de noms de domaine Un contrleur de domaine dont le rle matre dattribution de noms de domaine a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre dattribution de noms de domaine, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize domain naming master. 20. La maintenance dActive Directory
Figure 20.10 : Prise du rle matre dattribution de noms de domaine
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [}]pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [}]pour quitter Ntdsutil.
Prendre le rle matre des ID relatifs

Une perte temporaire du matre des ID relatifs nest pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf sils sont en train de crer des objets et si le domaine o ils les crent na pas suffisamment dID relatifs. Si le matre des ID relatifs nest pas disponible pendant un dlai trop prolong, vous pouvez prendre le rle et lattribuer au contrleur de domaine que vous jugerez apte recevoir le rle, uniquement lorsque la dfaillance du matre dID relatifs est dfinitive.
709
Chapitre 20
Prise du rle de matre des ID relatifs Un contrleur de domaine dont le rle de matre des ID relatifs a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre dID relatifs, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 20. La maintenance dActive Directory 6. Saisissez seize RID master.
Figure 20.11 : Prise du rle matre dID relatifs
Prendre le rle matre dmulateur PDC

La perte du matre dmulateur PDC affecte les utilisateurs. Par consquent, sil est indisponible, vous pouvez prendre immdiatement le rle. Si le matre dmulateur PDC est indisponible pendant un dlai relativement court et que son domaine runit soit des clients dont le systme dexploitation est antrieur Windows 2000, soit des contrleurs secondaires de domaine Windows NT, prenez son rle et attribuez-le au contrleur de domaine que vous jugerez apte recevoir le rle. Lorsque le matre dmulateur PDC dorigine est nouveau en service, vous pouvez attribuer nouveau le rle au contrleur de domaine dorigine.
710
Pour prendre le rle matre dmulateur PDC, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize PDC.
Figure 20.12 : Prise du rle matre dmulateur PDC
Prendre le rle matre dinfrastructure

La perte temporaire du matre dinfrastructure nest pas visible pour les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf sils ont dplac ou renomm rcemment un nombre important de comptes. Si le matre dinfrastructure nest pas disponible pendant un dlai trop prolong, vous pouvez prendre le rle et le transfrer un contrleur de domaine qui nest pas un serveur de catalogue global, mais qui est reli correctement ce type de serveur ( partir de nimporte quel domaine) et situ de prfrence sur le mme site que lui.
711
Chapitre 20
Lorsque le matre dinfrastructure dorigine est nouveau en service, vous pouvez attribuer nouveau le rle au contrleur de domaine dorigine. Pour prendre le rle matre dinfrastructure, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize infrastructure master. 20. La maintenance dActive Directory
Figure 20.13 : Prise du rle matre dinfrastructure
20.5. En rsum
Ce chapitre dcrit quelques oprations de maintenance dActive Directory. Pour conclure le sujet des sauvegardes et des restaurations dActive Directory, notez que ce que ne dit pas la procdure cest : comment vous organisez-vous ? Il vous revient de vous organiser pour conserver les sauvegardes et retrouver la bonne le moment voulu. Effectivement, la russite dune restauration dpend aussi de votre capacit 712
En rsum
copier les sauvegardes sur un support (chemin rseau, disques durs, bandes), puis les archiver correctement et ressortir le bon jeu de sauvegardes au moment opportun. Vous devez inclure la sauvegarde et la restauration dActive Directory dans votre plan directeur de sauvegarde.
20. La maintenance dActive Directory 713
Chapitre 21
La scurisation dActive Directory

21.1 21.2 21.3 21.4 21.5 21.6 21.7 21.8 21.9 21.10 Limportance de la scurit Active Directory . . . . . . . . . . . . . Identier les types de menaces pour la scurit Active Directory tablir des frontires sres . . . . . . . . . . . . . . . . . . . . . . . . Slectionner une structure Active Directory scurise . . . . . . . Scuriser les comptes dadministration des services . . . . . . . . Limiter lexposition des comptes dadministration des services . Scuriser les mthodes dadministration des donnes . . . . . . . Protger les serveurs DNS et les donnes DNS . . . . . . . . . . . . Scuriser les relations interforts . . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717 . 717 . 719 . 720 . 720 . 721 . 723 . 728 . 731 . 732
Identifier les types de menaces pour la scurit Active Directory
otre Active Directory correctement en place et sous contrle, il vous faut le scuriser. Ce chapitre prsente des mthodes avances qui vous permettront de renforcer la scurit du service dannuaire au sein de lentreprise. En particulier, les thmes suivants vont tre abords : limportance de la scurit dActive Directory, lidentification des types de menaces pour la scurit, ltablissement de frontires sres, la slection dune structure Active Directory, la scurisation des comptes dadministration des services, la limitation de lexposition des comptes dadministration des services, la scurisation des mthodes dadministration des donnes, la protection des serveurs DNS, la protection des donnes DNS.
21.1. Limportance de la scurit Active Directory

Active Directory constitue la pice matresse de la scurisation des infrastructures rseau bases sur Windows Server 2003. Afin de garantir la scurit de lenvironnement informatique, Windows demande vrifier lidentit de chaque utilisateur avant de lautoriser accder aux ressources rseau. Les deux processus principaux qui grent cette vrification et laccs aux ressources rseau sont les suivants
j j
Lauthentification : lors de louverture de session, la procdure dauthentification vrifie lidentit des utilisateurs. Lautorisation : lorsque les utilisateurs rseau tentent de se connecter des serveurs ou autres priphriques rseau, la procdure dautorisation peut leur accorder ou leur refuser laccs la ressource.
21. La scurisation dActive Directory
Dans la mesure o la structure dActive Directory abrite toutes les donnes dauthentification et dautorisation, ainsi que le service distribu qui gre ces donnes, sa scurit est critique. Active Directory fournit de nombreux composants cls pour authentifier les utilisateurs et gnrer des donnes dautorisation qui contrlent laccs aux ressources du rseau. Une violation de la scurit Active Directory peut affaiblir cette fondation et entraner la perte de laccs lgitime aux ressources rseau ou la divulgation inapproprie ou mme la perte dinformations sensibles.
21.2. Identier les types de menaces pour la scurit Active Directory

Pour scuriser un environnement Active Directory, vous devez dabord valuer les menaces qui peuvent mettre en danger le dploiement de votre structure Active Directory. Vous pourrez ainsi runir les informations ncessaires la mise en uvre de moyens dissuasifs contre chaque menace avant la survenue de problmes potentiels. Lidentification des sources de menaces contre Active Directory constitue le point de dpart pour mieux comprendre et laborer un plan de scurit efficace. Active Directory dfinit les groupes dutilisateurs et, par dfaut, implmente les stratgies qui 717
Chapitre 21
limitent laccs utilisateur aux ressources et aux services rseau. Par consquent, chaque groupe dutilisateurs reprsente une menace potentielle spcifique.
j
Utilisateurs anonymes : ce groupe reprsente laccs non authentifi au rseau qui est activ lorsque les paramtres de stratgie de groupe permettent laccs anonyme et que les autorisations sur les ressources sont dfinies pour permettre laccs une ouverture de session anonyme par le biais du groupe Accs compatible Pr-Windows 2000. Autoriser laccs des utilisateurs anonymes peut entraner une baisse du niveau de scurit dActive Directory parce que laccs non autoris aux informations stockes dans Active Directory peut entraner la divulgation de ces informations. Utilisateurs authentifis : ce groupe sapplique tout utilisateur qui a russi le processus dauthentification. Ce processus implique que lutilisateur a une identit sur le domaine et a fourni des informations didentification valides. Par dfaut, les utilisateurs authentifis peuvent accder aux informations contenues dans lannuaire et sur les contrleurs de domaine ; ils peuvent galement visualiser les journaux dvnements systme sur les contrleurs de domaine. Pour renforcer la scurit dActive Directory contre la divulgation dinformations, les accs non ncessaires doivent tre supprims. Administrateur de service : il reprsente les comptes administratifs utiliss lgitimement pour contrler la configuration et les stratgies des services dannuaire et pour obtenir un accs physique aux contrleurs de domaine afin de grer ladministration des serveurs. Ce groupe est galement utilis pour contrler linfrastructure de la fort en crant ou en supprimant des domaines ou des contrleurs de domaine, en grant la configuration des domaines ou des contrleurs de domaine, et en surveillant la sant des contrleurs de domaine. Dans la mesure o les administrateurs de services occupent une position qui leur permet de lancer des attaques dans la fort, vous devez pouvoir leur accorder toute votre confiance. La notion de confiance est primordiale. Le terme "service" dans "administrateur de service" est rapprocher du sens du contrle daccs bas sur un rle plutt que service au sens Windows. Administrateur de donnes : ce groupe gre les donnes contenues dans Active Directory qui ne permettent pas de contrler le service dannuaire ou sa configuration. Il prend en charge les utilisateurs et les ordinateurs de la fort en ajoutant ou en supprimant les units dorganisation, les ordinateurs, les utilisateurs et les groupes, et en modifiant les paramtres des stratgies de groupe. Les administrateurs de donnes disposent de droits dlgus leur permettant de grer les objets contenus dans les Units dorganisation, mais pas de grer les contrleurs de domaine ou la configuration de la fort. Utilisateurs ayant physiquement accs aux contrleurs de domaine : ce paramtre sapplique lorsquune personne parvient accder un emplacement sur lequel rsident des contrleurs de domaine ou des postes de travail dadministration, ou lorsquune personne vole lun de ces ordinateurs. Si une personne non autorise parvient accder des ordinateurs qui contiennent des donnes sensibles, la divulgation dinformations ou la modification de donnes est possible.
718
tablir des frontires sres
En comprenant les diffrentes menaces qui peuvent peser spcifiquement sur votre environnement rseau, vous pouvez planifier et implmenter des stratgies de scurit avances et efficaces permettant de scuriser les frontires administratives et les services, ainsi que les pratiques dadministration des donnes et les mises en uvre DNS.
21.3. tablir des frontires sres

La fort Active Directory constitue la frontire ultime derrire laquelle les utilisateurs, les ordinateurs, les groupes et les autres objets sont abrits. Tout simplement, la fort reprsente la frontire de scurit pour Active Directory. Chaque domaine Active Directory fait autorit en matire didentit et dinformations dauthentification pour les utilisateurs, ordinateurs et groupes qui se trouvent dans ce domaine. Les domaines reprsentent galement les frontires de ladministration et de certaines stratgies de scurit, telles que la complexit des mots de passe et les rgles de rutilisation des mots de passe, qui ne peuvent pas tre hrites entre deux domaines. Il est cependant important de souligner que les administrateurs de service ont la possibilit de franchir les limites des domaines au sein dune fort. Pour cette raison, cest la fort et non le domaine qui constitue lultime frontire de scurit. 21. La scurisation dActive Directory La premire tape pour tablir des frontires sres consiste planifier la dlgation de ladministration. Les entreprises peuvent dlguer le contrle de ladministration des services et/ou des donnes. Les deux objectifs de la dlgation sont les suivants
j
Lautonomie : elle permet aux administrateurs dadministrer de manire autonome une partie ou la totalit du service Active Directory ou les donnes contenues dans le rpertoire ou sur les ordinateurs membres. Elle peut tre obtenue en dlguant ladministration des services ou des donnes. Lisolation : elle permet aux administrateurs dempcher dautres administrateurs de modifier ou daccder une partie ou la totalit du service Active Directory ou aux donnes contenues dans le rpertoire ou sur les ordinateurs membres. Cela ncessite le dploiement dune fort distincte contenant ses administrateurs, ses utilisateurs et ses ressources.
Avant de choisir un modle de dlgation Active Directory, prenez en compte les points suivants concernant les rles administratifs Active Directory :
j
Les propritaires de fort dtiennent le droit de contrle sur les services au niveau du domaine et le droit daccs aux donnes stockes dans nimporte quel domaine de la fort. Les propritaires de domaine dtiennent le droit daccs aux donnes stockes dans le domaine ou sur les ordinateurs de ses membres. Les propritaires de domaine, bien quoprant indpendamment des propritaires de fort ou des autres propritaires de domaines, ne peuvent empcher un propritaire de domaine malveillant de contrler leurs services ou daccder leurs donnes. 719
j j
Chapitre 21
21.4. Slectionner une structure Active Directory scurise

Dans Active Directory, les administrateurs peuvent dlguer aussi bien ladministration des services que celle des donnes afin de parvenir lautonomie dpartementale ou lisolation au sein de lentreprise. La combinaison des diffrents besoins dune entreprise en termes de gestion des services, de gestion des donnes, dautonomie et disolation a un impact sur les conteneurs Active Directory utiliss pour dlguer ladministration. Les tapes suivantes peuvent vous aider dterminer si les besoins spcifiques de votre entreprise justifient la dlgation du contrle dune fort, dun domaine ou dune unit dorganisation distincte : 1. Commencez par placer toutes les organisations au sein dune fort contenant un domaine unique. 2. Pour chaque unit commerciale dont les besoins dadministration sont uniques, dterminez le niveau appropri dautonomie et disolation 3. Lorsque vous justifiez chaque dcision, notez :
j
si la dlgation est motive par un besoin organisationnel, oprationnel, juridique ou autre ; si le besoin concerne la dlgation en matire de gestion des services et/ou des donnes.
4. Identifiez la structure Active Directory approprie :

j j j j j
fort domaine unique contenant des units dorganisation pour une autonomie des donnes ; fort unique plusieurs domaines pour une autonomie des services au niveau de chaque domaine ; forts distinctes pour lisolation des services ; forts distinctes pour lautonomie des services au niveau de chaque fort ; forts distinctes pour lisolation des donnes des propritaires de services.
21.5. Scuriser les comptes dadministration des services

Dans votre environnement rseau, ce sont les administrateurs de service qui ont les pouvoirs les plus tendus. Ils sont chargs de fournir le service dannuaire et les paramtres de niveau annuaire, dinstaller et de tenir jour les logiciels et dappliquer les Service Packs et les correctifs du systme dexploitation sur les contrleurs de domaine. Ils sont galement chargs dadministrer la configuration densemble du service dannuaire, notamment le comportement de rplication, la gestion des schmas 720
Limiter lexposition des comptes dadministration des services
et la cration et la suppression des domaines. Pour assurer la plupart de ces fonctions, les administrateurs de service ont besoin dun accs physique aux contrleurs de domaine. En raison des privilges levs des administrateurs de services, vous devez prendre les mesures ncessaires pour prserver la scurit de leurs comptes :
j j j j j
Scurisez les comptes dadministration des services pour contrler comment les comptes sont utiliss. Effectuez les tches dadministration de services uniquement partir de stations de travail spcifiques et scurises. vitez de dlguer les oprations sensibles sur le plan de la scurit. Prenez connaissance des fonctionnalits des comptes dadministration des services par dfaut. Ne partagez jamais les comptes dadministration des services.
Le partage des mots de passe des comptes dadministration des services est lun des problmes de scurit auxquels de nombreuses entreprises sont confrontes rgulirement. Cette pratique doit tre fortement dcourage dans la mesure o il est impossible didentifier lauteur de modifications si plusieurs administrateurs utilisent le mme compte. Le partage des mots de passe peut galement poser un problme scurit lorsque les administrateurs quittent lquipe ou lentreprise.
21.6. Limiter lexposition des comptes dadministration des services

Les comptes dadministration des services sont assortis de privilges trs levs, ce qui en fait des cibles trs tentantes. Par consquent, il est particulirement important de protger lintgrit de ces comptes afin de rduire leur vulnrabilit. La limitation de lexposition des comptes dadministration des services rduit les possibilits dattaque par des intrus. Suivez ces mthodes conseilles pour limiter lexposition des comptes dadministration des services.
j
Limitez le nombre de comptes dadministration des services. Maintenez le nombre de membres des comptes dadministration des services au minimum. Les tches effectues par les administrateurs de services doivent se limiter la modification du service Active Directory et la reconfiguration des contrleurs de domaine. Nutilisez pas les comptes dadministration des services pour les tches dadministration quotidiennes. Une stratgie de groupe peut tre active pour faciliter le contrle de lappartenance aux comptes dadministration des services. Sparez les comptes administrateur et utilisateur pour les utilisateurs administratifs. Pour les utilisateurs remplissant des rles dadministration, crez 721
Chapitre 21
deux comptes : un compte dutilisateur normal pour effectuer les tches standards quotidiennes et un compte dadministration rserv aux tches dadministration. Le compte dadministration ne doit pas tre dot dune messagerie ni tre utilis pour excuter des applications usage quotidien, telles que Microsoft Office, ou pour surfer sur Internet.
j
Masquez le compte dadministrateur de domaine. Un compte nomm Administrateur est cr dans chaque domaine lors de linstallation dActive Directory. Ce compte dadministration par dfaut, qui est cr au cours de la configuration du domaine, permet daccder au service dannuaire et de ladministrer. Il sagit dun compte spcial que le systme protge pour faire en sorte quil soit disponible en cas de besoin. Ce compte ne peut tre ni dsactiv ni verrouill. Pour cette raison, vous devez lui donner un nom autre quAdministrateur. Lorsque vous renommez ce compte, veillez modifier galement sa description. Par ailleurs, crez un compte leurre nomm Administrateur qui ne dispose ni dautorisations spciales ni de droits dutilisateur, puis surveillez les ID dvnement 528, 529 et 534 relatifs la fois au compte renomm et au compte leurre. Attaque du compte Administrateur Sachez quil existe un certain nombre doutils permettant de trouver le nom du compte Administrateur. Mme si vous renommez ce compte, ces outils permettent de dcouvrir son nom, car lidentifiant de scurit (SID) intgr du compte Administrateur se termine toujours par 500. Vous pouvez remdier ce problme en implmentant une stratgie de scurit qui naffiche pas les comptes et les partages du gestionnaire de comptes de scurit pour les connexions anonymes.
Nommez un personnel de confiance. Les administrateurs de services contrlent la configuration et le fonctionnement du service dannuaire. Par consquent, cette responsabilit doit incomber uniquement des utilisateurs fiables et de confiance, ayant fait la preuve de leur sens des responsabilits et qui matrisent parfaitement le fonctionnement de lannuaire. Limitez le groupe Administrateurs du schma aux membres temporaires. Pour viter quun compte dadministrateur de schma ne soit utilis pour lancer une attaque contre Active Directory, najoutez pas de membre au groupe Administrateurs du schma. Ajoutez un utilisateur de confiance ce groupe uniquement lorsquune tche dadministration doit tre effectue sur le schma. Une fois la tche accomplie, supprimez cet utilisateur. Surveillez le processus douverture de session dadministration. Exigez des cartes puce pour les ouvertures de session dadministration ou implmentez un systme de mot de passe fractionn pour les environnements hautement scuriss. Rpartissez le mot de passe du compte dadministration entre deux utilisateurs partageant ce compte, afin que chaque utilisateur ne connaisse que la moiti du mot de passe.
722
Scuriser les mthodes dadministration des donnes
21.7. Scuriser les mthodes dadministration des donnes

Voici la liste des points retenir lors de la dlgation du contrle des comptes dadministrateurs de donnes.
j
Limitation de lapplication de la stratgie de groupe des personnes de confiance : La stratgie de groupe doit tre cre et applique uniquement par des personnes totalement fiables. Ces personnes doivent bien connatre les stratgies de scurit de lorganisation et avoir dmontr quelles sont prtes appliquer ces stratgies. Les utilisateurs dots de comptes qui permettent de crer ou de modifier les paramtres de stratgie de groupe peuvent augmenter les privilges dun autre compte dutilisateur grce ces stratgies.
Appropriation dun objet de donnes : si les administrateurs de donnes ont la possibilit de crer des objets, assurez-vous que vous comprenez bien la porte de ce pouvoir. Lorsquun utilisateur cre un objet, il en devient galement le propritaire du fait quil en est le crateur ; il est donc appel "Crateur propritaire". Dans le modle de contrle daccs discrtionnaire utilis par Windows Server 2003, le propritaire dun objet dtient le contrle total sur cet objet, notamment la possibilit de modifier les autorisations sur cet objet. Rservation de la proprit des objets racine de partition dannuaire aux administrateurs de services : assurez-vous que les groupes dadministration de services appropris dans chaque domaine sont propritaires de lobjet racine pour la partition dannuaire du domaine. Dans la mesure o les propritaires de ces objets racine de partition dannuaire ont la possibilit de modifier les paramtres de scurit de tous les autres objets de la partition par le biais des entres de contrle daccs pouvant tre hrites, il est absolument crucial de sassurer que lobjet racine de partition dannuaire appartient un groupe dadministration hautement fiable. La partition dannuaire du schma appartient au groupe Administrateurs du schma, la partition dannuaire de configuration appartient au groupe Admins de lentreprise et la partition dannuaire de domaine appartient au groupe Administrateurs intgrs. Dfinition de quotas pour la proprit des objets : Sur les contrleurs de domaine qui excutent Windows Server 2003, vous pouvez dfinir des quotas qui limitent le nombre dobjets quune entit de scurit (utilisateur, groupe, ordinateur ou service) peut possder dans une partition dannuaire de domaine, de configuration ou dapplication. Par dfaut, lentit de scurit qui cre un objet en est le propritaire, bien que la proprit puisse tre transfre. Les quotas Active Directory liminent la possibilit de crer un nombre illimit dobjets dans une partition dannuaire, lesquels pourraient tre utiliss pour lancer des attaques de dni de service.
723
Chapitre 21
Par dfaut, les quotas ne sont pas dfinis. Par consquent, le nombre dobjets quune entit de scurit peut possder nest pas limit. Pour chaque partition dannuaire cible, vous pouvez dfinir diffrentes limites pour diffrentes entits de scurit et/ou dfinir des limites qui sappliquent toutes les entits de scurit. Vous pouvez dfinir des quotas pour chaque partition dannuaire, lexception de la partition dannuaire schma, qui ne prend pas en charge les quotas. Vous pouvez configurer les quotas pour quils sappliquent aux entits de scurit dune partition dannuaire en utilisant les commandes en ligne. Les commandes dsadd, dsmod et dsquery possdent toutes un commutateur quota qui vous permet de dfinir les quotas pour la partition dannuaire, modifier les quotas existants, modifier les paramtres de quota par dfaut dune partition et rechercher laffectation et lutilisation des quotas.
DSADD QUOTA
21. La scurisation dActive Directory Ajoute une spcification de quota une partition dannuaire. Une spcification de quota dtermine le nombre maximal dobjets dannuaire pouvant appartenir une entit de scurit donne dans une partition dannuaire donne.
Syntaxe :
dsadd quota part <DN_partition> [rdn <RDN>] acct <nom> qlimit <valeur> | 1 [desc <description>] [{s <serveur> | d <domaine>}] [u <nom_utilisateur>] [p {<mot_passe> | *}] [q] [{uc | uco | uci}] Requis. Spcifie le nom unique de la partition dannuaire sur laquelle vous voulez crer un quota. Si le nom unique est omis, il sera pris du mode dentre standard (stdin). Spcifie le nom unique relatif (RDN) de la spcification de quota en cours de cration. Si loption rdn est omise, elle sera dfinie <domaine>\<nom_utilisateur>. Requis. Spcifie le principal de scurit (utilisateur, groupe, ordinateur, InetOrgPerson) pour lequel le quota est en cours de spcification. Loption acct peut tre fournie dans un des formats suivants : DN du principal de scurit ou domaine\nom de compte SAM du principal de scurit Requise. Spcifie le nombre dobjets dans la partition dannuaire pouvant appartenir au principal de scurit. Entrez nolimit ou 1 pour spcifier un quota non limit.
part <DN _partition>
rdn <RDN>
acct <nom>
qlimit <valeur> | 1}
724
desc <description> {s <serveur>| d <domaine>}
Spcifie une description pour la spcification de quota que vous voulez ajouter. Connecte lordinateur au domaine spcifi ou au serveur spcifi. Par dfaut, lordinateur est connect au contrleur de domaine dans le domaine douverture de session. Spcifie le nom dutilisateur avec lequel lutilisateur va se connecter au serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur en utilisant lun des formats suivants : nom dutilisateur, domaine\nom dutilisateur, nom principal dutilisateur (UPN).
u <nom _utilisateur>
p {<mot_passe> | *} Spcifie lutilisation dun mot de passe spcifique ou une * pour se connecter un serveur distant. Si vous entrez *, alors un mot de passe vous sera demand. q {uc | uco | uci} Supprime toutes les informations sortantes vers le mode sortant standard (mode silencieux). Spcifie que les donnes entrantes et sortantes sont formates en Unicode. La valeur uc spcifie un format Unicode pour les donnes entrantes ou sortantes vers le canal. La valeur uco spcifie un format Unicode pour les donnes sortantes du canal vers le fichier. La valeur uci spcifie un format Unicode pour les donnes entrantes du canal ou du fichier. 21. La scurisation dActive Directory
DSMOD QUOTA
Modifie les attributs dune ou de plusieurs spcifications de quotas dans le rpertoire. Une spcification de quota dtermine le nombre maximal dobjets annuaires quune entit de scurit donne peut possder dans une partition dannuaire spcifique.
Syntaxe :
dsmod quota <DN_quota ...> [qlimit <valeur>] [desc <description>] [{s <serveur> | d <domaine>}] [u <utilisateur>] [p {<mot de passe> | *}] [c] [q] [{uc | uco | uci}] Spcifie les noms uniques dune ou de plusieurs spcifications de quotas modifier. Si les valeurs sont omises, elles peuvent tre
<DN_quota ...>
725
Chapitre 21
obtenues par une entre standard (stdin) pour prendre en charge la canalisation des sorties dune autre commande partir de cette commande. qlimit <valeur> Spcifie le nombre dobjets dans la partition de rpertoire pouvant tre cre par lentit de scurit laquelle est assigne la spcification de quota. Pour spcifier un quota illimit, utilisez nolimit ou 1. Dfinit la description de la spcification de quota dans <description>. Connecte un domaine ou un serveur distant spcifi. Par dfaut, lordinateur est connect un contrleur de domaine sur le domaine connect. Spcifie le nom dutilisateur avec lequel lutilisateur ouvre une session sur un serveur distant. Par dfaut, u utilise le nom du serveur sur lequel lutilisateur a ouvert une session. Vous pouvez utiliser nimporte lequel des formats suivants pour spcifier un nom dutilisateur : nom dutilisateur, domaine\nom dutilisateur, nom de lutilisateur principal (UPN). Spcifie soit dutiliser un mot de passe, soit un astrisque pour ouvrir une session sur un serveur distant. Si vous entrez *, vous serez invit entrer un mot de passe. Spcifie un mode dopration continue. Les erreurs sont signales, mais le processus continue avec lobjet suivant dans la liste darguments lorsque vous spcifiez plusieurs objets cibles. Si vous nutilisez pas c, la commande sarrte aprs la premire survenance de lerreur. Supprime toute sortie une sortie standard (mode silencieux). Spcifie le formatage Unicode de donnes dentres ou de sortie. uc spcifie un format Unicode pour une entre ou une sortie vers une canalisation. uco spcifie un format Unicode pour une sortie
desc <description> {s <serveur> | d <domaine>}
u <nom _utilisateur> 21. La scurisation dActive Directory
p {<mot_de_ passe> | *}
q {uc | uco | uci}
726
vers une canalisation ou un fichier. uci spcifie un format Unicode pour une entre partir dune canalisation ou dun fichier.
DSQUERY QUOTA
Spcifications de quotas dans lannuaire correspondant au critre de recherche spcifi. Une spcification de quota dtermine le nombre maximal dobjets annuaires pouvant appartenir une entit de scurit dans une partition dannuaire spcifique.
Syntaxe :
dsquery quota startnode {domain root | <DN_Objet>} [o {dn | rdn}] [acct <Nom>] [qlimit <Filtre>] [desc <Description>] [{s <Serveur> | d <Domaine>}] [u <Utilisateur>] [p {<Mot de passe> | *}] [q] [r] [limit <Nombre dobjets>] [{uc | uco | uci}]
startnode {domain root | <DN_Objet>}
Requis. Spcifie o la recherche devrait commencer. Utiliser DN_Objet pour spcifier le nom unique (ou DN), ou utiliser la racine du domaine pour spcifier la racine du domaine actuel. Spcifie le format de sortie. Le format par dfaut est le nom unique (DN). Recherche les spcifications de quota assigns lentit de scurit (utilisateur, groupe, ordinateur, InetOrgPerson) tel que reprsent par <nom>. Loption acct peut tre indique au format du nom unique de lentit de scurit ou au format domaine\nom_compte_SAM de lentit de scurit. Recherche les spcifications de quota dont la limite correspond au filtre. Recherche les spcifications de quota dont lattribut de description correspond <description>.
o {dn | rdn} acct <nom>
qlimit <filtre> desc <description>
{s <serveur> | d <domaine>} Se connecte un domaine ou un serveur distant spcifi. Par dfaut lordinateur est connect un contrleur de domaine dans le domaine de connexion.
727
Chapitre 21
u <nom _utilisateur>
Spcifie le nom dutilisateur avec lequel lutilisateur se connecte un serveur distant. Par dfaut, u utilise le nom dutilisateur avec lequel lutilisateur sest connect. Vous pouvez utiliser lun des formats suivants pour spcifier un nom dutilisateur : nom dutilisateur, domaine\nom dutilisateur, nom principal de lutilisateur (UPN). Spcifie dutiliser un mot de passe ou * pour se connecter un ordinateur distant. Si vous entrez *, un mot de passe vous sera demand. Supprime toutes les donnes sortantes vers la sortie standard (mode silencieux). Spcifie que la recherche utilise la rcurrence ou suit les rfrences pendant la recherche. Par dfaut, la recherche ne suit pas les rfrences. Spcifie que la recherche utilise le catalogue global Active Directory. Spcifie le nombre dobjets qui correspondent au critre donn devant tre renvoy. Si la valeur NbObjets est 0, tous les objets correspondants sont renvoys. Si ce paramtre nest pas spcifi, les 100 premiers rsultats sont affichs par dfaut. Spcifie que les donnes entrantes et sortantes sont formats au format Unicode, comme suit : uc spcifie un format Unicode pour lentre ou la sortie vers une canalisation. uco spcifie un format Unicode pour la sortie vers une canalisation ou un fichier. uci spcifie un format Unicode pour lentre dune canalisation ou dun fichier.
p {<mot_passe> | *}
q r
gc 21. La scurisation dActive Directory limit <Nb _Objets>
{uc | uco | uci}
21.8. Protger les serveurs DNS et les donnes DNS

Lorsque lintgrit des rponses dun serveur DNS est compromise ou endommage, ou lorsque les donnes DNS sont modifies, les clients peuvent leur insu tre envoys par erreur vers des emplacements non autoriss. Ds que les clients commencent communiquer avec ces emplacements non autoriss, ils peuvent subir des tentatives
728
Protger les serveurs DNS et les donnes DNS
daccs aux informations stockes sur leur ordinateur. Lusurpation didentit et la pollution de cache sont des exemples de ce type dattaque. Un autre type dattaque, le dni de service, tente de neutraliser le serveur DNS afin de rendre linfrastructure DNS inaccessible au sein de lentreprise. Pour protger vos serveurs DNS contre ces types dattaques :
j
Surveillez lactivit du rseau. Les attaques de dni de service provoquent linondation dun serveur DNS par un si grand nombre de demandes client que ce dernier narrive plus traiter les demandes lgitimes et arrte de rpondre aux demandes DNS. Pour prvenir de telles attaques, surveillez les hausses inhabituelles de trafic et recherchez les anomalies telles quun volume lev provenant du mme emplacement ou un volume lev de trafic du mme type. Fermez tous les ports de pare-feu non utiliss. Les pare-feu sont un moyen simple de se protger contre les attaques qui proviennent de lextrieur. Les pare-feu limitent le nombre de ports disponibles permettant la communication entre plusieurs points sur votre rseau. Les serveurs DNS utilisent le port UDP 53 pour communiquer entre eux. Ouvrez le port 53 sur les pare-feu lorsquils sparent les entits suivantes : les serveurs DNS qui effectuent les transferts de zone ; 21. La scurisation dActive Directory les serveurs DNS qui dlguent les zones et le serveur de rfrence de chaque zone ; les clients DNS et leurs serveurs DNS ; les redirecteurs et les serveurs DNS qui sont un niveau suprieur dans la hirarchie de lespace de noms DNS.
Si un intrus parvient accder au serveur lui-mme, il peut tenter de modifier les donnes stockes dans les fichiers de zone DNS. Pour renforcer la scurisation de vos donnes contre une attaque directe :
j
Utilisez une mise jour dynamique scurise. Pour que seuls les utilisateurs authentifis et de confiance puissent effectuer des enregistrements, utilisez la mise jour dynamique scurise. Grce cette procdure, les demandes denregistrement ne sont traites que si elles proviennent de clients authentifis appartenant la fort. Cette condition rend plus difficile le lancement dattaques de ce type par un utilisateur, car il faudrait que ce dernier appartienne au groupe Utilisateurs authentifis ou dtienne des informations dauthentification plus puissantes pour obtenir laccs. Dfinissez des quotas pour limiter le nombre denregistrements de ressources DNS. Par dfaut, les membres du groupe Utilisateurs authentifis peuvent crer des enregistrements de ressources sur les serveurs DNS appartenant au mme domaine que lordinateur client. Ceci permet aux ordinateurs deffectuer une mise jour dynamique des donnes de la zone DNS. Un utilisateur authentifi effectue un maximum de 10 enregistrements dans le DNS. Pour vous assurer que des utilisateurs ou des applications malveillantes neffectuent pas denregistrements 729
Chapitre 21
inappropris de ressources, dfinissez un quota par dfaut sur les partitions dannuaire dapplication ForestDnsZones et DomainDnsZones. Cest valable pour les serveurs DNS Windows Server 2003 (et ultrieur) si les donnes DNS sont rpliques sur tous les contrleurs de domaine qui sont des serveurs DNS dans la fort ou le domaine. Pour les serveurs DNS Windows 2000, dfinissez un quota sur les partitions dannuaire de domaine si les donnes DNS sont rpliques sur tous les contrleurs de ce domaine. En appliquant une limite par dfaut de 10 objets, les ordinateurs peuvent lgitimement mettre jour les donnes DNS, mais ils ne peuvent pas lancer dattaque de dni de service.
j
Assurez-vous que les administrateurs DNS sont fiables. Les membres du groupe Admins du DNS contrlent la configuration de lenvironnement DNS. Cela signifie quils peuvent perturber le fonctionnement du service dannuaire en lanant des attaques de dni de service ou en envoyant les clients vers des serveurs cachs. Slectionnez uniquement des personnes qui connaissent bien vos stratgies de fonctionnement et qui ont prouv leur intention dappliquer ces stratgies. Par ailleurs, accordez chacune uniquement laccs la partie de linfrastructure DNS dont elle est responsable. Dlguez ladministration des donnes DNS. Vous pouvez dfinir des autorisations sur les conteneurs de zone pour empcher laccs dutilisateurs qui pourraient tenter de les modifier laide doutils dadministration, tels que le composant logiciel enfichable DNS ou ADSI Edit. Par dfaut, les groupes Administrateurs, Admins du domaine, Admins de lentreprise et Admins du DNS ont laccs Contrle total tous les composants du DNS. Les autres groupes ont laccs en lecture. Utilisez un mcanisme de routage adapt votre environnement : des redirecteurs conditionnels pour spcifier le serveur auquel adresser la demande pour un suffixe donn ; des zones secondaires pour fournir la redondance des donnes de la zone DNS ; des indicateurs de racine pour permettre un client DNS de trouver le serveur DNS correspondant un nom contenu dans lespace de noms en utilisant les dlgations qui commencent dans la zone du domaine racine.
Utilisez des espaces de noms DNS internes et externes distincts. Si lentreprise a besoin dune prsence sur Internet (indispensable de nos jours), crez des espaces de noms distincts pour Internet et pour votre intranet. DNS a t conu pour distribuer des informations en rponse des demandes manant des clients. Il na pas t conu pour fournir un accs scuris aux informations quil distribue. Dsactivez la rcursivit sur les serveurs DNS qui ne rpondent pas directement aux clients DNS et qui ne sont pas configurs avec des redirecteurs. Par dfaut, la rcursivit est active pour le service Serveur DNS et, de manire gnrale, les clients demandent que le serveur utilise la rcursivit pour rsoudre un nom lorsquils envoient une demande. Un serveur DNS a besoin de la rcursivit uniquement sil doit rpondre des demandes rcurrentes de clients DNS ou sil est configur avec un redirecteur. Si la rcursivit est dsactive, le service Serveur DNS utilise systmatiquement les rfrences, indpendamment de la demande du client.
730
Scuriser les relations interforts
Retrouvez tout sur la conception et limplmentation technique de DNS dans le tome II de cet ouvrage.
21.9. Scuriser les relations interforts

Dans le cas o votre fort Active Directory, la fort tant le plus haut niveau disolation, doit approuver une autre fort (dans le cadre dune relation de travail avec un partenaire ou une acquisition par exemple), vous avez la possibilit de scuriser cette approbation en activant lauthentification slective. Cela vous permettra de totalement contrler ce qui rentre et ce qui sort de votre fort Active Directory. Pour crer une approbation de fort avec authentification slective :
j
Vous pouvez utiliser le composant Domaines et approbations Active Directory pour configurer ltendue de lauthentification entre deux forts lies par une approbation de fort. Vous pouvez configurer diffremment lauthentification slective pour les approbations de fort sortantes et entrantes. 21. La scurisation dActive Directory Avec des approbations slectives, les administrateurs peuvent prendre des dcisions de contrle daccs souples lchelle de la fort pour grer lauthentification travers les frontires de scurit Active Directory.
j j
La procdure suivante explique comment crer une approbation de fort et activer lauthentification slective pour la relation dapprobation. Pour crer une approbation de fort et activer lauthentification slective : 1. Dmarrez Domaines et approbations Active Directory en cliquant sur Dmarrer/ Tous les Programmes/Outils dadministration. 2. Crez une approbation de fort sens unique ou bidirectionnelle. 3. Ouvrez la bote de dialogue Proprits de la relation dapprobation. 4. Sous longlet Authentification, activez loption Authentification slective pour lapprobation. Une fois quune approbation de fort avec authentification slective a t cre et configure, les utilisateurs situs dans la fort approuve ne peuvent toujours pas accder aux ordinateurs de la fort qui donne lapprobation tant que lauthentification slective na pas t configure pour des serveurs spcifiques de la fort approbatrice. La fort approbatrice est celle o se trouvent les ressources. Voici comment permettre un serveur de votre domaine dauthentifier des utilisateurs et des groupes slectionns appartenant une autre fort. Pour configurer lauthentification slective pour un serveur spcifique :
731
Chapitre 21
1. Dmarrez Domaines et approbations Active Directory en cliquant sur Dmarrer/ Tous les Programmes/Outils dadministration. 2. Ouvrez la bote de dialogue Proprits associe au serveur que vous souhaitez configurer. 3. Sous longlet Scurit, ajoutez les utilisateurs ou les groupes de la fort approuve auxquels vous voulez permettre daccder aux ressources du serveur, puis affectez-leur lautorisation Autorisation dauthentifier pour le serveur.
21.10. En rsum
La scurisation dActive Directory est trs importante, elle dcoule dun certain nombre de bonnes pratiques exposes ici. Certaines de ces bonnes pratiques peuvent vous paratre des vidences. Tant mieux, cela veut dire que vous avez la fibre scuritaire, mais noubliez tout de mme pas de les appliquer.
21. La scurisation dActive Directory 732
Chapitre 22
Active Directory Application Mode et Active Directory Federation Services

22.1 22.2 22.3 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . . . . 735 Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . . . . 754 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Active Directory Application Mode dit ADAM
a version R2 de Windows Server 2003 apporte deux nouvelles fonctionnalits, ADAM et ADFS, qui permettent dtendre le champ daction dActive Directory. Ces deux nouveauts offrent aux administrateurs et aux utilisateurs la possibilit dexplorer des scnarios de communication indits, que ce soit dapplications ou dutilisateurs, mme lorsque ceux-ci sont dorganisations (forts) diffrentes.
22.1. Active Directory Application Mode dit ADAM

ADAM (Active Directory Application Mode) est un mode indpendant du service dannuaire Active Directory, dpourvu de fonctionnalits dinfrastructure. Il fournit des services dannuaire pour les applications. Par exemple, lorsque vous souhaitez dployer des applications qui modifient le schma dActive Directory (qui ajoutent des attributs), mais que vous ne souhaitez pas le faire pour le schma de linfrastructure, vous pouvez alors utiliser ADAM pour fournir un magasin de donnes et des services daccs celle-ci. ADAM utilise des API standards pour accder aux donnes dapplications et fonctionne soit comme un magasin de donnes autonome, soit avec une rplication. Son indpendance permet un contrle local et une autonomie des services dannuaire pour des applications spcifiques. Cela facilite des schmas indpendants et flexibles, ainsi que des contextes de nommage.
Les principes dADAM

ADAM est utile pour les entreprises qui ncessitent une prise en charge souple des applications utilisant un annuaire. ADAM est un service dannuaire LDAP que vous pouvez utiliser sur des serveurs fonctionnant sous Windows Server 2003 R2, mais aussi sur des clients excutant Windows XP Professionnel en tlchargeant ADAM du site de Microsoft. ADAM assure le stockage et la rcupration de donnes pour les applications utilisant un annuaire, sans les dpendances requises par Active Directory. ADAM met en uvre les mmes fonctionnalits quActive Directory sans imposer le dploiement de domaines, ni de contrleurs de domaines. Vous pouvez excuter plusieurs instances dADAM sur un ordinateur, avec un schma gr indpendamment pour chaque instance ADAM. ADAM utilise la mme architecture (et la mme base de code) quActive Directory et fournit un magasin de donnes hirarchique, un composant de service dannuaire et des interfaces que les clients peuvent utiliser pour communiquer avec le service dannuaire. ADAM ne ncessite ni contrleur de domaine ni mme de serveur DNS. Le tableau suivant rpertorie les composants ADAM de base, ainsi que leurs contreparties Active Directory : 22. ADAM et ADFS 735
Chapitre 22
ADAM et ADFS
Tableau 22.1 : Composants ADAM de base et contreparties AD Composant Magasin de donnes Active Directory ADAM Adamntds.dit Active Directory Ntds.dit Finalit Fournit un magasin de donnes hirarchique pour les donnes dannuaire Traite les demandes de clients dannuaire et dautres services dannuaire Fournit des interfaces au service dannuaire pour effectuer des demandes associes aux annuaires
Service dannuaire Dsamain.exe, Adamdsa.dll Interface de services dannuaire Protocole LDAP, rplication
Ntdsa.dll (sexcute dans Lsass.exe) LDAP, rplication, MAPI (Messaging API)
Serveur dannuaire Windows Server 2003 R2, Windows XP Professionnel
Fournit la plate-forme sur laquelle Windows 2000 sexcute le service dannuaire Server ou contrleur de domaine Windows Server 2003 ou R2
Lillustration suivante montre la relation entre les composants dADAM :
22. ADAM et ADFS
Figure 22.1 : Relation entre les composants ADAM
736
Le service dannuaire
Le service dannuaire ADAM gre le magasin de donnes dannuaire. Il rpond aux demandes dannuaire provenant de clients dannuaire, ainsi que dautres services dannuaire. Le service dannuaire ADAM sexcute dans le contexte de scurit du compte qui est spcifi comme compte de service ADAM. Le service dannuaire ADAM met en uvre toutes les fonctions suivantes :
j j j j
lauthentification des utilisateurs dannuaire ; la rponse aux demandes de donnes ; la synchronisation des donnes entre des serveurs dannuaire (par rplication multimatre) ; la gestion des donnes.
Le service dannuaire ADAM autorise ou refuse laccs aux clients selon les informations didentification fournies par ces derniers. ADAM prend en charge les mmes mthodes dauthentification ou de liaison quActive Directory.
Les instances ADAM

Dans ADAM, une instance de service (ou simplement une instance) se rfre une copie dexcution unique du service dannuaire ADAM. Contrairement Active Directory, plusieurs copies du service dannuaire ADAM peuvent sexcuter simultanment sur le mme ordinateur. Chaque instance du service dannuaire ADAM dispose dun magasin de donnes dannuaire distinct, dun nom de service unique et dune description de service unique qui est affecte lors de linstallation.
22. ADAM et ADFS
Linterface de services dannuaire

ADAM fournit les interfaces de services dannuaire pour la communication avec des clients dannuaire et dautres instances ADAM. ADAM fournit une interface LDAP destine aux clients pour lauthentification et pour effectuer des demandes de services dannuaire. ADAM fournit une interface RPC pour la rplication avec dautres serveurs ADAM et pour ladministration.
Les dpendances de service

ADAM ne ncessite ni le service DNS ni le service FRS (File Replication Service). Les clients sadressent ADAM directement, en utilisant le nom ou ladresse IP de lordinateur sur lequel ADAM sexcute, avec le numro de port de communication utilis par linstance ADAM. Comme ADAM nutilise ni domaines ni contrleurs de domaine, la rplication ADAM ne ncessite pas FRS.
737
Chapitre 22
ADAM et ADFS
Les nouveauts dADAM dans Windows Server 2003 R2

ADAM tait disponible depuis la premire dition de Windows Server 2003 sous forme de tlchargement complmentaire sur le site de Microsoft ladresse www.microsoft.com/ downloads, le mot-cl de recherche tant ADAM. Les fonctions suivantes sont nouvelles dans ADAM sous Windows Server 2003 R2 :
j j j
Des utilisateurs peuvent maintenant tre crs dans la partition de configuration afin que les utilisateurs ADAM puissent tre administrateurs dADAM. Un outil, nomm Adaminstall, synchronise des objets dActive Directory vers une instance ADAM. Les utilisateurs ADAM peuvent se lier une instance ADAM en utilisant lauthentification Digest. Cette mthode dauthentification utilise les informations didentification des applications serveurs et limine la ncessit de conserver en mmoire une version en texte clair du mot de passe de lapplication. La liaison Digest est prise en charge dans LDP. Un outil danalyse de schma Active Directory, nomm ADSchemaAnalyzer, simplifie la migration du schma Active Directory vers ADAM. Une nouvelle version de loutil LDP est livre avec lditeur dACL.
j j
ADAM peut maintenant chaner des demandes de mot de passe dutilisateur dans ADAM vers lobjet utilisateur dans Active Directory afin quun mot de passe puisse tre chang dans les deux services dannuaire. Lorsquun utilisateur dans ADAM, qui est galement un utilisateur dans Active Directory, tente de changer le mot de passe dutilisateur dans ADAM, ce changement est trait de la mme manire quun changement de mot de passe dutilisateur dans Active Directory. Lancien et le nouveau mot de passe doivent tre fournis (sauf pour les administrateurs Active Directory, qui doivent uniquement fournir le nouveau mot de passe), et le nouveau mot de passe doit tre conforme aux stratgies de mot de passe dfinies dans Active Directory. Active Directory effectue toute la vrification de la stratgie.
22. ADAM et ADFS
Conguration requise par ADAM

La configuration requise suivante sapplique ADAM
Conguration requise en matire de plateforme

ADAM ncessite lune des plateformes suivantes :
j j j j
Windows Server 2003 (version R2 ou pas), Standard Edition ; Windows Server 2003 (version R2 ou pas), Enterprise Edition ; Windows Server 2003 (version R2 ou pas), Datacenter Edition ; la version 64 bits de Windows Server 2003 (version R2 ou pas), Enterprise Edition ;
738
j j j
la version 64 bits de Windows Server 2003 (version R2 ou pas), Datacenter Edition ; Windows XP Professionnel Service Pack 1 (SP1) au minimum ; Windows XP, dition 64 bits, Service Pack 1 (SP1) au minimum.
Conguration requise en matire de groupe de travail et de domaine

ADAM ne ncessite pas de fort, de domaine ou de contrleur de domaine. Vous pouvez installer ADAM sur des ordinateurs configurs en tant que contrleurs de domaine, membres de domaine ou ordinateurs autonomes.
Prise en charge des clients LDAP

ADAM prend en charge les clients LDAP (Lightweight Directory Access Protocol) crits conformment la spcification technique LDAP v3.
Prise en charge des clients ADSI

ADAM prend en charge les interfaces ADSI (Active Directory Service Interfaces) pour les clients qui excutent les systmes dexploitation suivants :
j j j j
Windows XP Professionnel ; Windows XP dition familiale ; la famille Windows Server 2003 et R2 ; Windows 2000. 22. ADAM et ADFS
Comparaison dADAM avec Active Directory

Voici un rsum des diffrences et des similitudes fonctionnelles entre ADAM et Active Directory :
Tableau 22.2 : Comparatif technique entre ADAM et AD Fonction du composant Prise en charge de plusieurs schmas par serveur Prise en charge de plusieurs instances dannuaire par serveur Fonctionnement sous Windows XP Professionnel Fonctionnement sur des serveurs membres Prise en charge de laffectation de noms X.500 pour les partitions dannuaire de niveau suprieur Prise en charge de linstallation, du dmarrage et de larrt sans redmarrage Stratgie de groupe ADAM Oui Oui Oui Oui Oui Oui Non Active Directory Non Non Non Non Non Non Oui
739
Chapitre 22
ADAM et ADFS
Fonction du composant Catalogue global Gestion du bureau IntelliMirror Distribution des logiciels automatise Approbations de domaines et de forts Infrastructure de cl publique (PKI) /X.509 Prise en charge des enregistrements de ressources de service DNS (SRV) Prise en charge de linterface de programmation dapplication (API) LDAP Prise en charge de lAPI ADSI Prise en charge de MAPI (Messaging API) Administration dlgue Rplication multimatre InetOrgPerson LDAP sur SSL (Secure Sockets Layer) Scurit de niveau attribut Prise en charge de la liste de contrle daccs ACL LDAP Schma extensible Prise en charge des partitions dannuaire dapplications
ADAM Non Non Non Non Non Non Oui Oui Non Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Active Directory Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
22. ADAM et ADFS
Prise en charge de linstallation dun rplica partir dun support Prise en charge des serveurs 64 bits Prise en charge de la liaison LDAP concurrente
Implmenter ADAM
Voici les procdures dimplmentation relatives ADAM :
Installer ADAM
Pour installer ADAM partir de Windows Server 2003 R2, procdez comme ceci : 1. Dans le Panneau de configuration, activez le lien Ajout/Suppression de programmes. 2. Cliquez sur Ajouter/Supprimer des composants Windows. 3. Slectionnez Services Active Directory, sous la rubrique Composants, puis cliquez sur Dtails. 4. Activez la case cocher Active Directory Application Mode (ADAM) sous la rubrique Sous-composants de Services Active Directory, puis cliquez sur OK. 740
Figure 22.2 : Choix de linstallation dADAM
5. Cliquez sur Suivant dans la page Composants Windows. 6. Aprs avoir insr le CD 2 de Windows Server 2003 R2 si besoin, prenez connaissance du message qui saffiche, puis cliquez sur Terminer dans la dernire fentre qui apparat. 7. Si une erreur se produit lors de lexcution de lAssistant Installation de Active Directory en mode application avant laffichage de la page Fin de lAssistant Installation de Active Directory en mode Application : 1. Consultez tout dabord le message derreur qui dcrit lorigine du problme. 2. Cliquez ensuite sur Dmarrer/Excuter, puis tapez %windir%\Debug\ dans la zone de saisie. 22. ADAM et ADFS
Figure 22.3 : Fin de linstallation dADAM
741
Chapitre 22
ADAM et ADFS
Crer une instance ADAM

La suite des oprations consiste crer une instance ADAM : 1. Cliquez sur Dmarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Crer une instance ADAM. 2. Dans la page Bienvenue dans lAssistant Installation de Active Directory en mode Application, cliquez sur Suivant. 3. Dans la page Options dinstallation, choisissez de crer soit Une instance unique, soit Un rplica dune instance existante, puis cliquez sur Suivant.
Figure 22.4 : Options dinstallation de linstance ADAM
22. ADAM et ADFS
Une instance ADAM consiste en une copie unique du service dannuaire ADAM, avec son magasin dannuaires associ, les ports LDAP et SSL affects et le journal dvnements dapplication. Vous pouvez excuter plusieurs instances ADAM simultanment sur un seul ordinateur. Si vous choisissez dinstaller une instance ADAM unique, linstance ADAM que vous installez ne fera pas partie dun jeu de configurations existant et naura pas de partenaires de rplication. Si vous choisissez dinstaller un rplica dune instance ADAM existante, linstance ADAM que vous installez contiendra des copies des partitions dannuaire de configuration et de schma (notamment toutes les extensions du schma) depuis linstance partir de laquelle vous avez choisi de rpliquer. 4. Entrez le nom de linstance ADAM et cliquez sur Suivant (voir fig. 22.5). 5. Entrez les numros de port LDAP et SSL associs et cliquez sur Suivant (voir fig. 22.6).
742
Figure 22.5 : Nom de linstance ADAM
Figure 22.6 : Numros de ports de linstance ADAM
22. ADAM et ADFS
6. Dans la page Partition de lannuaire dapplications, vous pouvez crer une nouvelle partition dannuaire dapplications pendant linstallation dADAM. Une partition dannuaire dapplications contient des donnes spcifiques dune ou de plusieurs applications utilisant un annuaire. Vous pouvez cliquer sur Non, ne pas crer de partition dannuaire dapplications ou cliquer sur Oui, crer une partition dannuaire dapplications, puis spcifier un nom unique pour la nouvelle partition. ADAM prend en charge les noms uniques de style X.500 et de style DNS (Domain Name System). Cliquez sur Suivant.
743
Chapitre 22
ADAM et ADFS
Figure 22.7 : Option de cration de partition de lannuaire dapplications de linstance ADAM
7. Spcifiez lemplacement o seront stocks les fichiers de linstance et cliquez sur Suivant.
Figure 22.8 : Emplacement des fichiers de linstance ADAM
22. ADAM et ADFS
8. Slectionnez un compte de services utiliser et cliquez sur Suivant (voir fig. 22.9). 9. Slectionnez lutilisateur ou le groupe auquel vous voulez attribuer le rle dadministrateur ADAM et cliquez sur Suivant (voir fig. 22.10).
744
Figure 22.9 : Compte de services de linstance ADAM
Figure 22.10 : Choix de ladministrateur ADAM de linstance ADAM
22. ADAM et ADFS
10. Dans la page Importer les fichiers LDIF, vous pouvez spcifier limportation des fichiers LDIF facultatifs ms-InetOrgPerson.ldf, ms-User.ldf, ms-UserProxy.ldf et MS-AZMan.ldf. Ces fichiers contiennent plusieurs dfinitions de schmas de classes des utilisateurs, ainsi que les objets utiliser avec le Gestionnaire dautorisations Windows, qui peuvent tre imports dans le schma de la nouvelle instance ADAM en cours dinstallation. Cliquez sur Suivant.
745
Chapitre 22
ADAM et ADFS
Figure 22.11 : Importation des fichiers LDIF de linstance ADAM
11. Tout est prt pour linstallation de la nouvelle instance. Dans la fentre de rsum, cliquez sur Suivant et linstallation seffectue.
Figure 22.12 : Installation de linstance ADAM
22. ADAM et ADFS
12. Cliquez sur Terminer pour sortir de lassistant.
Se connecter une instance ADAM

Une fois linstance cre, vous devez vous y connecter pour pouvoir commencer travailler. Pour vous connecter une instance ADAM laide de lditeur ADSI ADAM : 1. Cliquez sur Dmarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur diteur ADSI ADAM. 2. Dans larborescence de la console, cliquez sur diteur ADSI ADAM.
746
Figure 22.13 : diteur ADSI ADAM
3. Dans le menu Action, cliquez sur tablir une connexion.

