Académique Documents
Professionnel Documents
Culture Documents
2007
Auteurs
Jean-Georges SAURY et Sylvain CAICOYA Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de MICRO APPLICATION est illicite (article L122-4 du code de la proprit intellectuelle). Cette reprsentation ou reproduction illicite, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles L335-2 et suivants du code de la proprit intellectuelle. Le code de la proprit intellectuelle nautorise aux termes de larticle L122-5 que les reproductions strictement destines lusage priv et non destines lutilisation collective dune part, et dautre part, que les analyses et courtes citations dans un but dexemple et dillustration.
Les informations contenues dans cet ouvrage sont donnes titre indicatif et nont aucun caractre exhaustif voire certain. A titre dexemple non limitatif, cet ouvrage peut vous proposer une ou plusieurs adresses de sites Web qui ne seront plus dactualit ou dont le contenu aura chang au moment o vous en prendrez connaissance. Aussi, ces informations ne sauraient engager la responsabilit de lEditeur. La socit MICRO APPLICATION ne pourra tre tenue responsable de toute omission, erreur ou lacune qui aurait pu se glisser dans ce produit ainsi que des consquences, quelles quelles soient, qui rsulteraient des informations et indications fournies ainsi que de leur utilisation. ISBN : 978-2-7429-8448-0 Tous les produits cits dans cet ouvrage sont protgs, et les marques dposes par leurs titulaires de droits respectifs. Cet ouvrage nest ni dit, ni produit par le(s) propritaire(s) de(s) programme(s) sur le(s)quel(s) il porte. Couverture ralise par ComBack
MICRO APPLICATION 20-22, rue des Petits-Htels 75010 PARIS Tl. : 01 53 34 20 20 - Fax : 01 53 34 20 00 http://www.microapp.com
9448
Avant-propos
La collection Bible Micro Application a t conue pour permettre aux utilisateurs avancs experts dapprofondir leurs connaissances dun thme prcis. Exhaustifs, ces ouvrages permettent dacqurir une connaissance intgrale du sujet tudi, la fois en thorie et en pratique.
Conventions typographiques
Afin de faciliter la comprhension des techniques dcrites, nous avons adopt les conventions typographiques suivantes :
j j j
gras : menu, commande, bote de dialogue, bouton, onglet. italique : zone de texte, liste droulante, case cocher, bouton radio.
Police bton : instruction, listing, texte saisir.
: indique un retour la ligne d aux contraintes de la mise en page. Au cours de votre lecture, vous rencontrerez les encadrs suivants :
Met laccent sur un point important quil ne faut ngliger aucun prix.
Renvoi un site o vous trouverez des infos complmentaires ou des outils tlcharger.
27
29 55 87 105 135 185 247 301 351 399 429 477
Partie B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17
Active Directory
Introduction LDAP et Active Directory La planication dun projet Active Directory La conception de linfrastructure logique Active Directory La conception de la topologie de sites La conception et limplmentation de la structure des units dorganisation
509
511 535 545 563 593
Limplmentation des serveurs dinfrastructure Active Directory Les fonctions et les rles dans Active Directory La maintenance dActive Directory La scurisation dActive Directory Active Directory Application Mode et Active Directory Federation Services
Partie C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26
Scurit
Introduction la scurit La conception de la scurit des serveurs valuation de la scurit La scurisation des postes de travail
765
767 789 805 823
Partie D
Chapitre 27 Chapitre 28 Chapitre 29
Annexes
Annexe I - Liste alphabtique des commandes Annexe II - Les services et les ports rseau sous Windows Server 2003 Annexe III - Glossaire
859
861 927 967
Sommaire
Partie A Installation, dploiement et gnralits 27
Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Rduire les cots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Intgrer les trois socits dans une nouvelle organisation . . . . . . . . . . 43 Scuriser linfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
La mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Comment rduire les cots plusieurs niveaux ? . . . . . . . . . . . . . . . . 45 Comment crer une organisation unique et intgrer les deux socits partenaires ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Comment scuriser linfrastructure ? . . . . . . . . . . . . . . . . . . . . . . . . 52
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Chapitre 2 tat des lieux de Windows Server en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Les diffrentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Standard Edition . Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition Windows Server 2003 Web Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 58 58 58
Sommaire
Comparaison des caractristiques des diffrentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Conguration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Chapitre 3 Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Les nouveauts du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Les nouveauts du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Les mises jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scalable Networking Pack (SNP) . . . . . . . . . . . . . . . . . . . . . . La bibliothque XmlLite . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de dploiement Windows WDS (Windows Deployment Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Management Console 3.0 (MMC 3.0) . . . . . . . . . . . . Wireless Protected Access 2 (WPA2) . . . . . . . . . . . . . . . . . . . . La version amliore de loutil CACLS . . . . . . . . . . . . . . . . . . . Les fonctions existantes amliores . . . . . . . . . . . . . . . . . . . . . . . . . 91 . . . . . 91 . . . . . 93 . . . . . . . . . . . . . . . . . . . . . . . . . 94 96 96 97 98
Sommaire
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Chapitre 4 Linstallation et le dploiement de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 105 Considrations sur linstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Les prrequis . . . . . . . . . . . . . . . . . . Vrier la compatibilit du systme . . . Nouvelle installation ou mise niveau ? Le double amorage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 108 109 110
Rsoudre les problmes dinstallation . . . . . . . . . . . . . . . . . . . . . . . . . 133 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Chapitre 5 Linstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Dcouvrir les diffrentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Que faire ? Avec quelle version . . . . . . . Windows Vista Starter Edition . . . . . . . . Windows Vista dition Familiale Basique . Windows Vista dition Familiale Premium Windows Vista Professionnel . . . . . . . . Windows Vista Entreprise . . . . . . . . . . . Windows Vista dition Intgrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 138 139 139 140 141 141
Sommaire
Mettre jour le systme dexploitation vers Windows Vista . . . . . . . . . . . . 181 Dpanner la mise niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . 182 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Chapitre 6 Le dploiement des ordinateurs Windows Vista en entreprise phase 1 . . . . . . . . . . . . 185 Le processus dinstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . 187
Introduction linstallation de Windows Vista . . . . . . . . . . . . . . . Les mthodes dexcution du programme dinstallation Windows . . . Les passes de conguration du programme dinstallation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les mthodes conseilles pour linstallation de Windows Vista . . . . . . 187 . . 193 . . 201 . . 206
LAssistant Gestion dinstallation . . . . . . . . . . . Larchitecture de lAssistant Gestion dinstallation Linterface graphique . . . . . . . . . . . . . . . . . Crer un chier de rponses . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . . . . . . . . . .
Le chier autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . . . . Le chier Corp_autounattend_sample . . . . . . . . . . . . . . . . . . . . . . Attribuer des chiers Unattend des images . . . . . . . . . . . . . . . . . . Quelques points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prsentation des partages de distribution et des jeux de conguration Introduction Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . Les options dextinction . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . Rinitialiser lactivation de Windows Vista . . . . . . . . . . . . . Utiliser des chiers de rponses en conjonction avec Sysprep Les chiers journaux de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Sommaire
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Chapitre 7 Le dploiement des ordinateurs Windows Vista en entreprise phase 2 . . . . . . . . . . . . 247 Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Prsentation dImageX . Larchitecture dImageX La commande ImageX . Capturer une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 252 254 263
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Sommaire
Chapitre 8 Les services de dploiement Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . Le fonctionnement des services de dploiement Windows . . . . . . . Installer les services de dploiement Windows . . . . . . . . . . . . . . Les modes de fonctionnement des services de dploiement Windows
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Congurer les services de dploiement Windows . . . . . . . . . . . . . . . . . . 310 Congurer DHCP pour les services de dploiement Windows . . . . . . . . . . . 312
Loption DHCP 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Le port 67 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Sommaire
Obtenir des informations sur le serveur de dploiement en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Dmarrer le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . 346 Arrter le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . . . 347
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Chapitre 9 Lintgration de Windows Vista dans linfrastructure . . . . . . . . . . . . . . . . . . . . . . . . 351 Lintgration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . 353
Changer rapidement dutilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 361
La compatibilit des nouvelles fonctionnalits de Windows Vista dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Grer les rseaux laires IEEE 802.3 . . . . . . . . . . . . . . . . . . . . . . . 383 Grer les rseaux sans l IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . 387 Grer Bitlocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Chapitre 10 Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . Prsentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Excuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement dobjets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 401 402 403 404 410
Sommaire
PowerShell et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Chapitre 11 La maintenance des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Prparer ladministration dun serveur . . . . . . . . . . . . . . . . . . . . . . . . 431
Utiliser les appartenances de groupe pour administrer un serveur La commande Excuter en tant que . . . . . . . . . . . . . . . . . . . . . Loutil Gestion de lordinateur . . . . . . . . . . . . . . . . . . . . . . . . Le Bureau distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pourquoi analyser les performances ? . . . . . . . . . . . . . . tablir une ligne de base . . . . . . . . . . . . . . . . . . . . . . . Choisir entre analyse programme et analyse en temps rel Les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les compteurs de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 433 439 443 451 452 453 462 468 471
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Chapitre 12 Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 Les prrequis linstallation de Windows Server 2008 . . . . . . . . . . . . . . . 479 Quest-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . 480
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Les services par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Grer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Les tches de conguration initiales . . . . . . . . . . . . . . . . . . . . . . . . 489 La console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . 490 Les assistants Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Les rles et les fonctionnalits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493 Les amliorations lies la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Les fonctionnalits de scurit avance du pare-feu Windows . . . . . . . 501 La protection : NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Le chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 504
Sommaire
Enterprise PKI . . . . . . . . . . . . . . . . . . . . . . . La cryptographie nouvelle gnration (CNG) . . . RODC (contrleurs de domaine en lecture seule) Lisolement de serveur et de domaine . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Partie B
Active Directory
509
Chapitre 13 Introduction LDAP et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 Gnralits sur lannuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Quest-ce quun annuaire ? . . . . . . . . . . . . Un peu dhistoire sur le protocole . . . . . . . LDAP version 2 et version 3 . . . . . . . . . . . Le standard LDAP v3 . . . . . . . . . . . . . . . . La conformit LDAP de Windows Server 2003 La compatibilit LDAP et InetOrgPerson . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 514 515 516 519 521 523 524 528 529
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 Chapitre 14 La planication dun projet Active Directory . . . . . . . . . . . . . . . . . Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . Le processus de conception dActive Directory . . . . . . . . Le processus de planication dun projet Active Directory . Les dnitions communes dans un projet Active Directory .
Dnition du service dannuaire . . . . . . . . . . . . . . Dnition du schma . . . . . . . . . . . . . . . . . . . . . . Dnition du catalogue global . . . . . . . . . . . . . . . . Dnition dun nom unique et dun nom unique relatif
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sommaire
Chapitre 15 La conception de linfrastructure logique Active Directory . . . . . . . . . . . . . . . . . . . . 545 Du projet dentreprise la conception dActive Directory . . . . . . . . . . . . . 547 Les modles de forts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Le modle de fort bas sur lorganisation . . . . . . . . . . . . . . . . . . . . 548 Le modle de fort bas sur les ressources . . . . . . . . . . . . . . . . . . . . 549 Le modle de fort accs restreint . . . . . . . . . . . . . . . . . . . . . . . . 550
Conception de domaine et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . 559 Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 560 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 Chapitre 16 La conception de la topologie de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563 Les mcanismes de conception : dnitions . . . . . . . . . . . . . . . . . . . . . 565
Les fonctionnalits lies aux sites . . . . . . . . . . . . . . . . . . . . . . . . . 566 Les concepts de rplication dActive Directory . . . . . . . . . . . . . . . . . . 569
Collecter les informations sur le rseau . . . . . . . . . . . . . . . . . . . . . . . . 580 Prvoir lemplacement des contrleurs de domaine . . . . . . . . . . . . . . . . 581
Prvoir lemplacement des contrleurs de domaine racine de la fort Prvoir lemplacement des contrleurs de domaine rgionaux . . . . . Prvoir lemplacement des serveurs de catalogue global . . . . . . . . . Dterminer lemplacement des rles matres dopration . . . . . . . . . . . . . . . . 582 582 584 585
Concevoir des sites . . . . . . . . . . . . Concevoir les liens de sites . . . . . . . Concevoir les ponts de liaison de sites En rsum . . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Sommaire
Chapitre 17 La conception et limplmentation de la structure des units dorganisation . . . . . . . . . 593 Planier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
La collecte des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 Les modles administratifs informatiques . . . . . . . . . . . . . . . . . . . . 597
Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modle bas sur lemplacement . . . . . . . . . . . . . . . . . . . . . . Le modle bas sur lorganisation . . . . . . . . . . . . . . . . . . . . . . Le modle bas sur la fonction . . . . . . . . . . . . . . . . . . . . . . . . Le modle hybride bas sur lemplacement, puis sur lorganisation Le modle hybride bas sur lorganisation, puis sur lemplacement Les outils de cration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le composant logiciel enchable Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les outils de service dannuaire . . . . . . . . . . . . . . . . . . . . . . . Loutil Ldifde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loutil de scripts Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 599 599 600 601
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611 Chapitre 18 Limplmentation des serveurs dinfrastructure Active Directory . . . . . . . . . . . . . . . . 613 Vue densemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Dterminer les contraintes matrielles pour les contrleurs de domaine . 616 Les conditions requises pour linstallation dActive Directory . . . . . . . 618
. . . . 640
Sommaire
Dployer les domaines enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658 Chapitre 19 Les fonctions et les rles dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 661 Congurer les rles matres dopration . . . . . . . . . . . . . . . . . . . . . . . . 663
Les rles matres au niveau de la fort . . . . . . . . . . . . . . . . . . . . . . 663 Les rles matres au niveau du domaine . . . . . . . . . . . . . . . . . . . . . 664 Le transfert des rles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Congurer le catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674 lever les niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681 Les relations dapprobation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Les diffrentes approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 Le fonctionnement des approbations . . . . . . . . . . . . . . . . . . . . . . . 688
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 Chapitre 20 La maintenance dActive Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695 Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Choisir une restauration non autoritaire . . . . . . . . . . . . . . . . . . . . . 701 Choisir une restauration autoritaire . . . . . . . . . . . . . . . . . . . . . . . . 703
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Sommaire
Chapitre 21 La scurisation dActive Directory . . . . . . . . . . . . . . . . . . . . . . . . . . Limportance de la scurit Active Directory . . . . . . . . . . . . Identier les types de menaces pour la scurit Active Directory tablir des frontires sres . . . . . . . . . . . . . . . . . . . . . . . Slectionner une structure Active Directory scurise . . . . . . Scuriser les comptes dadministration des services . . . . . . . Limiter lexposition des comptes dadministration des services . Scuriser les mthodes dadministration des donnes . . . . . . Protger les serveurs DNS et les donnes DNS . . . . . . . . . . . Scuriser les relations interforts . . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
715 717 717 719 720 720 721 723 728 731 732
Chapitre 22 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . 733 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . 735
Les principes dADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implmenter ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La maintenance dADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchroniser les donnes entre Active Directory et une instance ADAM Les principales fonctionnalits dADFS . Lextension dActive Directory Internet Les rles des serveurs ADFS . . . . . . . . Conguration requise pour ADFS . . . . . Implmenter des composants ADFS . . . La terminologie ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735 740 750 752 754 755 755 757 760 762
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Partie C
Scurit
765
Chapitre 23 Introduction la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767 Quest ce que la dfense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . 769 La couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
Corruption possible de la couche physique . . . . . . . . . . . . . . . . . . . 771
Sommaire
Les notions fondamentales lies la scurit . . . . . . . . . . . . . . . . . . . . . 784 Les dix commandements de la scurit . . . . . . . . . . . . . . . . . . . . . . . . 786 En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787 Chapitre 24 La conception de la scurit des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789 Les problmatiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Les serveurs assurant plusieurs rles. . . . . . . . . . . . . . . Des ressources limites pour la mise en uvre de solutions de scurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La menace interne ou accidentelle . . . . . . . . . . . . . . . . . Le manque de comptences en matire de scurit . . . . . . Les possibilits daccs physique . . . . . . . . . . . . . . . . . . Les consquences juridiques . . . . . . . . . . . . . . . . . . . . . Lutilisation de systmes anciens . . . . . . . . . . . . . . . . . . . . . . . . . . 791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 791 791 792 792 792
Sommaire
. . . 803
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803 Chapitre 25 valuation de la scurit . . . . . . . . . . . . . . . . . . . . . . . Pourquoi raliser des valuations de la scurit ? Planication de lvaluation de scurit . . . . . . Le concept de dfense en profondeur . . . . . . . Dnition du cadre de lvaluation de scurit . . Les objectifs de lvaluation de scurit . . . . . . Les types dvaluations de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805 807 808 810 811 812 813
Laudit de scurit informatique . . . . . . . . . . Publier les rsultats de lvaluation de scurit . Utiliser loutil MSAT . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Chapitre 26 La scurisation des postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823 Grer les mises jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . 825 La scurit sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Windows Defender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Sommaire
Le Centre de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832 Le pare-feu personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835 Le contrle des comptes utilisateurs (UAC) . . . . . . . . . . . . . . . . . . . 846
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Partie D
Annexes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
859
861 863 866 867 877 885 886 890 893 895 896 906 913 916 922
Chapitre 27 Annexe I - Liste alphabtique des commandes . A ..................... B ..................... C ..................... D ..................... E ..................... F ..................... G ..................... L ..................... M..................... N ..................... P ..................... R ..................... S ..................... T .....................
Sommaire
Chapitre 28 Annexe II - Les services et les ports rseau sous Windows Server 2003 . . . . . . . . . . . . 927 Les ports des services systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Active Directory (autorit de scurit locale) . . . . . . . . . . . . . Le service de la passerelle de la couche Application . . . . . . . . . Le service dtat ASP.NET . . . . . . . . . . . . . . . . . . . . . . . . . . Les services de certicats . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LExplorateur dordinateurs . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Systme de chiers distribus (DFS) . . . . . . . . . . . . . . . . . Le Serveur de suivi de lien distribu . . . . . . . . . . . . . . . . . . . Le Coordinateur de transactions distribues . . . . . . . . . . . . . Le Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Journal des vnements . . . . . . . . . . . . . . . . . . . . . . . . . Les clients Microsoft Exchange Server et Outlook . . . . . . . . . . Le service de tlcopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . La rplication de chiers . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur de chiers pour Macintosh . . . . . . . . . . . . . . . . . . Le service de publication FTP . . . . . . . . . . . . . . . . . . . . . . . HTTP SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service dauthentication Internet . . . . . . . . . . . . . . . . . . Le service Pare-feu de connexion Internet/Partage de connexion Internet (ICF/ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le Centre de distribution de cls Kerberos . . . . . . . . . . . . . . . Lenregistrement de licences . . . . . . . . . . . . . . . . . . . . . . . . Le service Message Queuing (MSMQ) . . . . . . . . . . . . . . . . . . LAffichage des messages . . . . . . . . . . . . . . . . . . . . . . . . . . Les piles MTA Microsoft Exchange . . . . . . . . . . . . . . . . . . . . Le Gestionnaire des oprations Microsoft 2000 . . . . . . . . . . . Le service POP3 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQLSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . Le service MSSQL$UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . LOuverture de session rseau . . . . . . . . . . . . . . . . . . . . . . . Le Partage de Bureau distance NetMeeting . . . . . . . . . . . . . . Network News Transfer Protocol (NNTP) . . . . . . . . . . . . . . . . Le service Journaux et alertes de performance . . . . . . . . . . . . Le Spouleur dimpression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 930 931 931 931 932 932 933 933 934 934 934 935 936 937 937 937 938 938 939 939 940 940 941 941 941 942 942 943 943 943 944 944 944
Sommaire
LInstallation distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . LAppel de procdure distante (RPC) . . . . . . . . . . . . . . . . . . . Le Localisateur dappels de procdure distante (RPC) . . . . . . . . La Notication de stockage tendu . . . . . . . . . . . . . . . . . . . . . Le Serveur de stockage tendu . . . . . . . . . . . . . . . . . . . . . . . . Le Routage et accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . Le Serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service SharePoint Portal Server . . . . . . . . . . . . . . . . . . . . Le service Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . Les services TCP/IP simples . . . . . . . . . . . . . . . . . . . . . . . . . LAgent de contrle distance SMS . . . . . . . . . . . . . . . . . . . . . Le service SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service dinterruption SNMP . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Analysis Server . . . . . . . . . . . . . . . . . . . . . . . . Le service SQL Server : prise en charge des clients OLAP de niveau infrieur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le service de dcouvertes SSDP . . . . . . . . . . . . . . . . . . . . . . . Microsoft Systems Management Server 2.0 . . . . . . . . . . . . . . . . Le Serveur dimpression TCP/IP . . . . . . . . . . . . . . . . . . . . . . . Le service Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . La Gestion de licences Terminal Server . . . . . . . . . . . . . . . . . . LAnnuaire de session des services Terminal Server . . . . . . . . . . Le service Trivial FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LHte priphrique Plug-and-Play universel . . . . . . . . . . . . . . Windows Internet Name Service (WINS) . . . . . . . . . . . . . . . . . Les services Windows Media . . . . . . . . . . . . . . . . . . . . . . . . . Le service de temps Windows . . . . . . . . . . . . . . . . . . . . . . . . Le service de publication World Wide Web . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
945 945 946 946 946 946 947 948 948 948 949 949 950 950 951 951 951 952 952 952 953 953 954 954 955 955 956 956
Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . 965 Chapitre 29 Annexe III - Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967 Chapitre 30 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999
Prface
Nous vous remercions davoir choisi la Bible Windows Server 2003 Windows Server 2008 afin de dvelopper vos comptences dans le domaine des infrastructures Microsoft. Nous avons souhait que cet ouvrage vous serve de guide aussi bien dans la conception de votre infrastructure que dans limplmentation tape par tape des fonctionnalits techniques. Il vous aidera faire face aux problmatiques de tous les jours. Pour cela, louvrage sarticule autour dune tude de cas, une socit fictive, qui sert de point de dpart lexposition des problmatiques et permet dlaborer la conception de la solution, puis limplmentation technique. Mme si nous avons souhait nous concentrer uniquement sur les infrastructures Microsoft, nous avons aussi voulu donner une dimension bien relle aux problmatiques dentreprise en montrant que, de nos jours, la satisfaction de lutilisateur final passe par un savant quilibre entre les fonctionnalits des systmes dexploitation pour serveurs et les fonctionnalits des systmes dexploitation pour clients et quune nouvelle version de Windows ne chasse pas lautre immdiatement. En effet, Windows Vista arrive dans un contexte o le parc informatique est dj compos de Windows XP et/ou Windows 2000, et Windows Server 2008 arrive galement dans un contexte o le parc informatique est dj compos de Windows Server 2003, Windows 2000 Server, voire Windows NT 4.0 Server. Au travers de la conception et de limplmentation des serveurs Windows Server 2003, nous avons souhait vous sensibiliser cet tat de fait et voulu que vous ayez en mains tous les arguments qui vous permettront de faire les choix structurants dans votre contexte. Cest pourquoi vous trouverez, par exemple, des chapitres traitant tout autant du dploiement de Windows Server 2003 que du dploiement de Windows Vista, de la scurisation des serveurs comme de la scurisation des stations de travail ou que des problmatiques comme la gestion des identits et des services rseaux. En raison de la masse dinformations que cela reprsente, la Bible Windows Server 2003 Windows Server 2008 est compose de deux tomes. Le tome I dveloppe les thmes suivants :
j j j
linstallation, le dploiement et les gnralits des systmes dexploitation ; la conception, limplmentation, la maintenance et la scurit dActive Directory ; la scurit des serveurs, des stations de travail, du rseau et des donnes.
25
j j j
les problmatiques dentreprise comme lauthentification forte, la haute disponibilit ou lintgration de Windows Server 2008 ; la conception, limplmentation, ladministration des services rseau ; ladministration ladministration. centralise de linfrastructure, les outils amliorant
Tous les chapitres sont en rapport avec ltude de cas, mais cela ne vous empchera pas dutiliser ces livres pour un sujet prcis selon vos besoins. Bonne lecture tous !
26
Partie
A
Installation, dploiement et gnralits
Partie
A
Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12
Linstallation et le dploiement de Windows Server 2003 . 105 Linstallation de Windows Vista . . . . . . . . . . . 135 Le dploiement des ordinateurs Windows Vista en entreprise phase 1 . . . . . . . . . . . . . . 185 Le dploiement des ordinateurs Windows Vista en entreprise phase 2 . . . . . . . . . . . . . . 247 Les services de dploiement Windows . . . . . . . . 301 Lintgration de Windows Vista dans linfrastructure . . . 351 Windows PowerShell . . . . . . . . . . . . . . . 399 La maintenance des serveurs . . . . . . . . . . . . 429 Windows Server 2008 . . . . . . . . . . . . . . 477
Chapitre 1
tude de cas
1.1 1.2 1.3 1.4 Le contexte : prsentation de la socit Les objectifs . . . . . . . . . . . . . . . . . La mise en uvre . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 42 44 54
uoi de mieux quune mise en situation afin dexpliquer les fonctionnalits de Windows Server 2003 R2 et de montrer toute ltendue des possibilits du systme dexploitation serveur de Microsoft ! Cest par cette affirmation que nous est venue lide de prsenter tous les concepts techniques au travers de la ralit des besoins quotidiens dune entreprise (bien que celle-ci soit invente de toutes pices pour les besoins de louvrage). Nous esprons que ce mode de fonctionnement vous permettra dtablir la relation entre le besoin dentreprise et limplmentation dune fonctionnalit technique et que vous aborderez louvrage soit par rapport une situation que vous vivez dans votre travail quotidien, soit par rapport un concept technique que vous souhaitez approfondir. Ce premier chapitre vous prsente Puzzmania, une socit taille humaine, qui ressemble tant dautres dans le domaine de linformatique et qui a les problmatiques dun grand nombre de socits en France de nos jours. Ce chapitre de rfrence dtaille galement les noms des serveurs, le plan de nommage, le plan dadressage utilis tout au long de louvrage. Pour avoir lopportunit dintroduire la conception dActive Directory dans cet ouvrage, nous allons partir du postulat de base que Puzzmania est architecture autour de domaines Windows NT 4.0, sachant que la plupart des entreprises en France ont toutes (ou presque) migr tout leur parc vers Active Directory. Cela va vous permettre de voir tous les aspects de la conception et, par anticipation, vous donner les bonnes pratiques de rflexion en cas de migration, puisque la migration vers Windows Server 2008 sera bientt dactualit.
1. tude de cas
1.1.
Lactivit de la socit
Puzzmania est une socit de conception et de fabrication de puzzles, compose de 300 personnes rparties autour de trois sites gographiques : Paris, Toulouse et Nice. Elle enregistre de bons rsultats grce une gamme de produits complte (pour tous les ges et tous les niveaux) et connat depuis peu un essor considrable en tant la seule proposer des puzzles 3D grce une technique dimpression holographique des pices unique au monde.
La situation gographique
La socit est articule autour de trois sites gographiques :
j
le site de Paris, qui regroupe la direction, le marketing, les finances, les ressources humaines ; 31
Chapitre 1
tude de cas
le site de Toulouse, qui regroupe lusine de production et dacheminement des puzzles dits classiques ; le site de Nice, qui regroupe le laboratoire lorigine du dveloppement de la technique dimpression 3D unique au monde, ainsi que la production et lacheminement de ces puzzles.
1. tude de cas
Linfrastructure informatique
Le systme dinformation de Puzzmania est limage de la socit : il a t bti il y a quelques annes et il connat maintenant une forte croissance. Puzzmania est compose de trois domaines NT 4.0 indpendants, un sur chaque site gographique, avec des relations dapprobation bidirectionnelles entre les sites. Au fil des diffrents projets informatiques, dus lessor des puzzles 3D, des serveurs Windows 2000 Server et Windows Server 2003 ont t ajouts afin dapporter de la robustesse et des fonctionnalits, mais sans impact sur linfrastructure. Le but principal tait de relier les sites, de communiquer, de rpondre au besoin cote que cote. Chaque site dispose de son propre service informatique (de ladministration au support des utilisateurs). Les utilisateurs sont administrateurs de leurs propres stations de travail : ils utilisent des applications bureautiques (style Office), graphiques ou maison, selon leurs activits.
Plan dadressage IP
La socit utilise exclusivement le protocole TCP/IP comme protocole de communication sur son rseau. Voici comment a t pens le plan dadressage IP (serveurs, quipements actifs, stations de travail) en tenant compte des trois sites gographiques, bas sur une tendue dadresses IP de classe B. Une rgle applique au troisime et quatrime octet de ladresse IP offre un moyen mnmotechnique sympathique qui permet davoir en tte rapidement la relation entre ladresse IP et le type de matriel. Dans certains cas, on peut galement faire une correspondance entre ladresse IP et le nom du serveur, par exemple, bien quaucun plan de nommage officiel nait t crit.
Tableau 1.1 : Rgle dattribution des adresses IP 1er octet 2e octet 172 50 3e octet X = localisation Y = catgorie 4e octet Adresse IP ZZZ = de 1 172.50.XY.ZZZ 254
Le masque de sous-rseau, quant lui, sera le mme sur tous les sites : 255.255.240.0. Il est calcul selon le besoin en adresses. 32
En fonction du masque de sous-rseau et de ltendue des adresses IP disponibles, il est dcid de dcouper ltendue en plusieurs sous-rseaux ; en outre, il est convenu que chaque site gographique dispose de son propre sous-rseau, le tout correctement rout travers les sites.
Tableau 1.2 : Liste des sous-rseaux affects aux sites gographiques de Paris, Toulouse
1. tude de cas
et Nice
Site gographique Paris Toulouse Numro de sousrseau 1 2 Adresse du sousrseau 172.50.0.0 172.50.16.0 Adresses IP des machines De 172.50.0.1 172.50.15.254 De 172.50.16.1 172.50.31.254 De 172.50.32.1 172.50.47.254 Adresse de broadcast 172.50.15.255 172.50.31.255
Nice
172.50.32.0
172.50.47.255
33
Chapitre 1
tude de cas
Valeur Y
1. tude de cas
4 5
Il faut noter que le fait dintgrer une variable Y dans la rgle dattribution des adresses IP limite encore plus le champ des possibles au sein dun mme sous-rseau. En effet, il va falloir segmenter une plage dadresses IP qui est dj segmente elle-mme.
Nombre dutilisateurs : 120. Nombre de stations de travail : 140. Nombre de serveurs : 10.
PADC02
172.50.11.2
TLDC06
172.50.11.6
34
Systme dexploitation Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Web Edition Windows Server 2003 Web Edition
Fonction Contrleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur dimpression Serveur de messagerie Serveur antivirus Serveur web Serveur web
1. tude de cas
Cas dentreprise La liste des serveurs montre la mixit des versions des systmes dexploitation utilises. En guise de serveurs web, par exemple, on a install Windows Server 2003 afin dutiliser les fonctionnalits dIIS 6. On remarque galement que le site de Paris contient un CSD de chacun des autres domaines. En outre, dans la mesure du possible, les noms de serveur sont reprsentatifs, bien quil ny ait pas de plan de nommage officiel, mais cela nest pas le cas tous les coups. Le serveur DHCP du site, PADC01, distribue des adresses IP comprises dans une tendue allant de 172.50.14.1 172.50.14.254 et de 172.50.15.1 172.50.15 .254. Elles sont distribues aux stations de travail localises au mme endroit.
Toulouse
j j j
35
Chapitre 1
tude de cas
Toulouse
Nom du serveur TLDC03 Adresse IP 172.50.21.3 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Contrleur secondaire de domaine pour le domaine PARPUZZ Contrleur secondaire de domaine pour le domaine NCEPUZZ Serveur de fichiers Serveur dimpression Serveur de messagerie Serveur antivirus Serveur de base de donnes Serveur applicatif Serveur applicatif
TLDC04
172.50.21.4
Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition
Cas dentreprise Si on compare les listes des serveurs dinfrastructure de Paris et de Toulouse, on retrouve des doublons dans les rles de serveur induits par le fait que le domaine TLSPUZZ est indpendant du domaine de Paris. Cette remarque vaut pour tous les sites. On constate galement des diffrences dans la rgle de nommage des serveurs par rapport au site de Paris, srement dues la prcipitation (par exemple, le site de Toulouse est mentionn sur deux ou trois caractres). Le serveur DHCP du site, TLDC03, distribue des adresses IP comprises dans une tendue allant de 172.50.24.1 172.50.24.254 et de 172.50.25.1 172.50.25 .254. Elles sont distribues aux stations de travail localises au mme endroit.
36
Nice
j j j
1. tude de cas
NCEDC07
172.50.41.7
Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Server Windows 2000 Server Windows 2000 Server Windows Server 2003 Standard Edition Windows 2000 Server Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition
Le serveur DHCP du site, NCDC06, distribue des adresses IP comprises dans une tendue allant de 172.50.44.1 172.50.44.254 et de 172.50.45.1 172.50.45 .254. Elles sont distribues aux stations de travail localises au mme endroit.
37
Chapitre 1
tude de cas
focalise sur la communication entre les sites gographiques. Elle nest pas la plus scurise qui soit, ni la plus simple administrer dailleurs. 1. tude de cas Notons les points de dysfonctionnements suivants
38
39
Chapitre 1
tude de cas
Tableau 1.8 : Sous-rseau affect au site gographique de Londres pour Smart Com
Site gographique
1. tude de cas
Numro de sousrseau 4
Adresse de broadcast
Londres
Londres
Nom du serveur SMARTDC01 Adresse IP 172.50.51.1 Systme dexploitation Windows NT 4.0 Server Fonction Contrleur principal de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur secondaire de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Serveur de fichiers et serveur antivirus Serveur de base de donnes et serveur applicatif
SMARTDC02
172.50.51.2
SMARTBUR01 SMARTBDD01
172.50.51.10 172.50.51.11
Le serveur DHCP du site, SMARTDC01, distribue des adresses IP comprises dans une tendue allant de 172.50.54.1 172.50.54.254 et de 172.50.55.1 172.50.55 .254. Elles sont distribues aux stations de travail localises au mme endroit.
Cradesign
Cradesign est une petite socit high-tech situe Nice, spcialise dans linfographie. Le but de ce rachat est de renforcer le dveloppement autour de la technique qui fait le succs de lentreprise. La socit est constitue dun domaine unique Active Directory Windows Server 2003 comprenant sept serveurs et cinquante postes. Les mmes rgles dattribution dadresses IP, nonces dans le plan dadressage IP de Puzzmania, sont appliques ici. Les seules exceptions concernent le sous-rseau dans lequel se trouvent les machines ainsi que la variable X du troisime octet, qui prend ici la valeur 7. 40
Tableau 1.10 : Sous-rseau affect au site gographique de Londres pour Smart Com
Site gographique Nice Numro de sousrseau 5 Adresse du sousrseau 172.50.64.0 Adresses IP des machines Adresse de broadcast
1. tude de cas
Nice
Nom du serveur creadc1 Adresse IP 172.50.71.1 Systme dexploitation Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Fonction Contrleur de domaine, serveur primaire DNS, serveur primaire WINS, serveur DHCP Contrleur de domaine, serveur secondaire DNS, serveur secondaire WINS partenaire de rplication Serveur de fichiers Serveur antivirus Serveur applicatif et de base de donnes en cluster Serveur applicatif et de base de donnes en cluster Serveur web
creadc2
172.50.71.2
Windows Server 2003 Standard Edition Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Web Edition
Le serveur DHCP du site, creadc1, distribue des adresses IP comprises dans une tendue allant de 172.50.74.1 172.50.74.254 et de 172.50.75.1 172.50.75 .254. Elles sont distribues aux stations de travail localises au mme endroit.
41
Chapitre 1
tude de cas
domaines, mais galement configurer les serveurs WINS comme partenaires de rplication afin de convertir les noms NetBIOS en adresses IP. 1. tude de cas
Rsum du contexte
Puzzmania est une entreprise de taille moyenne, fonctionnant sous une architecture Windows NT 4.0 Server, et repartie sur trois sites. Chaque site est autonome dans le choix de ses machines et de ses logiciels, et dispose approximativement dune dizaine de serveurs, allant de Windows NT 4.0 Server Windows Server 2003 Enterprise Edition, et dune centaine de postes utilisateurs, allant de Windows NT 4.0 Workstation Windows XP professionnel. Chaque site possde son propre domaine et communique avec les autres domaines de lentreprise laide de relations dapprobation bidirectionnelles, et parfois de comptes dupliqus pour ladministration. Puzzmania travaille aujourdhui essentiellement avec deux partenaires :
j
Cradesign, pour la partie recherche et dveloppement de nouveaux produits. Cette socit volue dans une fort Active Directory Windows Server 2003 regroupant quelques serveurs et une cinquantaine dutilisateurs. Cradesign possde une forte exprience informatique dans les nouvelles technologies. Smart Com, pour la partie communication. Cette socit de petite taille dispose dune petite structure informatique dune quinzaine de personnes et de quatre serveurs.
Pour que tous les sites puissent partager linformation, on est oblig de crer des relations dapprobation dans tous les sens, ce qui a comme consquence daugmenter les risques dintrusion et de complexifier ladministration (placer les droits sur les serveurs de fichiers est un vrai casse-tte !). On saperoit galement que la mixit des systmes dexploitation au niveau des fondements de linfrastructure complique galement le problme.
1.2.
Les objectifs
Vu les stratgies de dveloppement mises en uvre par la direction et compte tenu des contraintes techniques dues larrt programm du support de Windows NT 4.0 Server, la dcision est prise de restructurer le systme dinformation autour de Windows Server 2003. Windows Server 2003 est le systme dexploitation serveur Microsoft de rfrence (en attendant Windows Server 2008, son successeur). Puzzmania compte profiter des nouveauts apportes par Windows Server 2003 R2 (sorti en 2005), des amliorations de scurit, de stabilit et de performances apportes par le Service Pack 2 ainsi que des fonctionnalits danticipation larrive de Windows Vista dans linfrastructure rseau et systme, apportes galement par le Service Pack 2. 42
Les objectifs
43
Chapitre 1
tude de cas
Scuriser linfrastructure
1. tude de cas lheure actuelle, il est clair que les infrastructures informatiques doivent tre les plus scurises possibles. La scurit doit tre implmente sur plusieurs niveaux fonctionnels.
j j
Scurit du matriel dinfrastructure : les serveurs qui vont jouer un rle important dans linfrastructure devront tre scuriss dans une salle prvue cet effet. Scurit des processus : prenons lexemple des sauvegardes et des restaurations dActive Directory. Il faut savoir comment les raliser. Tout prend un sens quand on sait quel processus il faut suivre pour mettre la sauvegarde en lieu sr afin dviter un dsastre. Scurit des flux : certaines communications de lentreprise doivent tre protges. Il sagit disoler lactivit de recherche et de dveloppement du site de Nice de Puzzmania et de Cradesign et de crypter les donnes sensibles. Scurit des systmes dexploitation : tout doit tre mis en uvre pour avoir une politique antivirale et de mise jour des correctifs de scurit la plus homogne et la plus efficace possible.
1.3.
La mise en uvre
Pour atteindre les diffrents objectifs, on porte le choix sur des logiciels tournant sous Windows Server 2003 pour la partie serveur : selon les besoins, soit Windows Server 2003 sera install, soit Windows Server 2003 R2 ; le Service Pack 2 sera install sur tous les serveurs. En ce qui concerne le poste de travail, les ordinateurs dj prsents et aux capacits limites seront sous Windows XP Professionnel. Les nouveaux ordinateurs seront sous Windows Vista Professionnel. Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel ont t choisis car ce sont les systmes dexploitation qui rpondent le mieux lensemble des demandes de la direction. Ils prsentent toutes les qualits dun systme dexploitation mature, robuste et scuris. Lquipe informatique a recens lensemble des demandes de la direction et dgag les trois objectifs exposs prcdemment :
j j j
une rduction de cots plusieurs niveaux ; la mise en place dune organisation unique avec lintgration des deux socits partenaires ; la scurit.
44
La mise en uvre
1. tude de cas
la matrise du nombre des serveurs dinfrastructure ; la gestion des cots lis aux stations de travail et aux serveurs ; la rorganisation des sites ; la stabilit des stations de travail des utilisateurs ; la gestion des cots lis aux utilisateurs ; la rduction du nombre coups de tlphone au centre dappels ; la rduction des interventions des techniciens sur les sites.
partir de cette tude, il sera possible de dterminer le nombre de sites ayant besoin de serveurs dinfrastructure et les sites qui deviendront des succursales sans serveur dinfrastructure. La charge des contrleurs de domaine sera calcule. Le nombre de serveurs et les configurations de chaque machine au niveau de la puissance et du stockage en seront dduits.
Les serveurs seront installs partir de techniques dites silencieuses, avec des fichiers de rponses. Les stations de travail seront industrialises avec linstallation des Service Packs et autres, selon la technique de slipstream. Les postes utilisateurs seront prconfigurs avec les logiciels ncessaires au fonctionnement de la station de travail de base.
45
Chapitre 1
tude de cas
Lentreprise sera rorganise de la faon suivante : trois sites et une succursale. Chacun des trois sites possdera des serveurs dinfrastructure du domaine auquel il appartient. Les serveurs dinfrastructure auront les rles de service rseau, tels que DNS, WINS, DHCP, Active Directory et serveur de catalogue global.
46
La mise en uvre
Comment crer une organisation unique et intgrer les deux socits partenaires ?
Mettre en place une architecture autour dune organisation unique
Le choix retenu a t la mise en uvre dun annuaire Active Directory bas sur un modle de fort unique. Cette solution permet dexploiter les avantages de lannuaire Active Directory autour du nom puzzmania.com. Le fait de rassembler lorganisation de lentreprise sous une forme de fort unique ne ferme pas les portes sur les possibilits disoler une partie de lentreprise ayant des besoins spcifiques, en matire de scurit par exemple. Lannuaire Active Directory permet dexploiter de nouvelles fonctionnalits telles que la prise en compte des notions de site, dunit organisationnelle, de groupe universel. On pourra appliquer des stratgies de groupe aux utilisateurs et aux ordinateurs en fonction de critres multiples.
47
Chapitre 1
tude de cas
1. tude de cas
Rednir lorganisation logique de lentreprise tenant compte des demandes de scurit et de lintgration des deux partenaires
Lentreprise Puzzmania et les socits Smart Com et Cradesign ont t rorganises en trois domaines. Les domaines de SmartCom et Cradesign ont disparu. Le premier domaine, puzzmania.com, est la racine de la fort. Il est vide. Il ne possde que des contrleurs de domaine configurs comme serveurs de catalogue global, ainsi que les cinq rles matres. Le deuxime domaine, corp.puzzmania.com, regroupe la majeure partie des utilisateurs et des ressources. Lancien domaine Smart Com est intgr dans ce domaine. Le troisime domaine, rd.puzzmania.com, rpond des besoins de scurit spcifiques, qui ne peuvent tre assurs dans le cadre dun domaine unique : flux crypts, mise en place de certificats, modles de scurit, etc. Par cette rorganisation, lentreprise va rduire considrablement le trafic rseau et les relations dapprobation au travers du rseau. Elle conservera une certaine indpendance au niveau de ladministration, tout en intgrant les deux socits partenaires au sein dune organisation unique. La succursale de Londres passe dix utilisateurs : elle ne possdera ni contrleur de domaine ni serveur dinfrastructure.
La mise en uvre
diffrents sites, de clarifier les rles des serveurs et danticiper le futur : pourquoi pas le rachat de nouvelles socits ! 1. tude de cas
Plan dadressage IP
Une rgle assez similaire la rgle existante chez Puzzmania est mise en place. Elle permettra de conserver les habitudes prises par les administrateurs. Elle joue sur les distinctions simplifies du troisime et du quatrime octet. Le deuxime octet, quant lui, change et prend la valeur 100.
Tableau 1.12 : Nouvelle rgle dattribution des adresses IP
1er octet 172 2e octet 100 3e octet X = localisation 4e octet ZZZ = de 1 254 Adresse IP 172.100.Xxx.ZZZ
Le masque de sous-rseau, quant lui, sera le mme sur tous les sites, cest--dire 255.255.240.0. En fonction du nombre dadresses IP souhaites et du nombre de sites gographiques, il est convenu de dcouper ltendue dadresses IP en 16 sous-rseaux afin de prvoir lventualit dune future croissance et daffecter un sous-rseau par site gographique, lexception du site de Nice, qui disposera dun sous-rseau supplmentaire afin de scuriser au mieux le domaine rd.puzzmania.com. Seuls 5 sous-rseaux seront utiliss pour linstant.
Tableau 1.13 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,
Un tel dcoupage reprsente un total de seize sous-rseaux disponibles de 4094 machines chacun.
49
Chapitre 1
tude de cas
dadressage IP
Valeur X comprise entre 0 et 15 16 et 31 32 et 47 48 et 63 64 et 79 Localisation Nice Toulouse Paris Londres Nice R&D
Plan de nommage
En complment du plan dadressage IP, comme il est possible de dterminer le site dune machine en fonction de son adresse IP, pourquoi ne pas trouver une rgle de nommage qui permettrait den dterminer galement le rle et une partie de ladresse IP ? Reprenons lexemple du contrleur de domaine pour puzzmania.com situ Nice. Son adresse IP est 172.100.1.1, son nom sera SNCERCDC01. Pour expliquer comment le dterminer, il faut dcouper le nom en quatre sous-parties, SNCERCDC01, et tablir la correspondance selon des variables WXXXYYZZZZ :
50
La mise en uvre
1. tude de cas
Rle de lordinateur sur 2 caractres Numro sur 2 caractres DC01 = contrleur de domaine numro 1
Comme la distinction entre le domaine de recherche et le reste de lactivit se fait par la variable YY = RD, il nest pas besoin davoir de valeur particulire pour la variable XXX autre que NCE pour reprsenter le site gographique de Nice. Les valeurs de la variable ZZZZ sont laisses la libre apprciation de ladministrateur selon le rle du serveur ou de la station de travail. On peut imaginer les caractres suivants pour des serveurs : AV pour antivirus, BD pour base de donnes, FS pour serveur de fichiers (en anglais, File Server), etc., sachant que de nouvelles applications peuvent sortir, engendrant de nouveaux caractres. On peut galement imaginer la premire lettre du prnom et la premire lettre du nom pour la station de travail dun utilisateur donn. Lnumration de toutes les possibilits est impossible. Ce quil faut retenir, cest quil est possible de rapprocher, de cette faon, le nom dun ordinateur et son adresse IP. Par exemple, STLSCPBD01, qui est un serveur de base de donnes du domaine corp.puzzmania.com situ sur le site de Toulouse, a ladresse IP 172.100.22.14. On ne peut videmment pas retrouver ladresse IP complte par le nom cause des deux derniers octets, mais on peut sen rapprocher. Voici les noms, les adresses IP et la localisation des contrleurs de domaine qui constitueront la fort puzzmania.com.
Tableau 1.16 : Liste des contrleurs de domaine de la fort puzzmania.com
Nom dordinateur SNCERCDC01 SNCERCDC02 SNCECPDC01 Adresse IP 172.100.1.1 172.100.1.2 172.100.11.1 Adresse de sousrseau 172.100.0.0 172.100.0.0 172.100.0.0 Domaine puzzmania.com puzzmania.com Site gographique Nice Nice
51
Chapitre 1
tude de cas
Nom dordinateur
Domaine
Site gographique
1. tude de cas
corp.puzzmania Toulouse .com corp.puzzmania Paris .com rd.puzzmania .com rd.puzzmania .com Nice Nice
tenir compte du cot initial et continu de la scurit ; considrer les exigences lgales qui affectent la mise en uvre de la scurit ; mesurer limpact des dcisions de scurit sur les utilisateurs finaux ; mesurer les risques en se fondant sur la probabilit et la criticit de la menace ; maintenir linteroprabilit ; rpondre aux besoins dvolutivit ; scuriser le service de R&D.
Pour ce faire, il est ncessaire dtudier les solutions les moins onreuses et de regarder les technologies de scurit apportes par Windows Server 2003, Windows XP Professionnel et Windows Vista Professionnel (et les Service Pack 2 de Windows Server 2003 et Windows XP) pouvant rpondre au mieux au plan de scurit.
la conception de la scurit pour la gestion du rseau ; la conception dune infrastructure de mise jour des dispositifs de scurit ; la conception dun systme de clients scuris.
52
La mise en uvre
Ces phases de conception vont permettre danalyser tous les facteurs qui, sils ne sont pas identifis, risquent daugmenter le cot de la scurit, et de rechercher les technologies de scurit qui, si elles ne sont pas employes, feront chouer le projet.
1. tude de cas
Maintenir linteroprabilit
Appliquer une scurit importante dans lentreprise ne signifie pas que lactivit doit sarrter. Que lon ne puisse plus communiquer, changer des donnes ou encore piloter des applications nest pas forcment le signe dun rseau scuris. Au contraire, il faut pouvoir garantir les changes de donnes en cryptant les informations, en sassurant de la compatibilit de certains protocoles avec les autres systmes, en veillant laspect fonctionnel de linfrastructure.
53
Chapitre 1
tude de cas
1. tude de cas
Les performances des machines doivent tre prises en compte galement : en effet, lutilisation excessive dun protocole de cryptage peut empcher un ordinateur de communiquer dans un temps imparti.
1.4.
En rsum
Nous avons voulu que cette tude de cas soit suffisamment gnrique et ouverte pour que chaque administrateur y retrouve les informations dont il a besoin : soit par rapport une situation laquelle il est confront, soit par rapport une fonctionnalit technique. Nous souhaitons que tous les concepts techniques abords par la suite trouvent un sens dans une ralit quotidienne et vous permettent danticiper les phases de migration : avec Windows Server 2003 et Windows Server 2008, avec Windows XP et Windows Vista.
54
Chapitre 2
ue de chemin parcouru par Windows en entreprise depuis dix ans ! Depuis Windows NT 3.51, puis Windows NT 4.0 qui a fait dcoller ce que lon appelle la "technologie NT" au sein de lentreprise, force est de constater que la part de march de la branche serveur des produits Microsoft est en hausse constante. Les entreprises se sont vite aperues que Windows Server tait adapt la gestion des infrastructures de comptes et de ressources. Petit petit, grce ltendue des possibilits des produits, Windows Server est devenu une rfrence dans lentreprise, non seulement pour grer linfrastructure, mais aussi pour fournir une multitude de services (impression, base de donnes, messagerie, travail en collaboration, supervision, et bien dautres). Dans les grandes socits, il permet de grer des milliers de comptes ; dans les petites, il permet davoir un serveur tout faire pas trop dur installer et administrer. Aussi, quand Microsoft a introduit Windows 2000 et chang la faon de grer les comptes et les ressources en sortant Active Directory, limpact a t trs grand pour les entreprises. De longs projets, parfois complexes, ont vu le jour et certaines entreprises ont prfr attendre avant de migrer, convaincues de linluctabilit de la migration. Cest pourquoi, mme de nos jours, plusieurs annes aprs la mise disposition dActive Directory, les migrations sont encore courantes dans lindustrie. Windows Server 2003 est arriv point, avec son lot de nouveauts, afin de complter le processus. Comme Windows Server 2003 sappuie sur les dix ans dhistoire de Windows NT et des serveurs Windows qui lui ont succd, il offre une interoprabilit complte avec les serveurs Windows 2000 Server et Windows NT Server, condition que lon respecte certaines procdures. Cest pourquoi les entreprises peuvent immdiatement installer de nouveaux serveurs excutant Windows Server 2003, mme si elles nont pas encore dploy Active Directory. Elles bnficieront immdiatement des amliorations en matire dadministration, de fiabilit, de scurit, de performances et dintgration des services web XML par exemple.
2.1.
Windows Server 2003 offre une gamme de solutions destines rpondre aux divers besoins des organisations de toutes tailles. Aussi, les scnarios dutilisation et les besoins en termes de puissance, de disponibilit et dvolutivit, constitueront les critres de choix entre les diffrentes ditions de Windows Server 2003. Adresse Windows Server 2003
www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp
Chapitre 2
dpartementaux ou groupes de travail. Windows Server 2003 Standard Edition permet le partage de fichiers et dimprimantes, une connectivit Internet scurise, le dploiement centralis dapplications de bureautique, une collaboration performante entre les employs, les partenaires et les clients. Il permet la mise en uvre dune infrastructure dentreprise (services rseau et de communications, scurit, annuaire, gestion de parc). Il prend en charge le support de systmes multiprocesseurs symtriques jusqu quatre processeurs et un maximum de 4 Go de mmoire vive.
pour offrir aux entreprises une plateforme complte et robuste de services et dhbergement web, facile dployer et grer. Grce la technologie ASP .NET de Microsoft, qui fait partie du Framework .NET, Windows Server 2003 Web Edition apporte aux dveloppeurs une plateforme de cration et de dploiement rapide de services et dapplications web XML. 2. tat des lieux de Windows Server en entreprise
T : caractristique totalement prise en charge ; P = caractristique partiellement prise en charge ; - = caractristique non prise en charge.
Tableau 2.1 : Comparaison des caractristiques de Windows Server 2003 Caractristique Standard Edition T T T T T T T T T T Enterprise Edition T T T T T T T T T T T Datacenter Edition T T T T T T T T T Web Edition
Services dapplication .NET Framework .NET IIS6.0 ASP. NET Service UDDI quilibrage de la charge rseau Service cluster Rseau priv virtuel (VPN) Service dauthentification Internet (IAS) Pont rseau Partage de connexion Internet (ICS) IPv6 T T T T P T
Technologie de clusters
59
Chapitre 2
Standard Edition T -
Enterprise Edition T T
Datacenter Edition T T
Web Edition
P -
Prise en charge de MMS (Metadirectory Services) Systme de fichiers distribu (DFS) Systme de fichiers crypts (EFS) Restauration de clichs instantans Transport de clichs instantans Stockage amovible Stockage distance Service de tlcopie Service pour Macintosh Services pour Unix Virtual Disk Service (VDS) Virtual Shadow Copy Service (VSS) Service de gestion IntelliMirror Jeu de stratgie rsultant (RSoP) Ligne de commande Windows Management Instruction (WMI) Installation du systme dexploitation distance Service dinstallation distance (RIS) Windows System Resource Manager (WSRM)
T T T
T T T
T T T
P P T
T T -
T T T
T T T
T -
60
Caractristique Services multimdias Services Windows Media volutivit Prise en charge 64 bits pour les processeurs Ajout de la mmoire chaud Accs non uniforme la mmoire (NUMA) Programme Datacenter Services de scurit Pare-feu Internet Services de certificats, infrastructure de cls publiques et cartes puces Bureau distance pour ladministration Terminal Server Annuaire de session Terminal Server
Standard Edition P T T P
Enterprise Edition T T T T T T
Datacenter Edition T T T T T T
Web Edition
T P
Conguration requise
Mme si les configurations minimales ne sont pas vraiment ralistes pour faire tourner en production un environnement Windows Server 2003, il reste toujours intressant de les connatre. Elles sont prsentes dans le tableau suivant. Elles peuvent vous tre utiles par exemple en environnement de test ou de lab., sur des machines virtuelles.
Tableau 2.2 : Configurations requises
Critre Standard Edition Enterprise Edition 133 MHz (x86) 733 MHz (Itanium) Datacenter Edition 133 MHz (x86) 733 MHz (Itanium) Web Edition 133 MHz Frquence dhorloge 133 MHz minimale du processeur
61
Chapitre 2
Critre
Standard Edition
Enterprise Edition 733 MHz 128 Mo 256 Mo 32 Go (x86) 64 Go (Itanium) Jusqu 8 1,5 Go (x86) 2 Go (Itanium)
Datacenter Edition 733 MHz 512 Mo 1 Go 64 Go (x86) 512 Go (Itanium) 8 au minimum 64 au maximum 1,5 Go (x86) 2 Go (Itanium)
Frquence dhorloge 550 MHz recommande RAM minimale RAM recommande 128 Mo 256 Mo 4 Go Jusqu 4 1,5 Go
2.2.
Lors du processus de migration de Windows NT 4.0 vers Windows Server 2003, vous allez, pendant un laps de temps plus ou moins long, devoir faire cohabiter des serveurs sous Windows NT 4.0 et des serveurs sous Windows Server 2003. Vous serez oblig dutiliser les mmes fonctionnalits, dossiers et utilitaires proposs par les deux systmes dexploitation, mais accessibles diffremment. En ce sens, mieux vaut disposer de fiches mnmotechniques.
62
Outils version Windows NT 4.0 Server diteur de stratgie systme Gestion des services Internet Gestion de licences Gestion des sauvegardes Gestion de serveur
quivalence sous Windows Server 2003 Accessible depuis Utilisateurs et ordinateurs Active Directory et dautres consoles Gestionnaire des services Internet Gestionnaire des licences Accessoires/Outils systme/Utilitaire de sauvegarde Gestion de lordinateur/Outils systme/Dossiers partags Utilisateurs et ordinateurs Active Directory (pour ajouter un ordinateur un domaine) Sites et services Active Directory (pour forcer manuellement la rplication de lannuaire entre des contrleurs de domaine) Gestion de lordinateur/Outils systme/Utilisateurs et groupes locaux (pour grer les comptes locaux sur les serveurs autonomes dans les groupes de travail) Stratgie de scurit locale (pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratgie daudit et les droits des utilisateurs sur les serveurs autonomes dans les groupes de travail) Utilisateurs et ordinateurs Active Directory (pour grer les comptes de domaine et pour configurer les restrictions sur les mots de passe, le verrouillage des comptes, la stratgie daudit et les droits des utilisateurs au travers de la stratgie de groupe) Domaines et approbations (pour grer les approbations) DHCP WINS DNS Observateur rseau Observateur dvnements Pas dquivalence
Gestionnaire DHCP Gestionnaire WINS Gestionnaire DNS Moniteur rseau Observateur dvnements Outils de migration pour Netware
63
Chapitre 2
Dossier et utilitaire version Windows NT 4.0 Server C:\winnt\profiles (emplacement o les profils dutilisateurs locaux sont stocks) Lemplacement par dfaut o les applications enregistrent leurs fichiers varie sous Windows NT Dmarrer/Rechercher Dmarrer/Aide Dmarrer/Programmes/Invite de commande Dmarrer/Programmes/Explorateur Windows NT Dmarrer/Paramtres/Active Desktop
quivalence sous Windows Server 2003 C:\documents and settings (sauf en cas de mise niveau depuis NT, auquel cas lemplacement originel est conserv) Dossier Mes documents pour les applications conformes (sauf en cas de mise niveau depuis NT, auquel cas lemplacement originel est conserv) Dmarrer/Rechercher Dmarrer/Aide et support Dmarrer/Invite de commandes Dmarrer/Explorateur Windows Clic droit sur le Bureau, Active Desktop
Dmarrer/Paramtres/Options des dossiers Panneau de configuration/Options des dossiers Accessoires/Accs rseau distance Accessoires/Telnet Panneau de configuration/Connexions rseau Commande Telnet
Le Panneau de conguration
Tableau 2.5 : Panneau de configuration de Windows NT 4.0 et Windows Server 2003
Panneau de configuration sous Windows NT 4.0 Alim. de secours Cartes SCSI Console Internet Modems ODBC Paramtres rgionaux Priphriques Priphriques de bandes quivalence sous Windows Server 2003 Options dalimentation/Onduleur Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Invite de commandes, clic droit sur le menu de contrle, Par dfaut Options Internet Options de modems et tlphonie Outils dadministration/Sources de donnes (ODBC) Options rgionales et linguistiques Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Gestion de lordinateur/Outils systme/Gestionnaire de priphriques
64
quivalence sous Windows Server 2003 Gestion de lordinateur/Outils systme/Gestionnaire de priphriques Systme/Nom de lordinateur
Rseau/Services/Protocoles Connexions rseau/Connexion au rseau local/Proprits /Cartes Rseau/Liaisons Tous les programmes/Accessoires/Communications/Connexions rseau/Avanc/Paramtres avancs Gestion de lordinateur/Outils systme/Dossiers partags Outils dadministration/Services Systme/Gnral Systme/Avanc/Profil des utilisateurs/Paramtres Systme/Avanc/Performances/Paramtres Systme/Avanc/Variable denvironnement Systme/Avanc/Dmarrage et rcupration Systme/Matriel/Profils matriels Options de modems et tlphonie/Rgles de numrotation
Serveur Services Systme/Gnral Systme/Profils utilisateurs Systme/Performances Systme/Environnement Systme/Arrt/Dmarrage Systme/Profils matriels Tlphonie
2.3.
Daucuns pourraient penser que rien na chang de Windows 2000 Server Windows Server 2003. Pour comprendre que cela est faux, il suffirait juste de parler de GPMC (stratgies de groupe) ou tout simplement dexpliquer que, aujourdhui, plus de 90 % du systme peut tre administr en ligne de commande. Cette section a pour objectif de prsenter les principales amliorations et nouveauts apportes Windows Server 2003. Elle a aussi pour but daider les administrateurs de Windows 2000 Server anticiper le passage Windows Server 2003 en mettant en avant les diffrences importantes entre les deux systmes dexploitation. Le nombre damliorations tant trop important pour tre abord dans ce seul chapitre, nous nen traiterons quune partie, en nous focalisant sur trois ples :
j j j
les amliorations apportes Active Directory ; les amliorations du ct de TCP/IP ; les changements mineurs.
65
Chapitre 2
Mme si Windows Server 2003 ne reprsente pas un changement aussi important comparativement au passage entre Windows NT 4.0 Server et Windows 2000, il rpond bien souvent par ses amliorations aux interrogations et aux besoins des administrateurs travaillant sous Windows 2000 Server.
Les domaines peuvent tre maintenant renomms laide doutils gratuits tlchargeables sur le site de Microsoft ladresse www.microsoft.com/ windowsserver2003/downloads/domainrename.mspx. Cet outil reste tout de mme utiliser avec prcaution, notamment sur le domaine racine. Les serveurs de catalogue global ne sont plus obligatoires sur chaque site pour prendre en charge louverture de session. Dans le cas dune entreprise possdant une ou plusieurs succursales ou sur des sites gographiques distants relis faible bande passante, tel Puzzmania, Windows Server 2003 amliore le processus douverture de session de telle sorte que les sites gographiques distants nont plus besoin daccder au serveur central du catalogue global chaque fois quun utilisateur souhaite se connecter. Il nest donc plus ncessaire de dployer un serveur de catalogue global sur chaque site. Attention toutefois aux applications utilisant le catalogue global, tel Exchange, car cela peut gnrer un trafic sur le lien rseau distant, qui peut savrer important et donc avoir un impact sur la production. Depuis Windows Server 2003, les contrleurs de domaine placent rgulirement dans un cache les informations dappartenance un groupe universel. Toujours du ct du trafic rseau, on note une amlioration dans la rplication de lappartenance au groupe. Une fois la fort promue en mode natif Windows Server 2003, lappartenance au groupe est modifie au niveau des membres individuels plutt quau niveau global. Cela diminue la charge de bande passante sur le rseau lors de la rplication. La compression du trafic de rplication peut tre dsactive entre les sites slectionns. Mme si cela ne nous concerne pas dans notre tude de cas, le gnrateur de topologie intersite (ISTG, Inter-Site Topologie Generator) dispose dun algorithme amlior qui accepte des forts contenant un nombre de sites beaucoup plus lev que celui accept sous Windows 2000 Server.
j j
66
Les objets utilisateurs dans les annuaires LDAP, qui emploient la classe inetOrgPerson dfinie dans la RFC 2798 (comme ceux dvelopps par Netscape et Novell), sont dsormais utilisables dans Active Directory. Lauthentification PassPort est maintenant accessible Internet Information Services 6.0 et permet aux objets utilisateurs Active Directory dtre mis en correspondance avec leur identification PassPort (si elle existe). 2. tat des lieux de Windows Server en entreprise Un nouvel Assistant Configurer votre serveur simplifie la mise en uvre dActive Directory et propose des paramtres prdfinis, tels les rles qui dfinissent la fonction des serveurs. Comme vous le verrez lors de limplmentation des serveurs dinfrastructure, les zones DNS et les serveurs peuvent tre crs et automatiquement configurs lors de linstallation dun serveur de la famille Windows Server 2003. Au lieu de rpliquer une copie complte de la base de donnes Active Directory via le rseau, il est possible de crer un rplica partir des fichiers existants dun contrleur de domaine ou dun serveur de catalogue global. Les fichiers de sauvegarde, crs par lutilitaire de sauvegarde dActive Directory, sont gravs sur support CD ou DVD et le rplica peut alors seffectuer partir du support (cette pratique reste intressante si lon a un nombre lev dutilisateurs et quil existe quelques agences avec des bandes passantes faible dbit). Le modle actuel des niveaux fonctionnels de domaine et de fort remplace le modle Windows 2000 Server prcdent (modes mixte/natif) et fournit une interoprabilit entre les contrleurs de domaine Windows NT 4.0, 2000 et 2003. Les classes et attributs de schma qui ne sont plus ncessaires peuvent tre maintenant redfinis. Tout administrateur aura pour souvenir la rtrogradation dun contrleur de domaine qui se passe mal, avec tout ce que cela comporte. Dsormais, la commande dcpromo facilite lopration. La partition applicative autorise un contrle plus avanc sur la manire dont les informations de lannuaire sont rpliques (les informations du DNS y sont maintenant stockes). Lauthentification entre forts permet aux utilisateurs dune fort daccder aux ressources prsentes dans une autre fort. La notion dapprobation de royaume fait aussi son apparition pour les approbations Kerberos. Un important travail a t ralis sur les stratgies de groupe, tant sur les outils que sur les nouveaux paramtres. Windows Server 2003 inclut plus de 150 nouveaux paramtres de stratgie, qui permettent de personnaliser et de contrler le comportement du systme dexploitation vis--vis des groupes dutilisateurs. Les nouvelles fonctions couvrent les points prsents dans ce qui suit.
j j
67
Chapitre 2
Les services IIS ont totalement t revus, mais ils ne sont plus installs par dfaut pour plus de scurit. Le traitement du trafic web se fait maintenant en mode noyau. Nous pourrions aussi citer lamlioration de lisolation des processus, le verrouillage du serveur par dfaut ou bien des nouvelles fonctionnalits de gestion. Mais pour rendre justice cette nouvelle version du serveur web, il faudrait y consacrer un ouvrage complet. Toutefois, il existe sur le site web de Microsoft, la publication dun kit de ressources techniques complet, en libre tlchargement ladresse
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/iis/default.mspx.
Le protocole TCP/IP ne peut plus tre supprim. Mais une nouvelle commande,
netsh, permet, en ligne de commande, de reconfigurer la pile TCP/IP avec ses
valeurs par dfaut sans devoir redmarrer le systme (cette commande, trs puissante, sera dcrite dans la partie rseau de louvrage). Il est dsormais inutile de supprimer la pile du protocole puis de la rinstaller.
j
Autodtermination des mtriques de routage en fonction de la vitesse de linterface rseau de lordinateur : le protocole est capable de calculer lui-mme la mtrique de chaque route en fonction de la configuration TCP/IP et de la vitesse de linterface. La taille de la fentre de rception TCP/IP est dtermine en fonction de ladaptateur rseau de la machine. Cette taille de fentre conditionne le nombre maximal doctets qui peuvent tre reus avant lenvoi daccuss de rception. La pile de protocole IPv6 est prise en charge. La procdure pour rejoindre un domaine a t amliore de sorte quil est possible de dtecter un DNS mal configur. Nouveaut de Windows Server 2003 sur le DNS toujours : les zones de stub et la redirection conditionnelle. Quest-ce quune zone de stub ? Cest la copie dune zone contenant uniquement les enregistrements de ressources ncessaires lauthentification des serveurs DNS faisant autorit pour ladite zone. La fonction de redirection conditionnelle inclut un mcanisme de redirection en fonction du nom dhte. Le service DNS permet lenregistrement dun journal de dbogage. Il enregistre automatiquement les ressources NS et prend en charge la technique de Round Robin pour tous les enregistrements RR (Record Ressources).
j j j
68
Par dfaut, les crans de veille sont maintenant protgs par mot de passe. Cette amlioration est simple mais importante en matire de scurit dans le contexte dune salle informatique avec, parfois, des accs plus ou moins restreints. Toujours ct scurit, lors de linstallation de Windows Server 2003, il est demand un mot de passe fort pour le compte administrateur par dfaut. Cette option est facultative. 2. tat des lieux de Windows Server en entreprise La scurit est renforce aussi sur le service Telnet. Il est maintenant dsactiv au lieu dtre configur pour un dmarrage manuel, comme sous Windows 2000 Server. La base de donnes DHCP peut tre sauvegarde alors que le service est en cours dexcution. Un pare-feu minimal est disponible. Il a t grandement amlior depuis le Service Pack 1. Ladresse IP et le numro de port dune source sont prsents automatiquement dans tous les vnements daudit douverture de sessions. Les paramtres du client DNS peuvent tre configurs laide des stratgies de groupe. Un serveur de messagerie POP3 fait son apparition. Il peut venir en complment du composant SMTP du serveur IIS. Cette nouveaut reste mineure dans le sens o la plupart des entreprises utilisent un serveur de messagerie ddi type Exchange.
j j j j j
69
Chapitre 2
Identity Integration
Identity Integration Feature Pack for Microsoft Windows Server Active Directory permet la gestion des identits et coordonne les proprits des objets utilisateurs entre lannuaire Active Directory et les diffrentes implmentations dADAM, de Microsoft Exchange 2000 Server et dExchange Server 2003. Il permet ainsi de voir un utilisateur donn ou une ressource donne en une seule vue logique.
ISCSI Support
Ce module permet la prise en charge de linterface iSCSI en fournissant une solution conomique pour la mise en uvre de rseaux de stockage IP (sur SAN et NAS).
70
2.4.
Tout le monde est maintenant habitu la notion de Service Pack. Personne nest plus surpris par la sortie et la mise disposition dun Service Pack pour Windows (quelle que soit la version). Linformation est rapidement connue de tous. Cest donc avec une certaine logique que Microsoft a mis disposition le Service Pack 1 de Windows Server 2003 en 2005, puis le Service Pack 2 en 2007. Vous trouverez la liste des principales amliorations ci-aprs. Par contre, quest-ce que R2 ? Ou plutt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version amliore de Windows Server 2003. Cest en quelque sorte un ajout de fonctionnalits Windows Server 2003. Dailleurs, le produit est constitu de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalits. Pour autant, ce nest pas un Service Pack car Windows Server 2003 R2 est soumis licence. Il est noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit tant construit sur la base de Windows Server 2003 SP1, les mmes applications sont compatibles pour les deux systmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalits, sous la forme de composants additionnels que lon peut installer (CD-Rom 2). Ces fonctionnalits ne sont pas prsentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles sparment. Les autres, le sont sous forme de Feature Packs.
Chapitre 2
Rendez-vous galement ladresse : www.microsoft.com/downloads/details.aspx?FamilyId= C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en. Vous pourrez tlcharger un document trs complet sur le SP1 puisquil reprsente lui seul 300 pages. Par contre, ce site et la documentation quil propose sont en anglais. Windows Server 2003 SP1 amliore les fonctionnalits faisant partie de Windows Server 2003. De telles amliorations visent optimiser le produit et en augmenter la scurit, la fiabilit et lefficacit. Parmi les principales amliorations, citons les lments suivants :
j
Prise en charge de la fonction "Ne pas excuter" incluse dans le matriel. Windows Server 2003 SP1 permet Windows Server 2003 dutiliser les fonctionnalits intgres dans les processeurs dIntel et dAMD afin dempcher lexcution de code malveillant partir de zones de la mmoire qui ne sont pas attribues du code. Cette disposition limine une large part des attaques actuelles. Audit de la mtabase Internet Information Services (IIS) 6.0. La mtabase est un magasin de stockage XML hirarchique qui contient les informations de configuration dIIS 6.0. Laudit de ce magasin permet aux administrateurs rseau de voir qui a accd la mtabase lorsquelle a t corrompue. Paramtres par dfaut plus puissants et rduction des privilges sur les services. Les services tels que RPC et DCOM font partie intgrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnes. En exigeant une authentification plus forte lors de lappel de ces services, Windows Server 2003 SP1 relve le niveau de scurit pour toutes les applications qui utilisent ces services, mme si elles sont elles-mmes peu ou pas scurises. Ajout de composants Network Access Quarantine Control. Windows Server 2003 SP1 contient prsent les composants RQS.exe et RQC.exe, qui simplifient le dploiement de Network Access Quarantine Control (contrle de la mise en quarantaine pour laccs au rseau). Pour plus dinformations sur ce sujet, rendez-vous ladresse www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
Contrairement dautres Service Packs, SP1 ajoute de nouvelles fonctionnalits puissantes Windows Server 2003. Voici les principales :
j
Pare-feu Windows. galement intgr dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il sagit dun pare-feu logiciel destin protger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrle lchelle du rseau via la stratgie de groupe. Mises jour de scurit post-installation (PSSU). Les serveurs sont vulnrables entre le moment de linstallation et lapplication des dernires mises jour de scurit. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes aprs linstallation, jusqu ce que Windows Update soit excut pour installer les dernires mises jour de scurit sur le nouvel ordinateur.