Figure 22.14 : tablissement dune connexion
22. ADAM et ADFS
4. Dans la zone Nom de la connexion, tapez un nom. 5. Dans la zone Nom du serveur, tapez le nom DNS, le nom NetBIOS ou ladresse IP de lordinateur sur lequel linstance ADAM sexcute. 6. Dans le champ Port, tapez le port de communication LDAP utilis par linstance ADAM laquelle vous voulez vous connecter. 7. Sous la rubrique tablir une connexion au nud suivant, cliquez sur Nom unique (DN) ou contexte de nom, puis spcifiez le nom unique auquel vous voulez vous connecter, ou cliquez sur Contexte dattribution de noms connu puis sur Configuration, RootDSE ou Schma.
747
Chapitre 22
ADAM et ADFS
8. Sous la rubrique tablir une connexion en utilisant ces informations didentification, cliquez sur Le compte de lutilisateur ayant ouvert la session, ou cliquez sur Ce compte puis spcifiez le nom dutilisateur et le mot de passe du compte auquel vous voulez vous connecter.
Grer linstance ADAM

Une fois que vous tes connect linstance ADAM, vous pouvez la manipuler comme sil sagissait dActive Directory et crer votre propre contexte en fonction de lapplication qui sy connectera. Par exemple, vous pouvez crer un utilisateur et une unit dorganisation.
Crer un utilisateur dans ADAM

1. Ouvrez lditeur ADSI ADAM. 2. Connectez-vous et effectuez la liaison avec linstance et la partition dannuaire ADAM laquelle vous voulez ajouter lutilisateur. 3. Dans larborescence de la console, double-cliquez sur la partition dannuaire laquelle vous voulez ajouter lutilisateur. 4. Dans larborescence de la console, cliquez avec le bouton droit de la souris sur le conteneur auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis cliquez sur Objet.
22. ADAM et ADFS
Figure 22.15 : Cration dun nouvel utilisateur dans une instance ADAM
748
5. Dans la zone Slectionner une classe, cliquez sur la classe que vous voulez utiliser (user, inetOrgPerson, person ou OrganizationalPerson), puis cliquez sur Suivant. 6. Dans le champ Valeur, tapez une valeur pour lattribut nom commun (CN) du nouvel utilisateur, puis cliquez sur Suivant.
Figure 22.16 : Paramtres du nouvel utilisateur
7. Aprs avoir dfini tout ventuel attribut pour le nouvel utilisateur, cliquez sur Terminer.
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next Set objOU = GetObject("LDAP://localhost:50000/ ou=Techniciens,dc=corp,dc=puzzmania, dc=com") Set objUser = objOU.Create("user", "cn=mmolist") objUser.Put "displayName", "Martin Molist" objUser.Put "userPrincipalName", "mmolist@puzzmania.com" objUser.SetInfo
22. ADAM et ADFS
2. Enregistrez ce fichier sous le nom CreerADAMUser.vbs, par exemple, et lancez la commande wscript CreerADAMUser.vbs dans une Invite de commandes.
749
Chapitre 22
ADAM et ADFS
Crer une unit dorganisation dans ADAM

1. Ouvrez lditeur ADSI ADAM. 2. Connectez-vous et effectuez la liaison avec linstance et la partition dannuaire ADAM laquelle vous voulez ajouter lutilisateur. 3. Dans larborescence de la console, double-cliquez sur la partition dannuaire laquelle vous voulez ajouter lutilisateur. 4. Dans larborescence de la console, cliquez avec le bouton droit sur le conteneur auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis cliquez sur Objet. 5. Dans la zone Slectionnez une classe, cliquez sur organizationalUnit, puis sur Suivant. 6. Dans la zone Valeur, tapez un nom pour la nouvelle unit dorganisation, puis cliquez sur Suivant. 7. Si vous voulez dfinir les valeurs dautres attributs, cliquez sur Autres attributs sinon cliquez sur Terminer.
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next
22. ADAM et ADFS
Set objDomain = GetObject("LDAP://localhost:50000/dc=corp,dc=puzzmania,dc=com") Set objOU = objDomain.Create("organizationalUnit", "ou=Techniciens") objOU.SetInfo
2. Enregistrez ce fichier sous le nom CreerADAMOU.vbs par exemple et lancez la commande wscript CreerADAMOU.vbs dans une Invite de commandes.
La maintenance dADAM
Comme pour Active Directory, la sauvegarde et la restauration dADAM sont importantes.
Sauvegarder ADAM
Pour sauvegarder une instance ADAM dans un fichier, procdez ainsi :
750
1. Cliquez sur Dmarrer, pointez sur Tous les programmes, sur Accessoires, sur Outils systme, puis cliquez sur Utilitaire de sauvegarde. 2. Dans lAssistant Sauvegarde ou Restauration, cliquez sur le lien correspondant au mode avanc. 3. Cliquez sur longlet Utilitaire de sauvegarde, puis, dans le menu Tche, cliquez sur Nouveau. 4. Pour slectionner les dossiers dinstance ADAM sauvegarder, cochez la case situe gauche des dossiers. Par dfaut, les fichiers ADAM sont situs dans le rpertoire \%ProgramFiles%\Microsoft ADAM\nom_instance (o nom_instance reprsente le nom de linstance ADAM) qui contient les fichiers de base de donnes et fichiers journaux et le rpertoire \%windir%\ADAM qui contient les fichiers de programmes et doutils dadministration. 5. Dans la zone Effectuer la sauvegarde vers, slectionnez votre chemin de sauvegarde. 6. Dans la zone Nom du fichier ou mdia de sauvegarde, tapez le bon emplacement et le nom. 7. Cliquez sur Dmarrer, puis apportez les modifications ncessaires dans la bote de dialogue Informations sur la sauvegarde. 8. Pour dfinir les options avances de sauvegarde telles que la vrification des donnes ou la compression matrielle, cliquez sur Avanc. 9. Cliquez sur Dmarrer la sauvegarde pour dmarrer lopration de sauvegarde. 22. ADAM et ADFS
Restaurer ADAM
Pour effectuer une restauration faisant autorit des donnes ADAM sur une instance ADAM appartenant un jeu de configurations : 1. Si elle est en cours dexcution, arrtez linstance ADAM pour laquelle des donnes seront restaures. 2. Ouvrez lutilitaire de sauvegarde. 3. Cliquez sur longlet Restaurer et grer le mdia. 4. Dans le volet dinformations, slectionnez linstance ADAM que vous souhaitez restaurer en cochant la case gauche du dossier qui reprsente linstance ADAM que vous souhaitez restaurer. 5. Dans Restaurer les fichiers vers, cliquez sur Emplacement dorigine. 6. Dans le menu Outils, cliquez sur Options, cliquez sur longlet Restaurer, cliquez sur Toujours remplacer les fichiers sur mon ordinateur, puis cliquez sur OK. 7. Cliquez sur Dmarrer.
751
Chapitre 22
ADAM et ADFS
8. Une fois la restauration termine, fermez lutilitaire de sauvegarde. Pour forcer la restauration : 1. Ouvrez une Invite de commandes des outils ADAM. Pour cela, cliquez sur Dmarrer, pointez sur Tous les programmes, pointez sur ADAM, puis cliquez sur Invite de commande des outils ADAM. 2. Dans la fentre dInvite de commandes, tapez dsdbutil. 3. linvite dsdbutil:, tapez activate instance nominstance (o nominstance reprsente le nom de service de linstance ADAM sur laquelle vous souhaitez restaurer les donnes). 4. Tapez ensuite authoritative restore. 5. linvite authoritative restore:, tapez lune des commandes suivante :
j j j
restore database pour effectuer une restauration faisant autorit de toute la base de donnes dannuaire ; restore object dn pour effectuer une restauration faisant autorit de lobjet annuaire, dont le nom unique est reprsent par dn ; restore subtree dn pour effectuer une restauration faisant autorit de la sous-arborescence dannuaire dont le nom unique est reprsent par dn.
22. ADAM et ADFS
Figure 22.17 : Rsultat de la commande dsdbutil lors dune restauration
Synchroniser les donnes entre Active Directory et une instance ADAM

Loutil de synchronisation AD vers ADAM est un outil de ligne de commande qui synchronise les donnes entre une fort Active Directory et le jeu de configurations dune instance ADAM. Pour synchroniser les donnes entre Active Directory et une instance ADAM : 1. Ouvrez une Invite de commandes des outils ADAM. 2. Dans la fentre dinvite de commandes, tapez
adamsync /install nom_serveur:port nom_fichier_xml.
752
adamsync
/l ou /list /d ou /delete nom_unique _configuration /i ou /install fichier _entre /download nom_unique _configuration fichier_sortie /export nom _unique _configuration fichier_sortie Affiche toutes les configurations disponibles de loutil de synchronisation dActive Directory vers ADAM.
Supprime la configuration spcifie. Installe la configuration contenue dans le fichier dentre spcifi.
Cre un fichier de sortie au format XML contenant la configuration spcifie.
Enregistre la configuration actuelle dans le fichier de sortie spcifi.
/sync nom_unique _configuration Synchronise la configuration spcifie. 22. ADAM et ADFS /reset nom _unique _configuration /mai nom_unique _configuration /fs nom_unique _configuration /ageall nom _unique _configuration
Rinitialise le cookie de rplication de la configuration spcifie. Dfinit la configuration spcifie en tant quinstance faisant autorit. Effectue une synchronisation de rplication complte de la configuration spcifie.
Effectue une passe de vieillissement pour la configuration spcifie.
/so nom_unique _configuration nom_unique_objet Effectue une synchronisation de rplication pour lobjet spcifi dans la configuration spcifie. Utilisez le nom unique de lobjet. /passPrompt Demande les informations didentification de lutilisateur.
753
Chapitre 22
ADAM et ADFS
22.2. Active Directory Federation Services (ADFS)

ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies douverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs applications web, travers la dure de vie dune session en ligne unique. ADFS y parvient en partageant de manire scurise lidentit numrique et les droits accords, ou "revendications", travers des limites de scurit et dentreprise.
Les principales fonctionnalits dADFS

Dcouvrez quelques-unes des principales fonctionnalits dADFS dans Windows Server 2003 R2
j
SSO de fdration et Web : lorsquune organisation utilise le service dannuaire Active Directory, il bnficie des avantages procurs par la fonctionnalit SSO, travers lauthentification intgre Windows au sein de la scurit de lorganisation ou des frontires de lentreprise. ADFS tend cette fonctionnalit aux applications confronte Internet, ce qui permet aux clients, aux partenaires et aux fournisseurs de disposer dune exprience utilisateur SSO web similaire et rationnelle lorsquils accdent aux applications bases sur le Web de lorganisation. En outre, des serveurs de fdration peuvent tre dploys dans diffrentes organisations pour faciliter les transactions fdres interentreprises (B2B) entre des organisations partenaires. Services Web WS-* interoprabilit : ADFS fournit une solution de gestion didentit fdre qui interagit avec dautres produits de scurit qui prennent en charge larchitecture de services Web WS-*. ADFS emploie pour cela la spcification de fdration de WS-*, appele WS-Federation. La spcification WS-Federation permet des environnements qui nutilisent pas le modle didentit Windows de crer une fdration avec les environnements Windows. Architecture extensible : ADFS fournit une architecture extensible qui prend en charge le type de jeton SAML (Security Assertion Markup Language) et lauthentification Kerberos (dans le SSO web fdr avec le scnario dapprobation de fort). ADFS peut galement effectuer un mappage de revendication, par exemple, en modifiant les revendications laide dune logique dentreprise personnalise en tant que variable dans une demande daccs. Des organisations peuvent utiliser cette extensibilit pour modifier ADFS en vue dune coexistence avec leurs infrastructures de scurit et stratgies dentreprise actuelles.
22. ADAM et ADFS
754
Active Directory Federation Services (ADFS)
Lextension dActive Directory Internet

Active Directory tient un rle de service didentit et dauthentification principal dans de nombreuses organisations. Avec Active Directory, des approbations de fort peuvent tre cres entre deux forts ou plus, afin de fournir un accs des ressources qui se trouvent dans des services dentreprise ou des organisations diffrents. Cependant, il existe des scnarios dans lesquels des approbations de fort ne reprsentent pas une option viable. Par exemple, laccs travers des organisations peut ncessiter une limitation un sous-ensemble constitu dun faible nombre dindividus uniquement, et pas chaque membre dune fort. En utilisant ADFS, les organisations peuvent tendre leurs infrastructures Active Directory existantes pour fournir un accs des ressources proposes par des partenaires approuvs travers Internet. Ces partenaires approuvs peuvent inclure des tiers externes ou dautres services ou des filires dans la mme organisation. ADFS est troitement intgr Active Directory et extrait des attributs dutilisateur partir dActive Directory, puis il authentifie les utilisateurs par rapport Active Directory. ADFS utilise galement lauthentification intgre Windows. ADFS fonctionne avec Active Directory et ADAM. Plus prcisment, ADFS fonctionne avec des dploiements lchelle de lentreprise dActive Directory ou des instances dADAM. Utilis avec Active Directory, ADFS peut bnficier des performances dauthentification performantes contenues dans Active Directory, y compris Kerberos, les certificats numriques X.509 et les cartes puce. Avec ADAM, ADFS utilise la liaison LDAP pour authentifier des utilisateurs. ADFS prend en charge lauthentification distribue et lautorisation via Internet. ADFS peut tre intgr la solution de gestion daccs existante dune organisation ou dun service, afin de traduire les termes utiliss au sein de lorganisation en revendications qui ont t acceptes comme faisant partie dune fdration. ADFS peut crer, scuriser et vrifier les revendications changes entre des organisations. Il peut aussi auditer et analyser lactivit entre des organisations et des services pour aider garantir la scurit des transactions.
22. ADAM et ADFS
Les rles des serveurs ADFS

Les services de fdration Active Directory ne sont oprationnels que si les serveurs excutant Windows Server 2003 R2 sont configurs correctement. Selon lenvironnement de votre organisation, des rles de serveur ADFS spcifiques doivent tre dploys. Selon les scnarios dentreprise, ils seront dvelopps soit dans la fort de ressources, soit dans la fort de clients. Voici la description des rles de serveurs qui peuvent tre utiliss pour fournir une solution ADFS de gestion fdre des identits
755
Chapitre 22
ADAM et ADFS
Les serveurs de fdration

Les serveurs de fdration hbergent le composant Service de fdration du service ADFS. Ils servent acheminer les requtes dauthentification mises partir de comptes dutilisateurs situs dans dautres organisations ou partir de clients pouvant se trouver nimporte o sur Internet (dans le scnario SSO web). Les serveurs de fdration hbergent aussi un service de jetons de scurit qui met des jetons reposant sur les informations didentification (par exemple, le nom dutilisateur et le mot de passe) qui lui sont indiques. Aprs la vrification des informations didentification (effectue lors de louverture de session de lutilisateur), les revendications de lutilisateur sont collectes par lexamen des attributs de cet utilisateur, lesquels sont stocks dans Active Directory ou ADAM. Dans des scnarios SSO de Web fdr, les revendications peuvent ensuite tre modifies par des mappages de revendications pour un partenaire de ressources spcifique. Les revendications sont intgres dans un jeton qui est envoy un serveur de fdration dans le partenaire de ressources. Ds quun serveur de fdration du partenaire de ressources reoit les revendications entrantes, il les associe celles de son organisation. Les revendications de lorganisation sont ensuite intgres dans un nouveau jeton, lequel est envoy lAgent Web ADFS. Le rle que joue un serveur de fdration dans lun ou lautre des scnarios SSO de Web fdr (SSO de Web fdr ou SSO de Web fdr avec approbation de fort) peut varier selon que votre organisation est dfinie comme tant le partenaire de comptes ou le partenaire de ressources : 22. ADAM et ADFS
j
Dans le partenaire de comptes, les serveurs de fdration servent se connecter des comptes dutilisateurs locaux, que ce soit dans un magasin Active Directory ou dans un magasin ADAM. Les serveurs de fdration mettent galement des jetons de scurit initiaux que les comptes dutilisateurs locaux peuvent utiliser pour accder des applications web hberges dans le partenaire de ressources. De plus, les serveurs de fdration du partenaire de comptes mettent des cookies au niveau des utilisateurs pour grer le statut des connexions. Ces cookies incluent des revendications pour ces utilisateurs. Ces cookies offrent des fonctionnalits SSO. Ainsi, les utilisateurs nont pas besoin dentrer leurs informations didentification chaque fois quils visitent des applications Web du partenaire de ressources. Sur le partenaire de ressources, les serveurs de fdration valident les jetons de scurit qui sont mis par les serveurs de fdration au niveau du partenaire de comptes. Sur le partenaire de ressources, les serveurs de fdration mettent aussi des jetons de scurit lintention des applications web du partenaire de ressources. De plus, les serveurs de fdration du partenaire de ressources mettent des cookies dans les comptes dutilisateurs, qui proviennent du partenaire de comptes. Ces cookies offrent des fonctionnalits SSO. Ainsi, les utilisateurs nont pas besoin douvrir nouveau une session sur leurs serveurs de fdration du partenaire de comptes pour accder diffrentes applications web du partenaire de ressources.
756
Les proxies de serveur de fdration

Un proxy de serveur de fdration hberge le composant Proxy du service de fdration du service ADFS. Les proxies peuvent tre dploys dans le rseau de primtre dune organisation (DMZ) pour transmettre les demandes aux serveurs de fdration qui ne sont pas accessibles par le biais dInternet. Bien que vous puissiez dployer des serveurs distincts pour hberger le composant Proxy du service de fdration, il nest pas ncessaire de dployer un serveur diffrent comme proxy de serveur de fdration dans la fort intranet du partenaire de comptes ou du partenaire de ressources. Le serveur de fdration remplit automatiquement ce rle. Le rle que joue un proxy de serveur de fdration dans votre organisation varie selon que celle-ci est le partenaire de comptes ou le partenaire de ressources :
j
Au niveau du partenaire de comptes, les proxies de serveur de fdration font office de proxies pour les connexions dutilisateurs aux serveurs de fdration situs sur lintranet. Ils peuvent aussi faire office de proxies pour les jetons de scurit mis par le serveur de fdration du partenaire de comptes, aussi bien pour ses propres jetons que ceux qui sont destins aux partenaires de ressources. Au niveau du partenaire de ressources, les proxies du service de fdration font office de proxies pour les jetons de scurit des utilisateurs, qui sont mis partir des serveurs de fdration aussi bien au niveau du partenaire de comptes que du partenaire de ressources, lintention des applications web du partenaire de ressources. 22. ADAM et ADFS
Les serveurs web

Dans ADFS, les serveurs web de la fort de ressources hbergent le composant Agent Web ADFS en vue doffrir un accs scuris aux applications web qui sont hberges sur ces serveurs web. LAgent Web ADFS gre les jetons de scurit et les cookies dauthentification qui sont envoys un serveur web. Le serveur web ncessite une relation avec un service de fdration de faon ce que tous les jetons dauthentification proviennent de ce service de fdration. LAgent Web ADFS prend en charge deux types dapplications : les applications qui savent reconnatre les revendications et les applications Windows NT base de jetons.
Conguration requise pour ADFS

Des prrequis matriels ainsi que logiciels sont ncessaires la mise en place dADFS. La configuration matrielle requise est la suivante
j j
Vitesse du processeur : 133 MHz. Mmoire vive minimale recommande : 256 Mo.
757
Chapitre 22
ADAM et ADFS
Espace disque libre pour linstallation : 10 Mo.
Quant la configuration logicielle requise, les services ADFS reposent sur la fonctionnalit de serveur qui est intgre au systme dexploitation Windows Server 2003 R2. Les composants Service de fdration, Proxy du service de fdration et Agent Web ADFS ne peuvent pas sexcuter sur des systmes dexploitation plus anciens. Rpartition des composants dADFS Les composants Service de fdration et Proxy du service de fdration ne peuvent pas se trouver sur le mme ordinateur et ils ne peuvent tre installs que sur des ordinateurs excutant Windows Server 2003 R2, Enterprise Edition.
Conguration requise pour Active Directory et le magasin de comptes ADAM

ADFS requiert la prsence de comptes dutilisateurs dans Active Directory ou ADAM pour le service de fdration des comptes. Les contrleurs de domaine Active Directory ou les ordinateurs qui hbergent les magasins de comptes peuvent tourner des versions Windows 2000 Server SP4 jusqu Windows Server 2003 R2. ADFS ne ncessite pas de modifications de schma ou de fonctionnalits pour Active Directory. 22. ADAM et ADFS Pour garantir le bon fonctionnement dADAM avec ADFS, installez la version dADAM qui est fournie avec Windows Server 2003 R2.
Le service de fdration
Le serveur excutant le service de fdration doit tre configur avec les composants suivants :
j j j j j j
Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par dfaut configur avec TLS/SSL (Transport Layer Security et Secure Sockets Layer) ; un certificat, de signature numrique X.509, pour le service de fdration, utilis pour la signature des jetons.
758
Le proxy du service de fdration

Le serveur excutant le proxy du service de fdration doit tre configur avec les composants suivants :
j j j j j
Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par dfaut configur avec TLS/SSL (Transport Layer Security et Secure Sockets Layer).
Lagent web ADFS

Le serveur excutant lAgent Web ADFS doit tre configur avec les composants suivants :
j j j j
Windows Server 2003 R2, Standard Edition, ou Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0. 22. ADAM et ADFS
Lorsque linstallation de lAgent Web ADFS est termine, il faut configurer au moins un site web dans IIS avec TLS/SSL, de faon ce que les utilisateurs fdrs puissent accder aux applications web qui sont hberges sur le serveur web.
Les autorits de certication approuves

Comme TLS/SSL et la signature des jetons reposent sur les certificats numriques, les autorits de certification constituent une partie importante dADFS. Vous pouvez recourir des autorits de certification dentreprise, comme les services de certificats Microsoft, pour fournir la signature de jetons et dautres services de certificats internes. Si un client se voit proposer un certificat dauthentification dun serveur, il sassure que lautorit de certification qui la mise se trouve sur sa liste dautorits de certification approuves et que lautorit de certification na pas rvoqu le certificat. Cette vrification garantit que le client a bien atteint le serveur souhait. Lorsquil utilise un certificat pour vrifier des jetons signs, le client sassure que le jeton a bien t mis par le bon serveur de fdration et que ce jeton na pas t falsifi.
759
Chapitre 22
ADAM et ADFS
La connectivit de rseau TCP/IP

Pour que le service ADFS fonctionne, il doit y avoir une connectivit de rseau TCP/IP entre le client, un contrleur de domaine et les ordinateurs qui hbergent le service de fdration, le proxy du service de fdration (sil est utilis) et lAgent Web ADFS.
Les serveurs DNS

Pour ce qui concerne lauthentification des utilisateurs dun intranet, les serveurs DNS de la fort de lintranet doivent tre configurs pour retourner le nom complet (CNAME) du serveur interne qui excute le service de fdration. Nutilisez pas de fichiers Hosts avec le DNS.
Le navigateur web
Bien que nimporte quel navigateur web actuel compatible JScript puisse faire office de client ADFS, seuls Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et Safari sur Macintosh ont t tests par Microsoft. Pour des raisons de performance, il est fortement recommand dactiver JScript. Les cookies doivent tre accepts, ou du moins approuvs, pour les serveurs de fdration et les applications web auxquels on accde.
Implmenter des composants ADFS

22. ADAM et ADFS Vous allez maintenant apprendre comment installer les composants ADFS.
Installer le composant Service de fdration

1. Cliquez sur Dmarrer, pointez sur Panneau de configuration, puis cliquez sur le lien Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows. 3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Dtails. 4. Dans la bote de dialogue Services Active Directory, cliquez sur Services de fdration Active Directory (ADFS), puis cliquez sur Dtails. 5. Dans la bote de dialogue Services de fdration Active Directory (ADFS), cochez la case Service de fdration, puis cliquez sur OK. Si ASP.NET 2.0 na pas t pralablement activ, cliquez sur Oui pour lactiver, puis sur OK. 6. Dans la bote de dialogue Services Active Directory, cliquez sur OK. 7. Dans lAssistant Composants de Windows, cliquez sur Suivant.
760
8. Dans la page Service de fdration, cliquez sur Crer un certificat de signature de jetons auto-sign. 9. Sous la rubrique Stratgie dapprobation, cliquez sur Crer une nouvelle stratgie dapprobation, puis sur Suivant. 10. Si vous tes invit fournir lemplacement des fichiers dinstallation, accdez Dossier dinstallation de R2\cmpnents\r2, puis cliquez sur OK. 11. Dans la page Fin de lAssistant Composants de Windows, cliquez sur Terminer.
Installer le composant Agent web

1. Cliquez sur Dmarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows. 3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Dtails. 4. Dans la bote de dialogue Services Active Directory, cliquez sur Services de fdration Active Directory (ADFS), puis cliquez sur Dtails. 5. Dans la bote de dialogue Services de fdration Active Directory (ADFS), cliquez sur Agents Web ADFS, puis sur Dtails. 6. Dans la bote de dialogue Agents Web ADFS, cochez les cases Applications reconnaissant les rclamations et Applications bases sur les jetons Windows NT, puis cliquez sur OK. 7. Dans la bote de dialogue Services de fdration Active Directory (ADFS), cliquez sur OK. 8. Dans la bote de dialogue Services Active Directory, cliquez sur OK. 9. Dans lAssistant Composants de Windows, cliquez sur Suivant. 10. Si vous tes invit fournir lemplacement des fichiers dinstallation, accdez Fichiers dinstallation de R2\cmpnents\r2, puis cliquez sur OK. 11. Dans la page Fin de lAssistant Composants de Windows, cliquez sur Terminer. 22. ADAM et ADFS
Installer le composant Proxy du service de fdration

1. Cliquez sur Dmarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. 2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des composants Windows.
761
Chapitre 22
ADAM et ADFS
3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Dtails. 4. Dans la bote de dialogue Services Active Directory, cliquez sur Services de fdration Active Directory (ADFS), puis cliquez sur Dtails. 5. Dans la bote de dialogue Services de fdration Active Directory (ADFS), cochez la case Proxy du Service de fdration, puis cliquez sur OK. Si ASP.NET 2.0 na pas t pralablement activ, cliquez sur Oui pour lactiver, puis sur OK. 6. Dans la bote de dialogue Services Active Directory, cliquez sur OK. 7. Dans lAssistant Composants de Windows, cliquez sur Suivant. Configuration des composants Pour aller plus loin dans la configuration des composants, consultez ladresse http://technet2.microsoft.com/windowsserver/en/technologies/featured/adfs/default.mspx.
La terminologie ADFS
Afin de mieux comprendre les diffrents termes employs dans lapproche ADFS, aidez-vous du tableau suivant :
Tableau 22.3 : Termes employs lors de la mise en place dADFS
22. ADAM et ADFS
Terme Partenaire de comptes
Description Partenaire de fdration approuv par le service de fdration pour fournir des jetons de scurit. Le partenaire de comptes met ces jetons de scurit ses utilisateurs (les utilisateurs prsents dans le domaine du partenaire de comptes), afin quils puissent accder des applications bases sur le Web dans le partenaire de ressource. Composant Windows Server 2003 R2 qui fournit des technologies douverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs applications web, travers la dure de vie dune session en ligne unique. ADFS y parvient en partageant de manire scurise lidentit numrique et les droits accords, travers des limites de scurit et dentreprise. ADFS dans Windows Server 2003 R2 prend en charge WS-F PRP (WS-Federation Passive Requestor Profile). Revendication effectue par un serveur (nom, identit, cl, groupe, privilge ou fonctionnalit, par exemple) sur un client. Application ASP.NET qui effectue une autorisation base sur les revendications prsentes dans un jeton de scurit ADFS. Paire de domaines Kerberos ou de domaines ayant tabli une approbation de fdration.
ADFS (Active Directory Federation Services)
Revendication Application compatible avec les revendications Fdration
762
Terme Service de fdration
Description Service de jeton de scurit conu dans Windows Server 2003 R2. Le service de fdration fournit des jetons en rponse aux demandes de jetons de scurit. Proxy vers le service de fdration dans le rseau de primtre (galement appel "zone dmilitarise" et "sous-rseau filtr"). Le proxy du service de fdration utilise des produits PRP WS-F pour rcuprer des informations didentification dutilisateur partir de clients de navigateur et dapplications web, puis envoie les informations au service de fdration de leur part. Partenaire de fdration qui approuve le service de fdration pour mettre des jetons de scurit bass sur des revendications. Le partenaire de ressource contient des applications bases sur le Web et publies, auxquelles les utilisateurs du partenaire de comptes peuvent accder. Unit de donne signe et crypte qui exprime une ou plusieurs revendications. Service web qui met des jetons de scurit. Un service de jetons de scurit effectue des assertions bases sur une preuve quil approuve et pour quiconque lapprouve (ou pour des destinataires spcifiques). Pour communiquer une approbation, un service ncessite une preuve, telle quune signature pour attester de la connaissance dun jeton de scurit ou dun ensemble de jetons de scurit. Un service mme peut gnrer des jetons ou dpendre dun service de jetons de scurit pour mettre un jeton de scurit avec sa propre dclaration dapprobation. Cela compose la base de la rpartition dapprobation. Dans les services ADFS, le service de fdration est un service de jetons de scurit. Dans les services ADFS, ensemble de serveurs de fdration avec rpartition de charge, proxies de serveur de fdration ou serveurs web hbergeant lAgent Web ADFS. Optimisation de la squence dauthentification pour liminer la charge de travail que reprsentent des ouvertures de session rptes dun utilisateur final. Certificat X509 dont la paire de cls publique/prive associe sert fournir une intgrit pour des jetons de scurit. Spcifications dune architecture de services web fondes sur des normes industrielles telles que SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) et UDDI (Universal Description, Discovery, and Integration). WS-* fournit une base pour crer des solutions dentreprise compltes et qui interagissent pour lensemble de lentreprise, y compris la possibilit de grer une identit et une scurit fdres. Application Windows dpendant dun jeton Windows NT pour procder lautorisation dutilisateurs.
Proxy du service de fdration
Partenaire de ressource
Jeton de scurit Service de jetons de scurit
22. ADAM et ADFS
Ferme de serveurs
Ouverture de session unique (ou SSO) Certificat de signature de jetons Services web (ou WS-*)
Application base sur des jetons Windows NT
763
Chapitre 22
ADAM et ADFS
Terme WS-Federation
Description Spcification qui dfinit un modle et un ensemble de messages pour la rpartition dapprobation et la fdration didentit, ainsi que les informations dauthentification travers diffrents modles Kerberos dapprobation. La spcification WS-Federation identifie deux sources didentit et des demandes dauthentification travers des domaines Kerberos dapprobation : les requtes actives, telles que les applications compatibles avec SOAP, ainsi que les requtes passives, dfinies en tant que navigateurs HTTP avec une large prose en charge de HTTP, par exemple HTTP 1.1.
22.3. En rsum
Active Directory Application Mode (ADAM) est un mode indpendant du service dannuaire Active Directory, dpourvu de fonctionnalits dinfrastructure. Il fournit des services dannuaire pour les applications et ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies douverture de session Web unique (SSO) pour authentifier un utilisateur dans plusieurs applications Web, travers la dure de vie dune session en ligne unique.
22. ADAM et ADFS 764
Partie
C
Scurits
Partie
C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26
Scurits
Introduction la scurit . . . . . . . . . . . . . 767 La conception de la scurit des serveurs . . . . . . . 789 valuation de la scurit . . . . . . . . . . . . . 805 La scurisation des postes de travail . . . . . . . . . 823
Chapitre 23
Introduction la scurit
23.1 23.2 23.3 23.4 23.5 23.6 23.7 23.8 23.9 23.10 Quest ce que la dfense en profondeur . . . La couche physique . . . . . . . . . . . . . . . La couche Primtre . . . . . . . . . . . . . . . La couche rseau interne . . . . . . . . . . . . La couche hte . . . . . . . . . . . . . . . . . . La couche application . . . . . . . . . . . . . . La couche Donnes . . . . . . . . . . . . . . . Les notions fondamentales lies la scurit Les dix commandements de la scurit . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769 . 770 . 773 . 775 . 778 . 780 . 782 . 784 . 786 . 787
Quest ce que la dfense en profondeur
A
j j j j j j j j
vant de commencer cette suite de chapitres destins la scurit, il est ncessaire de comprendre les risques, les enjeux et les impacts de la scurit. Un tel impact peut rapidement avoir des consquences sur les points suivants : le manque gagner ou laugmentation des cots ; la perte ou lendommagement de donnes ; linterruption des processus de lentreprise ; la perte de confiance des clients ; la perte de confiance des investisseurs ; les consquences juridiques associes au manquement la scurisation du systme dans de nombreux tats et pays ; le non-respect des exigences lgales en matire de scurit ; la rputation de lentreprise entache.
Rsultat : la scurit de linformatique devient un point crucial au cur du systme dinformation et, de facto, elle devient un centre de cot trs lev. Cependant, lentreprise tire certains avantages investir dans la scurit :
j j j j
la rduction des temps morts et des cots associs aux priodes dindisponibilit des systmes et des applications ; la rduction des cots de main-duvre associs au dploiement inefficace de mises jour de la scurit ; la rduction des pertes de donnes dues aux virus destructeurs ou aux violations de la scurit des informations ; la protection renforce de la proprit intellectuelle. 23. Introduction la scurit
Pour que les investissements soient rentables et que la scurit soit efficace devant les particularits de votre infrastructure, il est ncessaire de catgoriser ses diffrentes parties comme la scurit client/serveur, la scurit du rseau et des donnes ou encore celle des postes utilisateurs. Une fois cette liste tablie, il vous faudra dfinir alors pour chaque catgorie une stratgie de conception avant la phase dimplmentation. Lobjectif de ce chapitre est de vous prsenter les notions de dfense en profondeur.
23.1. Quest ce que la dfense en profondeur

La dfense en profondeur consiste modliser cette dfense par couches, Elles sont au nombre de cinq. Chaque couche physique est modlise en fonction de ce quelle couvre et ce qui risque dtre compromis. Ensuite, un ensemble de bonnes pratiques est apport pour chaque couche en fonction de ces spcificits.
769
Chapitre 23
j j j
La couche Primtre : pare-feu matriels et/ou logiciels et rseaux privs virtuels utilisant des procdures de mise en quarantaine. La couche Rseau interne : segmentation rseau, scurit IP (IPSec) et systmes de dtection dintrusion rseau (NIDS, Network Intrusion Detection Systems). La couche Hte : renforcement de la scurit des systmes dexploitation serveur et client, outils de gestion des correctifs, mthodes dauthentification renforces et systmes de dtection dintrusion hte. La couche Application : renforcement de la scurit des applications et logiciels antivirus. La couche Donnes : listes de contrle daccs (ACL, Access Control Lists), chiffrement, systme de fichiers EFS (Encrypting File System) et technologie DRM (Digital Rights Management).
j j
23. Introduction la scurit
Figure 23.1 : Vision de la scurit par couches
23.2. La couche physique

La scurit physique est lun des lments cls de la scurit des entreprises. La couche Scurit physique englobe les cinq autres couches du modle de dfense en profondeur : primtre, rseau interne, hte, application et donnes. Le principe de base de la couche Scurit physique est que toutes les ressources de linfrastructure informatique dune entreprise doivent tre scurises physiquement. Ces ressources ne comprennent pas seulement du matriel, mais aussi des logiciels, des donnes et des informations professionnelles critiques stockes sur divers priphriques. La scurit physique est un lment cl de la stratgie de scurit globale dune entreprise.
770
La couche physique
Scurit physique Le principe de base de la couche Scurit physique est que toutes les ressources de linfrastructure informatique dune entreprise doivent tre scurises physiquement. Ces ressources ne comprennent pas seulement des quipements, mais aussi des logiciels, des donnes et des informations professionnelles critiques stockes sur divers priphriques.
Corruption possible de la couche physique

Cependant, si cette couche venait se trouver corrompue, cela pourrait avoir un ou plusieurs impacts :
j
La mobilit est un sujet de plus en plus prsent dans les entreprises. Laccs physique aux appareils mobiles de votre organisation constitue un danger pour la couche Scurit physique. Laction dun individu mal intentionn sera considrablement facilite sil a accs des listes de contacts ou des numros de tlphone, sil a la possibilit denvoyer des messages lectroniques ou de rpondre au tlphone en se faisant passer pour le propritaire lgitime. Laccs physique un systme permet galement un individu mal intentionn dinstaller des logiciels ou du matriel malveillants, par exemple des rootkits, des logiciels espions ou dautres virus. Ces logiciels passent parfois inaperus et sexcutent sur un systme pendant un certain temps, collectant des donnes critiques sur lentreprise. Cela peut avoir des consquences dsastreuses pour lentreprise. Dans certains cas, une attaque nest que du vandalisme. Les dommages physiques causs aux quipements ou leur destruction peuvent constituer un problme majeur, mais il est nanmoins plus grave quun intrus parvienne voir, modifier ou supprimer des donnes supposes tre scurises. Si un individu mal intentionn accde physiquement des systmes, Il est possible de considrer que celles-ci deviennent les propritaires de ces systmes.
Dfense de la couche physique

Toutefois, pour limiter les risques, vous avez la possibilit dorganiser la dfense de cette couche en prenant en compte les points suivants :
j
La scurit physique concerne tous les composants de votre infrastructure informatique. Si une personne non autorise dispose dun accs physique lenvironnement, ce dernier ne peut pas tre considr comme scuris.
771
Chapitre 23
Laccs doit tre surveill laide dun circuit ferm de tlvision et, dans certains cas, par des gardes. Les enregistrements vido peuvent tre utiliss pour un audit et la prsence de camras peut avoir un effet dissuasif contre les accs non autoriss. Les ordinateurs portables dune socit peuvent contenir des informations trs utiles un intrus. Ils doivent toujours tre stocks de faon scurise lorsquils ne sont pas utiliss. Sparez les serveurs des oprateurs humains et des utilisateurs. Toutes les salles serveur doivent tre fermes cl. Laccs ces salles doit tre strictement rglement et les entres enregistres. Sil nexiste pas de salles ddies aux serveurs, il convient de scuriser ces derniers laide de coffrages ou, faute de mieux, de verrouiller les baies. Comme la plupart des baies de serveur peuvent tre ouvertes laide dune cl standard, ne faites pas confiance aux verrous prvus par le fournisseur. Laccs physique stend aux consoles dadministration distance en plus des serveurs. Il nest pas trs utile de scuriser laccs aux claviers et aux crans si laccs aux serveurs est possible via des services Terminal Server partir de tout point du rseau interne. Laccs administratif distance doit tre scuris par des contre-mesures appropries, par exemple lauthentification multifactorielle et le chiffrement des canaux de communication. Cette recommandation sapplique aux solutions KVM (Keyboard Video Monitor) rseau ainsi quau matriel de gestion distance. Protgez physiquement les sauvegardes de vos donnes et des configurations de vos priphriques rseaux. Les copies de sauvegarde peuvent divulguer des informations sur le rseau susceptible dtre utiles un intrus. Vous pouvez galement utiliser les sauvegardes pour restaurer rapidement des donnes ou rtablir une configuration plus scurise dun priphrique. Vrifiez que tout le matriel rseau est protg physiquement. Les routeurs et les commutateurs rseau doivent tre scuriss physiquement. Dans le cas contraire, un intrus peut facilement se connecter un ordinateur portable ou un ordinateur de bureau et attaquer les serveurs au sein du primtre. La gestion des priphriques rseau doit tre contrle de faon ne jamais voir ces quipements utiliss pour monter une attaque contre linfrastructure rseau. De mme, rduire les opportunits pour les individus, bien intentionns ou autres, dinfecter ou de mettre en danger un systme est important. Supprimez les priphriques dentre de donnes tels que les lecteurs de disquettes et les lecteurs de CD-Rom sur les systmes qui nen ont pas besoin.
772
La couche Primtre
23.3. La couche Primtre
Figure 23.2 : Dfense de la couche primtre
Votre primtre rseau est la pierre angulaire entre le rseau interne de votre entreprise et les rseaux non approuvs. Beaucoup de personnes pensent que le primtre recouvre uniquement la connexion entre le rseau interne et Internet, mais cette dfinition est trop limitative. Avec lapproche de dfense en profondeur, le primtre rseau comprend tous les points o le rseau interne est connect aux rseaux et htes qui ne sont pas grs par lquipe informatique de lentreprise. Il peut sagir de connexions :
j j j j j j j
Internet ; des succursales qui ne sont pas gres par lquipe informatique de lentreprise ; des partenaires commerciaux ; des utilisateurs distants ; des rseaux sans fil ; des applications Internet ; dautres segments rseau internes. 23. Introduction la scurit
Le primtre dun rseau est la zone de ce rseau qui est la plus vulnrable aux attaques venant de lextrieur. Les quipements utiliss dans le primtre rseau comprennent notamment :
j j j
des routeurs ; des serveurs de messagerie et des serveurs web ; des logiciels et quipements pare-feu.
773
Chapitre 23
Corruption possible de la couche Primtre

j
Il peut sembler logique de concentrer les efforts sur la zone o les attaques sont plus probables, comme Internet. Cependant, une personne mal intentionne peut galement essayer dattaquer votre rseau par tout autre point daccs. Il est trs important que toutes les entres et les sorties de votre rseau soient scurises. Certaines attaques de primtre ne portent pas directement sur le primtre rseau. Par exemple, dans une attaque type hameonnage (phishing), lagresseur diffuse un message lectronique qui, examin superficiellement, parat provenir dune entreprise authentique. En gnral, de tels messages essaient de leurrer le destinataire pour linciter fournir des informations sensibles sur son compte. Par exemple, ces messages contiennent souvent une URL permettant daccder des sites web conus pour reproduire de faon trs convaincante le site dune entreprise authentique. Lescroquerie par hameonnage cause un dommage lindividu tromp et lentreprise authentique dont la rputation est ternie. Il est important que vous considriez la scurit du rseau comme un tout, en tenant compte de tous les points daccs votre rseau et non seulement de zones individuelles. Comme il est peu probable que vous soyez charg de mettre en uvre la scurit chez vos partenaires commerciaux, vous ne pouvez pas avoir une confiance totale dans les accs provenant de leur environnement. De mme, vous nexercez aucun contrle sur le matriel des utilisateurs distants et ne pouvez pas non plus faire confiance cet environnement. Les succursales ne possdant pas toujours des informations aussi sensibles quune maison mre, les mesures de scurit qui y sont mises en place sont parfois moindres. Cependant, elles peuvent avoir des connexions directes avec le sige, quun intrus peut utiliser.
Dfense de la couche Primtre

j
Lorsque des ordinateurs distants tablissent des communications sur un VPN, les entreprises peuvent examiner ces ordinateurs de plus prs afin de sassurer quils respectent la stratgie de scurit prdtermine. Les systmes qui veulent se connecter doivent tre mis en quarantaine sur une partie spare du rseau jusqu ce que les vrifications de scurit soient termines. Vous pouvez galement mettre en uvre la Protection de laccs au rseau (NAP, Network Access Protection) comme un moyen de filtrer les clients internes avant dautoriser laccs au rseau. Les systmes dexploitation Microsoft Windows rcents facilitent le blocage des ports de communication superflus afin de limiter la surface dattaque dun
774
La couche rseau interne
ordinateur. Vous pouvez galement utiliser des Systmes de dtection dintrusion hte (HIDS, Host Intrusion Detection Systems) et des pare-feu bass sur lhte.
j
La scurisation des primtres est essentiellement assure laide de pare-feu. La configuration dun pare-feu peut prsenter des difficults techniques. Cest pourquoi les procdures doivent dtailler prcisment la configuration requise. Le protocole de tunneling utilis par les systmes Microsoft est le protocole PPTP (Point-to-Point Tunneling Protocol) avec le chiffrement MPPE (Microsoft Point-to-Point Encryption) ou le protocole L2TP (Layer 2 Tunneling Protocol) avec le chiffrement IPSec. Lorsque des donnes quittent lenvironnement dont vous tes responsable, il est important quelles soient dans un tat garantissant leur arrive destination. Pour cela, vous pouvez utiliser le chiffrement et les protocoles de tunneling afin de crer un rseau priv virtuel (VPN, Virtual Private Network). Vous pouvez utiliser S/MIME ou PGP pour chiffrer et signer les messages lectroniques quittant votre organisation. Les systmes du primtre doivent galement avoir une utilisation clairement dfinie. Bloquez ou dsactivez toutes les autres fonctionnalits. La traduction dadresses rseau (NAT, Network Address Translation) permet une entreprise de masquer les configurations de port interne et dadresse IP afin dempcher les utilisateurs malveillants dattaquer les systmes internes avec des informations rseau voles. Les mcanismes de scurit de primtre peuvent galement masquer des services internes (mme ceux qui doivent tre accessibles lextrieur) pour que les intrus ne puissent jamais communiquer directement avec un autre systme que le pare-feu partir dInternet.
j j
23.4. La couche rseau interne

Figure 23.3 : Dfense de couche rseau interne
775
Chapitre 23
La couche Rseau interne comprend lintranet dentreprise dont le contrle et la gestion sont assurs par lquipe informatique de lentreprise. Cet intranet peut comprendre les lments suivants :
j j j j
le rseau local (LAN, Local Area Network) ; le rseau tendu (WAN, Wide Area Network) ; le rseau mtropolitain (MAN, Metropolitan Area Network) ; le rseau sans fil.
Les attaques ne proviennent pas uniquement de sources externes. Quil sagisse de vritables attaques internes ou juste daccidents, de nombreux systmes et services peuvent tre endommags. Il est important de mettre en uvre une scurit rseau interne pour arrter les menaces malveillantes et accidentelles. La segmentation du rseau interne est lun des moyens utiliss cet effet. En fournissant une couche supplmentaire dans le modle de dfense en profondeur, la segmentation interne permet de dtecter lintrus plus facilement et lempche daccder toutes les ressources du rseau principal de lentreprise.
Corruption possible de la couche rseau

j
Laccs linfrastructure rseau permet galement un intrus de surveiller le rseau et dobserver le trafic quil transmet. Les rseaux entirement routs facilitent la communication, mais ils permettent aux intrus daccder leurs ressources, quel que soit lemplacement de lintrus sur le rseau. Par exemple, si les intrus peuvent accder au rseau, ils peuvent utiliser un renifleur de rseau pour capturer le trafic rseau et, ventuellement, se procurer des informations confidentielles ou des informations dauthentification. Laccs aux systmes internes et aux ressources rseau permet un intrus daccder plus facilement aux donnes dune entreprise. Les systmes dexploitation rseau installent de nombreux services, or chaque service rseau est un point dattaque potentiel. Un intrus peut utiliser un service vulnrable sur un ordinateur pour prendre le contrle de cet ordinateur afin de lutiliser pour lancer dautres attaques. Les rseaux sans fil se prtent lcoute clandestine parce que les intrus peuvent y accder sans entrer physiquement dans les locaux de lorganisation. Sil parvient accder au rseau sans fil, lintrus est en mesure de capturer des informations confidentielles, et mme de contourner tout pare-feu de primtre.
j j
776
La couche rseau interne
Dfense de la couche rseau

j
Chiffrez les communications rseau. Tenez compte de la faon dont les priphriques rseau, tels que les commutateurs, seront grs. Par exemple, votre quipe rseau peut utiliser Telnet pour sattacher un commutateur ou un routeur en vue deffectuer des modifications de configuration. Telnet transmet toutes les informations dauthentification de scurit en texte clair. Autrement dit, les noms dutilisateurs et les mots de passe sont accessibles toute personne qui espionne ce segment du rseau. Cela peut reprsenter une faille de scurit majeure. Songez autoriser uniquement lutilisation dune mthode chiffre et scurise comme SSH (Secure Shell) ou un accs terminal srie direct. Signez les paquets rseau. Mettez en uvre des technologies de chiffrement et de signature telles que IPSec ou la signature SMB (Server Message Block) pour empcher les intrus despionner les paquets du rseau et de les rutiliser. Appliquez des filtres de port IPSec pour restreindre le trafic vers les serveurs. Bloquez tous les ports qui ne sont pas indispensables aux fonctionnalits du serveur. Exigez lauthentification mutuelle. Pour aider scuriser lenvironnement du rseau interne, demandez chaque utilisateur de sauthentifier de faon scurise auprs dun contrleur de domaine et des ressources auxquelles il accde. Utilisez lauthentification mutuelle (qui permet au poste client de connatre lidentit du serveur) pour empcher la copie accidentelle de donnes vers le systme dun intrus. Segmentez le rseau. Les commutateurs doivent segmenter ou partitionner physiquement un rseau pour quil ne soit pas disponible dans son intgralit partir dun point unique. Vous pouvez raliser le partitionnement en utilisant des commutateurs et des routeurs rseau spars ou en crant plusieurs rseaux locaux virtuels (VLAN, Virtual Local Area Network) sur le mme commutateur physique. La segmentation de rseau est utile lorsquil est impossible dinstaller des correctifs logiciels sur certains systmes ou de renforcer leur scurit par des contre-mesures sous peine dendommager lapplication ou les donnes de lapplication. Elle peut galement constituer une rponse des menaces comme la connexion au rseau dutilisateurs dont les ordinateurs portables sont infects par des virus. Pour ces systmes, une segmentation physique supplmentaire utilisant des pare-feu, la scurit IPSec ou dautres mesures doit faire partie de la stratgie de scurit de lorganisation. Limitez le trafic mme sil est segment. Pour les rseaux locaux filaires et sans fil, utilisez 802.1X pour fournir un accs chiffr et authentifi. Cette solution peut utiliser des comptes et des mots de passe Active Directory ou des certificats numriques pour lauthentification. Si vous utilisez des certificats, vous aurez besoin dune infrastructure cl publique (PKI, Public Key Infrastructure) base sur les services de certificats Windows ; pour les mots de passe comme pour les certificats, vous aurez galement besoin dun serveur RADIUS (Remote Authentication Dial-In User Service) bas sur le service dauthentification Internet (IAS, Internet 777
j j
Chapitre 23
Authentication Service). Les Services de certificat et le service IAS sont inclus dans Windows Server 2003. Pour les organisations de petite taille, il peut savrer avantageux dutiliser WPA (Wi-Fi Protected Access), un mcanisme qui permet le chiffrement du trafic sans fil avec changement automatique des cls de chiffrement (fonction appele "rgnration des cls") soit au bout dun certain temps, soit aprs la transmission du nombre de paquets spcifi. WPA ne requiert pas une infrastructure complexe comme 802.1X, mais fournit un niveau de scurit infrieur.
23.5. La couche hte
Figure 23.4 : Dfense de la couche hte
La couche Hte contient des systmes individuels du rseau. Ces systmes remplissent souvent des rles ou des fonctions spcifiques. La prise en charge des fonctionnalits de scurit diffre dun systme dexploitation lautre. Les systmes dexploitation les plus courants comme, Windows XP et Windows Vista pour les postes clients ou encore Windows Server 2003 ou Windows Server 2008 comprennent des fonctionnalits de scurit intgres comme les noms et les mots de passe uniques pour chaque utilisateur, les listes de contrle daccs et laudit. Les systmes dexploitation Microsoft plus anciens comme Windows 95/98/Me ne comprennent pas les fonctionnalits de base requises dun systme dexploitation scuris. Une scurisation efficace des htes implique de parvenir un quilibre entre le degr de scurit et la facilit dutilisation. Par exemple, si vous activez tous les services dun serveur rseau ou si vous autorisez les connexions rseau partir de nimporte quel client, le serveur sera facile utiliser, mais non scuris. Inversement, si vous dsactivez 778
La couche hte
des services, vous pouvez compromettre la facilit dutilisation du serveur. Si vous activez un pare-feu bas sur lhte, vous risquez dempcher des clients lgitimes de se connecter au serveur. Souvent, laugmentation de la scurit dun ordinateur entrane une diminution de sa facilit dutilisation.
Corruption possible de la couche hte

j
Un intrus peut essayer dexploiter les faiblesses dun systme dexploitation. Vous pouvez vous protger de ces attaques en veillant installer les correctifs de scurit et les mises jour les plus rcents. Une configuration de systme dexploitation non scurise peut exposer lhte aux attaques. Un intrus peut utiliser et exploiter les services quil sait disponibles par dfaut sur de nombreux systmes, par exemple les services Internet (IIS). En rgle gnrale, les services dont un serveur na pas besoin pour remplir son rle dans le rseau ne doivent pas tre activs ; si ces services sont ncessaires, ils doivent tre configurs dans un souci de scurit. Les accs non surveills rendent la couche Hte vulnrable. Lorsque les accs et les tentatives daccs ne sont pas audits et surveills, lefficacit potentielle dune attaque est accrue parce que vous risquez de dcouvrir lattaque seulement aprs quelle a caus des dommages substantiels. La couche Hte peut galement tre compromise par la diffusion de virus, la plupart du temps via le courrier lectronique, dans le cadre dune attaque automatise. Par exemple, le ver informatique Nimda cre sur lordinateur infect des partages rseau ouverts autorisant laccs au systme. Pendant ce processus, le ver cre galement un compte dinvit bnficiant des privilges dadministrateur. De plus, des intrus peuvent utiliser ce virus pour installer des rootkits ou des logiciels espions afin de compromettre la scurit du systme dexploitation.
Dfense de la couche hte

j
Utilisez des techniques de renforcement de la scurit sur les systmes dexploitation client et serveur. Le choix de ces techniques dpend du rle de lordinateur. Dans chaque cas, vous pouvez utiliser les modles de scurit et les modles dadministration de la stratgie de groupe pour protger ces systmes. Sur les systmes client, vous pouvez galement utiliser la stratgie de groupe pour limiter les droits des utilisateurs et pour contrler linstallation des logiciels. Avec une stratgie de groupe limitant les applications excutes par un utilisateur, vous pouvez empcher cet utilisateur dexcuter accidentellement un cheval de Troie. 779
Chapitre 23
Sur les systmes serveurs, les techniques de renforcement de la scurit comprennent galement la dsactivation ou la suppression des services inutiles, linstallation dun systme de dtection dintrusion hte (HIDS), lapplication dautorisations NTFS, la dfinition de stratgies daudit, le filtrage des ports et lexcution de tches supplmentaires bases sur le rle du serveur. Surveillez et auditez les accs et les tentatives daccs aux ressources rseau. Installez et tenez jour des programmes de dtection de virus et de logiciels espions. Utilisez des pare-feu. Lutilisation du pare-feu Windows disponible avec Windows XP et les systmes dexploitation ultrieurs peut rduire considrablement la surface dattaque sur un ordinateur client.
23.6. La couche application
Figure 23.5 : Dfense de la couche application
Bien que Windows XP Service Pack 2 et Windows Vista, ct poste client, ainsi que Windows Server 2003 Service Pack 2 et Windows Server 2008, ct serveur, augmentent la scurit des systmes dexploitation htes, vous devez faire en sorte que les applications qui sexcutent sur les serveurs soient aussi scurises que possible. Elle comprend les applications rseau des clients et des serveurs. Les applications clientes sexcutent gnralement sur les ordinateurs des utilisateurs finaux, tandis que les applications serveurs sont hberges sur des ordinateurs serveurs ddis. Les applications rseau permettent aux postes clients daccder aux donnes et de les manipuler. Elles sont galement un point daccs au serveur sur lequel ces applications sexcutent. Noubliez pas que lapplication fournit un service au rseau. La solution de 780
La couche application
scurit utiliser ne doit pas empcher cette application de fonctionner. Recherchez les problmes de scurit pour les applications dveloppes en interne, ainsi que pour les applications commerciales.
Corruption possible de la couche application

j
Un intrus peut parvenir exploiter une faiblesse dune application pour excuter un code malveillant sur le systme. Lun des types dattaques les plus rpandus contre les bases de donnes est linjection SQL. Une attaque par injection SQL se produit lorsquun intrus modifie des requtes SQL soumises au serveur de base de donnes de faon pouvoir injecter des commandes dans la base de donnes. La restriction des types dinformations qui peuvent tre entres dans un champ dentre peut rduire considrablement ce type de vulnrabilit. Un intrus qui cible une application peut russir lendommager pour la rendre inoprante. Par exemple, une application peut sarrter la suite dune attaque de dpassement de mmoire tampon. Un intrus peut utiliser une application existante pour quelle effectue involontairement des tches indsirables comme le routage de messages lectroniques. Si un serveur SMTP nest pas configur pour bloquer le relais de messagerie, un intrus peut router des messages lectroniques indsirables par lintermdiaire du serveur. En pareil cas, les organisations peuvent ragir en bloquant tout le courrier lectronique en provenance de votre serveur. Un intrus peut saturer une application pour interdire toute utilisation lgitime ; ce type dattaque est appel "dni de service". Si un intrus peut compromettre plusieurs stations de travail qui ne sont pas scurises, il est peut-tre capable dutiliser ces stations de travail pour lancer une attaque par dni de service distribue contre un serveur sur le rseau.
Dfense de la couche application

j
Les installations dapplications ne doivent inclure que les services et les fonctionnalits requises. En excutant lAssistant Configuration de la scurit, vrifiez que tous les services non requis par les applications sont dsactivs. Lorsque de nouvelles applications personnalises sont dveloppes, utilisez les mthodes conseilles les plus rcentes relatives lingnierie de scurit lors du dveloppement des applications. Si la scurit dune application ou dun service est compromise, lintrus peut tre en mesure daccder au systme avec les mmes privilges que ceux qui sont associs 781
Chapitre 23
lapplication. Cest pourquoi il faut excuter les services et les applications avec le plus faible niveau de privilge possible.
j j
Les applications qui sexcutent sur le rseau doivent tre installes de faon scurise avec les Service Packs et les correctifs les plus rcents. Les applications dveloppes en interne doivent tre conues avec un souci particulier de scurit et leurs vulnrabilits doivent tre continuellement values ; pour toute vulnrabilit identifie, des correctifs doivent tre dvelopps et dploys. Utilisez des stratgies de restriction logicielle. Les stratgies de restriction logicielle vous permettent de protger votre environnement informatique contre le code non fiable en identifiant et en spcifiant les applications autorises sexcuter. Les applications peuvent tre identifies dans la stratgie au moyen dune rgle de hachage, une rgle de certificat, une rgle de chemin daccs ou une rgle de zone Internet. Les logiciels peuvent sexcuter sur deux niveaux : non restreint et non autoris. Le logiciel antivirus doit sexcuter afin dempcher lexcution de code malveillant. Un logiciel antivirus doit tre dploy sur les ordinateurs clients, les serveurs et les pare-feu ou les serveurs proxy par lesquels les donnes entrent dans le rseau.
23.7. La couche Donnes
Figure 23.6 : Dfense de la couche Donnes
NTFS prend en charge des fonctionnalits supplmentaires, comme laudit et le systme de fichiers EFS (Encrypting File System), qui peuvent tre utilises pour mettre en uvre la scurit des donnes. Sur un rseau, les donnes peuvent tre stockes sous diffrentes formes. Elles peuvent tre stockes dans des documents, dans des fichiers de 782
La couche Donnes
donnes Active Directory ou dans des fichiers crs laide de diverses applications. Le systme informatique conserve les donnes sur des supports de stockage de masse, en gnral un disque dur. Toutes les versions rcentes de Windows prennent en charge plusieurs systmes de fichiers pour le stockage et laccs aux fichiers sur un disque. Le systme NTFS est pris en charge par Microsoft Windows NT, Windows 2000, Windows XP et Microsoft Windows Server 2003. Il fournit des autorisations sur les fichiers et sur les dossiers pour assurer la protection des donnes. La dernire couche du modle de dfense en profondeur est la couche Donnes. Les systmes informatiques stockent, traitent et servent des donnes. Lorsque les donnes sont traites sous une forme qui a du sens, elles deviennent des informations utiles.
Corruption possible de la couche Donnes

j
Les fichiers dapplication sont galement stocks sur disque et exposs aux attaques, ce qui permet aux intrus dendommager lapplication ou de la manipuler des fins malveillantes. Le service dannuaire Active Directory utilise des fichiers sur le disque pour stocker des informations dannuaire. Ces fichiers sont stocks sur un emplacement par dfaut lorsque le systme est promu contrleur de domaine. Lors de cette promotion, il est conseill de stocker ces fichiers un emplacement autre que lemplacement par dfaut car cela permet de les cacher aux intrus. Dans la mesure o leur nom est connu (avec le nom de fichier NTDS.dit), le dplacement de ces fichiers ne fait que ralentir laction des intrus. Si les fichiers dannuaire sont compromis, tout lenvironnement du domaine est en danger. Les intrus qui accdent un systme de fichiers peuvent faire des dgts importants ou obtenir de grandes quantits dinformations. Ils peuvent afficher des fichiers de donnes et des documents qui contiennent des informations confidentielles. Ils peuvent galement modifier ou supprimer des informations, ce qui peut poser des problmes importants une entreprise.
Dfense de la couche Donnes

j
Dans la mesure o les donnes sont les lments fondamentaux dune socit, il est important de disposer dune procdure de rcupration teste et prouve. Si des sauvegardes sont effectues rgulirement, les donnes modifies ou supprimes accidentellement ou par un acte de malveillance peuvent tre rcupres assez rapidement grce ces sauvegardes. Un processus de sauvegarde et de restauration fiable est essentiel dans nimporte quel environnement de donnes. Les bandes de sauvegarde et de restauration doivent galement tre scurises pendant quelles se 783
Chapitre 23
trouvent dans le bureau. Il convient en outre de conserver des copies de ces bandes en lieu sr lextrieur du bureau. De plus, les bandes doivent tre transportes de faon scurise. Laccs non autoris aux bandes de sauvegarde est tout aussi dangereux quune violation physique de votre infrastructure.
j
Une protection accrue de la couche Donnes doit combiner chiffrement et listes de contrle daccs. Le chiffrement dun fichier empche uniquement une lecture non autorise ; il nempche pas les actions qui nimpliquent pas la lecture du fichier, une suppression par exemple. Pour empcher la suppression de fichiers, utilisez les listes de contrle daccs. EFS permet le chiffrement de fichiers lorsquils rsident sur le systme de fichiers. Le processus de chiffrement utilise une cl de chiffrement de fichier pour chiffrer le fichier et une technologie de cl prive/publique pour protger la cl de chiffrement. Il est important de comprendre quEFS ne chiffre pas les fichiers lorsquils transitent sur un rseau. NTFS fournit galement une scurit au niveau du fichier et au niveau du dossier. Cela permet la cration de listes de contrle daccs pour dfinir qui a accs un fichier et avec quel type daccs. Installez les applications et le systme dexploitation un emplacement autre que lemplacement par dfaut. Beaucoup de fichiers critiques des systmes dexploitation ont des noms et des emplacements par dfaut bien connus. Il est souvent sage de dplacer ces fichiers pour que les intrus russissant accder votre systme ne les trouvent pas trop facilement. Les listes de contrle daccs ne fonctionnent que sur les documents au sein du systme de fichiers pour lesquels ils ont t activs. Une fois les documents copis un autre emplacement (par exemple, le disque dur local dun utilisateur), il ny a plus de contrle daccs. Les services RMS (Rights Management Services) fournis avec Windows Server 2003 dplacent la fonction de contrle daccs vers lobjet lui-mme, de sorte que le contrle daccs est actif quel que soit lemplacement de stockage physique du document. Les services RMS offrent galement aux crateurs de contenu un contrle supplmentaire sur les actions quun poste client peut effectuer ; par exemple, le destinataire dun document peut tre autoris le lire, mais pas limprimer ou le copier-coller ; pour le courrier envoy avec Microsoft Office Outlook 2003, lexpditeur peut empcher les destinataires de transfrer le message. Vous pouvez galement utiliser S.MIME et PGP pour scuriser les messages lectroniques pendant quils sont en transit dun client un autre.
23.8. Les notions fondamentales lies la scurit

Le processus de gestion des risques de scurit est une approche mixte qui associe les meilleurs lments des mthodes quantitatives et qualitatives. Dans une approche dvaluation des risques quantitative, lobjectif est dessayer de dfinir des valeurs numriques objectives pour chaque composant. Lorsque vous utilisez une approche qualitative de la gestion des risques, vous nessayez pas dassigner des valeurs financires 784
Les notions fondamentales lies la scurit
absolues des ressources, des pertes attendues et des cots de contrles. Au lieu de cela, vous calculez des valeurs relatives. Bien que cela soit considrablement plus rapide quune approche quantitative traditionnelle, lapproche de la gestion des risques de scurit fournit toutefois des rsultats qui sont plus dtaills et plus faciles justifier devant les responsables de lentreprise. En combinant la simplicit et la clart de lapproche qualitative avec une partie de la rigueur de lapproche quantitative, la gestion des risques de scurit reprsente un processus la fois efficace et facile utiliser, pour grer les risques de scurit. La gestion des risques de scurit se dcoupe en quatre tapes. 1. valuer les risques : cette phase combine des aspects des mthodes quantitative et qualitative dvaluation des risques. Une approche qualitative est utilise pour classer rapidement la liste complte des risques de scurit. Ensuite, les risques les plus srieux sont analyss plus en dtail selon une approche quantitative. Le rsultat est une liste relativement courte des risques les plus importants qui ont fait lobjet dune tude approfondie. 2. Dfinir des solutions : la liste cre pendant la phase dvaluation des risques est utilise pour proposer et valuer des solutions de contrle possibles. Les meilleures solutions pour attnuer les risques les plus importants sont ensuite recommandes au service de la scurit. 3. Mettre en place des solutions : pendant cette troisime phase, les responsables de la minimisation des risques mettent rellement en place des solutions de contrle. 4. Valider des solutions : la quatrime phase est utilise pour vrifier que les contrles fournissent rellement le degr de protection attendu et pour surveiller les modifications de lenvironnement, par exemple lapparition de nouvelles applications dentreprise ou de nouveaux outils dattaque susceptibles de modifier le profil de risque de lorganisation. En outre, les contrles actuels doivent tre rvalus rgulirement et remplacs sil y a lieu par de nouveaux contrles compte tenu de lvolution de la technologie et des avances dans la protection contre les attaques. Comme la gestion des risques de scurit est un processus continu, le cycle recommence avec chaque nouvelle valuation des risques. La frquence selon laquelle le cycle se reproduit est susceptible de varier dune organisation lautre.
Figure 23.7 : Processus en quatre tapes
785
Chapitre 23
23.9. Les dix commandements de la scurit