72
Cette fonctionnalit oriente galement les administrateurs vers la mise jour automatique au moment de la premire connexion.
j
Assistant Configuration de la scurit (SCW). Il pose des questions ladministrateur sur les rles que doit tenir le serveur, puis il bloque les ports inutiles ces fonctions. Ainsi, de nombreuses voies dattaques possibles sont fermes. Support de TLS dans Terminal Services. Cest la grande nouveaut sur TSE, qui permet didentifier le serveur TSE (comme on identifie un serveur web en SSL) et dutiliser TLS comme une mthode de chiffrement pour les communications entre le client et le serveur. 2. tat des lieux de Windows Server en entreprise
73
Chapitre 2
Le dploiement dEthernet, puis du Gigabit Ethernet tend la bande passante disponible afin de faire face cette demande, mais plus le rseau prsente un dbit important, plus la charge sur les serveurs saccrot. La prise en charge des rseaux rapides implique par consquent la mise en place de serveurs puissants. Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack), un pack de rseau capable de monter en charge et qui aide faire face la monte du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies rseau qui visent liminer les goulets dtranglement du systme dexploitation associs au traitement des paquets. Voici les amliorations apportes par ce package :
j
TCP Chimney Offload (allgement de la pile TCP). TCP Chimney Offload transfre de faon automatique le traitement du trafic TCP (Transmission Control Protocol) avec tat un adaptateur rseau spcialis qui met en uvre un moteur de dchargement TCP (TOE, TCP Offload Engine). Pour les connexions longue dure de vie mettant en uvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour dautres applications sollicitant fortement le rseau, TCP Chimney Offload rduit largement la charge du processeur en dlgant ladaptateur rseau le traitement des paquets du rseau, y compris la fragmentation et le rassemblage des paquets. En utilisant TCP Chimney Offload, vous allgez le processeur qui peut se concentrer sur dautres tches comme permettre davantage de sessions utilisateurs ou traiter les requtes des applications en rduisant la latence. Cette fonction tait auparavant propose par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Monte en charge en fonction du trafic reu. Cette technique permet de rpartir le trafic entrant (paquets reus) entre plusieurs processeurs en exploitant de nouvelles amliorations matrielles des interfaces rseau. Elle peut rpartir dynamiquement la charge du trafic entrant en fonction de la charge du systme ou des conditions de fonctionnement du rseau. Toute application recevant de nombreux paquets et fonctionnant sur un systme multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bnficier de la mise en place de ce dispositif. NetDMA. NetDMA autorise une gestion plus efficace de la mmoire en permettant un accs direct la mmoire (DMA) sur les serveurs quips de la technologie idoine comme lI/OAT (I/O Acceleration Technology) dIntel.
Le Scalable Networking Pack (SNP) de Microsoft Windows Server 2003 SP2 permet de mieux rpondre aux besoins des utilisateurs tout en conservant les investissements dj raliss dans linfrastructure existante. SNP vite denvisager une remise plat de la topologie rseau, de changer les configurations des serveurs ou de passer du temps modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropries en fonction des besoins, sans devoir changer de fournisseur de matriel.
74
XmlLite
La bibliothque XmlLite permet aux dveloppeurs de btir des applications hautes performances, fondes sur XML, capables dune large interoprabilit avec dautres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilit dutilisation, les performances et le respect des standards. XmlLite fonctionne avec nimporte quel langage Windows qui utilise les bibliothques dynamiques. Il est quand mme plutt recommand dutiliser C++. La bibliothque XmlLite contient tous les fichiers ncessaires pour tre utilise avec C++. Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j
Les implmentations DOM (Document Object Model) suivantes intgrent des analyseurs :
j j
XML peut servir comme format denregistrement de documents, comme dans la dernire version de Word, et aussi pour encoder les donnes pour des appels de mthodes de conversion de paramtres (marshaling) dune machine une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des donnes du serveur web vers le navigateur. Les serveurs de bases de donnes rpondent aux requtes en XML, ces rponses tant ensuite traites par dautres applications. XML tant un format trs souple, vous pouvez lutiliser dans de nombreux scnarios qui se rpartissent en deux catgories principales :
j
Certains scnarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir sil sagit de documents XML valides ou non. Dans ces scnarios, la vrification de la validit est importante. Gnralement, les dveloppeurs utilisent des schmas XSD ou des DTD (Document Type Definition) pour vrifier la validit. La performance sen trouve rduite, mais lapplication peut ainsi tre sre quelle reoit un document XML valide. Ce scnario sapplique toutes les applications qui enregistrent ou chargent des documents.
75
Chapitre 2
Certains logiciels emploient XML comme un magasin de donnes ou un moyen de communiquer. Dans ce cas, le dveloppeur sait que le document est valide car une autre partie de lapplication (sous le contrle du mme programmeur ou du mme diteur) a produit le code XML. La validit du document nest donc plus un problme. Par exemple, nous sommes dans cette situation lorsque le logiciel sexcute sur une ferme de serveurs, et XML sert communiquer entre serveurs et processus. Un autre exemple pourrait tre fourni par une application complexe qui enregistre et relit de gros volumes dinformations. Le dveloppeur contrle totalement le format du document XML.
Puisque XmlLite a pour objectif damliorer les performances, cette bibliothque est particulirement bien adapte aux scnarios du second type. XmlLite permet aux dveloppeurs dcrire un code efficace et rapide pour lire et crire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML.
Si vous souhaitez obtenir plus dinformations sur RIS, consultez le chapitre Installer et Dployer Windows Server 2003. Quant WDS, nous y reviendrons en dtail dans le chapitre Service de dploiement spcialement ddi cet outil. Windows Deployment Services amliore RIS sur plusieurs points :
j j j j
prise en charge native de Windows PE comme systme dexploitation damorage ; prise en charge native du format de fichier WIM (Windows Imaging) ; composant serveur PXE extensible et plus performant ; nouveau menu damorage client pour choisir le systme dexploitation.
WDS rduit le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003.
76
Pour dcrire le niveau de fonctionnalit associ chaque configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
j
Le mode compatible WDS est fonctionnellement quivalent RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera prsent comme systme dexploitation damorage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils dadministration de WDS ne sont pas utiliss. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 2.6 : Le mode compatible WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage OSChooser et Windows PE sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 2.7 : Le mode mixte WDS Fonctionnalit Environnements damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
Le mode natif WDS correspond un serveur WDS et des images damorage uniquement de type Windows PE. Dans ce mode, OSChooser disparat et les images WIM sont les seules tre prises en charge pour un dploiement sur les clients. Ladministration du serveur seffectue via les outils WDS. Le mode natif WDS sapplique Windows Server 2003 et Windows Server 2008. Pour Windows Server 2008, il sagit du seul mode serveur WDS pris en charge.
77
Chapitre 2
Tableau 2.8 : Le mode natif WDS Fonctionnalit Environnement damorage Type dimage Outil dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. Le passage dune exploitation RIS WDS en mode compatible (binaires WDS mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative).
principalement pour les ditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP, attention la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour amliorer la scurit des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics scuriss quips dun accs Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que lquipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de scurit du standard 802.11 dorigine. La certification WPA2 prend en charge les fonctions de scurit obligatoires du standard IEEE 802.11i, supplmentaires par rapport WPA. La mise en uvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractristiques suivantes du standard WPA2 de lIEEE :
j j
WPA2 Enterprise qui utilise lauthentification IEEE 802.1X et WPA2 Personal via une cl prpartage (PSK). Chiffrement avanc qui utilise le protocole CCMP (CM-CBC-MAC, Counter Mode-Cipher Block Chaining-Message Authentication Code) afin de renforcer la confidentialit des donnes, lauthentification de lorigine des donnes et lintgrit des donnes pour les transmissions sans fil. Utilisation optionnelle du cache de la cl principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points daccs sans fil mettent en cache les rsultats des authentifications 802.1X. Par consquent, laccs seffectue plus rapidement lorsquun client sans fil se reconnecte via un point daccs sans fil auprs duquel il sest authentifi prcdemment. Utilisation optionnelle de la prauthentification. Lors dune prauthentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec dautres points daccs sans fil proximit, alors quil est toujours connect son premier point daccs.
79
Chapitre 2
Server 2003
Modification Authentification par port de pare-feu Description Une authentification par port scurise le trafic entre lenvironnement extranet et des ressources internes qui sont protges par une isolation de domaine IPSec. Linstallation du SP2 active cette fonctionnalit par dfaut. Le SP2 amliore les performances de SQL Server 2005 lorsque le serveur est soumis de fortes charges. Linstallation du SP2 active cette amlioration par dfaut.
Options de dcouverte amliores dans MSConfig propose dsormais un onglet supplmentaire qui constitue MSConfig un point de lancement unique pour des outils de support qui faciliteront la dcouverte de diagnostics. Linstallation du SP2 active cette amlioration par dfaut. Meilleure administration du filtre lPSec Le SP2 rduit lensemble des filtres quil faut grer dans un scnario disolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines 2. Il supprime aussi le besoin dune maintenance permanente des filtres due des modifications de linfrastructure. Linstallation du SP2 active cette amlioration par dfaut. Le SP2 amliore les performances lorsque le taux daccs APIC (Advanced Processor lnterrupt Control) est lev. Windows Server 2003 fonctionnant comme systme dexploitation multiprocesseur hberg dans le cadre dune virtualisation de Windows. Pour la file dattente des messages, la limite de stockage par dfaut est passe 1 Go. Il est possible de relever cette limite dans la console MMC, via longlet Gnral des Proprits de la file dattente des messages. De nouvelles options ont t ajoutes aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles gnrent des balises XML lorsque les tests sont excuts avec loption /test:dns. Ce nouveau mcanisme de sortie permet danalyser plus facilement les fichiers journaux verbeux produits par les tests DNS. Un nouvel vnement a t cr pour couvrir certaines situations dans lesquelles le compte du service Cluster devient trop limit par la stratgie applique au domaine. Ce nouvel vnement porte le numro 1239. Son texte descriptif inclut des informations de dpannage.
Stockage par dfaut plus vaste pour la file dattente des messages
80
Gestion et dploiement des serveurs dagences : sauvegarde et administration centralise des services de partage de fichiers et dimpression ; haute disponibilit ; gestion du hardware distance.
Active Directory Federation Services : authentification unique web ; interoprabilit avec les offres SSO (Single Sign On) web.
Gestion du stockage : gestion plus simple des SAN ; File Server Migration Toolkit ; gestion des ressources de stockage.
Intgration de packs de fonctionnalits Windows Server 2003 : Windows Share Point Services ; Active Directory Application Mode (ADAM) ; Services pour Unix ; iSCSI Initiator.
Windows Server 2003 R2 tend les fonctionnalits du systme dexploitation Windows Server 2003 en proposant un moyen plus efficace de grer et de contrler laccs aux ressources locales et distantes, tout en sintgrant facilement dans lenvironnement existant. La version R2 est dote dune plateforme hautement scurise et capable de monter en charge, permettant la mise en uvre de nouveaux scnarios : gestion simplifie des serveurs dagences et de succursales, administration amliore des identits et des accs et gestion plus efficace du stockage
Une gestion simplie des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilit et lefficacit des serveurs de succursales tout en vitant les difficults gnralement inhrentes aux solutions serveurs pour les agences et les succursales, telles que les problmes de connectivit et les cots de gestion.
81
Chapitre 2
Tableau 2.10 : Avantage de la gestion simplifie des serveurs dans les agences et les
succursales
Avantage Gestion simplifie des serveurs dans les agences et les succursales Description Extension de la connectivit et la fiabilit aux agences et aux succursales tout en contrlant le cot total de possession des infrastructures informatiques. Administration mieux centralise. Fournit des outils dadministration centralise pour les fonctions lies aux fichiers et limpression. Rduction de ladministration distance. Minimise ladministration locale et la sauvegarde sur site. Rseau tendu plus efficace. Acclre la rplication des donnes sur les rseaux tendus.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre ADAM et ADFS.
82
Avantage
Description Meilleure interoprabilit des systmes htrognes. Authentification web unique entre les plateformes et fdration des identits. Les outils et les spcifications de linteroprabilit des services web permettent de grer et de mettre jour dynamiquement les comptes et les mots de passe utilisateurs sur les systmes Windows et Unix laide du service NIS (Network Information Service). cela sajoute la synchronisation automatique des mots de passe entre les systmes dexploitation Windows et Unix.
83
Chapitre 2
Tableau 2.13 : Avantage de la plateforme web Avantage Plateforme web riche Description Plateforme web plus performante. Les toutes dernires technologies 64 bits et .NET permettent de doubler les performances du Web. Windows SharePoint Services constitue une solution de collaboration rentable pouvant tre dploye, configure et gre trs rapidement. Avec ASP.NET, dveloppez rapidement des services et des applications web riches laide de .NET Framework. IIS 6.0 offre un serveur web haute performance plus scuris. La prise en charge de la technologie 64 bits amliore les performances pour un cot rduit.
Version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matriels, de nouveaux modles de
84
En rsum
programmation et des volutions fondamentales dans les domaines de la scurit et de la stabilit. Ces changements majeurs peuvent bien entendu gnrer des incompatibilits entre le nouveau systme et les matriels et logiciels existants.
Service Packs
Les Service Packs incorporent toutes les corrections de type critique et non critique ainsi que les dernires demandes de correction qui les concernent, mises par les clients. Les Service Packs sont tests de manire intensive par Microsoft et par les clients et partenaires participant un programme de bta test. Ils peuvent ainsi inclure des amliorations importantes de la scurit, comme le Security Configuration Wizard, inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois ncessaire de modifier certains programmes pour prendre en charge les nouveaux standards de lindustrie ou des fonctionnalits demandes par les clients. Ces changements sont soigneusement valus et tests avant dtre finalement inclus dans un Service Pack. Afin de permettre les extensions et les volutions darchitecture, Microsoft maintient un niveau de compatibilit entre les Service Packs en ralisant des tests intensifs sur les applications et ces diffrents Service Packs. En rgle gnrale, les problmes de compatibilit concernent les applications qui utilisent de manire inapproprie des appels systme, des interfaces internes ou des fonctions spcifiques.
2.5.
En rsum
Ce chapitre vous a prsent la fiche signaltique de Windows Server 2003, du Service Pack 1, du Service Pack 2 et de Windows Server 2003 R2. Maintenant que vous avez dchir lemballage et sorti le CD-Rom du botier, il est temps de passer linstallation du produit, dans le cadre dune entreprise, en loccurrence Puzzmania.
85
Chapitre 3
out le monde est maintenant habitu la notion de Service Pack. Personne nest plus surpris par la sortie et la mise disposition dun Service Pack pour Windows (quelle que soit la version). Linformation est rapidement connue de tous. Cest donc avec une certaine logique que Microsoft a mis disposition le Service Pack 1 de Windows Server 2003 en 2005 puis le Service Pack 2 en 2007. Vous trouverez la liste des principales amliorations ci-aprs. Par contre, quest-ce que R2 ? Ou plutt Windows Server 2003 R2 ? Windows Server 2003 R2 est une version amliore de Windows Server 2003. Cest en quelque sorte un ajout de fonctionnalits Windows Server 2003. Dailleurs, le produit est constitu de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et le second un pack de nouvelles fonctionnalits. Pour autant, ce nest pas un Service Pack car Windows Server 2003 R2 est soumis licence. Il est noter cependant que le Service Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour la version Windows Server 2003 R2. Le produit tant construit sur la base de Windows Server 2003 SP1, les mmes applications sont compatibles pour les deux systmes. Windows Server 2003 R2 apporte de nombreuses fonctionnalits, sous la forme de composants additionnels que lon peut installer (CD-Rom 2). Ces fonctionnalits ne sont pas prsentes dans la version Windows Server 2003 de base et la plupart ne sont pas disponibles sparment. Les autres, le sont sous forme de Feature Packs.
3.1.
www.microsoft.com/france/windows/windowsserver2003/downloads /servicepacks/sp1/overview.mspx.
Ce site prsente plusieurs articles avec des questions-rponses ainsi que de la documentation en franais. Rendez-vous galement ladresse :
j
www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2 -B1B6-3659B92B2CDE&displaylang=en.
Vous pourrez tlcharger un document trs complet sur le SP1 puisquil reprsente lui seul 300 pages. Par contre, ce site et la documentation quil propose sont en anglais. Windows Server 2003 SP1 amliore les fonctionnalits faisant partie de Windows Server 2003. De telles amliorations visent optimiser le produit et en augmenter la
89
Chapitre 3
scurit, la fiabilit et lefficacit. Parmi les principales amliorations, citons les lments suivants
j
Prise en charge de la fonction "Ne pas excuter" incluse dans le matriel : Windows Server 2003 SP1 permet Windows Server 2003 dutiliser les fonctionnalits intgres dans les processeurs dIntel et dAMD afin dempcher lexcution de code malveillant partir de zones de la mmoire qui ne sont pas attribues du code. Cette disposition limine une large part des attaques actuelles. Audit de la mtabase IIS 6.0 (Internet Information Services) : la mtabase est un magasin de stockage XML hirarchique qui contient les informations de configuration dIIS 6.0. Laudit de ce magasin permet aux administrateurs rseau de voir qui a accd la mtabase lorsquelle a t corrompue. Paramtres par dfaut plus puissants et rduction des privilges sur les services : les services tels que RPC et DCOM font partie intgrante de Windows Server 2003. De ce fait, ils constituent une cible attrayante pour les personnes malintentionnes. En exigeant une authentification plus forte lors de lappel de ces services, Windows Server 2003 SP1 relve le niveau de scurit pour toutes les applications qui utilisent ces services, mme si elles sont elles-mmes peu ou pas scurises. Ajout de composants Network Access Quarantine Control : Windows Server 2003 SP1 contient prsent les composants RQS.exe et RQC.exe, qui simplifient le dploiement de Network Access Quarantine Control (contrle de la mise en quarantaine pour laccs au rseau). Pour plus dinformations sur ce sujet, rendez-vous ladresse www.microsoft.com/windowsserver2003/techinfo/overview /quarantine.mspx.
Contrairement dautres Services Packs, SP1 ajoute de nouvelles fonctionnalits puissantes Windows Server 2003. Voici les principales
j
Pare-feu Windows : galement intgr dans Windows XP Service Pack 2, le pare-feu Windows est le successeur du pare-feu de connexion Internet. Il sagit dun pare-feu logiciel destin protger chaque poste client et chaque serveur. Windows Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un contrle lchelle du rseau via la stratgie de groupe. Mises jour de scurit post-installation (PSSU) : les serveurs sont vulnrables entre le moment de linstallation et lapplication des dernires mises jour de scurit. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les connexions entrantes aprs linstallation, jusqu ce que Windows Update soit excut pour installer les dernires mises jour de scurit sur le nouvel ordinateur. Cette fonctionnalit oriente galement les administrateurs vers la mise jour automatique au moment de la premire connexion. Assistant Configuration de la scurit (SCW) : il pose des questions ladministrateur sur les rles que doit tenir le serveur, puis il bloque les ports inutiles ces fonctions. Ainsi, de nombreuses voies dattaques possibles sont fermes.
90
Support de TLS dans Terminal Services : cest la grande nouveaut sur TSE, qui permet didentifier le serveur TSE (comme on identifie un serveur web en SSL) et dutiliser TLS comme une mthode de chiffrement pour les communications entre le client et le serveur.
3.2.
Le Service Pack 2 (SP2) donne accs en un seul package aux dernires mises jour, amliorations et fonctionnalits disponibles pour Windows Server 2003. Ses composants renforcent la scurit, la fiabilit et les performances de Windows Server 2003 et Windows Server 2003 R2. Et Microsoft profite de lopportunit offerte par la sortie du SP2 pour ajouter de nouvelles fonctionnalits Windows Server 2003.
91
Chapitre 3
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack, un pack de rseau capable de monter en charge) qui aide faire face la monte du trafic sans surcharger les ressources processeurs. SNP prend en charge des technologies rseau qui visent liminer les goulets dtranglement du systme dexploitation associs au traitement des paquets. Voici les amliorations apportes par ce package
j
TCP Chimney Offload (allgement de la pile TCP) : TCP Chimney Offload transfre de faon automatique le traitement du trafic TCP (Transmission Control Protocol) avec tat un adaptateur rseau spcialis qui met en uvre un moteur de dchargement TCP (TOE, TCP Offload Engine). Pour les connexions longue dure de vie mettant en uvre des paquets de grande taille, comme les connexions avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour dautres applications sollicitant fortement le rseau, TCP Chimney Offload rduit largement la charge du processeur en dlgant ladaptateur rseau le traitement des paquets du rseau, y compris la fragmentation et le rassemblage des paquets. En utilisant TCP Chimney Offload, vous allgez le processeur qui peut se concentrer dautres tches comme permettre davantage de sessions utilisateurs ou traiter les requtes des applications en rduisant la latence. Cette fonction tait auparavant propose par certains constructeurs de serveurs, maintenant elle est disponible directement par Windows. Monte en charge en fonction du trafic reu : cette technique permet de rpartir le trafic entrant (paquets reus) entre plusieurs processeurs en exploitant de nouvelles amliorations matrielles des interfaces rseau. Elle peut rpartir dynamiquement la charge du trafic entrant en fonction de la charge du systme ou des conditions de fonctionnement du rseau. Toute application recevant de nombreux paquets et fonctionnant sur un systme multiprocesseur, comme un serveur web ou un serveur de fichiers, devrait bnficier de la mise en place de ce dispositif. NetDMA : ce composant autorise une gestion plus efficace de la mmoire en permettant un accs direct la mmoire (DMA) sur les serveurs quips de la technologie idoine comme lI/OAT (I/O Acceleration Technology) dIntel.
Le SNP (Scalable Networking Pack) de Microsoft Windows Server 2003 SP2 permet de mieux rpondre aux besoins des utilisateurs tout en conservant les investissements dj raliss dans linfrastructure existante. SNP vite denvisager une remise plat de la topologie rseau, de changer les configurations des serveurs, ou de passer du temps modifier des applications existantes et des services. SNP donne de la souplesse pour choisir les technologies les mieux appropries en fonction des besoins, sans devoir changer de fournisseur de matriel. Informations supplmentaires sur SNP
www.microsoft.com/snp
92
La bibliothque XmlLite
La bibliothque XmlLite permet aux dveloppeurs de btir des applications hautes performances, fondes sur XML, capables dune large interoprabilit avec dautres applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite sont la facilit dutilisation, les performances et le respect des standards. XmlLite fonctionne avec nimporte quel langage Windows qui utilise les bibliothques dynamiques. Il est quand mme plutt recommand dutiliser C++. La bibliothque XmlLite contient tous les fichiers ncessaires pour tre utilise avec C++. 3. Windows Server 2003 Service Pack 2 et R2 Microsoft fournit plusieurs analyseurs XML (parsers) :
j j j
Les implmentations DOM (Document Object Model) suivantes intgrent des analyseurs :
j j
XML peut servir comme format denregistrement de documents, comme dans la dernire version de Word, et aussi pour encoder les donnes pour des appels de mthodes de marshaling (conversion de paramtres) dune machine une autre (SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes et des factures. Le Web emploie XML pour envoyer des donnes du serveur Web vers le navigateur. Les serveurs de bases de donnes rpondent aux requtes en XML, ces rponses tant ensuite traites par dautres applications. XML tant un format trs souple, vous pouvez lutiliser dans de nombreux scnarios qui se rpartissent en deux catgories principales :
j
Certains scnarios traitent des documents XML en provenance de sources externes, sans pouvoir savoir sil sagit de documents XML valides ou non. Dans ces scnarios, la vrification de la validit est importante. Gnralement, les dveloppeurs utilisent des schmas XSD ou des DTD (Document Type Definition) pour vrifier la validit. La performance sen trouve rduite mais lapplication peut ainsi tre sre quelle reoit un document XML valide. Ce scnario sapplique toutes les applications qui enregistrent ou chargent des documents. Certains logiciels emploient XML comme un magasin de donnes ou un moyen de communiquer. Dans ce cas, le dveloppeur sait que le document est valide car une autre partie de lapplication (sous le contrle du mme programmeur ou du mme diteur) a produit le code XML. La validit du document nest donc plus un problme. Par exemple, nous sommes dans cette situation lorsque le logiciel sexcute sur une ferme de serveurs, et XML sert communiquer entre serveurs et 93
Chapitre 3
processus. Un autre exemple pourrait tre fourni par une application complexe qui enregistre et relit de gros volumes dinformations. Le dveloppeur contrle totalement le format du document XML. Puisque XmlLite a pour objectif damliorer les performances, cette bibliothque est particulirement bien adapte aux scnarios du second type. XmlLite permet aux dveloppeurs dcrire un code efficace et rapide pour lire et crire des documents XML. Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans MSXML ou que SAX2 dans MSXML. 3. Windows Server 2003 Service Pack 2 et R2
Si vous souhaitez obtenir plus dinformations sur RIS, consultez le chapitre Linstallation et le dploiement de Windows Server 2003. Quant WDS, nous y reviendrons en dtail dans le chapitre Le service de dploiement spcialement ddi cet outil. Windows Deployment Services amliore RIS sur plusieurs points :
j j j j
une prise en charge native de Windows PE comme systme dexploitation damorage ; une prise en charge native du format de fichier WIM (Windows Imaging) ; un composant serveur PXE extensible et plus performant ; un nouveau menu damorage client pour choisir le systme dexploitation.
WDS rduit le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Pour dcrire le niveau de fonctionnalit associ chaque configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
94
Le mode compatible WDS est fonctionnellement quivalent RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera prsent comme systme dexploitation damorage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils dadministration de WDS ne sont pas utiliss. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 3.1 : Le mode compatible WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage, OSChooser et Windows PE, sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 3.2 : Le mode mixte WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
Le mode natif WDS correspond un serveur WDS et des images damorage uniquement de type Windows PE. Dans ce mode, OSChooser disparat et les images WIM sont les seules tre prises en charge pour un dploiement sur les clients. Ladministration du serveur seffectue via les outils WDS. Le mode natif WDS sapplique Windows Server 2003 et Windows Server 2008. Pour Windows Server 2008, il sagit du seul mode serveur WDS pris en charge.
95
Chapitre 3
Tableau 3.3 : Le mode natif WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. Le passage dune exploitation RIS WDS en mode compatible (binaires WDS, mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commande) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative).
principalement pour les ditions Windows XP 64 bits (car le SP2 de Windows Server 2003 couvre aussi la version 64 bits de Windows XP. Attention la confusion !). WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour amliorer la scurit des liaisons sans fil. WPA2 simplifie la connexion aux espaces publics scuriss quips dun accs Internet sans fil. WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que lquipement sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP (Wired Equivalent Privacy) et les autres fonctions de scurit du standard 802.11 dorigine. La certification WPA2 prend en charge les fonctions de scurit obligatoires du standard IEEE 802.11i, supplmentaires par rapport WPA. La mise en uvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge les caractristiques suivantes du standard WPA2 de lIEEE :
j j
WPA2 Enterprise utilise lauthentification IEEE 802.1X et WPA2 Personal via une cl prpartage (PSK). Le chiffrement avanc utilise le protocole CCMP (CM-CBC-MAC, Counter Mode Cipher Block Chaining Message Authentication Code) afin de renforcer la confidentialit des donnes, lauthentification de lorigine des donnes et lintgrit des donnes pour les transmissions sans fil. Utilisation optionnelle du cache de la cl principale (PMK) et mise en cache opportuniste de la PMK. Dans ce type de cache, les clients et les points daccs sans fil mettent en cache les rsultats des authentifications 802.1X. Par consquent, laccs seffectue plus rapidement lorsquun client sans fil se reconnecte via un point daccs sans fil auprs duquel il sest dj authentifi prcdemment. Utilisation optionnelle de la pr-authentification. Lors dune pr-authentification, un client sans fil WPA2 peut effectuer une authentification 802.1X avec dautres points daccs sans fil proximit, alors quil est toujours connect son premier point daccs.
97
Chapitre 3
Server 2003
Modification Description Une authentification par port scurise le trafic entre lenvironnement extranet et des ressources internes qui sont protges par une isolation de domaine IPSec. Linstallation du SP2 active cette fonctionnalit par dfaut. Authentification par port de pare-feu
Amlioration des performances Le SP2 amliore les performances de SQL Server 2005 lorsque le pour SQL Server serveur est soumis de fortes charges. Linstallation du SP2 active cette amlioration par dfaut. Options de dcouverte amliores dans MSConfig MSConfig propose dsormais un onglet supplmentaire qui constitue un point de lancement unique pour des outils de support qui faciliteront la dcouverte de diagnostics. Linstallation du SP2 active cette amlioration par dfaut. Le SP2 rduit lensemble des filtres quil faut grer dans un scnario disolation de domaine et de serveur, en faisant passer leur nombre de plusieurs centaines deux. Il supprime aussi le besoin dune maintenance permanente des filtres due des modifications de linfrastructure. Linstallation du SP2 active cette amlioration par dfaut.
Le SP2 amliore les performances lorsque le taux daccs APIC Amliorations des performances dans le cadre de (Advanced Processor lnterrupt Control) est lev. Windows Server 2003 fonctionnant comme systme dexploitation la virtualisation de Windows multiprocesseur hberg dans le cadre dune virtualisation de Windows. Stockage par dfaut plus vaste pour la file dattente des messages Amliorations des tests DNS DCDIAG Pour la file dattente des messages, la limite de stockage par dfaut est passe 1 Go. Il est possible de relever cette limite dans la console MMC, via longlet Gnral des proprits de la file dattente des messages. De nouvelles options ont t ajoutes aux tests DNS (Domain Name Service) Dcdiag.exe. Les nouvelles options sont /x et /xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles gnrent des balises XML lorsque les tests sont excuts avec loption /test:dns. Ce nouveau mcanisme de sortie permet danalyser plus facilement les fichiers journaux verbeux produits par les tests DNS.
De nouveaux vnements pour Un nouvel vnement a t cr pour couvrir certaines situations les comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limit par la stratgie applique au domaine. Ce nouvel vnement porte le numro 1239. Son texte descriptif inclut des informations de dpannage.
98
3.3.
Windows Server 2003 R2, qui est une version de Windows Server part entire, base sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalits. En voici quelques-unes, parmi les plus intressantes
j
La gestion et le dploiement des serveurs dagences : sauvegarde et administration centralise des services de partage de fichiers et dimpression ; haute disponibilit ; gestion du hardware distance. 3. Windows Server 2003 Service Pack 2 et R2
Active Directory Federation Services : authentification unique web ; interoprabilit avec les offres SSO (Single Sign On) web.
La gestion du stockage : gestion plus simple des SAN ; File Server Migration Toolkit ; gestion des ressources de stockage.
Lintgration de packs de fonctionnalits Windows Server 2003 : Windows Share Point Services ; Active Directory Aplication Mode (ADAM) ; services pour Unix ; iSCSI Initiator.
Windows Server 2003 R2 tend les fonctionnalits du systme dexploitation Windows Server 2003 en proposant un moyen plus efficace de grer et de contrler laccs aux ressources locales et distantes, tout en sintgrant facilement dans lenvironnement existant. La version R2 est dote dune plateforme hautement scurise et capable de monter en charge, permettant la mise en uvre de nouveaux scnarios : gestion simplifie des serveurs dagences et de succursales, administration amliore des identits et des accs et gestion plus efficace du stockage
Une gestion simplie des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilit et lefficacit des serveurs de succursales tout en vitant les difficults gnralement
99
Chapitre 3
inhrentes aux solutions serveur pour les agences et les succursales, telles que les problmes de connectivit et les cots de gestion.
Tableau 3.5 : Avantage de la gestion simplifie des serveurs dans les agences et les
succursales
Avantage Description Gestion simplifie des serveurs Extension de la connectivit et la fiabilit aux agences et aux succursales tout en contrlant le cot total de possession des dans les agences et les infrastructures informatiques. Administration mieux centralise. succursales Fournit des outils dadministration centralise pour les fonctions lies aux fichiers et limpression. Rduction de ladministration distance. Minimise ladministration locale et la sauvegarde sur site. Rseau tendu plus efficace. Acclre la rplication des donnes sur les rseaux tendus.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre Active Directory Application Mode et Active Directory Federation Services.
Tableau 3.6 : Avantage de la Gestion amliore des identits et des accs Avantage Description Gestion amliore des identits Ajoutez de la valeur aux dploiements Active Directory en vue de et des accs faciliter les accs scuriss au-del des limites de lorganisation et des plateformes. Les entreprises sont ainsi en mesure de grer une mme identit dans des applications partenaires, web et Unix. Efficacit accrue pour lutilisateur. Moins de mots de passe pour laccs aux applications internes ou hberges chez des partenaires, grce lauthentification unique sur extranet et la fdration des identits.
100
Avantage
Description Plus grande efficacit pour les administrateurs systme. Administration centralise de laccs aux applications sur les extranets, rduction des changements de mots de passe et dlgation possible de la gestion des utilisateurs des partenaires de confiance. Meilleure scurit. Blocage automatique de laccs lextranet par le biais de la dsactivation du compte Active Directory dun utilisateur. Meilleure mise en conformit. Consignation des accs utilisateurs aux applications partenaires dans les domaines de scurit externes. Meilleure interoprabilit des systmes htrognes. Authentification web unique entre les plateformes et fdration des identits. Les outils et les spcifications de linteroprabilit des services web permettent de grer et de mettre jour dynamiquement les comptes et les mots de passe utilisateurs sur les systmes Windows et Unix laide du service NIS (Network Information Service). cela sajoute la synchronisation automatique des mots de passe entre les systmes dexploitation Windows et Unix.
101
Chapitre 3
3.4.
Microsoft essaie maintenant de dfinir un cycle dvolution des prochaines versions de Windows Server de telle sorte que les clients puissent planifier et budgtiser ces volutions. La rgle est de fournir une version majeure de Windows Server tous les 4 ans environ, puis une mise niveau tous les 2 ans aprs chaque version majeure.
102
En rsum
La version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi capables de prendre en charge de nouveaux matriels, de nouveaux modles de programmation et des volutions fondamentales dans les domaines de la scurit et de la stabilit. Ces changements majeurs peuvent bien entendu gnrer des incompatibilits entre le nouveau systme et les matriels et logiciels existants.
3.5.
En rsum
Ce chapitre vous a prsent la fiche signaltique de Windows Server 2003 Service Pack 1 et 2, et de Windows Server 2003 R2. Maintenant que vous avez dchir lemballage et sorti le CD-Rom du botier, il est temps de passer linstallation du produit, dans le cadre dune entreprise, en loccurrence de Puzzmania.
103
Chapitre 4
e chapitre dcrit les mthodes dinstallation de Windows Server 2003 appliques lentreprise, qui simplifient la tche dinstallation du systme dexploitation et font gagner du temps. Ce sera ensuite vous de trouver laquelle est la plus pertinente dans votre contexte de travail. De tous les systmes dexploitation de Microsoft, Windows Server 2003 a la procdure dinstallation la plus simple et la plus intuitive. Cest vous quil revient de veiller que linstallation rponde vos exigences dentreprise et vos contraintes denvironnement.
4.1.
Avant de raliser linstallation proprement dite, vrifiez que vous disposez de la configuration minimale et dcouvrez les caractristiques et les contraintes quil vous faut connatre. 4. Linstallation et le dploiement de Windows Server 2003 La qualit et la stabilit du systme dexploitation install sur votre quipement matriel serveur en dpendent.
Les prrequis
Windows Server 2003 arrive videmment avec une liste de prconisations, de caractristiques respecter afin de faire tourner le systme dexploitation dans les meilleures conditions, notamment en ce qui concerne la puissance de processeur, la puissance de la mmoire vive (RAM) et lespace disque minimal. Le tableau suivant reprend les paramtres minimaux et recommands en fonction des diffrentes versions de Windows Server 2003 :
Tableau 4.1 : Configuration ncessaire au fonctionnement de Windows Server 2003
Configuration requise Vitesse minimale du processeur Windows Server 2003 Web Edition 133 MHz Windows Server 2003 Standard Edition 133 MHz Windows Server 2003 Enterprise Edition 133 MHz pour les serveurs x86 733 MHz pour les serveurs Itanium 733 MHz 128 Mo 256 Mo
Vitesse recommande du processeur Quantit minimale de RAM Quantit minimale de RAM recommande
107
Chapitre 4
Windows Server 2003 Enterprise Edition 32 Go pour les serveurs x86 64 Go pour les serveurs Itanium Jusqu 8 processeurs
Jusqu 2 processeurs
Jusqu 4 processeurs
1,5 Go
1,5 Go
108
Windows Hardware Compatibility List Vous trouverez la liste des composants matriels certifis compatibles ladresse www.microsoft.com/whdc/hcl/default.mspx.
Cette mthode est dtaille dans la section Installer Windows Server 2003 de ce chapitre.
La mise niveau
Dans ce cas, vous utilisez un serveur dj en production, donc configur, sur lequel tourne une version antrieure Windows Server 2003. Il sagit de la faire migrer vers le nouveau systme dexploitation lors dune opration de maintenance au cours de laquelle le service sera indisponible. En utilisant cette mthode, vous navez pas rinstaller les applications de production. Vous gagnez donc du temps. Par contre, vous devez imprativement vous assurer que les applications sont compatibles avec le nouveau systme dexploitation avant de commencer la mise niveau. Toutes les versions antrieures de Windows ne sont pas forcment compatibles pour tre mises niveau vers Windows Server 2003. Le tableau suivant vous en prsente un rcapitulatif :
109
Chapitre 4
Windows NT 4.0 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Professionnel Windows XP Professionnel
Test de compatibilit logicielle et matrielle Vous pouvez tester la compatibilit du serveur mettre niveau en insrant le CD-Rom de Windows Server 2003 et en excutant la commande R:\i386\winnt32 /checkupgradeonly, o R est la lettre utilise pour dsigner le CD-Rom. Il est fortement conseill, en entreprise, de nutiliser la mise niveau que lorsque vous connaissez parfaitement les impacts de lapplication de production et que celle-ci na pas un rle essentiel dans linfrastructure ou dans la gestion des donnes vitales. Vous courez le risque, en cas de problmes survenant aprs la mise niveau, de ne pas pouvoir dterminer si la source des ennuis vient de la mise niveau elle-mme ou dailleurs, et donc de perdre le temps que vous auriez pu gagner en choisissant deffectuer cette mise niveau. videmment, pour ce type dintervention, veillez raliser une sauvegarde complte avant la mise niveau et assurez-vous du bon fonctionnement de la restauration.
Le double amorage
Le double amorage (galement appel multiboot ou dualboot) est la fonctionnalit qui permet dinstaller, sur un mme ordinateur, plusieurs instances (deux dans ce cas-l) de systme dexploitation (indpendamment des versions) et de choisir de dmarrer sur lun ou lautre des systmes dexploitation disponibles. Lorsque vous installez Windows Server 2003 sur un serveur des fins de production, pour fournir un service (contrle du domaine, impression), votre vu est videmment que ce service soit fourni au mieux et sans temps darrt. Vous nallez certainement pas installer un double amorage Linux ou une version antrieure de Windows. Par contre, il peut tre judicieux de penser au double amorage des fins de dpannage, voire de restauration de fichiers. En effet, en installant deux instances de Windows
110
Server 2003 sur le mme serveur, il peut tre intressant dutiliser une instance pour la production et une autre en cas de problmes. Cette dernire permettra daccder aux fichiers si linstance de production est compltement inutilisable et quaucun autre outil de rcupration ne donne de rsultats. On peut alors trs vite faire basculer les donnes sur un autre serveur ou bien installer lapplication ncessaire, et recommencer travailler au plus vite. La seconde instance peut aussi tre trs utile sil faut restaurer des donnes en cas de corruption de linstance de production. En effet, certains logiciels de sauvegarde et de restauration demandent ce quune autre instance de systme dexploitation soit installe pour pouvoir restaurer correctement. De plus, des problmes rfrencs par Microsoft dans la base de connaissances ne trouvent de solution que par linstallation en parallle dune autre instance de Windows. Nous supposons donc que vous allez installer deux instances de Windows Server 2003 sur le mme serveur. Vous avez le choix entre deux mthodes dinstallation.
j
Installation sur la mme partition : une fois que la premire instance de Windows Server 2003 est installe (par dfaut dans le rpertoire C:\Windows), le programme dtecte la seconde instance et vous propose de linstaller dans un rpertoire portant un nom distinct. Il est fortement conseill de lui donner un nom appropri, par exemple C:\Winbackup. Installation sur une partition diffrente : une fois que la premire instance de Windows Server 2003 est installe (par dfaut dans le rpertoire C:\Windows), le programme dtecte la seconde instance et vous propose de linstaller dans un rpertoire portant un nom distinct. Slectionnez une autre partition (ou crez-la) et donnez un nom appropri au rpertoire dinstallation, par exemple D:\Winbackup.
Bien que ce double amorage avec deux instances de Windows Server 2003 ne soit pas une ncessit, vous pouvez toujours rflchir la possibilit de limplmenter selon le niveau critique de lapplication et lespace disque dont vous disposez.
4.2.
Nous allons tout dabord dcrire une installation de Windows Server 2003 dite classique, en dautres termes manuelle ou assiste. Ensuite, nous tudierons une installation dite automatique, en dautres termes sans assistance.
Linstallation manuelle
Cest la mthode dinstallation la plus courante. Elle dmarre lors du boot sur le CD-Rom dorigine. Si vous avez dj install des versions antrieures de Windows, vous ne serez pas surpris. Cette mthode est divise en trois phases :
j
la prinstallation ; 111
Chapitre 4
j j
Linstallation du serveur SNCECPDC01, localis Nice, sera prise comme exemple. Il aura le rle de contrleur de domaine pour corp.puzzmania.com.
Phase 1 : la prinstallation
Cette phase consiste en fait collecter les renseignements suivants afin de simplifier et dacclrer linstallation du serveur
j
Le nom de lordinateur : notez le nom de lordinateur, respectez la convention de nommage applique dans votre entreprise. Chaque nom doit tre unique sur le rseau. Attribution dun nom dordinateur Vous pouvez bien sr attribuer un nom pouvant aller jusqu 63 caractres, mais pensez que les versions antrieures Windows 2000 ne reconnaissent que les 15 premiers caractres. Bien que limplmentation du service DNS de Microsoft permette demployer certains caractres non standards sur Internet (tel le tiret de soulignement ou underscore), cela pourrait gnrer des problmes si des serveurs DNS non Microsoft sont prsents sur votre rseau. Cest pourquoi les recommandations sont dutiliser les lettres minuscules (de a z) et majuscules (de A Z), les chiffres de 0 9 et le trait dunion.
Le nom du groupe de travail ou du domaine : notez dans quel domaine vous voulez installer votre ordinateur ou, si vous tes en train de btir votre nouvelle infrastructure, vous pouvez linstaller dans un groupe de travail et, une fois linstallation termine, lancer la procdure de cration de domaine. Dans tous les cas, vous pouvez installer lordinateur dans un groupe de travail et rejoindre le domaine une fois linstallation termine.
Pour plus dinformations sur la procdure de cration de domaine, consultez le chapitre Limplmentation des serveurs dinfrastructure Active Directory. Diffrence entre domaine et groupe de travail Un domaine est un ensemble dordinateurs partageant la mme base de donnes de scurit afin de centraliser la scurit et ladministration. Un groupe de travail est un ensemble dordinateurs dont les paramtres lis la scurit et ladministration sont configurs indpendamment et localement.
112
Ladresse IP de lordinateur : notez ladresse IP que vous attribuerez au serveur (elle sera dduite de la mthode et du plan dadressage IP). Notez galement le masque de sous-rseau. Vous remarquerez que le choix du protocole rseau nest pas pris en compte bien quil soit possible de lindiquer lors de linstallation. De nos jours, lvidence, TCP/IP est le protocole le plus utilis. Les trois mthodes dadressage IP durant linstallation Trois mthodes dadressage IP sont disponibles durant linstallation. Ladressage APIPA (Automatic Private IP Addressing) : choisissez cette mthode si votre rseau est de petite taille et si vous navez pas de serveur DHCP. Une adresse IP provenant de lespace dadressage IP LINKLOCAL est automatiquement affecte au serveur. Cette adresse est toujours de la forme 169.254.xxx.xxx. Si le serveur dtecte un serveur DHCP nouvellement install sur le rseau, il fera automatiquement une demande dattribution dadresse. j Adressage IP dynamique : choisissez cette mthode si un ou plusieurs serveurs DHCP sont prsents sur le rseau et que vous souhaitiez quils distribuent des adresses IP aux serveurs. Selon votre besoin, dterminez que le service fourni par le serveur ne sera pas touch par le renouvellement dadresse. j Adressage IP statique : cest la mthode la plus utilise sur des serveurs, souvent cause de compatibilits applicatives et surtout pour ne pas que ladresse IP puisse expirer et changer. Cela consiste configurer manuellement les paramtres IP.
j
113
Chapitre 4
Lors du dmarrage de la squence dinstallation, vous avez tout de suite la possibilit dappuyer sur la touche [F6] afin dinsrer le pilote du contrleur de disque dur si celui-ci est particulier (du style contrleur SCSI rcent, contrleur Fibre Channel, contrleur RAID SATA). La plupart des nouveaux serveurs requirent cette manipulation. Interrogez votre fournisseur de matriels afin dobtenir la bonne version de pilote. Ltape suivante consiste slectionner le disque dur sur lequel vous souhaitez installer Windows Server 2003 et crer la partition adquate, puis la formater.
Loption de formatage rapide Loption de formatage rapide peut vous faire gagner du temps. Elle ne fait qucrire la table des entres de fichier. Ne lutilisez que sur des disques durs neufs ou contenant des donnes non confidentielles. Les diffrences entre FAT et NTFS ne seront pas exposes ici. De nos jours, en entreprise, seul le systme de fichiers NTFS (New Technology File System) est un choix viable si vous voulez mettre en place un plan de scurit pour votre infrastructure. Voici quelques fonctionnalits de NTFS qui le rendent indispensable :
j j j j j j
gestion de la scurit locale ; gestion des volumes de grande taille (jusqu 16 To) ; prise en charge des technologies de tolrance de pannes (niveaux de RAID) ; prise en charge de laudit du systme de fichiers ; prise en charge de la compression des fichiers ; prise en charge des quotas disque ;
114
j j j j
prise en charge du cryptage des fichiers (EFS) ; prise en charge du montage de volumes dans des rpertoires ; prise en charge du stockage distance ; prise en charge dActive Directory.
Pour le serveur SNCECPDC01, le choix sera donc NTFS. Une fois le choix effectu, la procdure dinstallation se poursuit, formate la partition systme, copie les fichiers ncessaires, puis redmarre le serveur. Dbute alors la phase 3 : linstallation en mode graphique.
Options rgionales et linguistiques : ces options vous permettent de modifier laffichage des nombres, des dates, des monnaies, des heures, et de configurer votre langue dentre et votre mthode de saisie de texte. Cl du produit : entrez la cl qui vous a t livre avec le CD-Rom de Windows Server 2003. Programme de licence Si vous avez achet le CD-Rom de Windows Server 2003 chez un dtaillant ou dans un magasin spcialis, vous serez oblig dactiver le produit soit par tlphone, soit par Internet une fois linstallation termine. Si vous avez achet le produit par lintermdiaire du programme de licence en volume Open ou Select, aucune activation ne sera ncessaire. De plus, une mme cl pourra servir toutes les installations de lentreprise, ce qui prsente un intrt certain dans le cas dune installation automatise par script.
Modes de licence : vous avez le choix entre deux modes, savoir par serveur ou par priphrique (voir fig. 4.2). Le mode de licence par serveur : dans ce mode, chaque serveur accepte un nombre dfini de clients autoriss se connecter simultanment en fonction du nombre de licences daccs client (CAL) configur. Si le nombre de clients tentant de se connecter au serveur dpasse le nombre de licences, la connexion est refuse. Il est possible de faire voluer le nombre de licences une fois linstallation termine, slectionnez dans le Panneau de configuration le lien Licences. Ce mode de licence par serveur est conseill dans les trs petites entreprises matrisant leur nombre de connexions simultanes et ayant trs peu de serveurs (un ou deux). Cest galement le mode de licence le moins onreux.
115
Chapitre 4
Le mode de licence par priphrique (ou sige) : dans ce mode, chaque utilisateur spcifique de lentreprise est sujet licence. Les serveurs ne disposent daucune restriction quant au nombre maximal de connexions simultanes. Cest le mode de licence le plus utilis car, une fois que vous avez pay pour lutilisateur, il peut se connecter un nombre illimit de serveurs Windows. Notre socit Puzzmania nutilisera que ce mode pour tout son parc, et cest donc le mode qui est choisi lors de linstallation de SNCECPDC01. Choix du mode de licence Si vous avez un doute dans le choix du mode de licence, slectionnez le mode de licence par serveur. Vous pourrez passer en mode de licence par priphrique en choisissant dans le Panneau de configuration loption Licences. Attention, cette opration est irrversible, et il nest pas possible de passer du mode de licence par priphrique au mode de licence par serveur.
j
Nom dordinateur et mot de passe du compte local Administrateur : conformez-vous votre plan de nommage et la phase de prinstallation pour dduire le nom du serveur. Dans notre exemple, cest SNCECPDC01. Entrez ensuite le mot de passe qui correspondra au compte local Administrateur. Pour des raisons de scurit videntes, surtout sur un serveur, choisissez-le le plus complexe possible. Dailleurs, sil nest pas assez complexe, vous verrez apparatre la fentre suivante :
116
Figure 4.3 : Avertissement sur la faiblesse du mot de passe du compte local Administrateur
Lisez bien les recommandations de cette fentre et appliquez-les. Il est possible de continuer avec le mot de passe faible que vous avez saisi, mais cest vivement dconseill. 4. Linstallation et le dploiement de Windows Server 2003
j
Paramtres de gestion du rseau : entrez les paramtres rseau que vous avez relevs dans la phase de prinstallation (mthode dadressage IP et incorporation ou non un domaine). Dans le cadre de linstallation de SNCECDPDC01, les renseignements indiqus dans le tableau de la phase de prinstallation seront utiliss.
Une fois toutes les informations du mode graphique de linstallation correctement indiques, les fichiers ncessaires sont copis sur le disque dur, linstallation est finalise, les fichiers temporaires sont dtruits, le serveur redmarre. Votre serveur est install et prt pour la suite : installation du SP1 ( moins que le CD-Rom en votre possession soit celui qui contient Windows Server 2003 et SP1), des derniers correctifs de scurit, de lantivirus, etc.
Linstallation automatique
Linstallation manuelle de Windows Server 2003 nest pas complique. Quelques interactions avec le processus sont ncessaires durant les phases en mode texte et en mode graphique. Ce nest pas des plus compliqu, certes, mais le processus est long et, en raison de ces interactions, monopolise lattention dun administrateur. En automatisant tout ou partie de cette installation, vous gagnez du temps et vous librez un administrateur pour une autre tche. Dans une petite entreprise, qui dit "gagner du temps", dit Vous aurez devin la suite. Trois mthodes dautomatisation sont disponibles sous Windows Server 2003 :
j j j
linstallation par script (ou fichier de rponses) ; le dploiement laide de RIS (Remote Installation Service) ; lutilisation dun gestionnaire dimages et de lutilitaire Sysprep.exe (System Preparation). 117
Chapitre 4
118
3. Slectionnez tous les fichiers quil contient, cliquez du bouton droit de la souris et choisissez Extraire. 4. Slectionnez ou crez un rpertoire de destination et cliquez sur Extraire. 5. Ouvrez le rpertoire de destination et excutez setupmgr.exe.
Figure 4.4 : Choix du type dinstallation dans lAssistant Gestion dinstallation
6. Slectionnez le type Installation sans assistance. Vous pouvez galement crer un fichier de rponses pour les installations de type RIS et Sysprep qui seront dtailles ultrieurement. 7. Slectionnez la version du systme dexploitation Windows qui sera installe laide de ce fichier de rponses, puis le type dinteraction que vous souhaitez, ou plutt le niveau dautomatisation du fichier de rponses, parmi les diffrentes propositions dcrites dans la fentre suivante :
Figure 4.5 : Choix du type dinteraction dans lAssistant Gestion dinstallation
119
Chapitre 4
8. Slectionnez ensuite lemplacement des fichiers sources de Windows Server 2003 et validez le contrat de licence. Souvre alors une interface vous permettant de remplir les diffrents champs qui rpondent aux interactions de linstallation et personnalisent la vtre. En voici un exemple :
Figure 4.6 : Dfinition des paramtres dinteraction dans lAssistant Gestion dinstallation
Crypter le mot de passe du compte local Administrateur dans le fichier de rponses Avec Windows Server 2003, il est dsormais possible de crypter le mot de passe du compte local Administrateur lintrieur du fichier de rponses grce une simple option cocher. Noubliez pas de le faire. Une fois que tous les champs sont remplis, votre fichier unattend.txt est gnr dans le dossier partag de distribution. Voici ce que nous obtenons pour le serveur SNCECPDC01 :
;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=Yes TargetPath=\WINDOWS
120
[GuiUnattended] AdminPassword=464993d6cb5eb807f0d412bd764ffe8173ecbccd10d1011b5b10daf955db377d EncryptedAdminPassword=Yes OEMSkipRegional=1 TimeZone=105 OemSkipWelcome=1 [UserData] ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX FullName="PUZZMANIA Service Informatique" OrgName="PUZZMANIA" ComputerName=SNCECPDC01 [Display] BitsPerPel=32 Xresolution=1024 YResolution=768 [LicenseFilePrintData] AutoMode=PerSeat [SetupMgr] DistFolder=C:\windist DistShare=windist [Identification] JoinDomain=PUZZMANIA DomainAdmin=Administrateur [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetClients] MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=Yes UseDomainNameDevolution=No EnableLMHosts=Yes
121
Chapitre 4
AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=172.100.112.1 SubnetMask=255.255.240.0 DefaultGateway=172.100.111.1 DNSServerSearchOrder=172.100.111.1,172.100.111.2 WINS=Yes WinsServerList=172.100.111.1,172.100.111.2 NetBIOSOptions=0
Vous pouvez galement pousser lautomatisation encore plus loin en crant un fichier de rponses afin dautomatiser le processus de cration de contrleur de domaine. 4. Linstallation et le dploiement de Windows Server 2003 9. Crez un fichier de rponses que vous appellerez unattenddcpromo.txt par exemple. Pour Puzzmania, et plus particulirement pour le domaine corp.puzzmania.com, le contenu de ce fichier est le suivant :
[DCInstall] AllowAnonymousAccess = No AutoConfigDNS = Yes ChildName = corp.puzzmania.com ConfirmGc = Yes CreateOrJoin = Join CriticalReplicationOnly = Yes DatabasePath = D:\Data DisableCancelForDnsInstall = Yes DNSOnNetwork = Yes DomainNetBiosName = CORP IsLastDCInDomain = No LogPath = D:\Logs NewDomain = Child NewDomainDNSName = corp.puzzmania.com ParentDomainDNSName = puzzmania.com Password = XXXXXXXX RebootOnSuccess = NoAndNoPromptEither ReplicaDomainDNSName = puzzmania.com ReplicaOrNewDomain = Domain ReplicationSourcePath = %SYSTEMDRIVE%\Source SafeModeAdminPassword = XXXXXXXX SiteName = Nice Syskey = 12345 SysVolPath = %SYSTEMDRIVE%\Sysvol TreeOrChild = Child UserDomain = puzzmania.com UserName = Administrateur
10. Ensuite, excutez la commande dcpromo /answer:unattenddcpromo.txt une fois que votre serveur est install en tant que serveur autonome ou serveur membre.
122
Comme vous le savez, certains paramtres sont uniques sur le rseau comme le nom dordinateur. Cela veut dire que le fichier unattend.txt nest pas rutilisable tel quel sur tous vos ordinateurs. Vous devez donc crer un fichier .udf en complment du fichier unattend.txt afin de lister toutes les diffrences apparaissant dune installation lautre. Le fichier daide deploy.chm inclus dans deploy.cab vous sera prcieux quant la syntaxe respecter. Enfin, pour lexcution de votre installation automatise, un fichier unattend.bat est gnr en mme temps que le fichier unattend.txt. partir du serveur que vous voulez installer, vous devez atteindre le dossier de partage sur lequel se situe le fichier unattend .bat et excuter ce dernier. La plupart des serveurs que vous installerez seront souvent sans systme dexploitation lorsque vous les dmarrerez la premire fois. Il vous faudra donc booter sur une disquette contenant un client rseau DOS afin de charger une gestion minimale de rseau, atteindre le fichier et le lancer. Voici un exemple o SNCECPFS01, un serveur de fichiers, distribue les fichiers sources pour linstallation : 4. Linstallation et le dploiement de Windows Server 2003
@rem SetupMgrTag @echo off rem rem rem rem rem rem
Ceci est un EXEMPLE de script de commandes gnr par lAssistant Gestion dinstallation. Si ce script est dplac de lemplacement dans lequel il a t cr, il peut tre ncessaire de le modifier.
Cette mthode dinstallation automatise peut aussi bien dployer Windows Server 2003 sur les serveurs que Windows XP Professionnel sur les stations de travail. Or, comme elle ne sait pas installer les applications en mme temps que le systme dexploitation, il est dusage de ne lutiliser que pour linstallation des serveurs.
Chapitre 4
quips de matriels physiques diffrents, condition que vous utilisiez convenablement limage disque et/ou les fichiers de rponses.
Le futur serveur RIS doit tre membre du domaine (ou contrleur de domaine). Cela sous-entend que votre domaine et, donc, Active Directory et DNS doivent tre prsents sur le rseau. Un serveur DHCP doit tre prsent sur le rseau, et doit tre autoris, ainsi que le serveur RIS, dans Active Directory (mme si le serveur RIS nest pas serveur DHCP). Les ordinateurs clients doivent tre compatibles PXE 1.0 ou 2.3 (Preboot eXecution Environment). Ils doivent possder une carte rseau quipe dune Rom PXE ou prise en charge par la disquette de dmarrage. Nouveauts de RIS avec Windows Server 2003 SP1 Grce au SP1 de Windows Server 2003, il est maintenant possible dexcuter RIS sur une plateforme Windows Server 2003 SP1 x64. De plus, RIS assure aussi le dploiement des images x64 laide de lAssistant Installation des services dinstallation distance (Risetup.exe) et de lAssistant Prparation dune installation distance (Riprep.exe), partir dun serveur Windows Server 2003 SP1, quelle que soit son architecture (x64, IA-64 et x86).
124
4. Slectionnez ensuite lemplacement o sera cr le dossier dinstallation et qui contiendra les images. Par dfaut, le nom de ce dossier est RemoteInstall et il est partag sous le nom de REMINST. Il doit imprativement se situer sur une partition NTFS, qui ne doit tre ni la partition systme ni la partition damorage. Ce dossier doit galement avoir un espace minimal disponible de 2 Go. 5. Dans la bote de dialogue suivante, vous avez la possibilit de prendre en charge les ordinateurs clients. Il est conseill de dcocher toutes les options, en dautres termes de ne pas prendre en charge les ordinateurs clients dans limmdiat. Vous pourrez valider la prise en charge des ordinateurs clients une fois que votre serveur RIS sera totalement oprationnel. Cliquez sur Suivant. 6. Spcifiez lemplacement des fichiers dinstallation de Windows partir du CD-Rom. Le serveur RIS a besoin dau moins une image de CD-Rom quil sera possible de dployer. La version du systme dexploitation peut aussi bien tre Windows Server 2003 que Windows XP Professionnel ou Windows 2000 Professionnel. 7. Entrez ensuite un nom de sous-dossier pour stocker les fichiers provenant de ce CD-Rom. Cliquez sur Suivant et faites une description plus dtaille de limage du CD-Rom. Ces informations seront visibles sur lcran de lordinateur qui installera cette image. 8. Cliquez sur Suivant, vrifiez vos paramtres, puis cliquez sur Terminer. La copie dmarre et linstallation sachve. De nouveaux services sont ajouts la suite de linstallation de RIS sur le serveur :
j
Boot Information Negociation Layer (BINL) : "couche de ngociation des informations de dmarrage", ou service dinstallation distance, cest le service charg de rpondre aux requtes des clients et dinterroger Active Directory pour savoir si lordinateur dispose des droits ncessaires. Il permet dattribuer les paramtres adapts aux clients. 125
Chapitre 4
Trivial File Transfer Protocol (TFTPD daemon) : "service trivial FTP", cest le service qui permet aux clients de tlcharger les fichiers et de rapatrier le Client Installation Wizard (CIW) ou "assistant dinstallation du client" et toutes les botes de dialogue contenues dans ce dernier. Single Instant Store (SIS) : "stockage dinstance simple", cest le service charg de rduire lespace disque des volumes utiliss par les images dinstallation RIS. Ce service surveille lapparition de plusieurs versions dun mme fichier sur le volume et, dans ce cas, cre un lien vers ledit fichier, conomisant ainsi de lespace disque.
Autoriser le serveur ; Activer la prise en charge des ordinateurs clients ; Crer les comptes dordinateur client ; Dfinir les autorisations des utilisateurs.
j j j
Autoriser le serveur
Bien que le serveur RIS ne soit pas un serveur DHCP, vous devez lautoriser dans la console DHCP. 1. Ouvrez les Outils dadministration et lancez la console DHCP. 2. Slectionnez la racine de la console DHCP, cliquez du bouton droit de la souris et choisissez Grer les serveurs autoriss. 3. Cliquez sur Autoriser et saisissez le nom ou ladresse IP du serveur RIS, puis validez.
126
4. Linstallation et le dploiement de Windows Server 2003 Vous pouvez galement cocher la case Ne pas rpondre aux ordinateurs clients inconnus, mais si vous le faites, vous devez avoir cr au pralable tous les comptes dordinateur client dans Active Directory. Cette technique, dite de prestaging, est plus contraignante, mais permet, dune part, de ne pas dlguer un utilisateur le droit de joindre un ordinateur au domaine et, dautre part, dquilibrer la charge lorsque plusieurs serveurs RIS sont prsents sur le rseau. Vrifier le serveur RIS Vous avez la possibilit de lancer des tests de bon fonctionnement du serveur RIS en cliquant sur le bouton Vrifier le serveur (uniquement partir du serveur RIS lui-mme). 127
Chapitre 4
128
Pour plus dinformations sur tous les termes relatifs Active Directory, reportez-vous au chapitre Introduction LDAP et Active Directory.
129
Chapitre 4
rfrence configur avec toutes vos applications standards. De laffectation de ladresse IP via DHCP lintgration au domaine, vous pouvez tout paramtrer afin de gagner du temps et de procder des installations parallles en nombre. Quant aux serveurs, vous pouvez toujours les dployer avec RIS. Vous tes libre de procder une installation via une image CD-Rom et les fichiers de rponses afin de matriser toute la chane de mise en production du serveur, notamment linstallation des applications. Comme les serveurs nont pas tous la mme spcificit et les mmes paramtrages, il vous faudra crer une image par type de serveur. La mthode perd alors de son intrt, compte tenu du temps pass crer les images.
Chapitre 4
7. Aprs avoir slectionn les options que vous dsirez, cliquez sur le bouton Resceller. Le processus se termine et arrte ou redmarre votre ordinateur. 8. Utilisez alors votre outil de cration dimage disque pour gnrer une image avant le redmarrage complet de lordinateur. Copiez cette image lemplacement distant de votre choix. Linstallation de limage disque sur lordinateur client seffectue partir de loutil de cration dimage. Sysprep.exe et Riprep.exe Sysprep.exe et Riprep.exe ont des utilisations bien distinctes. Alors que vous utiliserez Sysprep.exe en association avec un outil spcialis de duplication dimage disque, vous ne pourrez pas vous servir de Riprep.exe, qui ncessite imprativement la mise en production dun serveur RIS. Cette mthode dinstallation permet de tirer parti de votre outil tiers de cration dimage disque. Elle est plutt oriente vers linstallation des stations de travail pour deux raisons : elle nest applicable que sur des quipements physiques identiques, et une image peut contenir des applications. Cette mthode dinstallation a lavantage dtre trs simple mettre en uvre, sans ncessiter dinfrastructure de domaine.
132
4.3.
Si vous rencontrez des problmes durant linstallation ou la fin, voici quelques lments simples vrifier ainsi quune slection doutils et de fichiers trs pratiques :
Tableau 4.5 : Problmes dinstallation et conseils de rsolution Symptme Matriel non reconnu Conseil Vrifiez que le matriel est prsent sur la liste de compatibilit matrielle Windows HCL ladresse www.microsoft.com/whdc/hcl/ default.mspx. Testez un autre lecteur ou utilisez une mthode dinstallation via le rseau. Vrifiez le type de contrleur disque inclus dans votre serveur, rcuprez le dernier pilote valide et ajoutez-le au dmarrage de linstallation en appuyant sur la touche [F6]. Utilisez le programme dinstallation en mode texte afin de recrer la partition systme. Mettez jour le pilote de la carte ou installez momentanment une carte rseau virtuelle (carte de bouclage Microsoft) afin de terminer linstallation, puis lancez des tests physiques afin de dceler une panne matrielle. Vrifiez les paramtres de la carte ainsi que les paramtres TCP/IP. Vrifiez que vous pouvez contacter vos contrleurs de domaine et que vos serveurs DNS et vos comptes dordinateur sont correctement configurs.
Lecteur de CD-Rom non pris en charge Disque dur non trouv durant la phase dinstallation Espace disque insuffisant Carte rseau non trouve durant la phase dinstallation
Pour les installations automatises, consultez le fichier deploy.chm contenu dans larchive deploy.cab du CD-Rom de Windows Server 2003 SP1, il vous sera dune aide prcieuse afin de trouver une solution vos problmes ou plus simplement pour vous donner de plus amples informations. Des outils gratuits Vous pouvez aussi utiliser les outils gratuits que vous trouverez sur le site web www .sysinternals.com, dans la catgorie File and Disks, en particulier loutil Filemon, qui permet de surveiller lactivit des fichiers systme en temps rel, et loutil NewSID, qui permet de changer lidentificateur de scurit (SID).
133
Chapitre 4
4.4.
En rsum
Avec Windows Server 2003, vous pouvez choisir entre diffrentes mthodes dinstallation et vous avez mme la possibilit de mettre en place une structure de dploiement afin doprer des installations en nombre, quil sagisse dailleurs de Windows Server 2003 ou des versions clientes de Windows. Vous devez choisir la solution qui correspond le mieux vos attentes en fonction de votre contexte de travail. Saisissez lopportunit de gagner du temps sur les tches dinstallation. Prenons lexemple de la mise en place dun serveur RIS afin dautomatiser linstallation de Windows XP Professionnel sur les stations de travail Dans le cadre de la rduction du cot total de possession, si vous achetez en nombre des stations de travail ayant le mme quipement physique, vous serez mme de ngocier un prix auprs de votre fournisseur. En outre, Windows Server 2003 vous livrera sans surcot la fonctionnalit dinstallation automatise. De plus, comme vous naurez quune seule image grer, si vous devez modifier un pilote pour rsoudre un problme donn, vous naurez qu modifier une seule fois limage pour que toutes les nouvelles installations prennent en compte la modification.
Chapitre 5
epuis la premire installation de Windows 95 et ses 15 disquettes, les systmes dexploitation ont demand toujours plus de capacit pour passer du CD au DVD avec linstallation de Windows Vista. Au travers de ce chapitre, vous allez dcouvrir les diffrentes versions et les fonctions de Windows Vista ainsi que son installation standard. Jusque-l rien de bien exceptionnel, mais matriser cette base est ncessaire pour lutilisation de cet ouvrage. Vous dcouvrirez galement les mcanismes de linstallation, un peu plus complexe mais thorique cette fois-ci, de ce nouveau Windows ainsi que les changements apports par le format WIM. Pour terminer, vous apprendrez comment personnaliser votre mdia dinstallation et votre installation pour la rendre totalement automatique, Voici en quelques lignes ce que vous rserve ce chapitre pour que linstallation de Windows Vista nait plus de secret pour vous !
5.1.
la description des diffrentes versions de Vista, on retrouve un triptyque, une cible dutilisateurs en triangle, vis par Microsoft :
j j j
les utilisateurs la maison avec Home Basic, Home Premium et Intgrale ; les utilisateurs/administrateurs en petites entreprises avec Business et Intgrale ; les utilisateurs/administrateurs en grandes entreprises avec Enterprise et Intgrale.
137
Chapitre 5
Fonctionnalits techniques diffrencies Cryptage EFS (Encrypted File System) Bureau distance Serveur Web personnel Utilitaire de fax et scanneur Jonction un domaine Fichiers hors connexion Stratgies de groupe SUA (Unix Subsystem) Cryptage complet de volume Virtual PC Express MUI-All Languages (multilingue) Windows Intgrale Extras
Vista Professionnel Oui Oui Oui Oui Oui Oui Oui Non Non Non Non Non
Vista Entreprise Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Non
Vista dition Intgrale Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
rseau ne sera pas possible. Pas de changement rapide dutilisateurs non plus, ni de dmarrage par validation de mot de passe, mais la connexion Internet restera accessible.
139
Chapitre 5
regarder des missions de tlvision (y compris en haute dfinition) et dcouvrir de nouveaux contenus multimdias en ligne. Cette dition intgre galement la possibilit de connecter Windows une XBox 360 de faon profiter de ses loisirs numriques dans toutes les pices de son domicile. La technologie dencre numrique du Tablet PC, qui permet dinteragir avec le PC laide du stylet numrique ou dune pression tactile, sans passer par un clavier, est galement disponible dans cette dition de Windows Vista. La fonction intgre de gravure et de cration de DVD permet aux utilisateurs de graver, en toute transparence, leurs photos, vidos et fichiers personnels sur un DVD vido ou donnes. Ils peuvent galement crer des DVD professionnels partir de films familiaux, et les partager avec leurs proches. Cependant, Vista dition Familiale Premium reste destin aux utilisateurs la maison. Cela veut dire : pas de jonction un domaine, pas de cryptage de fichiers par exemple. Vous pouvez constater que cette version intgre les fonctions de Media Center et de Tablet PC. Pas de versions dissocies. Bien sr, il vaut mieux que votre portable ait un cran tactile et un stylet pour tirer parti des fonctions dencre numrique. 5. Linstallation de Windows Vista
140
Cette dition, spciale entreprise, intgre en sus des fonctions plus spcifiques dont la jonction aux domaines, ladministration distante du poste de travail et de cryptage de donnes sur disque dur.
Chapitre 5
conviendra, que vous soyez utilisateur la maison, utilisateur en entreprise ou administrateur, moins que vous ne soyez les trois diffrents moments de la journe. Cest le premier systme dexploitation runir toutes les fonctions de divertissement, de mobilit et de productivit offertes par Windows Vista. Les versions N de Windows Vista Pour tre plus prcis, signalons lexistence, comme sous XP, des versions Vista dition Familiale Basique N et Vista Professionnel N, qui sont les versions sans Windows Media Player intgr rsultant des procs intents par lUnion europenne.
5.2.
La liste suivante dcrit la configuration matrielle minimale recommande pour les fonctionnalits de base des diffrentes ditions. De fait, la configuration matrielle varie en fonction de la version, des programmes et des fonctionnalits que vous installez. 5. Linstallation de Windows Vista
Processeur 32 bits x86 ou 64 bits x64 cadenc 800 MHz ; 512 Mo de mmoire systme ; carte graphique de classe DirectX 9 ; 32 Mo de mmoire graphique ; disque dur de 20 Go, disposant de 15 Go despace libre ; lecteur de DVD interne ou externe ; accs Internet ; dispositif de sortie audio.
Processeur 32 bits x86 ou 64 bits x64 cadenc 1 GHz ; 1 Go de mmoire systme ; carte graphique compatible Windows Aero ; 128 Mo de mmoire graphique ;
142
j j j j
disque dur de 40 Go, disposant de 15 Go despace libre (pour le stockage des fichiers temporaires lors de linstallation ou de la mise niveau) ; lecteur de DVD interne ou externe ; accs Internet ; dispositif de sortie audio. Configuration requise Pour plus dinformations sur la configuration requise de Windows Vista, vous pouvez consulter le site technique de la base de connaissance Microsoft ladresse http:// support.microsoft.com/search/?adv=1 et slectionner la fiche KB 919183 Configuration requise de Windows Vista.
5.3.