Pour conclure cette introduction sur la scurit, voici la liste des dix commandements ne pas ngliger : 1. Lorsque vous choisissez dexcuter un programme, vous lui donnez le contrle sur votre ordinateur. Une fois quun programme est en cours dexcution, il peut tout faire, dans les limites de ce que vous pouvez vous-mme faire sur lordinateur. 2. Un systme dexploitation nest quune srie de 0 et de 1 qui, interprte par un processeur, commande lordinateur deffectuer certaines actions. Si vous modifiez les uns et les zros, lordinateur agira diffremment. Ces uns et zros sont stocks dans des fichiers sur lordinateur. Si un intrus peut y accder et les modifier, lordinateur peut subir des dommages importants. 3. Si une personne a physiquement accs votre ordinateur, elle dispose dun contrle total sur lordinateur et peut tout faire, par exemple modifier des donnes, voler des donnes, prendre le matriel ou dtruire physiquement lordinateur. 4. Si vous grez un site Web, vous devez limiter les oprations des visiteurs. Nautorisez lexcution dun programme sur votre site que si vous lavez dvelopp vous-mme ou si vous faites confiance au dveloppeur qui la crit. Une telle stratgie peut toutefois savrer insuffisante. Si votre site Web est hberg avec beaucoup dautres sur un serveur partag, vous devez prendre des prcautions supplmentaires. Si une personne mal intentionne peut compromettre lun des autres sites hbergs sur le serveur, elle a peut-tre la possibilit dtendre son contrle au serveur lui-mme et donc de contrler tous les sites quil hberge, y compris le vtre. 5. Si un pirate peut compromettre votre mot de passe, il peut ouvrir une session sur votre ordinateur et faire tout ce que vous avez le droit de faire. Dfinissez systmatiquement un mot de passe. Trop de comptes dutilisateur ont encore des mots de passe vierges. Choisissez toujours un mot de passe complexe. Nutilisez pas le nom de votre chien ou de votre chat, votre date danniversaire ou le nom de lquipe de football locale. Nutilisez pas non plus le terme motdepasse ou password. 6. Un administrateur qui nest pas digne de confiance peut neutraliser toutes les autres mesures de scurit que vous avez prises. Ladministrateur peut changer les autorisations sur lordinateur, modifier les stratgies de scurit du systme, installer des logiciels malveillants, ajouter des utilisateurs fictifs, etc. Il peut corrompre pratiquement toutes les mesures protectrices du systme dexploitation car il le contrle. Pire encore, il peut brouiller les pistes. Si votre administrateur nest pas digne de confiance, alors vous ntes absolument pas protg. 7. De nombreux systmes dexploitation et logiciels de chiffrement vous permettent de stocker des cls de chiffrement sur lordinateur. Cest pratique, car vous navez pas grer la cl, mais cela compromet la scurit. Les cls sont gnralement
23. Introduction la scurit 786
En rsum
masques. Mais mme masque, une cl peut tre trouve si elle se trouve sur lordinateur. Lorsque cela est possible, utilisez un stockage hors connexion pour les cls. 8. Les logiciels antivirus comparent les donnes stockes sur votre ordinateur une srie de signatures de virus. Chaque signature correspond un virus spcifique ; Lorsque lantivirus trouve des donnes qui correspondent cette signature dans un fichier, dans un message lectronique ou ailleurs, il en conclut quil a trouv un virus. Cependant, un programme antivirus ne peut dtecter que les virus quil connat. Il est indispensable de tenir le logiciel antivirus jour dans la mesure o de nouveaux virus sont crs en permanence. 9. La meilleure faon de protger des donnes confidentielles, que ce soit sur Internet ou dans la vie courante, rside dans votre comportement. Prenez connaissance des dclarations de confidentialit sur les sites web que vous visitez et ne traitez quavec ceux dont les rgles vous conviennent. Si les cookies vous inquitent, dsactivez-les. Surtout, vitez de naviguer au hasard sur le Web. 10. Une scurit infaillible requiert un niveau de perfection qui nexiste pas et ne pourra sans doute jamais exister. Le dveloppement de logiciels est une science imparfaite et presque tous les logiciels ont des bogues. Certains bogues peuvent tre exploits pour provoquer des violations de la scurit. Mme si les logiciels taient parfaits, cela ne rsoudrait pas compltement le problme de la scurit. En effet, la plupart des attaques impliquent une part plus ou moins importante dexploitation de la nature humaine, souvent sous la forme dingnierie sociale.
23.10. En rsum
Pour mettre en place la scurit dun systme dinformation, il ne suffit pas dappliquer quelques correctifs ou procdure. Il est primordial de mener une vritable rflexion sur les lments protger et la manire de les scuriser. Il est galement important de raliser une dfense en profondeur de son systme. Il faut garder lesprit que votre systme est aussi fort que le plus faible de ses maillons. 23. Introduction la scurit 787
Chapitre 24
La conception de la scurit des serveurs

24.1 24.2 24.3 24.4 24.5 24.6 24.7 Les problmatiques de base . . . . . . . . . . . . . Les concessions en matire de scurit . . . . . . La scurit de base des serveurs . . . . . . . . . . La scurit Active Directory . . . . . . . . . . . . . Protger les serveurs membres . . . . . . . . . . . Protger les serveurs pour des rles spciques En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 . 792 . 793 . 795 . 799 . 800 . 803
Les problmatiques de base
a scurit des serveurs dans lentreprise est un point crucial, et cest bien parce quil y a plusieurs types de rles et quil est important de prendre en compte les contraintes de chaque serveur. Vous laurez compris, il nest pas possible dappliquer les paramtres dun serveur IIS un contrleur de domaine Active Directory. Cependant, il peut arriver parfois quun serveur endosse plusieurs rles, cest pour cela que nous allons aborder dans ce chapitre la conception de la scurit en fonction des rles simples ou mutualiss.
24.1. Les problmatiques de base

Les serveurs assurant plusieurs rles.
Les serveurs peuvent assurer plusieurs rles dans les entreprises disposant de ressources limites. Vous pouvez facilement appliquer plusieurs modles de scurit un serveur, mais des conflits peuvent se prsenter entre ces modles. Un serveur qui remplit plusieurs rles est plus difficile protger. En outre, il prsente une surface dattaque plus importante. En cas de violation de la scurit, tous les rles assurs par ce serveur peuvent tre compromis. Par exemple, beaucoup de petites entreprises ont dploy Microsoft Windows Small Business Server 2003, qui fonctionne comme un contrleur de domaine, un serveur Exchange, un serveur de fichiers, un serveur de base de donnes, un serveur daccs distance et, ventuellement, comme un pare-feu. Les serveurs qui fournissent plusieurs services doivent tre isols dInternet, et tous les services et applications inutiles doivent tre dsactivs ou dsinstalls.
Des ressources limites pour la mise en uvre de solutions de scurisation

Une entreprise disposant de ressources limites peut ne pas tre en mesure de se munir des composants ncessaires la scurisation de ses systmes. Par exemple, la mise en uvre de plusieurs pare-feu reprsente un investissement que certaines entreprises ne peuvent mme pas envisager. 24. La conception de la scurit des serveurs
La menace interne ou accidentelle

Lendommagement interne des systmes, quil soit dorigine malveillante ou accidentelle, reprsente un pourcentage lev des attaques. Une attaque est plus facile mener si lintrus a un accs interne au rseau (accs personnel ou laide dun complice involontaire ou compromis).
Le manque de comptences en matire de scurit

Les petits services informatiques peuvent manquer de personnel ayant la comptence approprie en matire de scurit. Cela peut aboutir la ngligence de certains 791
Chapitre 24
problmes de scurit. Dans ce cas, lutilisation de modles de scurit standards peut constituer un avantage.
Les possibilits daccs physique

Elles rduisent nant de nombreuses mesures de scurit. Laccs physique un systme peut permettre un intrus dexcuter des utilitaires, dinstaller des programmes nuisibles, de modifier des configurations, de supprimer des composants et de provoquer des dommages physiques.
Les consquences juridiques

Les violations de la scurit peuvent avoir des consquences juridiques. Selon ltat ou le pays dont dpend lorganisation, sur un plan juridique, une entreprise peut avoir assumer une responsabilit lgale la suite de la violation de la scurit de ses serveurs. Citons notamment les lois amricaines Sarbanes-Oxley.
Lutilisation de systmes anciens

Les systmes anciens ncessiteront peut-tre une mise niveau pour prendre en charge certaines configurations de scurit. Si ces systmes ne sont pas mis niveau, le risque de violation de la scurit y est plus important que sur les systmes rcents.
24.2. Les concessions en matire de scurit

Lorsque vous planifiez votre stratgie de scurit rseau, vous devez invitablement grer des compromis. Commencez par examiner les conflits vidents numrs ici, qui sont lorigine des compromis envisager :
j
Ladministration de la scurit a pour but de prserver les ressources rseau en limitant les accs ces ressources. Ladministration dun rseau vise assurer que les utilisateurs peuvent accder toutes les applications et tous les programmes du rseau dont ils ont besoin pour remplir leurs fonctions.
24. La conception de la scurit des serveurs
Scurit et facilit demploi

Voici le premier compromis fondamental que vous devez rsoudre en matire de scurit. Lorsque vous installez une application sur un systme dexploitation, quel quil soit, vous activez des fonctionnalits supplmentaires qui risquent de fragiliser la scurit du systme parce quelles augmentent la surface dattaque. Vous pouvez augmenter le niveau de scurit des technologies, mais en sacrifiant gnralement leur
792
La scurit de base des serveurs
facilit demploi. Le systme le plus scuris est celui qui nest pas connect et qui est enferm dans un coffre-fort. Un tel systme est parfaitement scuris, mais il est inutilisable.
Un faible cot
Le compromis suivant concerne le cot de la scurisation. Dans un monde idal o les ressources seraient illimites, tout le monde serait daccord pour crer des rseaux aussi scuriss et faciles demploi que possible. Dans la ralit, les considrations de cot psent souvent trs lourd quand il sagit de concilier scurit et facilit demploi. Vous connaissez peut-tre le principe qui consiste choisir deux seulement des trois avantages suivants : efficacit, rapidit et moindre cot. Les compromis relatifs la scurit sont tablis selon un principe similaire, ceci prs que les trois options sont ici la scurit, la facilit demploi et le moindre cot. Il est possible de cumuler un niveau de scurit lev et une grande facilit demploi, mais moyennant un cot important en termes dinvestissements, de temps et de personnel.
24.3. La scurit de base des serveurs

Il existe plusieurs mthodes pour assurer la scurit de base des serveurs. La liste suivante nest pas exhaustive, mais elle prsente quelques-unes des mthodes frquemment utilises pour la scurisation des serveurs. Vous utilisez sans doute dj beaucoup, sinon la plupart, de ces mthodes de scurit sur les serveurs de votre rseau.
Scuriser les serveurs

Lapplication du dernier Service Pack est ncessaire ; des mises jour de scurit sont disponibles. Les Service Packs augmentent la scurit et la stabilit du systme dexploitation. La plupart des attaques menes contre des serveurs exploitent des vulnrabilits qui ont t prcdemment signales et corriges dans un Service Pack ou dans une mise jour de scurit du systme dexploitation. Les ordinateurs sur lesquels les derniers Service Packs et les mises jour de scurit nont pas t installs sont vulnrables. Une stratgie de groupe est galement ncessaire pour renforcer la protection des serveurs. Vous pouvez utiliser une stratgie de groupe dans les cas suivants :
j
Vous voulez dsactiver les services qui ne sont pas indispensables. Chaque service ou application est un point dattaque potentiel. Par consquent, dsactivez ou supprimez tous les services inutiles afin de rduire la surface dattaque. Vous voulez mettre en uvre des stratgies de mots de passe scuriss. Vous pouvez renforcer les paramtres de stratgie de mot de passe et de verrouillage des comptes pour un contrleur de domaine, un serveur membre ou un serveur autonome en appliquant les paramtres dun modle de scurit adquats. 793
Chapitre 24
Vous voulez dsactiver lauthentification LAN Manager et NTLMv1 et le stockage des valeurs de hachage de LAN Manager. La mise en uvre de cette mthode peut empcher laccs de clients hrits ; aussi est-il ncessaire de vrifier que vous pouvez configurer ces paramtres sans dsactiver les fonctionnalits dont vous avez besoin. Vous avez besoin dutiliser MBSA (Microsoft Baseline Security Analyzer) pour analyser la configuration de la scurit des serveurs. MSBA peut effectuer localement ou distance des analyses de systmes Windows pour identifier les mises jour de scurit manquantes et les problmes de configuration potentiels. MBSA affiche les rsultats de lanalyse sous la forme dun rapport web. Vous voulez limiter laccs physique et rseau aux serveurs. Stockez les serveurs dans une salle ferme cl. Exigez des dispositifs carte magntique ou code lentre de la salle ferme cl. Empchez les contrleurs de domaine de dmarrer sur un autre systme dexploitation. Vous ne devez autoriser uniquement des personnes dignes de confiance accder aux serveurs. Vous devez galement laborer des mthodes de scurit pour les administrateurs de services et de donnes afin que seul le personnel ayant besoin dun accs aux serveurs y ait effectivement accs. Il est ncessaire dattribuer chaque utilisateur de votre entreprise uniquement les autorisations et droits dutilisateur dont il a besoin.
En plus de ces mthodes de scurit de base des serveurs, vous pouvez utiliser diverses mthodes avances. Ces mthodes avances de scurisation des serveurs comprennent notamment lapplication de modles de scurit personnaliss et la configuration de filtres de port IPSec en fonction des rles remplis par les serveurs.
Quelques recommandations
Voici quelques recommandations prendre en compte dans le cadre de la scurit de vos serveurs. Lun des premiers points et de renforcer les comptes prdfinis sur les serveurs. Pour cela, appliquez les rgles suivantes : 24. La conception de la scurit des serveurs
j
Renommez les comptes prdfinis Administrateur et Invit et modifiez leur description. Le fait dattribuer ces comptes des noms uniques peut faciliter lidentification des tentatives dattaque leur encontre. Dans presque tous les cas, le compte Invit doit tre dsactiv. Affectez des mots de passe longs et complexes ces comptes prdfinis, ou utilisez des expressions comme mots de passe. Utilisez des scripts ou des utilitaires tiers pour vrifier priodiquement les mots de passe locaux sur toutes les stations de travail et tous les serveurs de lentreprise. Utilisez pour ces comptes des mots de passe diffrents sur chaque serveur. Ainsi, si un intrus russit compromettre lun de ces comptes sur un serveur, il ne sera pas immdiatement mme de compromettre dautres serveurs.
j j j
794
La scurit Active Directory
Il est important de limiter le nombre des utilisateurs qui peuvent ouvrir une session localement sur les serveurs. Pour cela, utilisez la stratgie de groupe pour configurer les droits de lutilisateur afin que seuls les administrateurs autoriss puissent ouvrir une session localement sur les serveurs. Il est ncessaire dutiliser des groupes restreints pour limiter le nombre de membres des groupes dadministration. Loption Groupes restreints du service dannuaire Active Directory vous permet de faire en sorte que les groupes dadministration contiennent uniquement des utilisateurs autoriss. Vous devez galement limiter laccs au systme des comptes prdfinis et des comptes de service non lis au systme dexploitation. Configurez manuellement lattribution des droits utilisateurs de la manire suivante :
j
Refusez laccs cet ordinateur partir du rseau pour les comptes prdfinis Administrateur, Support (compte utilis pour lassistance distance) et Invit, ainsi que pour tous les comptes de service non lis au systme dexploitation. Interdisez louverture de session en tant que tche pour les comptes Support et Invit. Interdisez louverture de session via les services Terminal Server pour les comptes prdfinis Administrateur, Support et Invit, ainsi que pour tous les comptes de service non lis au systme dexploitation.
j j
Il faut viter autant que possible de configurer un service de sorte quil ouvre une session laide dun compte de domaine. Chaque fois que cest possible, utilisez un compte local pour chaque service. Par ailleurs, nutilisez pas le mme nom de compte dutilisateur et le mme mot de passe pour un service excut sur plusieurs serveurs. Vous devez utiliser des autorisations NTFS pour scuriser les fichiers et les dossiers. Convertissez les volumes FAT ou FAT32 au systme NTFS, puis appliquez les autorisations appropries aux fichiers et aux dossiers de ces volumes.
24.4. La scurit Active Directory

Nous allons voir prsent les principaux composants intervenants dans le processus de scurisation du service dannuaire Active Directory. Nous aborderons les tapes suivantes :
j j j j
la planification de la scurit ; ltablissement de frontires de scurit ; le renforcement de la stratgie de domaine ; ltablissement dune stratgie en fonction des rles.
795
Chapitre 24
Active Directory se compose de nombreux types dobjets remplissant chacun une fonction diffrente. Les composants Active Directory sassemblent dautres composants pour faciliter la mise en uvre de la scurit dans un environnement rseau. Dans Active Directory, la stratgie de groupe permet de centraliser les modifications et la gestion de la configuration des paramtres de lutilisateur et de lordinateur, notamment en matire de scurit et de donnes utilisateurs. Cependant, vous pouvez utiliser des stratgies de groupe pour dfinir la configuration de groupes dutilisateurs et dordinateurs. Avec une stratgie de groupe, vous pouvez spcifier des paramtres pour des stratgies bases sur le Registre, pour mettre en uvre la scurit, pour linstallation de logiciels, pour des scripts, pour la redirection des dossiers, pour des services dinstallation distance et pour la maintenance dInternet Explorer. Vous pouvez galement contrler automatiquement la composition des groupes avec la fonction Groupes restreints. Les paramtres de stratgie de groupe que vous crez sont contenus dans un objet de stratgie de groupe. De ce fait, en associant un objet de stratgie de groupe des conteneurs systme Active Directory slectionns (sites, domaines et units dorganisation), vous pouvez appliquer les paramtres de stratgie de cet objet aux utilisateurs et ordinateurs compris dans ces conteneurs Active Directory. Pour grer les objets de stratgie de groupe au sein dune entreprise, vous pouvez utiliser la console de gestion des stratgies de groupe (GPMC). Les stratgies de groupe sont lun des outils fondamentaux dont vous disposez pour mettre en uvre la scurit de votre rseau. Le reste de cette prsentation est essentiellement consacr la manire dutiliser les stratgies de groupe pour scuriser un environnement rseau.
Planier la scurit
Lorsquon parle de la scurit dActive Directory, certaines tches sont primordiales Ainsi, vous devez dans un premier temps analyser lenvironnement dans lequel vous prvoyez de dployer Active Directory. Ltendue de lenvironnement dtermine les mesures qui devront tre prises pour le scuriser. Trois environnements dexploitation sont rencontrs le plus souvent. 24. La conception de la scurit des serveurs
j
Le centre de donnes interne : cest le type denvironnement dans lequel il est le plus facile de mettre en uvre la scurit Active Directory car les membres de lquipe informatique se trouvent gnralement sur place. Laccs au centre de donnes et les tches administratives peuvent donc tre aisment limits ces personnes. Par ailleurs, les contrleurs de domaine sont situs dans des locaux centraliss et scuriss. En raison de la prsence de composants systme centraliss et du personnel informatique, la surveillance et la rsolution des problmes lis aux contrleurs de domaine sont simplifies et les attaques peuvent tre rapidement dtectes et traites. La succursale : cest dans ce type denvironnement quil est le plus difficile de mettre en uvre la scurit Active Directory. En effet, le personnel informatique est gnralement hors site, de sorte quil nest pas facile de restreindre toutes les tches
796
La scurit Active Directory
administratives ses seuls membres. De plus, il ny a pas de locaux ddis et scuriss pour le stockage et la gestion des contrleurs de domaine et il peut tre difficile de restreindre laccs physique aux contrleurs de domaine. Enfin, la dtection et le traitement des attaques peuvent exiger un processus lent et coteux.
j
Le centre de donnes extranet : ce type denvironnement est similaire un centre de donnes intranet. Il est lgrement plus difficile dy mettre en uvre la scurit Active Directory car le personnel informatique travaille gnralement pour un partenaire commercial de lentreprise ou pour un tiers.
Vous devez galement effectuer une analyse des menaces. Lanalyse des menaces comprend les tapes suivantes :
j
Identifiez les menaces pour Active Directory. Dterminez dabord leur type, par exemple lusurpation didentit, la falsification de donnes, la rpudiation, la divulgation dinformations, le dni de service, llvation de privilges et lingnierie sociale, puis les sources (les utilisateurs anonymes, les utilisateurs authentifis, ladministrateur de service, ladministrateur de donnes et les utilisateurs ayant physiquement accs aux contrleurs de domaine). Dterminez des mesures de scurit pour rduire la vulnrabilit exploite par chaque type de menace et pour rsoudre les problmes potentiels avant quils ne se manifestent. tablissez des plans de secours contenant des instructions dtailles que le personnel informatique devra suivre en cas de violation de la scurit.
tablir des frontires de scurit

Ltablissement de frontires de scurit constitue une part essentielle de la scurisation dActive Directory. Pour les rseaux Windows 200x, les domaines sont des frontires pour ladministration et pour certaines stratgies de scurit. Ce qui veut dire que chaque domaine Active Directory fait autorit en matire dinformations didentification et dauthentification des utilisateurs, des groupes et des ordinateurs qui se trouvent dans ce domaine. Cependant, dans la mesure o les administrateurs de service ont la possibilit de traverser les frontires dun domaine, cest la fort, et non le domaine, qui constitue lultime frontire de scurit. Pour tablir des frontires de scurit Active Directory, pensez appliquer les recommandations suivantes :
j j j j
Spcifiez des frontires de scurit et dadministration bases sur les besoins de lorganisation en matire de dlgation de ladministration. Dterminez si la dlgation est motive par des impratifs dorganisation, dexploitation ou dordre juridique. Dterminez si ces impratifs indiquent un besoin dautonomie, disolement ou les deux. valuez le niveau de confiance que vous accordez aux administrateurs de service (propritaires de forts et propritaires de domaines). 797
Chapitre 24
j j
Concevez une structure Active Directory base sur les besoins en matire de dlgation. Placez les contrleurs de domaine dploys dans un extranet et orients vers lextrieur dans une fort distincte.
Renforcer la stratgie de domaine

Active Directory contient des paramtres de stratgie de scurit pour le domaine dans lobjet de stratgie de groupe Domaine par dfaut. Dans de nombreux cas, les paramtres par dfaut protgent efficacement le domaine contre divers types de menaces. Toutefois, certains paramtres par dfaut peuvent tre renforcs afin damliorer le niveau de protection. Pour renforcer les paramtres de stratgie de domaine :
j
Renforcez les paramtres de stratgie pour le domaine en crant et en liant au niveau du domaine un nouvel objet de stratgie de groupe contenant des paramtres de scurit plus forts. Vous pouvez configurer ces paramtres manuellement, en suivant les recommandations fournies par le guide Windows Server 2003 Security Guide, ou utiliser lun des modles de scurit prdfinis compris dans ce guide. Vrifiez que les stratgies de mot de passe et de compte rpondent aux besoins de votre organisation en matire de scurit. Si ncessaire, renforcez les paramtres de stratgie de mot de passe et de verrouillage des comptes du domaine et passez en revue les paramtres de stratgie de lauthentification Kerberos du domaine. Analysez les menaces et mettez jour la stratgie de scurit pour tenir compte de ces menaces et les contrer. Il ne sert rien dessayer de configurer des paramtres de scurit sans avoir une vision claire des menaces auxquelles le rseau est expos. Vous pourriez thoriquement modifier des centaines de paramtres de scurit, mais beaucoup dentre eux sont dsactivs parce quils entraneraient une perte de fonctionnalit. Ces paramtres ne dgraderaient peut-tre rien dans votre environnement, mais pourquoi courir le risque de les activer sils ne vous permettent pas de combattre une menace que votre stratgie de scurit juge importante ?
tablir une hirarchie base sur les rles

La mise en place dune hirarchie dunits dorganisation approprie est un lment important dans la scurisation dune infrastructure Active Directory et de serveurs. Une hirarchie dunits dorganisation base sur les rles de serveurs dans votre entreprise peut simplifier les aspects de la gestion de la scurit, car ladministration dune unit dorganisation peut tre dlgue un groupe dadministration spcifique. Cette hirarchie base sur les rles de serveurs applique galement les paramtres de stratgie de scurit appropris aux serveurs et aux autres objets de chaque unit dorganisation. Elle est une approche en couches de lapplication de paramtres de stratgie de scurit.
798
Protger les serveurs membres
Les units dorganisation des niveaux infrieurs hritent des paramtres appliqus aux units dorganisation des niveaux suprieurs. Ces paramtres de stratgie de scurit sont appliqus par lintermdiaire des objets de stratgie de groupe. Les modles de scurit contiennent des paramtres de configuration de la scurit qui peuvent tre appliqus aux systmes. Ils peuvent tre imports dans un objet de stratgie de groupe.
24.5. Protger les serveurs membres

prsent, nous allons aborder la mise en uvre de la scurit sur les nombreux types de serveurs existant dans les environnements Windows Server.
Le modle de scurit Member Server Baseline

Vous pouvez appliquer des paramtres de scurit de base tous les serveurs membres, sauf les contrleurs de domaine, en utilisant le modle de scurit Member Server Baseline. Aprs avoir modifi le modle pour ladapter aux besoins de votre organisation et aprs avoir test les configurations de scurit du modle avec les applications de lentreprise, importez les paramtres de ce modle dans un objet de stratgie de groupe et liez cet objet lunit dorganisation Serveurs membres. Nappliquez pas le modle de serveur membre aux contrleurs de domaine, mais le modle de contrleur de domaine lunit dorganisation Contrleurs de domaine. Le modle de scurit Member Server Baseline contient de nombreux paramtres de scurit, notamment
j
Les paramtres de stratgie daudit : ces paramtres spcifient les vnements lis la scurit qui sont enregistrs dans le journal des vnements. Vous pouvez surveiller les activits lies la scurit pour savoir, par exemple, qui tente daccder un objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur ou encore quand une modification est apporte un paramtre de stratgie daudit. Les paramtres dattribution des droits utilisateurs : ils spcifient les utilisateurs ou les groupes ayant des droits ou des privilges douverture de session sur les serveurs membres du domaine. Les paramtres doptions de scurit : ils servent activer ou dsactiver des paramtres de scurit pour des serveurs, comme la signature numrique de donnes, les noms des comptes Administrateur et Invit, laccs aux lecteurs de disquette et de CD-Rom, le comportement dinstallation des pilotes et les invites douverture de session. Les paramtres du journal des vnements : ils spcifient la taille de chaque journal des vnements et les actions entreprendre lorsquil arrive saturation. Les vnements de scurit enregistrs sont stocks dans plusieurs journaux dont le journal des applications, le journal de scurit et le journal systme.
799
Chapitre 24
Les paramtres des services systme : ils spcifient le comportement de dmarrage et les autorisations pour chaque service prsent sur le serveur.
24.6. Protger les serveurs pour des rles spciques

Voyons maintenant la mise en uvre de la scurit des serveurs pour des rles spcifiques. Elle concerne en particulier le renforcement de la protection des serveurs suivants :
j j j j
les serveurs dinfrastructure ; les serveurs de fichiers ; les serveurs dimpression ; les serveurs IIS.
Renforcer la protection des serveurs dinfrastructure

Les serveurs dinfrastructure fournissent des services rseau tels que le protocole DHCP et WINS. Le renforcement de la protection des serveurs dinfrastructure passe par lapplication ces serveurs des paramtres de scurit appropris. La plupart des paramtres de scurit recommands sont appliqus aux serveurs dinfrastructure au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, du modle de scurit Infrastructure Server. Vous pouvez aussi appliquer les paramtres de scurit suivants pour renforcer la protection des serveurs dinfrastructure. Ces paramtres doivent tre configurs manuellement sur chaque serveur dinfrastructure.
j j
Configurez lenregistrement DHCP. Pour cela, utilisez loutil dadministration DHCP. Protgez-vous contre les attaques par dni de service DHCP. Pour cela, configurez la tolrance de pannes de vos serveurs DHCP de telle sorte quune attaque par dni de service sur un serveur DHCP ne perturbe pas tous les services DHCP de votre rseau. Utilisez les zones DNS intgres Active Directory. Lintgration Active Directory fournit une scurit renforce : vous pouvez limiter le nombre de personnes pouvant effectuer des enregistrements DNS, et les donnes DNS sont stockes et transmises de faon plus sre. Les zones DNS exposes Internet ne doivent jamais tre stockes dans Active Directory. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables aux applications serveurs.
800
Protger les serveurs pour des rles spcifiques
Renforcer la protection des serveurs de chiers

Le renforcement de la protection des serveurs de fichiers passe par lapplication ces serveurs des paramtres de scurit appropris. La plupart des paramtres de scurit recommands sont appliqus aux serveurs de fichiers au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, du modle de scurit File Server. Vous pouvez aussi appliquer les paramtres de scurit suivants pour renforcer la protection des serveurs de fichiers. Ces paramtres doivent tre configurs manuellement sur chaque serveur de fichiers :
j j j
Dsactivez le systme de fichiers distribus (DFS) et le service de rplication de fichiers (FRS) sils ne sont pas ncessaires sur un serveur de fichiers. Scurisez tous les fichiers et dossiers partags du serveur de fichiers en utilisant NTFS et des autorisations de partage. Activez laudit des fichiers critiques. Auditez toutes les modifications, celles qui ont chou comme celles qui ont abouti, apportes des donnes hautement confidentielles. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage de fichiers.
Renforcer la protection des serveurs dimpression

Le renforcement de la protection des serveurs dimpression passe par lapplication ces serveurs des paramtres de scurit appropris. La plupart des paramtres de scurit recommands sont appliqus aux serveurs dimpression au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, du modle de scurit Print Server. Vous pouvez aussi appliquer les paramtres de scurit suivants pour renforcer la protection des serveurs dimpression. Ces paramtres doivent tre configurs manuellement sur chaque serveur dimpression.
j
Assurez-vous que la signature SMB nest pas requise par le serveur dimpression. Dsactivez le paramtre Serveur rseau Microsoft : communications signes numriquement (toujours). Dsactiver ce paramtre permet de sassurer que la signature SMB ne sera pas demande par le serveur dimpression. Si ce paramtre est activ, les utilisateurs ne pourront pas afficher la file dattente dimpression. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage dimprimantes.
Renforcer la protection des serveurs IIS

Le renforcement de la protection des serveurs IIS passe par lapplication ces serveurs des paramtres de scurit appropris. La plupart des paramtres de scurit recommands sont appliqus aux serveurs IIS au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, du modle de scurit IIS Server. 801
Chapitre 24
Si possible, mettez niveau tous vos serveurs web vers Windows Server 2003 et IIS 6.0. Il nest pas ncessaire dexcuter loutil IIS Lockdown sur les systmes IIS 6.0 puisque cette version des services Internet est verrouille par dfaut linstallation. LAssistant IIS Lockdown fonctionne en dsactivant des fonctionnalits inutiles, ce qui rduit la surface dattaque offerte aux intrus. Il vous donne la possibilit de supprimer ou de dsactiver des services IIS comme HTTP, FTP, SMTP et NNTP. Loutil IIS Lockdown fournit une fonctionnalit dannulation qui permet dinverser les effets du verrouillage le plus rcent. Pour assurer la dfense en profondeur, URLScan est intgr lAssistant IIS Lockdown avec des modles personnaliss pour chaque rle de serveur pris en charge. Cette intgration permet lassistant de fournir la scurit supplmentaire applique par URLScan sans obliger ladministrateur concevoir un filtre URLScan personnalis pour la configuration et lapplication serveur considres. URLScan est un filtre ISAPI (Internet Server Application Programming Interface) qui analyse les requtes HTTP (Hypertext Transfer Protocol) mesure quelles sont reues par les services Internet. Vous pouvez aussi appliquer les paramtres de scurit suivants pour renforcer la protection des serveurs IIS. Ces paramtres doivent tre configurs manuellement sur chaque serveur IIS. Nactivez que les composants IIS essentiels. Assurez-vous en particulier que seules les extensions dapplications voulues sont actives. Par scurit, les services Internet (IIS) ne sont pas installs par dfaut sur Windows Server 2003. Lorsquils sont installs, de nombreuses fonctionnalits restent dsactives tant quelles nont pas t spcifiquement actives. Vous devez activer manuellement chaque service requis par votre installation IIS. Installez IIS et stockez le contenu web sur un volume de disque ddi, distinct du volume systme. Cela rduit la probabilit quun intrus russisse ouvrir et modifier des fichiers de systme dexploitation sur le serveur. Configurez des autorisations NTFS pour tous les dossiers renfermant du contenu web. Appliquez les autorisations minimales requises pour activer la fonctionnalit de site web ncessaire. Nactivez pas la fois les autorisations dexcution et dcriture sur le mme site web. Cette combinaison dautorisations pourrait permettre un intrus de placer du contenu nuisible sur le serveur, puis de lexcuter. Sur les serveurs IIS 5.0, excutez les applications en utilisant la protection dapplication moyenne ou leve pour viter quelles ne sexcutent dans le contexte systme du processus Inetinfo. Utilisez des filtres IPSec pour bloquer toutes les communications entrantes, lexception du trafic entrant sur les ports TCP 80 et 443.
j j
802
En rsum
Les mthodes conseilles pour renforcer la protection des serveurs pour des rles spciques
Le renforcement de la protection des serveurs pour des rles spcifiques passe par lapplication des modles de scurit appropris et par la configuration manuelle des paramtres de serveur appropris pour ces rles. La plupart des paramtres de scurit recommands sont appliqus un serveur membre au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, dun modle de scurit bas sur le rle spcifique de ce serveur. Tenez compte des mthodes conseilles suivantes lorsque vous renforcez la protection de serveurs pour des rles spcifiques :
j
Modifiez les modles selon les besoins pour les serveurs qui assurent plusieurs rles. Les serveurs qui assurent plusieurs rles ont besoin dun modle personnalis qui configure les paramtres de scurit du serveur pour lui permettre de remplir ces rles. Vous devrez peut-tre commencer avec le modle prdfini pour lun des rles assurs par le serveur, puis modifier le modle en question de telle sorte que les services et les autres paramtres de scurit requis par les autres rles soient correctement configurs. Activez uniquement les services requis par le rle. Tous les services dont le serveur na pas besoin pour remplir le rle qui lui a t attribu doivent tre dsactivs. Activez lenregistrement des vnements lis aux services pour capturer les informations pertinentes. Pensez activer lenregistrement pour les services critiques requis par le rle du serveur. Par exemple, activez lenregistrement DHCP pour un serveur DHCP. Utilisez des filtres IPSec pour bloquer tous les ports qui ne sont pas requis par le rle du serveur. Pour plus dinformations sur les ports spcifiques autoriser sur un serveur pour un rle spcifique, consultez le chapitre correspondant du Windows Server 2003 Security Guide. Scurisez les comptes de service et les comptes dutilisateur connus. Sauf ncessit absolue, ne configurez pas un service de sorte quil ouvre une session laide dun compte de domaine. Renommez les comptes prdfinis Administrateur et Invit et modifiez leur description. Affectez des mots de passe longs et complexes ces comptes prdfinis. Utilisez pour ces comptes des mots de passe diffrents sur chaque serveur. Si un intrus russit ainsi compromettre lun de ces comptes sur un serveur, il ne sera pas immdiatement mme de compromettre dautres serveurs.
j j
24.7. En rsum
La scurit des serveurs joue un rle important dans lentreprise condition que celle-ci soit adapte au rle prsent sur le serveur. Cela passe forcment par des compromis entre la scurit et les fonctionnalits.
803
Chapitre 25
valuation de la scurit
25.1 25.2 25.3 25.4 25.5 25.6 25.7 25.8 25.9 25.10 Pourquoi raliser des valuations de la scurit ? Planication de lvaluation de scurit . . . . . . Le concept de dfense en profondeur . . . . . . . Dnition du cadre de lvaluation de scurit . Les objectifs de lvaluation de scurit . . . . . . Les types dvaluations de scurit . . . . . . . . . Laudit de scurit informatique . . . . . . . . . . Publier les rsultats de lvaluation de scurit . Utiliser loutil MSAT . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807 . 808 . 810 . 811 . 812 . 813 . 816 . 818 . 818 . 821
Pourquoi raliser des valuations de la scurit ?
ne valuation de scurit peut jouer de nombreux rles dans la scurit du rseau. Vous pouvez effectuer des valuations de scurit pour dtecter des erreurs de configuration courantes ou pour identifier les ordinateurs qui ne disposent pas des derniers correctifs de scurit. Vous pouvez effectuer des valuations de scurit pour connatre le niveau defficacit des mesures de scurit dfensives dune application depuis la prcdente mise jour de scurit. Une valuation de la scurit peut galement rvler des faiblesses inattendues de la scurit de votre organisation. Une fois les faiblesses dcouvertes, vous devez rapidement signaler tous les problmes identifis au cours de lvaluation et y remdier.
25. valuation de la scurit
25.1. Pourquoi raliser des valuations de la scurit ?

La scurit des informations est gnralement envisage dun point de vue dfensif, en tentant de protger les ressources de lorganisation contre les attaques connues et bien cernes. Bien que cette stratgie soit efficace, elle ne peut garantir le respect systmatique de toutes les stratgies de scurit. Par exemple, nous lavons dj cit, mais la mise en uvre dune stratgie de mot de passe complexe ne garantit pas que les utilisateurs recourent rellement une protection par mot de passe efficace. Les valuations de scurit tentent de fournir aux entreprises les processus et procdures ncessaires pour appliquer une approche offensive de la scurit du rseau et valuent les mesures mises en uvre pour combattre les attaques rseau. La mise en place de mesures de scurit dfensives et lexcution proactive dvaluations de scurit permettent de garantir la robustesse de la scurit du rseau. Les valuations de scurit permettent :
j j
de rpondre quelques questions (du type "Le rseau est-il scuris ?" ou "Comment savoir si le rseau est scuris ?") ; doffrir une base de rfrence pour faciliter, la longue, lamlioration de la scurit et destimer le niveau defficacit des mesures de scurit dfensives prcdentes, depuis la dernire mise jour de scurit ; de dcouvrir les erreurs de configuration ou les mises jour de scurit manquantes ; de rvler les faiblesses caches de la scurit de lentreprise ; de veiller au respect de la lgislation la plus rcente en termes de scurit.
j j j
807
Chapitre 25
25.2. Planication de lvaluation de scurit

La planification de lvaluation de scurit vous permet de dfinir les objectifs et le cadre de votre projet. Elle vous offre galement lopportunit de choisir les technologies et les tches dvaluation appropries, afin de vrifier que vos mesures de scurit actuelles sont aussi efficaces que possible. Lorsque vous valuez la scurit de votre organisation, noubliez pas que les dfaillances peuvent survenir dans de nombreux domaines. Les dfaillances de la scurit du rseau ont des origines diverses, y compris les suivantes
j
Le facteur humain : lhomme ; il sagit dune source majeure de dfaillance de la scurit du rseau, si ce nest la source majeure de dfaillance. Voici quelques exemples de facteurs humains Mots de passe faibles : le moyen le plus couramment utilis pour introduire des vulnrabilits dans la scurit du rseau consiste crer et utiliser des mots de passe faibles. Scurit physique : elle fait rfrence aux utilisateurs qui ne ferment pas les portes ou laissent leur ordinateur dans des lieux non protgs. Ingnierie sociale : elle fait rfrence aux utilisateurs amens par la ruse rvler leurs mots de passe ou autoriser laccs des ressources scurises.
Les facteurs lis la stratgie : la qualit et lexhaustivit de la stratgie de scurit dune organisation reposent fortement sur lefficacit globale de sa scurit rseau. Une mauvaise stratgie peut engendrer des dfaillances de la scurit du rseau de diffrentes faons Stratgies vagues : une stratgie de scurit vague peut conduire les administrateurs choisir le chemin de la facilit pour la respecter. Stratgies sans instructions de conformit : de nombreuses stratgies de scurit stipulent des critres de conformit mais aucune instruction quant aux moyens de respecter ces critres. Stratgies obsoltes : les besoins dune organisation concernant le rseau et la scurit voluant en permanence, les stratgies de scurit peuvent devenir obsoltes. Stratgies mal appliques ou non appliques : la non-application des stratgies de scurit engendre souvent le mpris de celles-ci et, par extension, labsence de bonnes pratiques de scurit. Stratgies inapplicables : une stratgie de scurit trop stricte peut ne pas tre applicable, si elle entrave le travail quotidien des utilisateurs (par exemple, lutilisateur qui a obligation davoir un mot de passe trop complexe sera tent de lcrire sur un papier accol son cran). Tout est question de compromis.
808
Planification de lvaluation de scurit
Les erreurs de configuration : la mise en uvre des configurations matrielles ou logicielles par dfaut peut offrir aux intrus un terrain propice aux attaques. Un administrateur peut galement mal configurer un systme en ne suivant pas les bonnes pratiques de scurit, introduisant ainsi dautres vulnrabilits exploitables par un intrus. Les erreurs de jugement : les administrateurs peuvent avoir une fausse ide du comportement des utilisateurs, du fonctionnement dune technologie ou de la ralisation de certaines tches. Une simple petite ngligence rsultant dun jugement infond peut aider un intrus compromettre un rseau. On appelle cela "faire la chasse aux faux positifs". Lignorance : souvent, les administrateurs ne sont tout simplement pas conscients des consquences de leurs actions ou des menaces que les intrus font peser sur leurs rseaux. Lincapacit maintenir les systmes jour : en effet, il y a une course entre les administrateurs et les intrus, ds lors quune mise jour de scurit est publie. La scurit de votre rseau nest pas meilleure que la dernire mise jour de scurit installe.
La planification dune valuation de scurit est importante pour structurer correctement le projet. Les phases suivantes peuvent tre utilises pour orienter votre planification
j
La pr-valuation : la phase de pr-valuation consiste dterminer le cadre et les objectifs du projet global dvaluation de scurit. Une fois ces derniers dtermins, un calendrier prvisionnel appropri peut tre tabli pour la dure du projet. Vous devez galement dfinir les rgles suivre pendant lvaluation. Lvaluation : la phase dvaluation vise choisir les technologies et effectuer lvaluation proprement dite. Il est important de noter que les outils que vous choisissez doivent tre en adquation avec les objectifs dtermins durant la phase de pr-valuation. Vous ne devez pas associer votre valuation directement un type spcifique doutils ou de technologies. La dernire tche de la phase dvaluation consiste organiser vos rsultats. La prparation des rsultats : la phase de prparation des rsultats consiste estimer les risques lis chaque faiblesse dcouverte. Une part importante de vos rsultats vise inclure galement une parade pour chaque vulnrabilit dcouverte. Si vous projetez de raliser un suivi des valuations, vous devez identifier les vulnrabilits qui nont pas t rsolues depuis la dernire valuation et en dterminer les raisons. Ces rsultats permettront de dterminer les amliorations apporter votre scurit rseau. La prsentation des conclusions : la phase finale vise crer votre rapport de synthse et prsenter vos conclusions. Il est galement important de fixer la date de la prochaine valuation.
809
Chapitre 25
25.3. Le concept de dfense en profondeur

Lvaluation de scurit rseau consiste analyser et mettre en place des mesures de scurit diffrents niveaux au sein de votre rseau, sous forme de diffrentes couches. Il est important de comprendre ces couches et comment chacune delles peut renforcer la scurit globale de votre environnement.
Figure 25.1 : Les couches du modle de scurit Dfense en profondeur
La liste suivante dfinit les couches du modle de scurit de dfense en profondeur

j
Les donnes : les risques inhrents la couche Donnes sont lis aux vulnrabilits quun intrus pourrait exploiter pour accder aux donnes dune entreprise ou dun particulier. Ces donnes peuvent tre protges par lutilisation de mots de passe forts, les ACL sur les fichiers et les dossiers, ou encore par lutilisation dune stratgie de sauvegarde et de restauration efficace. Lapplication : les risques inhrents la couche Application sont lis aux vulnrabilits quun intrus pourrait exploiter pour accder des applications en cours dexcution. Il peut tout aussi bien sagir dapplications rseau clientes ou serveur. Les applications serveur sont susceptibles dtre compromises via diffrentes mthodes, notamment les attaques par dpassement de la mmoire tampon, les attaques par dtection de mot de passe ou les attaques par traverse de rpertoires, de mme que par des applications rseau mal configures qui exposent les donnes des utilisateurs non autoriss. La couche Application peut tre dfendue en appliquant les bonnes pratiques de renforcement de la scurit des applications, tout particulirement pour les applications relatives aux services web, aux services de messagerie lectronique ou aux services de base de donnes. Lhte : les risques inhrents la couche Hte sont lis aux intrus qui exploiteraient les vulnrabilits des services offerts par lhte ou le priphrique. Les dfenses de
810
Dfinition du cadre de lvaluation de scurit
lhte peuvent passer par le renforcement de la scurit du systme dexploitation, lutilisation de mthodes dauthentification fortes, la gestion des mises jour de scurit, les mises jour dantivirus et la ralisation daudits efficaces.
j
Le rseau interne : les risques au niveau des rseaux internes dune organisation concernent dans une large mesure les donnes critiques transmises via les rseaux. La connectivit requise pour les stations de travail clientes sur ces rseaux internes prsente elle aussi des risques. La scurit peut tre renforce via la mise en uvre de segments rseau et de systmes de dtection dintrusion rseau (comme NIDS, Network based Intrusion Detection System, pour les puristes). Le primtre : le rseau de primtre englobe chaque point o le rseau interne est connect un rseau ou un hte qui nest pas gr par lquipe informatique de lorganisation. Cela comprend les connexions Internet, aux partenaires commerciaux et aux rseaux privs virtuels ainsi que les connexions daccs distance. Les principaux risques inhrents cette couche concernent les intrus qui russiraient accder aux ressources du rseau de primtre, voire potentiellement aux couches rseau qui sont connectes. Les dfenses du rseau de primtre passent par des pare-feu et des routeurs correctement configurs, ainsi que par des rseaux VPN utilisant des procdures de quarantaine. La scurit physique : les risques inhrents la couche physique concernent les intrus qui parviendraient accder physiquement une ressource physique. Cette couche englobe toutes les couches prcdentes, dans la mesure o laccs physique une ressource peut son tour permettre laccs toutes les autres couches du modle Dfense en profondeur. Les dfenses de la scurit physique passent par le verrouillage du matriel dans les centres de donnes accessibles laide dun badge, par des gardiens et par des dispositifs de suivi. Les stratgies, les procdures et la sensibilisation : les fondations de lensemble du modle incluent les stratgies et les procdures que votre organisation doit mettre en place pour rpondre aux besoins de chaque couche et lpauler. Les composants de ce niveau comprennent des stratgies et des procdures de scurit, ainsi que des programmes de sensibilisation la scurit.
25.4. Dnition du cadre de lvaluation de scurit

Plusieurs composants cls permettent de dfinir le cadre dun projet dvaluation de scurit.
j
Dfinir la cible : cibler votre analyse des vulnrabilits inclut la connaissance des ressources installes sur votre rseau. Vous pourrez ainsi dterminer le type de vulnrabilits rechercher, les types de logiciels danalyse des vulnrabilits que vous utiliserez et les comptences que le projet ncessitera. Pour dfinir votre cible, vous devez dcomposer votre rseau en lments spcifiques tels que les segments rseau, les priphriques rseau, les systmes dexploitation et les applications.
811
Chapitre 25
Dfinir la zone cible : la zone cible peut inclure les types danalyses suivants, comprenant des composants tels que le calendrier prvisionnel de lvaluation Lanalyse verticale : ce type danalyse recherche plusieurs vulnrabilits sur un hte ou plusieurs htes de mme type. Par exemple, vous pouvez analyser tous les ordinateurs excutant Windows XP pour rechercher le niveau de mise jour de scurit, les vulnrabilits Windows courantes et les mots de passe faibles. Lanalyse horizontale : ce type danalyse recherche une vulnrabilit sur des types dhtes ou dapplications. Par exemple, vous pouvez analyser tous les priphriques et ordinateurs de votre rseau pour rechercher les vulnrabilits aux attaques par dni de service. Lanalyse verticale et horizontale : ce type danalyse associe les avantages des analyses verticale et horizontale en recherchant diverses vulnrabilits sur plusieurs plateformes.
j j
Dterminer un calendrier prvisionnel pour lvaluation : il est important de dterminer et de communiquer le calendrier prvisionnel exact de lvaluation. Dfinir les types de vulnrabilits analyser : aprs avoir dtermin la cible de votre projet, y compris les priphriques, les systmes dexploitation et les applications qui seront analyss ainsi que la taille et le type de lanalyse, vous devez dfinir les types de vulnrabilits analyser. Par exemple, si vous dcidez danalyser tous les serveurs Windows 2000 et Windows Server 2003 de trois sous-rseaux spcifiques (comme pour Puzzmania), vous pouvez dcider de rechercher uniquement les risques dexploitation des vulnrabilits connues des produits.
la fin de cette phase de planification, vous disposez dune srie dlments qui dfinissent clairement les limites du projet, constituent les fondements de ses objectifs et guident vos choix technologiques.
25.5. Les objectifs de lvaluation de scurit

Lobjectif de tout projet dvaluation de scurit est de localiser les faiblesses des htes ou du rseau et dy remdier. Aprs avoir dfini le cadre du projet, dterminez ses objectifs. Le succs global du projet peut tre dtermin par la faon dont il atteint ses objectifs. Lors de la phase de planification, vous devez dfinir des objectifs clairs et accessibles afin que tous les membres de lquipe comprennent le projet (ses objectifs, son calendrier prvisionnel, etc.) et que celui-ci ne draille pas. En dfinissant prcisment le cadre du projet, vous aurez des bases solides pour en dfinir les objectifs. La dfinition du cadre constitue la premire partie de lobjectif, et la mise en uvre de parades la deuxime partie. En voici un exemple sous forme de tableau :
812
Les types dvaluations de scurit
Tableau 25.1 : Un exemple de formalisation des objectifs dune valuation de scurit Objectif du projet Tous les serveurs Windows Server 2003 sur le sous-rseau R&D de Nice seront analyss pour dtecter et rsoudre les vulnrabilits suivantes : Vulnrabilit Vulnrabilit RPC sur DCOM (MS 03026) numration SAM anonyme Activation du compte Invit Plus de 10 comptes dans le groupe local des administrateurs Parade Installer les mises jour de scurit Microsoft 03026 et 03039 Configurer le paramtre RestrictAnonymous sur 1 Dsactivation du compte Invit Rduire le nombre de compte dans le groupe local des administrateurs de chaque serveur
25.6. Les types dvaluations de scurit

Plusieurs types dvaluations permettent de vrifier le niveau de scurit des ressources rseau. Lorsque vous planifiez votre valuation de scurit, choisissez la mthode qui convient le mieux aux besoins de votre entreprise. Chaque type dvaluation de scurit requiert des comptences spcifiques de la part des personnes qui ralisent lvaluation. Vous devez tre sr que les personnes qui effectuent lvaluation possdent lexprience et les comptences requises pour effectuer le type dvaluation choisi. Les types dvaluation de scurit les plus courants sont les suivants
j
Lanalyse des vulnrabilits : cest lvaluation de scurit la plus fondamentale, elle requiert gnralement le moins de comptences. Elle analyse un rseau pour y rechercher des faiblesses potentielles de scurit, connues et cernes. Elle est gnralement effectue par un logiciel, mais elle peut galement tre automatise via des scripts personnaliss. La qualit des rsultats de lanalyse des vulnrabilits dpend de celle du logiciel utilis. Le test dintrusion : le test de pntration est un type dvaluation de scurit plus sophistiqu, qui requiert des testeurs trs qualifis et dignes de confiance. Il se concentre sur les faiblesses de scurit connues et inconnues du rseau et dcrit la faon dont les vulnrabilits sont exploites ainsi que les faiblesses du personnel et des processus. Le test de pntration permet de sensibiliser les administrateurs rseau, les responsables informatiques et les dirigeants sur les consquences possibles dune intrusion rseau. Parce que seule lintention distingue un testeur dintrusion dun intrus, vous devez faire preuve de prudence lorsque vous autorisez des employs ou des experts externes effectuer des tests dintrusion. Un test de
813
Chapitre 25
pntration qui nest pas professionnellement ralis peut conduire une interruption de services et perturber lactivit de lentreprise.
j
Laudit de scurit informatique : il se concentre gnralement sur les personnes et les processus utiliss pour concevoir, mettre en uvre et grer la scurit dun rseau. Dans un audit de scurit informatique, la personne en charge de laudit, ainsi que les stratgies et les procdures de scurit de votre organisation utilisent une rfrence de base. Un audit adquat permettra de dterminer si votre organisation possde les composants ncessaires pour crer et exploiter un environnement informatique scuris. Les audits de scurit informatiques sont galement des lments essentiels pour prouver que la rglementation est respecte.
Lanalyse des vulnrabilits

Lexcution ponctuelle dun outil danalyse des vulnrabilits donnera certainement des rsultats susceptibles damliorer la scurit du rseau de votre organisation. Toutefois, pour que loutil soit vraiment efficace, vous devez mettre au point un processus danalyse des vulnrabilits
j
Dtecter les vulnrabilits : aprs avoir effectu une analyse, vous devez valider les rsultats en vous assurant quils sont complets et exacts. Comparez le nombre dhtes analyss avec le nombre dhtes dfini par le cadre de lvaluation et dterminez sil existe des divergences. Mme les meilleurs outils peuvent ne pas produire un rapport complet, et loutil danalyse lui-mme peut avoir des dfauts. Assigner des niveaux de risque aux vulnrabilits dcouvertes : vous devez assigner des niveaux de risque chacune des vulnrabilits que vous dcouvrez. Le niveau de risque aide les administrateurs et les responsables informatiques dterminer le domaine de la scurit du rseau traiter en premier et o affecter le plus de ressources pour traiter les vulnrabilits. Identifier les vulnrabilits qui nont pas t rsolues : en analysant priodiquement le rseau, vous saurez si des vulnrabilits prcdemment identifies nont pas t rsolues. Ces informations vous permettront de faire remonter les efforts damlioration de la scurit au sein de la hirarchie de votre organisation. Vous ne pourrez probablement pas rsoudre toutes les vulnrabilits signales par le logiciel danalyse. Ainsi, il se peut que la parade endommage les applications qui sexcutent sur lhte ou qui communiquent avec lui. Il se peut galement quil nexiste pas de parade efficace au moment de lanalyse ou que les administrateurs ne puissent pas faire les modifications ncessaires. Dterminer les amliorations de la scurit du rseau au fil du temps : avec le temps, vous pouvez mesurer les amliorations de la scurit du rseau en examinant les rsultats des analyses. La liste des lments que vous pouvez mesurer en permanence inclut le nombre de nouvelles vulnrabilits dcouvertes sur les htes ; le nombre dhtes sensibles une nouvelle vulnrabilit ;
814
Les types dvaluations de scurit
le nombre de vulnrabilits non rsolues et le nombre dhtes qui restent vulnrables ; la priode de temps pendant laquelle un hte est rest vulnrable ; le nombre total de vulnrabilits dtectes et rsolues.
Le test de pntration
Les testeurs dintrusion efficaces tentent rarement de compromettre un rseau en lattaquant de faon alatoire. Une telle action serait inefficace, longue et augmenterait leurs chances dtre attrap. En suivant une mthodologie de base, vous amliorez vos chances de localiser et dexploiter les faiblesses dans les dlais impartis. En outre, vous disposez dune infrastructure naturelle pour enregistrer vos rsultats, ce qui simplifie la phase de cration de rapports. Les tapes suivantes constituent une mthodologie de base que vous pouvez utiliser
j
Dterminer la mthode que lintrus est le plus susceptible dutiliser pour attaquer un rseau ou une application : cette tape a trs probablement t prise en compte lorsque vous avez dfini le cadre et les objectifs de lvaluation de scurit. Le cadre et les objectifs ont d dterminer le choix des mthodes et des outils utiliser pour mettre en place votre test de pntration. Localiser les zones de faiblesse du rseau ou des dfenses applicatives : ltape suivante consiste obtenir des informations sur la cible. Lorsque vous commencez votre test de pntration, nignorez pas les vidences. Par exemple, aprs avoir identifi la plateforme systme exploiter, lun des premiers endroits o rechercher la liste des vulnrabilits du produit est le site web du fournisseur. Dterminer comment un intrus pourrait exploiter les faiblesses : aprs avoir suffisamment inspect votre cible, catalogu les informations rassembles et dtermin comment un intrus pourrait les utiliser pour exploiter le rseau, vous pouvez procder au test de pntration. Lun des principaux objectifs de tout test de pntration est dobtenir un accs administrateur ou systme. Une fois ce niveau de privilge obtenu sur un systme, il y a de fortes chances pour que celui-ci concde dautres comptes administrateur ou dautres comptes bnficiant de privilges. Localiser les ressources qui pourraient tre atteintes, modifies ou dtruites : aprs avoir obtenu un certain niveau daccs votre cible, prenez le temps de noter les ressources qui pourraient tre atteintes, modifies ou dtruites. Plus tard, lors de la publication de vos conclusions, il sera primordial didentifier ces ressources et les parades potentielles mettre en place. Dterminer si lattaque a t dtecte : une fois votre test actif termin, il est judicieux dtudier si tous les lments du test de pntration ont t dtects pendant lattaque et de comprendre pourquoi ils lont t. Ces informations vous permettront dapprofondir vos comptences et aideront considrablement les administrateurs rseau optimiser leurs outils de dtection dintrusion.
815
Chapitre 25
tablir un inventaire des attaques : lors dun test de pntration, ralisez soigneusement un inventaire des attaques rseau qui aboutiraient dans des conditions normales. laide de ces informations, les administrateurs pourront tre en mesure damliorer leurs processus, leurs technologies et leurs oprations afin de mieux empcher et de mieux dtecter les attaques que vous avez dcouvertes. Faire des recommandations : plus vous communiquerez clairement sur la faon dont vous avez attaqu un rseau avec succs, mieux les administrateurs rseau pourront ajuster les paramtres de scurit. Vous pouvez passer en revue la documentation dtaille de la mthodologie utilise lors du test, quelle ait permis de compromettre le rseau ou non, afin didentifier les domaines que votre organisation doit modifier pour scuriser le rseau. Prvenir avant de lancer le test de pntration Avant deffectuer un test de pntration sur le rseau dune organisation, il est vital de dfinir et de communiquer les objectifs, le cadre et les rgles du test de pntration. Un manque de planification et de communication peut engendrer une interruption du service rseau et bien dautres problmes.
25.7. Laudit de scurit informatique

Un audit de scurit informatique value la capacit de votre organisation scuriser ses informations au niveau de la stratgie, des processus, des procdures et des oprations.
Figure 25.2 : Schmatisation du contenu de laudit de scurit
816
Laudit de scurit informatique
des fins dvaluation, la scurit informatique globale peut tre dcompose de la faon suivante
j
La stratgie : la stratgie de scurit peut tre dfinie comme tant les rgles de scurit des informations de lorganisation. La stratgie de scurit dfinit galement la position dune organisation en matire de scurit, savoir la faon dont elle conoit et considre les stratgies ainsi que le niveau dimplication de lquipe informatique. Il existe trois types de stratgies de scurit. Chacune dentre elles est base sur sa mthode dapplication principale. Les stratgies administratives : elles sont appliques par la direction ou par lutilisateur. Les stratgies techniques : elles sont appliques par le systme dexploitation, les applications ou dautres contrles techniques. Les stratgies techniques doivent avoir des stratgies administratives correspondantes. Les stratgies physiques : appliquez les stratgies physiques en implmentant des contrles physiques pour empcher la falsification ou le vol.
j j j j j
Les processus et les procdures : ils dcrivent et prescrivent la faon dont les administrateurs et les utilisateurs doivent se conformer la stratgie de scurit. La technologie : elle dcrit la mthodologie et les outils utiliss pour appliquer les processus et procdures dune stratgie. La mise en uvre : elle dcrit le fonctionnement dune stratgie spcifique sur le rseau, ce qui comprend lnumration des paramtres activs ou dsactivs. La documentation : elle consiste noter ce qui a t mis en uvre, y compris la configuration et les paramtres de scurit. Les oprations : elles fournissent des informations sur lutilisation et la gestion prcise de la stratgie sur le rseau.
Un bon audit de scurit informatique value la capacit de lorganisation scuriser ses informations au niveau de la stratgie, des processus et des procdures, ainsi que des oprations. Ces trois composants, dcrits prcdemment, sont au cur de la scurit de lentreprise. Par consquent, construisez votre infrastructure daudit autour deux. Une infrastructure daudit de scurit trs simple mais efficace consiste comparer ces trois composants. En utilisant ce modle, vous pouvez vous assurer que la direction (les propritaires habituels de la stratgie), les responsables informatiques (les propritaires habituels des processus et des procdures) et lquipe informatique (charge du fonctionnement du rseau) ont une position identique en matire de scurit. Idalement, la stratgie de scurit possde des processus et des procdures correspondants, qui sont documents et suivis quotidiennement par les administrateurs et les utilisateurs.
817
Chapitre 25
25.8. Publier les rsultats de lvaluation de scurit

Une fois votre valuation de scurit termine, vous aurez vraisemblablement beaucoup de donnes publier. Pour toutes les vulnrabilits dcouvertes lors de votre valuation de scurit, vous pouvez organiser les informations comme suit
j
Dfinir la vulnrabilit : la dfinition de la vulnrabilit permet de rpondre des questions telles que "Quels sont lorigine et limpact potentiel de la vulnrabilit ?" et "Quelle est la probabilit dexploitation de la vulnrabilit ?". Documenter les plans visant rduire la vulnrabilit : il est important de prsenter des solutions et des rductions potentielles, ou dautres suggestions visant rduire ou supprimer la vulnrabilit. Identifier les modifications apporter : documentez tout ce qui doit tre modifi. Attribuer les responsabilits pour mettre en uvre les recommandations approuves : votre rapport doit mentionner les personnes charges dappliquer les recommandations. Prescrire la prochaine date dvaluation de scurit : vous devez galement prescrire une date pour la prochaine valuation de scurit.
j j
25.9. Utiliser loutil MSAT

Face aux bonnes pratiques de lvaluation de la scurit, Microsoft propose gratuitement loutil MSAT. MSAT (Microsoft Security Assessment Tool) permet de mesurer le niveau de scurit dans un environnement informatique. Cet outil vous donnera des conseils et des mthodes pour analyser les risques et mieux scuriser votre domaine la fois au niveau de lorganisation, du processus et de la technologie. Cette application est destine aider les entreprises de moins de 1000 salaris valuer les faiblesses de leur environnement en matire de scurit informatique. Elle permet, effectivement, didentifier les processus, ressources et technologies destins favoriser des pratiques efficaces de planification de la scurit et dattnuation des risques au sein de lentreprise. Tlchargement gratuit de MSAT, dernire version 3.0 en anglais
www.microsoft.com/france/technet/security/tools/msat/default.mspx
Le principe de MSAT est simple : proposer une valuation de la scurit de lentreprise au travers une srie de questions trs cibles. Dans le dtail : 1. Tlchargez puis installez MSAT sur votre ordinateur. Il ny a pas de difficult lors de linstallation, vous navez qu suivre les instructions.
818
Utiliser loutil MSAT
2. Lancez lapplication en cliquant sur Dmarrer/Tous les programmes/Microsoft Security Assessment Tool/MSAT. 3. Passez le message de bienvenue en cliquant sur Start. Vous devez crer un nouveau profil de risque, tapez le nom de votre entreprise.
Figure 25.3 : Cration du profil dans MSAT
4. Commencez rpondre aux questions qui vous sont poses. Une fois que vous avez rpondu une page de questions, cliquez sur Next pour passer la page suivante. Ces questions vont servir qualifier le profil de risque de la socit.
Figure 25.4 : Premires questions basiques poses par MSAT
819
Chapitre 25
Continuez rpondre aux questions, il y en a plus dune trentaine. 25. valuation de la scurit En voici un autre exemple :
Figure 25.5 : Autre exemple de questions poses par MSAT
5. la fin de toutes les questions, nommez lvaluation qui en rsulte (choisissez un nom en adquation avec votre profil de risque) et cliquez sur OK.
Figure 25.6 : Donnez un nom lvaluation
820
En rsum
6. Cest parti pour les questions techniques de lvaluation proprement parler. Ces questions sont classes en diffrentes sections : tout dabord des questions dinformations de base sur lentreprise (nom, nombre dordinateurs, de serveurs, pays), puis une srie de questions sur la scurit, savoir la scurit de linfrastructure, des applications, des oprations et du personnel (si vous utilisez une connexion Internet, si vous utilisez un serveur Exchange, un serveur VPN, etc.). Et enfin des questions sur lenvironnement (activit, nombre demploys, nombre de sites, etc.). Une fois que vous avez rpondu une page de questions, cliquez sur Next pour passer la page suivante.
Figure 25.7 : Des questions de lvaluation
Continuez rpondre aux questions, il y en a plus dune centaine. la fin, vous pourrez visualiser et conserver le rsultat de lvaluation selon trois rapports : un rapport rcapitulatif, un rapport complet et un rapport comparatif.
25.10. En rsum
Lvaluation de la scurit est trs importante pour analyser la manire dont vous tes protg. Cela peut toucher le cur du systme dexploitation et, par mconnaissance sur la scurit, tre parfois fatal lentreprise si celle-ci se fait attaquer et dpouiller de ce qui fait son unicit sur le march. Les bonnes pratiques dcrites ici vont vous aider monter une valuation dans les plus brefs dlais. De plus, MSAT peut vous donner un cadre, voire une valuation toute faite et pertinente du niveau de scurit de vtre entreprise. Cest gratuit, profitez-en et mme si les questions sont plus adaptes une socit de moins de 1000 employs, vous pourrez toujours vous inspirer de ces questions si vous travaillez dans une entreprise beaucoup plus grande. 821
Chapitre 26
La scurisation des postes de travail

26.1 26.2 26.3 26.4 26.5 Grer les mises jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . La scurit sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . Lantivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter la scurit des postes de travail laide dActive Directory En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825 . 826 . 847 . 849 . 857
Grer les mises jour des logiciels
L
j j
a scurisation des postes de travail sarticule autour dun ensemble de rubriques de base Les mises jour de logiciels : faites en sorte que les systmes dexploitation et les applications des ordinateurs clients soient quips des dernires mises jour de scurit et des derniers correctifs et Service Packs. 26. La scurisation des postes de travail Les logiciels antivirus : installez un logiciel antivirus et tenez jour les fichiers de signatures pour empcher lintroduction de code malveillant et lexploitation des logiciels installs. Le pare-feu : installez et configurez un quipement et/ou un logiciel pare-feu. Linformatique mobile : implmentez des stratgies et des technologies permettant de protger les priphriques mobiles comme les ordinateurs portables et les ordinateurs de poche (PDA) et de limiter les vulnrabilits possibles lors de la connexion de ces priphriques aux quipements de lentreprise. La protection des donnes : protgez les documents et les informations sensibles en implmentant une stratgie de sauvegarde, en utilisant des technologies de cryptage et en limitant laccs au moyen des mthodes dauthentification appropries. La scurit des applications : rduisez les sources de vulnrabilit des applications en utilisant des technologies de gestion de configuration telles que la stratgie de restriction logicielle, la stratgie de groupe et les outils de dploiement. Les outils de gestion des clients : utilisez des technologies de gestion de la scurit comme Active Directory, les modles de scurit, le contrle de quarantaine pour laccs rseau et la stratgie de groupe pour rationaliser le dploiement et lapplication des stratgies de scurit. Les mthodes conseilles pour les mots de passe : scurisez laccs aux ordinateurs clients en utilisant des mots de passe forts et en appliquant les mthodes conseilles en ce qui concerne lutilisation des mots de passe en gnral.
j j
Ces rubriques, aussi videntes quelles puissent paratre, sont plus complexes mettre en uvre en entreprise car ltendue des ordinateurs contrler est beaucoup plus grande quun simple PC la maison.
26.1. Grer les mises jour des logiciels

Il est capital dtablir une solution de gestion des mises jour de logiciels pour maintenir la scurit des ordinateurs clients. Vous devez implmenter une solution de gestion des mises jour pour viter toute vulnrabilit connue corrige. Microsoft propose un certain nombre doutils et de technologies daide la gestion des mises jour de logiciels. La solution retenue dpend des besoins de lentreprise. Pour les petites entreprises, WSUS (Windows Software Update Services) est la solution logique. Si vous disposez dau moins un serveur Windows et un administrateur
825
Chapitre 26
informatique qualifi, vous avez probablement intrt opter pour le service WSUS. Dans le cas contraire, utilisez Windows Update. Pour les moyennes ou grandes entreprises, WSUS et SMS (Systems Management Server) sont les solutions logiques. Si vous avez besoin dune solution de gestion des mises jour simple, choisissez WSUS. Si vous voulez une distribution complte des logiciels comprenant des fonctionnalits de gestion des mises jour, choisissez SMS.
26. La scurisation des postes de travail
La gestion des correctifs est aborde en dtail dans le tome II.
26.2. La scurit sous Windows Vista

Lactualit tant lintgration de Windows Vista dans les systmes dinformation, voici un point complet sur le niveau de scurit et les outils associs, du niveau systme dexploitation de Microsoft. Les menaces pour la scurit sont en constante volution. Or, chacun le sait, la scurit est une proccupation majeure pour les entreprises. Sil doit rester protg contre les menaces sur Internet et sur les rseaux sans fil, le systme dexploitation client doit galement voluer. Par le biais de plusieurs scnarios, vous allez voir comment Windows Vista amliore la scurit de manire significative en attnuant les menaces et la vulnrabilit.
Windows Defender
Windows Defender est un antispyware intgr Windows Vista et destin un usage domestique. Il faut entendre par "usage domestique" labsence de fonctionnalits dadministration. Windows Defender est le logiciel de Microsoft pour lutter contre les malwares, il est intgr Windows Vista. Il rassemble des fonctions de dtection, de nettoyage et blocage en temps rel des spywares. Parmi ces actions, Windows Defender est ainsi capable de surveiller Internet Explorer et les composants logiciels chargs dans le navigateur, de vrifier les tlchargements. Windows Defender surveille aussi un certain nombre de points dentre frquemment utiliss sur la machine par les spywares. Il peut sagir par exemple de la cl de registre HKLM\ \RUN qui permet des logiciels de se maintenir chaque redmarrage. La technologie de Windows Defender repose sur neuf agents de surveillance. Il offre la possibilit de raliser une analyse du systme rapide ou complte. Pour dcouvrir linterface de Windows Defender, slectionnez le menu Dmarrer (le logo de Windows Vista), puis cliquez sur Tous les programmes et Windows Defender.
826
La scurit sous Windows Vista
Figure 26.1 : La page daccueil de Windows Defender
Dans la partie suprieure de la fentre Windows Defender, vous voyez les menus proposs :
j
Le menu Accueil affiche ltat gnral de Windows Defender. Vous y retrouvez la date de la dernire recherche, ltat de la protection en temps rel et la version des signatures utilises par Windows Defender. Le menu Analyser analyse lordinateur la recherche de spywares. Diffrentes analyses sont proposes (Quick Scan, Full Scan, Custom Scan). Le menu Historique affiche lhistorique de toutes les activits de Windows Defender. Le menu Outils regroupe plusieurs paramtres et outils et se dcompose en quatre sections : La section Options affiche les paramtres gnraux de Windows Defender. La section Microsoft SpyNet permet dchanger de conseils avec la communaut Spynet. La section Elments en quarantaine contient les lments qui ont t mis en quarantaine. 827
j j j
Chapitre 26
La section Explorateur de logiciels affiche les logiciels qui sexcutent sur la machine, qui coutent le rseau et le niveau de classification associ.
Figure 26.2 : Affichage des options de Windows Defender
Utilisation de Windows Defender Les utilisateurs viss par Windows Defender se limitent aux particuliers. Windows Defender ne rentre pas dans le cadre de la gestion dentreprise, cest--dire quil nexploite pas les stratgies de groupe ou la console dadministration centralise. Il sera possible dutiliser une version dentreprise pour la gestion des malwares, mais cela sera propos dans une version payante du produit qui sappelle Microsoft Client Protection. Cette version ne se limitera pas la simple gestion de spywares, elle intgrera galement lantivirus de Microsoft et pourra tre administre sous la forme dune solution.
Utiliser Windows Defender

Mme si Windows Defender nest pas un logiciel dentreprise car il ne possde pas de fonctions dadministration centralises, il possde plusieurs fonctions, il est possible de paramtrer des analyses automatiques et il est ncessaire de le mettre jour. Pour mettre Windows Defender jour, procdez ainsi : 828
1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Vrifier maintenant. Dans la fentre Contrle de compte utilisateur, slectionnez Continuer. Une fois la mise jour termine, le bouclier devient vert et il est possible de voir la date de la dernire dfinition de signatures. 26. La scurisation des postes de travail
Figure 26.3 : Mise jour de Windows Defender
Pour planifier les analyses automatiques, suivez ces tapes : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. Dans la partie suprieure de la fentre Windows Defender, vous retrouvez les sections de loutil. 2. Slectionnez Outils, dans la fentre Outils et options, cliquez sur Options sous la rubrique Paramtres. 3. Vrifiez que la case Analyser automatiquement mon ordinateur (recommand) est coche. Cest impratif pour pouvoir paramtrer les diffrentes options. 4. Dans Frquence danalyse, slectionnez Mercredi. 5. Dans Heure, choisissez 13:00.
829
Chapitre 26
6. Dans le type danalyse, laissez (Analyse rapide). 7. Cochez la case Rechercher les dfinitions mises jour avant lanalyse. 8. Cochez la case Appliquer les actions par dfaut aux lments dtects lors dune analyse. 26. La scurisation des postes de travail 9. Cliquez sur Enregistrer.
Figure 26.4 : Configuration de lanalyse automatique de Windows Defender
Pour lancer une analyse manuelle, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. Dans la partie suprieure de la fentre Windows Defender, vous retrouvez les sections de loutil. 2. Slectionnez la flche du menu Analyser. La fentre de slection vous propose trois options danalyse :
j
Analyse rapide ;
830
j j
Analyse complte ; Analyser les fichiers et les dossiers slectionns.
3. Choisissez une des options danalyse propose, puis cliquez sur Analyser maintenant. 26. La scurisation des postes de travail Pour dsactiver ou activer la protection en temps rel de Windows Defender, procdez comme suit : 1. Cliquez sur le menu Dmarrer, puis sur Panneau de configuration. 2. Slectionnez licne Scurit. 3. Cliquez sur licne Windows Defender. 4. Cliquez sur Outils, puis sur Options. 5. Sous la rubrique Options de protection en temps rel, activez la case cocher Utiliser la protection en temps rel (recommand). 6. Slectionnez les options voulues. Pour prserver vos donnes personnelles et protger votre ordinateur, il est recommand de slectionner toutes les options de protection en temps rel. 7. Choisissez enfin si Windows Defender doit vous avertir lors de certains vnements. Slectionnez les options requises, puis cliquez sur Enregistrer.
Consulter lhistorique
Vous pouvez si vous le souhaitez connatre lactivit de Windows Defender car il garde une trace dun grand nombre dactions. Pour afficher lhistorique de Windows Defender, procdez de la faon suivante : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Historique. 3. Pour supprimer tous les lments de la liste, cliquez sur Effacer lhistorique. Si vous tes invit fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation. Informations complmentaires Vous en saurez plus sur la scurit de Windows Vista en visitant les sites suivants : www.microsoft.com/athome/security/spyware/software/default.mspx ; http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID =1032293588&EventCategory=5&culture=en-US&CountryCode=US ; j www.microsoft.com/athome/security/spyware/software/support/reportspyware .mspx ;
j j
831
Chapitre 26
www.microsoft.com/athome/security/spyware/software/newsgroups/default .mspx ; j www.microsoft.com/athome/security/spyware/spywaresigns.mspx ; j www.microsoft.com/technet/windowsvista/security/default.mspx ; j www.microsoft.com/france/technet/content/produits/windowsvista/wv _windowsdefender.asx.

j
Le Centre de scurit
Bien quil soit important de rester inform des dernires mises jour logicielles, la gestion des mises jour peut devenir coteuse et longue, et perturber les entreprises et les utilisateurs. Windows Vista rpond ces problmes en imposant un redmarrage moins frquent des ordinateurs, ce qui simplifie le processus de dploiement des mises jour, lutilisation plus efficace de la bande passante, la possibilit pour les administrateurs de suivre les mises jour ayant russi ou chou, ainsi que des amliorations de lagent WUA (Windows Update Agent). Avec larrive de Redmarrer Managers, les utilisateurs nont pas besoin de redmarrer Windows Vista lors de linstallation ou de la mise jour dune application. Certaines mises jour peuvent installer une nouvelle version dun fichier mis jour mme si lancien fichier est en cours dutilisation par une autre application. Windows Vista remplace le fichier lors du prochain redmarrage de lapplication. Lobjectif avec Redmarrer Manager est de pouvoir diviser le nombre de redmarrages par deux concernant lapplication de correctifs de scurit. Freeze Dry est lun des composants de Redmarrer Managers, il permet Windows Vista de dterminer quelle application utilise un fichier devant tre mis jour. Ainsi, si lapplication tire parti des API de notifications darrt et de redmarrage, les donnes de lapplication seront enregistres, lapplication ferme, les fichiers mis jour, puis lapplication sera redmarre. Par consquent, la plupart des mises jour ne perturbent pas le travail des utilisateurs, ce qui permet de ne plus gner la productivit et ainsi de rduire les cots de gestion des mises jour. Office 12 est lexemple dun logiciel qui tire parti des API de notifications darrt et de redmarrage. WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software Update Services). Il permet damliorer la gestion des mises jour. Les administrateurs peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises jour disponibles et dterminer si ces mises jour sont ncessaires dans leurs environnements. Pour les environnements qui utilisent les mises jour automatiques, les administrateurs peuvent utiliser WSUS afin de dployer toutes les mises jour. Dans les versions antrieures de Windows, seules les mises jour critiques pouvaient tre dployes laide de la fonctionnalit Mises jour automatiques.
832
Lagent WUA (Windows Update Agent) est dsormais une application autonome pouvant tlcharger des mises jour directement partir du site de Microsoft ou dun serveur WSUS interne. Dans la mesure o WUA offre une interface unique vers les mises jour tlcharges partir du site de Microsoft ou dun serveur dentreprise interne, les utilisateurs nont pas apprendre comment utiliser deux outils distincts. 26. La scurisation des postes de travail Pour dcouvrir le Centre de scurit Windows, procdez comme suit : 1. Ouvrez le menu Dmarrer et cliquez sur Panneau de configuration. 2. Dans le Panneau de configuration, cliquez sur les liens Scurit, puis sur Centre de Scurit Windows. Dans la fentre Centre de Scurit Windows, deux nouvelles catgories ont fait leur apparition :
j j
La rubrique Protection contre les programmes malveillants comprend les logiciels antispywares ainsi que lantivirus. La rubrique Autres paramtres de scurit affiche ltat des paramtres dInternet Explorer Paramtres de scurit Internet et Contrle du compte utilisateur.
Figure 26.5 : Le Centre de scurit
833
Chapitre 26
Pour dcouvrir les nouvelles options des mises jour automatiques (Windows Update) : 1. Dans la partie gauche de la fentre, cliquez sur Windows Update. La fentre Windows Update souvre. 26. La scurisation des postes de travail
Figure 26.6 : La fentre doption de Windows Update
Plusieurs options apparaissent dans la partie gauche de la fentre :

j
Rechercher les mises jour lance une vrification des mises jour sans passer par le site web Windows Update. Avant, cette fonctionnalit ntait disponible quen ligne de commande avec wuauclt.exe /detectnow. Modifier les paramtres change les paramtres de Windows Update. Afficher lhistorique des mises jour affiche lhistorique des mises jour. Lhistorique comprend le nom, la date, le statut de linstallation et limportance de la mise jour pour la scurit. Restaurer les mises jour maques restaure les mises jour caches. Les mises jour comprennent aussi les signatures pour lantispyware intgr Windows Vista (Windows Defender).
j j
2. Fermez la fentre Windows Update, le Centre de scurit et le Panneau de configuration.
834
Le pare-feu personnel
Un grand nombre dapplications potentiellement dangereuses, telles que les applications clientes de partage poste poste susceptibles de transmettre des informations personnelles sur Internet, sont conues pour ignorer les pare-feu qui bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux administrateurs dentreprise de configurer les paramtres des Stratgies de groupe pour les applications devant tre autorises ou bloques, en leur donnant le contrle sur les applications pouvant communiquer sur le rseau. Lun des moyens les plus importants pour les services informatiques pour attnuer les risques de scurit consiste limiter les applications pouvant accder au rseau. Le pare-feu personnel intgr Windows Vista constitue une part importante de cette stratgie. Avec le pare-feu personnel, les administrateurs peuvent autoriser lexcution locale dune application sur des ordinateurs, mais lempcher de communiquer sur le rseau. Cela donne aux administrateurs la finesse de contrle dont ils ont besoin pour attnuer les risques de scurit sans compromettre la productivit des utilisateurs.
Utiliser le pare-feu standard de Windows Vista

Pour lancer le pare-feu Windows, procdez de la faon suivante : 1. Cliquez sur le menu Dmarrer/Panneau de configuration.
Figure 26.7 : Le Panneau de configuration de Windows Vista
835
Chapitre 26
2. Cliquez sur Scurit.
Figure 26.8 : La section scurit du Panneau de configuration
3. Slectionnez Pare-feu Windows. Longlet Gnral du pare-feu Windows comporte trois paramtres. Voici ce que vous pouvez faire avec ces paramtres et quand les utiliser
Loption Activ
Ce paramtre est slectionn par dfaut. Lorsque le pare-feu Windows est activ, la communication est bloque pour la plupart des programmes. Si vous souhaitez dbloquer un programme, vous pouvez lajouter la liste des exceptions (sous longlet Exceptions). Par exemple, vous ne pourrez peut-tre pas envoyer des photos laide dun programme de messagerie instantane avant davoir ajout ce programme sur la liste des exceptions. Pour activer le pare-feu Windows, procdez de la faon suivante : 1. Cliquez sur le menu Dmarrer/Panneau de configuration. 2. Slectionnez Centre de scurit. 836
3. Dans le volet gauche de la fentre Centre de scurit Windows, slectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Dsactiver le pare-feu Windows. 5. Cliquez sur Activ (recommand), puis sur OK. 26. La scurisation des postes de travail
Figure 26.9 : Activer le pare-feu
Loption Dsactiv
vitez dutiliser ce paramtre moins quun autre pare-feu ne soit excut sur votre ordinateur. La dsactivation du pare-feu Windows peut rendre votre ordinateur (et votre rseau si vous en utilisez un) plus vulnrable des attaques de pirates informatiques ou de logiciels malveillants tels que des vers. Pour dsactiver le pare-feu Windows, procdez de la faon suivante : 1. Cliquez sur Dmarrer/Panneau de configuration. 2. Slectionnez Centre de scurit. 3. Dans le volet gauche de la fentre Centre de scurit Windows, slectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Dsactiver le pare-feu Windows. 5. Cliquez sur Dsactiv (non recommand), puis sur OK.
837
Chapitre 26
Figure 26.10 : Dsactiver le pare-feu
Loption Bloquer toutes les connexions

Ce paramtre bloque toutes les tentatives non sollicites de connexion votre ordinateur. Utilisez ce paramtre lorsque vous avez besoin dune protection maximale pour votre ordinateur, par exemple lorsque vous vous connectez un rseau public dans un htel ou un aroport ou lorsquun ver dangereux se rpand sur Internet. Si ce paramtre est activ, vous ntes pas averti lorsque le pare-feu Windows bloque tous les programmes, et les programmes de la liste des exceptions sont ignors. Lorsque vous slectionnez Bloquer toutes les connexions, vous pouvez quand mme afficher la plupart des pages web, recevoir et envoyer du courrier lectronique ainsi que des messages instantans. 1. Cliquez sur Dmarrer/Panneau de configuration. 2. Slectionnez Centre de scurit. 3. Dans le volet gauche de la fentre Centre de scurit Windows, slectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Dsactiver le pare-feu Windows. 5. Cliquez sur Activ (recommand), puis sur Bloquer toutes les connexions entrantes et terminez en cliquant sur OK.
838
Figure 26.11 : Blocage de toutes les connexions entrantes
Utiliser le pare-feu avanc

Pour lancer le pare-feu avanc de Windows par la MMC (Microsoft Management Console), procdez ainsi : 1. Dans le menu Dmarrer, slectionnez la commande Excuter, puis tapez mmc dans le champ de saisie et validez par []. 2. Dans la fentre Contrle du compte utilisateur, cliquez sur Continuer. 3. Dans la fentre de la console, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable ([Ctrl]+[M]). 4. Sur la liste Composants logiciels enfichables disponibles, slectionnez Pare-feu Windows avec scurit avance, puis cliquer sur Ajouter (voir fig. 26.12). 5. Une fentre souvre vous invitant slectionner un ordinateur. Cliquez sur Lordinateur local (lordinateur sur lequel cette console sexcute) et cliquez sur Terminer. 6. Dans la MMC, cliquez sur OK. 7. Dans la partie droite de la console, cliquez sur le lien Pare-feu Windows avec scurit avance Ordinateur Local. La partie centrale prsente les paramtres gnraux du pare-feu. Prenez le temps dexaminer les paramtres par dfaut affects aux diffrents profils du pare-feu.
839
Chapitre 26
Figure 26.12 : Configuration de la MMC pour utiliser les options avances du pare-feu
de Windows Vista
Figure 26.13 : Prsentation du pare-feu Windows avec la scurit avance sur
lordinateur local
840
prsent, vous allez tester le pare-feu et crer pour cela une rgle de restriction sortante pour le Lecteur Windows Media. Dans un premier temps, le test consiste lancer une station de radio sur Internet partir du Lecteur Windows Media. Pour ouvrir une radio en ligne laide de Windows Media Player, procdez comme suit : 1. Dans le menu Dmarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Dans le Lecteur Windows Media, appuyez sur les touches [Ctrl]+[U] pour ouvrir la fentre Ouvrir une URL. 3. Dans la fentre Ouvrir une URL, taper lURL de la radio en ligne : http://www .ouirock.com/player/metafile/windows.asx. Cliquez sur OK. Le Lecteur Windows Media accde lURL indique. Par dfaut, toutes les applications sont autorises traverser le pare-feu.
Figure 26.14 : Saisie de lURL de la radio dans le Lecteur Windows Media
URL Il sagit ici dune URL prise titre dexemple. Il existe un grand nombre dautres liens sur Internet pouvant tre utiliss pour cet exercice. 4. Fermez le Lecteur Windows Media. 841
Chapitre 26
Puisque laccs la radio fonctionne, il est possible den restreindre laccs en crant une rgle dont les caractristiques seront les suivantes
j j
Nom : Lecteur Windows Media. Appliquer : %ProgramFiles%\Windows Media Player\wmplayer.exe. Action : Block.
Pour crer la rgle qui pourra bloquer le Lecteur Windows Media, procdez comme suit : 1. Dans la MMC, au centre, cliquez sur Rgles du trafic sortant situ dans la catgorie Dmarrer. Vous retrouvez dans la partie centrale de la fentre toutes les rgles utilises par le pare-feu pour filtrer le trafic entrant.
Figure 26.15 : Slection des rgles en sortie du pare-feu
2. Dans la partie droite de la fentre, cliquez sur Nouvelle rgle pour crer une nouvelle rgle. 3. Dans la fentre Assistant Nouvelle rgle sortante, dans la section Quel type de rgle voulez-vous crer?, slectionnez Programme, puis cliquez sur Suivant.
842
Figure 26.16 : Slection du type de rgles
Dans la section Quels programmes sont concerns par cette rgle?, deux choix vous sont proposs.
j j
Tous les programmes : la rgle sappliquera tout le trafic de lordinateur. Ce programme : cette rgle permet de restreindre laccs un programme uniquement en spcifiant son chemin.
4. Slectionnez Ce Programme et saisissez %ProgramFiles%\Windows Media Player\wmplayer.exe, puis cliquez sur Suivant.
Figure 26.17 : Spcification du chemin daccs du programme pour lequel la rgle va
sappliquer 843
Chapitre 26
5. Dans la section Action, slectionnez Refuser, puis cliquez sur Suivant. Dans la fentre Profil, sous la rubrique Quels profils sont concerns par cette rgle?, vous pouvez dfinir trois possibilits.
j
Domaine : sapplique lors de la connexion dun ordinateur son domaine dentreprise. Prives : sapplique lors de la connexion dun ordinateur un groupe de rseau priv. Publiques : sapplique lors de la connexion dun ordinateur au groupe de rseau public.
j j
6. Laissez les trois profils slectionns et cliquez sur Suivant. 7. Tapez Lecteur Windows Media dans le champ Nom, puis cliquez sur Terminer.
Figure 26.18 : Rgles de trafic sortant
Modification dune rgle Si vous souhaitez modifier une rgle aprs sa cration, double-cliquez dessus. Les tapes sont reprsentes par des onglets.
844
Figure 26.19 : Modification dune rgle
Pour terminer, il ne reste plus qu tester le bon fonctionnement de la rgle Lecteur Windows Media en ouvrant une radio en ligne laide du Lecteur Windows Media. Pour tester la rgle, procdez comme suit : 1. Dans le menu Dmarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Une fois que le lecteur Windows Media est ouvert, appuyez sur les touches [Ctrl]+[U]. La fentre Ouvrir une URL saffiche. 3. Dans la fentre Ouvrir une URL, tapez lURL de la radio en ligne http://www .ouirock.com/player/metafile/windows.asx, puis cliquez sur OK. Aprs quelques secondes, un message apparat indiquant que le fichier na pas t trouv (le Lecteur Windows Media ne trouve pas). Le Lecteur Windows Media nest plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu. 4. Cliquez sur Fermer. 5. Fermez le Lecteur Windows Media. 6. Fermez la Console Microsoft Management et cliquez sur Non.
845
Chapitre 26
Informations complmentaires Vous en saurez plus sur le pare-feu de Windows Vista en visitant les sites suivants :
j
www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx www.microsoft.com.
Le contrle des comptes utilisateurs (UAC)

Lun des grands problmes pour la scurit se pose lorsque les utilisateurs sexcutent avec un compte Administrateur sur le Poste de travail ou, pire encore, lorsque les administrateurs du domaine utilisent leur compte pour effectuer des tches quotidiennes nayant pas besoin de droits administratifs (lecture des courriels, navigation sur Internet, etc.). Peut-tre que lune des bonnes raisons cela est que, sous Windows XP, il reste trs difficile dtre productif sans avoir besoin de droits administrateurs. Prenons comme exemple les utilisateurs de portable Pour corriger ce problme, Windows Vista a introduit lUAC (User Account Control). Lobjectif dUAC reste multiple : faciliter la vie des utilisateurs qui ne possdent pas de droits dadministrateurs ; protger le systme de lutilisation danciens programmes tout en gardant une compatibilit (bien souvent, les anciens programmes demandent des droits dadministrateurs et cette demande est trop souvent lie un mauvais dveloppement du programme plutt qu une relle ncessit). Pour protger le systme, Windows Vista virtualise le rpertoire Program files de faon ce que lutilisateur crive dans une partie de son profil plutt que dans le rpertoire Program files lui-mme. Cela apporte une certaine isolation qui permet de ne pas polluer les autres utilisateurs en cas de problme. Lun des autres points sur lequel nous allons nous attarder un peu plus longuement est lAdmin Approval Mode. Ce principe consiste restreindre les droits dune personne ayant des droits administratifs. Pour cela, sous Windows Vista, les membres du groupe local administrateurs possdent deux jetons de scurit (token), un jeton complet ainsi quun jeton restreint (filtr). Le jeton filtr est le jeton complet auquel on a retir tous les privilges. Les utilisateurs membres du groupe local administrateur utilisent par dfaut le jeton restreint. Lorsquune tche ncessite un privilge lev, lUAC demande la permission dutiliser le jeton complet (lvation de privilges). En fonction du paramtrage de lUAC, cela peut tre fait de manire transparente, cest--dire sans prompt, par consentement ou saisie de mot de passe. Le mode par dfaut pour les membres du groupe administrateur est celui du consentement Admin Approval Mode. Le compte intgr administrateur utilise, quant lui, son jeton complet, il na donc pas besoin de donner son consentement pour utiliser un autre jeton. Llvation des privilges sopre donc pour les comptes possdant deux jetons. Un utilisateur standard nayant quun jeton restreint, lUAC ne leur proposera pas dutiliser un autre jeton et
846
Lantivirus en entreprise
lutilisateur recevra un Access Denied ou son quivalent en tentant dexcuter une tache ncessitant des privilges plus levs. Par contre, sil excute une application en tant quadministrateur ou par un runas, il ne passe pas par le mcanisme UAC. En effet, cela cre tout dabord un nouveau jeton dadministration complet qui est alors utilis pour lancer lapplication CreateProcessAsUser auquel on passe le jeton dadministrateur en paramtre. Cest pourquoi lexcution dune Invite de commandes en tant quadministrateur ou runas /user:admin cmd ouvre une fentre dans laquelle vous avez les privilges complets. Diffrences entre le compte intgr administrateur et les membres du groupe Administrateurs Par dfaut, le compte intgr administrateur est dsactiv et napparat pas dans la fentre de lancement. Par dfaut, les membres du groupe local Administrateurs excutent les applications avec leur jeton restreint et doivent approuver toute demande dexcution avec des privilges plus levs : Mode Admin Approval. Le compte intgr administrateur excute les applications directement avec son jeton complet, lUAC na donc bas besoin de rentrer en jeu. Toutefois, le fonctionnement de lUAC peut tre dsactiv plusieurs niveaux, mais il nest pas recommand de le faire encore une fois pour des raisons de scurit. Informations complmentaires Vous en saurez plus sur la scurit de Windows Vista en visitant les sites suivants : www.microsoft.com/france/technet/produits/windowsvista/deploy/appcompat /acshims.mspx ; j www.microsoft.com/france/events/event.aspx?EventID=118769731 ; j www.microsoft.com/france/events/event.aspx?EventID=118769729 ; j www.microsoft.com/france/events/event.aspx?EventID=118769730 ;
j j
www.microsoft.com/france/technet/produits.
26.3. Lantivirus en entreprise

Aujourdhui plus personne ne peut nier, passer ct ou ignorer la problmatique des virus. On en deviendrait mme blass, routiniers du fait quun antivirus est indissociable dun PC (cela ne veut pas dire pour autant quil y en ait un qui soit intgr Windows ; concurrence oblige, chacun en tirera les conclusions quil veut). En entreprise, la gestion et la mise jour de lantivirus relvent de procdures respecter, de vigilance et de rigueur : il ne faut jamais baisser la garde.
847
Chapitre 26
Si lon en croit plusieurs rapports internationaux, les virus informatiques ont un impact conomique mondial qui dpasse les 10 milliards de dollars par an. Pour quelque chose de familier et de routinier, on saperoit quand mme que les virus frappent encore de nos jours. Il sagit de cots aussi bien directs quindirects. 26. La scurisation des postes de travail Le cot direct dune attaque de virus correspond aux dpenses ncessaires pour rparer les dommages causs. Cette rparation peut demander un effort important lquipe informatique locale ou aux fournisseurs de services externes. Il sagit notamment deffacer les dommages crs par le virus, de rcuprer les donnes partir de sauvegardes, de rinstaller des systmes dexploitation et des applications. Les cots indirects dune attaque virale sont plus difficiles dterminer. Certaines organisations ont connu une baisse de productivit et de chiffre daffaires aprs avoir t prives de leur messagerie lectronique ou dun autre systme vital pour leur activit pendant plusieurs semaines cause dun virus. Une attaque virale peut provoquer une perte de donnes ou compromettre des informations confidentielles. Une attaque virale russie peut galement nuire la rputation de lentreprise en dgradant la confiance des clients, des investisseurs et des cranciers. Bien que le montant des cots indirects soit plus difficile estimer, il est vident que ces cots existent et quils sont considrables. Imaginez les dommages que cela peut causer une petite entreprise qui na pas forcment les moyens dinvestir dans son systme dinformation.
Dploiement des logiciels antivirus

La solution adquate de dploiement de logiciel antivirus dpend de la taille et des besoins spcifiques de lorganisation. Les particuliers et les trs petites entreprises peuvent acheter des produits antivirus autonomes et les installer sur chaque ordinateur client. Les petites et moyennes entreprises peuvent utiliser une stratgie de groupe pour dployer un logiciel antivirus vers les ordinateurs clients de manire centralise. Pour les grandes entreprises, la plupart des fournisseurs de logiciels antivirus proposent des produits pour lentreprise qui permettent de dployer ces logiciels de manire centralise vers les ordinateurs clients de lensemble de linfrastructure. Vous pouvez gnralement dployer le logiciel antivirus via le service dannuaire Active Directory ou par le biais dune console dadministration propose par le fournisseur. Les fournisseurs utilisent des mthodes de distribution propritaires pour prendre en charge les versions antrieures de Windows et les systmes dexploitation tiers. Ces produits pour entreprise peuvent rpondre aux besoins des organisations de taille moyenne, mais ils risquent dtre trop complexes ou trop coteux pour les petites entreprises.
848
Implmenter la scurit des postes de travail laide dActive Directory
Mise jour des logiciels antivirus

Le dlai entre la dtection initiale dun virus et sa propagation grande chelle est parfois trs court, parfois le jour mme, principalement cause des capacits de diffusion rapide des messageries lectroniques et de la rplication spontane. Il est donc essentiel de diffuser la mise jour dune dfinition de virus aux clients ds que le fournisseur est en mesure de la communiquer. Pour les ordinateurs de bureau qui sont en permanence connects au rseau de lentreprise, la solution idale consiste tlcharger les mises jour des dfinitions de virus vers les serveurs du rseau local, puis les distribuer aux clients partir de ces serveurs. La solution de distribution idale repose sur un modle dmission o les dfinitions sont immdiatement copies vers les clients. Malheureusement, bon nombre de solutions antivirus actuelles doivent prendre en charge des clients hrits et sappuient donc sur un modle de collecte o les clients vrifient les mises jour intervalles rguliers (quelques heures). En rgle gnrale, il nest pas conseill de laisser les utilisateurs tlcharger eux-mmes les mises jour de leur logiciel antivirus. Il est prfrable que les administrateurs puissent contrler lapplication en masse de ces paramtres. Pour les ordinateurs portables, il est galement important de prvoir de quelle manire ils seront mis jour une fois quils seront dconnects du rseau dentreprise. Dans la mesure o un nouveau virus peut facilement sintroduire dans un ordinateur portable, via les supports amovibles ou une connexion fugace Internet, il peut tre utile de tlcharger les mises jour de logiciels antivirus sur les portables partir du site dun fournisseur.
26.4. Implmenter la scurit des postes de travail laide dActive Directory

Tenez compte des bonnes pratiques suivantes lorsque vous utilisez Active Directory et la stratgie de groupe pour appliquer des paramtres de scurit des ordinateurs clients :
j
Concevez une structure dunits dorganisation qui favorise la mise en uvre de la scurit des ordinateurs clients. La structure dunits dorganisation doit prendre en charge lutilisation dune stratgie de groupe permettant de grer efficacement lapplication de paramtres de scurit tous les objets utilisateur et ordinateur client dActive Directory. Veillez ce que cette implmentation respecte les normes de scurit de votre organisation. Concevez une structure dunits dorganisation qui spare les objets utilisateur et ordinateur en fonction de leur rle. Vous devez concevoir la structure dunits dorganisation de manire pouvoir dfinir des paramtres de scurit appropris pour les diffrents types dutilisateurs de votre organisation. Par exemple, les dveloppeurs peuvent tre 849
Chapitre 26
autoriss effectuer sur leurs stations de travail des tches interdites lutilisateur moyen. De mme, les utilisateurs dordinateurs portables peuvent prsenter des besoins (en matire de scurit) lgrement diffrents de ceux des utilisateurs dordinateurs de bureau. 26. La scurisation des postes de travail Concevez la structure dunits dorganisation de manire pouvoir dfinir des paramtres de scurit appropris aux diffrents types dordinateurs clients de votre organisation. Envisagez de crer des units dorganisation distinctes pour les diffrents systmes dexploitation utiliss par les ordinateurs clients. Vous avez galement la possibilit de crer des units dorganisations distinctes pour diffrents types dordinateurs clients, par exemple les ordinateurs de bureau et les ordinateurs portables.
j
Crez pour chaque unit dorganisation un objet de stratgie de groupe contenant les paramtres de scurit appropris aux utilisateurs ou aux ordinateurs clients de cette unit dorganisation. Par exemple, vous pouvez vouloir appliquer des paramtres diffrents aux ordinateurs portables et aux ordinateurs de bureau dans la mesure o les portables sont souvent utiliss hors des locaux de lentreprise et risquent de se connecter au rseau dentreprise via des liaisons non scurises.
Limplmentation des stratgies de groupe est traite dans le tome II.
Utiliser des modles de scurit pour scuriser les postes de travail

Les modles de scurit sont des jeux de paramtres de scurit prdfinis qui peuvent tre appliqus des utilisateurs et des ordinateurs. Les modles de scurit contiennent des paramtres de configuration qui peuvent tre imports dans un objet de stratgie de groupe. Tlcharger des modles de scurit Vous pouvez rcuprer gratuitement sur Internet le Windows Vista Security Guide (ou le Windows XP Security Guide) en recherchant leur nom sur www.microsoft.com/ downloads. Ces guides contiennent des modles tout fait. Les guides de scurit de Windows Vista et Windows XP fournissent trois types de modles
j j
Les modles pour domaines (Domain) : ces modles contiennent des paramtres de scurit qui sont appliqus tous les utilisateurs et ordinateurs du domaine. Les modles pour ordinateurs de bureau (Desktop) : ces modles contiennent des paramtres qui peuvent tre appliqus aux ordinateurs de bureau directement connects un rseau.
850
Les modles pour ordinateurs portables (Laptop) : ces modles contiennent des paramtres conus pour rsoudre les problmes de scurit lis la portabilit de ces ordinateurs.
Chacun de ces modles de scurit est disponible en deux versions : environnement client dentreprise (Enterprise Client) et environnement haute scurit (High Security). Les ordinateurs clients dentreprise sont gnralement situs dans un domaine Active Directory. Ces clients sont administrs via lapplication dune stratgie de groupe des conteneurs, des sites, des domaines et des units dorganisation. Les ordinateurs clients des environnements haute scurit sont ceux qui ncessitent une scurit extrmement forte. Dans ce cas, la fonctionnalit utilisateur est limite aux seules fonctions ncessaires lexcution de tches spcifiques. Laccs est limit aux applications, services et environnements dinfrastructure approuvs. Vous pouvez utiliser ces modles tels quels si les paramtres quils contiennent conviennent votre environnement rseau. Pour adapter un modle aux besoins de votre organisation, utilisez le composant logiciel enfichable Modles de scurit. Aprs lavoir correctement configur, vous pouvez importer un modle dans un objet de stratgie de groupe qui sapplique au domaine ou une unit dorganisation spcifique de ce domaine. La console de gestion des stratgies de groupe (GPMC, Group Policy Management Console) permet de modifier des objets de stratgie de groupe et dy importer des modles de scurit.
Utiliser des modles dadministration

En plus des modles de scurit, vous pouvez utiliser des modles dadministration pour appliquer des paramtres de scurit des utilisateurs et des ordinateurs clients. Les modles administratifs contiennent des configurations pour les paramtres figurant dans Configuration ordinateur\Modles dadministration, dans Configuration utilisateur\Modles dadministration ou dans les ruches HKEY_Local_Machine et HKEY_Current_User du Registre. Windows Server 2003 est fourni avec un jeu de modles dadministration qui prend en charge les ordinateurs excutant Windows Server 2003, Windows XP Professionnel et Windows 2000. Ils prennent partiellement en charge Windows Vista. Il faudra crer la stratgie de groupe partir de Windows Vista. Les guides de scurit Windows Vista et Windows XP comprennent des modles dadministration qui vous permettent de personnaliser lenvironnement dexploitation de lutilisateur et de configurer des paramtres de scurit pour diverses applications. Adaptation des modles dadministration provenant des guides de scurit Les paramtres dun modle dadministration ne sont pas forcment prconfigurs. Aprs avoir import un modle dadministration dans un objet de stratgie de groupe, 851
Chapitre 26
il se peut que vous deviez configurer manuellement les paramtres de ce modle que vous souhaitez utiliser avant de les appliquer aux ordinateurs et utilisateurs de votre entreprise. Il vous faut bien sr passer par une phase de retouches pour ladapter vos besoins. Sachez galement que les fournisseurs dapplications tiers peuvent inclure dautres modles dans leurs logiciels.
Vue densemble des paramtres de scurit des stratgies de groupe

Chaque objet de stratgie de groupe contient un grand nombre de paramtres de scurit. Certains paramtres ne peuvent tre dfinis quau niveau dun domaine, notamment la stratgie de mot de passe. Dautres peuvent tre dfinis au niveau du domaine, du site ou de lunit dorganisation. Voici une liste non exhaustive des paramtres de scurit
j
Stratgie de mot de passe des comptes : ce paramtre dfinit la stratgie des mots de passe et du verrouillage des comptes pour le domaine. Les mots de passe complexes et rgulirement modifis rduisent les chances de succs dune attaque de mot de passe. Stratgie de verrouillage de compte : ce paramtre spcifie le nombre de tentatives douverture de session infructueuses au bout duquel un compte dutilisateur est verrouill. Stratgie daudit : ce paramtre spcifie les vnements de scurit qui sont enregistrs dans le journal de la scurit. Journal des vnements : les paramtres du journal des vnements sont utiliss pour enregistrer les vnements systme. Le journal de la scurit contient des vnements daudit. Ce paramtre indique la taille maximale des journaux, les droits daccs chaque journal, la priode et les mthodes de rtention. Systme de fichiers : ce paramtre spcifie des autorisations et des paramtres daudit pour les objets du systme de fichiers. Il peut tre utilis pour dfinir des listes de contrle daccs sur des fichiers et des dossiers. Stratgies de scurit IP : ce paramtre permet de spcifier des filtres IPSec, les actions associes ces filtres et des rgles de filtrage pour lensemble du trafic TCP/IP rencontr par lordinateur. Paramtres du Registre : ce paramtre permet de configurer des paramtres de Registre spcifiques sur tous les ordinateurs concerns par la stratgie et dempcher toute modification de ces paramtres. Il permet de spcifier les autorisations daccs et les paramtres daudit associs des cls du Registre. Groupes restreints : ce paramtre permet dempcher lajout dutilisateurs des groupes de scurit spcifis dans Windows 2000, Windows XP Professionnel,
j j
852
Windows Vista et Windows Server 2003. Il spcifie les comptes qui sont membres dun groupe et les groupes dont ce groupe est membre.
j
Options de scurit : ce paramtre permet dactiver ou de dsactiver un grand nombre de paramtres de scurit divers relatifs aux utilisateurs et aux ordinateurs, notamment la signature numrique des donnes, les noms des comptes dadministrateur et dinvit, les mthodes dauthentification pour le contrle daccs, le comportement de linstallation des pilotes et les invites douverture de session. Stratgies de restriction logicielle : les stratgies de restriction logicielle permettent de spcifier quel logiciel peut ou ne peut pas sexcuter sur un ordinateur client. Elles utilisent des rgles de hachage, de chemin daccs, de zone et de certificat. Services systme : ce paramtre dfinit le mode de dmarrage par dfaut et la configuration de scurit des services, y compris les autorisations daccs. Scurit des services Noubliez pas que tout service, toute application reprsente un point dattaque potentiel. Par consquent, dsactivez ou supprimez de votre environnement les services et les fichiers excutables inutiles.
Attribution des droits utilisateur : ce paramtre indique les oprations systme que les utilisateurs et les groupes sont autoriss effectuer.
Conguration recommande des options de scurit pour les postes de travail

Le nud Options de scurit du composant Stratgie de groupe comprend un grand nombre de paramtres de scurit que vous pouvez configurer pour les ordinateurs clients Windows 2000, Windows XP et Windows Vista. On le rappelle, Windows Server 2003 est antrieur Windows Vista, donc les paramtres applicables par stratgie de groupe sur Windows Vista ne se retrouvent pas tous quand vous crez une stratgie de groupe partir de Windows Server 2003. Prfrez alors crer votre stratgie de groupe directement partir dun ordinateur Windows Vista. Ces paramtres se trouvent lemplacement suivant : Configuration ordinateur \Paramtres Windows\Paramtres de Scurit\Stratgies locales\Options de scurit. Pour renforcer la scurit de votre environnement dordinateurs de bureau, vous pouvez utiliser les options de scurit recommandes
Scurit rseau : Niveau dauthentication LAN Manager

Ce paramtre dtermine le protocole dauthentification par stimulation/rponse utiliser pour les ouvertures de session rseau. Cest un choix qui affecte le niveau du 853
Chapitre 26
protocole dauthentification utilis par les ordinateurs clients ainsi que le niveau ngoci de scurit de la session. Plusieurs options sont disponibles pour ce paramtre. Nous vous recommandons de dfinir le plus fort niveau dauthentification possible pour votre infrastructure. Dans un environnement dordinateurs de type entreprise, il est conseill de slectionner Envoyer uniquement les rponses NTLMv2. Voici les options disponibles
j
Envoyer les rponses LM et NTLM : les clients utilisent lauthentification LM et NTLM, mais jamais la scurit NTLMv2 de niveau session. Les contrleurs de domaines acceptent lauthentification LM, NTLM et NTLMv2. Envoyer LM et NTLM : utiliser la scurit de session NTLM version 2 si ngocie : les clients utilisent lauthentification LM et NTLM, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLM : les clients utilisent lauthentification NTLM uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 \ refuser LM : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 \ refuser LM et NTLM : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge.
Scurit rseau : Ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modication de mot de passe
Lorsque vous dfinissez ou modifiez le mot de passe dun compte dutilisateur pour imposer un mot de passe de moins de 15 caractres, Windows gnre un hachage LAN Manager (LM) et le hachage Windows NT (NTLM) de ce mot de passe. Ces hachages sont stocks dans la base de donnes du Gestionnaire de comptes de scurit (SAM) ou dans Active Directory.
j j
Les protocoles dauthentification NTLM, NTLMv2 et Kerberos utilisent tous le hachage NTLM. Le protocole dauthentification LM utilise le hachage LM. Le hachage LM est relativement faible par rapport au hachage NTLM ; il est donc plus susceptible de succomber un forage rapide et brutal. Cest pourquoi vous avez la possibilit dempcher Windows de stocker les hachages LM des mots de passe. Pour empcher les ordinateurs clients de gnrer un hachage LM, affectez ce paramtre la valeur Activ.
854
Les hachages LM existants sont supprims lorsque les utilisateurs modifient leurs mots de passe.
Options de signature SMB pour les ordinateurs clients

Le protocole dauthentification SMB de Windows 2000 Server, Windows 2000 Professionnel et Windows XP Professionnel prend en charge lauthentification mutuelle qui permet de mettre fin une attaque de lintercepteur et lauthentification des messages qui empche les attaques par messages actifs. La signature SMB assure cette authentification en plaant dans chaque bloc SMB une signature numrique qui est ensuite vrifie la fois par le client et par le serveur.
j
Pour utiliser la signature SMB, vous devez lactiver ou la rendre obligatoire sur le client et le serveur SMB. Si la signature SMB est active sur un serveur, les clients qui sont aussi activs pour la signature SMB utilisent le protocole de signature des paquets pendant toutes les sessions qui suivent. Si la signature SMB est obligatoire sur un serveur, un client ne peut tablir une session que sil est au moins activ pour la signature SMB. Lorsque cette stratgie est active, elle exige du client SMB de signer les paquets. Lorsque cette stratgie est dsactive, le client SMB nest pas oblig de signer les paquets. Voici les options de signature SMB pour les ordinateurs Windows 2000 et plus rcents, ainsi que leur configuration recommande dans un environnement de scurit de type client dentreprise : Client rseau Microsoft : Communications signes numriquement (toujours) prend la valeur Dsactiv et Client rseau Microsoft : Communications signes numriquement (lorsque le serveur laccepte) prend la valeur Activ.
Appliquer les modles de scurit et les modles dadministration

Pour appliquer des modles de scurit et des modles dadministration des ordinateurs clients, procdez de la faon suivante : 1. Ouvrez le composant Gestion des stratgies de groupe, puis ouvrez lobjet de stratgie de groupe associ lunit dorganisation laquelle vous souhaitez appliquer le modle de scurit ou dadministration. 2. Pour importer un modle de scurit, accdez Configuration ordinateur\Paramtres Windows, cliquez avec le bouton droit de la souris sur le nud Paramtres de scurit et slectionnez Importer une stratgie. Naviguez jusqu lemplacement du modle de scurit appropri et slectionnez le modle importer. 3. Pour importer un modle dadministration, slectionnez le nud Configuration ordinateur\ Modles dadministration ou Configuration Utilisateurs\Modles dadministration, cliquez avec le bouton droit de la souris sur Modles 855
Chapitre 26
dadministration, cliquez sur Ajout/Suppression de modles, recherchez lemplacement du modle dadministration importer, puis slectionnez le modle de votre choix.
Figure 26.20 : Ajout/Suppression de modles
4. Configurez des paramtres de scurit et dadministration supplmentaires en fonction des besoins de votre organisation, puis fermez lditeur dobjets de stratgie de groupe.
Les mthodes conseilles pour scuriser les postes de travail laide dune stratgie de groupe
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez une stratgie de groupe pour appliquer des modles de scurit et dadministration aux ordinateurs clients du rseau de votre entreprise :
j
Utilisez comme ligne de base, dans la mesure du possible, les modles pour client dentreprise fournis par les guides de scurit Windows Vista Security Guide et Windows XP Security Guide et modifiez-les en fonction des besoins de votre organisation. Lorsque vous rflchissez sur les paramtres de scurit de votre entreprise, vous devez absolument tablir un compromis entre la scurit et la productivit des utilisateurs. Votre objectif consiste protger les utilisateurs contre les programmes malveillants et les virus tout en leur permettant de profiter de tous les avantages de linformatique. Vous devez faire en sorte que les efforts des utilisateurs ne soient jamais dcourags par des paramtres de scurit trop restrictifs. Tout est affaire de compromis, en scurit informatique bien plus quailleurs, et cest bien ce qui en fait une activit difficile. Implmentez des stratgies de compte et daudit strictes au niveau des domaines. Utilisez le modle de niveau domaine pour clients dentreprise comme ligne de base, en le modifiant si ncessaire.
856
En rsum
Testez soigneusement les modles avant leur dploiement. Testez systmatiquement et rigoureusement les paramtres des modles de scurit et dadministration avant de les appliquer un grand nombre dutilisateurs et dordinateurs dans votre organisation. Certains paramtres qui vous semblent appropris peuvent nanmoins donner de mauvais rsultats dans votre environnement. Utilisez des modles dadministration supplmentaires. Consultez le site web Microsoft et contactez vos autres fournisseurs de logiciels pour obtenir des modles dadministration supplmentaires. Microsoft fournit des modles dadministration pour beaucoup de ses produits, y compris Office et Internet Explorer.
26.5. En rsum
Certes, la scurit des postes de travail de lentreprise tient la bonne configuration des outils de scurit tels lantivirus, le pare-feu, lantispyware, etc., mais pas seulement. La scurit des postes de travail tient pour beaucoup des paramtres qui sont pousss par les mcanismes de linfrastructure (les stratgies de groupe dans Active Directory). Tout est li. Tout doit tre bien harmonieux. Si vous scurisez linfrastructure sans vous soucier de lantivirus local alors vous tes vulnrable et inversement. Dans le cadre dune dmarche de scurisation normalise base sur le principe de la roue de Deming : Plan, Do, Check, Act (que lon pourrait traduire en franais pas "planifier, produire, contrler, amliorer") les stratgies de groupe sont essentielles car elles permettent dappliquer les paramtres de scurit de faon centralise, de les pousser en masse sur tous les utilisateurs et ordinateurs, de les contrler, de les modifier et de les forcer si ncessaire.
857
Partie
D
Annexes
Partie
D
Chapitre 27 Chapitre 28 Chapitre 29
Annexes
Annexe I - Liste alphabtique des commandes . . . . . 861 Annexe II - Les services et les ports rseau sous Windows Server 2003 . . . . . . . . . . . . . . . . . . 927 Annexe III - Glossaire . . . . . . . . . . . . . . 967
Chapitre 27
Annexe I - Liste alphabtique des commandes

27.1 27.2 27.3 27.4 27.5 27.6 27.7 27.8 27.9 27.10 27.11 27.12 27.13 27.14 A B C D E F G L M N P R S T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863 . 866 . 867 . 877 . 885 . 886 . 890 . 893 . 895 . 896 . 906 . 913 . 916 . 922
administration en lignes de commandes constitue un bon exemple des amliorations qui font la puissance dadministration de Windows Server 2003.
Mme si ce mode dadministration reste beaucoup moins intuitif et assist que le mode graphique, ladministration depuis la ligne de commandes a t largement tendue sous Windows Server 2003. Des dizaines de nouvelles commandes et de nouveaux scripts ont t ajouts pour ladministration dActive Directory, des imprimantes, Internet Information Server, les journaux dvnements ou des stratgies de groupes. Toutes ces nouvelles commandes et scripts font quaujourdhui, 98 % de Windows Server 2003 peut sadministrer par script ou ligne de commandes. Et bien que nous tenions vous prsenter au travers de cette annexe un certain nombre de commandes, cette liste nest en rien exhaustive. Ce chapitre a pour objectif de prsenter un ensemble de commandes qui nont pas t illustres au long de cet ouvrage.
27. Annexe I Liste alphabtique des commandes
27.1. A ADPREP
(Nouvelle commande sous Windows Server 2003).
Syntaxe :
/forestPrep /domainPrep
adprep <cmd> [option] <cmd> La mise jour des informations au niveau de la fort doit tre excute sur le contrleur de rle de schma. La mise jour des informations au niveau du domaine doit tre excute sur le contrleur de rle dinfrastructure. Doit tre excute lorsque /forestPrep est termin. [option] adprep ne copie aucun fichier de la source sur lordinateur local. adprep supprimera lavertissement demandant Windows 2000 Service Pack 2 lors de lopration /forestprep.
/noFileCopy /noSPWarning
Cet outil en ligne de commandes se trouve dans le dossier \I386 sur le CD-Rom de Windows Server 2003. adprep dpend de plusieurs fichiers se trouvant dans cd dossier ; vous ne pouvez donc pas le retirer du CD-Rom et lexcuter de faon indpendante.
863
Chapitre 27
j j
Consultez les journaux de adprep de \System32\Debug\Adprep\Logs chaque fois que vous excutez cette commande. La rplication des modifications du schma au sein dun site ne prend que 15 minutes, mais si votre entreprise possde plusieurs sites, cela peut se rvler plus long. Il peut tre prfrable dattendre environ une journe aprs chaque utilisation dadprep, afin dtre certain que les effets ont correctement rpliqu. Si vous essayez dexcuter adprep /domainprep sans attendre suffisamment longtemps aprs lexcution de adprep /forestprep, un message davertissement indique que le processus de rplication nest pas termin. Si vous essayez de mettre niveau vers Windows Server 2003 un contrleur de domaine Windows 2000 aprs avoir excut adprep /domainprep dans le domaine, un message davertissement similaire est affich. Lorsque vos forts et domaines ont t prpars par lexcution de adprep, les contrleurs de domaine restants peuvent continuer fonctionner sous Windows 2000, jusqu ce que vous dcidiez de les mettre niveau. Envisagez dinstaller les Service Pack 3 sur vos contrleurs de domaines Windows 2000 avant dutiliser adprep. Si des contrleurs de domaine Windows 2000 fonctionnent avec le Service Pack 3, il est plus facile de les administrer distance depuis Windows XP Professionnel ou depuis des machines Windows Server 2003 utilisant le jeu des outils dadministration Windows Server 2003.
AT
La commande AT planifie lexcution des commandes et programmes sur lordinateur une date et une heure spcifies. Le service Planification doit fonctionner pour utiliser la commande AT.
Syntaxe :
AT [\\ordinateur] [ [id] [/DELETE] | /DELETE [/YES]] AT [\\ordinateur] heure [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] "commande" Spcifie un ordinateur distant. Les commandes sont planifies sur lordinateur local si ce paramtre est omis. Identificateur (nombre) affect une commande planifie. Supprime une commande planifie. Si id est omis, toutes les commandes sur lordinateur sont supprimes. Utilise pour supprimer toutes les tches sans demande de confirmation. Heure de lexcution de la commande.
\\ordinateur id /DELETE /YES heure
864
/INTERACTIVE
Permet au travail dinteragir avec le bureau de lutilisateur qui est connect au moment o le travail est effectu.
/EVERY:date[,...]Excute la commande tous les jours spcifis de la semaine ou du mois. Si la date est omise, le jour en cours du mois est utilis par dfaut. /NEXT:date[,...] Excute la commande lors de la prochaine occurrence du jour (par exemple, jeudi prochain). Si la date est omise, le jour en cours du mois est utilis par dfaut. "commande"
j
Commande Windows NT ou programme de commandes excuter.
Les tches planifies avec at sont affiches dans le dossier tches planifies, mais si vous modifiez ensuite les paramtres de la tche en utilisant tches planifies, vous ne pouvez plus y accder depuis la ligne de commandes at. Vous devez tre membre du groupe local Administrateurs pour utiliser cette commande. Le service Planificateur de tches doit tre en cours dexcution pour utiliser cette commande. Si ncessaire, employez la console Services pour le dmarrer. (Par dfaut, ce service est configur de manire se lancer automatiquement au dmarrage du systme.) Les tches planifies sont stockes dans le Registre et ne sont pas perdues si vous redmarrez le service Planificateur de tches. Le rpertoire courant pour lexcution dune tche planifie est %Systemroot%. Les tches planifies sexcutent comme des processus en arrire-plan et aucune sortie nest affiche sur lcran. Vous pouvez rediriger la sortie cran vers un fichier en utilisant le symbole de redirection (>). Si vous modifiez lheure systme dun ordinateur aprs avoir planifi lexcution dune tche sur celui-ci, noubliez pas de synchroniser le planificateur de commandes avec la nouvelle heure lanant at sans options. Si une tche planifie utilise une lettre de lecteur afin de se connecter un partage rseau, noubliez pas de planifier une seconde tche afin de dconnecter le lecteur lorsque vous ne lutilisez plus. Sinon, la lettre de lecteur ne sera pas disponible depuis lInvite de commandes.
j j
j j j
ATTRIB
Affiche ou modifie des attributs de fichier.
865
Chapitre 27
Syntaxe :
+ R A S 27. Annexe I Liste alphabtique des commandes H [Lecteur:] [Chemin] [NomFichier] /S /D
j j
ATTRIB [+R | R] [+A | A ] [+S | S] [+H | H] [[lect:] [chemin] fichier] [/S [/D]] Dfinit un attribut. Efface un attribut. Attribut de fichier en lecture seule. Attribut de fichier archive. Attribut de fichier systme. Attribut de fichier cach.
Spcifie le ou les fichiers que ATTRIB doit traiter. Traite les fichiers dans le dossier courant et dans tous les sous-dossiers. Traite aussi les dossiers.
Si les attributs System ou Cached sont dfinis sur un fichier, ils doivent tre supprims avant de pouvoir modifier tout autre attribut de ce fichier.
Attrib est galement disponible depuis la console de rcupration.
27.2. B BOOTCFG
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes peut tre utilis pour configurer, interroger, modifier ou supprimer les paramtres de lentre de dmarrage dans le fichier boot.ini.
Syntaxe :
/Copy
BOOTCFG /paramtre [arguments] Effectue une copie dune entre de dmarrage existante pour la section [operating systems] laquelle vous pouvez ajouter des options du systme dexploitation. Supprime une entre de dmarrage existante dans la section [operating systems] section du fichier BOOT.INI. Vous devez spcifier lentre supprimer.
/Delete
866
/Query /Raw /Timeout /Default /EMS /Debug /Addsw /Rmsw /Dbg1394 /?