Vous pouvez installer Windows de manire interactive partir du mdia Windows. Linstallation interactive ncessite une intervention de lutilisateur, qui doit spcifier notamment le lecteur de destination, son nom dutilisateur et son fuseau horaire. Linstallation standard de Windows Vista ne droge pas aux rgles de simplicit. Windows Vista reste trs lmentaire installer puisquil vous suffit de dmarrer lordinateur avec le DVD dinstallation pour que celle-ci se ralise presque seule. Il vous sera demand dentrer le numro de srie et de rpondre trois ou quatre questions : votre pays, votre nom, un mot de passe, etc. Installation de Windows Vista sur un ordinateur disposant de 3 Go de RAM Les ordinateurs disposent dune mmoire vive de plus en plus leve, et pour cause : celle-ci arrive des prix trs accessibles et, de fait, il nest pas rare de trouver des ordinateurs disposant de 4 Go de RAM. Dans ce cas, durant linstallation de Windows Vista, le message suivant peut apparatre : "STOP 0x0000000A (paramtre1, paramtre2, paramtre3, paramtre4) IRQL_NOT_LESS_OR_EQUAL". Le problme peut tre li la quantit de mmoire. Pour rsoudre ce problme, Microsoft propose deux correctifs : la mise jour KB929777 pour Windows Vista (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =240ac3f3-2b60-4b70-b709-06b2bc5b1336) ; j la mise jour KB929777pour Windows Vista, version 64 bits (www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID =91672c7c-614b-404c-850c-377541e93c18).
j
143
Chapitre 5
Lancez linstallation de la manire suivante : 1. Dmarrez le programme dinstallation de Windows Vista en insrant le DVD, puis redmarrez votre ordinateur.
Figure 5.2 : Slection des paramtres rgionaux : la langue, les paramtres liaient au
3. linvite dinstallation, cliquez sur Installer. 4. Dans la partie Entrez votre cl de produit pour activation, tapez le numro de srie du produit dans le champ Cl de produits (les tirets de sparation sont ajouts automatiquement). Ce numro est compos de 25 caractres alphanumriques. Cliquez sur Suivant pour continuer.
5. Windows Vista ne droge pas la rgle : dans la fentre Veuillez lire le contrat de licence, lisez et acceptez les termes du contrat de licence. Activez loption Jaccepte les termes du contrat de licence (indispensable pour continuer). Cliquez sur Suivant. Si vous ne validez pas cette option, vous serez oblig de mettre fin au programme dinstallation de Windows Vista. 6. Dans la fentre Quel type dinstallation voulez-vous effectuer ?, deux choix soffrent vous : une Mise niveau ou une installation Personnalise (options avances). Slectionnez Personnalise (option avance). Impossible de slectionner ou de formater le disque dur Lors de linstallation, il peut arriver que lon ne puisse pas slectionner ou formater une partition destine linstallation de Windows Vista. Dans ce cas le message suivant apparat : "Windows ne trouve pas de volume systme conforme ses critres dinstallation". 145
Chapitre 5
Le contrleur de disque nest pas compatible avec Windows Vista, voire il est obsolte. Les pilotes ne sont pas jour. Le disque dur est un disque converti en dynamique. Le disque dur a un problme matriel. La partition que vous slectionnez est en FAT32 ou dans un format incompatible pour Windows Vista.
Pour rpondre ces problmes la fiche KB927520 : "Vous ne pouvez pas slectionner ou formater une partition de disque dur lorsque vous essayez dinstaller Windows Vista" vous propose huit solutions possibles.
j j j j
j j j j
Mthode 1 : Vrification de la compatibilit de la partition avec Windows Vista. Mthode 2 : Mise jour des pilotes pour le contrleur de disque dur. Mthode 3 : Installation des pilotes corrects pour le contrleur de disque dur. Mthode 4 : Examen du fichier Setupact.log afin de vrifier que la partition est active. Mthode 5 : Recherche de mises jour du microprogramme et de mises jour du BIOS systme. Mthode 6 : Vrification que le BIOS systme dtecte correctement le disque dur. Mthode 7 : Utilisation de lutilitaire Chkdsk.exe pour identifier les problmes. Mthode 8 : Utilisation de lutilitaire Diskpart.exe pour nettoyer le disque, puis nouvelle excution du programme dinstallation de Windows Vista.
7. Dans la fentre O souhaitez-vous installer Windows ?, cliquez sur Options de lecteurs (avances) pour personnaliser la taille de la partition dinstallation (voir fig. 5.4). 8. Cliquez sur Suivant pour dmarrer la copie des fichiers. Les tapes suivantes se succdent :
j j j j j
copie des fichiers de Windows ; dcompression des fichiers ; installation des fonctionnalits ; installation des mises jour ; fin de linstallation.
146
Dure de linstallation Linstallation peut prendre plusieurs dizaines de minutes selon la puissance de votre machine. 9. Dans la fentre de Windows Vista, cliquez sur Suivant. 10. Slectionnez une image et entrez un mot de passe. Confirmez ce mot de passe, puis cliquez sur Suivant. 11. Changez le nom de lordinateur et slectionnez votre fond dcran. Cliquez sur Suivant. 12. Choisissez ou non dactiver et de configurer le pare-feu. 13. Configurez la Date et le Fuseau horaire. 14. Dmarrez Windows Vista en cliquant sur licne Windows Vista. Dans la premire fentre, vous devez entrer votre mot de passe. La configuration de votre Bureau commence.
147
Chapitre 5
Lactivation et la licence
5. Linstallation de Windows Vista Cest bien connu, lutilisation de Windows ncessite une licence et, sur ce point, Windows Vista ne droge pas la rgle. Cela veut dire quune fois votre systme dexploitation install avec un numro de srie, vous disposez dune priode de grce de 30 jours. Aprs ce dlai, lutilisation de votre ordinateur deviendra complique. Cependant, il peut arriver que lon veuille faire des tests et que cette priode ne suffise pas. Pour rpondre cette contrainte, il existe une commande assez peu documente qui se nomme SLMGR.
Figure 5.6 : Recherche dinformations sur SLMGR dans laide de Windows Vista
148
Cette commande vous permet de repousser ce dlai trois fois. Pour connatre les extensions lies cette commande, saisissez SLMGR /? dans une fentre en ligne de commandes.
Figure 5.7 : Extensions de la commande SLMGR
Pour savoir combien de temps il vous reste avant la fin de votre priode de grce, procdez ainsi : 1. Cliquez sur le menu Dmarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, saisissez slmgr dli.
Figure 5.8 : Informations sur le dlai denregistrement
149
Chapitre 5
Dans notre exemple, nous pouvons constater que le dlai de grce est de 20 jours. Pour prolonger ce dlai 30 jours, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Accessoires. Cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant quadministrateur. 2. Dans la fentre dInvite de commandes, saisissez slmgr rearm.
3. Redmarrez votre systme dexploitation pour que la commande soit valide. Pour contrler, lancer le mode en ligne de commandes en tant quadministrateur, puis saisissez la commande slmgr dli.
Figure 5.10 : Informations sur le nouveau dlai denregistrement
Il reste 29 jours. SLMGR La commande slmgr rearm ne peut pas tre utilise plus de trois fois. Cela veut dire que vous pouvez utiliser Windows Vista durant une priode totale de 120 jours.
150
Si vous souhaitez connatre jusquo cette grce vous conduit, tapez la commande slmgr xpr.
5.4.
Pour procder la migration vers Windows Vista partir dune version antrieure de Windows, vous devez disposer dun ordinateur avec une version prise en charge de Windows contenant les applications, les paramtres et les donnes dplacer vers un nouvel ordinateur avec Windows Vista. Les outils de migration de Windows Vista vous offrent trois possibilits pour la migration des paramtres et des fichiers :
j
la connexion rseau (dans le premier cas, les deux ordinateurs doivent tre en mesure de communiquer directement de lun lautre ; dans le second cas, si lon utilise un partage rseau, les deux ordinateurs doivent tre capables de mapper ce partage) ; un support amovible (par exemple une cl USB ou un disque dur externe) ; un CD ou un DVD.
j j
Outre la mthode de transfert, vous avez le choix des outils de migration. LAssistant Migration de PC est inclus dans Windows Vista, mais galement dans le DVD dinstallation. Il vous permet de faire migrer les paramtres et les fichiers de tous vos utilisateurs dun ordinateur vers un nouvel ordinateur. Migration des utilisateurs Lutilitaire ne fera migrer que les utilisateurs ayant dj ouvert une session dans le prcdent systme dexploitation si, par exemple, vous avez trois utilisateurs qui ouvrent des sessions sur le poste et un utilisateur que vous navez jamais utilis et qui vous sert dutilisateur de secours. Seuls les trois utilisateurs auront migr. Cest normal : aucun profil na t cr pour ce quatrime utilisateur.
151
Chapitre 5
les comptes des utilisateurs ; les fichiers et dossiers de tous les lecteurs ; les paramtres des programmes ; les paramtres et favoris Internet ; les paramtres de courrier lectronique.
152
Lautre vrification consiste lancer un ping sur le second ordinateur. En cas de problme avec le ping, vrifier que ce nest pas li au pare-feu :
C:\Documents and Settings\Sylvain>ipconfig Configuration IP de Windows
Carte Ethernet Connexion au rseau local: Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . connexion : . . . . . : 172.100.16.100 . . . . . : 255.255.240.0 . . . . . : 172.100.16.1
C:\Documents and Settings\Sylvain>ping 172.100.16.75 Envoi dune requte ping sur 172.100.16.75 avec 32 octets de donnes : Rponse Rponse Rponse Rponse de de de de 172.100.16.75 172.100.16.75 172.100.16.75 172.100.16.75 : : : : octets=32 octets=32 octets=32 octets=32 temps=179 ms TTL=128 temps=156 ms TTL=128 temps=1074 ms TTL=128 temps=184 ms TTL=128
Statistiques Ping pour 172.100.16.75: Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%), Dure approximative des boucles en millisecondes : Minimum = 156ms, Maximum = 1074ms, Moyenne = 398ms C:\Documents and Settings\Sylvain>
Ct poste cible
1. Ouvrez lAssistant Migration de PC sur votre ordinateur Windows Vista. Cliquez sur Dmarrer/Tous les programmes/Accessoires/Outils systme/Transfert de paramtres et fichiers Windows (voir fig. 5.13). 2. Au lancement de linterface graphique de loutil de transfert, la fentre Contrle du compte utilisateur saffiche, cliquez sur Continuer. Dans la fentre Transfert de fichiers et paramtres de Windows, cliquez sur Suivant pour continuer (voir fig. 5.14).
153
Chapitre 5
154
3. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution.
4. Dans la fentre Voulez-vous commencer un nouveau transfert ou en continuer un ?, cliquez sur Dmarrer un nouveau transfert afin de lancer le processus de prparation de lAssistant Migration de PC pour la collecte des informations sur les ordinateurs existants.
155
Chapitre 5
5. Dans la fentre Quel ordinateur utilisez-vous maintenant ?, Cliquez sur Mon nouvel ordinateur.
de transfert 6. Dans la fentre Disposez-vous dun cble de transfert ?, choisissez Non, afficher dautres options.
7. Pour continuer, vous allez devoir anticiper le fait davoir dj install lutilitaire de transfert sur votre ancien ordinateur. Pour cela, dans la fentre Avez-vous install Transfert de fichiers et paramtres Windows sur votre ancien ordinateur ?, slectionnez Oui, je lai install. 8. Cest ce stade du paramtrage que vous pouvez slectionner le mode de transfert, soit en rseau par un support de type CD ou DVD. Slectionnez Oui, je vais transfrer des fichiers et paramtres via le rseau. 9. Il va sagir de scuriser lchange entre les deux ordinateurs. Pour cela, vous disposerez dune cl commune aux deux ordinateurs. Deux choix soffrent vous. 156
Vous avez la possibilit de cliquer sur Non, jai besoin dune cl. Dans ce cas, lutilitaire va gnrer une cl que vous pourrez fournir lordinateur source. Seconde possibilit : vous dmarrez simultanment le paramtrage de lordinateur cible et demandez par le biais de lordinateur source une cl. Dans ce cas, slectionnez Oui, je dispose dune cl.
10. Pour notre exemple, la cl sera demande par lordinateur cible lutilitaire. Slectionnez Non, jai besoin dune cl. Notez la cl.
Figure 5.20 : Lordinateur vous donne une cl alatoire compose de chiffres et de lettres
Ct poste source
1. Dmarrez lAssistant Migration de PC sur lordinateur partir duquel vous souhaitez faire migrer les paramtres et les fichiers en accdant au support amovible ou au lecteur rseau contenant les fichiers de lAssistant. Double-cliquez sur migwiz.exe.
157
Chapitre 5
Vista dans le rpertoire support\migwiz 5. Linstallation de Windows Vista 2. Au lancement de linterface graphique de loutil de transfert, cliquez sur Suivant pour continuer. Si des programmes sont ouverts, vous tes invit les fermer. Vous pouvez choisir denregistrer votre travail dans chaque programme, puis de les fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans lAssistant Migration de PC afin de fermer simultanment tous les programmes en cours dexcution.
158
3. Dans la fentre Choisissez la mthode de transfert des fichiers et des paramtres vers le nouvel ordinateur, slectionnez Transfrer directement, en utilisant une connexion rseau.
Mthode de transfert Les deux ordinateurs doivent prendre en charge la mthode de transfert choisie. Par exemple, les deux ordinateurs doivent tre connects au mme rseau. 4. Cliquez sur Utiliser une connexion rseau afin de commencer le transfert. Vous pouvez galement cliquer sur Copier dans et partir dun emplacement rseau si vous souhaitez stocker les fichiers et paramtres dans un fichier afin de le charger ultrieurement. Si vous choisissez de stocker les donnes dans un emplacement rseau, vous serez invit indiquer le chemin.
159
Chapitre 5
5. Dans la partie prcdente, lutilitaire avait pos la question : "Avez-vous ou souhaitez-vous une cl ?" Vous en avez demand une. Dans la fentre Disposez-vous dune cl Transfert de fichiers et paramtres Windows ?, cliquez sur Oui, je dispose dune cl, puis saisissez la cl afin de pouvoir crer la communication entre les deux ordinateurs et continuer.
provenant de lordinateur cible 6. Saisissez la cl demande et cliquez sur Suivant. 7. Puisque la communication entre les deux ordinateurs est ralise, cest le moment de choisir ce qui doit tre transfr. Trois possibilits : cliquez sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand) afin de transfrer tous les fichiers et paramtres ; vous pouvez galement choisir de dterminer exactement les fichiers faire migrer, en cliquant sur Uniquement mon compte dutilisateur, mes fichiers et mes paramtres ou sur Options avances (voir fig. 5.26). 8. Dans notre cas, nous allons choisir de tout transfrer. Vous devez donc cliquer sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand).
160
Figure 5.26 : Fentre Que voulez-vous transfrer sur votre nouvel ordinateur
9. Examinez la liste des fichiers et des paramtres transfrer, puis cliquez sur Transfrer pour lancer le transfert. Malgr le fait davoir slectionn Tous les comptes dutilisateurs, fichiers et paramtres (recommand), vous avez la possibilit de personnaliser votre slection. Cela peut vous permettre dajouter des donnes qui ne se trouvent pas forcment dans les paramtres utilisateurs. Pour cela, cliquez sur Options avances, puis sur Ajouter des rpertoires.
Figure 5.27 : Slection des utilisateurs, des paramtres et des fichiers transfrer
10. Entrez un nouveau nom dutilisateur ou slectionnez-le sur la liste. Dans cette fentre, vous avez la possibilit de renommer les comptes que vous avez slectionns prcdemment et de donner le nouveau nom quils porteront sur lordinateur cible. Cliquez sur Suivant. 161
Chapitre 5
11. Dans le cas o vous possderiez plusieurs lecteurs logiques ou simplement plusieurs disques durs, vous avez la possibilit de transfrer les donnes, les paramtres et les fichiers sur le lecteur de votre choix. Vous avez mme la possibilit de ne possder quun lecteur, par exemple. Cliquez sur Suivant pour lancer le transfert.
Figure 5.29 : Correspondance des disques de lordinateur source vers lordinateur cible
162
Une estimation du temps de copie est ralise, puis la copie est lance.
12. Une fois le transfert termin, un bref rsum saffiche. Vous avez la possibilit dobtenir plus de dtails sur lensemble des fichiers transfrs en cliquant sur Afficher tous les lments transfrs. Cliquez sur Fermer pour fermer lutilitaire de transfert sur le poste source. Regardons prsent ce quil sest pass sur lordinateur cible. Les utilisateurs et les paramtres ont t transfrs. Paul a t renomm en Polo, Julie en Juju et Sylvain reste Sylvain. Seule remarque pour le moment, les profils avec des droits dadministrateurs au dpart du transfert se retrouvent avec des droits de simples utilisateurs larrive ; idem pour les donnes, elles sont prsent toutes sur le disque C.
163
Chapitre 5
164
9. Dplacez le support amovible vers le nouvel ordinateur et lancez lAssistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans O avez-vous copi vos fichiers ?, cliquez sur Support amovible. Si loption Support amovible nest pas disponible, cliquez sur Lecteur rseau. Cliquez sur Suivant. 12. Dans Localisez vos fichiers enregistrs, tapez le chemin vers vos fichiers enregistrs ou cliquez sur Parcourir. Cliquez sur Suivant une fois que vous avez localis les fichiers. 13. Choisissez sur le nouvel ordinateur des noms dutilisateurs qui correspondent ceux de lancien ordinateur. Vous pouvez tre amen crer de nouveaux comptes lors de cette tape. Tapez un nom dutilisateur afin de crer un compte sur lordinateur local. Saisissez un nom dutilisateur afin de crer un profil. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, slectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent tre dplacs sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramtres transfrer puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. 16. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers. 5. Linstallation de Windows Vista
165
Chapitre 5
Support Les deux ordinateurs doivent prendre en charge la mthode de transfert choisie. Par exemple, ils doivent tre quips dun lecteur de CD ou de DVD. 4. Dans Choisissez votre support, tapez le chemin vers le support CD ou DVD rinscriptible. Cliquez sur Suivant. 5. Cliquez sur Tous les comptes dutilisateurs, fichiers et paramtres (recommand) afin de transfrer tous les fichiers et paramtres. Vous pouvez galement choisir de dterminer exactement les fichiers migrer, en cliquant sur Seulement mon compte utilisateur, mes fichiers et mes paramtres de programme ou sur Personnalis. 6. Examinez la liste des fichiers et paramtres transfrer, puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. Sil ny a pas suffisamment despace disponible sur le support rinscriptible, lAssistant Migration de PC indique le nombre de disques vierges ncessaires. 7. Cliquez sur Suivant une fois le processus de gravure du CD ou du DVD termin. 5. Linstallation de Windows Vista 8. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers. 9. Dplacez le CD ou le DVD vers le nouvel ordinateur et lancez lAssistant Migration de PC. Cliquez sur Suivant. 10. Cliquez sur Continuer un transfert en cours. 11. Dans O avez-vous copi vos fichiers ?, cliquez sur Lire le CD ou le DVD. 12. Dans Choisissez votre support, slectionnez la lettre dunit du lecteur de CD ou de DVD ou se trouve le disque. Cliquez sur Suivant une fois que vous avez localis les fichiers. 13. Choisissez, sur le nouvel ordinateur, des noms dutilisateurs qui correspondent ceux de lancien ordinateur. Vous pouvez tre amen crer de nouveaux comptes lors de cette tape. Tapez un nom dutilisateur afin de crer un compte sur lordinateur local. 14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, slectionnez le lecteur de destination pour chaque emplacement du lecteur source. Par exemple, pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez indiquer vers quel lecteur ils doivent tre dplacs sur le nouvel ordinateur. 15. Examinez la liste des fichiers et paramtres transfrer, puis cliquez sur Dmarrer pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou supprimer des fichiers ou des paramtres. 16. Cliquez sur Fermer une fois que lAssistant Migration de PC a termin la copie des fichiers.
166
5.5.
Tout au long de ce chapitre, nous avons vu comment faire cohabiter Windows XP et Windows Vista. Nous avons vu galement comment transfrer nos donnes dun poste utilisateur Windows XP vers un nouvel ordinateur quip de Windows Vista. Nous allons voir prsent comment mettre son ancien ordinateur niveau vers Windows Vista. Bien que cette opration semble simple, il est quand mme ncessaire deffectuer quelques vrifications dusage telles que la version vers laquelle lon souhaite migrer ou encore la compatibilit du matriel. Il ne faut pas oublier galement de vrifier les prrequis dinstallation et raliser une sauvegarde. Et pour terminer ce tour dhorizon, vous devez bien comprendre ce quil se passe durant la migration. Pour atteindre notre objectif, nous allons devoir raliser les tapes suivantes :
j j j j j j
la vrification de la compatibilit de lordinateur avec Windows Vista ; linstallation du Conseiller de mise niveau Windows Vista ; linstallation du Framework .NET 2.0 ; linstallation de MSXML ; la sauvegarde des donnes existantes ; linstallation de Windows Vista. 5. Linstallation de Windows Vista
la mise jour de Windows Vista avec le numro de srie ; un disque dur ou un DVD pour la sauvegarde des donnes ; un espace disque libre dau moins 12 Go pour la mise niveau.
167
Chapitre 5
Ncessite une nouvelle installation Ncessite une nouvelle installation Ncessite une nouvelle installation Ncessite une nouvelle installation
Mise niveau possible sur la version existante Mise niveau possible sur la version existante Ncessite une nouvelle installation Ncessite une nouvelle installation
Mise niveau possible sur la version existante Mise niveau possible sur la version existante Ncessite une nouvelle installation Ncessite une nouvelle installation
Windows XP Ncessite une Professionnel x64 nouvelle installation Windows 2000 Ncessite une nouvelle installation
Une fois lanalyse du tableau ralise, il est ncessaire deffectuer quelques tches prliminaires comme valuer la configuration requise ou encore valider la version vers laquelle vous souhaitez mettre lordinateur jour. Pour cela, Microsoft propose un outil. Deuxime tape importante : la sauvegarde des donnes. Cest seulement aprs avoir ralis les deux tapes prliminaires que vous pourrez passer ltape 3 qui consiste mettre niveau un ordinateur possdant dj un systme dexploitation vers Windows Vista.
un CPU dau moins 800 MHz ; 512 Mo de mmoire ; une carte graphique DirectX 9 ; un disque de 20 Go, avec 15 Go despace libre.
168
j j
Une fois le Framework tlcharg, il vous faut procder linstallation en respectant les tapes suivantes : 1. Cliquez une premire fois sur le fichier tlcharg et, son ouverture, cliquez sur Excuter. 2. Une fois le Framework dcompress, lassistant dinstallation se lance. Dans la fentre Bienvenue dans le programme dinstallation de Microsoft .NET Framework2.0, cliquez sur Suivant. 3. Dans la fentre Contrat de Licence Utilisateur Final, acceptez les termes du contrat de licence en cochant la case Jaccepte les termes du contrat de licence et cliquez sur Installer. 4. Linstallation peut prendre quelques minutes. Dans la fentre Installation termine, cliquez sur Terminer.
169
Chapitre 5
Installer MSXML
Le deuxime prrequis pour lutilisation de loutil Upgrade Advisor est MSXML. Tlchargement de MSXML
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=993c0bcf-3bcf -4009-be21-27e85e1857b1
Une fois MSXML tlcharg, procdez linstallation en respectant les tapes suivantes : 1. Cliquez une premire fois sur le fichier tlcharg. louverture, cliquez sur Suivant. 2. Dans la fentre Contrat de licence, cochez la case Jaccepte les termes du contrat de licence et cliquez sur Suivant. 3. Dans la fentre Information, remplissez ou modifier les champs Nom et Socit, puis cliquez sur Suivant. 4. Cliquez sur Installer dans la fentre Prt installer le programme pour lancer linstallation. 5. Pour finir linstallation, cliquez sur Terminer.
Sur le site, cliquez sur le lien Tlchargez le Conseiller de mise niveau Windows Vista pour que le tlchargement se lance. Windows Vista Upgrade Advisor ne fonctionne quavec Windows XP. Il nest pas possible de le faire fonctionner avec Windows 98 ou Windows 2000. Pour linstaller, procdez ainsi : 1. Lancez lexcutable WindowsVistaUpgradeAdvisor. Une fentre davertissement de scurit souvre, cliquez sur Excuter.
170
Figure 5.32 : La fentre davertissement de scurit de linstallation du Conseiller de mise niveau Windows Vista
2. Dans la fentre Assistant Installation du Conseiller de mise niveau Windows Vista, cliquez sur Suivant pour continuer.
Figure 5.33 : La fentre de lassistant dinstallation
3. Dans la fentre Contrat de licence, cliquez sur Jaccepte pour valider les termes de licence et cliquez sur Suivant (voir fig. 5.34). 4. Dans la fentre Slection du dossier dinstallation, gardez le rpertoire par dfaut et cliquez sur Suivant. Si vous souhaitez modifier le chemin dinstallation, cliquez sur Parcourir, slectionnez le nouveau chemin et cliquez sur Suivant (voir fig. 5.35).
171
Chapitre 5
5. Lassistant dinstallation vous propose de crer un raccourci sur votre Bureau en slectionnant par dfaut loption Crer un raccourci sur le bureau. Si vous ne souhaitez pas voir de raccourci, cliquez sur Ne pas crer de raccourci sur le bureau, puis cliquez sur Suivant pour continuer.
172
Chapitre 5
prsent, vous allez utiliser le Conseiller de mise niveau Windows Vista au travers de plusieurs tapes. 1. Pour lancer le programme, cliquez sur le menu Dmarrer/Tous les programmes/ Conseiller de mise niveau Windows Vista ou cliquez tout simplement sur le raccourci si vous avez slectionn loption durant linstallation.
Figure 5.38 : Le raccourci du Conseiller de mise niveau Windows Vista sur le Bureau
2. Dmarrez lanalyse de votre ordinateur en cliquant sur Dmarrer lanalyse. Cette analyse peut tre ralise partir de Windows XP bien videmment, mais galement depuis un ordinateur qui possde une version de Windows Vista que vous souhaitez faire voluer vers une version plus labore.
174
Le Conseiller de mise niveau Windows Vista se connecte Internet pour actualiser sa base. Ensuite, il commence analyser votre ordinateur en fonction de quatre dclinaisons de Windows Vista : Intgrale, Familial Premium, Professionnel et Familial Basic. Une fois lanalyse termine, le programme affiche la version de Windows Vista la mieux adapte votre ordinateur ainsi que trois rapports dtaills.
Chaque rapport dtaill prsent des recommandations propres sa partie. Le premier rapport reprsente le systme. Dans chaque rapport, un certain nombre dactions sont donnes avec les explications qui les accompagnent.
175
Chapitre 5
Le deuxime rapport reprsente les priphriques. Ce rapport se dcompose en trois parties son tour.
j
La partie Configuration requise correspond en quelque sorte aux problmes passer en revue.
176
La partie Priphriques correspond la liste de priphriques pour lesquels le programme na pas trouv dinformations. Cependant, lutilitaire se met rgulirement jour sur la base de donnes qui elle-mme est rgulirement actualise.
177
Chapitre 5
La partie Programmes correspond aux programmes qui sont conformes Windows Vista, cest--dire qui nont pas besoin daction.
Configuration requise Les PC qui ne satisfont pas la configuration matrielle pour le processeur, la mmoire et la carte vido peuvent tout de mme excuter Windows Vista, mais ils nen offriront peut-tre pas toutes les fonctionnalits et tous les avantages. Par 178
exemple, les PC avec des cartes graphiques qui ne prennent pas en charge WDDM offriront simplement un graphisme comparable celui de Windows XP avec les bnfices des fonctionnalits, de la stabilit et des performances ainsi que lamlioration de la scurit.
lutilisation de Windows Backup ou tout autre logiciel de sauvegarde ; 5. Linstallation de Windows Vista la copie des donnes importantes dans un point de partage sur le rseau ; la gravure des donnes sur un CD ou un DVD ; la sauvegarde sur un disque dur externe.
Vous allez ici utiliser Windows Backup : 1. Pour lancer lutilitaire de sauvegarde, cliquez sur Dmarrer/Tous les programmes/ Accessoires/Outils systme/Utilitaire de sauvegarde. 2. Dans la fentre Assistant de sauvegarde et restauration, cliquez sur Suivant. 3. La fentre suivante vous propose de sauvegarder ou de restaurer des donnes au travers des options. Slectionnez Sauvegarder les fichiers et les paramtres. Cliquez sur Suivant. Vous avez le choix deffectuer quatre types de sauvegarde :
j j j
Loption Mes documents et paramtres inclut le dossier Mes documents, les favoris, votre Bureau et vos cookies. Loption Les paramtres et les documents de tout le monde consiste sauvegarder les paramtres et les documents de tous les utilisateurs. Loption Toutes les informations sur cet ordinateur permet de sauvegarder toutes les informations sur lordinateur. Elle inclut toutes les donnes de lordinateur et cre un disque de rcupration du systme qui permettra de restaurer Windows en cas de problme majeur.
179
Chapitre 5
Loption Me laisser choisir les fichiers sauvegarder vous laisse le choix des informations que vous souhaitez sauvegarder. 4. Slectionnez la quatrime option et cliquez sur Suivant. 5. Slectionnez dans la fentre lments sauvegarder lensemble des lments que vous souhaitez sauvegarder. Une fois votre slection ralise, cliquez sur Suivant. 6. Donnez un nom et une destination pour les stocker. Dans la fentre Type, nom et destination de la sauvegarde, il est possible de sauvegarder vos donnes sur une cl USB, voire sur un disque dur amovible. Nommez la sauvegarde, par exemple Sauvegarde avant Vista. Cliquez sur Suivant. 7. Pour mettre fin lassistant de sauvegarde, cliquez sur Fin.
Une fois la sauvegarde termine, il vous est possible de consulter le rapport de sauvegarde pour vrifier quil ny a pas eu derreur :
tat de la sauvegarde Opration : sauvegarde Destination de sauvegarde active : Fichier Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Sauvegarde (par clichs instantans) de "C: " Jeu de sauvegardes n 1 sur le mdia n 1 Description de la sauvegarde : "Jeu cr le 29/08/2007 00:02" Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Type de sauvegarde : Normale Sauvegarde commence le 29/08/2007 00:03. Sauvegarde termine le 29/08/2007 00:05. Rpertoires : 280 Fichiers : 440 Octets : 222 557 106 Dure : 1 minute et 23 secondes Sauvegarde (par clichs instantans) de "E: DATA" Jeu de sauvegardes n 2 sur le mdia n 1 Description de la sauvegarde : "Jeu cr le 29/08/2007 00:02" Nom du mdia : "sauvegarde avant installation de Vista.bkf cr le 29/08/2007 00:02" Type de sauvegarde : Normale Sauvegarde commence le 29/08/2007 00:05. Sauvegarde termine le 29/08/2007 00:07. Rpertoires : 93 Fichiers : 1474 Octets : 554 711 280 Dure : 2 minutes et 11 secondes
5.6.
La procdure de mise jour vers Windows Vista suppose que vous excutiez dj une version antrieure de Windows sur votre ordinateur. Les mises niveau sont prises en charge pour les versions suivantes de Windows :
j j j
Dans notre cas, la mise jour va seffectuer depuis Windows XP. Impratif Pour pouvoir mettre votre ordinateur niveau vers Windows Vista, il vous faut plus de 11 Go despace disponible. Autrement, loption de mise niveau restera grise. En cas de problme dinstallation, il se peut que lordinateur se fige et que vous deviez redmarrer lordinateur. Dans ce cas, une bote de dialogue souvre en vous indiquant que linstallation a t arrte de faon inattendue. Or, celle-ci aura consomm de lespace disque, et il se peut quil ne vous soit plus possible de mettre niveau la machine vers Vista cause dun manque despace disponible et que vous ne puissiez plus utiliser votre ancienne version de Windows. La parade est de redmarrer depuis le DVD dinstallation en mode de rparation, dutiliser lutilitaire en ligne de commandes et de supprimer les fichiers temporaires de linstallation, puis de rpter ltape dinstallation. Pour mettre votre ordinateur jour vers Windows Vista, suivez ces tapes : 1. Dmarrez le programme dinstallation de Windows Vista en insrant le DVD, puis en cliquant sur Installer. Si le programme dexcution automatique nouvre pas la fentre dinstallation de Windows, accdez au dossier racine du DVD et double-cliquez sur setup.exe. 2. Cliquez sur Suivant afin de lancer le processus dinstallation. 3. Cliquez sur Rechercher les dernires mises jour en ligne (recommand) afin de rechercher les dernires mises jour importantes pour Windows Vista. Cette tape est facultative. Si vous choisissez de ne pas rechercher les mises jour au cours de linstallation, cliquez sur Ne pas rechercher les dernires mises jour. 4. Dans la partie Cl du produit, tapez le numro de srie du produit. Il est compos de 25 caractres alphanumriques. Cliquez sur Suivant pour continuer. 5. Windows Vista ne droge pas la rgle : lisez et acceptez les termes du contrat de licence. Slectionnez Jaccepte les termes du contrat de licence (indispensable pour
Chapitre 5
Windows), puis cliquez sur Suivant. Si vous ne validez pas cette option, vous serez oblig de mettre fin au programme dinstallation de Windows Vista. 6. Dans la fentre Quel type dinstallation voulez effectuer ?, cliquez sur Mettre niveau pour procder la mise jour de votre installation existante de Windows. Le programme dinstallation de Windows Vista se poursuit jusqu la fin sans autre interaction de la part de lutilisateur. la fin de la mise niveau, les partitions, les partages et les paramtres de lancienne version nont pas boug. prsent, il ne vous reste plus qu restaurer vos anciennes donnes. Pour cela, vous devez lancer lutilitaire de sauvegarde et choisir loption Restauration de donnes. Suivez les instructions de restauration comme ltape Sauvegarder des donnes de ce chapitre. Journaux dinstallation Les fichiers journaux suivants sont crs lorsquune mise niveau russit :
j j j j j j j
5.7.
Bien que ce soit vraiment trs rare, il arrive parfois que la mise niveau vers Windows Vista ne se droule pas pour le mieux. Quelques informations sont mises votre disposition durant la migration pour vous permettre de mieux comprendre ce quil se passe. Les fichiers journaux suivants sont crs en cas dchec dune mise niveau pendant linstallation et avant que lordinateur redmarre pour la seconde fois :
j j j
182
Les fichiers journaux suivants sont crs en cas dchec dune mise niveau pendant linstallation et aprs que lordinateur redmarre pour la seconde fois :
j j j j j j j
Les fichiers journaux suivants sont crs en cas dchec dune mise niveau, lors de la restauration du bureau :
j j j j j
Lorsque vous tentez deffectuer une mise niveau vers Windows Vista, il se peut que loption Mettre niveau situe dans la bote de dialogue Installer Windows ne soit pas disponible. Pour tenter de rsoudre ce problme, Microsoft met votre disposition un ensemble de fiches techniques disponibles sur le site de support
j
927295 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Windows ne peut pas dterminer si un autre systme dexploitation existe sur lordinateur." 927296 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Il existe plusieurs systmes dexploitation sur votre partition de mise niveau." 927297 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "Vous devez renommer ou supprimer <NomDossier> pour que la mise niveau puisse continuer." 926069 : vous ne pouvez pas slectionner loption de mise niveau lorsque vous essayez dinstaller Windows Vista, et vous obtenez le message suivant : "La mise niveau a t dsactive." 927688 : lorsque vous tentez dinstaller Windows Vista, loption de mise niveau nest pas disponible, et un message derreur spcifique au matriel install sur votre ordinateur saffiche.
183
Chapitre 5
j j
928432 : loption de mise niveau nest pas disponible lors du dmarrage de lordinateur laide du DVD Windows Vista. 932004 : message derreur lorsque vous essayez de mettre niveau un ordinateur Windows XP vers Windows Vista : "Le systme dexploitation existant ne remplit pas les conditions logicielles requises : Service Pack 2 pour Windows XP." 932005 : loption de mise niveau nest pas disponible pour Windows Vista, et le message derreur suivant peut safficher : "Vous ne pouvez pas mettre niveau Windows en mode sans chec." 932006 : message derreur lorsque vous essayez de mettre niveau un ordinateur vers Windows Vista :"Impossible de dmarrer la mise niveau car la langue de Windows installe est diffrente de celle de ce disque." 932007 : message derreur lorsque vous essayez de mettre niveau un ordinateur vers Windows Vista : "Le systme dexploitation install ne prend pas en charge la mise jour vers Windows Vista." 932009 : message derreur lorsque vous essayez dinstaller Windows Vista partir du support dinstallation Windows Vista. Vous recevez le message : "La mise niveau a t dsactive Pour la mise niveau, dmarrez linstallation partir de Windows."
5.8.
En rsum
Vous avez dcouvert linstallation dtaille de Windows Vista partir dun mdia ou dune mise jour. Vous avez appris transfrer votre profil et vos donnes partir de votre ancien poste Windows XP.