j j
Affiche les paramtres actuels dentre de dmarrage. Autorise lutilisateur spcifier des options de commutateur pour une entre de dmarrage spcifie. Permet de modifier la valeur du dlai dattente. Permet de modifier le systme dexploitation par dfaut. Permet lutilisateur de paramtrer loption /redirect pour la prise en charge headless dune entre de dmarrage. Autorise lutilisateur spcifier le port et le taux en bauds du dbogage distance dune entre de dmarrage spcifie. Autorise lutilisateur ajouter des commutateurs prdfinis pour une entre de dmarrage spcifie. Autorise lutilisateur supprimer des commutateurs prdfinis pour une entre de dmarrage spcifie. Autorise lutilisateur configurer le dbogage du port 1394 pour une entre de dmarrage spcifie. Affiche cet cran daide. 27. Annexe I Liste alphabtique des commandes
Bootcgf est galement disponible dans la console de rcupration.
Vous pouvez aussi configurer certaines options du menu Dmarrer (systme dexploitation par dfaut, dlai de slection) depuis linterface graphique ou en modifiant Boot.ini.
Pour cela : 1. Dans le Panneau de configuration, choisissez Systme/Avanc/Dmarrage et rcupration. 2. Slectionnez Paramtres et choisissez le systme dexploitation par dfaut. Modifiez le dlai de slection. 3. Cliquez sur Modifier pour diter Boot.ini.
27.3. C CACLS
Affiche ou modifie les listes de contrle daccs (ACL) des fichiers.
867
Chapitre 27
Syntaxe :
CACLS nom_fichier [/T] [/M] [/S[:SDDL]] [/E] [/C] [/G util:perm] [/R util [...]] [/P util:perm [...]] [/D util [...]] Affiche les listes ACL. Modifie les listes ACL des fichiers spcifis dans le rpertoire en cours et tous les sous-rpertoires. Modifie les listes ACL des volumes monts sur un rpertoire. Affiche la chane SDDL de la liste DACL. Remplace les listes ACL par celles spcifies dans SDDL (non valide avec /E, /G, /R, /P ou /D). Modifie la liste ACL au lieu de la remplacer. Continue en ignorant les erreurs daccs refus. Accorde lutilisateur les droits daccs. Perm peut tre : - R Lecture - W criture - C Modification (en criture) - F Contrle total. Retire les droits daccs de lutilisateur (avec /E). Remplace les droits de lutilisateur. Perm peut tre : - N Aucun - R Lecture - W criture C Modification (en criture) - F Contrle total. Refuse laccs lutilisateur spcifi. Des caractres gnriques peuvent tre utiliss pour prciser plusieurs fichiers dans une commande. Vous pouvez spcifier plus dun utilisateur dans une commande. Abrviations : Hritage de conteneur (Container Inherit). Les rpertoires hritent de lentre de contrle daccs. Hritage dobjet (Object Inherit). Les fichiers hritent de lentre de contrle daccs. Hritage uniquement (Inherit Only). Lentre de contrle daccs ne sapplique pas au fichier ou rpertoire en cours.
nom_fichier /T /M 27. Annexe I Liste alphabtique des commandes /S /S:SDDL /E /C /G util:perm
/R util /P util:perm /D util
CI OI IO
cacls ne peut tre utilise pour crer des autorisations spciales, uniquement des autorisations standards. De ce point de vue, elle est moins fine que linterface graphique.
Vous pouvez spcifier plusieurs fichiers ou utilisateurs dans une commande.
868
j j
cacls ne peut tre utilise pour dfinir des autorisations sur la racine dun volume NTFS mont sur un dossier dun volume NTFS diffrent.
Pour employer cacls dans un fichier de commande, vous devez fournir un moyen de rpondre automatiquement aux invites quelle peut gnrer. Puisque cacls na pas doption /y, utilisez la commande Echo afin denvoyer y comme rponse au message "tes-vous sr ?" que calcs pourrait gnrer : Echo y | cacls NomFichier /g NomUtilisateur:autorisation.
cacls est utile pour ajouter automatiquement le groupe Administrateurs aux ACL des rpertoires daccueil des utilisateurs. Consultez larticle Q180464 de la Base de connaissance sur Microsoft TechNet pour voir plusieurs scripts ralisant cette action.
CHKDSK
Vrifie un disque et affiche un rapport dtat.
Syntaxe :
volume nom_de _fichier /F /V
CHKDSK [volume[[chemin]nom_de_fichier]] [/F] [/V] [/R] [/B] [/L[:taille]] Spcifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. FAT/FAT32 seulement : Spcifie les fichiers dont la fragmentation est vrifier. Corrige les erreurs sur le disque. FAT/FAT32 : affiche les chemins daccs et nom complets de tous les fichiers du disque. Sur NTFS : affiche galement les ventuels messages de nettoyage. Localise les secteurs dfectueux et rcupre les informations lisibles (implique /F). NTFS seulement : change la taille du fichier journal en la valeur spcifie en kilo-octets. Si aucune taille nest donne, affiche la taille actuelle. Force le dmontage pralable du volume si ncessaire. Les handles ouverts vers le volume ne seront plus valides (implique /F). NTFS seulement : Vrifie sommairement les entres dindex.
/R /L:taille
/X /I
869
Chapitre 27
/C
NTFS seulement : Ignore la vrification des cycles lintrieur de larborescence de dossiers. Les options /I ou /C rduisent le temps dexcution de CHKDSK en ignorant certaines vrifications sur le volume. Vous devez tre membre du groupe Administrateur pour utiliser la commande
chkdsk.
j j j
Lexcution de chkdsk peut prendre plusieurs heures ou jours sur de trs gros volumes. Pour acclrer chkdsk, utilisez les options /i et /c qui neffectuent pas certaines vrifications sur le volume. Si vous choisissez de corriger avec CHKDSK /f, il existe une possibilit de perte de donnes (en particulier FAT). Cest pourquoi il vous est demand de confirmer si chkdsk doit effectuer ou non les modifications ncessaires la table dallocation des fichiers. Effectuez galement toujours une sauvegarde complte des volumes contenant des donnes importantes avant dexcuter chkdsk /f sur eux. Le fichier %systemRoot%\System32\ autochk.exe est requis par chkdsk pour son excution. Autochk crit un message dans le journal de lapplication pour chaque lecteur vrifi. Vous pouvez galement visiter les erreurs prsentes sur un disque depuis linterface graphique en utilisant le bouton Vrifier maintenant sous longlet Outils de la feuille de proprit dun disque.
chkdsk ne peut corriger les erreurs dans la table de fichiers matres (MFT, Master File Table) dun volume NTFS. Si vous avez un fichier ou un rpertoire que vous ne pouvez ouvrir, renommer, copier ou supprimer sur un volume NTFS, sauvegardez le volume sur une bande en omettant le fichier problme puis restaurez le volume.
j j j
CHKNTFS
Affiche ou modifie la vrification du disque au dmarrage.
Syntaxe :
CHKNTFS volume [...] CHKNTFS /D CHKNTFS /T[:dure] CHKNTFS /X volume [...] CHKNTFS /C volume [...]
volume
Spcifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume.
870
/D
Restaure le comportement par dfaut de lordinateur ; tous les lecteurs sont vrifis au dmarrage et CHKDSK est excut pour ceux dont lintgrit est incertaine. Indique la dure du compte rebours du dmarrage dAUTOCHK avec le temps spcifi en secondes. Si la dure nest pas spcifie, affiche le paramtre en cours. Exclut un lecteur de la vrification par dfaut au dmarrage. Les lecteurs exclus ne sont pas accumuls entre les appels de commande. Vrifie le lecteur spcifi au dmarrage ; CHKDSK sexcutera si lintgrit du lecteur est incertaine. Vous devez tre membre du groupe Administrateur pour utiliser la commande
chkntfs. chkntfs vrifie tous les volumes au dmarrage.
/T:dure
/X /C
j j j
Ne fixez pas la dure du compte rebours zro car la vrification du systme de fichiers peut tre trs longue et lutilisateur ne sera pas en mesure dannuler cette opration. (chkntsf ne peut tre stopp lorsque son excution est lance.)
CIPHER
Affiche ou modifie le cryptage de rpertoires (fichiers) sur partitions NTFS.
Syntaxe :
CIPHER [/E | /D] [/S:rpert] [/A] [/I] [/F] [/Q] [/H] [chemin [...]] CIPHER /K CIPHER /R:nom_fich CIPHER /U [/N] CIPHER /W:rpert CIPHER /X[:fich_EFS] [nom_fich]
/A
Traite les fichiers et les rpertoires. Un fichier crypt peut tre dcrypt sil est modifi et que le rpertoire parent nest pas crypt. Il est recommand de crypter le fichier et le rpertoire parent. Dcrypte les rpertoires spcifis. Les rpertoires sont marqus afin que les fichiers ajouts ultrieurement ne soient pas crypts.
/D
871
Chapitre 27
/E /F
Crypte les rpertoires spcifis. Les rpertoires sont marqus afin que les fichiers ajouts ultrieurement soient crypts. Force lopration de cryptage sur tous les objets spcifis, y compris ceux qui sont dj crypts. Les objets dj crypts sont ignors par dfaut. Affiche les fichiers avec lattribut cach ou systme. Ces fichiers sont exclus par dfaut. Poursuit lopration spcifie mme en cas derreur. Par dfaut, CIPHER sarrte lorsquune erreur se produit. Cre une nouvelle cl de cryptage de fichier pour lutilisateur excutant CIPHER. Si cette option est choisie, les autres options sont ignores. Cette option ne fonctionne quavec /U. Elle empche les cls dtre mises jour. Elle permet de trouver tous les fichiers crypts sur les lecteurs locaux. Signale uniquement les informations les plus importantes. Gnre une cl et un certificat dagent de rcupration EFS, et les enregistre dans un fichier .PFX (contenant la cl prive et le certificat) et dans un fichier .CER (ne contenant que le certificat). Un administrateur peut ajouter le contenu du fichier .CER la stratgie de rcupration EFS afin de crer un agent de rcupration pour les utilisateurs, et importer le fichier .PFX pour rcuprer des fichiers spcifiques. Effectue lopration spcifie sur le rpertoire donn et tous ses sous-rpertoires. Tente datteindre tous les fichiers crypts sur les lecteurs locaux. Cette option permet de mettre jour la cl de cryptage de fichier de lutilisateur ou la cl de lagent de rcupration avec les cls en cours si elles ont t modifies. Cette option ne fonctionne pas avec les autres options lexception de /N. Supprime les donnes de lespace disque inutilis sur tout le volume. Si cette option est slectionne, les autres options sont ignores. Le rpertoire spcifi peut se trouver nimporte o dans un volume local. Sil sagit dun ou de plusieurs points de montage vers un rpertoire sur un autre volume, les donnes sur ce volume seront supprimes.
/H /I 27. Annexe I Liste alphabtique des commandes /K
/N
/Q /R
/S /U
/W
872
/X
Sauvegarde le certificat et les cls EFS dans nom_fichier. Si fichier_EFS est fourni, les certificats utilisateur actuels employs pour crypter le fichier seront sauvegards. Sinon, le certificat et les cls EFS actuels de lutilisateur seront sauvegards. Le chemin daccs dun rpertoire. Un nom de fichier sans son extension. Spcifie un motif, un fichier ou un rpertoire. Le chemin daccs dun fichier crypt. 27. Annexe I Liste alphabtique des commandes
rpert nom_fich chemin fich_EFS

j j
Les caractres gnriques sont utilisables avec les fichiers, mais pas avec les rpertoires. Vous ne pouvez pas chiffrer les fichiers systme ou compresss.
CLIP
(Nouvelle commande sous Windows Server 2003). Redirige la sortie des outils de ligne de commandes vers le Presse-papiers. Ce texte peut ensuite tre coll dans dautres programmes. Exemples : DIR | CLIP CLIP < README .TXT Copie le contenu du rpertoire en cours dans le Presse-papiers Windows. Copie le contenu du fichier readme.txt dans le Presse-papiers Windows.
CMD
Dmarre une nouvelle instance de linterprteur de commandes de Windows.
Syntaxe :
/C
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF] [[/S] [/C | /K] chane] Excute la commande donne par la chane de caractres puis se termine.
873
Chapitre 27
/K /S /Q /D /A 27. Annexe I Liste alphabtique des commandes /U /T:fg /E:ON /E:OFF /F:ON /F:OFF /V:ON
Excute la commande donne par la chane de caractres puis reste actif. Modifie le traitement de la chane aprs /C ou /K (voir ci-aprs). Excute (sans interactions) la commande donne puis reste actif. Dsactive lexcution dAutoRun partir du Registre (voir ci-aprs). Redirige la sortie de commandes internes vers un canal ou un fichier ANSI. Redirige la sortie de commandes internes vers un canal ou un fichier Unicode. Change la couleur du premier ou de larrire-plan (voir aussi COLOR /?). Active les extensions de commande (voir ci-aprs). Dsactive les extensions de commande (voir ci-aprs). Active les caractres de fin des noms de fichiers et de rpertoires (voir ci-aprs). Dsactive les caractres de fin des noms de fichiers et de rpertoires (voir ci-aprs). Active lexpansion retarde des variables denvironnement en utilisant ! comme dlimitation. Par exemple, /V:ON permet !var! de dvelopper la variable var lexcution. La syntaxe var dveloppe les variables lorsquelles sont entres, ce qui est diffrent lorsquil est utilis lintrieur dune boucle FOR. Dsactive lexpansion retarde des variables denvironnement.
/V:OFF
j j j
Utilisez les guillemets pour entourer les commandes contenant des espaces. Utilisez $$ pour sparer de multiples commandes entoures de guillemets au sein dune ligne de commandes.
/x est identique /e :on et /y est identique /e :off, pour des raisons de compatibilit avec linterprteur de commandes de Windows NT.
874
Linstallation de nouveaux composants du systme dexploitation ou de nouvelles applications peut crer des variables denvironnement supplmentaires ou modifier celles existantes, comme PATH.
CMDKEY
(Nouvelle commande sous Windows Server 2003). Cre, affiche et supprime les noms et mots de passe utilisateur enregistrs. 27. Annexe I Liste alphabtique des commandes
Syntaxe :
CMDKEY [{/add | /generic}:nom_cible {/smartcard | /user:nom_utilisateur {/pass{:mot_passe}}} | /delete{:nom_cible | /ras} | /list{:nom_cible}]
Quelques exemples
j
Pour rpertorier les informations didentification disponibles :

cmdkey /list cmdkey /list:nom_cible
Pour crer des informations didentification de domaine :

cmdkey /add:nom_cible /user:nom_utilisateur /pass:mot_passe cmdkey /add:nom_cible /user:nom_utilisateur /pass cmdkey /add:nom_cible /user:nom_utilisateur cmdkey /add:nom_cible /smartcard
j j
Pour crer des informations didentification gnriques, le commutateur /add peut tre remplac par /generic. Pour supprimer des informations didentification existantes :
cmdkey /delete:nom_cible
Pour supprimer les informations didentification RAS :

cmdkey /delete /ras
Vous pouvez galement grer les informations didentification enregistres depuis linterface graphique laide de lutilitaire Noms et Mots de passe utilisateurs enregistr du Panneau de configuration.
875
Chapitre 27
CSVDE
change dannuaires CSV. i f NomFichier s NomServeur 27. Annexe I Liste alphabtique des commandes v c NDsrc NDcib j Chemin t Port u d NDracine r Filtre p tendueRech l liste o liste g m n k Active limportation (lexportation est active par dfaut). Nom de fichier dentre ou de sortie. Serveur avec lequel effectuer la liaison (par dfaut, le contrleur de domaine du domaine de lordinateur). Affiche les commentaires. Remplace les occurrences de NDsrc par NDcib. Emplacement du fichier journal. Numro de port (par dfaut = 389). Utilise le format Unicode. Racine de la recherche LDAP (utilise le contexte de nommage par dfaut). Filtre de recherche LDAP (par dfaut, "(objectClass=*)"). tendue de recherche (Base/Un niveau/Sous-arborescence). Liste dattributs (spare par des virgules) rechercher lors dune recherche LDAP. Liste dattributs (spare par des virgules) omettre de lentre. Dsactive la recherche pagine. Active la logique SAM pour lexportation. Nexporte pas les valeurs binaires. Ignore les erreurs Non-respect de contrainte et Objet existant lors de limportation. Si aucune information didentification nest spcifie, csvde tablira la liaison en tant quutilisateur actuellement connect, en employant SSPI.
a NDUtilisateur [Mot_passe | *] Authentification simple.
876
b NomUtilisateur Domaine [Mot _passe | *] Mthode de liaison SSPI.

j
csvde est utilis pour crer de multiples comptes utilisateurs. Pour cela :
Le fichier csv que vous importez doit contenir une premire ligne, appele "ligne dattribut" qui spcifie le nom de chaque attribut dfini dans le fichier. Il doit contenir une ligne supplmentaire pour chaque compte dutilisateur que vous souhaitez crer. Les attributs de cette ligne correspondront ceux de la ligne dattributs (la premire ligne). Utilisez les guillemets pour inclure des valeurs prsentant des virgules. Il doit contenir le chemin du compte utilisateur dans Active Directory, le type dobjet et le nom douverture de session utilisateur (antrieur Windows 2000/ 2003) pour chaque utilisateur. Il doit contenir le nom dutilisateur principal (UPN) pour chaque utilisateur. Il doit spcifier si le compte est activ ou dsactiv (par dfaut activ). Il peut inclure toute information personnelle qui est un attribut dun compte dutilisateur, comme une adresse ou un numro de tlphone.
j
Les mots de passe ne sont pas inclus dans les fichiers de csvde car ce sont des fichiers texte (fichiers .csv) et ils ne sont donc pas scuriss. csvde cre de nouveaux comptes dutilisateurs et leur attribue un mot de passe vide. Cest pourquoi il est prfrable que ces comptes soient dsactivs leur cration car nimporte qui peut ouvrir une session en utilisant des comptes dont le mot de passe est vide.
csvde ne peut tre utilis que pour ajouter des objets Active Directory ; elle ne peut modifier ou supprimer des objets existants.
j j
Microsoft Excel est un bon outil pour la cration de fichiers csvde car il peut exporter ces derniers au format de donnes csv.
27.4. D DATE
Affiche ou modifie la date.
Syntaxe :
DATE [date]
Entrez DATE sans paramtres pour afficher la date systme et tre invit la modifier. Appuyez sur [] pour conserver la mme date.
877
Chapitre 27
Si les extensions de commandes sont actives, la commande DATE prend en charge le commutateur /T ; la commande nindique que la date, sans demander den entrer une nouvelle.
j
Les annes valides vont de 80 99 ou de 1980 2099.
DCGPOFIX
27. Annexe I Liste alphabtique des commandes Recre les objets de stratgie de groupe par dfaut dun domaine.
Syntaxe :
/target: {Domain | DC | BOTH}
DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]
Facultatif. Spcifie lobjet de stratgie de groupe restaurer : lobjet de stratgie de groupe de la stratgie de domaine par dfaut et/ou lobjet de stratgie de groupe de la stratgie par dfaut des contrleurs de domaine. Facultatif. Utilisez ce commutateur pour que cet outil ignore la version de schma Active Directory. Sinon, cet outil fonctionnera uniquement sur la mme version de schma que la version Windows dans laquelle il a t fourni.
/ignoreschema
j j
Lorsque vous excutez dcgpofix, vous perdez toutes les modifications effectues aux objets de stratgies de groupes. Loption /ignore schma permet dcgpofix de fonctionner avec des versions diffrentes dActive Directory, mais assurez-vous dutiliser la version de dcgpofix incluse avec votre version courante dActive Directory.
DEFRAG
(Nouvelle commande sous Windows Server2003) Dfragmente le volume.
Syntaxe :
volume a
defrag <volume> [a] [f] [v] [?] Lettre de lecteur ou d:\vol\mountpoint). Analyse uniquement. point de montage (d: ou
878
f v
j j
Force la dfragmentation mme si lespace libre est bas. Sortie dtaille. Il nest pas possible dexcuter en mme temps la commande defrag et lutilitaire Dfragmenteur de disques dans la Gestion de lordinateur. Un minimum de 15 % despace libre sur les volumes est requis pour les dfragmenter totalement. Si vous forcez la dfragmentation alors que lespace libre nest pas suffisant, la dfragmentation est souvent partielle. Pour arrter le processus de dfragmentation, appuyez sur [Ctrl]+[C]. 27. Annexe I Liste alphabtique des commandes
DFSCMD
DFSCMD configure une arborescence DFS.
Syntaxe :
/map \\nom_dfs \partage_dfs \chemin \ \srv\partage\ chemin [commentaire] [/restore]
DFSCMD [options]
Crer un volume DFS. Mapper un chemin daccs DFS un chemin daccs de serveur. Avec loption /restore, ne vrifie pas le serveur de destination.
/unmap \\nom_dfs \partage_dfs \chemin Supprimer un volume DFS. Supprimer tous ses rplicas. /add \\nom_dfs \partage_dfs \chemin \\serveur \partage\chemin [/restore] Ajouter un rplica un volume DFS. Avec /restore, ne vrifie pas le serveur de destination. /remove \\nom _dfs\partage _dfs\chemin \\ serveur\partage \chemin
Supprimer un rplica dun volume DFS.
879
Chapitre 27
/view \\nom_dfs \partage_dfs [/partial | /full | /batch || /batchrestore] Afficher tous les volumes du systme DFS. Sans arguments, affiche seulement les noms de volumes. Avec loption /partial, affiche galement les commentaires. Avec loption /full, affiche la liste des serveurs dun volume. Avec /batch, cre un fichier batch permettant de recrer le DFS. Avec /batchrestore, cre un fichier batch permettant de recrer le DFS laide de loption /restore. /move \\nom_dfs\ partage_dfs \chemin1 \\nom _dfs\partage _dfs\chemin2 [/force] Dplacer un dossier situ dans le DFS vers un autre chemin daccs logique. Si loption /force est utilise, les liens existants sont remplacs si ncessaire. Les chemins daccs et les commentaires contenant des espaces doivent tre placs entre guillemets.
j
La commande dfscmd peut grer des arborescences DFS existantes (de domaine ou autonomes) mais elle ne peut tre utilise pour en crer de nouvelles. Vous devez utiliser la console Systme de fichiers distribus pour crer une nouvelle arborescence dfs en dfinissant une nouvelle racine dfs. Les chemins qui contiennent des espaces doivent tre placs entre guillemets.
DISKPART
(Nouvelle commande sous Windows Server 2003). Permet de manipuler un espace disque.
Syntaxe :
/s <script> ADD ACTIVE
diskpart [/s <script>] [options] Utilise un script. Ajoute un miroir un volume simple. Indique la partition de base actuelle comme tant active.
880
ASSIGN AUTOMOUNT BREAK CLEAN CONVERT CREATE DELETE DETAIL ATTRIBUTES EXIT EXTEND GPT HELP IMPORT INACTIVE LIST ONLINE REM REMOVE REPAIR RESCAN RETAIN SELECT
j
Assigne une lettre de lecteur ou un point de montage au volume slectionn. Active et dsactive le montage automatique des volumes de base. Dtruit un jeu de miroir. Efface les informations de configuration ou toutes les informations du disque. Convertit diffrents formats de disque. Cre un volume ou une partition. Supprime un objet. Fournit des dtails concernant un objet. Manipule les attributs de volume. Quitte DiskPart. tend un volume. Assigne des attributs la partition GPT slectionne. Imprime une liste de commandes. Importe un groupe de disques. Marque la partition de base actuelle comme inactive. Imprime une liste des objets. Indique en ligne un disque actuellement indiqu hors ligne. Ne fait rien. Utilis pour commenter des scripts. Supprime une lettre de lecteur ou lassignation un point de montage. Rpare un volume RAID-5 avec un membre dfectueux. Analyse nouveau lordinateur la recherche de disques et de volumes. Place une partition nominale sous un volume simple. Dplace le focus vers un objet. 27. Annexe I Liste alphabtique des commandes 881
Lorsque des commandes diskpart sont excutes depuis un script, il est possible de rediriger la sortie vers un fichier texte afin de consulter ce dernier ultrieurement :
Chapitre 27
Diskpart /s script > fichier.txt

j
Si vous utilisez plusieurs scripts avec diskpart dans un fichier de commandes, ajoutez TimeOut /t 15 avant chaque commande diskpart /s script afin dtre certain que les premires tches sont termines avant que les suivantes ne commencent. Si une erreur se produit pendant lexcution dune commande diskpart, la tche sarrte et un code derreur est affich. Si vous ajoutez loption noerr la commande, celle-ci est traite comme si aucune erreur ne stait produite. En voici les codes : 0 : pas derreur, le script sest excut avec succs. 1 : exception fatale. 2 : paramtres incorrects pour la commande diskpart. 3 : impossible douvrir les scripts ou le fichier de sortie spcifis. 4 : un service a renvoy une erreur. 5 : syntaxe de la commande invalide.
DSGET
(Nouvelle commande sous Windows Server 2003). Les commandes de cet outil affichent les proprits slectionnes dun objet spcifique de lannuaire.
Syntaxe :
dsget computer dsget contact dsget subnet dsget group dsget ou dsget server dsget site dsget user dsget quota
dsget <option> Affiche les proprits des ordinateurs dans lannuaire. Affiche les proprits des contacts dans lannuaire. Affiche les proprits des sous-rseaux dans lannuaire. Affiche les proprits des groupes dans lannuaire. Affiche les proprits des units dorganisation dans lannuaire. Affiche les proprits des serveurs dans lannuaire. Affiche les proprits des sites dans lannuaire. Affiche les proprits des utilisateurs dans lannuaire. Affiche les proprits des quotas dans lannuaire.
882
dsget partition
Affiche les proprits des partitions dans lannuaire.
DSMOVE
(Nouvelle commande sous Windows Server 2003). Cette commande dplace ou renomme un objet au sein de lannuaire.
Syntaxe :
dsmove <DN_Objet> [newparent <DN_Parent>] [newname <Nouveau_Nom>] [{s <Serveur> | d <Domaine>}] [u <Nom_Utilisateur>] [p {<Mot_de_passe> | *}] [q] [{uc | uco | uci}] Requis/stdin. Nom unique (DN) de lobjet dplacer ou renommer. Si ce paramtre est omis, il est lu partir de lentre standard (stdin). DN de lemplacement du nouveau parent vers lequel lobjet doit tre dplac. Nouvelle valeur de nom unique relatif (RDN) sous laquelle lobjet doit tre renomm. s <Serveur> se connecte au contrleur de domaine (DC) sous le nom <Serveur>. d <Domaine> se connecte un contrleur de domaine dans le domaine <Domaine>. Par dfaut, un contrleur de domaine du domaine de connexion. Se connecte en tant que <Nom_Utilisateur>. Par dfaut : lutilisateur connect. Un nom dutilisateur peut tre : un nom dutilisateur, domaine\nom_utilisateur, ou un nom dutilisateur principal (UPN). Mot de passe de lutilisateur <Nom_Utilisateur>. Si * est utilis, un mot de passe est demand. Mode silencieux : supprime tout affichage sur la sortie standard.
<DN_Objet>
newparent <DN_Parent> newname <Nouveau_Nom> {s <Serveur> | d <Domaine>}
u <Nom _Utilisateur>
p <Mot_de _passe> q
883
Chapitre 27
{uc | uco | uci}
uc indique que lentre partir du pipe ou la sortie vers le pipe est au format Unicode. uco indique que la sortie vers le pipe ou le fichier est au format Unicode. uci indique que lentre partir du pipe ou du fichier est au format Unicode.
j j
Vous pouvez dplacer et renommer un objet en une seule tape en utilisant les options newparent et newname.
dsmove peut dplacer des objets uniquement au sein dun domaine. Pour dplacer des objets entre des domaines, employez lutilitaire MoveTreee qui se trouve sur le CD-Rom du produit.
DSQUERY
(Nouvelle commande sous Windows Server 200). Lensemble de commandes de cet outil vous permet deffectuer des requtes sur lannuaire selon des critres spcifis. Chacune des commandes dsquery suivantes permet de rechercher des objets dun type spcifique, lexception de la commande dsquery *, qui permet deffectuer des requtes pour nimporte quel type dobjet. dsquery computer recherche des ordinateurs dans lannuaire. dsquery contact dsquery subnet dsquery group dsquery ou dsquery site dsquery server dsquery user dsquery quota recherche des contacts dans lannuaire. recherche des sous-rseaux dans lannuaire. recherche des groupes dans lannuaire. recherche des units dorganisation dans lannuaire. recherche des sites dans lannuaire. recherche des contrleurs de domaine dans lannuaire. recherche des utilisateurs dans lannuaire. recherche les spcifications de quotas dans lannuaire.
dsquery partition recherche les partitions dans lannuaire. dsquery * recherche nimporte quel objet dans lannuaire laide dune requte LDAP gnrique.
884
27.5. E EVENTQUERY
(Nouvelle commande sous Windows Server 2003). Rpertorie les vnements et les proprits dvnements dans un ou plusieurs journaux 27. Annexe I Liste alphabtique des commandes
Syntaxe :
eventquery[.vbs] [/s Ordinateur [/u Domaine\Utilisateur [/p MotDePasse]]] [/fi NomFiltre] [/fo {TABLE | LIST | CSV}] [/r Plagevnement [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDfini ParUtilisateur] [NomJournalRpertoire] [*] ] Spcifie le nom ou ladresse IP dun ordinateur distant (nutilisez pas de barres obliques inverses). Il sagit par dfaut de lordinateur local. Excute le script avec les autorisations de compte de lutilisateur spcifi par Utilisateur ou Domaine \Utilisateur. Il sagit par dfaut des autorisations de lutilisateur actuellement connect sur lordinateur o est mise la commande. Spcifie le mot de passe du compte dutilisateur spcifi par le paramtre /u. Spcifie les types dvnements inclure ou exclure de la requte Spcifie le format utiliser pour la sortie. Les valeurs valides sont table, list et csv. Spcifie la plage dvnements rpertorier. Supprime les en-ttes de colonnes dans la sortie. Valide uniquement pour les formats table et csv. Spcifie laffichage des commentaires sur les vnements dans la sortie.
/s Ordinateur
/u Domaine\ Utilisateur
/p MotDePasse /fi NomFiltre /fo {TABLE | LIST | CSV} /r Plage vnement /nh /v
885
Chapitre 27
/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDfini ParUtilisateur] [NomJournal Rpertoire] [*] Spcifie le ou les journaux surveiller. Les valeurs valides sont Application, System, Security, "DNS server", un journal dfini par lutilisateur et un journal de rpertoire. "DNS server" peut tre utilis uniquement si le service DNS est excut sur lordinateur spcifi par le paramtre /s. Pour spcifier plusieurs journaux surveiller, utilisez nouveau le paramtre /l. Le caractre gnrique (*) peut tre utilis et est la valeur par dfaut.
j
Cette commande est un script .vbs et a besoin de CScript pour sexcuter. Voici comment faire de Cscript votre environnement de script par dfaut : cscript \\h: cscript \\.
27.6. F FINGER
Affiche des informations sur un ou plusieurs utilisateurs sur un ordinateur distant spcifi (gnralement un ordinateur sous Unix) qui excute le service Finger ou dmon. Lordinateur distant spcifie le format et la sortie de laffichage des informations de lutilisateur. Utilis sans paramtres, finger affiche des informations daide.
Syntaxe :
l Utilisateur
finger [l] [Utilisateur] [@Hte] Affiche les informations utilisateur sous forme de liste longue. Spcifie lutilisateur sur lequel vous voulez des informations. Si vous omettez le paramtre Utilisateur, finger affiche des informations sur tous les utilisateurs de lordinateur spcifi. Spcifie lordinateur distant excutant le service Finger dans lequel vous recherchez des informations utilisateur. Vous pouvez spcifier un nom ou une adresse IP dordinateur.
@Hte
886
La machine distante doit excuter le dmon ou le service Finger. Si ce nest pas le cas, vous recevez un message "Connexion refus" en rponse la commande finger. Windows Server 2003 ninclut pas de service Finger ; uniquement un client en ligne finger.
FORMAT
Formate un disque utilisable avec Windows. 27. Annexe I Liste alphabtique des commandes
Syntaxe :
FORMAT volume [/FS:sys_fich] [/V:nom_volume] [/Q] [/A:taille] [/C] [/X] FORMAT volume [/V:nom_volume] [/Q] [/F:taille] FORMAT volume [/V:nom_volume][/Q][/T:pistes /N:secteurs] FORMAT volume [/V:nom_volume][/Q] FORMAT volume [/Q]
volume /FS:sys_fich
Spcifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. Spcifie le type de systme de fichiers (FAT, FAT32 ou NTFS).
/V:nom_de_volume Spcifie le nom de volume. /Q /C /X /A:taille Effectue un formatage rapide. NTFS uniquement. Les fichiers crs sur le nouveau volume seront compresss par dfaut. Force le volume tre dmont dabord si ncessaire. Tous les descripteurs ouverts sur le volume ne seront plus valides. Remplace la taille dunit dallocation par dfaut. Les paramtres par dfaut sont trs fortement recommands dans le cas gnral. NTFS gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. FAT gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko (128 ko, 256 ko pour taille de secteur > 512 octets). FAT32 gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. (128 ko, 256 ko pour taille de secteur > 512 octets). Les systmes de fichiers FAT et FAT32 imposent les restrictions suivantes sur le nombre de clusters par volume : FAT : nombre de clusters <= 65 526 FAT32 : 65 526 < nombre de clusters < 4 177 918. Le formatage cessera immdiatement sil est jug que ces conditions ne peuvent pas tre remplies en utilisant la taille de
887
Chapitre 27
clusters spcifie. La compression NTFS nest pas prise en charge pour les tailles dunits dallocation suprieures 4096. /F:taille /T:pistes /N:secteurs Spcifie la taille de la disquette formater (1,44). Spcifie le nombre de pistes par face de disque. Spcifie le nombre de secteurs par piste.
Lorsque format est utilis avec la console de rcupration, seules les options /fs et /q sont disponibles. 27. Annexe I Liste alphabtique des commandes
FREEDISK
Cet outil vrifie si la quantit spcifie despace libre est disponible sur le lecteur spcifi. Renvoie 0 si lespace est disponible et 1 si lespace nest pas disponible. Lorsquune valeur nest pas spcifie, lespace libre disponible est affich. La valeur par dfaut est le lecteur ou le volume en cours.
Syntaxe :
/S systme /U [domaine\] utilisateur /P [mot_de _passe] /D lecteur/ volume
FREEDISK [/S systme [/U utilisateur [/P [mot_de_passe]]]] [/D lecteur/volume] [valeur] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter. Spcifie le mot de passe du contexte utilisateur donn. Il est demand sil est omis. Spcifie le lecteur ou le volume pour lequel la disponibilit despace libre doit tre connue. Cette option doit tre spcifie pour un systme distant. Spcifie la quantit despace libre en octets. Elle peut tre spcifie en kilo-octets, en mgaoctets, en gigaoctets, en traoctets, Po, Eo, Zo et Yo.
<valeur>
Lors de linstallation sans assistance, utilisez freedisk dans un fichier de commandes pour vrifier si lespace libre est suffisant pour la suite de linstallation.
888
FTP
Transfre des fichiers vers et depuis un ordinateur excutant un service de serveur FTP (File Transfer Protocol) tel que les services Internet (IIS). Ftp peut tre utilise de manire interactive ou en mode Batch, en traitant des fichiers texte ASCII.
Syntaxe :
v d i n g
ftp [v] [d] [i] [n] [g] [s:Nom_Fichier] [a] [w:Taille_Tampon] [A] [Hte] Supprime laffichage des rponses du serveur FTP. 27. Annexe I Liste alphabtique des commandes Active le dbogage, en affichant toutes les commandes transmises entre le client FTP et le serveur FTP. Dsactive les messages interactifs lors des transferts de fichiers multiples. Supprime la possibilit douvrir automatiquement une session une fois la connexion initiale tablie. Dsactive la globalisation des noms de fichiers. Glob permet lutilisation de lastrisque (*) et du point dinterrogation (?) comme caractres gnriques dans les noms de fichiers et les chemins daccs. Pour plus dinformations, consultez Rubriques connexes. Spcifie un fichier texte contenant des commandes FTP. Ces commandes sexcutent automatiquement aprs le dmarrage de FTP. Ce paramtre nadmet aucun espace. Utilisez ce paramtre au lieu du symbole de redirection (<). Spcifie que nimporte quelle interface locale peut tre utilise lors de la liaison de la connexion de donnes FTP.
s:Nom_Fichier
w:Taille_Tampon Spcifie la taille du tampon de transfert. La taille de tampon par dfaut est de 4096 octets. A Hte Ouvre une session sur le serveur FTP en tant que session anonyme. Spcifie le nom dordinateur, ladresse IP ou ladresse IPv6 du serveur FTP auquel vous souhaitez vous connecter. Sil est spcifi, le nom ou ladresse de lhte doit tre le dernier paramtre de la ligne.
La commande ftp est un client par opposition au service ou au dmon FTP qui rside sur le serveur.
889
Chapitre 27
Windows Server 2003 propose Service de publication FTP avec IIS (Internet Information Service). Par dfaut, le rpertoire daccueil ou racine de ce service correspond au rpertoire C:\Inetpub\ftproot sur le serveur. FTP est non scuris car il transmet les mots de passe en clair.
Pour utiliser FTP dans un fichier de commandes : 1. Effectuez une session FTP interactive et copiez-la dans lditeur de texte comme le Bloc-notes. 27. Annexe I Liste alphabtique des commandes 2. Enlevez les rponses ; pour ne laisser que la commande. 3. Utilisez loption S pour excuter le fichier de commandes avec FTP.
27.7. G GETMAC
Cet outil permet un administrateur dafficher ladresse MAC des cartes rseau dun ordinateur.
Syntaxe :
/S systme /U [domaine\] utilisateur
GETMAC [/S systme [/U nom_utilisateur [/P [mot_de_passe]]]] [/FO format] [/NH] [/V] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
GPRESULT
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes affiche le jeu de stratgies rsultantes (RSoP). Information pour ordinateurs et utilisateurs cibles.
Syntaxe :
/S systme
GPRESULT [/S systme [/U utilisateur [/P mot_de_passe]]]] [/SCOPE tendue] [/USER utilisateur_cible] [/V | /Z] Spcifie le systme distant auquel se connecter.
890
/U [domaine\] utilisateur
Spcifie le contexte utilisateur sous lequel cette commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. /SCOPE tendue Prcise si les paramtres de lordinateur doivent tre affichs. Valeurs autorises : USER, COMPUTER.
/USER [domaine\] utilisateur Spcifie le nom dutilisateur pour lequel les donnes RSOP sont affiches. /V Indique que les informations dtailles doivent tre affiches. Ces informations prsentent dautres paramtres dtaills qui ont t appliqus avec une priorit de 1. Spcifie que les informations extrmement dtailles doivent tre affiches. Ces informations prsentent dautres paramtres dtaills qui ont t appliqus avec une priorit de 1 et plus. Ceci vous permet de savoir si un paramtre a t appliqu en plusieurs endroits. Consultez laide en ligne des stratgies de groupe pour plus de dtails.
/Z
Si vous excutez GPRESULT sans paramtres, il renvoie les donnes RSoP de lutilisateur en session sur lordinateur excutant le programme.
GPUPDATE
(Nouvelle commande sous Windows Server 2003). Actualise les paramtres des stratgies de groupe.
Syntaxe :
/Target : {Ordinateur | Utilisateur}
GPUpdate [/Target:{Ordinateur | Utilisateur}] [/Force] [/Wait:<valeur>] [/Logoff] [/Boot] [/Sync]
Spcifie que les paramtres de stratgie utilisateur uniquement ou les paramtres de stratgie ordinateur uniquement sont actualiss. Par dfaut, les paramtres des stratgies utilisateur et ordinateur sont actualiss tous les deux.
891
Chapitre 27
/Force
Applique nouveau tous les paramtres de stratgie. Par dfaut, seuls les paramtres de stratgie ayant t modifis sont appliqus.
/Wait : {valeur} Dfinit le nombre de secondes dattente afin que le processus de stratgie soit termin. Par dfaut : 600 secondes. La valeur "0" signifie "Aucune attente". La valeur "1" signifie "Indtermin". Lorsque lune de ces limites de temps est dpasse, lInvite de commandes revient mais le traitement de la stratgie continue. /Logoff 27. Annexe I Liste alphabtique des commandes Provoque la fermeture de session suite lactualisation du paramtrage de la stratgie de groupe. Ceci est ncessaire pour les extensions ct client de la stratgie de groupe qui ne traitent pas la stratgie par un cycle dactualisation larrire-plan, mais au moment o lutilisateur ouvre une session. Les exemples incluent linstallation du logiciel cibl sur lutilisateur et la redirection de dossier. Cette option na pas deffet sil ny a pas dextensions appeles ncessitant une fermeture de session. Provoque un redmarrage aprs lactualisation des paramtres de la stratgie de groupe. Cela nest pas demand pour les extensions ct client de la stratgie de groupe qui traitent la stratgie dans un cycle dactualisation en arrire-plan mais pour celles qui traitent la stratgie au dmarrage de lordinateur. Les exemples contiennent linstallation du logiciel. Cette option na pas de consquence sil ny a pas dextension appele redmarrer. Provoque la synchronisation de lapplication suivante de la stratgie en arrire-plan. Les applications de stratgie larrire-plan surviennent au dmarrage de lordinateur et louverture de session de lutilisateur. Vous pouvez lindiquer pour lutilisateur, lordinateur ou les deux en employant le paramtre /Target. Les paramtres /Force et /Wait seront ignors si spcifi.
/Boot
/Sync
j j
Cette commande peut actualiser les paramtres de la stratgie de groupe sur des ordinateurs autonomes ou dans Active Directory. La commande gpudate remplace la commande secedit /refreshpolicy.
892
27.8. L LDIFDE
change de rpertoires LDIF.
Syntaxe :
i f NomFichier s NomServeur c NDsrc NDcib v j Chemin t Port u w timeout
ldifde [options] 27. Annexe I Liste alphabtique des commandes Active limportation (lexportation est active par dfaut). Nom de fichier dentre ou de sortie. Serveur avec lequel effectuer la liaison (par dfaut, le contrleur de domaine du domaine de lordinateur). Remplace les occurrences de NDsrc par NDcib. Affiche les commentaires. Emplacement du fichier journal. Numro de port (par dfaut = 389). Utilise le format Unicode. Termine lexcution si le serveur prend plus de temps que le nombre de secondes spcifies pour rpondre lopration (par dfaut = aucun dlai dexpiration spcifi). Active le cryptage de la couche SASL. Racine de la recherche LDAP (utilise le contexte dattribution de nom par dfaut). Filtre de recherche LDAP (par dfaut(objectClass=*)). tendue de recherche arborescence). (Base/Un niveau/Sous
h d NDracine r Filtre p tendue Rech l liste o liste g m
Liste dattributs (spare par virgules) rechercher lors dune recherche LDAP. Liste dattributs (spare par virgules) omettre de lentre. Dsactive la recherche pagine. Active la logique SAM pour lexportation.
893
Chapitre 27
n k y e q threads 27. Annexe I Liste alphabtique des commandes
Nexporte pas les valeurs binaires. Ignore les erreurs "Non-respect de contrainte" et "Objet existant" lors de limportation. Limportation utilisera lcriture diffre pour des performances accrues (activ par dfaut). Limportation nutilise pas lcriture diffre. Limportation utilise le nombre de threads spcifi (1 par dfaut). Si aucune information didentification nest spcifie, LDIFDS tablira la liaison en tant quutilisateur actuellement connect en employant SSPI.
a DN_utilisateur [Mot_de_passe | *] Authentification simple. b Nom_ utilisateur Domaine [Mot_de _passe | *] Mthode de liaison SSPI.
j j
Contrairement csvde, qui peut uniquement ajouter de nouveaux objets Active Directory, ldifde permet den ajouter, sans en supprimer, ou de les modifier. Si un attribut nest pas spcifi dans le fichier LDFIF, utilisez FILL SEP comme valeur pour lattribut.
LPQ
Affiche ltat dune file dattente lpd distante.
Syntaxe :
S Serveur P Imprimante I
j
lpq S Serveur P Imprimante [I] Nom ou adresse IP de lhte fournissant le service lpd. Nom de la file dattente dimpression. Commentaires.
Lpq peut galement interroger des serveurs non LPD (par exemple des serveurs dimpression Microsoft Windows). Cependant, elle ne vous permet pas denvoyer des travaux ces serveurs dimpression.
Voici comment interroger la file dattente dimpression TPC/IP de la machine locale : Lpq S localhost P NomImprimante.
894
LPR
Envoie un travail dimpression vers une imprimante du rseau.
Syntaxe :
S Serveur P Imprimante C Classe J Travail o Option
lpr S Serveur P Imprimante [C Classe] [J Travail] [o Option] [x] [d] nom du fichier Nom ou adresse IP de lhte fournissant le service lpd. Nom de la file dattente dimpression. 27. Annexe I Liste alphabtique des commandes Classification du travail pour utilisation sur la page de salve. Nom du travail imprimer sur la page de salve. Indique le type de fichier (suppose par dfaut que cest un fichier texte). Utilisez o l pour les fichiers binaires (par exemple Postscript). Compatibilit avec SunOS 4.1.x et versions antrieures. Envoyer dabord le fichier de donnes.
x d
27.9. M MOUNTVOL
Cre, supprime ou liste un point de montage du volume.
Syntaxe :
MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL MOUNTVOL
[lecteur:]chemin [lecteur:]chemin [lecteur:]chemin [lecteur:]chemin /R /N /E
daccs daccs daccs daccs
de Nom_volume /D /L /P
Chemin Nom_volume /D
Spcifie le rpertoire NTFS existant dans lequel le point de montage rsidera. Spcifie le nom du volume cible du point de montage. Supprime le point de montage du volume du rpertoire spcifi.
895
Chapitre 27
/L /P
Liste le nom de volume mont pour le rpertoire spcifi. Supprime le point de montage du volume du rpertoire spcifi, dmonte le volume et le rend non montable. Vous pouvez rendre montable le volume en crant un nouveau point de montage de volume. Supprime les paramtres du Registre pour les volumes non lists ci-aprs. Dsactive le montage automatique de nouveaux volumes. Active le montage automatique de nouveaux volumes. Vous pouvez galement crer des points de montage laide de la Gestion de disques. Les points de montages peuvent tre utiliss lorsque vous ne disposez plus daucune lettre de lecteur pour les volumes locaux et pour augmenter lespace sur un volume sans avoir le reformater ou remplacer le disque dur (ajoutez simplement un chemin de montage vers un autre volume). Vous pouvez galement utiliser un volume avec plusieurs chemins de montage afin dobtenir un accs tous vos volumes locaux par le biais dune seule lettre de lecteur. Ne supprimez pas un point de montage avec lExploreur Windows ou del /s car cela supprime le rpertoire cible et tous ces sous-rpertoires. la place, utilisez mountvol /d.
/R /N 27. Annexe I Liste alphabtique des commandes /E

j j
27.10. N NET
ACCOUNTS, COMPUTER, CONFIG, CONTINUE, FILE, GROUP, HELPMSG, LOCALGROUP, NAME, PAUSE, PRINT, SEND, SESSION, SHARE, START, STATISTICS, STOP, TIME, USE, USER, VIEW.
j
Pour voir la syntaxe dune commande net depuis la ligne de commandes, entrez net help suivi de loption qui dfinit la commande. Par exemple, pour connatre la syntaxe de net account, entrez net help account. Toutes les commandes net acceptent galement les options suivantes : /y rpond automatiquement par oui toutes les invites gnres par la commande (utile dans les fichiers de traitement par lots). /n rpond automatiquement par non toutes les invites.
896
NET CONFIG
Configure les services Serveur et Station de travail.
Syntaxe :
NET CONFIG [SERVER | WORKSTATION]
Pour configurer les services Serveur et Station de travail, consultez net config
serveur et netconfig workstation.
NET CONFIG SERVER

Cette commande permet de configurer le service Serveur.
Syntaxe :
j j
NET CONFIG SERVER [/AUTODISCONNECT:minutes] [/SRVCOMMENT:"texte"] [/HIDDEN:{YES | NO}]
Les modifications apportes par cette commande prennent effet immdiatement et sont permanentes. Il est prfrable de modifier les paramtres du service Serveur en modifiant directement le Registre au lieu dutiliser cette commande avec mimporte laquelle de ces trois options. Cette commande enregistre en effet de faon permanente les paramtres courants du service Serveur dans le Registre et dsactive lajustement automatique de ce service. Lajustement automatique est un mcanisme grce auquel Windows Server 2003 essaie de maintenir des performances optimales pour le service Serveur. Par exemple, si vous ajoutez de la mmoire votre serveur aprs avoir excut net config server /autosiconnect :5, Windows Server 2003 ne sera pas en mesure de se configurer automatiquement afin deffectuer la meilleure utilisation de la mmoire supplmentaire. Cependant, lutilisation de net config server sans autre paramtre na pas cet effet ngatif. Pour savoir comment annuler ce problme sil devait arriver, consultez larticle 128167 de la Base de connaissances. Pour configurer le service Station de travail, utilisez net config workstation.
NET CONFIG WORKSTATION

Cette commande permet de configurer le service Station de travail.
897
Chapitre 27
Syntaxe :
j j
net config workstation
Les modifications apportes prennent effet immdiatement et sont permanentes. Pour configurer le service Serveur, utilisez net config server.
NET GROUP
27. Annexe I Liste alphabtique des commandes Cette commande permet de configurer des groupes
Syntaxe :
NET GROUP nom de groupe [/COMMENT:"texte"] [/DOMAIN] NET GROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET GROUP nom de groupe nom dutilisateur [...] {/ADD | /DELETE} [/DOMAIN]
j j j
net group peut galement tre entr sous la forme net groups.
Utilisez des guillemets autour des noms de groupes comprenant des espaces : " Utilisateur du domaine ". Dans la sortie de net group, lastrisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
NET HELPMSG
Cette commande aide interprter un numro de message derreur Windows.
Syntaxe :
NET HELPMSG numro de message
NET LOCALGROUP
Cette commande permet de configurer des groupes locaux.
898
Syntaxe :
NET LOCALGROUP [nom de groupe [/COMMENT:"texte"]] [/DOMAIN] NET LOCALGROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET LOCALGROUP nom de groupe nom [...] {/ADD | /DELETE} [/DOMAIN]
j j j
net localgroup peut galement tre entr sous la forme net localgroups.
Utilisez des guillemets autour des noms de groupes comprenant des espaces : Utilisateur du domaine . Dans la sortie de net localgroup, lastrisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
C:\>net localgroup Alias de \\SNCECPDC01 *Accs compatible pr-Windows 2000 *Administrateurs *Administrateurs DHCP *Duplicateurs *diteurs de certificats *Groupe daccs dautorisation Windows *HelpServicesGroup *Invits *Oprateurs de compte *Oprateurs de configuration rseau *Oprateurs de sauvegarde *Oprateurs de serveur *Oprateurs dimpression *Serveurs de licences des services Terminal Server *Serveurs RAS et IAS *TelnetClients *Utilisateurs *Utilisateurs de lAnalyseur de performances *Utilisateurs DHCP *Utilisateurs du Bureau distance *Utilisateurs du journal de performances *Utilisateurs du modle COM distribu La commande sest termine correctement.
NET PRINT
Affiche des informations sur une file dattente dimpression ou une tche dimpression spcifique, ou contrle une tche dimpression donne.
899
Chapitre 27
Syntaxe :
NET PRINT \\nom dordinateur\nom de partage NET PRINT [\\nom dordinateur] numro de travail [/HOLD | /RELEASE | /DELETE]
j j
Pour dterminer le nom de partage de votre imprimante partage, entrez net

share sur la ligne de commandes.
Si un serveur dimpression possde plusieurs imprimantes partages, chacune a sa propre file dattente. Cependant, des travaux de diffrentes files dimpression sur le mme serveur peuvent avoir un mme numro didentification.
NET SEND
Envoie des messages dautres utilisateurs, ordinateurs ou noms de messagerie sur le rseau
Syntaxe :
j j j j
NET SEND {alias | * | /DOMAIN[:nom] | /USERS} message
Pour quun utilisateur reoive des messages, le service Affichage des messages doit tre en excution. Utilisez des guillemets pour les noms dordinateur et les noms dutilisateur contenant des espaces. Les messages peuvent prsenter jusqu 128 caractres. La file dattente de messages qui conserve temporairement les messages pour le compte du service Affichage des messages peut stocker un maximum de six messages ; les autres messages sont ignors si les prcdents nont pas t valids.
Net send* est identique netsend/domain.
j j
Les messages diffuss (options * et /domain) sont envoys sur tous les protocoles rseau. Par exemple, si TCP/IP et NWLink sont installs, les messages apparatront deux fois sur la machine rceptrice. Les messages envoys des destinataires spcifiques ne sont reus quune fois. Les messages sont reus uniquement sur le sous-rseau local, sauf si des routeurs sont configurs spcifiquement pour retransmettre les paquets name query de NetBIOS. Les messages envoys avec loption /user sont expdis chaque session tablie avec le serveur. Si un utilisateur a trois sessions ouvertes avec le serveur, le message sera reu trois fois.
900
NET SESSION
Gre les connexions un serveur. Utilise sans paramtre, la commande net session affiche des informations sur toutes les sessions actuellement ouvertes sur lordinateur local.
Syntaxe :
j j j j
NET SESSION [\\nom dordinateur] [/DELETE]
net sessions est quivalent net session.
Une session est initie lorsquune machine cliente parvient contacter un serveur, par exemple pour accder un dossier ou une imprimante partage. Un client ne peut tablir quune session avec un serveur, mais peut avoir plusieurs connexions des ressources sur ce serveur. Utilisez net send pour demander aux clients denregistrer leur travail avant de terminer leurs connexions avec le serveur.
NET SHARE
Gre les ressources partages. Utilise sans paramtre, la commande net share affiche des informations sur toutes les ressources actuellement partages sur lordinateur local.
Syntaxe :
NET SHARE nom de partage nom de partage=lecteur:chemin [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents| Programs | e ] nom de partage [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [CACHE:Manual | Documents | Programs | None] {nom de partage | nom de priphrique | lecteur:chemin} /DELETE
j j
Entourez le chemin absolu par des guillemets sil contient des espaces. Si vous supprimez un partage avec net share /delete, il restera visible dans le Poste de travail et dans lExplorateur Windows, mme si vous redmarrez. Lastuce consiste appuyer sur [F5] afin de vider les informations contenues dans le cache. Loption /cache permet de configurer le mode de mise en service du partage lorsque les dossiers hors connexion sont implants. Pour une description complte de cette option, consultez larticle 214738 de la Base de connaissances sur Microsoft TechNet.
901
Chapitre 27
NET START
Dmarre un service. Utilise sans paramtre, la commande net start affiche la liste des services en cours dexcution.
Syntaxe :
j j j
NET START [service]
Utilisez des guillemets pour les noms dordinateurs et les noms dutilisateurs contenant des espaces. Le dmarrage de services peut avoir des effets inattendus du fait des dpendances entre les services. Loutil graphique de gestion des services est la console Services.
NET STOP
Arrte un service en cours dexcution.
Syntaxe :
j j j
NET STOP [service]
Utilisez des guillemets pour les noms dordinateur et les noms dutilisateur contenant des espaces. Larrt dun service retire de la mmoire les ressources associes. Avant darrter un service, il est prfrable de commencer par le suspendre et denvoyer un message aux utilisateurs connects afin de les avertir que le service va tre arrt. Cela leur donne du temps pour enregistrer leur travail et se dconnecter. Vous ne pouvez pas arrter le service Fax car il fonctionne la demande et sarrte automatiquement lorsquil ny a plus de tlcopies envoyer ou recevoir.
NET TIME
Synchronise lhorloge de lordinateur avec celle dun autre ordinateur ou dun domaine. Utilise sans paramtre, la commande net time affiche lheure dun autre ordinateur ou domaine.
902
Syntaxe :
NET TIME [\\nom dordinateur | /DOMAIN[:nom de domaine] | /RTSDOMAIN[:nom de domaine]] [/SET] NET TIME [\\nom dordinateur] /QUERYSNTP NET TIME [\\nom dordinateur] /SETSNTP[:liste de serveurs NTP]
La synchronisation des horloges est importante pour que des activits telles que la rplication de lannuaire fonctionnent correctement. (Les mises jour sont estampilles afin de rsoudre les collisions.) Utilisez net time \\serveurTemps /set /yes dans un script douverture de session pour synchroniser les horloges de toutes les machines avec le serveur Temps qui doit avoir lui-mme une horloge fiable.
/s ne fonctionne plus en quivalent de /set, comme ctait le cas sous Windows NT.
NET USE
Connecte ou dconnecte un ordinateur dune ressource partage, ou affiche des informations relatives aux connexions de lordinateur. Cette commande contrle aussi les connexions rseau persistantes. Utilise sans paramtre, la commande net use extrait une liste des connexions rseau.
Syntaxe :
NET USE [nom de priph.|*] [\\Ordinateur\Partage[volume] [mot de passe | *]] [/USER:[nom de domaine\]nom dutilisateur] [/USER:[nom de domaine avec points\]nom dutilisateur] [/USER:[nom dutilisateur@nom de domaine avec points] [/SMARTCARD] [/SAVECRED] [[/DELETE] | [/PERSISTENT:{YES | NO}]] NET USE [nom de priphrique | *] [mot de passe | *] [/HOME] NET USE [/PERSISTENT:{YES | NO}]
j j
Utilisez les guillemets autour de NomsOrdinateur si ce dernier comporte des espaces. Vous ne pouvez pas vous dconnecter dun partage sil est votre lecteur courant ou sil est verrouill par un processus actif.
903
Chapitre 27
NET USER
Ajoute ou modifie des comptes dutilisateurs ou affiche des informations relatives aux comptes dutilisateurs.
Syntaxe :
NET USER [nom dutilisateur [mot de passe | *] [options]] [/DOMAIN] NET USER nom dutilisateur {mot de passe | *} /ADD [options] [/DOMAIN] NET USER nom dutilisateur [/DELETE] [/DOMAIN]
Net users a le mme effet que net user.
NETSH
Utilitaire de script de ligne de commande qui vous permet, localement ou distance, dafficher ou de modifier la configuration rseau dun ordinateur en cours dexcution. Il fournit galement une fonctionnalit de script qui vous permet dexcuter un groupe de commandes en mode Batch sur un ordinateur spcifique. De plus, Netsh peut enregistrer un script de configuration dans un fichier texte pour des besoins darchivage ou pour vous aider configurer dautres serveurs.
Syntaxe :
netsh [a Fichier_alias] [c Contexte] [r Ordinateur_distant] [u [Nom_domaine\]Nom_utilisateur] [p Mot_passe | *] [Commande | f Fichier_script] Modifications pour le contexte netsh aaaa. Ajoute une entre de configuration une liste dentres. Modifications pour le contexte netsh bridge. Supprime une entre de configuration dune liste dentres. Modifications pour le contexte netsh dhcp. Modifications pour le contexte netsh diag. Affiche un script de configuration. Excute un fichier script. Modifications pour le contexte netsh firewall. Modifications pour le contexte netsh interface.
aaaa add bridge delete dhcp diag dump exec firewall interface
904
ipsec ras routing rpc set show wins winsock

j
Modifications pour le contexte netsh ipsec. Modifications pour le contexte netsh ras. Modifications pour le contexte netsh routing. Modifications pour le contexte netsh rpc. Met jour les paramtres de configuration. Affiche les informations. Modifications pour le contexte netsh wins. Modifications pour le contexte netsh winsock. 27. Annexe I Liste alphabtique des commandes
Les sous-contextes suivants sont disponibles : aaaa, bridge, dhcp, diag, firewall, interface, ipsec, ras, routing, rpc, wins, winsock.
NETSH (contexte global)

Syntaxe :
netsh [a Fichier_alias] [c Contexte] [r Ordinateur_distant] [u [Nom_domaine\]Nom_utilisateur] [p Mot_passe | *] [Commande | f Fichier_script] Ajoute une entre de configuration une liste dentres. Supprime une entre de configuration dune liste dentres. Affiche un script de configuration. Excute un fichier script. Met jour les paramtres de configuration. Affiche les informations.
add delete dump exec set show

j
Il existe normalement une commande Flush permettant de supprimer les commandes enregistres en mode hors connexion, mais cela ne semble pas fonctionner dans la version actuelle. La commande dump affiche la configuration courante des services configurables de NetShell sur la machine sous forme dune suite de commandes NetShell. Le fichier obtenu peut tre excut sur une machine diffrente laide de la commande exec pour configurer cette machine de manire identique la premire. Le seul problme est quun certain nombre de paramtres de configuration ne sont pas sortis de faon correcte. Consultez larticle 254252 de la Base de connaissances Microsoft TechNet pour savoir comment modifier manuellement le fichier obtenu afin de le corriger.
905
Chapitre 27
Le contexte DHCP de NetShell est particulirement utile pour la gestion des serveurs DHCP distants au travers de liaisons WAN lentes, avec lesquelles lutilisation du mode administration distante de Terminal Serveur pour excuter loutil graphique de gestion de DHCP conduirait de pitres performances. Utilisez la commande set user dans un fichier ou un script de traitement par lots afin de configurer automatiquement les paramtres des appels entrants RAS dun ensemble dutilisateurs.
NSLOOKUP
Affiche des informations qui vous permettent dtablir un diagnostic de linfrastructure DNS (Domain Name System). nslookup [opt] mode interactif utilisant le serveur par dfaut
nslookup [opt] serveur mode interactif utilisant serveur nslookup [opt] hte recherche hte en utilisant le serveur par dfaut nslookup [opt] hte serveur recherche hte en utilisant serveur
j j
Les commandes nslookup contiennent au maximum 255 caractres. Pour rechercher un ordinateur qui ne se trouve pas dans le domaine DNS courant, ajoutez un point au nom. Par exemple, entrez pierre.puzzmania.com linvite interactive de nslookup. Utilisez exit ou appuyez sur [Ctrl]+[C] pour sortir dune session nslookup. Une commande non reconnue est interprte comme un nom dordinateur.
j j
27.11. P PRNCNFG
(Nouvelle commande sous Windows Server 2003). Configure ou affiche des informations de configuration relatives une imprimante. La syntaxe ci-aprs est utilise pour afficher des informations de configuration relatives une imprimante. 906
Syntaxe :
g s Ordinateur _Distant
cscript prncnfg.vbs g [s Ordinateur_Distant] p Nom_Imprimante [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez afficher des informations de configuration relatives une imprimante. Spcifie, par son nom, lordinateur distant qui gre limprimante propos de laquelle vous voulez afficher des informations. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local. 27. Annexe I Liste alphabtique des commandes Obligatoire. Spcifie, par son nom, limprimante propos de laquelle vous voulez obtenir des informations.
p Nom _Imprimante u Nom _Utilisateur w Mot_De_Passe
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur qui hberge limprimante propos de laquelle vous voulez afficher des informations. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script .v bs qui sexcute avec CScritpt. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNDRVR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et rpertorie des pilotes dimprimante. La syntaxe ci-aprs est utilise pour installer un pilote dimprimante.
907
Chapitre 27
Syntaxe :
cscript prndrvr.vbs a [m Nom_Pilote] [v {0 | 1 | 2 | 3}] [e Environnement] [s Ordinateur_Distant] [h Chemin] [i Nom_Fichier.inf] [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez installer un pilote. Spcifie, par son nom, le pilote que vous voulez installer. Les pilotes portent souvent le nom du modle dimprimante quils prennent en charge. Pour plus dinformations, consultez la documentation fournie avec limprimante. Spcifie la version du pilote que vous voulez installer. Pour savoir quelles versions sont disponibles en fonction de chaque environnement, consultez la description du paramtre e Environnement. Si vous ne spcifiez aucune version, la version de pilote approprie pour la version de Windows en cours dexcution sur lordinateur sur lequel vous installez le pilote est installe. La version 0 prend en charge Windows 95, Windows 98 et Windows Millennium Edition. La version 1 prend en charge Windows NT 3.51. La version 2 prend en charge Windows NT 4.0. La version 3 prend en charge Windows XP, Windows 2000 et les systmes dexploitation de la famille Windows Server 2003.
a m Nom_Pilote
v {0 | 1 | 2 | 3}
e Environnement Spcifie lenvironnement appropri pour le pilote que vous voulez installer. Si vous ne spcifiez aucun environnement, lenvironnement de lordinateur sur lequel vous installez le pilote est utilis. Environnement "Windows NT x86", versions disponibles 1, 2 et 3. Environnement "Windows NT Alpha_AXP", versions disponibles 1 et 2. Environnement "Windows IA64", version disponible 3. Environnement "Windows NT R4000", version disponible 1. Environnement "Windows NT PowerPC", version disponible 1. Environnement "Windows 4.0", version disponible 0. s Ordinateur _Distant Spcifie lordinateur distant sur lequel vous voulez installer le pilote. Si vous ne spcifiez pas dordinateur, le pilote est install sur lordinateur local. Spcifie le chemin daccs du fichier de pilote. Si vous ne spcifiez aucun chemin, le chemin daccs lemplacement partir duquel Windows a t install est utilis.
h Chemin
908
i Nom_Fichier .inf u Nom _Utilisateur w Mot_De_Passe
Spcifie le nom de fichier du pilote que vous voulez installer. Si vous ne spcifiez aucun nom de fichier, ntprint.inf est utilis.
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur sur lequel vous voulez installer le pilote. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script .vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNJOBS
(Nouvelle commande sous Windows Server 2003). Suspend, reprend, annule et rpertorie les travaux dimpression. La syntaxe ci-aprs est utilise pour rpertorier les travaux dimpression dans une file dattente dimpression.
Syntaxe :
l s Ordinateur _Distant
cscript prnjobs l [s Ordinateur_Distant] [p Nom_Imprimante] [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez rpertorier tous les travaux dimpression dans une file dattente dimpression. Spcifie le nom de lordinateur distant qui hberge la file dattente dimpression dont vous souhaitez afficher la liste des travaux. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local.
909
Chapitre 27
p Nom _Imprimante
Spcifie, par son nom, limprimante dont la file dattente dimpression contient les travaux que vous voulez rpertorier. Si vous ne spcifiez aucune imprimante, tous les travaux de toutes les files dattente sont rpertoris.
u Nom _Utilisateur w Mot_De_Passe 27. Annexe I Liste alphabtique des commandes
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur qui hberge la file dattente dimpression dont vous voulez rpertorier les travaux. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Malheureusement, il nest possible de suspendre, de reprendre ou dannuler quun travail la fois avec cette commande. Consultez la commande prnqctl qui permet de suspendre ou de reprendre une imprimante ou dannuler tous les travaux prsents dans la file dattente. Cette commande est un script .vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNMNGR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et rpertorie les imprimantes ou connexions dimprimante, en plus de dfinir et dafficher limprimante par dfaut. La syntaxe ci-aprs est utilise pour ajouter une imprimante locale.
910
Syntaxe :
cscript prnmngr.vbs a p Nom_Imprimante [s Ordinateur_Distant] m Nom_Pilote r Nom_Port [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez ajouter une imprimante locale. Spcifie, par son nom, lordinateur distant auquel vous voulez ajouter une imprimante locale. Si vous ne spcifiez pas dordinateur, limprimante est ajoute lordinateur local. 27. Annexe I Liste alphabtique des commandes Obligatoire. Spcifie, par son nom, limprimante locale que vous voulez ajouter. Obligatoire. Spcifie, par son nom, le pilote de limprimante locale que vous voulez ajouter. Les pilotes portent souvent le nom du modle dimprimante quils prennent en charge. Pour plus dinformations, consultez la documentation fournie avec limprimante. Obligatoire. Spcifie le port auquel limprimante est connecte. Sil sagit dun port parallle ou dun port srie, utilisez lID du port (par exemple, LPT1 ou COM1). Sil sagit dun port TCP/IP, utilisez le nom de port qui a t spcifi lors de lajout du port. Pour plus dinformations, consultez Rubriques connexes.
a s Ordinateur _Distant
p Nom _Imprimante m Nom_Pilote
r Nom_Port
u Nom _Utilisateur w Mot_De_Passe
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur auquel vous voulez ajouter une imprimante locale. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
911
Chapitre 27
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNQCTL
(Nouvelle commande sous Windows Server 2003). 27. Annexe I Liste alphabtique des commandes Permet dimprimer une page de test, dinterrompre ou de reprendre une impression et de supprimer une impression dune file dattente. La syntaxe ci-aprs est utilise pour annuler tous les travaux dimpression mis en attente sur une imprimante.
Syntaxe :
x s Ordinateur Distant
cscript prnqctl.vbs x [s OrdinateurDistant]p NomImprimante [u NomUtilisateur w MotDePasse] Obligatoire. Spcifie que vous voulez annuler tous les travaux dimpression mis en attente sur une imprimante. Indique le nom de lordinateur distant auquel est relie limprimante sur laquelle vous souhaitez annuler tous les travaux dimpression. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local.
p NomImprimante Obligatoire. Spcifie le nom de limprimante sur laquelle vous voulez annuler tous les travaux dimpression. u Nom Utilisateur w MotDePasse
Spcifie un compte et les autorisations qui lui permettent, au moyen des services WMI (Windows Management Instrumentation), de se connecter lordinateur auquel est relie limprimante sur laquelle vous voulez annuler tous les travaux dimpression. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
912
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates. Quelques secondes peuvent tre ncessaires pour annuler le dernier travail laide de loption x. Ne relancez pas la commande prnqctl x avant que la file ne soit vide ; vous pourriez obtenir une erreur dimpression et le dernier travail pourrait rester dans la file.
27.12. R RCP
Copie les fichiers depuis et vers lordinateur excutant le service RCP.
Syntaxe :
a
RCP [a | b] [h] [r] [host][.user:]source [host][.user:] path\destination Spcifie le mode de transfert ASCII. Ce mode convertit les caractres EOL en retours chariot sous Unix et en retours chariot (line feed) sur PC. Cest le mode de transfert par dfaut. Spcifie le mode de transfert dimages binaire. Transfre les fichiers cachs. Copie le contenu de tous les sous-rpertoires ; la destination doit tre un rpertoire. Spcifie lhte local ou distant. Si lhte spcifi est une adresse IP, vous devez spcifier lutilisateur. Spcifie le nom dutilisateur utiliser la place du nom dutilisateur en cours. Spcifie les fichiers copier. Spcifie le chemin relatif au rpertoire de session sur lhte distant. Utilisez les caractres dchappement (\, " ou ) dans les chemins distants pour employer les caractres jokers sur lhte distant.
b h r host .user: source path \destination
913
Chapitre 27
j j
Windows Server 2003 ne fournit pas de dmon rshd. rcp sutilise donc principalement pour copier des fichiers entre des machines Windows et Unix.
rcp ne demande pas de mot de passe avant la copie. Pour contourner cela, utilisez le fichier .rhost du rpertoire daccueil de lutilisateur sur le serveur rshd afin de prciser les noms dhtes et les noms dutilisateurs autoriss employer rcp afin de copier des fichiers vers ou depuis le serveur rshd.
RECOVER
Rcupre les informations lisibles dun disque endommag ou dfectueux.
Syntaxe :
j
RECOVER [lecteur:][chemin]nom_de_fichier
Recover lit le fichier indiqu secteur par secteur et rcupre les donnes sur les secteurs non dfectueux (les donnes se trouvant sur des secteurs dfectueux sont perdues).
Les caractres gnriques ne sont pas utilisables.
REXEC
Excute des commandes sur des htes distants excutant le service Rexec. Rexec authentifie lutilisateur sur lhte distant avant dexcuter la commande spcifie.
Syntaxe :
hte l utilisateur n commande
j j j
REXEC hte [l utilisateur] [n] commande Hte distant sur lequel la commande sera excute. Nom de lutilisateur sur lhte distant. Redirige lentre de Rexec sur NULL. Commande excuter.
Rexec copie lentre standard vers la commande distante. Rexec se termine lorsque la commande distante a t excute. Rexec ne peut servir lexcution de certaines commandes Unix interactives courantes telles que emacs (utilisez Telnet la place).
914
RUNAS
Lance un programme dans un contexte utilisateur diffrent.
Syntaxe :
RUNAS [ [/noprofile | /profile] [/env] [/savecred | /netonly] ] /user:<Nom_utilisateur> programme RUNAS [ [/noprofile | /profile] [/env] [/savecred] ] /smartcard [/user:<Nom_utilisateur>] programme Spcifie que le profil de lutilisateur ne devrait pas tre charg. Cela permet le chargement plus rapide de lapplication, mais peut provoquer le dysfonctionnement de certaines applications. Spcifie que le profil de lutilisateur devrait tre charg. Il sagit de loption par dfaut. pour utiliser lenvironnement en cours la place de celui de lutilisateur. utiliser si les informations didentification spcifies sont pour laccs distance uniquement. Pour utiliser les informations didentification prcdemment sauvegardes par lutilisateur. Cette option nest pas disponible sur Windows XP dition familiale et sera ignore. utiliser si les informations didentification sont fournies partir dune carte puce. Sous la forme UTILISATEUR@DOMAINE ou DOMAINE \UTILISATEUR. Ligne de commandes pour EXE. 27. Annexe I Liste alphabtique des commandes
/noprofile
/profile /env /netonly /savecred
/smartcard /user <Nom Utilisateur> program

j
Il est prfrable que les administrateurs possdent deux comptes : un compte dutilisateur ordinaire pour les tches quotidiennes (vrifier son courrier lectronique ou crire des rapports, par exemple) et un compte administrateur pour les tches dadministration. La commande runas permet un administrateur deffectuer des tches ncessitant des autorisations dadministrateur tout en tant connect comme un utilisateur ordinaire, rendant ainsi inutile une fermeture et une ouverture de session. La commande runas est galement dsigne sous le terme "Ouverture de session secondaire".
915
Chapitre 27
j j
runas fonctionne avec des programmes (*.exe), des consoles MMC enregistres (*.msc) et les lments du Panneau de configuration. runas ne peut tre employe avec des lments comme lExplorateur Windows, le dossier Imprimantes et Tlcopieurs et les lments du Bureau. Cependant, il est possible de contourner ce problme en utilisant longlet Processus dans le Gestionnaire des tches afin de tuer linterprteur de commandes courant (Explorer .exe). Utilisez ensuite le bouton Nouvelle tche sous longlet Application afin dexcuter la commande Runas /user:Domaine\Administrateur explorer.exe.
Il est possible de crer un raccourci vers un lment tel quune console MMC enregistre et de configurer cette dernire afin que lexcution se fasse toujours avec des informations didentification spcifiques.
Runas ne permet pas dexcuter des programmes stocks sur un partage rseau car les informations didentification servant au lancement du programme peuvent tre diffrentes de celles utilises pour se connecter au partage rseau. Cest pourquoi, runas peut ne pas tre en mesure daccder aux partages.
Le service Ouverture de session secondaire doit tre en cours dexcution pour pouvoir utiliser la commande runas. Si runas est utilise depuis la ligne de commandes sans loption /profil, le profil dutilisateur par dfaut remplace celui de lutilisateur incarn. Par exemple, si la commande invoque par runas enregistre un fichier dans Mes documents, il est enregistr dans le dossier Mes documents de lutilisateur par dfaut et non dans celui de lutilisateur spcifi par runas. Si vous passez par Excuter en tant que depuis le menu contextuel de lExplorateur Windows, loption /profil est spcifie par dfaut.
27.13. S SCHTASKS
(Nouvelle commande sous Windows Server 2003). Permet un administrateur de crer, supprimer, effectuer des requtes, modifier, excuter et mettre fin des tches planifies sur un systme local ou distant. Remplace AT.exe.
Syntaxe :
/Create /Delete
SCHTASKS /paramtre [arguments] Cre une nouvelle tche planifie. Supprime les tches planifies.
916
/Query /Change /Run /End

j
Affiche toutes les tches planifies. Modifie les proprits dune tche planifie. Excute la tche planifie immdiatement. Arrte la tche planifie actuellement en cours dexcution.
Le compte dutilisateur indiqu par loption /u doit appartenir au groupe Administrateur sur lordinateur distant spcifi par loption /s. De plus, lordinateur local doit appartenir au mme domaine que lordinateur distant ou se trouver dans un domaine approuv par le domaine de lordinateur distant. Autrement dit, seuls les administrateurs sont autoriss planifier des tches. Cependant, il est possible de spcifier avec loption /ru que le programme dmarr par la tche planifie sexcute avec des informations didentification diffrentes. Si vous utilisez /ru SYSTEM, vous navez pas besoin demployer loption /rp pour indiquer un mot de passe. Si vous excutez une tche laide des informations didentification SYSTEM, les utilisateurs ne seront pas en mesure dinteragir avec le programme dmarr par la tche. En effet, SYSTEM ne dispose pas des droits douverture de session interactive.
schtasks ne vrifie pas la validit du nom du programme ou du mot de passe du compte utilisateur spcifi par loption /u. Sils ne sont pas corrects, la tche ne sexcutera pas, tout simplement.
j j
j j
Pour vrifier si lexcution des tches planifies a gnr des erreurs, consultez le fichier de journalisation SchedLgU.txt qui se trouve dans le rpertoire \Windows.
schtasks fonctionne de la mme manire que les Tches planifies du Panneau de configuration.
SET
Affiche, fixe ou supprime des variables denvironnement de cmd.exe.
Syntaxe :
SET [variable=[chane]] SET /A expression SET /P variable=[ChaneInvite]
j j
SET sans paramtres affiche les variables denvironnement dfinies. Si les extensions de commande sont actives, SET est modifi comme suit.
La commande SET appele avec un nom de variable seulement, sans signe gal ou valeur, affiche la valeur de toutes les variables dont le prfixe correspond au nom donn la commande SET. Par exemple, SET P affiche toutes les variables qui commencent par la lettre P.
917
Chapitre 27
j j j
La commande SET fixe la valeur ERRORLEVEL 1 si le nom de variable nest pas trouv dans lenvironnement en cours. La commande SET nautorise pas quun signe gal (=) fasse partie du nom dune variable.
/A spcifie que la chane droite du signe gal est une expression numrique value. Lvaluation de lexpression est assez simple et prend en charge les oprations suivantes dans lordre dcroissant de prsance :
() : groupement. 27. Annexe I Liste alphabtique des commandes ! ~ : oprateurs unaires. * / % : oprateurs arithmtiques. + : oprateurs arithmtiques. << >> : dcalage logique. & : ET au niveau du bit. ^ : OU exclusif au niveau du bit. | : OU au niveau du bit. = *= /= %= += = : attribution. &= ^= |= <<= >>= , : sparateur dexpression. Si vous utilisez des oprateurs logiques ou des nombres, vous devez mettre lexpression entre guillemets. Toute chane non numrique dans lexpression est traite comme une variable denvironnement dont les valeurs sont converties en nombres avant dtre utilises. Si un nom de variable denvironnement est spcifi mais nest pas dfini dans lenvironnement en cours, la valeur zro est utilise. Cela vous permet de raliser des oprations avec les valeurs dune variable denvironnement sans entrer des signes % pour obtenir ces valeurs. Si SET /A est excut partir de la ligne de commandes en dehors dun script de commande, la valeur finale de lexpression est affiche. Loprateur dassignation requiert un nom de variable denvironnement gauche de cet oprateur. Les valeurs numriques sont des nombres dcimaux, moins quils ne soient prfixs par 0x pour les valeurs hexadcimales et 0 pour la notation octale. Donc, 0x12 est identique 18 et 022. La notation octale peut tre confuse : 08 et 09 ne sont pas valides car 8 et 9 ne sont pas des nombres valides en notation octale. /P vous permet de fixer la valeur dune variable avec une ligne entre par lutilisateur. Elle affiche la chane ChaneInvite spcifie avant de lire la ligne entre. ChaneInvite peut tre vide.
j j
La commande set est disponible dans la console de rcupration. Les variables denvironnement dfinies laide de set sont disponibles uniquement pour la session de console courante. Pour dfinir des variables persistantes, utilisez la commande setx.
918
SHUTDOWN
Agit sur les options darrt dun ordinateur.
Syntaxe :
/i /l /s /r /a /p /h /e /m \\ordinateur /t xxx
shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m \\ordinateur][/t xxx][/d [p:]xx:yy [/c "commentaire"]] Affiche linterface utilisateur graphique (GUI). Ce doit tre la premire option. Ferme la session. Ne peut pas tre utilise avec loption /m ou /d. Arrte lordinateur. Arrte et redmarre lordinateur. Annule un arrt du systme. Cet argument peut uniquement tre utilis pendant la priode dexpiration du dlai. Arrte lordinateur local sans dlai dexpiration ou avertissement. Cet argument peut uniquement tre utilis avec loption /d. Mettre lordinateur local en veille prolonge. Cet argument peut uniquement tre utilis avec loption /f. Explique la raison dun arrt imprvu dun ordinateur. Indique lordinateur cible. Dfinit le dlai dexpiration avant larrt xxx secondes. La plage valide est comprise entre 0 et 600, 30 tant la valeur par dfaut. 27. Annexe I Liste alphabtique des commandes
/c "commentaire" Commentaire sur la raison du redmarrage ou de larrt. Un nombre maximal de 127 caractres est autoris. /f /d [p:]xx:yy Force la fermeture des applications en cours dexcution sans avertir les utilisateurs. Fournit la raison du redmarrage ou de larrt. p indique que le redmarrage ou larrt est planifi, xx est le code de raison majeur (entier positif infrieur 256), yy est le code de raison mineur (entier positif infrieur 65 536).
919
Chapitre 27
START
Ouvre une fentre et excute le programme ou la commande spcifie.
Syntaxe :
START ["titre"] [/D chemin] [/I] [/MIN] [/MAX] [/SEPARATE | /SHARED] [/LOW | /NORMAL | /HIGH | /REALTIME | /ABOVENORMAL | /BELOWNORMAL] [/AFFINITY <affinit_hexa>] [/WAIT] [/B] [commande/programme] [paramtres] Titre de la fentre. Rpertoire de dpart. Lancer lapplication sans crer de fentre. Larrt par ^C nest pas pris en charge dans lapplication. Si lapplication nautorise pas la dtection de ^C, ^Pause est la seule faon darrter lapplication. Le nouvel environnement sera lenvironnement original pass cmd.exe, et non lenvironnement actuel. Dmarrer avec la fentre rduite. Dmarrer avec la fentre agrandie. Dmarrer les programmes Windows 16 bits dans un espace mmoire distinct. Dmarrer les programmes Windows 16 bits dans un espace mmoire partag. Dmarrer lapplication dans la classe de priorit IDLE. Dmarrer lapplication dans la classe de priorit NORMAL. Dmarrer lapplication dans la classe de priorit HIGH. Dmarrer lapplication dans la classe de priorit REALTIME. Dmarrer lapplication dans la classe de priorit ABOVENORMAL. Dmarrer lapplication dans la classe de priorit BELOWNORMAL. La nouvelle application aura le masque daffinit de processeur spcifi, exprim en tant que valeur hexadcimale. Lancer lapplication et attendre quelle mette fin la commande ou au programme. Sil sagit dune commande interne ou dun fichier batch, le processeur de commandes est excut avec le commutateur
"titre" 27. Annexe I Liste alphabtique des commandes chemin B
I MIN MAX SEPARATE SHARED LOW NORMAL HIGH REALTIME ABOVENORMAL BELOWNORMAL AFFINITY WAIT
920
/K pour cmd.exe. Cela signifie que la fentre reste ouverte aprs excution de la commande. Sil ne sagit pas dune commande interne, ni dun fichier batch, cest un programme qui sexcutera sous la forme dune application fentre ou dune application console. Paramtres
j
Spcifie les paramtres passer la commande ou au programme.
Si vous utilisez start pour excuter une commande Windows (dir, chhdsk, etc.), une nouvelle fentre de linterprteur de commandes (cmd) souvre afin dexcuter cette commande. Cette fentre sexcutant implicitement avec loption /k, elle reste ouverte aprs la fin de la commande (voir la section cmd). Lorsque vous excutez une application graphique 32 bits avec start, le contrle revient immdiatement lInvite de commandes. Cependant, lorsquune commande Windows ou un script sont excuts, ils doivent dabord se terminer avant que le contrle ne revienne linterprteur de commande. Si les extensions de commande sont actives (cest cas par dfaut), utilisez start pour ouvrir un document ou un fichier laide de lapplication associe. Par exemple, voici comment ouvrir le fichier lisezmoi.doc avec Word : start lisezmoi.doc.
SYSTEMINFO
(Nouvelle commande sous Windows Server 2003). Cet outil affiche les informations de configuration du systme dexploitation pour un ordinateur local ou distant, y compris les niveaux de Service Pack.
Syntaxe :
SYSTEMINFO [/S systme [/U utilisateur [/P mot_de_passe]]] [/FO format] [/NH] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Est demand sil est omis. /FO format Spcifie le format dans lequel la sortie doit tre affiche. Valeurs autorises: TABLE, LIST, CSV.
921
Chapitre 27
/NH
Spcifie que les en-ttes de colonne ne doivent pas apparatre dans la sortie. Valide uniquement pour les formats TABLE et CSV.
27.14. T TAKEOWN
27. Annexe I Liste alphabtique des commandes (Nouvelle commande sous Windows Server 2003). Cet outil permet un administrateur de rcuprer laccs un fichier qui avait t refus en rassignant lappartenance de fichier.
Syntaxe :
TAKEOWN [/S systme] [/U utilisateur [/P mot_de_passe]]] /F nom_fichier [/A] [/R [/D invite_de_commandes]] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe du contexte utilisateur donn. Il est demand sil est omis. /F nom_fichier Spcifie le nom de fichier ou le modle de nom du rpertoire. Un caractre gnrique "*" peut tre utilis pour spcifier le modle. Autorise nompartage\nomfichier. Donne lappartenance au groupe dadministrateurs et non lutilisateur actuel. Rcursif : force loutil traiter tous les fichiers du rpertoire spcifi et tous ses sous-rpertoires. Rponse par dfaut utilise lorsque lutilisateur actuel ne possde pas lautorisation "lister le dossier" sur un rpertoire. Cela se produit lors du traitement rcursif (/R) sur les sous-rpertoires. Utilisez les valeurs O pour prendre possession ou N pour ignorer.
/A /R /D invite_de _commandes
922
TASKKILL
(Nouvelle commande sous Windows Server 2003) Cet outil est utilis pour arrter des tches par id de processus (PID) ou nom dimage.
Syntaxe :
TASKKILL [/S systme] [/U utilisateur [/P mot_de_passe]]] { [/FI filtre] [/PID ID_processus | /IM image] } [/T] [/F] Spcifie le systme distant auquel se connecter. 27. Annexe I Liste alphabtique des commandes Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. /FI filtre Applique un filtre pour slectionner un ensemble de tches. Permet "*" dtre utilis. Par exemple, imagename eq test*.
/PID ID_processus Spcifie le PID du processus arrter. Utilisez TaskList afin dobtenir le PID. /IM nom_image Spcifie le nom dimage du processus terminer. Le caractre gnrique "*" peut tre utilis pour spcifier toutes les tches ou les noms dimage. Met fin au processus spcifi et tous les processus enfants quil a dmarrs. Force les processus se terminer. Utilisez la commande tasklist pour obtenir lidentifiant des processus en cours dexcution que vous voulez tuer.
/T /F
j
TASKLIST
(Nouvelle commande sous Windows Server 2003). Cet outil affiche une liste des processus actuellement en cours sur un ordinateur local ou un ordinateur distant.
923
Chapitre 27
Syntaxe :
/S systme /U [domaine\] utilisateur /P [mot_de _passe] 27. Annexe I Liste alphabtique des commandes /M [module]
TASKLIST [/S systme [/U utilisateur [/P mot_de_passe]]]] [/M [module] | /SVC | /V] [/FI filtre] [/FO format] [/NH] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter. Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. Liste toutes les tches utilisant le nom de fichier .exe ou .dll donn. Si le nom de module nest pas spcifi, tous les modules chargs sont affichs. Affiche les services hbergs dans chaque processus. Affiche les informations de tches dtailles. Affiche un ensemble de tches qui correspond au critre spcifi par le filtre. Spcifie le format de sortie. Valeurs valides : TABLE, LIST, CSV. Spcifie que les en-ttes de colonnes ne doivent pas tre affichs sur la sortie. Valide uniquement pour les formats TABLE et CSV.
/SVC /V /FI filtre /FO format /NH
Tasklist remplace loutil de support tlist.
TELNET
Permet daccder un systme distant.
Syntaxe :
a e f
telnet [a][e car_chap][f journal][l utilisateur][t terminal][hte [port]] Tente louverture de session automatique. Identique l, mais utilise le nom de lutilisateur en session. Caractre dchappement pour entrer dans linvite du client Telnet. Nom du fichier journal ct client.
924
l t hte port
j
Nom dutilisateur pour louverture de session distance. Le systme distant doit prendre en charge loption TELNET ENVIRON. Type de terminal. Les terminaux pris en charge sont vt100, vt52, ansi et vtnt uniquement. Spcifie le nom de lhte ou ladresse IP de lordinateur distant auquel la connexion est demande. Numro de port ou nom de service. 27. Annexe I Liste alphabtique des commandes
Contrairement NT avant lui, Windows Server 2003 inclut un service Telnet qui lui permet de fonctionner en serveur Telnet. Nous disposons donc dun nouveau moyen pour effectuer ladministration distance des serveurs Windows Server 2003. Avant quun client Telnet puisse se connecter au service Telnet, ce dernier doit tre dmarr manuellement sur le serveur ou son paramtre de dmarrage doit tre mis Automatique. Alors que le client Telnet sous NT tait un utilitaire graphique (Telnet.exe), la version sous Windows Server 2003 sexcute en mode Console. Ce client supporte galement lauthentification NTLM afin damliorer la scurit de lauthentification entre les clients et les serveurs Telnet. Cependant le client graphique telnet.exe de Windows NT proposait dans la session, une fonctionnalit qui nest plus supporte dans la version en ligne de commandes de Windows Server 2003.
TFTP
Transfre les fichiers depuis et vers un ordinateur distant excutant le service TFTP.
Syntaxe :
i
TFTP [i] host [GET | PUT] source [destination] Spcifie le mode de transfert dimages binaire (aussi appel "octets"). En mode Images binaire, le fichier est transfr octet par octet. Utilisez ce mode pour transfrer des fichiers binaires. Spcifie lhte local ou distant. Transfre la destination du fichier sur lhte distant vers la source du fichier sur lhte local. Transfre la source du fichier sur lhte local vers la destination du fichier sur lhte distant. Indique le fichier transfrer. Indique o transfrer le fichier.
host GET PUT source destination
925
Chapitre 27
TIME
Affiche ou modifie lheure systme.
Syntaxe :
TIME /T 27. Annexe I Liste alphabtique des commandes
TIME [/T | heure] Sans paramtres, affiche lheure en cours et demande une nouvelle heure. Appuyez sur [] pour conserver la mme heure. La commande nindique que lheure, sans demander den entrer une nouvelle.
926
Chapitre 28
Annexe II - Les services et les ports rseau sous Windows Server 2003
28.1 28.2 28.3 Les ports des services systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . . . 965
Les ports des services systme
urant les preuves difficiles que sont les temps de crise, les arrts de production, les problmes bloquants ou alatoires, vous serez parfois amen rcuprer les trames TCP/IP, analyser le trafic entrant et sortant au niveau de votre serveur afin den dterminer les changes de communication et, donc, de rsoudre le problme. Souvent, lors de lanalyse des trames TCP/IP, il peut savrer difficile de faire la corrlation entre le numro de port et le nom du service dlivr par Windows Server 2003 qui communique sur ce port. Le but de cette annexe est de vous apporter une rfrence prcise et concise qui vous aidera faire le lien entre les services Windows Server 2003 et les ports TCP/IP associs. Oriente sur la rsolution de problmes ou laudit de scurit, cette annexe est dcoupe en deux parties : une partie qui dcrit brivement chaque service, indique son nom logique, ainsi que les ports et les protocoles requis pour le fonctionnement de ces services. Et une autre partie qui prsente, sous forme de tableau, un classement par numro de port, et non selon le nom des services, et qui vous permet de dterminer rapidement quels sont les services lcoute sur un port particulier. Et pour tre le plus exhaustif possible, cette annexe inclut aussi les noms de services et les numros de ports TCP/IP de quelques-uns des produits serveurs Microsoft les plus utiliss. Enfin, cette annexe est destine sappliquer un systme dexploitation serveur, cest la raison pour laquelle elle prsente les ports sur lesquels un service est lcoute et non les ports utiliss par les programmes clients pour se connecter un systme distant.
28. Annexe II Les services et les ports rseau
28.1. Les ports des services systme

Cette partie donne une description de chaque service systme, indique son nom logique correspondant, ainsi que les ports et les protocoles requis par chaque service.
Active Directory (autorit de scurit locale)

Active Directory sexcute sous le processus LSASS et inclut les moteurs dauthentification et de rplication pour les contrleurs de domaine Windows 2000 et Windows Server 2003. Les contrleurs de domaine, les ordinateurs clients et les serveurs dapplications requirent une connectivit rseau Active Directory sur des ports spcifiques cods de manire irrversible en plus dune plage de ports TCP phmres entre 1024 et 65536, moins quun protocole de tunneling ne soit utilis pour encapsuler ce trafic. Une solution encapsule pourrait tre constitue dune passerelle VPN situe derrire un routeur de filtrage utilisant le protocole L2TP (Layer 2 Tunneling Protocol) avec IPSec. Dans ce scnario encapsul, vous devez autoriser les protocoles ESP (Encapsulating Security Protocol) IPSec (protocole IP 50), NAT-T (Network Address Translator Traversal) IPSec (UDP port 4500) et ISAKMP (Internet Security Association and Key Management Protocol) IPSec (port UDP 500) travers le routeur au lieu douvrir tous les ports et protocoles rpertoris ci-dessous. Pour finir, le port utilis pour la rplication Active Directory peut tre cod de manire irrversible comme dcrit
929
Chapitre 28
Annexe II - Les services et les ports rseau
dans larticle 224196 de la base de connaissance de Microsoft (restriction du trafic de rplication Active Directory sur un port spcifique). L2TP Les filtres de paquets pour le trafic L2TP ne sont pas requis car L2TP est protg par IPSec ESP.
Tableau 28.1 : Nom du service systme : LSASS Protocole dapplication Serveur de catalogue global Serveur de catalogue global Serveur LDAP Protocole TCP TCP TCP UDP TCP UDP UDP UDP TCP TCP Port 3269 3268 389 389 636 636 500 4500 135 1024-65536
Serveur LDAP LDAP SSL LDAP SSL ISAKMP IPSec NAT-T RPC Ports TCP alatoires levs
Le service de la passerelle de la couche Application

Ce sous-composant du service Partage de connexion Internet/Pare-feu de connexion Internet (ICS/ICF, Internet Connection Sharing/Internet Connection Firewall) prend en charge les plugins qui permettent aux protocoles rseau de traverser le pare-feu et de fonctionner derrire le Partage de connexion Internet. Les plugins de la passerelle de la couche Application (ALG, Application Layer Gateway) peuvent ouvrir des ports et modifier des donnes (telles que les ports et les adresses IP) incorpores dans des paquets. FTP (File Transfer Protocol) est le seul protocole rseau pour lequel un plugin est fourni avec Windows Server 2003 Standard Edition et Windows Server 2003 Enterprise Edition. Le plugin FTP de la passerelle de la couche Application est conu pour prendre en charge les sessions FTP actives par lintermdiaire du moteur de traduction dadresses rseau (NAT, Network Address Translation) utilis par ces composants. Pour prendre en charge ces sessions, le plugin redirige tout le trafic qui passe par le moteur NAT et destin au port 21 vers un port dcoute priv dans la plage comprise entre 3000 et 5000 sur la carte de bouclage. Ensuite, il surveille et met jour le trafic du canal de contrle FTP de sorte que le plugin FTP puisse transfrer les
930
mappages de ports par lintermdiaire du moteur NAT pour les canaux de donnes FTP. Ce plugin met galement jour les ports dans le flux du canal de contrle FTP.
Tableau 28.2 : Nom du service systme : ALG Protocole dapplication Contrle FTP Protocole TCP Port 21
Le service dtat ASP.NET

Le service dtat ASP.NET assure la prise en charge des tats de session out-of-process pour ASP.NET. Il stocke des donnes de session out-of-process. Le service utilise des sockets pour communiquer avec ASP.NET excut sur un serveur web. 28. Annexe II Les services et les ports rseau
Tableau 28.3 : Nom du service systme : aspnet_state Protocole dapplication tat de session ASP.NET Protocole TCP Port 42424
Les services de certicats

Les services de certificats font partie du systme dexploitation de base. Ils permettent une entreprise dagir comme sa propre autorit de certification (CA). Ainsi, lentreprise peut mettre et grer des certificats numriques pour des programmes et des protocoles tels que S/MIME (Secure/Multipurpose Internet Mail Extensions), SSL (Secure Sockets Layer), EFS (Encrypting File System), IPSec et carte puce. Les services de certificats utilisent les protocoles RPC et DCOM pour communiquer avec les clients en utilisant des ports TCP alatoires suprieurs au port 1024.
Tableau 28.4 : Nom du service systme : CertSvc Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Le service de cluster
Le service de cluster contrle les oprations de cluster du serveur et gre la base de donnes du cluster. Un cluster est un ensemble dordinateurs indpendants qui agissent 931
Chapitre 28
en tant quordinateur unique. Les gestionnaires, les programmeurs et les utilisateurs voient le cluster comme un systme unique. Le logiciel distribue les donnes dans les nuds du cluster. En cas de dfaillance dun nud, dautres nuds fournissent les services et les donnes correspondants sa place. Lorsquun nud est ajout ou rpar, le logiciel de cluster migre certaines donnes vers ce nud.
Tableau 28.5 : Nom du service systme : ClusSvc Protocole dapplication Services de clusters RPC Ports TCP alatoires levs Protocole UDP TCP TCP Port 3343 135 1024-65534
LExplorateur dordinateurs
Le service Explorateur dordinateurs maintient jour la liste des ordinateurs sur votre rseau et la communique aux programmes qui la demandent. Les ordinateurs Windows utilisent ce service pour afficher les domaines et les ressources rseau. Les ordinateurs dsigns comme explorateurs grent des listes de parcours contenant toutes les ressources partages utilises sur le rseau. Les versions antrieures des programmes Windows (par exemple, les Favoris rseau), la commande net view et lExplorateur Windows, tous ncessitent des capacits de navigation. Par exemple, lorsque vous ouvrez les Favoris rseau sur un ordinateur Microsoft Windows 95, une liste des domaines et des ordinateurs saffiche. Pour pouvoir afficher cette liste, lordinateur demande une copie de la liste de parcours lordinateur dsign comme explorateur.
Tableau 28.6 : Nom du service systme : Browser Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS Protocole UDP UDP TCP Port 138 137 139
Le Serveur DHCP
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer automatiquement des adresses IP. Grce ce service, vous pouvez rgler les paramtres rseau avancs des clients DHCP. Par exemple, vous pouvez configurer des paramtres rseau tels que les serveurs DNS (Domain Name System) ou WINS (Windows Internet Name Service). Vous pouvez dsigner un ou plusieurs serveurs DHCP pour grer les informations de configuration TCP/IP et les transmettre aux ordinateurs clients. 932
Tableau 28.7 : Nom du service systme : DHCPServer Protocole dapplication Serveur DHCP MADCAP Protocole UDP UDP Port 67 2535
Le Systme de chiers distribus (DFS)

Le Systme de fichiers distribus (DFS, Distributed File System) intgre des partages de fichiers disparates qui sont situs sur un rseau local (LAN) ou un rseau tendu (WAN) dans un espace de noms logique unique. Le service DFS est ncessaire aux contrleurs de domaine Active Directory pour la publication du dossier partag SYSVOL. 28. Annexe II Les services et les ports rseau
Tableau 28.8 : Nom du service systme : DFS Protocole dapplication Service de datagramme NetBIOS Service de session NetBIOS Serveur LDAP Serveur LDAP SMB RPC Ports TCP alatoires levs Protocole UDP TCP TCP UDP TCP TCP TCP Port 138 139 389 389 445 135 1024-65534
Le Serveur de suivi de lien distribu

Le service Serveur de suivi de lien distribu stocke des informations qui permettent de suivre, sur chaque volume du domaine, les fichiers ayant t dplacs dun volume un autre. Il sexcute sur chaque contrleur de domaine. Il active le service Client de suivi de lien distribu afin de suivre les documents lis ayant t dplacs vers un emplacement situ sur un autre volume NTFS du mme domaine.
Tableau 28.9 : Nom du service systme : TrkSvr Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
933
Chapitre 28
Le Coordinateur de transactions distribues

Le service Coordinateur de transactions distribues (DTC, Distributed Transaction Coordinator) assure la coordination des transactions distribues sur plusieurs systmes et gestionnaires de ressources, par exemple les bases de donnes, les files dattente des messages, les systmes de fichiers ou dautres gestionnaires de ressources dont les transactions sont protges. Le service systme DTC est requis si les composants transactionnels sont configurs laide de COM+. Il est galement requis pour les files dattente transactionnelles dans Message Queuing (MSMQ) et les oprations SQL Server qui stendent sur diffrents systmes.
Tableau 28.10 : Nom du service systme : MSDTC Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Le Serveur DNS
Le service Serveur DNS active la rsolution de noms DNS en rpondant aux requtes et il met jour les requtes de noms DNS. Les serveurs DNS sont requis pour rechercher les priphriques et les services identifis laide des noms DNS, ainsi que les contrleurs de domaine dans Active Directory.
Tableau 28.11 : Nom du service systme : DNS Protocole dapplication DNS DNS Protocole UDP TCP Port 53 53
Le Journal des vnements

Le service Journal des vnements consigne les messages dvnements gnrs par les applications et par Windows Server 2003. Les rapports du Journal des vnements contiennent des informations utiles pour diagnostiquer les problmes. Ils sont affichs dans lObservateur dvnements. Le service Journal des vnements consigne dans des fichiers journaux les vnements envoys par les programmes, les services et le systme dexploitation. Outre les erreurs spcifiques au programme source, au service ou au composant, les vnements comprennent des informations de diagnostic. Les journaux peuvent tre affichs par programmation par le biais des interfaces API des journaux dvnements ou de lObservateur dvnements dans un composant logiciel enfichable. 934
Tableau 28.12 : Nom du service systme : EventLog Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Les clients Microsoft Exchange Server et Outlook

Les versions des clients Microsoft Exchange Server ont diffrentes exigences de ports et de protocoles. Ces exigences dpendent de la version du client Exchange Server utilise. Pour que les clients Outlook puissent se connecter aux versions dExchange antrieures Exchange 2003, la connectivit RPC directe au serveur Exchange est requise. Les connexions RPC tablies partir dOutlook vers le serveur Exchange contacteront dabord le mappeur de point de terminaison RPC (port TCP 135) pour demander des informations sur les mappages de ports des diffrents points de terminaison requis. Le client Outlook essaie ensuite dtablir des connexions au serveur Exchange en utilisant directement ces ports de point de terminaison. Exchange 5.5 utilise deux ports pour la communication avec les clients. Lun des ports est pour la banque dinformations, lautre pour lannuaire. Exchange 2000 et 2003 utilisent trois ports pour la communication avec les clients. Lun des ports est pour la banque dinformations, un autre pour la rfrence dannuaire (RFR) et un autre pour DSProxy/NSPI. Dans la plupart des cas, ces deux ou trois ports seront mapps de manire alatoire dans la plage TCP 1024-65534. Si besoin est, ils peuvent tre configurs pour toujours lier un mappage de port statique plutt que pour utiliser les ports phmres. Les clients Outlook 2003 prennent en charge la connectivit directe aux serveurs Exchange laide de RPC. Toutefois, ces clients peuvent communiquer galement avec les serveurs Exchange 2003 hbergs sur des ordinateurs Windows Server 2003 sur Internet. Lutilisation de la communication RPC sur HTTP entre Outlook et un serveur Exchange limine le besoin dexposer le trafic RPC non authentifi sur Internet. Au lieu de cela, le trafic entre le client Outlook 2003 et le serveur Exchange Server 2003 est transmis dans un tunnel dans des paquets HTTPS sur le port TCP 443 (HTTPS). RPC sur HTTP requiert que le port TCP 443 (HTTPS) soit disponible entre le client Outlook 2003 et le serveur qui joue le rle de priphrique "RPCProxy". Les paquets HTTPS sont termins au serveur RPCProxy et les paquets RPC dsenvelopps sont ensuite passs au serveur Exchange sur trois ports, de manire semblable au trafic RPC direct dcrit plus haut. Ces ports RPC sur HTTP sur le serveur Exchange sont mapps de manire statique aux ports TCP 6001 (la banque dinformations), TCP 6002 (rfrence dannuaire) et TCP 6004 (DSProxy/NSPI). Aucun mappeur de point de terminaison ne doit tre expos lors de lutilisation des communications RPC sur HTTP entre Outlook 2003 et Exchange 2003, puisquOutlook 2003 sait utiliser ces ports de 935
Chapitre 28
point de terminaison mapps de manire statique. De plus, aucun catalogue global ne doit tre expos au client Outlook 2003 car linterface DSProxy/NSPI sur le serveur Exchange 2003 fournira cette fonctionnalit. Plus dinformations sur Microsoft Exchange 2003 Vous trouverez plus dinformations au sujet de la planification et de limplmentation dExchange 2003 ladresse www.microsoft.com/technet/prodtechnol/exchange /2003/library/default.mspx. Exchange Server assure galement la prise en charge dautres protocoles, par exemple SMTP, POP3 (Post Office Protocol 3) et IMAP.
Tableau 28.13 : Clients Microsoft Exchange Server et Outlook Protocole dapplication Protocole TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP Port 143 993 110 995 1024-65534 135 443 25 25 6001 6002 6004
IMAP IMAP sur SSL POP3 POP3 sur SSL Ports TCP alatoires levs RPC RPC sur http SMTP SMTP Banque dinformations Rfrence dannuaire DSProxy/NSPI
Le service de tlcopie
Le service de tlcopie, qui est conforme lAPI de tlphonie (TAPI), fournit des fonctions de tlcopie. Grce ce service, les utilisateurs peuvent envoyer et recevoir des tlcopies partir du bureau de Windows en utilisant un tlcopieur local ou un tlcopieur rseau partag.
Tableau 28.14 : Nom du service systme : Fax Protocole dapplication Service de session NetBIOS RPC Protocole TCP TCP Port 139 135
936
Protocole dapplication Ports TCP alatoires levs SMB
Protocole TCP TCP
Port 1024-65534 445
La rplication de chiers
Le service de rplication de fichiers (FRS, File Replication Service) est un moteur de rplication bas sur des fichiers qui copie automatiquement des mises jour de fichiers et de dossiers entre des ordinateurs qui participent un jeu de rplicas FRS commun. Il sagit du moteur de rplication par dfaut utilis pour rpliquer le contenu du dossier SYSVOL entre des contrleurs de domaine (quils soient sous Windows 2000 Server ou Windows Server 2003) situs dans un domaine commun. Le service FRS peut tre configur de faon rpliquer des fichiers et des dossiers entre des cibles dune racine ou liaison DFS laide de loutil dadministration DFS.
Tableau 28.15 : Nom du service systme : NtFrs Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Le Serveur de chiers pour Macintosh

Grce au service Serveur de fichiers pour Macintosh, les utilisateurs Macintosh peuvent stocker des fichiers sur un ordinateur Windows Server 2003 et accder ces fichiers. Si ce service est dsactiv ou bloqu, les clients Macintosh ne peuvent pas stocker de fichiers sur cet ordinateur, ni y accder.
Tableau 28.16 : Nom du service systme : MacFile Protocole dapplication Serveur de fichiers pour Macintosh Protocole TCP Port 548
Le service de publication FTP

Le service de publication FTP permet dtablir une connexion FTP. Par dfaut, le port de contrle FTP est 21. Toutefois, vous pouvez configurer ce service systme laide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Le port des 937
Chapitre 28
donnes (utilises pour le FTP en mode actif) par dfaut est automatiquement celui qui est plac juste en dessous du port de contrle. Par consquent, si le port de contrle est configur sur 4131, le port des donnes par dfaut est 4130. La plupart des clients FTP utilisent le FTP en mode passif. Cela signifie que le client se connecte initialement au serveur FTP par le biais du port de contrle, le serveur FTP attribue un port TCP lev compris entre les ports 1025 et 5000, puis le client ouvre une seconde connexion sur le serveur FTP pour transfrer les donnes. Vous pouvez configurer la gamme des ports levs laide de la mtabase IIS.
Tableau 28.17 : Nom du service systme : MSFTPSVC Protocole dapplication Contrle FTP Donnes FTP par dfaut Protocole TCP TCP Port 21 20
HTTP SSL
Le service HTTP SSL permet IIS dutiliser les fonctions SSL. SSL est une norme ouverte pour tablir un canal de communications scurises afin dempcher linterception dinformations telles que des numros de cartes de crdit. Bien quil soit conu pour fonctionner avec dautres services Internet, SSL est utilis principalement pour effectuer des transactions financires sur Internet. Vous pouvez configurer les ports pour ce service laide du composant logiciel enfichable Gestionnaire des services Internet (IIS).
Tableau 28.18 : Nom du service systme : HTTPFilter Protocole dapplication HTTPS Protocole TCP Port 443
Le service dauthentication Internet

Le service dauthentification Internet (IAS, Internet Authentication Service) procde lauthentification, lautorisation, laudit et la gestion centraliss des utilisateurs connects un rseau. Ces utilisateurs peuvent tre sur une connexion rseau local ou une connexion distance. IAS met en uvre le protocole RADIUS (Remote Authentication Dial-In User Service) standard de lIETF (Internet Engineering Task Force).
Tableau 28.19 : Nom du service systme : IAS Protocole dapplication RADIUS hrit Protocole UDP Port 1645
938
Protocole dapplication RADIUS hrit Gestion RADIUS Authentification RADIUS
Protocole UDP UDP UDP
Port 1646 1813 1812
Le service Pare-feu de connexion Internet/Partage de connexion Internet (ICF/ICS)

Ce service fournit des services de traduction dadresses rseau (NAT), dadressage et de rsolution de noms pour tous les ordinateurs de votre rseau. Lorsque la fonction ICS est active, votre ordinateur devient une "passerelle Internet" sur le rseau et les autres ordinateurs clients peuvent partager une connexion Internet, par exemple une connexion distance ou large bande. Ce service fournit les services DHCP et DNS de base, mais il va fonctionner avec lensemble des services DHCP ou DNS de Windows. Lorsque les fonctions ICF et ICS agissent en tant que passerelles pour les autres ordinateurs de votre rseau, elles fournissent les services DHCP et DNS au rseau priv sur linterface rseau interne, mais pas sur linterface externe.
Tableau 28.20 : Nom du service systme : SharedAccess Protocole dapplication Serveur DHCP DNS DNS Protocole UDP UDP TCP Port 67 53 53
Le Centre de distribution de cls Kerberos

Lorsque vous utilisez le service Centre de distribution de cls Kerberos (KDC, Key Distribution Center), les utilisateurs peuvent se connecter au rseau par le biais du protocole dauthentification Kerberos, version 5. Comme pour toutes les autres implmentations du protocole Kerberos, le KDC est un processus unique qui fournit deux services : le service Authentification et le service daccord de tickets. Le premier met des tickets daccord et le second met des tickets pour la connexion vers des ordinateurs de son propre domaine.
Tableau 28.21 : Nom du service systme : kdc Protocole dapplication Kerberos Kerberos Protocole TCP UDP Port 88 88
939
Chapitre 28
Lenregistrement de licences
Le service denregistrement de licences est un outil qui avait t conu lorigine pour aider les clients grer les licences des produits serveurs Microsoft utilisant le modle Licence dAccs Client (CAL) au serveur. Lenregistrement de licences a t introduit avec Windows NT Server 3.51. Par dfaut, le service denregistrement de licences est dsactiv dans Windows Server 2003. En raison des contraintes hrites lies la conception et de lvolution des termes des licences, lenregistrement de licences peut ne pas indiquer de faon prcise le nombre total de CAL achetes par rapport au nombre total de CAL utilises sur un serveur particulier ou dans toute lentreprise. Les CAL mentionnes par lenregistrement de licences peuvent entrer en conflit avec linterprtation du contrat de licence utilisateur final (CLUF) et avec les droits dutilisation des produits (PUR, Product Use Rights). Dailleurs, il semblerait que lenregistrement de licences ne soit pas fourni avec les versions futures du systme dexploitation Windows. Microsoft recommande par contre aux utilisateurs des systmes dexploitation de la gamme Small Business Server uniquement, dactiver ce service sur leurs serveurs.
Tableau 28.22 : Nom du service systme : LicenseService Protocole dapplication Service de datagramme NetBIOS Service de session NetBIOS SMB Protocole UDP TCP TCP Port 138 139 445
Le service Message Queuing (MSMQ)

Le service Message Queuing (MSMQ) est un outil de dveloppement et dinfrastructure de messagerie pour crer des applications de messagerie distribues pour des programmes excutant Windows. Ces programmes peuvent communiquer entre des rseaux htrognes et envoyer des messages entre des ordinateurs qui peuvent ne pas parvenir temporairement se connecter les uns aux autres. Message Queuing fournit une scurit, un routage efficace, une prise en charge denvoi de messages lintrieur des transactions, une messagerie base sur la priorit et une livraison de message garantie.
Tableau 28.23 : Nom du service systme : MSMQ Protocole dapplication MSMQ MSMQ MSMQ- Contrleurs de domaine Protocole TCP UDP TCP Port 1801 1801 2101
940
Protocole dapplication MSMQ-Mgmt MSMQ-Ping MSMQ-RPC MSMQ-RPC RPC
Protocole TCP UDP TCP TCP TCP
Port 2107 3527 2105 2103 135
LAffichage des messages

Le service Affichage des messages envoie des messages des utilisateurs et ordinateurs, des administrateurs et au service Alertes, ou reoit des messages deux. Si vous le dsactivez, les ordinateurs ou utilisateurs actuellement connects sur le rseau ne reoivent plus de notifications. En outre, les commandes net send et net name ne fonctionnent plus.
Tableau 28.24 : Nom du service systme : Messenger Protocole dapplication Service de datagramme NetBIOS Protocole UDP Port 138
Les piles MTA Microsoft Exchange

Dans Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003, lAgent de transfert des messages (MTA, Message Transfer Agent) est souvent utilis pour fournir des services de transfert de messages compatibilit descendante entre des serveurs Exchange 2000 Server et Exchange Server 5.5 dans un environnement en mode mixte.
Tableau 28.25 : Nom du service systme : MSExchangeMTA Protocole dapplication X.400 Protocole TCP Port 102
Le Gestionnaire des oprations Microsoft 2000

Le Gestionnaire des oprations Microsoft (MOM, Microsoft Operations Manager) 2000 offre aux entreprises une gestion des oprations avec les fonctionnalits suivantes : gestion complte des vnements, alertes et surveillance proactives, gnration de 941
Chapitre 28
rapports et analyse des tendances. Ds que vous avez install le Service Pack 1 (SP1) MOM 2000, MOM 2000 nutilise plus un canal de communications en texte clair et tout le trafic entre lagent MOM et le serveur MOM est crypt sur le port TCP 1270. La console Administrateur MOM se connecte au serveur par lintermdiaire de DCOM. Cela signifie que les administrateurs qui grent le serveur MOM sur le rseau doivent avoir accs aux ports TCP alatoires levs.
Tableau 28.26 : Nom du service systme : one point Protocole dapplication MOM-Clair MOM-Crypt Protocole TCP TCP Port 51515 1270
Le service POP3 Microsoft

Le service POP3 Microsoft fournit des services de rcupration et de transfert de messages lectroniques. Les administrateurs peuvent lutiliser pour stocker et grer des comptes de messagerie lectronique sur le serveur de messagerie. Lorsque vous installez ce service sur le serveur de messagerie, les utilisateurs peuvent se connecter ce serveur et rcuprer le courrier lectronique par le biais du client de messagerie qui prend en charge le protocole POP3, par exemple Outlook.
Tableau 28.27 : Nom du service systme : POP3SVC Protocole dapplication POP3 Protocole TCP Port 110
Le service MSSQLSERVER
MSSQLSERVER est un service systme de Microsoft SQL Server 2000. SQL Server constitue une plateforme complte pour la gestion de donnes. Grce lutilitaire Rseau Serveur, vous pouvez configurer les ports utiliss par chaque instance de SQL Server.
Tableau 28.28 : Nom du service systme : MSSQLSERVER Protocole dapplication SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434
942
Le service MSSQL$UDDI
Le service MSSQL$UDDI est install en mme temps que la fonctionnalit UDDI (Universal Description, Discovery, and Integration) de Windows Server 2003. MSSQL$UDDI fournit lentreprise des services UDDI. Le moteur de base de donnes SQL Server est le composant principal de MSSQL$UDDI.
Tableau 28.29 : Nom du service systme : MSSQLSERVER Protocole dapplication SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434
LOuverture de session rseau