184
Chapitre 6
s prsent, les dploiements venir partir des infrastructures Active Directory Windows Server 2003 vont concerner le dploiement de Windows Vista. En deux chapitres, vous allez entrer dans le dtail du dploiement de Windows Vista, dabord dans la prparation la cration dune image, puis dans la cration et lapplication proprement dites. Puisque Windows Vista est le dernier-n des systmes dexploitation clients de Microsoft, regardons de plus prs son processus dinstallation et les outils de prparation un dploiement dentreprise.
6.1.
Termin les modes textes et les modes graphiques de linstallation de Windows, comme avec Windows XP, termin le rpertoire I386, termin la commande winnt32.exe : un tout nouveau processus dinstallation de Windows fait son apparition avec Windows Vista, fond sur une image systme. Il est important de bien comprendre le mcanisme de ce nouveau processus pour bien comprendre les outils de dploiement qui en dcoule.
187
Chapitre 6
Mettez un DVD de Windows Vista dans votre lecteur et redmarrez. Linstallation de Windows Vista se lance. Sous les aspects simples de cette installation se cachent une technologie avance et un nouveau processus dinstallation. Linstallation de Windows correspond au programme qui installe Windows ou procde aux mises niveau dune installation de Windows existante. Linstallation de Windows constitue aussi la base des mthodes dinstallation et de mise niveau. Il existe trois mthodes dinstallation de Windows
j j j
Linstallation interactive : elle consiste tre devant lordinateur et rpondre aux quelques questions poses. Linstallation en mode sans assistance : comme son nom lindique, elle consiste en une installation totalement automatise et matrise. WDS : cest le service de dploiement Windows. Il consiste en lautomatisation de linstallation et du dploiement en masse de Windows Vista.
Vous comprenez tout de suite que vous allez tendre le plus possible vers une installation et un dploiement le plus automatis possible car votre temps dadministrateur est prcieux et quil est plus utile des tches plus forte valeur ajoute. Il existe deux types dinstallation :
j
Linstallation de Windows peut effectuer une installation propre, cest linstallation classique qui se fait sur un disque dur vierge ou qui sauvegarde votre installation de
188
Windows prcdente mais neffectue pas de migration de vos paramtres. Linstallation de Windows prcdente ne dmarre alors pas aprs une installation propre.
j
Linstallation de Windows peut effectuer une installation qui conserve vos paramtres et prfrences tout en mettant niveau votre systme dexploitation. Cest la mise jour de Windows.
Lors du programme dinstallation, vous le savez, Windows dmarre et redmarre lordinateur, regroupe des informations, copie des fichiers et cre ou rgle des paramtres de configuration. Linstallation de Windows Vista est identique en ce qui concerne la copie et la configuration de fichiers mais est diffrente au sens o elle se droule par phases (ou passes).
Tableau 6.1 : Phases dinstallation globales de Windows Vista Phase dinstallation de Windows Windows PE Actions dinstallation Spcification des configurations de linstallation de Windows laide des botes de dialogue dinstallation de Windows (interactive) ou dun fichier de rponses (mode sans assistance). Les configurations dinstallation de Windows incluent lajout dune cl de produit et la configuration dun disque. Application des paramtres de fichier de rponses dans ltape de configuration WindowsPE. Configuration du disque. Copie de limage systme Windows vers le disque. Prparation des informations dinitialisation. Traitement des paramtres de fichier de rponses dans ltape de configuration OfflineServicing. Cration des configurations spcifiques, en rendant linstallation de Windows unique. Application des paramtres de fichier de rponses dans ltape de configuration OobeSystem. Application des paramtres de fichier de contenu partir du fichier Oobe.xml. Dmarrage de lAccueil Windows.
Le mode personnalis, galement appel OOBE (Out-Of-Box Experience), reprsente la premire exprience de lutilisateur et permet aux utilisateurs finaux 189
Chapitre 6
de personnaliser leur installation Windows. Les utilisateurs finaux peuvent crer des comptes dutilisateur, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par dfaut, toutes les installations Windows dmarrent dabord en mode personnalis, avec laccueil Windows. Cest le mode classique que vous connaissez.
j
Le mode Audit, lui, est utilis par les fabricants dordinateurs et les entreprises afin dajouter des personnalisations leurs images Windows. Le mode Audit ne ncessite pas lapplication de paramtres dans lAccueil Windows. En ignorant laccueil Windows, vous pouvez accder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de priphrique supplmentaires, installer des applications et tester la validit de linstallation.
La personnalisation Oobe.xml
En plus du fichier de rponses de linstallation en mode sans assistance, vous pouvez utiliser le fichier de contenu Oobe.xml pour configurer ce quaperoit un utilisateur lors du premier dmarrage de Windows. Les paramtres dun fichier de contenu Oobe.xml sont appliqus aprs ltape de configuration OobeSystem, avant le dmarrage de lAccueil de Windows. Oobe.xml est un fichier qui sert collecter du texte et des images supplmentaires pour la personnalisation de lAccueil Windows. Si vous crez une image systme Windows unique comprenant plusieurs langues et pouvant tre livre dans plusieurs pays, vous pouvez ajouter diffrents fichiers Oobe.xml afin de personnaliser le contenu en fonction des slections de langue et de pays de lutilisateur final.
190
Ltat de limage systme Windows est stock deux emplacements, dans le Registre et dans un fichier. Dans le Registre, la cl associe est :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\State TYPE : REG_SZ VALEUR : Nomtat
Le tableau suivant dcrit les diffrentes valeurs existantes que peuvent prendre la cl de Registre ou le champ de fichier associ ltat de linstallation :
Tableau 6.2 : Valeurs de ltat dinstallation de limage systme Windows
Nom dtat IMAGE_STATE_COMPLETE Description Limage a t correctement installe. Les passes Specialize et OobeSystem sont termines. Cette image ne peut tre dploye vers un autre matriel car elle dpend maintenant du matriel. Il sagit de ltat par dfaut dune image dans une phase spcifique de linstallation de Windows qui nest pas encore acheve. Si un processus interroge la valeur dIMAGE_STATE et quIMG_UNDEPLOYABLE est renvoy, limage se trouve dans lun des tats suivants : Le programme dinstallation est en cours dexcution et na pas encore entirement achev la phase. Une fois quune phase spcifique est termine, IMAGE_STATE est dfini par une valeur dachvement approprie.
IMAGE_STATE _UNDEPLOYABLE
191
Chapitre 6
Nom dtat
Description Si une demande est effectue en ligne alors que le programme dinstallation nest pas en cours dexcution, une erreur sest produite lors de lachvement de la phase dinstallation. Cette image doit tre rinstalle. Si une demande est effectue hors connexion, limage na pas termin une phase et ne pourra jamais tre dploye.
Limage a correctement achev la passe Generalize et continue avec OobeSystem une fois le programme dinstallation dmarr. Limage a correctement achev la passe Generalize et continue avec le mode Audit une fois le programme dinstallation dmarr. Limage a correctement achev la passe Specialize et continue avec OobeSystem une fois le programme dinstallation dmarr. Limage a correctement achev la passe Specialize et continue avec le mode Audit une fois le programme dinstallation dmarr.
Si vous souhaitez contrler par la suite une installation de Windows Vista, vous pouvez utiliser ces deux procds
j
Cliquez sur le logo Windows de dmarrage, tapez cmd et validez pour ouvrir lInvite de commandes, puis tapez la ligne reg query HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Setup\State /v ImageState.
Cliquez sur le logo Windows de dmarrage, tapez cmd et validez pour ouvrir lInvite de commandes, puis tapez type %windir%\Setup\State\State.ini.
192
Linstallation de Windows journalise galement toutes les actions dinstallation fondes sur limage. Servez-vous de cette multitude de fichiers en cas de problmes.
Tableau 6.3 : Les diffrents journaux dtat dinstallation de Windows Vista Emplacement du fichier journal $windows.~bt\sources \panther $windows.~bt\sources \rollback %WINDIR%\panther %WINDIR%\inf\setupapi* .log %WINDIR%\memory.dmp %WINDIR%\minidump\* .dmp %WINDIR%\system32 \sysprep\panther Description Consigne lemplacement dans un journal avant que le programme dinstallation puisse accder au lecteur Consigne lemplacement lorsque linstallation revient un vnement lorigine dune erreur fatale Consigne lemplacement dactions dinstallation aprs une configuration de disque Sert consigner des installations de priphrique Plug and Play dans un journal Emplacement du vidage de la mmoire partir de vrifications de bugs Emplacement des "mini-vidages" de journal partir de vrifications de bogues Emplacement de journaux Sysprep
193
Chapitre 6
SETUP
Configure et excute une installation de Windows Vista.
Syntaxe :
setup.exe [/1394debug:canal [baudrate:DbitEnBauds]] [/debug:canal [baudrate:DbitEnBauds]] [/dudisable] [/emsport: {com1 | com2 | usebiossettings | off} [/emsbaudrate:DbitEnBauds]] [/m:nom_dossier] [/noreboot] [/tempdrive:lettre_lecteur] [/unattend:fichier_rponses] [/usbdebug:nomhte]
[/1394debug: canal [baudrate: DbitEnBauds]] Permet le dbogage du noyau via un port IEEE 1394 (firewire) pendant lexcution de Windows et au cours de ltape de configuration WindowsPE de linstallation de Windows. Canal de dbogage. La valeur par dfaut du canal est 1. [baudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. baudrate peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /1394debug:1 /baudrate:115200. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 [/debug:canal [baudrate:Dbit EnBauds]]
Permet le dbogage du noyau via un port de communications (COM) pendant lexcution de Windows et au cours de ltape de configuration WindowsPE de linstallation de Windows. Canal de dbogage. La valeur par dfaut du canal est 1. [baudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. baudrate peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /debug:1 /baudrate:115200. Dsactive la mise jour dynamique de Windows au cours de son installation. Seuls des fichiers dinstallation de Windows dorigine sont utiliss pour installer Windows. Cette option dsactive des mises jour dynamiques mme si loption DynamicUpdate est spcifie dans un fichier de rponses dinstallation de Windows en mode sans assistance. Par exemple : setup.exe /dudisable.
[/dudisable]
194
Active ou dsactive les services de gestion durgence (EMS, Emergency Management Services) pendant linstallation de Windows et une fois le systme dexploitation serveur install. Les arguments suivants servent spcifier le comportement des services de gestion durgence au cours de linstallation de Windows : com1 autorise les services de gestion durgence via COM1. Pris en charge pour les systmes x86 uniquement. com2 autorise les services de gestion durgence via COM2. Pris en charge pour les systmes x86 uniquement. usebiossettings utilise les paramtres spcifis dans le BIOS. Pour les systmes x86, la valeur du tableau SPCR (Serial Port Console Redirection) est utilise. Pour les systmes fonds sur Itanium, linterface EFI (Extensible Firmware Interface) est utilise. Si aucun tableau SPCR ou chemin de priphrique de console dinterface EFI nest spcifi dans le BIOS, usebiossettings est dsactiv. off (dsactiv) dsactive les services EMS. Si vous dsactivez les services EMS dans linstallation de Windows, vous pouvez les activer ultrieurement en modifiant les paramtres de dmarrage. [/emsbaudrate:DbitEnBauds] spcifie le dbit en bauds utiliser lors du transfert de donnes au cours du dbogage. La valeur par dfaut est 19200. Le dbit en bauds peut aussi possder la valeur 115200 ou 57600. Par exemple : setup.exe /emsport:COM1 /emsbaudrate: 115200. Spcifie au programme dinstallation de copier des fichiers de remplacement partir dun autre emplacement. Cette option demande au programme dinstallation de rechercher dabord des fichiers dans lautre emplacement et, si des fichiers sont prsents, de les utiliser la place des fichiers qui se trouvent lemplacement par dfaut. nom_dossier nom et emplacement du dossier contenant les fichiers de remplacement. nom_dossier peut correspondre nimporte quel emplacement de lecteur local. Les chemins UNC ne sont pas pris en charge. Vous devez savoir o les fichiers seront installs dans linstallation de Windows. Tous les fichiers supplmentaires doivent tre copis vers un dossier $OEM$ dans votre source dinstallation ou dans nom_dossier. La structure $OEM$ fournit une reprsentation du disque dinstallation de destination. Par exemple : $OEM$\$1 effectue un mappage vers
[/m:nom _dossier]
195
Chapitre 6
%SYSTEMDRIVE% comme le lecteur C. $OEM$\$$ effectue un mappage vers %WINDIR% comme C:\Windows\. $OEM$\$progs effectue un mappage vers le rpertoire Program files. $OEM$\$docs effectue un mappage vers le dossier Utilisateurs. [/noreboot] Demande linstallation de Windows de ne pas redmarrer lordinateur aprs lachvement de la phase de niveau infrieur de linstallation de Windows. Loption /noreboot vous permet dexcuter des commandes supplmentaires avant le redmarrage de Windows Vista. Cela supprime uniquement le premier redmarrage. Les redmarrages suivants, le cas chant, ne sont pas supprims. Par exemple : setup.exe /noreboot. Indique linstallation de Windows de placer les fichiers dinstallation temporaires sur la partition spcifie. Sil sagit dune mise niveau, loption /tempdrive affecte lemplacement des fichiers temporaires uniquement ; le systme dexploitation est mis niveau dans la partition partir de laquelle vous avez excut le ficher Setup.exe. lettre_lecteur est la partition o copier les fichiers dinstallation pendant linstallation de Windows. Par exemple : setup.exe /tempdrive:H.
[/tempdrive: lettre_lecteur]
Active le mode dinstallation de Windows sans assistance. Vous pouvez galement spcifier une valeur pour fichier_rponses. Si vous spcifiez une valeur pour fichier_rponses, linstallation de Windows applique les valeurs dans le fichier de rponses au cours de linstallation. Si vous ne spcifiez pas de valeur pour fichier_rponses, linstallation de Windows met niveau votre version existante de Windows. Tous les paramtres proviennent de linstallation prcdente, lintervention de lutilisateur est donc minimale. fichier_rponses est le chemin daccs et nom du fichier de rponses de linstallation de Windows en mode sans assistance. Les chemins daccs un fichier de rponses peuvent tre un chemin local ou un chemin UNC. Par exemple : setup.exe /unattend:\\SRVDC01 \partage\unattend.xml.
196
[/usbdebug: nomhte]
Dfinit le dbogage sur un port USB. Les donnes de dbogage entrent en vigueur lors du redmarrage suivant. nomhte est le nom de lordinateur dboguer. Par exemple : setup.exe /usbdebug:CVIDK01.
Utilisez Setup.exe pour configurer votre propre mthode dinstallation ou pour crer un script dinstallation.
Chapitre 6
Le programme dinstallation de Windows applique les fichiers rponses, au choix, en spcifiant explicitement un fichier de rponses ou en le recherchant implicitement :
j
rponses permet de configurer linstallation Windows. Des redmarrages tant ncessaires dans le cadre de linstallation, une copie de ce fichier de rponses est place en mmoire cache sur le systme.
j
Si vous ne spcifiez pas de fichier de rponses, le programme dinstallation de Windows recherche ce dernier dans divers emplacements. Il recherche un fichier de rponses prcdemment plac en mmoire cache, un fichier de rponses stock sur la racine dun lecteur, ainsi que dautres emplacements. Le programme dinstallation de Windows recherche un fichier de rponses au dmarrage de chaque tape de configuration. Lorsquil recherche un fichier de rponses, le programme dinstallation de Windows applique un ordre dtermin. Si un fichier de rponses est dtect dans lun des emplacements valides, il doit inclure des paramtres valides associs ltape de configuration en cours. Si le fichier de rponses dtect ne comprend pas de paramtre associ ltape de configuration spcifie en cours dexcution, il nest pas pris en compte. Nom des fichiers de rponses Seuls les fichiers de rponses nomms Unattend.xml sont utiliss. Cependant, parce que certains fichiers de rponses comprennent des actions destructives telles que le partitionnement de disque, vous devez attribuer votre fichier Unattend.xml le nom Autounattend.xml lors des tapes de configuration WindowsPE et OfflineServicing. Ces actions sexcutent lorsque vous excutez pour la premire fois WindowsPE ou Setup.exe. Vous devez utiliser le fichier avec le nom Autounattend.xml lorsque vous tes dans le scnario o vous souhaitez automatiser linstallation de Windows Vista partir du DVD Vista tout en rajoutant le fichier de rponses stock sur une cl USB.
Le programme dinstallation de Windows identifie tous les fichiers de rponses disponibles en fonction de lordre de recherche. Il utilise le fichier de rponses dont la priorit est la plus leve. Ce fichier est valid, puis plac en mmoire cache sur lordinateur. Les fichiers de rponses valides sont placs en mmoire cache dans le rpertoire $Windows.~BT\Sources\Panther lors des tapes de configuration WindowsPE et OfflineServicing. Une fois linstallation de Windows extraite sur le disque dur, le fichier de rponses est plac en mmoire cache dans %WINDIR%\panther.
Tableau 6.4 : Ordre de recherche et emplacements du fichier de rponses
Ordre de recherche 1 Emplacement Dans le Registre : HKLM\System\Setup\UnattendFile Description Spcifie dans le Registre un pointeur vers un fichier de rponses. Le fichier de rponses peut ne pas sappeler Unattend.xml.
198
Ordre de recherche 2 3
Description Le fichier de rponses doit tre nomm Unattend.xml ou Autounattend.xml. Le programme dinstallation de Windows place en mmoire cache les fichiers de rponses dans cet emplacement.
Mdia amovible (cl USB, etc.), en fonction de Le nom du fichier de rponses doit lordre de la lettre qui identifie le lecteur correspondre Unattend.xml ou Autounattend.xml, et le fichier de rponses doit rsider sur la racine du lecteur. Mdia amovible en lecture seule, en fonction de lordre de la lettre qui identifie le lecteur Le nom du fichier de rponses doit correspondre Unattend.xml ou Autounattend.xml, et il doit rsider sur la racine du lecteur. Lors des passes de configuration WindowsPE et OfflineServicing, le nom du fichier de rponses doit correspondre Autounattend.xml. Pour toutes les autres passes de configuration, le nom du fichier de rponses doit correspondre Unattend.xml. Le nom du fichier de rponses doit correspondre Unattend.xml ou Autounattend.xml.
Rpertoire \sources lors des passes de configuration WindowsPE et OfflineServicing Rpertoire %WINDIR%\system32\sysprep lors des autres passes de configuration
%SYSTEMDRIVE%
Si vous avez intgr des donnes sensibles dans les fichiers de rponses, le programme dinstallation les supprime la fin de ltape de configuration en cours. Cependant, si un fichier de rponses est incorpor un emplacement dont la priorit est plus leve que celle du fichier de rponses mis en cache, alors la rponse en cache peut tre remplace au dbut de chaque tape de configuration suivante si le fichier de rponses incorpor rpond aux critres de recherche. Si, par exemple, le fichier de rponses est incorpor %WINDIR%\panther\unattend\unattend.xml, le fichier de rponses incorpor remplace alors le fichier de rponses mis en cache au dbut de chaque tape de configuration. Si, par exemple, le fichier de rponses incorpor spcifie les deux passes Specialize et OobeSystem, alors le fichier de rponses incorpor est dcouvert pour la passe Specialize, mis en cache, trait et les donnes sensibles sont effaces. Le fichier de rponses incorpor est nouveau dcouvert au cours de la passe OobeSystem et mis nouveau en cache. Par consquent, les donnes sensibles de la passe Specialize ne sont plus effaces. Les donnes sensibles pour les tapes prcdemment traites ne seront pas nouveau effaces. Il vous faut donc incorporer les fichiers un emplacement avec une priorit infrieure.
Aprs le traitement dune passe de configuration, linstallation de Windows Vista marque le fichier de rponses mis en cache pour indiquer que ltape a t traite. Si la passe de configuration est nouveau entre et que le fichier de rponses mis en cache na pas t remplac ni mis jour entre-temps, les paramtres du fichier de rponses ne sont pas traits une seconde fois. Vous pouvez, par exemple, installer Windows avec un fichier de rponses qui contient les commandes RunSynchronous dans ltape Specialize. Au cours de linstallation, la passe Specialize sexcute et les commandes RunSynchronous sexcutent. Aprs linstallation, excutez la commande sysprep /generalize. Sil nexiste aucun fichier de rponses avec une priorit plus leve que celle du fichier de rponses mis en cache, le programme dinstallation excute la passe Specialize lors du prochain dmarrage de lordinateur. Puisque le fichier de rponses mis en cache contient une marque selon laquelle les paramtres de cette passe ont dj t appliqus, les commandes RunSynchronous ne sexcutent pas.
1. Installez Windows laide dun fichier de rponses en effectuant les procdures dcrites dans le cas de figure prcdent. Le fichier de rponses utilis pour installer Windows est plac en mmoire cache sur le systme dans le rpertoire %WINDIR%\panther. 2. Copiez un fichier Unattend.xml dans le rpertoire %WINDIR%\system32\sysprep. Ce fichier de rponses contient des paramtres associs la passe de configuration Generalize. 3. Excutez la commande sysprep /generalize pour crer une image de rfrence. Comme le rpertoire %WINDIR%\system32\sysprep figure dans les chemins de recherche, le fichier de rponses copi dans ce rpertoire est dtect. Cependant, le fichier de rponses utilis pour installer Windows demeure en mmoire cache sur lordinateur et contient des paramtres associs la passe de configuration Generalize. La priorit de ce fichier de rponses est plus leve que celle du fichier copi dans le rpertoire Sysprep. Le fichier de rponses plac en mmoire cache est donc utilis. Pour utiliser le nouveau fichier de rponses, copiez-le dans un rpertoire dont la priorit est suprieure celle du fichier de rponses plac en mmoire cache ou spcifiez le fichier de rponses requis par le biais de loption /unattend. 1. Copiez un fichier Unattend.xml sur une cl USB. Le fichier Unattend.xml ne contient de paramtres que pour les passes de configuration AuditSystem et AuditUser. 2. Sur un systme dexploitation Windows install, excutez la commande sysprep /generalize /oobe. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Bien que le fichier de rponses rside dans lun des chemins de recherche, le fichier Unattend.xml nest pas pris en compte, car il ne contient pas de paramtre valide pour ltape de configuration Generalize.
201
Chapitre 6
Le tableau suivant dcrit les diffrentes passes de configuration dans lordre dans lesquelles elles se droulent du lancement de linstallation jusqu ce que le systme dexploitation soit oprationnel :
Tableau 6.5 : Les passes de configuration constituant une installation complte de
Windows Vista
tape de configuration WindowsPE Description Configure des options WindowsPE ainsi que des options de linstallation de Windows de base. Ces options peuvent inclure le paramtrage de la cl de produit et la configuration dun disque. Applique des mises jour une image systme Windows. Applique galement des packages, y compris des correctifs logiciels, des packs de langue et autres mises jour de scurit. Cre et applique des informations spcifiques au systme. Vous pouvez, par exemple, configurer des paramtres rseau, des paramtres internationaux et des informations de domaine. Vous permet de configurer sysprep /generalize de faon minime, ainsi que de configurer dautres paramtres Windows qui doivent persister sur votre image de rfrence. La commande sysprep /generalize supprime des informations spcifiques au systme. LID de scurit unique (SID), par exemple, tout comme dautres paramtres spcifiques au matriel sont supprims de limage. Ltape Generalize sexcute uniquement si vous excutez sysprep /generalize. Traite des paramtres dinstallation en mode sans assistance pendant que Windows sexcute dans un contexte de systme, avant quun utilisateur se connecte lordinateur en mode Audit. Ltape AuditSystem sexcute uniquement si vous dmarrez en mode Audit. Traite des paramtres dinstallation en mode sans assistance aprs la connexion dun utilisateur lordinateur en mode Audit. Ltape AuditUser sexcute uniquement si vous dmarrez en mode Audit. Applique des paramtres Windows avant le dmarrage de lAccueil de Windows.
OfflineServicing
Specialize
Generalize
AuditSystem
AuditUser
OobeSystem
202
Il faut maintenant dtailler une par une les diffrentes passes afin de comprendre toutes les actions qui se droulent lors dune installation.
La passe WindowsPE
La passe de configuration WindowsPE sert configurer des paramtres spcifiques Windows PE, ainsi que des paramtres qui sappliquent linstallation. Vous pouvez, par exemple, spcifier la rsolution daffichage de Windows PE, lemplacement denregistrement dun fichier journal et dautres paramtres associs Windows PE. La passe de configuration WindowsPE vous permet aussi de spcifier des paramtres relatifs linstallation de Windows, dont le partitionnement et le formatage du disque dur, la slection dune image systme Windows spcifique installer, le chemin daccs cette image systme et toute autre information didentification requise pour accder cette image systme, la slection dune partition sur lordinateur de destination o vous installez Windows, lapplication de la cl de produit et du mot de passe dadministrateur, lexcution des commandes spcifiques au cours de linstallation de Windows.
La passe OfflineServicing
La passe de configuration OfflineServicing sert appliquer des paramtres dinstallation sans assistance une image systme Windows qui nest pas utilise dans un processus dinstallation. Au cours de cette passe de configuration, vous pouvez ajouter des packs
203
Chapitre 6
de langues, des mises jour Windows, des Service Packs ou mme des applications (packages) limage systme hors connexion. La passe OfflineServicing est utile pour optimiser la dure de vie de limage : admettons que vous ayez cr une image puis, quelques mois plus tard un nouvel quipement, nouveau type dordinateur fait son apparition dans votre entreprise avec un nouveau pilote Vista associ, vous avez la possibilit dajouter froid le pilote limage cre prcdemment sans avoir refaire limage. Les paramtres du fichier Unattend.xml dans la passe de configuration OfflineServicing sont appliqus limage systme Windows hors connexion. Vous utiliserez le Gestionnaire de package (pkgmgr.exe) en complment dun fichier de rponses pour installer des packages.
La passe Generalize
Ltape Generalize de linstallation de Windows sert crer une image systme de rfrence Windows qui peut tre utilise travers lorganisation. Un paramtre de ltape Generalize vous permet dautomatiser le comportement pour tous les dploiements de cette image de rfrence. En comparaison, un paramtre associ ltape de configuration Specialize vous permet de remplacer le comportement dun dploiement unique et spcifique. Lorsquun systme est gnralis, des donnes de configuration spcifiques concernant une installation donne de Windows sont supprimes. Lors de ltape Generalize, par exemple, lidentificateur de scurit unique (SID) tout comme dautres paramtres spcifiques au matriel sont supprims de limage. La passe de configuration Generalize sexcute uniquement lorsque vous utilisez la commande sysprep /generalize. Les paramtres du fichier de rponses dans Generalize sont appliqus au systme avant que la gnralisation de sysprep ne se produise. Le systme est ensuite arrt. Lors du dmarrage suivant du systme, La passe de configuration Specialize sexcute immdiatement.
La passe Specialize
Des informations spcifiques aux machines associes limage sont appliques lors de ltape de configuration Specialize du programme dinstallation Windows. Vous pouvez par exemple configurer les paramtres rseau, les paramtres internationaux et les informations relatives aux domaines. La passe de configuration Specialize est utilise en conjonction avec ltape Generalize. Celle-ci a pour objet de crer une image de rfrence Windows qui peut tre utilise dans lensemble du parc informatique de lentreprise. partir de cette image de rfrence Windows de base, vous pouvez ajouter dautres personnalisations associes
204
aux diverses divisions dune organisation ou diverses installations de Windows. La passe de configuration Specialize permet dappliquer ces personnalisations spcifiques. Lors de la passe de configuration Specialize, vous pouvez par exemple spcifier diverses pages daccueil associes dans Internet Explorer aux diffrents services ou dpartements de lentreprise. Ce paramtre remplace alors la page daccueil par dfaut applique lors de la passe de configuration Generalize.
La passe AuditSystem
La passe AuditSystem, qui est facultative, traite des paramtres dinstallation en mode sans assistance dans le contexte dun systme en mode Audit. La passe AuditSystem sexcute immdiatement avant la passe AuditUser. En gnral, AuditSystem sert ajouter des pilotes de priphrique supplmentaires et affecter un nom au systme spcifique pour le mode Audit. Le mode Audit vous permet dinstaller des pilotes de priphrique supplmentaires, des applications et dautres mises jour. Lors du dmarrage de Windows en mode Audit, les paramtres dinstallation de Windows en mode sans assistance AuditSystem et AuditUser sont traits. En utilisant le mode Audit, vous pouvez grer moins dimages systme Windows car vous pouvez crer une image de rfrence avec un ensemble minimal de pilotes. Limage peut tre mise jour laide de pilotes supplmentaires au cours du mode Audit. Vous pouvez ensuite tester et rsoudre tout problme associ un dysfonctionnement ou une installation incorrecte de pilotes sur limage systme Windows. AuditSystem sexcute uniquement lorsque vous configurez linstallation de Windows pour un dmarrage en mode Audit.
La passe AuditUser
La passe de configuration AuditUser, qui est facultative, traite les paramtres dinstallation sans assistance dans le contexte utilisateur en mode daudit. Elle est excute aprs ltape de configuration AuditSystem. En rgle gnrale, AuditUser est utilis pour excuter des commandes RunSynchronous ou RunAsynchronous. Ces commandes permettent dexcuter des scripts, des applications ou autres excutables en mode daudit. Le mode daudit vous permet dinstaller dautres pilotes de priphrique, applications et mises jour. Lorsque Windows dmarre en mode daudit, les paramtres AuditSystem et AuditUser dinstallation sans assistance sont traits. Lutilisation du mode daudit permet de grer un nombre infrieur dimages Windows, car vous pouvez crer une image de rfrence associe un jeu minimal de pilotes. Vous
205
Chapitre 6
pouvez intgrer dautres pilotes limage en mode daudit. Vous pouvez alors identifier et rsoudre tout problme relatif des priphriques qui ne fonctionnent pas correctement ou dont linstallation est incorrecte dans limage Windows. AuditUser ne sexcute que si vous configurez linstallation de Windows de sorte dmarrer en mode daudit.
La passe OobeSystem
Enfin, la passe de configuration OobeSystem configure des paramtres appliqus au cours de lexprience du premier dmarrage pour lutilisateur final, galement appel Accueil Windows. Les paramtres OobeSystem sont traits avant la premire ouverture de session dun utilisateur sous Windows Vista. OOBE (Out-Of-Box-Experience) sexcute lors du premier dmarrage dun nouvel ordinateur. OOBE sexcute avant que lenvironnement Windows ou tout logiciel supplmentaire ne soit excut, puis effectue un ensemble restreint de tches ncessaires la configuration et lexcution de Windows. Les administrateurs peuvent modifier la passe OobeSystem afin dobtenir un Accueil Windows personnalis, qui peut savrer utile pour y renseigner les liens vers le site intranet du centre dappel de la socit par exemple, ou le lien vers le site intranet des Ressources Humaines ou le lien vers les sites internet des partenaires. OOBE peut rajouter une certaine proximit entre lutilisateur final et le service informatique par des liens utiles toujours disponible dans lAccueil Windows. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 Vous pouvez configurer Windows pour quil dmarre partir de lAccueil Windows en excutant la commande sysprep /oobe. Par dfaut, aprs lexcution de linstallation de Windows, lAccueil Windows dmarre.
Installer, capturer et dployer vers la premire partition active. Lorsque vous installez une image systme Windows, vous devez utiliser un seul disque, notamment la premire partition active sur le disque. Cela garantit que le systme dexploitation Windows est install sur la mme lettre de lecteur. Vrifiez que vous disposez dun espace suffisant pour les fichiers temporaires de linstallation de Windows Vista. Si vous installez Windows Vista partir de Windows XP, vrifiez que la quantit despace disque disponible est suffisante pour les fichiers temporaires de linstallation de Windows. Lespace requis peut varier, mais il peut atteindre jusqu 500 Mo. Les installations de Windows prcdentes sont dplaces vers un dossier Windows .old. Si vous installez Windows sur une installation prcdente de Windows, tous les fichiers et rpertoires prcdents de Windows sont dplacs vers un dossier
206
Windows.old. Vous pouvez accder vos donnes dans le dossier Windows.old une fois linstallation de Windows termine.
j
Vrifiez toujours les logs. Si vous avez rencontr des problmes au cours de linstallation de Windows, analysez les fichiers journaux dans %WINDIR%\panther et les emplacements adquats.
Dployez des images systme Windows Vista vers la mme lettre de lecteur. Si vous appliquez une image Windows Vista, la lettre du lecteur sur lequel est installe limage de rfrence doit correspondre exactement celle reconnue par limage systme Windows dploye. Si, par exemple, vous capturez une image systme Windows personnalise sur le lecteur C, vous devez dployer cette image systme sur la partition que Windows Vista reconnat en tant que lecteur C sur lordinateur de destination. Des applications peuvent ncessiter une lettre de lecteur cohrente. Si vous installez des applications personnalises sur votre image Windows Vista, installez Windows sur la mme lettre de lecteur sur lordinateur de destination, car certaines applications ncessitent une lettre de lecteur cohrente. Les scnarios de dsinstallation, de maintenance et de rparation risquent de ne pas fonctionner de manire approprie si la lettre de lecteur du systme ne correspond pas celle spcifie dans lapplication. Dploiement de plusieurs images vers diffrentes partitions. Si vous capturez et dployez plusieurs images vers diffrentes partitions, les conditions requises suivantes doivent tre respectes : Le nombre de disques, la structure de partition et lemplacement du bus doivent tre identiques sur les ordinateurs de rfrence et de destination. La partition et la lettre de lecteur sur lesquels limage systme de rfrence Windows est installe doivent correspondre exactement la partition et la lettre de lecteur reconnues par limage systme Windows dploye. Les types de partition (principale, tendue ou logique) doivent correspondre. La partition active sur lordinateur de rfrence doit correspondre lordinateur de destination.
Il est primordial de bien comprendre les diffrentes installations, les modes et, surtout, la manire dont se droule une installation de Windows Vista. La notion de passes est fondamentale afin de mieux comprendre les outils qui sont dcrits dans les chapitres suivants. Lillustration suivante vous montre une vue densemble des passes de configuration dune installation :
Chapitre 6
Figure 6.8 : Vue densemble des passes de configuration de linstallation de Windows Vista
6.2.
Il existe deux grandes mthodes de dploiement, la premire par image, la seconde par script. Windows Vista combine les deux mthodes, cest--dire des images pour booter et installer le systme dexploitation et des fichiers rponses pour personnaliser linstallation. Puisque nous avons parcouru le dploiement par images avec Windows Deployment Service, abordons maintenant loutil de gestion de fichier Unattend.xml. Pour crer les fichiers Unattend.xml, le resource kit de dploiement livre un outil en interface graphique. Il sagit de lAssistant Gestion dinstallation. Lajout dun fichier de rponses une image permet de descendre cette image dans un certain contexte avec comme exemple la taille des partitions, les pilotes qui doivent tre utiliss, etc. Ce fichier sera lu par le Win PE pour tre appliqu ensuite votre image WIM.
6.3.
LAssistant Gestion dinstallation cre un fichier de rponses XML indispensable llaboration dune installation sans assistance. Cet assistant cre galement un fichier catalogue (.clg) pour assurer un suivi des packages et des paramtres, ce qui implique des mises jour priodiques. Un fichier appel "jeu de configuration" peut tre cr et
208
copi sur un support amovible pour constituer une version mobile des dossiers partags et facultatifs de la distribution.
LAssistant Gestion dinstallation utilise lAPI CPI (Component Platform Interface) pour crer un fichier de rponses sans assistance. Cet assistant se sert au dpart de lAPI CPI pour monter une image systme Windows. Les composants et les paramtres contenus dans une image systme Windows particulire sont utiliss pour crer un fichier catalogue. Le fichier catalogue est ensuite exploit dans lAssistant Gestion dinstallation pour crer des fichiers de rponses. Un ensemble facultatif de dossiers, nomm "partage de distribution", peut tre ajout pour assurer le stockage des fichiers que vous utiliserez lors dune personnalisation ultrieure de votre installation Windows. LAssistant Gestion dinstallation peut crer un jeu de configuration, cest--dire une version dun partage de distribution plus lgre et plus mobile. Les jeux de configuration permettent aux utilisateurs dexploiter les versions de taille plus rduite dun partage de distribution. Ces fichiers moins volumineux peuvent se rvler plus faciles grer. Il vous est galement possible dutiliser lAPI CPI pour crer vos propres applications personnalises qui peuvent automatiser la cration et la gestion de fichiers de rponses dinstallation de Windows sans assistance.