Le service Ouverture de session rseau maintient un canal de scurit entre votre ordinateur et le contrleur de domaine pour authentifier les utilisateurs et les services. Il transmet les informations didentification de lutilisateur un contrleur de domaine, puis renvoie lutilisateur les identificateurs de scurit du domaine et les droits utilisateur. Cette procdure est gnralement appele "authentification directe". Net Logon est configur pour dmarrer automatiquement uniquement lorsquun ordinateur membre ou un contrleur de domaine est joint un domaine. Dans la gamme Windows 2000 Server et Windows Server 2003, lOuverture de session rseau publie des enregistrements de localisation de ressource de service dans le DNS. Lorsquil est excut, ce service repose sur les services Serveur et Autorit de scurit locale pour surveiller les requtes entrantes. Sur les ordinateurs membres du domaine, lOuverture de session rseau utilise RPC sur des canaux nomms. Sur les contrleurs de domaine, elle utilise RPC sur des canaux nomms, RPC sur TCP/IP, des mailslots et le protocole LDAP (Lightweight Directory Access Protocol).
Tableau 28.30 : Nom du service systme : Netlogon Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS SMB Protocole UDP UDP TCP TCP Port 138 137 139 445
Le Partage de Bureau distance NetMeeting

Le service Partage de Bureau distance NetMeeting permet aux utilisateurs autoriss daccder distance votre Bureau Windows partir dun autre ordinateur personnel 943
Chapitre 28
sur un intranet dentreprise par le biais de Windows NetMeeting. Vous devez activer explicitement ce service dans NetMeeting. Pour dsactiver ou arrter cette fonction, utilisez licne situe dans la zone de notification Windows.
Tableau 28.31 : Nom du service systme : mnmsrvc Protocole dapplication Services Terminal Server Protocole TCP Port 3389
Network News Transfer Protocol (NNTP)

Le service NNTP permet aux ordinateurs Windows Server 2003 dagir en tant que serveurs de news. Les clients peuvent utiliser un client de news, tel que Microsoft Outlook Express, pour rcuprer des groupes de discussion partir du serveur et lire les en-ttes ou le contenu des articles dans chaque groupe de discussion.
Tableau 28.32 : Nom du service systme : NNTPSVC Protocole dapplication NNTP NNTP sur SSL Protocole TCP TCP Port 119 563
Le service Journaux et alertes de performance

Le service Journaux et alertes de performance collecte, en fonction des paramtres de planification prconfigurs, les donnes de performance provenant des ordinateurs locaux ou distants, puis les consigne dans un journal ou dclenche lenvoi dun message. Selon les informations contenues dans le paramtre de collecte du journal, le service Journaux et alertes de performance dmarre et arrte chaque collecte de donnes de performance nomme. Ce service sexcute uniquement si au moins une collecte de donnes de performance est planifie.
Tableau 28.33 : Nom du service systme : SysmonLog Protocole dapplication Service de session NetBIOS Protocole TCP Port 139
Le Spouleur dimpression
Le service Spouleur dimpression gre toutes les files dattente dimpression locale et rseau et contrle tous les travaux dimpression. Le Spouleur dimpression est le centre
944
du sous-systme dimpression Windows. Il gre les files dattente dimpression sur le systme et communique avec les pilotes dimprimantes et les composants dentre/sortie (E/S), tels que le port USB et la suite de protocoles TCP/IP.
Tableau 28.34 : Nom du service systme : Spooler Protocole dapplication Service de session NetBIOS SMB Protocole TCP TCP Port 139 445
LInstallation distance
Vous pouvez utiliser le service dinstallation distance pour installer Windows 2000, Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le dmarrage distance dans un environnement dexcution de prdmarrage (PXE, Pre-Boot EXecution Environment). Le service BINL (Boot Information Negotiation Layer), composant principal du serveur dinstallation distance RIS (Remote Installation Server), rpond aux demandes des clients PXE, vrifie Active Directory pour la validation client et transmet les informations client vers et depuis le serveur. Ce service est install soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalit Ajout/Suppression de composants Windows, soit lorsque vous le slectionnez lors de la premire installation du systme dexploitation.
Tableau 28.35 : Nom du service systme : BINLSVC Protocole dapplication BINL Protocole UDP Port 4011
LAppel de procdure distante (RPC)

Le service Appel de procdure distante est un mcanisme IPC (InterProcess Communication) qui active lchange de donnes et linvocation de fonctionnalits qui rsident dans un processus diffrent. Ce processus peut tre sur le mme ordinateur, sur le rseau local ou sur un emplacement distant. Il est accessible par le biais dune connexion WAN ou VPN. Le service RPC sert de mappeur de point final RPC et de Gestionnaire de contrle des services COM (Component Object Model). De nombreux services dpendent du service RPC pour dmarrer correctement.
Tableau 28.36 : Nom du service systme : RpcSs Protocole dapplication RPC RPC sur http Protocole TCP TCP Port 135 593
945
Chapitre 28
Le Localisateur dappels de procdure distante (RPC)

Le service Localisateur dappels de procdure distante gre la base de donnes du service de nom RPC. Lorsquil est dsactiv, les clients RPC peuvent rechercher des serveurs RPC. Ce service est dsactiv par dfaut.
Tableau 28.37 : Nom du service systme : RpcLocator Protocole dapplication Service de session NetBIOS SMB Protocole TCP TCP Port 139 445
La Notication de stockage tendu

28. Annexe II Les services et les ports rseau Le service Notification de stockage tendu avertit les utilisateurs lorsquils lisent des fichiers ou crivent dans des fichiers qui ne sont disponibles qu partir dun support de stockage secondaire. Si vous arrtez ce service, vous ne recevez plus cette notification.
Tableau 28.38 : Nom du service systme : Remote_Storage_User_Link Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Le Serveur de stockage tendu

Le service Serveur de stockage tendu stocke des fichiers rarement utiliss sur un support de stockage secondaire. Si vous arrtez ce service, les utilisateurs ne peuvent plus dplacer, ni rcuprer des fichiers partir de ce support.
Tableau 28.39 : Nom du service systme : Remote_Storage_Server Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Le Routage et accs distant

Le service Routage et accs distant fournit des services de routage multiprotocoles, de rseau local rseau local, de rseau local rseau tendu, ou utilisant les rseaux privs virtuels (VPN) ou la traduction dadresses rseau (NAT). En outre, ce service 946
fournit galement des services daccs distance (connexion distance ou VPN). Mme sil est possible que le service Routage et accs distant utilise tous les protocoles suivants, il nutilise gnralement quun sous-ensemble de ces protocoles. Par exemple, si vous configurez une passerelle VPN qui se situe derrire un routeur de filtrage, vous utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanment L2TP et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (TCP sur le port 4500) et ISAKMP IPSec (TCP sur le port 500) par lintermdiaire du routeur. Routage et accs distant Mme si NAT-T et ISAKMP IPSec sont requis pour le protocole L2TP, ces ports sont en fait surveills par lAutorit de scurit locale.
Tableau 28.40 : Nom du service systme : RemoteAccess
Protocole dapplication GRE (protocole IP 47) AH IPSec (protocole IP 51) ESP IPSec (protocole IP 50) L2TP PPTP
Protocole GRE AH ESP UDP TCP
Port n/a n/a n/a 1701 1723
Le Serveur
Le service Serveur assure la prise en charge de RPC et le partage de fichiers, dimpression et des canaux nomms sur le rseau. Il permet le partage des ressources locales, telles que les disques et les imprimantes, pour que les autres utilisateurs sur le rseau puissent y accder. Il permet galement la communication des canaux nomms entre les programmes excuts sur lordinateur local et sur les autres ordinateurs. La communication des canaux nomms correspond la mmoire rserve la sortie dun processus qui doit tre utilis comme entre pour un autre processus. Le processus dacceptation dentre ne doit pas obligatoirement avoir lieu sur lordinateur local.
Tableau 28.41 : Nom du service systme : lanmanserver Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS SMB Protocole UDP UDP TCP TCP Port 138 137 139 445
947
Chapitre 28
Le service SharePoint Portal Server

Avec le service SharePoint Portal Server, vous pouvez dvelopper un portail intelligent qui connecte de faon transparente les utilisateurs, les quipes et les connaissances. Il est ainsi possible de tirer parti des informations pertinentes dans tous les processus dentreprise. Microsoft SharePoint Portal Server 2003 fournit aux entreprises une seule solution commerciale qui intgre toutes les informations provenant de divers systmes grce aux capacits dintgration des applications dentreprise et dauthentification unique.
Tableau 28.42 : SharePoint Portal Server Protocole dapplication HTTP HTTPS Protocole TCP TCP Port 80 443
Le service Simple Mail Transfer Protocol (SMTP)

Le service SMTP est un agent de relais et de dpt de messages lectroniques. Il accepte et met dans des files dattente les messages pour des destinations distantes et il ressaie des intervalles dfinis. Les contrleurs de domaine utilisent le service SMTP pour la rplication du courrier lectronique intersite. Les objets CDO (Collaboration Data Objects) pour le composant COM Windows Server 2003 peuvent utiliser ce service pour envoyer et placer en file dattente le courrier sortant.
Tableau 28.43 : Nom du service systme : SMTPSVC Protocole dapplication SMTP SMTP Protocole TCP UDP Port 25 25
Les services TCP/IP simples

Les services TCP/IP simples implmentent la prise en charge des protocoles suivants :
j j j j j
le port Echo 7, RFC 862 ; le port Discard 9, RFC 863 ; le port Character Generator 19, RFC 864 ; le port Daytime 13, RFC 867 ; le port Quote of the Day 17, RFC 865.
948
Tableau 28.44 : Nom du service systme : SimpTcp Protocole dapplication Chargen Chargen Daytime Daytime Discard Discard Echo Echo Quotd Quotd Protocole TCP UDP TCP UDP TCP UDP TCP UDP TCP UDP Port 19 19 13 13 9 9 7 7 17 17
LAgent de contrle distance SMS

LAgent de contrle distance est un service de Microsoft Systems Management Server (SMS) 2003. Il fournit une solution complte de modification et de gestion de la configuration pour les systmes dexploitation Microsoft. Grce cette solution, les organisations peuvent fournir aux utilisateurs des logiciels et des mises jour appropris.
Tableau 28.45 : Nom du service systme : Wuser32 Protocole dapplication Conversation distance SMS Conversation distance SMS Contrle distance SMS (contrle) Contrle distance SMS (contrle) Contrle distance SMS (donnes) Contrle distance SMS (donnes) Transfert de fichiers distance SMS Transfert de fichiers distance SMS Protocole TCP UDP TCP UDP TCP UDP TCP UDP Port 2703 2703 2701 2701 2702 2702 2704 2704
Le service SNMP
Le service SNMP permet lordinateur local de traiter les requtes SNMP (Simple Network Management Protocol) entrantes. Il comprend des agents qui surveillent 949
Chapitre 28
lactivit des priphriques rseau et en rendent compte la station de travail de la console rseau. Ce service fournit une mthode pour grer les htes rseau (tels que les stations de travail ou les serveurs, les routeurs, les ponts et les concentrateurs) partir dun ordinateur central qui excute le logiciel de gestion rseau. SNMP utilise une architecture distribue de systmes et agents de gestion pour fournir ces services.
Tableau 28.46 : Nom du service systme : SNMP Protocole dapplication SNMP Protocole UDP Port 161
Le service dinterruption SNMP

Le Service dinterruption SNMP reoit les messages dinterception gnrs par les agents SNMP locaux ou distants et les transmet aux programmes de gestion SNMP qui sexcutent sur votre ordinateur. Ce service, lorsquil est configur pour un agent, gnre des messages dinterception ds quun vnement spcifique se produit. Ces messages sont envoys vers une destination des interruptions. Par exemple, un agent peut tre configur pour lancer une interruption dauthentification lorsquun systme de gestion non reconnu envoie une demande dinformations. Les destinations des interruptions comprennent le nom et ladresse IP de lordinateur ou ladresse IPX (Internetwork Packet Exchange) du systme de gestion. Chaque destination des interruptions doit tre un hte rseau sur lequel est excut le logiciel de gestion SNMP.
Tableau 28.47 : Nom du service systme : SNMPTRAP Protocole dapplication Interruptions SNMP sortantes Protocole UDP Port 162
Le service SQL Analysis Server

Le service SQL Analysis Server est un composant de SQL Server 2000 qui vous permet de crer et grer des cubes et des modles de Mining OLAP. Le serveur danalyse peut accder aux sources de donnes locales ou distantes pour crer et stocker des cubes ou des modles de Mining.
Tableau 28.48 : SQL Analysis Services Protocole dapplication SQL Analysis Services Protocole TCP Port 2725
950
Le service SQL Server : prise en charge des clients OLAP de niveau infrieur
Ce service est utilis par SQL Server 2000 lorsque le service SQL Analysis Server doit prendre en charge les connexions des clients de niveau infrieur (services OLAP 7.0). Il sagit des ports par dfaut pour les services OLAP utiliss par SQL 7.0.
Tableau 28.49 : prise en charge des clients OLAP de niveau infrieur Protocole dapplication Services OLAP 7.0 Services OLAP 7.0 Protocole TCP TCP Port 2393 2394
Le service de dcouvertes SSDP

Le service de dcouvertes SSDP implmente le protocole SSDP (Simple Service Discovery Protocol) en tant que service Windows. Ce service gre la rception des annonces de prsence des priphriques, met jour son cache et transmet ces notifications aux clients dont les demandes de recherche sont en attente. Il accepte galement lenregistrement des rappels dvnements provenant de clients, les transforme en demandes dabonnement et surveille les notifications dvnements. Ensuite, il transmet ces demandes ainsi que les rappels dvnements enregistrs. Ce service fournit galement des priphriques htes avec des annonces priodiques. Le service de notification dvnements SSDP utilise le port TCP 2869.
Tableau 28.50 : Nom du service systme : SSDPRSR Protocole dapplication SSDP Notification dvnements SSDP Notification dvnements hrits SSDP Protocole UDP TCP TCP Port 1900 2869 5000
Microsoft Systems Management Server 2.0

Microsoft Systems Management Server (SMS) 2003 fournit une solution complte de modification et de gestion de la configuration pour les systmes dexploitation Microsoft. Grce cette solution, les organisations peuvent fournir aux utilisateurs des logiciels et des mises jour appropris, rapidement et de manire rentable.
951
Chapitre 28
Tableau 28.51 : Systems Management Server 2.0 Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS RPC Ports TCP alatoires levs Protocole UDP UDP TCP TCP TCP Port 138 137 139 135 1024-65534
Le Serveur dimpression TCP/IP

28. Annexe II Les services et les ports rseau Le service Serveur dimpression TCP/IP active limpression TCP/IP par le biais du protocole LPD (Line Printer Daemon). Le service LPD sur le serveur reoit des documents des utilitaires LPR (Line Printer Remote) fonctionnant sur des ordinateurs Unix.
Tableau 28.52 : Nom du service systme : LPDSVC Protocole dapplication LPD Protocole TCP Port 515
Le service Telnet
Le service Telnet pour Windows permet aux clients Telnet douvrir des sessions sur des terminaux ASCII. Le serveur Telnet prend en charge deux types dauthentification et les quatre types de terminaux suivants :
j j j j
ANSI (American National Standard Institute) ; VT-100 ; VT-52 ; VTNT.
Tableau 28.53 : Nom du service systme : TlntSvr Protocole dapplication Telnet Protocole TCP Port 23
Les services Terminal Server

Les services Terminal Server fournissent un environnement de sessions multiples permettant aux priphriques clients daccder une session virtuelle du Bureau 952
Windows et des programmes Windows excuts sur le serveur. Ces services autorisent la connexion interactive de plusieurs utilisateurs un ordinateur.
Tableau 28.54 : Nom du service systme : TermService Protocole dapplication Services Terminal Server Protocole TCP Port 3389
La Gestion de licences Terminal Server

Le service Gestion de licences Terminal Server installe un serveur de licences et donne les licences aux clients enregistrs lorsquils se connectent un serveur Terminal Server (cest--dire un serveur sur lequel Terminal Server est activ). Ce service faible impact stocke les licences client octroyes un serveur Terminal Server, puis effectue ensuite le suivi des licences dlivres aux ordinateurs ou terminaux clients.
Tableau 28.55 : Nom du service systme : TermServLicensing Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
LAnnuaire de session des services Terminal Server

Avec le service Annuaire de session des services Terminal Server, les clusters des serveurs Terminal Server avec rpartition de charge peuvent router correctement toute demande de connexion au serveur, sur lequel lutilisateur a dj ouvert une session. Les utilisateurs sont dirigs vers le premier serveur Terminal Server disponible, mme sils ont une autre session en cours dexcution dans le cluster de serveurs. La fonction de rpartition de charge regroupe les ressources de traitement de plusieurs serveurs en utilisant le protocole rseau TCP/IP. Vous pouvez utiliser ce service avec un cluster de serveurs Terminal Server pour accrotre les performances dun seul serveur en rpartissant les sessions sur plusieurs serveurs. LAnnuaire de session des services Terminal Server effectue le suivi des sessions dconnectes sur le cluster et vrifie que les utilisateurs sont reconnects ces sessions.
Tableau 28.56 : Nom du service systme : Tssdis Protocole dapplication RPC Protocole TCP Port 135
953
Chapitre 28
Protocole dapplication Ports TCP alatoires levs
Protocole TCP
Port 1024-65534
Le service Trivial FTP

Le service Trivial FTP ne ncessite pas de nom dutilisateur, ni de mot de passe. Il fait partie intgrante des services dinstallation distance RIS (Remote Installation Services). Il assure la prise en charge du protocole TFTP (Trivial FTP Protocol) dfini dans les spcifications RFC suivantes :
j j
RFC 1350 TFTP ; RFC 2347 extension doptions ; RFC 2348 option de taille de bloc ; RFC 2349 intervalle du dlai dexpiration et options de taille de transfert.
j j
TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers conu pour prendre en charge les environnements de dmarrage sans disque. Le service TFTP est lcoute sur le port UDP 69, mais il rpond partir dun port alatoire lev. Par consquent, lactivation de ce port permet au service TFTP de recevoir des demandes TFTP entrantes, mais cela ne permet pas au serveur slectionn de rpondre ces demandes. Le service est libre de rpondre toute demande de ce type provenant du port source souhait et le client distant utilisera ensuite ce port pour la dure du transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole travers un pare-feu, il peut tre utile douvrir le port UDP 69 entrant. Vous pouvez vous reposer ensuite sur dautres fonctionnalits de pare-feu, qui permettent de manire dynamique au service de rpondre par le biais de trous temporaires sur tout autre port.
Tableau 28.57 : Nom du service systme : tftpd Protocole dapplication TFTP Protocole UDP Port 69
LHte priphrique Plug-and-Play universel

Le service Hte priphrique Plug-and-Play universel implmente tous les composants requis pour enregistrer et contrler les priphriques et rpondre aux vnements des priphriques htes. Les informations enregistres et se rapportant un priphrique (description, dures de vie et conteneurs) sont, si vous le souhaitez, stockes sur disque et diffuses sur le rseau aprs enregistrement, ou lorsque le systme dexploitation
954
redmarre. Ce service comprend galement le serveur web utilis par le priphrique, outre les descriptions de services et la page de prsentation.
Tableau 28.58 : Nom du service systme : UPNPHost Protocole dapplication UPNP Protocole TCP Port 2869
Windows Internet Name Service (WINS)

WINS active la rsolution de noms NetBIOS. Il vous aide localiser des ressources rseau laide des noms NetBIOS. Les serveurs WINS sont requis sauf si tous les domaines ont t mis jour vers le service dannuaire Active Directory et si tous les ordinateurs du rseau excutent Windows 2000 ou version ultrieure. Ces serveurs communiquent avec les clients rseau en utilisant la rsolution de noms NetBIOS. La rplication WINS est requise uniquement entre les serveurs WINS.
Tableau 28.59 : Nom du service systme : WINS Protocole dapplication Rsolution de noms NetBIOS Rplication WINS Rplication WINS Protocole UDP TCP UDP Port 137 42 42
Les services Windows Media

Les services Windows Media de Windows Server 2003 remplacent les quatre services suivants fournis avec les versions 4.0 et 4.1 des services Windows Media :
j j j j
le service Moniteur Windows Media ; le service Programme Windows Media ; le service Station Windows Media ; le service Monodiffusion Windows Media.
Les services Windows Media sont prsent regroups en un seul service qui sexcute sur Windows Server 2003. Ses principaux composants ont t dvelopps par le biais du composant COM ; ce service a une architecture souple que vous pouvez personnaliser en fonction de programmes particuliers. Il prend en charge un plus grand nombre de protocoles de contrle, notamment les protocoles RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) et HTTP. 955
Chapitre 28
Tableau 28.60 : Nom du service systme : WMServer Protocole dapplication HTTP MMS MMS MS Theater RTCP RTP RTSP Protocole TCP TCP UDP UDP UDP UDP TCP Port 80 1755 1755 2460 5005 5004 554
Le service de temps Windows

Le service de temps Windows assure la synchronisation de la date et lheure sur tous les ordinateurs Windows XP et Windows Server 2003 dun rseau. Il utilise le protocole NTP (Network Time Protocol) pour synchroniser les horloges des ordinateurs. Ainsi, lheure et la date indiques pour la validation rseau et sur les demandes daccs aux ressources sont toujours prcises. Limplmentation de NTP et lintgration de fournisseurs de temps contribuent faire du service de temps Windows un outil fiable et modulable pour votre entreprise. Pour les ordinateurs nappartenant pas un domaine, vous pouvez configurer le service de temps Windows pour quil synchronise lheure avec une source externe. Si ce service est dsactiv, le rglage de lheure sur les ordinateurs locaux nest pas synchronis avec un service de temps dans le domaine Windows ni avec un service externe. Windows Server 2003 utilise NTP, qui sexcute sur le port UDP 123. La version Windows 2000 de ce service utilise le protocole SNTP (Simple Network Time Protocol), qui sexcute galement sur le port UDP 123.
Tableau 28.61 : Nom du service systme : W32Time Protocole dapplication NTP SNTP Protocole UDP UDP Port 123 123
Le service de publication World Wide Web

Le service de publication World Wide Web fournit linfrastructure ncessaire pour enregistrer, grer, surveiller et utiliser les sites et programmes web enregistrs avec IIS. Ce service comprend un gestionnaire de processus et un gestionnaire de configuration. Le premier contrle les processus o rsident des applications personnalises et des sites web. Le second lit la configuration systme enregistre pour le service de 956
Les ports et les protocoles
publication World Wide Web et vrifie que le fichier Http.sys est configur pour router les demandes HTTP vers les processus de pools dapplication ou de systmes dexploitation appropris. Vous pouvez configurer les ports utiliss par ce service laide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Si le site web administratif est activ, un site web virtuel est cr qui utilise le trafic HTTP sur le port TCP 8098.
Tableau 28.62 : Nom du service systme : W3SVC Protocole dapplication HTTP HTTPS Protocole TCP TCP Port 80 443
28.2. Les ports et les protocoles

Cette partie prsente un tableau class par numro de port et non par nom des services.
Tableau 28.63 : Ports et protocoles Port n/a n/a n/a 7 7 9 9 13 13 Protocole GRE ESP AH TCP UDP TCP UDP TCP UDP Protocole dapplication GRE (protocole IP 47) ESP IPSec (protocole IP 50) Nom du service logique Routage et accs distant Routage et Accs distant Nom du service systme RemoteAccess RemoteAccess RemoteAccess SimpTcp SimpTcp SimpTcp SimpTcp SimpTcp SimpTcp
AH IPSec (protocole IP Routage et accs 51) distant Echo Echo Discard Discard Daytime Daytime Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services
957
Chapitre 28
Port 17 17 19 19 20 21 21
Protocole TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP UDP TCP UDP TCP UDP TCP
Protocole dapplication Quotd Quotd Chargen Chargen FTP default data FTP control FTP control Telnet SMTP SMTP SMTP SMTP WINS Replication WINS Replication DNS DNS DNS
Nom du service logique Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services
Nom du service systme SimpTcp SimpTcp SimpTcp SimpTcp
FTP Publishing Service MSFtpsvc FTP Publishing Service MSFtpsvc Application Layer Gateway Service Telnet Simple Mail Transport Protocol Simple Mail Transport Protocol Exchange Server Exchange Server Windows Internet Name Service Windows Internet Name Service DNS Server DNS Server Internet Connection Firewall/Internet Connection Sharing Internet Connection Firewall/Internet Connection Sharing DHCP Server Internet Connection Firewall/Internet Connection Sharing Trivial FTP Daemon Service WINS WINS DNS DNS SharedAccess ALG TlntSvr SMTPSVC SMTPSVC
23 25 25 25 25 42 42 53 53 53
53
UDP
DNS
SharedAccess
67 67
UDP UDP
DHCP Server DHCP Server
DHCPServer SharedAccess
69
UDP
TFTP
tftpd
958
Port 80 80 80 88 88 102 110 110 119 123 123 135 135 135 135 135 135 135 135
Protocole TCP TCP TCP TCP UDP TCP TCP TCP TCP UDP UDP TCP TCP TCP TCP TCP TCP TCP TCP
Protocole dapplication HTTP HTTP HTTP Kerberos Kerberos X.400 POP3 POP3 NNTP NTP SNTP RPC RPC RPC RPC RPC RPC RPC RPC
Nom du service logique Windows Media Services World Wide Web Publishing Service SharePoint Portal Server Kerberos Key Distribution Center Kerberos Key Distribution Center Microsoft Exchange MTA Stacks
Nom du service systme WMServer W3SVC
Kdc Kdc
Microsoft POP3 Service Exchange Server Network News Transfer Protocol Windows Time Windows Time Message Queuing Remote Procedure Call Exchange Server Certificate Services Cluster Service Distributed File System Distributed Link Tracking Distributed Transaction Coordinator Event Log Fax Service File Replication Local Security Authority
POP3SVC
NntpSvc W32Time W32Time msmq RpcSs
CertSvc ClusSvc DFS TrkSvr MSDTC
135 135 135 135
TCP TCP TCP TCP
RPC RPC RPC RPC
Eventlog Fax NtFrs LSASS
959
Chapitre 28
Port 135 135 135 135 135 137
Protocole TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP
Protocole dapplication RPC RPC RPC RPC RPC NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Session Service NetBIOS Session Service
Nom du service logique Remote Storage Notification Remote Storage Server Systems Management Server 2.0 Terminal Services Licensing Terminal Services Session Directory Computer Browser Server Windows Internet Name Service Net Logon Systems Management Server 2.0 Computer Browser Messenger Server Net Logon Distributed File System Systems Management Server 2.0 License Logging Service Computer Browser Fax Service
Nom du service systme Remote_Storage _User_Link Remote_Storage _Server
TermServLicensing Tssdis Browser lanmanserver WINS Netlogon
137 137 137 137 138 138 138 138 138 138 138 139 139
Browser Messenger lanmanserver Netlogon Dfs
LicenseService Browser Fax
960
Port 139 139 139 139 139 139 139 139 143 161 162 270 389 389 389 389 443 443 443 445 445
Protocole TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP TCP TCP UDP TCP UDP TCP TCP TCP TCP TCP
Protocole dapplication NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service IMAP SNMP SNMP Traps Outbound MOM 2004 LDAP Server LDAP Server LDAP Server LDAP Server HTTPS HTTPS HTTPS SMB SMB
Nom du service logique
Nom du service systme
Performance Logs and SysmonLog Alerts Print Spooler Server Net Logon Remote Procedure Call Locator Distributed File System Systems Management Server 2.0 License Logging Service Exchange Server SNMP Service SNMP Trap Service Microsoft Operations Manager 2004 Local Security Authority Local Security Authority Distributed File System Distributed File System HTTP SSL World Wide Web Publishing Service SharePoint Portal Server Fax Service License Logging Service Fax LicenseService SNMP SNMPTRAP MOM LSASS LSASS Dfs Dfs HTTPFilter W3SVC LicenseService Spooler lanmanserver Netlogon RpcLocator Dfs
961
Chapitre 28
Port 445 445 445 445 445 500 515 548
Protocole TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP
Protocole dapplication SMB SMB SMB SMB SMB IPSec ISAKMP LPD File Server for Macintosh RTSP NNTP over SSL RPC over HTTP RPC over HTTP LDAP SSL LDAP SSL IMAP over SSL POP3 over SSL MOM-Encrypted SQL over TCP SQL over TCP SQL Probe SQL Probe Legacy RADIUS Legacy RADIUS L2TP
Nom du service logique Print Spooler Server Remote Procedure Call Locator Distributed File System Net Logon Local Security Authority TCP/IP Print Server File Server for Macintosh Windows Media Services Network News Transfer Protocol Remote Procedure Call Exchange Server Local Security Authority Local Security Authority Exchange Server Exchange Server Microsoft Operations Manager 2000 Microsoft SQL Server MSSQL$UDDI Microsoft SQL Server MSSQL$UDDI Internet Authentication Service Internet Authentication Service Routing and Remote Access
Nom du service systme Spooler lanmanserver RpcLocator Dfs Dfs LSASS LPDSVC MacFile WMServer NntpSvc RpcSs
554 563 593 593 636 636 993 995 1270 1433 1433 1434 1434 1645 1646 1701
LSASS LSASS
one point SQLSERVR SQLSERVR SQLSERVR SQLSERVR IAS IAS RemoteAccess
962
Port 1723 1755 1755 1801 1801 1812 1813 1900 2101 2103 2105 2107 2393
Protocole TCP TCP UDP TCP UDP UDP UDP UDP TCP TCP TCP TCP TCP
Protocole dapplication PPTP MMS MMS MSMQ MSMQ
Nom du service logique Routing and Remote Access Windows Media Services Windows Media Services Message Queuing Message Queuing
Nom du service systme RemoteAccess WMServer WMServer msmq msmq IAS IAS
RADIUS Authentication Internet Authentication Service RADIUS Accounting SSDP MSMQ-DCs MSMQ-RPC MSMQ-RPC MSMQ-Mgmt OLAP Services 7.0 Internet Authentication Service SSDP Discovery Service Message Queuing Message Queuing Message Queuing Message Queuing SQL Server : Downlevel OLAP Client Support SQL Server : Downlevel OLAP Client Support Windows Media Services DHCP Server SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent
SSDPRSRV msmq msmq msmq msmq
2394
TCP
OLAP Services 7.0
2460 2535 2701 2701 2702 2702 2703
UDP UDP TCP UDP TCP UDP TCP
MS Theater MADCAP SMS Remote Control (control) SMS Remote Control (control) SMS Remote Control (data) SMS Remote Control (data) SMS Remote Chat
WMServer DHCPServer
963
Chapitre 28
Port 2703 2704 2704 2725 2869 2869
Protocole UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP TCP UDP UDP UDP TCP UDP UDP TCP TCP
Protocole dapplication SMS Remote Chat SMS Remote File Transfer SMS Remote File Transfer
Nom du service logique SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent
Nom du service systme
SQL Analysis Services SQL 2000 Analysis Server UPNP SSDP event notification Global Catalog Server Global Catalog Server Cluster Services Terminal Services Terminal Services MSMQ-Ping BINL NAT-T SSDP legacy event notification RTP RTCP Universal Plug and Play Device Host SSDP Discovery Service Local Security Authority Local Security Authority Cluster Service NetMeeting Remote Desktop Sharing Terminal Services Message Queuing Remote Installation Local Security Authority SSDP Discovery Service Windows Media Services Windows Media Services Microsoft Operations Manager 2000 UPNPHost SSDPRSRV LSASS LSASS ClusSvc mnmsrvc TermService msmq BINLSVC LSASS SSDPRSRV WMServer WMServer
3268 3269 3343 3389 3389 3527 4011 4500 5000 5004 5005 42424 51515
ASP.Net Session State ASP.NET State Service aspnet_state MOM-Clear one point
964
Les exigences relatives aux ports et aux protocoles Active Directory
28.3. Les exigences relatives aux ports et aux protocoles Active Directory
Les serveurs dapplications, les ordinateurs clients et les contrleurs de domaine situs dans des forts communes ou externes ont des dpendances de service qui permettent des oprations inities par lutilisateur ou par lordinateur (telles que la jonction de domaine, lauthentification douverture de session, ladministration distante et la rplication Active Directory) de fonctionner correctement. De tels services et oprations requirent une connectivit rseau sur des ports et des protocoles rseau spcifiques. Voici une liste (non exhaustive) de services, de ports et de protocoles ncessaires pour que les ordinateurs membres et les contrleurs de domaine puissent interoprer ou pour que les serveurs dapplications puissent accder Active Directory : 1. Active Directory/LSA. 2. Services de certificats (requis pour des configurations spcifiques). 3. Explorateur dordinateurs. 4. Serveur DHCP (si configur de cette manire). 5. Systme de fichiers distribus. 6. Serveur de suivi de lien distribu (facultatif mais activ par dfaut sur les ordinateurs Windows 2000). 7. Coordinateur de transactions distribues. 8. Serveur DNS (si configur de cette manire). 9. Journal des vnements. 10. Service de tlcopie (si configur de cette manire). 11. Rplication de fichiers. 12. Serveur de fichiers pour le Macintosh (si configur de cette manire). 13. HTTP SSL. 14. Service dauthentification Internet (si configur de cette manire). 15. Centre de distribution de cls Kerberos. 16. Enregistrement de licences (activ par dfaut). 17. Messenger. 18. Ouverture de session rseau. 19. Journaux et alertes de performance. 20. Spouleur dimpression. 28. Annexe II Les services et les ports rseau 965
Chapitre 28
21. Installation distance (si configur de cette manire). 22. Appel de procdure distante (RPC). 23. Localisateur dappels de procdure distante (RPC). 24. Notification de stockage tendu. 25. Serveur de stockage tendu. 26. Routage et accs distant. 27. Serveur. 28. Protocole SMTP (si configur de cette manire). 29. Service SNMP. 30. Service dinterruption SNMP. 31. Serveur dimpression TCP/IP. 28. Annexe II Les services et les ports rseau 32. Telnet. 33. Services Terminal Server. 34. Gestion de licences Terminal Server. 35. Annuaire de session des services Terminal Server. 36. WINS. 37. Temps Windows. 38. Service de publication World Wide Web.
966
Chapitre 29
Annexe III Glossaire
Annexe III - Glossaire
Accs distance
lment du service de routage et daccs distant au rseau destin aux tltravailleurs, aux employs itinrants et aux administrateurs systme qui surveillent et grent des serveurs de plusieurs succursales. Les utilisateurs qui excutent Windows et le module de connexion rseau peuvent composer un numro pour tablir une connexion distante leur rseau et accder des services tels que le partage de fichiers et dimprimantes, la messagerie lectronique, le planning, etc.
ACL discrtionnaire
Partie dun descripteur de scurit dobjet qui accorde ou refuse des utilisateurs ou des groupes particuliers lautorisation daccder lobjet. Seul le propritaire de lobjet peut modifier les autorisations accordes ou refuses dans un ACL discrtionnaire. Cela signifie que laccs lobjet est la discrtion de son propritaire. Anglais : DACL (Discretionary Access Control List).
ACT (Application Compatibility Toolkit)

Outil de gestion du cycle de vie. Il aide exploiter les ressources de la communaut pour les rsultats des tests de compatibilit des applications, la gestion du catalogue dapplications dune organisation, les problmes et solutions en termes de compatibilit des applications, les dploiements dapplications et la possibilit pour les entreprises de concentrer leurs efforts de compatibilit des applications afin de permettre le dploiement facile et rapide dun nouveau systme dexploitation. 29. Annexe III Glossaire
Acrobat
Format standard de lditeur Adobe destin la cration et la diffusion des documents lectroniques compatibles sur toutes les plateformes. Le plugin Acrobat Reader, gratuit et tlchargeable, permet de consulter les documents dans ce format.
Actif, active
Qualifie un objet (fentre ou icne) qui est slectionn, en cours dutilisation. Le systme dexploitation applique toujours, la fentre active, la prochaine commande ou frappe de touche que vous excutez. Les fentres ou les icnes du Bureau qui ne sont pas slectionnes sont inactives.
Active Directory
Active Directory est un annuaire au sens informatique et technique charg de rpertorier tout ce qui touche au rseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers partags, etc. Lutilisateur peut ainsi trouver facilement des ressources partages, et les administrateurs peuvent contrler leurs 969
Chapitre 29
utilisations grce des fonctionnalits de distribution, de duplication, de partitionnement et de scurisation des accs aux ressources rpertories. Active Directory donne aux administrateurs la possibilit dadministrer linfrastructure de faon centralise et dcentralise. Il est possible dinterroger lannuaire pour obtenir une liste des objets possdant des attributs, en formulant par exemple une requte du type : "Trouver toutes les imprimantes couleur de ltage 2".
ActiveX
Ensemble de technologies permettant des composants logiciels de dialoguer entre eux au sein dun environnement rseau, quel que soit le langage dans lequel ils ont t crs.
Administrateur
Pour les versions professionnelles de Windows Vista, cest la personne qui est responsable de la configuration et de la gestion des contrleurs de domaine ou des ordinateurs locaux et de leurs comptes de groupes ou dutilisateurs, qui attribue les mots de passe et les autorisations et aide les utilisateurs rsoudre leurs problmes de rseau. Les administrateurs sont membres du groupe Administrateurs et possdent le contrle total sur le domaine ou lordinateur. Pour les versions familiales de Windows Vista, cest la personne qui peut appliquer des modifications lordinateur au niveau du systme, installer des logiciels et accder tous les fichiers de lordinateur. Une personne possdant un compte dadministrateur dispose dun accs total tous les comptes utilisateur de lordinateur.
29. Annexe III Glossaire
Administrateur dordinateur
Utilisateur qui gre un ordinateur. Ladministrateur de lordinateur est autoris apporter des modifications systme lordinateur, notamment installer des logiciels et accder tous les fichiers de lordinateur. Il peut galement crer, modifier et supprimer les comptes des autres utilisateurs.
Adresse Internet
Adresse qui identifie de faon unique un emplacement sur Internet. Elle commence habituellement par un nom de protocole, suivi par le nom de lorganisation qui gre le site et le suffixe identifiant le type dorganisation. Par exemple, dans ladresse http://www .yale.edu/, http reprsente le serveur web qui utilise le protocole HTTP (Hypertext Transfer Protocol), www indique que le site est situ sur le World Wide Web et edu indique quil sagit dun tablissement denseignement. Elle peut tre plus dtaille et contenir par exemple le nom dune page hypertexte, gnralement identifie par lextension de nom de fichier .html ou .htm. Anglais : URL (Uniform Resource Locator).
970
Adresse IP
Adresse 32 bits, utilise pour identifier un nud au sein dun rseau dinterconnexion IP. Chaque nud du rseau dinterconnexion IP doit possder une adresse IP unique, compose de lID rseau et dun ID hte unique. En rgle gnrale, la valeur dcimale de chaque octet est spare par un point (par exemple, 192.168.7.27). Dans cette version de Windows, vous pouvez configurer ladresse IP de manire statique ou dynamique par lintermdiaire de DHCP.
ADSL (Asymmetric Digital Subscriber Line)

Technologie de transmission numrique haut dbit qui utilise les lignes tlphoniques existantes tout en permettant la transmission simultane de donnes vocales sur ces mmes lignes. Lessentiel du trafic est transmis vers lutilisateur des vitesses comprises gnralement entre 512 kbits/s et 6 Mbits/s.
Alerte de protection de la scurit

Lorsquune alerte de Norton Internet Security apparat, lisez le message avant de prendre une dcision. Identifiez le type dalerte et le niveau de scurit, valuez les risques et faites un choix en prenant le temps ncessaire. Tant que lalerte est active, votre ordinateur est labri des attaques dans la plupart des cas.
Appartenance un groupe
Un compte dutilisateur peut appartenir un groupe. Les autorisations et les droits accords un groupe le sont galement ses membres. Dans la plupart des cas, les actions quun utilisateur peut excuter sous Windows sont dtermines par lappartenance un groupe du compte dutilisateur sur lequel lutilisateur a ouvert une session.
Attribut
Pour les fichiers, informations qui indiquent si un fichier est en lecture seule, cach, prt pour larchivage (sauvegarde), compress ou crypt, et si le contenu de ce fichier doit tre index pour la recherche rapide des fichiers.
Audit
Processus de suivi des activits des utilisateurs par lenregistrement des types dvnements slectionns dans le journal scurit dun serveur ou dune station de travail.
971
Chapitre 29
Autorisation
Processus qui dtermine ce quun utilisateur est autoris faire sur un systme informatique ou un rseau. Rgle associe un objet en vue de dterminer les utilisateurs qui peuvent accder lobjet et la manire quils doivent employer. Les autorisations sont accordes ou refuses par le propritaire de lobjet.
Autorisations daccs spciales

Ensemble personnalis dautorisations sur des volumes NTFS. Vous pouvez personnaliser des autorisations sur des fichiers et des rpertoires en slectionnant des composants appartenant aux ensembles dautorisations standards.
Autorisations hrites
Autorisations portant sur un objet et qui sont automatiquement hrites de son objet parent. Les autorisations hrites ne peuvent pas tre modifies.
Authentication
Processus de vrification de la nature relle ou prtendue dune entit ou dun objet. Lauthentification consiste par exemple confirmer la source et lintgrit des informations, vrifier une signature numrique ou lidentit dun utilisateur ou dun ordinateur.
Backdoor
Littralement, "porte arrire". Elle permet aux pirates daccder illgalement un logiciel ou un systme dexploitation en utilisant une autre issue que celle qui est officielle.
Bande passante
Reprsente la quantit de donnes pouvant tre achemines par le biais dune connexion rseau. La bande passante se mesure habituellement en bits par seconde (bps).
Barre des tches

Barre qui contient le bouton de dmarrage et qui apparat par dfaut sur le bord infrieur du Bureau. Vous pouvez cliquer sur les boutons de la barre des tches pour permuter les programmes. Vous pouvez aussi masquer la barre des tches et la dplacer. Vous avez galement la possibilit de la personnaliser de nombreuses manires. 972
Base de connaissances
Partie dun systme expert contenant lensemble des informations, en particulier des rgles et des faits, qui constituent le domaine de comptence du systme. Anglais : knowledge base.
Bluetooth
Norme de communication par ondes radio avec un rayon daction de 1 m 100 m suivant les appareils, dveloppe par le Bluetooth SIG. Elle est utilise avant tout sur les tlphones mobiles, les oreillettes sans fil et les assistants personnels. Norme permettant de relier deux appareils par une connexion radio dans un rayon de 10 m 100 m, sur une bande radio de 2,4 GHz. Elle est destine remplacer terme les liaisons infrarouges.
Bogue
De langlais, bug (punaise, insecte, microbe). En informatique, erreur, dfaut dans un programme, ce qui provoque des dysfonctionnements. 29. Annexe III Glossaire
Browser
Voir Navigateur.
Bug
Voir Bogue.
Bureau
Zone de travail de lcran dans laquelle apparaissent les fentres, les icnes, les menus et les botes de dialogue.
Byte
Voir Octet.
Carte mre
La carte mre runit des composants aussi essentiels que le processeur, la mmoire vive, des systmes de bus de donnes et des connecteurs dextension pour relier une carte son ou une carte graphique, par exemple. La carte mre est le centre nerveux dun ordinateur, le lieu dchange de donnes et de calcul.
973
Chapitre 29
Carte vido
Carte dextension enfiche dans un ordinateur personnel pour lui donner des capacits daffichage. Celles-ci dpendent des circuits logiques (fournis par la carte vido) et du moniteur. Chaque carte propose plusieurs modes vido diffrents. Ceux-ci appartiennent aux deux catgories de base : le mode texte et le mode graphique. Certains moniteurs permettent en outre de choisir la rsolution du mode texte et du mode graphique. Un moniteur peut afficher davantage de couleurs aux rsolutions les plus basses. Les cartes actuelles contiennent de la mmoire afin que la mmoire vive de lordinateur ne soit pas sollicite pour stocker les affichages. En outre, la plupart des cartes possdent leur propre coprocesseur graphique qui se charge des calculs lis laffichage graphique. Ces cartes sont souvent appeles "acclrateurs graphiques".
Certicat
Document numrique communment employ pour lauthentification et la scurisation des changes dinformations sur les rseaux ouverts tels quInternet, ou les extranets et les intranets. Un certificat lie de manire scurise une cl publique lentit qui possde la cl prive correspondante. Les certificats sont signs numriquement par lautorit de certification mettrice et peuvent tre mis pour un utilisateur, un ordinateur ou un service. Le format de certificat le plus largement accept est dfini par la norme internationale ITU-T X.509.
Cheval de Troie
Programme qui se fait passer pour un autre programme commun en vue de recevoir des informations. Par exemple, un programme usurpe lidentit dune session systme pour extraire des noms dutilisateur et des mots de passe susceptibles daider les dveloppeurs du cheval de Troie pntrer ultrieurement dans le systme. Synonyme : troyen. Anglais : trojan.
Classe dadresses
Groupements prdfinis dadresses Internet, dont chaque classe dfinit des rseaux possdant une taille dtermine. La plage de nombres susceptibles dtre affects au premier octet de ladresse IP varie en fonction de la classe dadresses. Les rseaux de classe A (dont les valeurs sont comprises entre 1 et 126) sont les plus grands, chacun deux peut relier plus de 16 millions dhtes. Les rseaux de classe B (dont les valeurs sont comprises entre 128 et 191) peuvent relier jusqu 65 534 htes par rseau, tandis que les rseaux de classe C (dont les valeurs sont comprises entre 192 et 223) peuvent regrouper jusqu 254 htes par rseau.
974
Cl
Dans la Base de registre, dossier qui apparat dans le panneau gauche de la fentre de lditeur. Une cl peut contenir des sous-cls ainsi que des rubriques values. Environment, par exemple, est une cl contenue dans HKEY_CURRENT_USER.
Communication sans l
Elle est possible entre deux ordinateurs ou entre un ordinateur et un priphrique. La lumire infrarouge constitue la forme de communication sans fil propose par le systme dexploitation Windows pour la transmission des fichiers. Les frquences radio, semblables celles utilises par les tlphones portables et les tlphones sans fil, constituent une autre forme de communication sans fil.
Compte dutilisateur
Ensemble de toutes les informations dfinissant un utilisateur pour Windows. Parmi ces informations, citons le nom dutilisateur et le mot de passe fourni par lutilisateur pour se connecter au rseau, les groupes auxquels appartient lutilisateur, et les droits et autorisations dont jouit lutilisateur pour utiliser lordinateur et le rseau ou accder leurs ressources. Pour Windows XP Professionnel, les comptes dutilisateurs sont grs par le service Utilisateurs et groupes locaux.
Compression
Procd permettant de rduire le volume (en bits) ou le dbit (en bits par seconde) des donnes numrises (parole, image, texte).
Connexions web scurises

Lorsque vous visitez un site web scuris, votre navigateur tablit automatiquement avec lui une connexion crypte. Par dfaut, tous les comptes peuvent utiliser des connexions scurises. Si vous souhaitez empcher les utilisateurs denvoyer des informations confidentielles des sites web scuriss, vous pouvez dsactiver les connexions web scurises. Si vous dsactivez les connexions web scurises, votre navigateur ne chiffrera plus les informations envoyes. Vous ne devez dsactiver les connexions web scurises que si vous voulez protger les informations confidentielles figurant sur la liste Informations confidentielles.
Cookie
Code, ensemble dinformations, quun serveur enregistre, souvent temporairement, sur votre disque dur pour vous identifier sur son service.
975
Chapitre 29
Corbeille
Emplacement dans lequel Windows stocke les fichiers supprims. Vous pouvez rcuprer des fichiers supprims par erreur ou vider la Corbeille pour augmenter lespace disque disponible.
Dfragmentation
Processus de rcriture de parties dun fichier dans des secteurs contigus dun disque dur en vue daugmenter la vitesse daccs et de rcupration des donnes. Lorsque des fichiers sont mis jour, lordinateur a tendance les enregistrer sur le plus grand espace continu du disque dur, qui se trouve souvent sur un secteur diffrent de celui sur lequel sont enregistres les autres parties du fichier. Lorsque des fichiers sont ainsi fragments, lordinateur doit examiner le disque dur chaque fois quil ouvre le fichier afin den rechercher les diffrentes parties, ce qui rduit son temps de rponse.
Domaine
Groupe dordinateurs faisant partie dun rseau et partageant une mme base de donnes dannuaire. Un domaine est administr comme une unit rgie par des rgles et des procdures communes. Chaque domaine possde un nom unique. Un domaine Active Directory est constitu dun ensemble dordinateurs dfinis par ladministrateur dun rseau Windows. Ces ordinateurs partagent une base de donnes dannuaires commune, des stratgies de scurit et des relations de scurit avec dautres domaines. Un domaine Active Directory fournit laccs aux comptes de groupe et aux comptes dutilisateurs centraliss qui sont grs par ladministrateur du domaine. Une fort Active Directory se compose dun ou de plusieurs domaines, qui peuvent stendre sur plusieurs emplacements physiques. Un domaine DNS est une arborescence au sein de lespace de noms DNS. Bien que les noms des domaines DNS correspondent souvent aux domaines Active Directory, les domaines DNS ne doivent pas tre confondus avec les domaines Active Directory.
Dossier
Dans une interface utilisateur graphique, conteneur de programmes et de fichiers symbolis par une icne de dossier. Un dossier est un outil permettant de classer les programmes et les documents sur un disque et capable de contenir la fois des fichiers et des sous-dossiers.
Dossier de base
Dossier (gnralement sur un serveur de fichiers) que les administrateurs peuvent attribuer des utilisateurs ou des groupes individuels. Les administrateurs utilisent des dossiers de base pour consolider les fichiers utilisateurs sur des serveurs de fichiers spcifiques afin den faciliter la sauvegarde. Certains programmes utilisent les dossiers 976
de base comme dossiers par dfaut pour les botes de dialogue Ouvrir et Enregistrer sous. Les dossiers de base sont parfois appels "rpertoires de base".
Droits dutilisateur
Ensemble des autorisations dun utilisateur, sur un ordinateur ou un domaine, et lui permettant daccder un certain nombre de tches dfinies. Il existe deux types de droits dutilisateur : les privilges et les droits douverture de session. Le droit de fermer le systme est un exemple de privilge. Le droit douvrir une session sur un ordinateur localement est un exemple de droit douverture de session. Les privilges et les droits sont attribus par les administrateurs des utilisateurs ou des groupes particuliers dans le cadre de la configuration des paramtres de scurit de lordinateur.
DRM (Digital Rights Management)

Gestion des droits numriques. Technologie scurise qui permet au dtenteur des droits dauteur dun objet soumis la proprit intellectuelle (comme un fichier audio, vido ou texte) de spcifier ce quun utilisateur est en droit den faire. En gnral, elle est utilise pour proposer des tlchargements sans craindre que lutilisateur ne distribue librement le fichier sur le Web. 29. Annexe III Glossaire
Dual core
Physiquement, le processeur dual core ressemble fort un processeur classique, cela prs quil est surmont de deux dies au lieu dun seul. Le die tant parfois recouvert dune plaque protectrice, il ne sera pas toujours possible de distinguer au premier coup dil un processeur dual core dun processeur classique. Pour autant, il est impossible dutiliser un processeur dual core sur une carte mre actuelle, mme si le socket est identique. Il faut que le chipset de la carte mre soit adapt la gestion du dual core.
Dure de vie
Valeur incluse dans les paquets envoys sur des rseaux TCP/IP qui indiquent aux destinataires la dure pendant laquelle le paquet ou les donnes quil contient peuvent tre conservs ou utiliss. Les valeurs de dure de vie sont utilises dans les enregistrements de ressources au sein dune zone pour dterminer la dure pendant laquelle les clients demandeurs mettent en cache et utilisent ces informations lorsquelles apparaissent dans la rponse dun serveur DNS une requte pour cette zone. Anglais : TTL (Time to Live).
En ligne
Lorsquun utilisateur a tabli une connexion un rseau, on dit quil est en ligne. Dsigne galement un mode daccs direct des crans daide, par exemple. 977
Chapitre 29
Ethernet
Standard IEEE 802.3 pour les rseaux en litige. Ethernet utilise une topologie en bus ou en toile et repose sur une forme daccs appele "CSMA/DC" (Carrier Sense Multiple Access with Collision Detection) pour rguler le trafic des communications sur la ligne. Les nuds des rseaux sont relis par du cble coaxial, de la fibre optique ou une paire de cbles torsads. Les donnes sont transmises dans des trames de longueur variable qui contiennent des informations de contrle et de remise, et jusqu 1500 octets de donnes. Le standard Ethernet fournit une transmission en bande de base la vitesse de 10 Mbps (10 millions de bits par seconde).
vnement
Tout fait important se produisant dans le systme ou dans une application et devant tre signal aux utilisateurs ou consign dans un journal.
FAI (fournisseur daccs Internet)

Prestataire de services qui offre diffrents types de comptes daccs Internet aux organismes et aux particuliers. Synonyme : prestataire daccs Internet. Anglais : provider. 29. Annexe III Glossaire
FAT32 (File Allocation Table 32)

Variante du systme de fichiers FAT, FAT32 prend en charge des tailles de cluster moins importantes et des volumes plus grands, assurant ainsi une allocation despace plus efficace.
Fentre
Portion de lcran dans laquelle les programmes et les processus peuvent tre excuts. Vous pouvez ouvrir plusieurs fentres la fois. Par exemple, vous pouvez consulter vos messages lectroniques dans une fentre, travailler sur un budget dans une feuille de calcul ouverte dans une autre fentre, tlcharger des images de votre Camscope dans une autre fentre et faire vos courses en ligne dans une autre fentre. Les fentres peuvent tre fermes, redimensionnes, dplaces, rduites en bouton dans la barre des tches ou affiches en plein cran.
Fichier journal
Fichier dans lequel sont stocks les messages gnrs par une application, un service ou le systme dexploitation. Ces messages permettent de suivre lexcution des oprations. Les serveurs web, par exemple, grent des fichiers journaux qui rpertorient toutes les requtes adresses au serveur. Les fichiers journaux sont gnralement des fichiers en texte clair (ASCII) qui possdent souvent lextension .log. 978
Dans lutilitaire de sauvegarde, il sagit dun fichier qui contient un enregistrement de la date de cration des bandes ainsi que le nom des fichiers et des rpertoires qui ont t sauvegards et restaurs. Le service Journaux et alertes de performances cre galement des fichiers journaux.
Fichier systme
Fichiers utiliss par Windows pour charger, configurer et excuter le systme dexploitation. En gnral, les fichiers systme ne doivent jamais tre supprims ou dplacs.
Firewall
Voir Pare-feu.
FTP (File Transfer Protocol)

Protocole servant dplacer ou transmettre des fichiers sur le rseau. Il permet dtablir une connexion un autre site Internet et de tlcharger ou denvoyer des fichiers. Certains sites contiennent des fichiers du domaine public accessibles par FTP en entrant le nom dutilisateur anonymous et une adresse de courrier lectronique comme mot de passe. Ce type daccs est appel "FTP anonyme".
Fort
Ensemble dun ou de plusieurs domaines Windows partageant un schma, une configuration et un catalogue global communs et lis par des relations dapprobation transitives bidirectionnelles.
Fournisseur daccs
Voir FAI.
Gestion de lordinateur
Composant qui permet dafficher et de contrler de nombreux aspects de la configuration dun ordinateur. La Gestion de lordinateur associe plusieurs utilitaires dadministration dans larborescence dune seule console, fournissant un accs facile aux proprits et aux outils dadministration des ordinateurs locaux ou distants.
Gestionnaire de priphriques
Outil dadministration qui permet de grer les priphriques dun ordinateur. Grce au Gestionnaire de priphriques, vous pouvez afficher et modifier les proprits des
979
Chapitre 29
priphriques, mettre jour les pilotes de priphrique, configurer les paramtres des priphriques et les dsinstaller.
GPO
Voir Stratgies de groupe.
Groupe
Ensemble dutilisateurs, dordinateurs, de contacts et dautres groupes. Les groupes peuvent tre utiliss comme des ensembles de distribution lectronique ou de scurit. Les groupes de distribution ne sont utiliss que pour la messagerie. Les groupes de scurit sont utiliss la fois pour accorder laccs des ressources et comme listes de distribution lectronique.
Groupe de scurit
Groupe qui peut tre rpertori sur des listes de contrle daccs discrtionnaire (DACL, Discretionary Access Control List ; voir ACL) utilises pour dfinir les autorisations sur les ressources et les objets. Un groupe de scurit peut galement tre utilis comme une entit de courrier lectronique. Lorsque vous envoyez un message de courrier lectronique un groupe, ce message est envoy tous les membres du groupe.
Groupe local
Pour les ordinateurs excutant Windows et les serveurs membres, groupe auquel peuvent tre accords des droits et des autorisations partir de son propre ordinateur et, si ce dernier appartient un domaine, des comptes dutilisateurs et des groupes globaux partir de son propre domaine et de domaines approuvs.
Groupes prdnis
Groupes de scurit installs par dfaut avec le systme dexploitation. Les groupes prdfinis sont dots dune srie de droits et de fonctions prdfinis extrmement utiles. Dans la plupart des cas, les groupes prdfinis confrent un utilisateur donn toutes les possibilits ncessaires. Par exemple, si un compte dutilisateur sur un domaine appartient au groupe prdfini Administrateurs, toute ouverture de session avec ce compte donne lutilisateur des capacits dadministrateur sur le domaine et les serveurs du domaine. Pour attribuer un compte dutilisateur un ensemble de possibilits donnes, assignez-le au groupe prdfini appropri.
980
Hritage
Mcanisme qui autorise la copie dune entre de contrle daccs (ACE, Access Control Entry) spcifique du conteneur auquel elle sapplique sur tous les enfants de ce conteneur. Lhritage peut tre associ la dlgation afin daccorder des droits dadministration lintgralit dune arborescence du rpertoire en une seule opration de mise jour.
Hexadcimal
Systme en base 16 reprsent par les chiffres 0 9 ainsi que par les lettres A (quivalant au nombre dcimal 10) F (quivalant au nombre dcimal 15).
Homepage
Voir Page daccueil.
HTTP (Hypertext Transfer Protocol)

Protocole utilis pour transfrer les informations sur le World Wide Web. On parle dadresse HTTP (un type de localisateur de ressource universelle), par exemple http://www.microsoft.com. 29. Annexe III Glossaire
Identicateur de processus
Voir PID.
Identicateur de scurit
Voir SID.
Image disque
Limage dun disque peut se comparer un colis postal. On peut y mettre des choses de nature diverses (correspondance, vtements, nourriture, etc.). En le scellant correctement et tant quil na pas t ouvert, on peut tre certain de son contenu. Cependant, il peut arriver endommag. Ainsi, une image disque garantit la liste des fichiers quelle contient, mais pas leur intgrit. Cest pourquoi elle est parfois associe des systmes de contrle dintgrit des donnes. Pour prendre une comparaison plus prcise, on peut aussi dire que limage disque est semblable la photo prise dun paysage. Celle-ci permet de prendre lensemble des lments du paysage, en le rcrivant sous la forme dun code de couleur. Pour un disque, le logiciel prendra une photo du disque et le rcrira sous la forme dun code
981
Chapitre 29
(compress ou pas) contenant tous les fichiers. Cela donne alors naissance un seul fichier, gnralement volumineux (autant que lespace utilis du disque).
ImageX
Utilitaire de manipulation des images disque Microsoft au format WIM. ImageX permet de crer, dappliquer, douvrir et de fermer ces images.
Infrastructure
Linfrastructure est un ensemble dlments structuraux interconnects qui fournissent le cadre pour supporter la totalit de la structure. Le terme est souvent utilis dune faon trs abstraite. Par exemple, les outils dingnierie informatique sont quelquefois dcrits comme une partie de linfrastructure dun environnement de dveloppement.
Internet
29. Annexe III Glossaire Vaste regroupement de rseaux dordinateurs qui changent de linformation par le biais dune suite de protocoles de rseau appels "TCP/IP". En tant quutilisateur, on peut penser Internet comme une immense bibliothque dont les livres sont des sites web et les pages des livres des pages web. En lisant une page dun livre, on peut sauter dautres pages ou livres.
Intranet
Rseau dune organisation (commerciale, ducative, militaire) qui offre son personnel des services semblables Internet. La plupart des intranets sont raccords Internet. Laccs un intranet est cependant limit aux personnes autorises. Les intranets se dfendent des accs non souhaits par des pare-feu.
IP (Internet Protocol)
Protocole responsable de ladressage et du routage entre les ordinateurs, de lacheminement des paquets de donnes au sein du rseau, de la constitution et du rassemblage des paquets. Les fonctionnalits assures par le protocole IP peuvent se dduire de lexamen de len-tte du paquet. Il identifie entre autres, la source et la destination du paquet et comporte des identificateurs de fragmentation. IP est dfini par la RFC 791.
Java
Langage de programmation de Sun Microsystems.
982
Javascript
Langage plus simple que Java, permettant dinsrer dans des pages HTML de petits programmes excuter par le navigateur.
Jeton
lment textuel non rductible dans les donnes en cours danalyse, par exemple lutilisation dans un programme dun nom variable, dun mot rserv ou dun oprateur. Le stockage des jetons en tant que codes courts rduit la taille des fichiers programme et acclre leur excution. En matire de gestion de rseau, objet de donnes structur unique ou message qui circule continuellement entre les nuds dun anneau jetons (token ring) et qui dcrit ltat actuel du rseau. Avant quun nud puisse envoyer un message sur le rseau, il doit attendre de contrler le jeton.
Jeu de sauvegardes
Ensemble de fichiers, de dossiers et de donnes qui ont t sauvegards et stocks dans un fichier ou encore sur une ou plusieurs bandes. 29. Annexe III Glossaire
Job
En informatique, suite dinstructions ralisant une tche et faisant appel des programmes informatiques agissant sur un ou plusieurs systmes afin dobtenir un rsultat, en particulier une recherche dinformations ; droulement du traitement correspondant lexcution de cette suite dinstructions (tches).
Journal scurit
Journal dvnements contenant des informations sur les vnements de scurit spcifis dans la stratgie daudit.
Liste de diffusion
Liste dadresses e-mail dutilisateurs Internet qui se sont inscrits auprs du gestionnaire correspondant. La liste est gre par une personne ou un service et distribue des informations. Certaines listes sont modres (elles ont un ou plusieurs modrateurs). Il existe des listes de diffusion concernant de nombreux sujets. Certaines sont "ouvertes" (tout abonn la liste peut envoyer un message toute la liste, comme lors dune conversation) et dautres sont "fermes" (seuls certains abonns peuvent crer des messages, mais tous les abonns peuvent les lire). Anglais : mailing list.
983
Chapitre 29
Magasin de certicats
En gnral, dossier de stockage permanent renfermant les certificats, les listes de rvocation de certificats et les listes de certificats de confiance.
Mailing list
Voir Liste de diffusion.
Maintenance
Ensemble des actions de dpannage, de rvision et de vrification priodique des machines, des logiciels et des objets manufacturs produits par lindustrie. Il existe diffrentes faons dorganiser les actions de maintenance :
j
La maintenance est "prventive" lorsquelle est dicte par des exigences de sret de fonctionnement. Cette maintenance prventive est "systmatique" quand elle est effectue selon un chancier tabli partir dun temps dusage ou dun nombre dunits dusage et "conditionnelle" lorsquelle est ralise la suite dune analyse rvlatrice de ltat de dgradation de lquipement. La maintenance est "corrective" lorsquelle est effectue aprs une dfaillance, attitude fataliste consistant attendre la panne pour procder une intervention. Elle est "palliative" lorsque le dpannage de lquipement est provisoire, permettant dassurer tout ou partie dune fonction requise. Ce dpannage doit toutefois tre suivi dune action curative dans les plus brefs dlais. Elle est "curative" pour une remise ltat initial.
Malware
Logiciel ou programme malveillant capable dendommager votre systme.
Masque de sous-rseau
Un masque de sous-rseau permet didentifier un sous-rseau. En IPv4, une adresse IP est code sur 4 octets, soit 32 bits. Un masque de sous-rseau possde lui aussi 4 octets. Lorsque deux adresses IP appartiennent un mme sous-rseau, elles partagent un certain nombre de bits. Si le bit n des deux adresses IP est identique, alors le bit n du masque de sous-rseau vaut 1, sinon il vaut 0.
Mmoire ash
Mmoire petite, plate et semi-conducteur, utilise dans les lecteurs MP3, les appareils photo numriques et les assistants personnels. Elle regroupe les mmoires
984
CompactFlash, SmartMedia et Memory Stick. Si vous calculez le cot au mgaoctet, cette forme de stockage est trs onreuse.
Mmoire virtuelle
Espace du disque dur interne dun ordinateur qui vient seconder la mmoire vive, Elle se concrtise par un fichier dchanges (fichier swap), lequel contient les donnes non sollicites constamment. La mmoire virtuelle, comme son nom lindique, sert augmenter artificiellement la mmoire vive. Elle est aussi moins performante.
Migration
Passage dun tat existant dun systme dinformation ou dune application vers une cible dfinie dans un projet ou un programme.
MMC (Microsoft Management Console)

Cadre dhbergement des outils dadministration appels "consoles". Une console peut contenir des outils, des dossiers ou dautres conteneurs, des pages web et dautres lments dadministration. Tous ces lments sont affichs dans le volet gauche de la console, dans ce quil est convenu dappeler une "arborescence". Une console possde une ou plusieurs fentres qui affichent des reprsentations de larborescence. La fentre MMC principale regroupe les commandes et les outils des consoles de cration. Les fonctionnalits de cration de la console MMC et de larborescence de la console proprement dite peuvent tre masques lorsquune console est en mode Utilisateur.
Mot de passe
Mesure de scurit utilise pour limiter les noms douverture de session sur les comptes dutilisateurs ainsi que les accs aux systmes et aux ressources. Un mot de passe est une chane de caractres qui doit tre fournie pour quune ouverture de session ou un accs soient autoriss. Un mot de passe peut tre compos de lettres, de chiffres ou de symboles. Les minuscules et les majuscules sont diffrencies.
Mot de passe crypt

Mot de passe brouill. Les mots de passe crypts sont plus srs que les mots de passe en clair qui peuvent tre dcouverts par des "renifleurs" partir du rseau.
Mot de passe de lutilisateur

Mot de passe stock dans chaque compte dutilisateur. Chaque utilisateur ne possde gnralement quun seul mot de passe utilisateur, obligatoire pour ouvrir une session ou accder un serveur.
985
Chapitre 29
Navigateur
Logiciel qui interprte les balises des fichiers HTML, les transforme en pages web et les affiche dans une fentre. Certains navigateurs permettent aux utilisateurs denvoyer et de recevoir des courriers lectroniques, de consulter des groupes de discussion et de lire des fichiers audio et vido intgrs des documents web. Anglais : browser.
Nom de partage
Nom qui fait rfrence une ressource partage sur un serveur. Tout dossier partag dun serveur possde un nom de partage utilis par les utilisateurs de PC pour faire rfrence au dossier. Les utilisateurs dordinateurs Macintosh utilisent le nom du volume accessible aux Macintosh qui correspond un dossier, et qui peut tre identique au nom de partage.
Newsgroup
Forum de discussions sur Internet, avec des sujets prcis. Les newsgroups sont en gnral modrs (ils ont un ou plusieurs modrateurs). 29. Annexe III Glossaire
NTFS
Systme de fichiers avanc qui offre des performances, une scurit, une fiabilit et des fonctionnalits avances qui ne se retrouvent dans aucune version de FAT. Par exemple, NTFS garantit la cohrence des volumes en utilisant des techniques standards douverture de transaction et de restauration. Si un systme prsente une dfaillance, NTFS utilise son fichier journal et ses informations de points de vrification pour restaurer la cohrence du systme de fichiers. Dans Windows 2000 et Windows XP, NTFS fournit galement des fonctionnalits avances telles que les autorisations sur fichiers et dossiers, le cryptage, les quotas de disque et la compression.
Objet
Entit (par exemple un fichier, un dossier, un dossier partag, une imprimante ou un objet Active Directory) identifie par un jeu nomm et distinct dattributs. Les attributs dun objet fichier, par exemple, couvrent son nom, son emplacement et sa taille, tandis que les attributs dun objet utilisateur Active Directory peuvent comporter le prnom, le nom et ladresse de messagerie de lutilisateur. Pour OLE et ActiveX, un objet peut aussi tre nimporte quel lment dinformation li (incorpor) un autre objet.
986
Objet enfant et parent

Lobjet enfant rside dans lobjet parent. Cela implique une relation. Un fichier, par exemple, est un objet enfant qui rside dans un dossier (lobjet parent).
Octet
Unit de mesure de mmoire informatique (1 octet vaut 8 bits). La place occupe par les fichiers est mesure en octets, en kilo-octets (1 ko vaut 1024 octets), en mgaoctets (Mo) ou en gigaoctets (Go). Anglais : byte.
Ouverture de session
Opration permettant un utilisateur de commencer utiliser le rseau en fournissant un identifiant et un mot de passe.
Ouverture de session interactive

Ouverture de session rseau partir du clavier dun ordinateur, quand lutilisateur tape des informations dans la bote de dialogue Informations de session affiche par le systme dexploitation de lordinateur.
OSI (Open Systems Interconnection)

Modle de gestion de rseau propos par lISO (International Organization for Standardization) pour promouvoir linteroprabilit entre fournisseurs. Le modle OSI est un modle conceptuel compos des sept couches suivantes : application, prsentation, session, transport, rseau, liaison de donnes et physique.
Page daccueil
Page web de dpart dun site Internet, contenant des informations sur lidentit du propritaire du site, les serveurs fournis, ventuellement un index. Anglais : homepage.
Page web
Les sites Internet contiennent plusieurs pages web. Par exemple, plusieurs personnes peuvent avoir des pages personnelles sur le mme serveur (site Internet). Une page web est un document hypermdia sur le Web.
Pare-feu
Ensemble de matriels et de logiciels constituant un systme de scurit, en rgle gnrale pour empcher les accs non autoriss provenant de lextrieur sur un rseau interne ou un intranet. Un pare-feu empche les communications directes entre les 987
Chapitre 29
ordinateurs du rseau et les ordinateurs externes en faisant passer les communications par un serveur Proxy en dehors du rseau. Ce serveur Proxy dtermine sil nest pas dangereux de laisser passer un fichier sur le rseau. Synonyme : passerelle de scurit. Anglais : firewall.
Partition
Partie dun disque physique qui se comporte comme sil sagissait dun disque physiquement distinct. Lorsque vous crez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des donnes. Sur les disques de base, les partitions sont appeles des "volumes de base" et peuvent tre des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appeles des "volumes dynamiques" et peuvent tre des partitions simples, fractionnes, agrges par bande, en miroir ou RAID-5.
Partition active
Partition partir de laquelle dmarre un ordinateur de type x86. La partition active doit tre une partition principale dun disque de base. Si vous utilisez exclusivement Windows, la partition active peut tre la mme que celle du volume systme.
Partition damorage
Partition qui contient le systme dexploitation Windows et ses fichiers de prise en charge. La partition damorage peut tre la mme que la partition systme.
Partition principale
Type de partition que vous pouvez crer sur les disques de base. Une partition principale est une partie de lespace disque physique qui fonctionne comme un disque physiquement indpendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez crer jusqu quatre partitions principales ou trois partitions principales et une partition tendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez crer jusqu 128 partitions principales. Synonyme : volume.
Partition systme
Partition qui contient des fichiers propres au matriel qui sont indispensables au chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition systme peut tre la mme que la partition damorage.
988
PID (Process Identier)

Identificateur numrique qui dsigne, de manire unique, un processus en cours dexcution. Utilisez le Gestionnaire des tches pour lafficher.
Plugin ou plug-in
De langlais to plug in (brancher). Non autonome, ce petit logiciel se greffe sur un programme principal pour lui confrer de nouvelles fonctionnalits. Le programme principal fixe un standard dchange dinformations auquel les plugins se conforment. Par exemple, certains plugins sinstallent sur un navigateur pour lui apporter des fonctions supplmentaires.
Point de restauration
Reprsentation dun tat stock de votre ordinateur. Le point de restauration est cr par la fonction Restauration systme intervalles rguliers ou lorsque le dbut dun changement sur lordinateur est dtect. Vous pouvez galement crer des points de restauration manuellement.
Pop-up
Qualifie une fentre publicitaire qui saffiche devant la page web consulte. On parle de fentre pop_under lorsque la fentre de publicit apparat derrire la page.
Prvention dintrusion
La Prvention dintrusion analyse tout le trafic entrant et sortant sur votre ordinateur et compare ces informations un ensemble de signatures dattaque. Une signature dattaque est un groupe de donnes organises qui identifie une tentative de piratage visant exploiter une faille connue du systme dexploitation ou dun programme. Si les informations correspondent une signature dattaque, la Prvention dintrusion rejette automatiquement le paquet et interrompt la connexion avec lordinateur lorigine de lenvoi des donnes. Lordinateur est ainsi protg contre la plupart des attaques possibles.
Privilge
Droit dun utilisateur deffectuer une tche spcifique, qui affecte gnralement lensemble du systme informatique plutt quun objet particulier. Les privilges sont attribus par les administrateurs des utilisateurs ou des groupes dutilisateurs particuliers dans le cadre de la configuration des paramtres de scurit de lordinateur. Voir Droits dutilisateur.
989
Chapitre 29
Prol dutilisateur
Fichier qui contient des informations de configuration (comme les paramtres du Bureau, les connexions rseau permanentes et les paramtres des applications) pour un utilisateur spcifique. Les prfrences de chaque utilisateur sont enregistres dans un profil dutilisateur que Windows utilise pour configurer le Bureau chaque fois quun utilisateur ouvre une session.
Programme
Jeu dinstructions complet et autonome qui permet dexcuter une tche donne : traitement de texte, comptabilit ou gestion des donnes, par exemple. Synonyme : application.
Protocoles
Ensemble de rgles et de conventions relatives lenvoi dinformations sur un rseau. Ces rgles rgissent le contenu, le format, la synchronisation, la mise en squence et le contrle des erreurs des messages changs entre les priphriques du rseau. 29. Annexe III Glossaire
Proxy
Ordinateur qui sintercale entre le rseau priv et Internet pour servir de pare-feu ou de cache. Dans ce dernier cas, il enregistre les pages web transfres par les utilisateurs pour les dlivrer sans quil soit ncessaire de se connecter sur le serveur initial.
Raccourci
Lien vers nimporte quel lment accessible sur un ordinateur ou sur un rseau, notamment un programme, un fichier, un dossier, un lecteur de disque, une page web, une imprimante ou un autre ordinateur. Vous pouvez placer des raccourcis diffrents endroits, notamment sur le Bureau, dans le menu Dmarrer ou dans des dossiers dtermins.
RAM (Random Access Memory)

Par opposition la mmoire fixe (ROM), la mmoire vive peut tre modifie linfini ds quelle est alimente en lectricit. En informatique, la mmoire vive sert stocker temporairement les fichiers que lordinateur excute.
Registre
Emplacement de base de donnes destin aux informations relatives la configuration dun ordinateur. Le Registre contient des informations auxquelles Windows se rfre en permanence, notamment : 990
j j j j j
les profils de chacun des utilisateurs ; les programmes installs sur lordinateur et les types de documents que chacun peut crer ; les paramtres des proprits des dossiers et des icnes de programme ; le matriel prsent sur le systme ; les ports en cours dutilisation.
Le Registre est organis de manire hirarchique sous la forme dune arborescence et est constitu de cls et de sous-cls, de ruches et de rubriques values.
Rseau
Groupe dordinateurs et de priphriques, comme des imprimantes et des scanneurs, connects entre eux par une liaison de communication permettant tous les priphriques dinteragir. Un rseau peut tre de grande ou de petite taille, connect durablement par des cbles ou temporairement par des lignes tlphoniques ou des transmissions sans fil. Le plus grand rseau est Internet, qui est un groupement de rseaux du monde entier. 29. Annexe III Glossaire
Routeur
Dans un environnement Windows, matriel qui participe linteroprabilit et la connectivit des rseaux locaux et des rseaux tendus. Permet aussi de lier des rseaux locaux rgis par diffrentes topologies rseau (notamment Ethernet et Token Ring). Les routeurs font correspondre les en-ttes de paquets un segment du rseau local et choisissent le meilleur chemin pour le paquet, ce qui optimise les performances du rseau. Dans lenvironnement Macintosh, les routeurs sont indispensables aux communications entre des ordinateurs appartenant des rseaux physiques distincts. Ils conservent une copie de la configuration des rseaux physiques sur un interrseau Macintosh (rseau) et transfrent les donnes reues du rseau physique vers les autres. Les ordinateurs excutant la version serveur de Windows avec lintgration rseau AppleTalk peuvent servir de routeurs, et vous pouvez galement utiliser dautres matriels de routage sur les rseaux avec intgration rseau AppleTalk.
Ruche
Partie du Registre qui apparat en tant que fichier sur votre disque dur. Le sous-arbre du Registre est divis en ruches (en raison de la ressemblance avec la structure cellulaire dune ruche dabeilles). Une ruche correspond un ensemble discret de cls, de sous-cls et de valeurs qui figurent en haut de la hirarchie du Registre. Une ruche est sauvegarde par un fichier unique et un fichier .log qui se trouvent dans le dossier racine_systme\System32\Config ou racine_systme\Profiles\nom_utilisateur. 991
Chapitre 29
La plupart de ces fichiers (par dfaut, SAM, scurit et systme) sont normalement stocks dans le dossier racine_systme\System32\Config. Le dossier racine_systme \Profiles contient le profil dutilisateur de tous les utilisateurs de lordinateur. Puisquune ruche est un fichier, elle peut tre dplace dun systme un autre. Cependant, vous devez utiliser lditeur de Registre pour modifier le fichier.
Spamming
Envoi de courrier indsirable en masse. Les spammeurs envoient des courriers (ou spams) des fins lucratives. Ils utilisent de nombreux moyens pour y parvenir. Ce systme est puni par la loi, en France et dans beaucoup dautres pays.
Sauvegarde
Copie de tous les fichiers slectionns (en dautres termes, lattribut Archive est dsactiv). Pour les sauvegardes normales, vous navez besoin que de la copie la plus rcente du fichier ou de la bande de sauvegarde, afin de restaurer les fichiers. En rgle gnrale, une sauvegarde normale seffectue la premire fois que vous crez un jeu de sauvegardes. 29. Annexe III Glossaire
Script
Type de programme constitu dun jeu dinstructions pour une application ou un programme doutil. Un script exprime gnralement ses instructions en employant les rgles et la syntaxe de lapplication ou de loutil, avec des structures de commande simples telles que des boucles et des expressions (if, then). Dans lenvironnement Windows, programme de traitement par lots. Anglais : batch.
Scurit
Ensemble de mcanismes de contrle empchant lutilisation non autorise de ressources. Un des mcanismes de scurit, que lutilisateur dun ordinateur rencontre souvent, est le mot de passe.
Services
Les services sont utiliss pour effectuer des actions entre un programme install sur un ordinateur et un priphrique Bluetooth distant. Ces paramtres permettent lordinateur et aux priphriques Bluetooth externes de se connecter et deffectuer dautres activits, comme la connexion Internet ou limpression.
992
Shareware
De langlais share (partage). Logiciel distribu librement et dont lutilisation est soumise la condition de le payer si lutilisateur est satisfait et continue lutiliser aprs un certain dlai, en gnral un mois.
SID (Security ID)

Structure de donnes de longueur variable qui identifie les comptes dutilisateurs, de groupes et dordinateurs. Chaque compte du rseau reoit un SID personnel au moment de sa cration. Les processus internes de Windows se rfrent au SID dun compte plutt qu son nom dutilisateur ou de groupe.
Site
Un ou plusieurs sous-rseaux TCP/IP correctement connects (fiables et rapides). Un site permet aux administrateurs de configurer laccs et la topologie de rplication Active Directory rapidement et facilement pour tirer avantage du rseau physique. Lorsque les utilisateurs ouvrent une session, les clients Active Directory recherchent les serveurs Active Directory sur le mme site que lutilisateur. 29. Annexe III Glossaire
Sous-arbre
Nud dun arbre, ainsi que nimporte quelle slection de nuds descendants connects. Dans la structure du Registre, les sous-arborescences sont les nuds principaux qui contiennent les cls, les sous-cls et les valeurs.
Sous-cl
Cl au sein dune cl. Dans la structure du Registre, les sous-cls sont subordonnes aux sous-arbres et aux cls. Les cls et les sous-cls sont semblables len-tte de section des fichiers .ini, bien que les sous-cls puissent aussi excuter des fonctions.
SSL (Secure Socket Layer)

Protocole garantissant la scurit des communications de donnes par cryptage et dcryptage des donnes changes.
Stratgies de groupe
Les stratgies de groupe sont des paramtres de configuration appliqus aux ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont galement grs dans un environnement Active Directory.
993
Chapitre 29
Ils ont pour objectifs de rduire les besoins en assistance, et dautomatiser certains processus. Une stratgie de groupe peut contrler la base de Registre dun ordinateur, la scurit NTFS, les rgles dcoute et de scurit, linstallation de logiciels, les scripts pour se connecter et se dconnecter, les redirections de rpertoires, et les paramtres dInternet Explorer. Ces rgles sont enregistres dans les stratgies de groupe. Une stratgie de groupe est identifie en interne, par un identifiant unique : un GUID. Chacun peut tre associ plusieurs sites et domaines de travail. De cette manire, il est possible de mettre jour des centaines de machines via un seul changement une stratgie de groupe. Cela rduit les cots de maintenance. Les stratgies de groupe sont analyses et appliques lors du dmarrage dun ordinateur, ainsi que lors de la connexion et la dconnexion dun utilisateur. La machine cliente rafrachit priodiquement la plupart des stratgies de groupe (toutes les 90 120 minutes) bien que cet intervalle soit configurable. Anglais : GPO (Group Policy Object).
TCP (Transmission Control Protocol)

Service de remise fiabilis et orient connexion. Les donnes sont transmises sous forme de segments. La mention "orient connexion" signifie quune connexion doit tre tablie avant que les htes puissent changer des donnes. La fiabilit est assure par laffectation dun numro dordre chacun des segments transmis. La bonne rception des donnes par lhte destinataire est vrifie par un acquittement. Pour chacun des segments envoys, lhte destinataire renvoie un acquittement (ACK) dans un dlai spcifi. Si aucun acquittement nest reu, les donnes sont retransmises. Le TCP est dfini par la RFC 793.
TCP/IP
Le composant TCP/IP install dans un systme dexploitation rseau est constitu dune srie de protocoles interconnects appels "protocoles centraux de TCP/IP". Toutes les autres applications et les protocoles de la suite de protocoles TCP/IP sappuient sur les services fondamentaux fournis par les protocoles suivants : IP, ARP, ICMP, IGMP, TCP, UDP.
UDP (User Datagram Protocol)

Protocole de transmission de datagrammes sur le rseau qui fournit de manire optionnelle un certain nombre de contrles. Un datagramme est un paquet de donnes considr comme une entit isole et indpendante, cest--dire quil comporte dans son en-tte toutes les informations ncessaires son acheminement travers le rseau jusqu son destinataire, sans assurance de livraison. Ce protocole est peu fiable. Il est possible quune perte de qualit se produise pendant la transmission. Ce peut tre le cas par exemple pour les donnes de type audio. LUDP est dfini par la RFC 768.
994
Unit dorganisation
Objet conteneur Active Directory utilis lintrieur des domaines. Les units dorganisation sont des conteneurs logiques dans lesquels vous pouvez placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Elles ne peuvent contenir que des objets de leur domaine parent. Lunit dorganisation est la plus petite tendue laquelle un objet de stratgie de groupe peut tre li, ou sur laquelle une autorit administrative peut tre dlgue. Anglais : OU (Organization Unit).
USB (Universal Serial Bus)

Bus externe qui prend en charge linstallation Plug-and-Play. Avec un bus USB, vous pouvez connecter et dconnecter des units sans arrter ou redmarrer votre ordinateur. Sur un mme port USB, vous pouvez connecter jusqu 127 units priphriques, dont des haut-parleurs, des tlphones, des lecteurs de CD-Rom, des manettes de jeu, des lecteurs de bandes, des claviers, des scanneurs et des appareils photo.
URL (Uniform Resource Locator)

29. Annexe III Glossaire Voir Adresse Internet.
USMT (User State Migration Tool)

Utilitaire permettant de migrer les profils utilisateurs au cours des dploiements en nombre de systmes Microsoft Windows XP et Windows Vista. USMT capture les profils utilisateurs, notamment les paramtres du Bureau et des applications, ainsi que les fichiers des utilisateurs, avant de les migrer vers une nouvelle installation de Windows. Il permet galement damliorer et de simplifier le processus de migration. Vous pouvez utiliser USMT pour les migrations de type "cte cte" (les donnes sont copies de lancien ordinateur vers le nouveau) et "effacer et charger" (vous enregistrez les donnes, puis vous formatez le disque dur et procdez une nouvelle installation). Si vous procdez uniquement la mise niveau de votre systme dexploitation, USMT nest pas ncessaire. USMT sadresse aux administrateurs qui effectuent des dploiements automatiss. USMT vous permet deffectuer les oprations suivantes :
j
la configuration dUSMT, pour une situation unique, en utilisant les fichiers (.xml) de rgles de migration pour contrler exactement quels comptes utilisateurs, quels fichiers et quels paramtres sont transfrs, et comment ils le sont ; lautomatisation de la migration laide des deux outils de ligne de commande USMT qui contrlent la collecte et la restauration des fichiers et paramtres utilisateur.
995
Chapitre 29
Utilisateur
Personne qui utilise un ordinateur. Si lordinateur est connect un rseau, un utilisateur peut accder aux programmes et aux fichiers de lordinateur, ainsi quaux programmes et aux fichiers situs sur le rseau (en fonction des restrictions du compte dtermines par ladministrateur rseau).
Variable
En programmation, emplacement de stockage nomm qui peut contenir un type de donnes dtermin, susceptible dtre modifi pendant lexcution du programme. Les variables denvironnement systme sont dfinies par Windows XP et sont les mmes, indpendamment de celui qui se connecte lordinateur. Les membres du groupe Administrateurs peuvent nanmoins ajouter de nouvelles variables ou modifier des valeurs. Les variables denvironnement utilisateur peuvent tre diffrentes pour chaque utilisateur dun ordinateur particulier. Elles comprennent toutes les variables denvironnement que vous souhaitez dfinir ou les variables dfinies par vos applications, comme le chemin daccs de vos fichiers dapplication. 29. Annexe III Glossaire
Variable denvironnement
Chane comportant des informations sur lenvironnement (lecteur, chemin ou nom de fichier), associes un nom symbolique pouvant tre utilis par Windows. Vous dfinissez des variables denvironnement par le lien Systme du Panneau de configuration ou laide de la commande Set dans lInvite de commandes.
Versions prcdentes
Les versions prcdentes sont des copies de sauvegarde (copies de fichiers et de dossiers) ou des clichs instantans (copies de fichiers et de dossiers enregistres automatiquement par Windows comme lment dun point de restauration). Les clichs instantans peuvent tre des copies de fichiers sur votre ordinateur ou des fichiers partags sur un ordinateur dun rseau. Vous pouvez utiliser des versions prcdentes de fichiers pour restaurer des fichiers que vous avez accidentellement modifis ou supprims, ou qui ont t endommags. Selon le type de fichier ou de dossier, vous pouvez les ouvrir, les enregistrer vers un autre emplacement ou les restaurer une version prcdente.
Virtualisation
En informatique, ensemble des techniques matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes dexploitation et/ou plusieurs applications, sparment les uns des autres, comme sils fonctionnaient sur des machines physiques distinctes. Les outils de virtualisation servent faire fonctionner ce 996
quon appelle communment des "serveurs privs virtuels" (Virtual Private Servers ou VPS) ou encore "environnements virtuels" (Virtual Environments ou VE).
Wi-Fi (Wireless-Fidelity)
Norme 802.11 de rseau sans fil. Un rseau Wi-Fi peut tre utilis pour permettre la connexion un rseau local ou tendu, ou Internet.
WIM
Format des images systmes utilis par Windows Vista, Windows Longhorn Server et SMS.
Windows RE
Environnement de rcupration, de rsolution dincidents de Windows Vista.
Windows PE
Environnement de prinstallation de Windows. Windows PE permet de charger un systme dexploitation minimal partir dun mdia de type CD/DVD au dmarrage dun ordinateur afin dobtenir une plateforme de dploiement ou de maintenance pour le poste de travail. Windows PE est configurable. Windows Vista introduit la version 2 de Windows PE. 29. Annexe III Glossaire
XML (Extended Markup Language)

Norme de documents sur le Web, permettant une structuration de linformation.
ZIP
Format de compression, utilis notamment par les utilitaires pkzip et WinZip. Lextension correspondante est .zip. Lorsque lon compresse un fichier ou un dossier, le rsultat obtenu est communment appel "fichier ZIP" ou "archive".
997
Index
!
$OEM$, 222 \$OEM$\$$, 222 \$OEM$\$$\Help, 222 \$OEM$\$$\System32, 222 \$OEM$\$1, 222 \$OEM$\$1\pilotesPlug-and-Play, 222 \$OEM$\$1\SysPrep, 222 \$OEM$\$Docs, 222 \$OEM$\$Progs, 222 \$OEM$\$Progs\Internet Explorer, 223 \$OEM$\lettre_lecteur\sous_dossier, 223 \$OEM$\Textmode, 222 installation partir dun fichier de rponses, 651 installation dtaille, 623 installation via le rseau, 649 intgration du DNS, 634 journaux dvnements, 636 NETLOGON, 631 objets crs par dfaut, 641 premier contrleur de domaine, 622, 641 problme li linstallation, 643 problme lors de linstallation, 642 processus dinstallation, 620 restauration des annuaires, 635 scurit, 715 schma, 525, 670 SYSVOL, 631 vrification de linstallation, 630 vrifier la structure de dossiers, 631 vrifier les dossiers partags ncessaires, 631 vue densemble, 615 Active Directory Application Mode (voir ADAM), 69, 735 Active Directory Federation Services (voir ADFS), 754 ActiveX, 970 ADAM configuration requise, 738 cration dune instance, 742 cration dune Unit dOrganisation, 750 grer une instance, 748 installation, 740 instances, 737 maintenance, 750 principe, 735 restauration, 751 sauvegarde, 750 se connecter une instance, 746
A
Abortpxe.com, 332 Accs distance, 969 Access Denied, 847 ACL, 969 Acrobat, 969 ACT, 969 Actif, 969 Active Directory, 522, 969 assistant Installation, 623 base de donnes, 632 calcul de lespace libre, 617 conditions requises pour linstallation, 618 contraintes matrielles, 616 dployer le deuxime contrleur de domaine, 649 dployer le domaine racine, 619 dfinitions communes, 541 fichiers journaux, 632
999
Adamsync
synchroniser les donnes avec Active Directory, 752 Adamsync, 753 ADFS, 754 agent, 759 configuration requise, 757 implmentation des composants, 760 installation du composant agent web, 761 installation du composant Proxy du service de fdration, 761 installation du composant Service de fdration, 760 principales fonctionnalits, 754 proxy de serveur de fdration, 757 proxy du service de fdration, 759 rles des serveurs, 755 serveur de fdration, 756 service de fdration, 758 terminologie, 762 Admin Approval Mode, 846 Administration pare feu, 502 dordinateur, 970 dun serveur, 431 ADPREP, 863 Adressage APIPA (Automatic Private IP Addressing), 113 DHCP, 113 IP dynamique, 113 IP statique, 113 plan dadressage IP, 32, 48 Adresse Internet, 970 IP, 971 ADS (Automated Deployment Services), 70 ADSL, 971 Affinit des clients, 567 Ajout un domaine impliquant le client WDS, 326 un domaine lors du premier dmarrage, 331 de pilotes une image de Windows hors connexion, 289 une image dans une image, 284 Alerte, 468, 971 Amorage (double), 110 Analyse des performances, 451
Annuaire, 513 Antivirus en entreprise, 847 Appartenances de groupe, 431, 971 Applet, 404 Appliquer une image avec ImageX, 265 Approbation, 684 cration, 690 domaine kerberos, 688 fonctionnement, 688 priphriques en attente, 326 Arbre, 526 Architecture gestion dinstallation, 208 ImageX, 252 Assistant Gestion dinstallation, 208 architecture, 208 attribution des fichiers Unattend des images, 218 cration dun fichier de rponses, 212 interface graphique, 211 points importants, 219 volet Fichier de rponses, 212 volet Image systme Windows, 212 volet Messages, 212 volet Partage de distribution, 212 volet Proprits, 212 AT, 864 Attaque du compte Administrateur, 722 ATTRIB, 865 Attribut, 971 Audit, 971 AuditSystem, 205, 213 AuditUser, 205, 213 Authentification, 717, 972 Automated Deployment Services (ADS), 70 Autonomie, 719 Autorisation, 717, 972 accs spciales, 972 hrites, 972 Avantages ImageX, 249
B
Backdoor, 972 Bande passante, 972
1000
CreateProcessAsUser
Barre des tches, 972 Basculement, 574 Base de connaissances, 973 BitLocker, 504 Bluetooth, 973 Bogue, 973 Boot Information Negociation Layer (BINL), 125 Boot.wim, 237 BOOTCFG, 866 Bootmgfw.efi, 332 Bug, 973 Bureau, 973 Bureau distance, 443 configurer les prfrences, 444 se connecter, 445
C
CACLS, 867 Capturer une image avec ImageX, 249 Caractristiques Windows Server 2003, 59 Windows Server 2008, 493 Carte mre, 973 vido, 974 Catalogue global, 532 configurer, 674 dfinir, 543 matre dinfrastructure et catalogue global, 667 serveur, 579 Centralisation des donnes, 523 Certificat, 974 diteurs de certificats, 642 magasin, 426, 984 service, 931 Chemin daccs du pilote, 210 Cheval de Troie, 974 CHKDSK, 869 CHKNTFS, 870 Choix du domaine racine de la fort, 555 CIPHER, 871 Classe dadresses, 974
dobjets, 524 Cl, 975 Clients (affinits), 567 CLIP, 873 CMD, 873 CMDKEY, 875 CNG, 505 Collision de rplication, 572 Commande synchrone, 211 Communication sans fil, 975 Composant, 210 Compression, 975 Compte Administrateur attaque, 722 Compte dutilisateur, 975 contrle des comptes, 846 Compteurs de performance, 471 Conception de linfrastructure logique Active Directory, 545 Configurer catalogue global, 674 DNS, 633 Conformit LDAP, 519 Connexions web scurises, 975 Contrle des comptes utilisateurs, 846 Contrleurs de domaine, 530 indisponibilit, 645 Cookie, 975 Corbeille, 976 Couche Application, 770, 780 corruption, 781 dfense, 781 Couche Donnes, 770, 782 corruption, 783 dfense, 783 Couche Hte, 770, 778 corruption, 779 dfense, 779 Couche Primtre, 770, 773 corruption, 774 dfense, 774 Couche Physique, 770 corruption, 771 dfense, 771 Couche Rseau interne, 770, 775 corruption, 776 dfense, 777 CreateProcessAsUser, 847
1001
Cration
Cration approbations, 690 fichier de rponses, 212 CSVDE, 876
D
DATE, 877 Dcdiag.exe, 644 DCGPOFIX, 878 Dfense couche application, 781 couche donnes, 783 couche hte, 779 couche primtre, 774 couche physique, 771 couche rseau interne, 777 en profondeur, 769 Dfinir catalogue global, 543 nom unique et nom unique relatif, 544 schma, 542 service dannuaire, 541 stratgie de noms dordinateurs, 329 Dfinitions communes dans un projet Active Directory, 541 DEFRAG, 878 Dfragmentation, 976 DHCP configuration, 312 utilisateurs, 641 Dployer des ordinateurs Windows Vista en entreprise, 185, 247 option dinstallation des services de dploiement, 308 DFS (Distributed File System), 568 DFSCMD, 879 DiskPart, 241, 880 Disques, 474 DNS mcanisme de vieillissement, 653 protection des donnes DNS, 729 protection des serveurs DNS, 728 rsolution de noms rcursive, 640 vieillissement et nettoyage, 653-654
DnsAdmins, 641 DnsUpdateProxy, 642 Domaine, 112, 525, 976 contrleurs, 530 enfant, 655 racine vide, 556 racine de la fort, 555 rgional, 554 unique, 552 Dossier, 976 de base, 976 Double amorage, 110 DRM, 977 Droits dutilisateur, 977 Drvload, 241 Dsadd, 605 DSADD QUOTA, 724 DSGET, 882 DSMOD QUOTA, 725 DSMOVE, 883 DSQUERY, 884 DSQUERY QUOTA, 727 Dual core, 977 Dualboot, 110 Duplicateurs, 641 Dure de vie, 977
E
lment de liste, 210 Emplacement de compte, 326 mulateur contrleur principal de domaine (CDP), 532 PDC, 665 En ligne, 977 En tant quadministrateur, 847 Enregistrements de ressources SRV, 618 tablir des frontires de scurit, 797 tape de configuration, 210 Ethernet, 978 valuation de la scurit, 805 analyse des vulnrabilits, 814 audit de scurit informatique, 816 dfense en profondeur, 810 planification, 808
1002
Image
test de pntration, 815 vnement, 978 EVENTQUERY, 885 Excuter en tant que, 433 raccourcis, 437
F
FAI, 978 FAT32, 978 Feature Packs, 69 Fentre, 978 Fichier catalogue, 210 de rponses, 210-211 journal, 978 systme, 979 File Replication Services (FRS) Monitoring Tools, 70 FINGER, 886 Flexible Single Master of Operation, 663 Fonctionnalit de basculement, 574 Fonctionnement des approbations, 688 Fort, 527, 979 accs restreint, 550 bas sur lorganisation, 548 bas sur les ressources, 549 modes de fort, 680 multidomaine, 616 puzzmania.com, 51 Format commande FORMAT, 887 WIM, 319 Framework.NET, 169 FREEDISK, 888 Frontires de scurit, 797 FRS (File Replication Service), 568 FSMO, 663 FTP, 889
Gestionnaire de packages, 285 de priphriques, 979 des tches, 459 Get-help, 409 Get-Member, 412 GETMAC, 890 GPO, 980 GPRESULT, 890 GPUPDATE, 891 Group Policy Management Console (GPMC), 70 Groupe, 980 dimages, 320 de scurit, 980 de travail (Workgroup), 112 local, 980 local de domaine, 433 local de domaine intgr, 431 prdfinis, 980 universels, 579 Groupes dimages, 320 crer, 321 Install.wim, 320 Res.rwm, 320
H
Hdlscom1.com, 332 Hdlscom1.n12, 332 Hdlscom2.com, 332 Hdlscom2.n12, 333 Hritage, 981 Hexadcimal, 981 Home page, 987, 981 HTTP, 981
I
Identity Integration, 70 Image attribution des fichiers Unattend, 218 CD-Rom (Risetup.exe), 129, 320 de dmarrage, 312, 315
G
Generalize, 204, 213 Gestion de lordinateur, 439, 979
1003
ImageSelection
disque, 981 dinstallation, 312, 319 hrites, 312 Riprep (Riprep.exe), 130, 319 systme Windows, 211 ImageSelection, 220 ImageX, 241, 982 /apply, 241, 255, 265 /capture, 257 /export, 285 /info, 259 /mountrw, 241, 260 /split, 262 /unmount, 263 appliquer une image, 265 architecture, 252 capturer une image, 249 scnarios, 251 Indisponibilit du contrleur, 645 InetOrgPerson, 521 Informatique centralise, 597 dcentralise, 598 externalise, 598 Infrastructure, 982 logique Active Directory, 545 matre dinfrastructure, 532, 666 Install.wim, 320 Installation compatibilit du systme, 108 en mode texte, 113 Framework.NET, 169 interactive, 143 manuelle, 111 mise niveau, 109 MSXML, 170 nouvelle installation, 109 pack de langues dans une image hors connexion, 296 prrequis, 107 Upgrade Advisor, 170 Internet, 982 Internet Explorer, 826 Intranet, 982 Isolation, 719 ISTG (Intersite Topology Generator), 573 IUSR_xxx, 642 IWAM_xxx, 642
J
Java, 982 Javascript, 983 Jeton, 983 Jeu de configuration, 210 de sauvegardes, 983 Job, 983 Journal scurit, 983 Journaux, 462
K
KCC (Knowledge Consistency Checker), 573 Kerberos, 688 centre de distribution de cls, 939 Krbtgt, 642
L
LDAP (Lightweight Directory Access Protocol), 513 LDAP V3, 516 LDIFDE, 893 Licence, 115 CAL, 115 enregistrement de licences, 940 gestion de licences Terminal Server, 953 Windows Vista, 148 Lien de sites, 576 Limites exposition des comptes dadministration des services, 721 ImageX, 251 Sysprep, 232 Win PE, 240 Localisation de services, 569 Login, 220 LPQ, 894 LPR, 895
1004
NETSH
M
Magasin de certificats, 426, 984 Maintenance, 984 Active Directory, 704 ADAM, 750 de limage, 283 des serveurs, 429 stratgies de groupe, 375 Maintenance dActive Directory dfragmentation, 704 dplacement, 705 prendre les rles matres, 707 restauration, 700 restauration autoritaire, 703 restauration non autoritaire, 701 sauvegarde, 697 Matre dattribution de noms de domaine, 531, 664 dID relatifs, 531 dinfrastructure, 532, 666 dinfrastructure et catalogue global, 667 de schma, 531, 586 des ID relatifs, 664 Majuscules et minuscules, 626 Malware, 826, 984 Masque de sous-rseau, 984 Mmoire, 471 flash, 984 virtuelle, 985 Menaces pour la scurit Active Directory, 717 Microsoft Exchange Server et Outlook, 935 Microsoft Security Assessment Tool, 818 Microsoft Solutions Framework, 548 Migration, 985 vers Windows Vista, 151 Migwiz.exe, 157, 164 Minuscules et majuscules, 626 Mise niveau du systme dexploitation, 109 Mise en cache de lappartenance aux groupes universels, 579 Mises jour dynamiques, 619 MMC, 985 Mode de licence par priphrique (ou sige), 116 de licence par serveur, 115 Modle
administration, 851 domaine bas sur les entits de lentreprise, 554 domaine rgional, 554 domaine unique, 552 fort accs restreint, 550 fort bas sur lorganisation, 548 fort bas sur les ressources, 549 informatique centralise, 597 informatique dcentralise, 598 informatique externalise, 598 scurit, 850 scurit Member Server Baseline, 799 structure dunits dorganisation, 598 Modes de fort, 680 Mot de passe, 985 crypt, 985 utilisateur, 985 MOUNTVOL, 895 MSAT, 818 MSF, 548 MSXML, 170 Multiboot, 110
N
NAP, 503 NET, 896 NET CONFIG, 897 NET CONFIG SERVER, 897 NET CONFIG WORKSTATION, 897 NET GROUP, 898 NET HELPMSG, 898 NET LOCALGROUP, 898 NET PRINT, 899 NET SEND, 900 NET SESSION, 901 NET SHARE, 901 NET START, 902 NET STOP, 902 NET TIME, 902 NET USE, 903 NET USER, 904 Netdiag.exe, 643 NETSH, 904 contexte global, 905
1005
Newsgroup
Newsgroup, 986 Nom de partage, 986 Nouvelle installation, 109 NSLOOKUP, 906 Ntdsutil, 644 suppression dun contrleur de domaine, 647 NTFS (New Technology File System), 114, 986 Numro squence de mise jour (USN), 571 version de proprit (PVN), 572
OfflineServicing, 203, 213 Oobe.xml, 267, 270, 282 personnalisation, 190 OobeSystem, 206, 213 Option dinstallation des services de dploiement Windows, 308 Organisation unique, 47 OSCDImg, 241 OSChooser, 309 OSI, 987 Outils systme, 440 Ouverture de session, 987 interactive, 987
O
Objet, 524, 986 connexion, 572 enfant, 987 serveur, 622 Objets Active Directory Administrateur, 642 Administrateurs, 641 Administrateurs de lentreprise, 642 Administrateurs du schma, 642 Admins du domaine, 642 Builtin, 641 Computers, 641 Contrleur de domaine, 641 Contrleurs de domaine, 642 DnsAdmins, 641 DnsUpdateProxy, 642 Duplicateurs, 641 diteurs de certificats, 642 Invit, 642 Invits, 641 Invits du domaine, 642 IUSR_xxx, 642 IWAM_xxx, 642 Krbtgt, 642 Oprateurs, 641 Serveurs RAS et IAS, 642 Users, 641 Utilisateurs, 641 Utilisateurs DHCP, 641 Utilisateurs WINS, 642 Octet, 987
P
Pack de langues, 296 Package, 210 Page web, 987 home page, 987, 981 Paramtre, 211 scurit des stratgies de groupe, 852 Pare-feu, 987 action, 502 administration distance, 502 avanc, 839 configuration, 502 critres de rgles, 502 filtres de paquets, 502 GPO, 502 option Activ, 836 option Bloquer toutes les connexions, 838 option Dsactiv, 837 personnel, 835 rglage par dfaut, 502 sens, 502 Partage de distribution, 210, 221 nom de partage, 986 Partition, 988 active, 988 base de donnes Active Directory, 528 damorage, 988 dannuaire, 569 dapplication, 570 de domaine, 570
1006
Redmarrer Managers
de la configuration, 570 de schma, 570 principale, 988 systme, 988 Passes de configuration, 201 PEImg, 241 Performances analyse, 451 compteurs, 471 Priphriques en attente, 312 Personnalisation de limage, 267 accueil de premier dmarrage Windows, 273 accueil Windows, 279 conditions dans Oobe.xml, 282 fonctionnement dOobe.xml, 270 implmentation dOobe.xml, 271 Oobe.xml, 267 PID, 989 Pilote chemin daccs, 210 Pkgmgr, 287 PKI, 504 Plan dadressage IP, 32, 48 de nommage, 50 de nommage commun, 48 Planification projet Active Directory, 535 Plugin, 989 Point de restauration, 989 Pont de liaison de sites, 577 Pop-up, 989 Port 67, 314 configuration, 314 Prsentation dImageX, 249 Prvention dintrusion, 989 Privilge, 989 PRNCNFG, 906 PRNDRVR, 907 PRNJOBS, 909 PRNMNGR, 910 PRNQCTL, 912 Processeur, 474 Processus approbation des priphriques en attente, 326 installation de Windows Vista, 187
Processus dinstallation de Windows Vista, 187 AuditSystem, 205 AuditUser, 205 tat dinstallation, 190 Generalize, 204 installation interactive, 197 installation sans assistance, 197 journaux dtat dinstallation, 193 mthodes conseilles, 206 mode Audit, 189 OfflineServicing, 203 OobeSystem, 206 passes de configuration, 201 personnalisation Oobe.xml, 190 setup.exe, 193 Specialize, 204 WindowsPE, 203 Profil dutilisateur, 990 Programme, 990 de dmarrage par dfaut, 332 Protection des donnes DNS, 729 des serveurs DNS, 728 des serveurs membres, 799 des serveurs pour des rles spcifiques, 800 Protocole, 990 IP, 982 TCP, 994 TFTP, 126 UDP, 994 Proxy, 990 Puzzmania (systme dinformation de), 32 PVN (Property Version Number), 572 PXE Server Setting, 312 Pxeboot.com, 333 Pxeboot.n12, 333
R
Raccourci, 990 excuter en tant que, 437 RAM, 990 RCP, 913 RECOVER, 914 Redmarrer Managers, 832
1007
Rduction
Rduction cots, 45 trafic, 677 Registre, 990 Renforcer protection des serveurs dimpression, 801 protection des serveurs dinfrastructure, 800 protection des serveurs de fichiers, 801 protection des serveurs IIS, 801 stratgie de domaine, 798 Renommer un contrleur de domaine, 645 Rplication, 533 collision de rplication, 572 routage, 566 Sysvol, 568 Res.rwm, 320 Rseau, 475, 991 Restauration point, 989 Rsolution de noms rcursive, 640 Ressources de service, 568 SRV, 618 Rtrograder un contrleur de domaine principal, 646 REXEC, 914 RFC RFC 768, 994 RFC 791, 982 RFC 793, 994 RFC 1034, 626 RFC 1823, 516 RFC 2247, 516 RFC 2251, 516 RFC 2252, 516 RFC 2253, 517 RFC 2254, 517 RFC 2255, 517 RFC 2256, 517 RFC 2307, 517 RFC 2587, 517 RFC 2589, 517 RFC 2596, 518 RFC 2649, 518 RFC 2696, 518 RFC 2713, 518 RFC 2714, 518 RIPREP, 309 Riprep (Riprep.exe), 130, 319
RIS (Remote Installation Service), 123 RISETUP, 309 RODC, 505 Rles matres dopration, 531, 663 RootDSE, 515 Routage de la rplication, 566 Routeur, 991 Ruche, 991 RUNAS, 915
S
Sauvegarde, 992 Scnarios ImageX, 251 Schma Active Directory, 525, 670 SCHTASKS, 916 Script, 992 Scurit, 767, 784, 805, 850, 992 Active Directory, 715 analyse des vulnrabilits, 814 attaque du compte Administrateur, 722 audit de scurit informatique, 816 cheval de Troie, 974 comptes dadministration des services, 720 dfense en profondeur, 810 dfinir des solutions, 785 valuer les risques, 785 Member Server Baseline, 799 mettre en place des solutions, 785 mthodes dadministration des donnes, 723 notions fondamentales, 784 planification, 808 physique, 771 postes de travail, 823 postes de travail laide dActive Directory, 849 relations interforts, 731 serveurs, 789 test de pntration, 815 valider des solutions, 785 Windows Vista, 826 Scurit des serveurs, 789 Active Directory, 795 base des serveurs, 793
1008
Service
conception de la scurit, 789 concessions, 792 consquences juridiques, 792 cot, 793 frontires de scurit, 797 menace interne, 791 modle de scurit Member Server Baseline, 799 possibilits daccs physique, 792 problmatiques de base, 791 recommandations, 794 serveurs assurant plusieurs rles, 791 serveurs dimpression, 801 serveurs dinfrastructure, 800 serveurs de fichiers, 801 serveurs IIS, 801 serveurs membres, 799 serveurs pour des rles spcifiques, 800 stratgie de domaine, 798 systmes anciens, 792 Server Core, 480, 484 Serveur activation de NTPServer, 639 catalogue global, 579 changement du type de serveur en NTP, 638 configuration du service, 637 de temps, 637 horloge matrielle, 638 intervalle dinterrogation, 639 paramtres de correction, 639 RAS et IAS, 642 web, 757 Service, 992 affichage des messages, 941 agent de contrle distance SMS, 949 annuaire de session des services Terminal Server, 953 appel de procdure distante, 945 autorit de scurit locale, 929 centre de distribution de cls Kerberos, 939 certificats, 931 clients Microsoft Exchange Server et Outlook, 935 cluster, 931 coordinateur de transactions distribues, 934 dannuaire, 737 dauthentification Internet, 938
de tlcopie, 936 dcouvertes SSDP, 951 enregistrement de licences, 940 tat ASP.NET, 931 explorateur dordinateurs, 932 gestion de licences Terminal Server, 953 hte priphrique Plug-and-Play universel, 954 HTTP SSL, 938 installation distance, 945 interruption SNMP, 950 journal des vnements, 934 journaux et alertes de performance, 944 localisation de services, 569 localisateur dappels de procdure distante, 946 Message Queuing, 940 MSSQL$UDDI, 943 MSSQLSERVER, 942 Network News Transfer Protocol, 944 notification de stockage tendu, 946 ouverture de session rseau, 943 pare-feu de connexion Internet, 939 partage de Bureau distance NetMeeting, 943 partage de connexion Internet, 939 passerelle de la couche Application, 930 piles MTA Microsoft Exchange, 941 POP3 Microsoft, 942 publication FTP, 937 publication World Wide Web, 956 rplication de fichiers, 568, 937 routage et accs distant, 946 serveur, 947 serveur dimpression TCP/IP, 952 serveur de fichiers pour Macintosh, 937 serveur de stockage tendu, 946 serveur de suivi de lien distribu, 933 serveur DHCP, 932 serveur DNS, 934 SharePoint Portal Server, 948 Simple Mail Transfer Protocol, 948 SNMP, 949 installation distance (Remote Installation Service), 123 spouleur dimpression, 944 SQL Analysis Server, 950 systme de fichiers distribus, 933 Systems Management Server 2.0, 951
1009
Service Pack 1
TCP/IP simples, 948 Telnet, 952 temps Windows, 956 Terminal Server, 952 Trivial FTP, 954 Windows Internet Name Service (WINS), 955 Windows Media, 955 Service Pack 1, 71, 89 Service Pack 2, 73, 91 Services de dploiement Windows configuration, 310 configuration de DHCP, 312 fonctionnement, 303 installation, 305 mode hrit, 309 mode mixte, 309 mode natif, 309 modes de fonctionnement des services, 309 option DHCP 60, 313 Services et applications, 441 Services for Unix (SFU), 71 SET, 917 Shareware, 993 SHUTDOWN, 919 SID, 993 Single Instant Store (SIS), 126 technologie SIS, 319 Sites, 529, 575, 993 Sous-arbre, 993 Sous-cl, 993 Sous-rseau, 574 masque, 984 Spamming, 992 Specialize, 204, 213 Spywares, 826 SSL, 993 Standard LDAP V3, 516 Stockage, 440 dinstance simple (SIS), 126 Stratgie de noms de clients, 326 Structure Active Directory scurise, 720 physique dActive Directory, 529 Suppression dun contrleur de domaine, 646 Sysprep, 131, 223 action de nettoyage du systme, 225 fichiers journaux, 232
implmentation, 224 limitations, 232 options dextinction, 226 processus, 227 rinitialisation de lactivation, 227 utilisation de fichiers de rponses, 229 Systme dinformation de Puzzmania, 32 SYSTEMINFO, 921
T
TAKEOWN, 922 TASKKILL, 923 TASKLIST, 923 TCP, 994 TCP/IP, 994 Technologie SIS, 319 Tlcopie, 936 TELNET, 924 Terminal Server annuaire de session des services, 953 TFTP, 925 TIME, 926 Topologie des sites, 565 Trafic de rplications, 677 Transfert des fichiers et paramtres laide dun support amovible, 164 CD ou DVD, 165 poste cible, 153 poste source, 157 rseau, 152 Transfert de zones incrmentiels, 619 des rles, 667 Transitivit des liens de sites, 578 Trivial File Transfer Protocol TFTPD, 126 TTL, 977
U
UDP, 994 Unattend.xml, 220 Units dorganisation, 527, 593
1010
Windows Server 2003
conception, 598 implmentation, 601 modle hybride, 600 modle bas sur lemplacement, 598 modle bas sur lorganisation, 599 modle bas sur la fonction, 599 planification de la structure administrative, 595 Update Sequence Number (USN), 571 Upgrade Advisor, 170 URL, 995 USB, 995 USMT, 995 USN (Update Sequence Number), 571 Utilisateurs, 996 administrateurs, 431 oprateurs dimpression, 432 oprateurs de compte, 432 oprateurs de sauvegarde, 432 oprateurs de serveur, 432 Utiliser Upgrade Advisor, 173
V
Valeur dimage, 210 Variable, 996 denvironnement, 996 Vrificateur de cohsion de connaissances, 573 Versions, 137 prcdentes, 996 Virtualisation, 996
W
WAIK, 234 WDS stratgie de noms de clients, 326 unit dorganisation lors de lapprobation, 326 Wdsnbp.com, 333 WDSUTIL, 310, 333-335 ajouter une image de dmarrage, 336 arrter le serveur, 347
configuration de loption 60, 335 configuration du port 67, 336 dmarrer le serveur, 346 obtenir des informations, 337 supprimer une image de dmarrage, 337 Web serveur web, 757 connexions web scurises, 975 Wi-Fi, 997 WIM, 997 Win PE ajouter des packages, 242 ajouter des pilotes, 243 limitations, 240 lister les packages, 242 mode Non prpar, 237, 241 mode Prpar, 237 outils, 241 personnaliser, 241 prparer une image, 244 repackager une image, 245 utilisation, 240 version 2.0, 235 Windows 2000, 168 Windows Automated Installation Kit, 234 Windows Backup, 179 Windows Defender, 826, 828 historique, 831 Windows Filtering Platform, 501 Windows PE, 997 Windows PE 2.0, 233-234 Windows PowerShell, 399 aide, 415 alias, 420 applets de commande, 404 excution, 403 installation, 402 interaction et scripts, 413 mise en forme de la sortie des commandes, 419 navigation, 424 pipelines dobjets, 412 prsentation, 401 stratgie dexcution, 414 traitement dobjets, 410 Windows Preinstallation Environment, 239 Windows RE, 997 Windows Rights Management Services, 71 Windows Server 2003
1011
Windows Server 2008
Datacenter Edition, 58 Enterprise Edition, 58 R2, 71, 89 Standard Edition, 57 Web Edition, 58 Windows Server 2008, 477 BitLocker, 504 CNG, 505 fonctionnalits, 493 gestion du serveur, 489 gestionnaire de serveur, 490 groupes et utilisateurs, 486 installation, 481 installer, 479 isolement de serveur et de domaine, 506 NAP, 503 pare-feu, 501 PKI, 504 prrequis, 479 RODC, 505 rles, 493 scurit, 500 Server Core, 480 services, 487 tches de configuration initiales, 489 Windows Server Update Services, 832 Windows SharePoint Services, 70 Windows Vista activation, 148 dition Familiale Basique, 139 dition Familiale Premium, 139 dition Intgrale, 141 Entreprise, 141 licence, 148 Professionnel, 140 Starter Edition, 138 Windows Vista et Active Directory changement rapide dutilisateur, 361
fichiers ADML, 365 fichiers ADMX, 363 gestion de Bitlocker, 391 gestion des rseaux filaires IEEE 802.3, 383 gestion des rseaux sans fil IEEE 802.11, 387 intgration dans le domaine, 353 maintenance des stratgies de groupe, 375 rpertoire de stockage central au domaine, 371 stratgies de groupe, 362 stratgies de groupe locales multiples, 379 Windows XP Familial, 167 Media Center, 167 Professional, 167 Professional x64, 168 Tablet PC, 168 WindowsPE, 213 WINPE, 234 Winpe.wim, 237 WINS utilisateurs, 642 WUA, 832
X
X.500, 514 XML, 997
Z
ZIP, 997
1012
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Compos en France par Jouve 11, bd de Sbastopol - 75001 Paris

Windows Server 2003 Et Windows Server 2008

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2003 Et Windows Server 2008

Transféré par

Droits d'auteur :

Formats disponibles

Copyright

Micro Application 20-22, rue des Petits-Htels 75010 Paris

1re dition - Novembre 2007

Avertissement aux utilisateurs

Support technique disponible sur www.microapp.com

Mister Onet, lhomme la rfrence, vous montre le chemin !

Propose des trucs pratiques.

Vous recommande une technique ou une marche suivre.

Vous indique le nom et lemplacement des fichiers tlcharger.

Il sagit dinformations supplmentaires relatives au sujet trait.

Fait rfrence un chapitre o vous trouverez des informations complmentaires.

Contenu en un clin dil

Installation, dploiement et gnralits

Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22

613 661 695 715 733

Chapitre 1 tude de cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Le contexte : prsentation de la socit . . . . . . . . . . . . . . . . . . . . . . . . . 31

De Windows NT 4.0 Server Windows Server 2003, quest-ce qui a chang ? . . 62

De Windows 2000 Server Windows Server 2003, quest-ce qui a chang ? . . . 65

Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . 71

Quapporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . 99

Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . 102

La version mise jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Les Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Valider la conguration matrielle minimale recommande . . . . . . . . . . . 142

Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Prparer la mise jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 167

208 208 211 212

Les limitations de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

Personnaliser limage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

La maintenance de limage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

. . 293 . . 295 . . 296 . . 298

301 303 305 309

Le mode hrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode mixte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Le mode natif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Les images de dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

Les images dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Les groupes dimages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320

La stratgie de noms de clients et lemplacement de compte . . . . . . . . . . . 326

Le programme de dmarrage par dfaut . . . . . . . . . . . . . . . . . . . . . . . . 332 WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Les stratgies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . 362

Les pipelines dobjets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

Linteraction et les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

Utiliser Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

Naviguer dans Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 424

Naviguer dans le Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Naviguer dans le magasin de certicats . . . . . . . . . . . . . . . . . . . . . . 426

Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . 451

504 505 505 506

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522

535 537 538 539 541

Principe de conception des forts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 Les modles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

Choisir le domaine racine de la fort . . . . . . . . . . . . . . . . . . . . . . . . . . 555

587 588 590 591

Implmenter la structure dunits dorganisation . . . . . . . . . . . . . . . . . . 601

Dployer le domaine racine de la fort puzzmania.com . . . . . . . . . . . . . . 619

Aprs linstallation du premier contrleur de domaine . . . . . . . . . . . . . . . 641

Dployer le deuxime contrleur de domaine sur le mme site . . . . . . . . . 649

Dfragmenter et dplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . 704

Prendre les rles matres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707

Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . 754

Dfense de la couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

La couche Primtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773

La couche rseau interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775

La couche hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778