209
Chapitre 6
Fichier catalogue
Composant
tape de configuration
Jeu de configuration
Partage de distribution
Package
210
Linterface graphique
Dfinition Rglage de configuration dun programme ou dun systme dexploitation. Permet dexcuter une application ou tout autre fichier excutable durant linstallation de Windows. Vous pouvez indiquer ltape de configuration dans laquelle vous voulez que la commande sexcute. Les paramtres doivent en premier lieu tre valids pour que lAssistant Gestion dinstallation puisse enregistrer un fichier de rponses. Lorsquun fichier de rponses est correctement valid, toutes les valeurs des paramtres de ce fichier sont applicables limage systme Windows. Fonctionnalit facultative de Windows pouvant tre active ou dsactive. Un seul fichier compress contenant une collection de fichiers et de dossiers qui duplique une installation de Windows sur un volume de disque.
6.4.
Linterface graphique
Linterface utilisateur de lAssistant Gestion dinstallation contient plusieurs volets. Ces volets permettent douvrir des fichiers image systme Windows, de crer des fichiers de rponses sans assistance et dajouter des composants et des packages aux cinq tapes de configuration correspondantes dans un fichier de rponses.
211
Le volet Partage de distribution : il affiche le dossier de partage de distribution actuellement ouvert dans larborescence. Vous slectionnez, crez, explorez et fermez les dossiers de partage de distribution en slectionnant le nud suprieur et en cliquant avec le bouton droit de la souris sur le volet. Vous pouvez ajouter des lments un fichier de rponses contenu dans un dossier de partage de distribution en cliquant avec le bouton droit de la souris sur llment voulu. Le volet Fichier de rponses : il affiche les tapes de configuration de linstallation de Windows, ainsi que les paramtres appliquer chaque tape et les packages installer. Vous pouvez ouvrir et modifier un fichier de rponses existant, valider les paramtres contenus dans un fichier de rponses par rapport une image systme Windows ou crer un nouveau fichier de rponses. Le volet Image systme Windows : il affiche limage systme Windows actuellement ouverte dans larborescence. Lorsque larborescence est dveloppe, tous les composants et les packages prvus pour limage sont visibles et disponibles afin dtre ajouts un fichier de rponses dans le volet Fichier de rponses. Le volet Proprits : il affiche les proprits et les paramtres dun composant ou dun package slectionn. Le volet Proprits permet de modifier les paramtres et, lorsquil sagit de packages, de modifier les slections des fonctionnalits de Windows. Dans le bas du volet Proprits, lAssistant Gestion dinstallation affiche le nom du paramtre et le type .NET associ. Le volet Messages : il est compos de trois onglets nomms XML, Validation et Jeu de configuration. En cliquant sur un des onglets du volet Messages, vous affichez le type du message, un descriptif et lendroit o le problme est survenu.
6.5.
1. Chargez le fichier image. Dans la section Image Windows, cliquez avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue, puis sur Slectionnez limage Windows. 2. Slectionnez limage du DVD dinstallation, par exemple Install.wim. Un catalogue des images instancies se lance. Un certain nombre de versions sont disponibles. Choisissez la version de Windows Vista que vous souhaitez personnaliser, la version Intgrale par exemple. Cliquez sur OK (voir fig. 6.11). La partie Image Windows est la partie la plus importante de loutil puisquelle comprend un certain nombre de packages qui vous permettront de personnaliser votre installation en ajoutant ou en supprimant des composants comme les jeux ou la personnalisation du DNS. Tous les composants seront lists et modifis partir de cette fentre.
212
3. Dans la fentre Fichier de rponses, cliquez avec le bouton droit de la souris, puis slectionnez Crer ou ouvrir un fichier de rponses. Un fichier de rponses contenant sept parties est cr :
j j j j j j j
WindowsPE ; OfflineServicing ; Generalize ; Specialize ; AuditSystem ; AuditUser ; 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 OobeSystem.
Ces sections correspondent une partie de linstallation de Windows Vista. Cette partie permet de vous aiguiller au cours de la ralisation de votre fichier image. Cliquez avec le bouton droit de la souris sur vos packages pour voir quelle partie ils peuvent appartenir. Par exemple, vous nallez pas pouvoir crer une partition en fin dinstallation. 4. Pour personnaliser linstallation, cliquez avec le bouton droit de la souris sur les packages afin de voir quelle section ils peuvent appartenir. 5. Une fois les packages slectionns, personnalisez-les en donnant des paramtres comme le nom de domaine, le compte utilisateur, un mot de passe ou encore la taille dune partition, bref, tout ce qui caractrise un systme dexploitation de bout en bout. 6. Une fois le fichier ralis, sauvegardez-le afin de pouvoir lutiliser avec des images WIM. Pour sauvegarder le fichier de rponses, cliquez sur Fichier/Enregistrer sous. Indiquez le chemin souhait.
213
Chapitre 6
Dans la plupart des cas, et en raison du nombre doptions configurer, il est recommand de partir des deux fichiers que Microsoft propose en exemple : les fichiers autounattend_sample et Corp_autounattend_sample.
Le chier autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> + <DiskConfiguration> - <Disk> - <CreatePartitions> - <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> - <ModifyPartitions> - <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> - <UserData> - <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> </UserData> - <ImageInstall> - <OSImage> - <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID>
</InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> </component> - <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> </component> - <component name="Microsoft-Windows-Deployment" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Reseal> <Mode>Audit</Mode> </Reseal> </component> </settings> </unattend>
Le chier Corp_autounattend_sample
<?xml version="1.0" encoding="utf-8" ?> - <unattend xmlns="urn:schemas-microsoft-com:unattend"> - <settings pass="windowsPE"> - <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
215
Chapitre 6
<DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>20000</Size> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>OS_Install</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration> <UserData> <ProductKey> <Key><productkey></Key> <WillShowUI>OnError</WillShowUI> </ProductKey> <AcceptEula>true</AcceptEula> <FullName><user name></FullName> <Organization><company organization></Organization> </UserData> <ImageInstall> <OSImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> <WillShowUI>OnError</WillShowUI> </OSImage> </ImageInstall> <UpgradeData> <WillShowUI>OnError</WillShowUI> </UpgradeData> <Display> <ColorDepth>16</ColorDepth> <HorizontalResolution>1024</HorizontalResolution> <RefreshRate>60</RefreshRate> <VerticalResolution>768</VerticalResolution> </Display>
</component> - <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <SetupUILanguage> <UILanguage>en-us</UILanguage> </SetupUILanguage> <InputLocale>0409:00000409</InputLocale> <SystemLocale>en-us</SystemLocale> <UILanguage>en-us</UILanguage> <UserLocale>en-US</UserLocale> </component> </settings> - <settings pass="oobeSystem"> - <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <OOBE> <HideEULAPage>true</HideEULAPage> <ProtectYourPC>3</ProtectYourPC> <SkipMachineOOBE>true</SkipMachineOOBE> <SkipUserOOBE>true</SkipUserOOBE> </OOBE> - <UserAccounts> - <LocalAccounts> - <LocalAccount wcm:action="add"> - <Password> <Value><strongpassword></Value> <PlainText>false</PlainText> </Password> <DisplayName><username></DisplayName> <Name><username></Name> <Group>administrators</Group> </LocalAccount> </LocalAccounts> </UserAccounts> - <OEMInformation> <Manufacturer><company name></Manufacturer> <Model><computer model></Model> <SupportHours><support hours></SupportHours> <SupportPhone><phone number></SupportPhone> </OEMInformation> <RegisteredOrganization><Your Organization></RegisteredOrganization> <RegisteredOwner><Your Organization></RegisteredOwner> </component> </settings> - <settings pass="specialize"> - <component name="Microsoft-Windows-IE-InternetExplorer" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
217
Chapitre 6
language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft .com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <BlockPopups>yes</BlockPopups> <Home_Page><Company Home Page></Home_Page> <IEWelcomeMsg>false</IEWelcomeMsg> <PlaySound>true</PlaySound> <ShowInformationBar>true</ShowInformationBar> </component> - <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> - <Identification> - <Credentials> <Domain><domain></Domain> <Password><strongpassword></Password> <Username><username></Username> </Credentials> </Identification> </component> </settings> </unattend>
Vous entrerez dans le dtail du fonctionnement du serveur WDS au chapitre Le service de dploiement qui lui est ddi. Une fois votre fichier de rponses cr, vous devez effectuer encore quelques manipulations sur votre serveur pour accrocher vos images vos fichiers de rponses. Procdez ainsi : 1. Cliquez sur le menu Dmarrer/Tous les programmes/Outils dadministration. Slectionnez Windows Deployment Services. 2. Il faut dfinir la premire option qui consiste spcifier un fichier de rponses par dfaut en fonction des architectures. Slectionnez votre serveur WDS, cliquez avec le bouton droit de la souris, puis choisissez Proprit et Windows DS Client. 3. Cochez la case Enable Unattend mode. 4. Pour x86 Architecture, cliquez sur Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour ia64 Architecture, cliquez sur Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Pour x64 Architecture, cliquez sur
218
Parcourir, slectionnez le fichier Unattend puis cliquez sur Ouvrir. Une fois les fichiers dclars, cliquez sur OK. 5. Attribuez des fichiers spcifiques des images spcifiques. Placez-vous dans le serveur WDS. Slectionnez Images dinstallation, puis le groupe dimages prcdemment cr et choisissez limage laquelle vous souhaitez attribuer le fichier de rponses. 6. Cliquez avec le bouton droit de la souris sur votre image, puis sur Proprit. Dans la fentre Proprit de limage, slectionnez longlet General. 7. Sous longlet General, cochez la case Autoriser limage sinstaller en mode sans assistance, puis cliquez sur Slectionner un fichier. Choisissez votre fichier laide du bouton Parcourir et cliquez sur OK. Pour terminer, cliquez sur OK.
Figure 6.12 : Attribution dun fichier Unattend.xml une image spcifique
Le fichier ImageUnattend.xml est ajout pour limage WIM dans le rpertoire E:\RemoteInstall\Images\Vista\Windows_Vista_Ultimate-CQXQK\Unattend de limage Ultimate de Windows Vista. Installation de packages Une fois les diffrentes tapes de paramtrages ralises, vous avez la possibilit dutiliser galement des packages et des points de distribution qui pourront servir linstallation de logiciels supplmentaires aprs linstallation de Windows Vista.
219
Chapitre 6
prsent, nous allons voir comment fonctionne le paramtrage du fichier avec une tape importante qui est la partie 1 WindowsPE. 1. Dans la partie gauche de linterface graphique, slectionnez Windows Image, puis la version dimages dj prsente. Ouvrez la section Components. 2. Slectionnez le package x86_Microsoft-Windows-Setyp_(version de build)_neutral. Cest dans ce package que vous allez crer une partition pour linstallation de Windows Vista. Vous allez pouvoir indiquer si vous souhaitez crer une partition ou bien garder la partition existante, prciser galement le type de partition (FAT ou NTFS) ainsi que la taille, mais aussi des actions lies lventuelle prsence dun autre systme sur la machine, et beaucoup dautres options encore. Bien que toutes les parties soient importantes, la partie du package considrer est WindowsDeploymentServices. Elle est divise en deux sections
j
ImageSelection : dans cette section, vous allez trouver le nom du fichier dinstallation, le groupe auquel il appartient (ce groupe a t prcdemment cr dans Windows Deployment Services pour descendre les images) ainsi que le nom que vous avez donn limage sur le serveur WDS. Login : dans cette section, vous allez pouvoir spcifier les credantials, le nom de domaine, le compte utilisateur et le mot de passe pour pouvoir entrer dans le domaine lors de linstallation. Validation du fichier de rponses Noubliez pas de valider rgulirement votre fichier de rponses pour voir si vous navez pas fait derreur dans les informations que vous avez donnes au fichier.
Exemple dune partie du fichier Unattend.xml qui a t gnr la suite du paramtrage propos :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <servicing></servicing> <settings pass="windowsPE"> <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/ WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DiskConfiguration> <Disk> <CreatePartitions> <CreatePartition wcm:action="add"> <Size>30000</Size>
220
<Type>Primary</Type> <Order>1</Order> </CreatePartition> </CreatePartitions> <DiskID>0</DiskID> </Disk> </DiskConfiguration> <WindowsDeploymentServices> <ImageSelection> <InstallImage> <Filename>install.wim</Filename> <ImageGroup>Vista</ImageGroup> <ImageName>Ultimate</ImageName> </InstallImage> </ImageSelection> <Login> <Credentials> <Domain>puzzmania.com</Domain> <Username>admin</Username> <Password>P@ssW0r2</Password> </Credentials> </Login> </WindowsDeploymentServices> </component> </settings> <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
221
Chapitre 6
fichiers supplmentaires permettant de personnaliser linstallation sans assistance. Les dossiers $OEM$ ont t utiliss dans des prcdentes versions de Windows et, dans certains cas, ils ne sont pas pris en charge dans Windows Vista. En rgle gnrale, vous ajoutez des ressources et des nouveaux fichiers Windows par lintermdiaire dune image de donnes. Voici les sections dun partage de distribution :
Tableau 6.7 : Prise en charge des anciens dossiers $OEM$
Ancienne dnomination $OEM$ Ancienne dfinition Contient tous les fichiers et les dossiers supplmentaires qui permettent une installation automatise ou personnalise. Contient les pilotes de stockage de masse et les fichiers HAL mis jour qui sont indispensables lors de la phase en mode texte du programme dinstallation. Contient les fichiers copis dans le dossier %WINDIR% (par exemple, C:\Windows) au cours de linstallation Windows. Contient les fichiers daide personnaliss copis dans le dossier %WINDIR%\Help au cours de linstallation Windows. Contient les fichiers que copis dans le dossier %WINDIR%\System32 au cours de linstallation Windows. Prise en charge Oui
\$OEM$\Textmode
Non
\$OEM$\$$
Oui
\$OEM$\$$\Help
Non
\$OEM$\$$\System32
Oui
\$OEM$\$1
Reprsente la racine du lecteur o est install Windows Oui (galement appele "partition de dmarrage") et contient des fichiers copis dans la partition de dmarrage au cours de linstallation Windows. Contient des pilotes Plug and Play (PnP) nouveaux ou mis jour. Lutilisateur indique le nom du dossier dans le fichier Unattend.xml pour les installations sans assistance. Ce dossier peut par exemple tre nomm \$OEM$\$1\pilotesPnP. Contient les fichiers utiliss pour une installation prpare avec Sysprep. Contient les fichiers copis dans le dossier %DOCUMENTS_AND_SETTINGS% au cours de linstallation Windows. Contient les programmes copis dans le dossier %PROGRAM_FILES% au cours de linstallation Windows. Oui
\$OEM$\$1\pilotesPlugand-Play
\$OEM$\$1\SysPrep \$OEM$\$Docs
Non Non
\$OEM$\$Progs
Non
222
Sysprep
Ancienne dfinition Contient le fichier de paramtres pour personnaliser Internet Explorer. Sous-dossier du lecteur qui contient les fichiers copis dans le sous-dossier au cours de linstallation Windows. Plusieurs instances de ce type de dossier peuvent exister dans le dossier \$OEM$\lettre_lecteur, par exemple \$OEM$\D\MonDossier.
6.6.
Sysprep
Dans la plupart des cas, en entreprise, pour dployer des ordinateurs Windows Vista, vous souhaitez crer une image de Windows Vista personnalise, qui contient les applications mtiers communes la socit afin de ne pas avoir les installer une par une sur chaque poste de travail. Communment, vous allez utiliser un outil de cration dimage pour crer une image personnalise. Ici, vous procderez de la mme faon quavec des outils tiers de cration et dapplication dimages systme (comme Symantec Ghost). Voici un scnario de dpart : 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1 1. Vous installez Windows Vista sur un ordinateur de test. 2. Vous y installez les diverses applications et vous vous assurez quelles fonctionnent correctement. 3. Vous utilisez Sysprep pour prparer lordinateur la duplication. 4. Vous teignez lordinateur. 5. Vous rcuprez limage systme associe. la diffrence prs quavec Windows Vista vous navez pas besoin doutil tiers et que limage cre fonctionnera sur nimporte quelle plateforme matrielle. Voyez maintenant comment fonctionne loutil Sysprep sous Windows Vista.
Introduction Sysprep
Loutil Sysprep prpare une installation de Windows la duplication, laudit et la livraison lutilisateur final. La duplication, galement appele "acquisition dimages", permet de capturer une image systme Windows Vista personnalise que vous tes mme de rutiliser dans toute votre entreprise. Pour cela, Sysprep excute un certain nombre de tches pour nettoyer le systme (informations relatives au Registre, lutilisateur logu, la licence, au SID dordinateur) afin de le rendre neutre et 223
Chapitre 6
rutilisable pour nimporte quel autre utilisateur. Grce au mode Audit, vous pouvez ajouter des applications ou des pilotes de priphriques supplmentaires une installation de Windows. Une fois les applications et les pilotes installs, vous avez la possibilit de tester lintgrit de linstallation de Windows. Sysprep permet galement de prparer une image qui sera ensuite livre un utilisateur final. Ainsi, lorsque le client dmarre Windows, les crans daccueil de Windows saffichent. Sysprep nest utilisable que pour configurer de nouvelles installations de Windows Vista. Cet outil peut tre excut autant de fois quil est ncessaire pour laborer et configurer votre installation de Windows. Toutefois, vous ne pouvez pas rinitialiser lactivation de la plateforme de Windows Vista pour la protection contre le piratage plus de trois fois. Vous ne devez pas utiliser Sysprep pour reconfigurer une installation existante de Windows dj dploye. Cet outil est uniquement utilisable pour la configuration de nouvelles installations de Windows. Loutil Sysprep est maintenant inclus la base dans Windows Vista, plus besoin de tlcharger le Deployment Pack Microsoft. Suivez le chemin %WINDIR%\ system32\sysprep. Sysprep prsente un certain nombre davantages :
j
Il supprime des donnes spcifiques au systme partir de Windows. Il peut supprimer toutes les informations spcifiques au systme partir dune image systme Windows installe, y compris lID de scurit. Linstallation de Windows peut ensuite tre capture et installe travers toute lentreprise. Il configure Windows pour dmarrer en mode Audit. Le mode Audit vous permet dinstaller des applications et des pilotes de priphrique tiers et de tester la fonctionnalit de lordinateur. Il configure Windows pour dmarrer avec laccueil du premier dmarrage de Windows. Il configure une installation de Windows pour initialiser laccueil du premier dmarrage de Windows au prochain dmarrage de lordinateur. En gnral, vous configurez un systme pour quil sinitialise partir de cet accueil de premier dmarrage immdiatement avant la livraison de lordinateur lutilisateur final. Celui-ci na plus qu entrer les quelques informations personnelles quil lui manque. Il rinitialise lactivation du produit Windows. Sysprep peut rinitialiser lactivation du produit Windows jusqu trois fois.
Implmenter Sysprep
Reprenons notre scnario de dpart : vous installez Windows Vista sur un ordinateur de test, vous y installez toutes les applications que vous voulez inclure dans votre image personnalise et vous vrifiez leur fonctionnement. Maintenant, vous allez utiliser Sysprep pour prparer lordinateur la duplication. 1. Cliquez sur le logo Windows de dmarrage. 224
Sysprep
Vous remarquez une interface graphique trs pure en comparaison de la prcdente version de Sysprep contenue dans le Deployment Pack Microsoft Windows XP. Deux menus droulants uniquement, donc deux choix faire : un choix sur le mode de nettoyage du systme et un sur le mode dextinction de lordinateur.
Le nettoyage du systme
Dans le premier menu droulant de lapplication Sysprep, vous devez choisir laction de nettoyage du systme mener.
Figure 6.15 : Choix daction de nettoyage du systme
225
Chapitre 6
Entrer en mode OOBE (Out-Of-Box Experience) : OOBE, autrement appel "accueil de premier dmarrage de Windows", reprsente la premire exprience de lutilisateur et permet aux utilisateurs finaux de personnaliser leur installation Windows. Les utilisateurs finaux peuvent crer des comptes utilisateurs, lire et accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et leur fuseau horaire. Par dfaut, toutes les installations Windows dmarrent dabord avec laccueil de premier dmarrage de Windows. La passe de configuration OobeSystem sexcute immdiatement avant le dmarrage de laccueil de premier dmarrage de Windows. Cest le choix le plus commun dans le sens o vous nettoyez compltement le systme pour une duplication en masse. Entrer en mode daudit systme : le mode Audit permet aux fabricants dordinateurs et aux entreprises dajouter des personnalisations leurs images Windows. Le mode Audit ne ncessite pas lapplication de paramtres dans laccueil de premier dmarrage de Windows. En ignorant laccueil de Windows, vous pouvez accder plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter des pilotes de priphrique supplmentaires, installer des applications et tester la validit de linstallation. En mode Audit, les paramtres dun fichier de rponses, en mode sans assistance, sont traits lors des tapes de configuration AuditSystem et AuditUser. Dans une installation Windows Vista par dfaut, une fois linstallation termine, laccueil de Windows dmarre. Cependant, vous pouvez ignorer laccueil de Windows et dmarrer directement en mode Audit en appuyant sur les touches [Ctrl]+[Maj]+[F3] partir du premier cran daccueil de Windows. Loption Gnraliser Juste en dessous de la liste Action de nettoyage du systme se trouve une case cocher trs importante appele Gnraliser. Cette option est lquivalent de loption Resceller sous Windows XP : cest en la cochant que vous allez gnrer un SID ordinateur diffrent chaque application de limage. Si vous utilisez Sysprep pour gnrer une image de rfrence devant sappliquer sur tous les postes de travail de lentreprise, alors il est primordial de cocher cette case.
226
Sysprep
Le processus de Sysprep
Pour que Sysprep sexcute sans problme, vous devez vous assurer du processus suivant : 1. Vrifiez que Sysprep est capable de sexcuter. Seul un administrateur peut excuter Sysprep, dont il est impossible de faire tourner plusieurs instances. Sysprep doit galement sexcuter sur la version de Windows sur laquelle il a t install. 2. Analysez les arguments de ligne de commande. 3. Si vous navez pas spcifi dargument de ligne de commande, la fentre de Sysprep qui saffiche permet aux utilisateurs de dfinir des actions Sysprep. 4. Traitez les actions Sysprep, appelez les fichiers .dll et les excutables appropris, puis ajoutez des actions au fichier journal. 5. Vrifiez que tous les fichiers .dll ont trait toutes leurs tches, puis arrtez le systme, relancez-le ou quittez Sysprep. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
227
Chapitre 6
Lorsque vous excutez la commande sysprep /generalize, lhorloge dactivation est automatiquement rinitialise. Vous pouvez ignorer la rinitialisation de lhorloge dactivation laide du paramtre SkipRearm dans le composant Microsoft-Windows-Security-Licensing-SLC. Cela vous permet dexcuter Sysprep plusieurs reprises sans rinitialiser lhorloge dactivation.
Lactivation peut tre rinitialise un nombre de fois illimit pour des clients du service KMS. KMS est un mode de licence faisant parti des licences en volume qui permet lentreprise de surveiller et de comptabiliser lutilisation des licences au sein de lentreprise. Cest un service sinstallant sur un serveur ddi aux ordinateurs de lentreprise toujours connects au rseau. Les entreprises clientes du service KMS doivent utiliser la commande sysprep /generalize avec la valeur du paramtre SkipRearm gale 0. Pour les clients de cls dactivation multiples (MAK), la recommandation consiste installer ces cls dactivation multiples immdiatement avant dexcuter Sysprep pour la dernire fois avant la livraison de lordinateur un utilisateur. MAK est aussi un mode de licence faisant parti des licences en volume qui permet lentreprise de surveiller et de comptabiliser lutilisation des licences, mais il est plus particulirement ddi aux ordinateurs nomades de lentreprise peu ou pas connects au rseau. Ce nest pas un service que lon installe, cest un type de cl. Pour les licences dactivation OEM, aucune activation nest requise. Lactivation OEM nest disponible que pour les fabricants dordinateurs OEM. Image et activation Vous ne pouvez pas crer dimage dune installation Windows active et dupliquer cette image sur un autre ordinateur. Si vous le faites, Windows ne parvient pas reconnatre lactivation et force lutilisateur final ractiver manuellement linstallation.
228
Sysprep
Vous pouvez configurer automatiquement une installation de Windows Vista de sorte activer le mode daudit ou laccueil de premier dmarrage Windows (mode OOBE) une fois linstallation de Windows termine. Lutilisation du paramtre reseal dans le composant Microsoft-Windows-Deployment vous permet de spcifier le mode de dmarrage de Windows. Si cette valeur nest pas spcifie, Windows dmarre en mode daccueil de premier dmarrage Windows par dfaut (voir fig. 6.19). En mode daudit, vous pouvez afficher ltat des commandes RunSynchronous excutes lors de la passe de configuration AuditUser. La fentre AuditUI affiche ltat des commandes et fournit les informations suivantes :
j
229
Chapitre 6
Indication visuelle de la date, de lheure et de lemplacement des checs. Cette fonction permet dtablir un diagnostic rapide si la commande ne gnre pas de fichiers journaux.
Si le fichier de rponses contient des commandes RunSynchronous lors de la passe de configuration AuditUser, la liste des commandes saffiche dans la fentre AuditUI, dans lordre spcifi par le paramtre Order qui se trouve dans le sous-lment RunSynchronousCommand de llment RunSynchronous.
Chaque lment de la liste affiche dans linterface utilisateur correspond la chane extraite du paramtre Description ou du paramtre Path. Toutes les commandes RunSynchronous sont traites dans lordre. Si la commande aboutit, llment de liste correspondant est associ une coche verte. Si la commande 230
Sysprep
choue, llment de liste correspondant est associ un X rouge. Si un redmarrage est requis, la fentre AuditUI rapparat aprs le redmarrage, mais seuls les lments non traits de la liste sont recenss. Les lments prcdemment traits ne sont plus indiqus. Si la liste dlments affichs dpasse la hauteur de la fentre AuditUI, sa taille est adapte lcran et il est impossible de la faire dfiler. De ce fait, certains lments risquent de ne pas tre visibles. Le programme dinstallation de Windows Vista interprte les codes de retour 0 et diffrents de 0 comme des valeurs dtat dans la fentre AuditUI. La valeur 0 indique un succs, tandis quune autre valeur reprsente un chec. Selon la valeur du paramtre WillReboot qui se trouve dans le sous-lment RunSynchronousCommand de llment RunSynchronous, la valeur renvoye par la commande risque daffecter le comportement de linstallation.
Figure 6.21 :
Paramtre WillReboot
Si le paramtre WillReboot est rgl sur Always, si la commande renvoie 0, llment de liste correspondant est coch en vert. Un redmarrage est immdiatement excut. Si la commande renvoie une autre valeur, llment de liste correspondant est signal par un X rouge. Un redmarrage est immdiatement excut. Si le paramtre WillReboot est rgl sur Never, si la commande renvoie 0, llment de liste correspondant est coch en vert. Si la commande renvoie une autre valeur, llment de liste correspondant est signal par un X rouge. Une autre valeur nest pas considre comme une erreur irrcuprable si WillReboot est rgl sur Always ou Never. Si le paramtre WillReboot est rgl sur OnRequest, si la commande renvoie 0, llment de liste correspondant coch en vert. Si la commande renvoie 1, llment de liste correspondant est coch en vert. Un redmarrage est immdiatement excut. Si la commande renvoie 2, llment de liste correspondant est temporairement coch en vert. Un redmarrage est immdiatement excut. la suite du redmarrage, llment de liste correspondant saffiche nouveau dans la fentre AuditUI sans annotation car la commande est encore en cours dexcution. Si la commande renvoie dautres valeurs, il se produit une erreur irrcuprable et une bote de dialogue de blocage saffiche.
231
Chapitre 6
Vous devez uniquement utiliser la version de Sysprep installe avec limage systme Windows que vous voulez configurer. Sysprep est install avec chaque version de Windows et doit toujours tre excut partir du rpertoire %WINDIR%\ system32\sysprep. Sysprep ne doit pas tre utilis sur des types dinstallation de mise niveau. Excutez Sysprep uniquement sur des installations propres. Si vous prvoyez dutiliser la commande imagex dapplication dune image systme Windows Vista un ordinateur, le format de partition sur les ordinateurs de test et de destination doit tre identique. Par exemple, si vous capturez une image systme Windows personnalise sur le lecteur C, vous devez toujours dployer cette image systme sur le lecteur C de lordinateur de destination. La liste suivante dcrit les paramtres de partition qui doivent tre identiques sur les ordinateurs de test et de destination Le numro de partition o est install Windows Vista doit correspondre. Le type de partition (principale, tendue ou logique) doit correspondre. Si la partition est dfinie comme active sur lordinateur de rfrence, lordinateur de destination doit galement tre dfini comme actif.
j j
Lors de la copie dimages systme Windows entre diffrents systmes, les ordinateurs de test et de destination nont pas besoin de disposer de fichiers HAL (Hardware Abstraction Layer) compatibles.
232
Windows PE 2.0
Les priphriques plug and play prsents sur les ordinateurs de test et de destination, tels que les modems, les cartes son, les cartes rseau et les cartes vido, nont pas besoin dtre du mme fabricant. Cependant, les lecteurs de ces priphriques doivent tre inclus dans linstallation. Lhorloge dactivation commence son compte rebours la premire fois que Windows est dmarr. Vous pouvez utiliser Sysprep au maximum trois fois pour rinitialiser lhorloge en vue de lactivation de produit Windows. Aprs trois excutions de Sysprep, lhorloge ne peut plus tre rinitialise. Que ce soit ImageX (outil de cration dimage systme de Windows Vista) ou que ce soit des logiciels de cration dimage systme de disque tiers ou des priphriques matriels de duplication de disque, ils sont ncessaires pour linstallation fonde sur une image. Ces produits crent des images du disque dur dun ordinateur, puis la dupliquent sur un autre disque dur ou la stockent dans un fichier sur un disque spar. Sysprep sexcute seulement si lordinateur est membre dun groupe de travail, et non dun domaine. Si lordinateur appartient un domaine, Sysprep le retire de ce domaine. Si vous excutez Sysprep sur une partition de systme de fichiers NTFS qui contient des fichiers ou des dossiers crypts, les donnes contenues dans ces dossiers deviennent compltement illisibles ou irrcuprables. Sysprep convertit la variable denvironnement %COMPUTERNAME% en caractres majuscules. Cependant, le nom rel de lordinateur ne change pas. Lexcution de Sysprep fait que les crans daccueil de Windows vous demandent une cl de produit. Vous pouvez utiliser un fichier de rponses avec Sysprep pour viter que les crans daccueil de Windows ne vous demandent une cl de produit. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
j j
Une fois le Sysprep effectu, la prochaine tape consiste dmarrer sur Windows PE 2 .0 pour avoir un environnement adquat afin de capturer limage qui servira de rfrence au dploiement.
6.7.
Windows PE 2.0
Une fois votre ordinateur de test configur et la commande Sysprep effectue, lenvironnement de prinstallation Windows PE 2.0 va vous permettre de dmarrer sur un environnement autonome et relativement complet afin de rcuprer votre image systme. Mais Windows PE 2.0 va quand mme plus loin : cet environnement vous servira galement appliquer les images, voire diagnostiquer un poste de travail. Windows PE 2.0 est incontournable quand on parle de dploiement car mme le processus dinstallation de Windows Vista provenant du DVD Vista effectue en premier lieu un dmarrage sur Windows PE 2.0.
233
Chapitre 6
Introduction WIN PE
Windows PE 2.0 (Windows Preinstallation Environnement) constitue lune des bases du dploiement de Windows Vista. Il est conu pour faciliter les dploiements de ce nouveau systme dexploitation. Cest un environnement bootable limit conu sur la base de Windows Vista. Windows PE 2.0 Jusqu prsent Windows PE tait rserv aux clients disposant dun contrat Microsoft Software Assurance (SA). La bonne nouvelle, cest que Windows PE 2.0 devient disponible pour toutes les personnes ou socits dsireuses dinstaller ou de dployer Windows Vista au travers du WAIK. Windows PE (ou Win PE) offre de puissants outils de prparation et dinstallation pour Windows Vista. Mme sil ne dispose pas de toutes les classes WMI, il en possde un certain nombre, ce qui vous permettra doptimiser vos dploiements. Dans sa version 2.0, Win PE est personnalisable au travers doutils livrs dans le WAIK (Windows Automated Installation Kit). Ainsi, il est possible dajouter simplement des pilotes ou des packages. Windows PE Win PE est un outil de dmarrage systme de Microsoft qui offre des fonctionnalits avances pour linstallation, le dpannage et la rcupration. Il a t conu pour remplacer MS-DOS comme environnement de prinstallation. Win PE 2.0 est la version lie Windows Vista.
Win PE 1.0, bas sur la version Windows XP ; Win PE 1.1, bas sur la version Windows XP SP1 ; Win PE 1.2, bas sur la version Windows 2003 Server ; Win PE 1.5, bas sur la version Windows XP SP2 ; Win PE 1.6, bas sur la version Service Pack 1 de Windows 2003.
234
Windows PE 2.0
Win PE 2.0
Que de chemin parcouru entre la version 1.0 et la version 2.0 de Win PE. La version 2.0 de Win PE sappuie en effet sur les composants de Windows Vista. Par consquent, Win PE 2.0 prend en charge les pilotes Windows Vista et tire parti dun grand nombre damliorations apportes par Windows Vista, par exemple la protection amliore contre les attaques rseaux offertes par le pare-feu Windows. Dsormais, cette nouvelle version de Win PE prend en charge lajout de pilotes, ce qui vous permet de charger des pilotes avant ou aprs le lancement de Win PE. Si vous dmarrez Win PE et que vous constatiez quil manque un pilote ncessaire, vous avez la possibilit de charger le pilote non standard partir dun support amovible et dutiliser aussitt le matriel sans redmarrage. Pour plus de flexibilit, en particulier lors de la cration de scripts de prinstallation, Win PE 2.0 inclut dsormais une prise en charge amliore de WMI. Cela vous permet deffectuer la plupart des tches de configuration et de gestion partir dun script ou de la ligne de commandes. Utilisation de Win PE Win PE nest pas une version Embedded du systme dexploitation. Il ne remplace pas un systme dexploitation client ou serveur. Il reboote toutes les soixante-douze heures. Windows PE est un outil amorable fond sur les composants de Windows Vista. Contrairement Windows Vista, qui est un systme dexploitation gnral, Windows PE est conu pour tre utilis dans le cadre de linstallation ou du dpannage. Voici la liste des nouveauts apportes par la version 2.0 de Win PE
j j
Mises jour de scurit : Windows PE prend dsormais en charge le protocole SSL (Secure Socket Layer). Outils de gestion des fichiers .wim : les fichiers .wim peuvent tre personnaliss et dmarrs au moyen de loutil de ligne de commandes ImageX et du pilote WIM FS Filter (Windows Imaging File System Filter). Prise en charge de nouvelles mthodes de dmarrage : vous pouvez dmarrer Windows PE depuis le fichier .wim hberg sur le DVD Windows AIK ou loption /boot de loutil de ligne de commandes ImageX. Prise en charge du redmarrage sur 72 heures : lhorloge de redmarrage de Windows PE a t tendue de 24 72 heures. Prise en charge du plug and play (PnP) : les priphriques matriels peuvent tre dtects et installs alors que Windows PE est en cours dexcution. Tous les priphriques PnP fournis sont pris en charge, y compris les mdias amovibles et les priphriques de stockage de masse. Cette prise en charge est active par dfaut.
j j
235
Chapitre 6
Outil Drvload : utilisez ce nouvel outil de ligne de commandes pour ajouter des pilotes non fournis au dmarrage de Windows PE. Drvload installe les pilotes en utilisant les fichiers .inf des pilotes en tant quentres. Outil PEImg : utilisez ce nouvel outil de ligne de commandes pour personnaliser une image de Windows PE hors ligne. PEImg vous permet dajouter et de supprimer des pilotes, des composants de Windows PE et des modules linguistiques. Donnes de configuration de dmarrage (BCD) : utilisez ce nouveau fichier de configuration de dmarrage pour personnaliser les options de dmarrage. Ce fichier remplace le fichier Boot.ini. Outil bootsect (secteur de dmarrage) : utilisez cet outil pour permettre le dploiement de versions antrieures de Windows en changeant le code de dmarrage de la prcdente version de Windows en vue dassurer la prise en charge du gestionnaire de dmarrage (Bootmgr) pour Windows Vista. Disque virtuel inscriptible automatique : en cas de dmarrage depuis un mdia en lecture seule, Windows PE cre automatiquement un disque virtuel inscriptible (disque X) et alloue 32 Mo de ce dernier au stockage gnral. En utilisant un systme de fichiers NTFS compress, les 32 Mo sont adressables jusqu 60 Mo.
Avec larrive de Windows Vista, Win PE sera donc disponible pour tout le monde. Win PE 2.0 sera disponible dans le WAIK et utilisable pour dployer Windows Vista dans toutes les entreprises sans problme de licence. La premire tape pour utiliser Win PE consiste installer le WAIK. Dans lun des rpertoires du kit dinstallation automatique Windows se trouvent deux images WIM de Win PE ainsi que des outils :
C:\Program Files\Windows AIK\Tools\x86>dir Le volume dans le lecteur C na pas de nom. Le numro de srie du volume est FC61-F515 Rpertoire de C:\Program Files\Windows AIK\Tools\x86 14/05/2006 23/02/2006 09/11/2005 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 14/05/2006 14/05/2006 18/02/2006 18/02/2006 10/02/2006 18/02/2006 20:13 15:01 16:01 01:03 01:03 01:50 01:06 01:50 01:50 20:13 20:13 01:50 01:48 16:09 01:05 <REP> 125 123 1 409 59 337 2 041 231 189 <REP> <REP> 1 318 2 75 231 boot boot.wim bootfix.bin bootmgr BootSect.exe cbscore.dll cmiv2.dll dpx.dll drvstore.dll efi en-us msxml6.dll msxml6r.dll oscdimg.exe peimg.exe
236
Windows PE 2.0
18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006 18/02/2006
01:50 01:50 01:05 01:50 1 01:50 01:02 01:05 01:05 14:07 132 01:05 01:33 23 fichier(s) 5 Rp(s) 9
824 smiengine.dll 520 smipi.dll 968 sys.exe 560 wcp.dll 744 wdscore.dll 113 wimfltr.inf 848 wimfltr.sys 640 wimgapi.dll 517 winpe.wim 984 ImageX.exe 224 xmllite.dll 265 479 439 octets 044 193 280 octets libres
La premire image se nomme winpe.wim, cest le Win PE 2.0 fourni pour dployer Windows Vista. La seconde image sappelle boot.wim. Les deux images font sensiblement la mme taille, 125 Mo et 130 Mo. Cependant, elles prsentent quelques diffrences non ngligeables. Dans les versions prcdentes de Win PE, il tait souvent reproch Win PE de mettre trop longtemps dmarrer car il ntait pas optimis. Ce problme est rsolu grce ces deux images. Vous trouverez deux modes dans cette nouvelle version de Win PE, un mode Prpar et un mode Non prpar. Vous crerez votre propre arborescence, ajouterez des lments, puis, au travers dune commande, vous pourrez loptimiser en fonction de son dmarrage via le rseau, un support USB ou un CD. Le fichier boot.wim est la version de Win PE "prpare". La problmatique du boot.win et des versions prpares, cest que vous ne pouvez plus ajouter de composants. Seul lajout de pilotes sera possible dans ce mode. Il est donc trs important de conserver une version dite non prpare de Win PE, ce qui est le cas avec winpe.wim. Pour voir la diffrence entre les versions, utilisez la commande suivante : ImageX /info nom_image.wim. 6. Le dploiement des ordinateurs Windows Vista en entreprise phase 1
La version winpe.wim
Pour visualiser le contenu de la version de winpe.wim, utilisez linstruction ImageX
/info winpe.wim. C:\Program Files\Windows AIK\Tools\PETools\x86>imagex /info winpe.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.
237
Chapitre 6
Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x8 Relative path junction
Available Image Choices: -----------------------<WIM> <TOTALBYTES>164491669</TOTALBYTES> <IMAGE INDEX="1"> <NAME>Microsoft Windows Vista PE (X86)</NAME> <DESCRIPTION>Microsoft Windows Vista PE (X86)</DESCRIPTION> <WINDOWS> <ARCH>0</ARCH> <PRODUCTNAME>Microsoft "Windows" Operating System</PRODUCTNAME> <PRODUCTTYPE>WinNT</PRODUCTTYPE> <PRODUCTSUITE></PRODUCTSUITE> <LANGUAGES> <LANGUAGE>fr-FR</LANGUAGE> <DEFAULT>fr-FR</DEFAULT> </LANGUAGES> <VERSION> <MAJOR>6</MAJOR> <MINOR>0</MINOR> <BUILD>6000</BUILD> <SPBUILD>16386</SPBUILD> </VERSION> <SYSTEMROOT>WINDOWS</SYSTEMROOT> </WINDOWS> <DIRCOUNT>2070</DIRCOUNT> <FILECOUNT>8293</FILECOUNT> <TOTALBYTES>708015723</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xBFD8DDC6</LOWPART> </CREATIONTIME> <LASTMODIFICATIONTIME> <HIGHPART>0x01C6FEC8</HIGHPART> <LOWPART>0xC375E20E</LOWPART> </LASTMODIFICATIONTIME> </IMAGE> </WIM>
Dans la partie <NAME> se trouve le nom de limage winpe.wim : Microsoft Windows Vista PE (X86). Cette version est la version de Windows Vista. Vous dcouvrirez un peu plus loin comment voir le contenu de chaque image. Cette version dimage est non prpare, il est donc possible dy ajouter des packages et des pilotes.
238
Windows PE 2.0
La version boot.wim
Pour visualiser le contenu de la seconde image de Win PE boot.wim, utilisez linstruction ImageX /info boot.wim.
C:\Program Files\Windows AIK\Tools\x86>ImageX /info boot.wim ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. WIM Information: ---------------GUID: {6c00797e-6e60-4b43-9be6-cf327f16f3f6} Image Count: 1 Compression: LZX Part Number: 1/1 Boot Index: 1 Attributes: 0x0 Available Image Choices: -----------------------<?xml version="1.0" encoding="UTF-16"?> <WIM> <TOTALBYTES>125121945</TOTALBYTES> <IMAGE INDEX="1"> <DIRCOUNT>362</DIRCOUNT> <FILECOUNT>2289</FILECOUNT> <TOTALBYTES>319894252</TOTALBYTES> <CREATIONTIME> <HIGHPART>0x1C638CD</HIGHPART> <LOWPART>0x196493A</LOWPART> </CREATIONTIME> <NAME>Windows Preinstallation Environment (x86)</NAME><WINDOWS ><ARCH>0</ARCH><PRODUCTNAME>Microsoft "Windows" Operating Syst em</PRODUCTNAME><PRODUCTTYPE>WinNT</PRODUCTTYPE><PRODUCTSUITE /><LANGUAGE>00000409</LANGUAGE><VERSION><MAJOR>6</MAJOR><MINOR >0</MINOR><BUILD>5308</BUILD><SPBUILD>17</SPBUILD></VERSION><S YSTEMROOT>WINDOWS</SYSTEMROOT></WINDOWS></IMAGE></WIM>
la partie <NAME> se trouve le nom de limage boot.wim : Windows Preinstallation Environment (x86). Cette version est la version de Dans dmarrage de Windows Vista. la diffrence de la version winpe.win, cette version dimage est prpare, il est donc impossible dy ajouter des packages, seuls les pilotes peuvent y tre ajouts.
239
Chapitre 6
Lutilisation de Win PE
Win PE 2.0 est capable de traiter trois aspects spcifiques.
j
Installation de Windows Vista : Win PE sexcute chaque fois que vous installez Windows Vista. Les outils graphiques qui collectent les informations de configuration au cours de la phase dinstallation sexcutent dans Windows PE. Rsolution des problmes : Win PE sert galement pour la rsolution de problmes. Par exemple, Win PE dmarre automatiquement et lance lenvironnement de rcupration de Windows. Rcupration : il peut tre utilis pour crer des solutions personnalises et automatises pour la rcupration et la reconstruction dordinateurs bass sur Windows Vista.
Win PE consomme moins de 100 Mo despace disque et peut sexcuter intgralement partir de la mmoire vive, ce qui vous permet dinsrer un deuxime CD contenant les pilotes ou les logiciels. Ces fonctionnalits permettent Windows PE de sexcuter sur des ordinateurs qui ne sont pas encore quips dun disque dur format ou dun systme dexploitation install. Cependant, Windows PE nest pas un systme dexploitation complet tel que Windows Vista. De plus, vous pouvez faire le test, Win PE redmarre toutes les 72 heures.
Lordinateur doit tre quip dun minimum de 256 Mo de RAM. Windows PE ncessite un priphrique daffichage compatible VESA et utilise la rsolution dcran la plus leve possible. Si Windows PE ne peut dtecter les paramtres vido, il utilise une rsolution de 640 x 480 pixels. Il prend en charge la rsolution de noms DFS (Distributed File System) uniquement pour les racines DFS autonomes. Vous ne pouvez accder aux fichiers ou dossiers dun ordinateur excutant Win PE partir dun autre ordinateur ; le service Serveur nest pas disponible dans Windows PE. Win PE prend en charge la fois IPv4 et IPv6 mais ne prend pas en charge dautres protocoles, tels que IPX/SPX. Les affectations de lettres dunit ne sont pas persistantes dune session lautre. Aprs le redmarrage de Win PE, les affectations de lettres dunit sont dans lordre par dfaut. Windows PE ne prend pas en charge le .NET Framework.
j j
j j
240
Windows PE 2.0
Dans la mesure o WOW (Windows on Windows) nest pas pris en charge, les applications 16 bits ne sexcutent pas dans les versions 32 bits de Windows PE, et les applications 32 bits ne sexcutent pas dans les versions 64 bits de Win PE. Win PE redmarre 72 heures aprs le dmarrage initial.
Les outils
Un certain nombre doutils permettent dutiliser Win PE, certains sont inclus dans Win PE, dautres non. Voici la liste et les fonctions de ces outils
j
ImageX : il nest pas prsent dans Win PE, mais vous pouvez le trouver dans le resource kit de dploiement. Il est utilis pour lajout dune image, la capture dimages, lapplication dimages, etc. DiskPart : cest un outil qui permet de crer ou supprimer des partitions. Il nest pas nouveau mais cest uniquement aprs la cration dune partition que vous pourrez descendre limage WIM. Drvload : cest un nouvel outil. Vous pouvez utiliser la commande drvload pour ajouter des pilotes de priphrique, comme des chipsets audio, vido et des chipsets de carte mre une image Windows PE. Vous pouvez galement utiliser la commande drvload pour charger dynamiquement un pilote aprs le dmarrage de Windows PE. OSCDImg : cet outil permet de crer une image ISO de son Win PE. PEImg : il permet de lister ou dajouter des composants en ligne de commandes dans Win PE, mais galement de prparer une image. BCDEdit : cet outil permet dditer les donnes de configuration de dmarrage (Boot Configuration Data). Il est aussi utilis pour ajouter WINPE dans un menu de boot. Cest le remplaant du boot.ini.
j j j
241
Chapitre 6
Ajouter un package
Une fois les packages lists, il vous faut installer les packages non installs. Si vous souhaitez utiliser des applications HTML, il vous faudra ajouter le package HTA (HTML Applications). Pour cela, utilisez la commande peimg avec le commutateur 242
Windows PE 2.0
/install suivi du signe = et du nom exact du package list prcdemment. Pour installer le package HTA, saisissez la commande suivante : C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\Windows /install=WinPE-HTA-Package Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Lang | Version | Ins | Name ------+-------------+-----+----------------------------------en-US |6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------|6.0.5308.17 | + | WinPE-HTA-Package ------+-------------+-----+----------------------------------Installed 2 packages. PEIMG completed the operation successfully.
Win PE dans les environnements dentreprise Vous pouvez ajouter chaque pilote requis par nimporte quel ordinateur de votre organisation une image Windows PE unique, de sorte que limage fonctionne avec nimporte lequel de vos ordinateurs.
Chapitre 6
Prparer limage
Il existe deux modes dimages Win PE : un mode non prpar, qui permet lajout de packages et pilotes et un mode prpar permettant doptimiser votre version de Win PE une fois celle-ci personnalise. Le passage dun mode lautre ne se fait pas automatiquement, il faut utiliser la commande peimg /prep :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\windows /PREP Pre-Installation Environment Image Setup Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. [==========================100.0%==========================] PEIMG completed the operation successfully. C:\Program Files\Windows AIK\Tools\x86>
244
Windows PE 2.0
Configuration de la cl USB La cl USB doit tre formate en FAT32 et surtout la partition de cette cl doit tre marque comme active. Sans quoi, le dmarrage ne seffectuera pas.
Repackager limage
Une fois votre Win PE prpar, il ne reste plus qu remettre limage au format WIM et la rendre bootable. Pour raliser cette tche, utilisez la commande ImageX avec les connecteurs / boot si vous souhaitez rendre limage bootable, /compress maximum pour optimiser limage, suivi du connecteur /capture pour capturer limage.
C:\Program Files\Windows AIK\Tools\x86>ImageX /boot /compress maximum /capture "c:\extractPE" "c:\lab-winPE\WINPE LAB.wim" W inpeLab" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Progress: 100% Successfully imaged c:\extractPE
Win PE doit tre le plus petit possible, afin de pouvoir tre stock sur un support amovible tel quun CD ou une cl USB, tre dmarr rapidement et tre stock intgralement dans la mmoire de lordinateur. La taille de Windows PE varie en fonction de la faon dont vous personnalisez limage, mais il consomme gnralement moins de 100 Mo lorsquil est compress au format WIM. Les versions 64 bits de Win PE sont plus volumineuses, et la personnalisation de limage Win PE avec des packs de langues ou des applications fait augmenter la taille. Pour rduire lutilisation de la mmoire, Win PE peut sexcuter partir dune image compresse. Vous pouvez compresser Win PE dans un fichier WIM et lexcuter partir de la mmoire sans le dcompresser. Vous tirez parti de la compression la fois lors du stockage de limage sur un disque et aprs son chargement dans la mmoire de lordinateur. Pour rduire le stockage sur disque, le format WIM stocke une seule instance des fichiers dupliqus. Par consquent, si vous disposez dun fichier WIM avec deux images Win PE, les fichiers partags par les deux images sont stocks une seule fois. Voici linterface Windows PE que vous avez lcran lorsque vous dmarrez sur votre mdia personnalis :
245
Chapitre 6
Windows PE contribue rendre votre infrastructure informatique efficace et fiable. Microsoft vous offre cet outil lger, puissant et flexible pour linstallation, la configuration et le dpannage. Vous allez pouvoir crer vos propres mdias personnaliss et mme utiliser Windows PE pour dautres outils dadministration de Windows Vista. En ce qui concerne le dploiement, Windows PE est la brique de base de linstallation car cest la plateforme qui va vous permettre de manipuler limage wim : la capturer ou lappliquer.
6.8.
En rsum
Vous venez dtudier les outils trs importants de prparation au dploiement. Le chapitre suivant est la deuxime partie du dploiement de Windows Vista ; vous allez y aborder la manire deffectuer ce dploiement.
246
Chapitre 7
A
7.1.
u chapitre prcdent, vous avez appris la technologie autour du dploiement des ordinateurs Windows Vista en entreprise et vous avez prpar le dploiement (utilisation de Sysprep et de Win PE). Maintenant, crez, appliquez, personnalisez et maintenez les images Windows Vista pour un dploiement efficace.
Cest une des nouveauts majeures de Windows Vista : lapparition dun format dimage disque pour linstallation et le dploiement. Le format WIM va changer nos habitudes en ce qui concerne linstallation et le dploiement. Cest la commande ImageX qui permet de manipuler les fichiers WIM (les capturer, les appliquer, les maintenir, etc.). Une fois que vous avez cr votre installation de rfrence sur un ordinateur de test, excut la commande Sysprep, redmarr votre ordinateur sous Windows PE 2.0, vous tes fin prt pour capturer limage qui vous servira de rfrence dans votre processus de dploiement.
Prsentation dImageX
ImageX est un outil de ligne de commande ( lancienne !) qui permet aux entreprises de capturer, de modifier et dappliquer des images disques de fichiers pour raliser des dploiements rapides. Loutil ImageX fonctionne avec des fichiers image systme Windows WIM pour la copie vers un rseau, mais il peut utiliser dautres technologies qui exploitent les images .wim, comme linstallation de Windows, les services de dploiement Windows et le Feature Pack de dploiement de systme dexploitation pour SMS.
La possibilit de travailler sur nimporte quelle plateforme matrielle prise en charge par Windows : rien que cet argument devrait suffire convaincre. Cela veut dire que, peu importe la plateforme matrielle utilise par lordinateur de test, limage capture servira pour tous les ordinateurs de lentreprise. Lapplication dimages non destructive : ImageX ne procde aucun remplacement global du contenu de votre lecteur. Vous pouvez slectionner les informations ajouter ou supprimer. Limage sappliquera mme sur une partition sur laquelle des donnes sont prsentes (on pense aux cas de la rinstallation) ; lorsque vous 249
Chapitre 7
capturerez une image, vous pourrez la fois capturer limage dune partition et gnrer le fichier WIM associ sur cette mme partition.
j j
La possibilit dinclure des images dans une seule et mme image. Une taille dimage rduite en raison de linstanciation unique : cela signifie un stockage distinct pour les donnes du fichier et les informations du chemin daccs. Cette particularit permet aux fichiers prsents dans plusieurs chemins daccs ou plusieurs images dtre stocks une seule fois tout en tant partags entre les images. La possibilit de traiter un fichier image comme un rpertoire : vous pouvez ainsi ajouter, copier, coller et supprimer des fichiers en utilisant un outil de gestion de fichiers tel que lExplorateur Windows. Vous pouvez travailler et maintenir limage froid (hors connexion). Plus de flexibilit et un contrle accru sur le support dploy. Lextraction rapide dimages pour raccourcir le temps dinstallation. Deux algorithmes de compression diffrents, Rapide et Maximum, pour diminuer davantage la taille de vos images.
j j j
Nombreux sont les assembleurs et les entreprises qui ont besoin de dployer et dinstaller Windows en un temps record tout en intgrant les applications, paramtres et mises jour voulues. Le raccourcissement du temps dinstallation et de dploiement abaisse les cots de production et peut diminuer le cot et les risques de planification des dploiements raliss par les entreprises. Des tudes ont montr que plus la technique de dploiement dun systme dexploitation tait souple et performante et plus le taux dadoption du systme dexploitation par les entreprises tait lev. Auparavant, les entreprises qui devaient rduire au minimum la dure de leur installation de Windows utilisaient les outils tiers dacquisition dimages fonde sur les secteurs (les plus connus tant Symantec Ghost et Acronis True Image) pour dupliquer une installation de Windows sur un nouveau matriel informatique. Les outils dacquisition dimages de secteurs prsentent certaines limites :
j
Lacquisition dimages fonde sur les secteurs implique que lordinateur de destination utilise la mme couche dabstraction matrielle, ou couche HAL (Hardware Abstraction Layer), que lordinateur de test sur lequel limage a t capture. Dans la plupart des cas, cela signifie que les modles dordinateurs doivent tre les mmes ! Ce qui vous oblige avoir et maintenir, par exemple, une image pour les ordinateurs HP, une pour les Dell, une pour les IBM, etc., et mme une image diffrente pour les ordinateurs HP et une autre pour les portables HP Elle suppose que lordinateur de destination dmarre partir du mme contrleur de stockage de masse que lordinateur de test sur lequel limage a t capture. Elle dtruit le contenu existant sur le disque dur de lordinateur de destination, ce qui complique les scnarios de dploiement de Windows. Lopration est destructive.
j j
250
Elle duplique scrupuleusement le disque dur, ce qui implique un dploiement de limage uniquement sur des partitions du mme type, et de taille minimale identique, que celles de lordinateur matre. Elle ne permet pas la modification directe des fichiers mis en image. Elle peut ncessiter lachat dapplications et de services tiers.
j j
La puissance et la souplesse du tandem ImageX et WIM permettent de passer outre ces limitations.
La cration dune image pour un dploiement rapide : le scnario le plus courant qui est excut par ImageX est la capture et lapplication dune image partir dun emplacement rseau pour raliser un dploiement rapide. Ce scnario implique le dmarrage de lordinateur de test dans Windows PE, la capture de limage avec ImageX, la mise en place de cette image sur un partage rseau et lapplication de cette image sur les ordinateurs de destination. Cest ce que nous dveloppons dans les chapitres. La modification dun fichier image : un autre scnario dImageX classique consiste personnaliser une image existante en englobant les fichiers et les dossiers de mises jour. Ce scnario passe par lajout, la suppression, la modification et la copie de fichiers partir de votre image grce au pilote WIM FS Filter (Windows Imaging File System Filter) et un outil de gestion de fichiers comme lExplorateur Windows.
Vous pouvez utiliser ImageX uniquement pour capturer et appliquer une version complte du systme dexploitation et des applications logicielles. Vous ne pouvez pas utiliser cet outil pour capturer et appliquer des mises niveau vers un systme dexploitation ou pour des applications. Vous pouvez utiliser uniquement des fichiers .wim pour interagir avec ImageX. Les images prcdentes, cres avec des outils dacquisition dimages tiers, sont inutilisables avec la technologie ImageX. Seul un type de compression unique peut tre utilis pour un fichier .wim. Les fichiers image ajouts doivent utiliser le mme type de compression que la capture initiale.
251
Chapitre 7
Vous pouvez monter une image uniquement partir de Microsoft Windows XP SP2, Microsoft Windows Server 2003 SP1 ou Windows Vista. Les systmes dexploitation concerns par ImageX Mme si loutil ImageX ne peut pas monter dimages partir dordinateurs excutant dautres systmes dexploitation, il peut nanmoins capturer et appliquer des images pour toute version de Windows Vista, Windows Server 2003, Windows XP et Windows 2000 Professionnel.
Il est possible de monter un fichier .wim dot dautorisations de lecture/criture uniquement sur un systme de fichiers NTFS. La limite des 2 Go impose par les systmes de fichiers FAT est ainsi contourne, et la perte ventuelle de donnes due aux systmes de fichiers FAT ou non NTFS est vite. Utilisation dImageX selon le format de fichier Mme si loutil ImageX ne peut monter un fichier .wim avec des autorisations de lecture/criture qu partir dun systme de fichiers NTFS, vous pouvez malgr tout monter vos images en lecture seule partir des systmes de fichiers NTFS, FAT, ISO et UDF. Il est impossible denregistrer les modifications apportes au fichier image lorsquil est mont en lecture seule.
ImageX et le format dimage .wim ne doivent pas tre utiliss en conjonction pour se substituer aux outils de sauvegarde/restauration de Windows Vista.
Dautres outils de Windows sont indispensables, par exemple Diskpart ou loutil de formatage, pour prparer les disques afin de constituer des images de volumes. Outils quil vaut mieux intgrer directement dans une version personnalise de Windows PE.
Larchitecture dImageX
ImageX est un outil dacquisition dimages construit partir dun ensemble dAPI, appel API dacquisition dimages systme pour Windows. La principale utilit dImageX est de capturer, de modifier et dappliquer des images en vue de leur dploiement dans un environnement informatique dentreprise ou de fabrication. ImageX prend en charge le nouveau format dacquisition dimages de Windows Vista : le format .wim. ImageX repose sur diffrents composants, notamment sur lexcutable ImageX (ImageX.exe), sur le filtre du systme de fichiers WIM (Wimfltr.sys et Wimfltr.inf), sur lensemble dAPI WIM et sur le format de fichier .wim.
252
253
Chapitre 7
Description Couche API qui interagit la fois avec le programme excutable ImageX et avec le pilote du filtre WIM FS. Cest aussi linterface principale pour les outils tiers et la technologie dinstallation. Les API peuvent tre classes selon les fonctions suivantes : - ajouter, mettre jour et supprimer des donnes de fichier ; - ajouter, mettre jour et supprimer des donnes dimage ; - extraire des donnes dimage ; - monter une image laide du filtre du systme de fichiers WIM ; - grer le fractionnement dimages ; - surveiller le statut et la progression de la messagerie. Une collection de fichiers image qui contient un systme dexploitation et ses composants. ImageX utilise le format de fichier .wim pour la capture, la maintenance hors connexion et le processus de dploiement. ImageX offre ainsi une solution dacquisition dimages complte pour vos scnarios de dploiement.
La commande ImageX
ImageX est un outil de ligne de commande de Windows Vista que vous pouvez utiliser pour crer et grer des fichiers dimage Windows. Un fichier .wim contient une ou plusieurs images de volumes, des volumes de disques contenant des images dun systme dexploitation Windows install. Pour modifier vos images de volumes, vous devez installer le pilote de filtre systme de fichier dimage Windows (filtre WIM FS) sur un ordinateur excutant Windows XP SP2, Windows Server 2003 SP1 ou Windows Vista. Linstallation du pilote de filtre WIM FS vous permet de monter un fichier .wim comme sil sagissait dun rpertoire et de rechercher, copier, coller et diter les images de volumes depuis un outil de gestion de fichiers comme lExplorateur Windows, sans extraire ou sans recrer limage. La commande ImageX comprend un certain nombre de commutateurs qui ont leur propre rle dans les diffrentes phases de manipulation dune image WIM.
IMAGEX
Permet de manipuler les images WIM laide de nombreux commutateurs.
Syntaxe :
imagex [indicateurs] {/append | /apply | /capture | /delete | /dir | /export | /info | /split | /mount | /mountrw | /unmount} [paramtres] Ajoute une image de volume un fichier image Windows .wim existant.
/append
254
/apply /capture /delete /dir /export /info /mount /mountrw /split /unmount
Applique une image de volume un disque spcifi. Capture une image de volume issue dun disque dans un nouveau fichier .wim. Supprime limage de volume spcifie dun fichier .wim comportant plusieurs images de volumes. Affiche une liste des fichiers et des dossiers contenus dans limage de volume spcifie. Exporte une copie du fichier .wim spcifi vers un autre fichier .wim. Renvoie les descriptions XML enregistres pour le fichier .wim spcifi. Monte un fichier .wim avec droit de lecture seule vers un rpertoire spcifi. Monte un fichier .wim avec droit de lecture/criture vers un rpertoire spcifi. Divise un fichier .wim existant en plusieurs fichiers .wim diviss .swm en lecture seule. Dmonte limage monte dun rpertoire spcifi.
IMAGEX /APPLY
Applique une image de volume un disque spcifi.
Syntaxe :
Fichier_image numro_image nom_image
imagex /apply [fichier_image numro_image | nom_image chemin_image] {/check | /ref | /scroll | /verify} Le nom et la situation de limage de volume applique au rpertoire. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui identifie limage dans le fichier .wim.
255
Chapitre 7
chemin_image /check
Le chemin du fichier o limage sera applique. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
/ref splitwim.swm Active la rfrence des fichiers .wim diviss (SWM). splitwim.swm est le nom et la situation des fichiers diviss supplmentaires. Les caractres gnriques sont accepts. /scroll /verify Droule la liste des rpertoires pour rediriger le fichier rsultant de lopration. Active la vrification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.
Vous devez crer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous excutez cette option laide dun script. Si vous utilisez loption /apply pour une structure de rpertoire, cette option inclura le rpertoire spcifi, y compris tous les sous-rpertoires et tous les fichiers. Vous devez inclure le rpertoire parent pour loption /apply. Sinon, lorsque limage sera applique, elle remplacera tout ce qui se trouve cet endroit. Par exemple, si vous appliquez limage au disque C, loption /apply remplacera tout ce qui se trouve sur le disque C par vos fichiers image. Pour automatiser la cration dun rpertoire, vous devez ajouter la commande mkdir
nom_rpertoire votre script avant dexcuter imagex /apply.
Par exemple : imagex /apply e:\images\puzzmaniainstall.wim 1 c: /verify. La numrotation de limage est importante dans lapplication dune image. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
256
IMAGEX /CAPTURE
Capture une image de volume issue dun disque dans un nouveau fichier .wim. Les rpertoires capturs comprennent tous les sous-dossiers et toutes les donnes. Vous ne pouvez capturer un rpertoire vide. Un rpertoire doit contenir au moins un fichier.
Syntaxe :
imagex /capture chemin_image fichier_image "nom" {"description"} {/boot | /check | /compress [type] | /config | /flags "IDdition" | /scroll | /verify} Le nom et la situation de limage du volume pour la capture. Le nom et la situation du nouveau fichier .wim. Le nom du nouveau fichier .wim. Cette valeur est obligatoire. Les guillemets dactylographiques sont obligatoires. Texte constituant des informations de rfrence supplmentaires. Cette valeur est facultative. Les guillemets dactylographiques sont obligatoires. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
/boot
/check
/compress [maximum | rapide | aucune] Spcifie le type de compression utilise pour lopration de capture initiale. Loption maximum propose la meilleure compression mais le temps de capture de limage est le plus long. Loption rapide propose une compression dimage plus rapide mais les fichiers rsultants ont une taille plus importante que ceux compresss avec loption maximum. Cest galement le type de compression par dfaut, utilis si vous laissez ce paramtre vide. Loption aucune ne compresse pas du tout limage capture. /config fichier _configuration.ini Le nom et la situation du fichier de configuration. Vous pouvez renommer ce fichier comme vous le souhaitez.
257
Chapitre 7
/flags "IDdition" Spcifie la version de Windows capturer. La valeur de /flags est obligatoire si vous redployez un fichier Install.wim personnalis avec le programme dinstallation de Windows. Les guillemets dactylographiques sont obligatoires. Cet indicateur nest pas ncessaire si vous dployez limage laide dImageX. Les valeurs valides de lattribut IDdition sont les suivantes : HomeBasic, HomePremium, Starter, Ultimate, Business, Enterprise, ServerDatacenter, ServerEnterprise, ServerStandard. /scroll /verify Droule la liste des rpertoires pour rediriger le fichier rsultant de lopration. Active la vrification des ressources du fichier en recherchant les erreurs et la duplication des fichiers.
ImageX ne prend pas en charge les attributs tendus. ImageX ignore les attributs tendus au cours dune opration de capture. Pendant lopration de capture, la compression rapide est automatiquement applique. Si vous dsirez un type de compression diffrent, utilisez loption /compress. Alors que le type de compression que vous choisissez affecte le temps de capture, il naffecte que lgrement le temps dapplication. Si vous renommez votre fichier Liste_configuration.ini en Wimscript.ini et si vous lenregistrez dans votre rpertoire ImageX (o est situ le fichier ImageX.exe), il sera excut automatiquement lorsque vous excutez loption /capture, sans vous demander dutiliser loption /config. Loption /verify affectera le temps de capture global. Pendant lopration de capture, la barre de progression indique seulement ltat de lopration de capture et non celui de la vrification. Lorsque la capture est termine, le processus de vrification commence. Ce processus prend du temps mme si la barre de progression affiche 100 %. Loption de compression maximum compresse environ 40 % la taille de limage, ce qui est dans le standard lev des outils tiers actuels du march. Par exemple : imagex /capture c: c:\images\puzzmaniainstall.wim /verify.
IMAGEX /INFO
Renvoie les descriptions XML enregistres pour le fichier .wim spcifi, incluant mais sans limitation la taille totale du fichier, le numro dindice dimage, le nombre de rpertoires, le nombre de fichiers et une description.
Syntaxe :
fichier_image numro_image nom_image nouveau_nom
imagex /info fichier_img [numro_img | nom_img] [nouveau_nom] [nouvelle_desc] {/boot | /check} Le nom et la situation du fichier .wim pour rvision des donnes XML. Le numro qui identifie une image dans le fichier .wim. Le nom qui identifie une image dans le fichier .wim. Le nouveau nom unique de limage spcifie.
259
Chapitre 7
nouvelle_desc /boot
La nouvelle description de limage spcifie. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
/check
Par exemple : imagex /info c:\images\puzzmaniainstall.wim. Cette commande est trs utile pour connatre le contenu dune image et savoir par exemple si limage contient dautres images WIM.
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista avec droit de lecture/criture vers un rpertoire spcifi. Une fois que le fichier est mont, vous pouvez voir et modifier toutes les informations contenues dans le rpertoire.
260
Syntaxe :
fichier_image numro_image nom_image chemin_image /check
imagex /mountrw [fichier_image numro_image | nom_image chemin_image] {/check} Le chemin du fichier .wim contenant limage spcifie. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui rfrence limage dans le fichier .wim. Le chemin du fichier o limage spcifie sera monte. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Vous devez installer le filtre WIM FS avant de pouvoir monter une image. Loption /mountrw exige un accs exclusif au fichier .wim. Par consquent, vous ne pouvez pas utiliser loption /mountrw si une image est dj monte laide de loption /mount ou de loption /mountrw. Vous ne devez pas monter une image vers le rpertoire parent ou les sous-rpertoires dun rpertoire dj mont. Lors du montage dune image vers un rpertoire contenant des fichiers, les fichiers existants seront cachs jusqu ce vous excutiez loption /unmount. De plus, vous ne devez pas monter votre image dans les dossiers rservs Windows. Par exemple : imagex /mountrw c:\images\puzzmaniainstall.wim 1 c:\mount.
261
Chapitre 7
IMAGEX /SPLIT
Divise un fichier .wim existant en plusieurs fichiers .wim, diviss en .swm en lecture seule.
Syntaxe :
fichier_image dest_fichier Taille /check
imagex /split fichier_image dest_fichiers taille {/check} Le nom et la situation du fichier .wim diviser. Le chemin des fichiers diviss. La taille maximale en mgaoctets (Mo) de chaque fichier cr. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Cette commande cre des fichiers .swm dans le rpertoire spcifi, nommant chaque fichier par le nom spcifi dans fichier_image, mais en ajoutant un numro et avec lextension .swm. Par exemple, si vous choisissez de diviser un fichier nomm Data.wim, cette option crera les fichiers Data.swm, Data2.swm, Data3.swm, etc., dfinissant chaque portion du fichier .wim divis. Par exemple : imagex /split c:\images\newvista.wim 600.
262
IMAGEX /UNMOUNT
Dmonte limage monte dun rpertoire spcifi.
Syntaxe :
chemin_image
imagex /unmount chemin_image {/commit} Le chemin complet du rpertoire pour dmonter les fichiers. Si vous ne spcifiez pas de rpertoire, cette option dressera la liste de toutes les images montes.
Vrifiez que vous disposez dun espace disque suffisant pour ajouter les fichiers de votre image. Vous devez compter la taille des fichiers que vous ajoutez au fichier .wim, plus toute augmentation de taille due la modification des fichiers existants, moins les fichiers que vous avez supprims, avant dexcuter loption /commit. Si lespace disque est insuffisant, une erreur se produira. Si vous utilisez loption /unmount sans loption /commit, vos modifications seront rejetes. Afin de pouvoir enregistrer vos modifications, vous devez monter limage en utilisant loption /mountrw et utiliser loption /commit lors du dmontage de limage ; par exemple : imagex /unmount /commit c:\mount.
Chapitre 7
2. Vous vous tes assur que le comportement du poste de travail tait tout fait stable. 3. Vous avez excut la commande Sysprep afin de prparer le systme la duplication. 4. Vous redmarrez lordinateur sur votre mdia personnalis Windows PE 2.0 sur lequel vous avez rajout la commande ImageX. 5. Vous allez maintenant utiliser la commande ImageX /capture afin de crer limage de rfrence. 6. Dans la fentre dInvite de commande Windows PE, tapez : imagex /compress maximum /capture c: c:\images\puzzmaniainstall.wim /verify. Limage de rfrence se cre. Loption de compression maximum compresse environ 40 % la taille de limage, ce qui est dans le standard haut des outils tiers actuels du march. Remarquez que vous capturez la partition C: mais que vous tes en train de crer cette image sur cette mme partition. Cest possible car ImageX est non destructif. Cest un des nombreux avantages de loutil. Tout de mme, ImageX /capture est destin capturer une image des fins de dploiement et non de sauvegarde de lordinateur. Une fois limage cre, vous pouvez redmarrer lordinateur en mode normal. Dans lutilisation des images WIM, la capture est dautant plus cruciale quil faut bien que vous gardiez lesprit que le but du jeu est de crer une et une seule image : un seul fichier qui puisse servir au dploiement de Windows Vista sur tous les ordinateurs de lentreprise. Voici quelques conseils de cration dimage : 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2
j j j
Ayez toujours lesprit que vous crer une image pour quelle soit unique pour toute lentreprise. Matrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver une image unique.
Configurez soigneusement et scrupuleusement lordinateur de test, cest--dire la version de Windows Vista installe, les paramtres, les applications, le style, la scurit, les comptes utilisateurs, les accs, etc. Rcuprez et conservez sur le rseau ou sur un support amovible limage ainsi cre. Sauvegardez cette image.
264
7.2.
Aprs avoir captur votre image de rfrence, il sera temps pour vous de lintgrer dans votre processus de dploiement de postes de travail Windows Vista. Par la suite, Vous pourrez utiliser WDS comme outil de dploiement, par exemple. Mais vous serez peut-tre amen dployer uniquement avec les outils livrs avec Windows Vista. Pour cela vous allez utiliser le tandem Windows PE 2.0 et ImageX pour appliquer une image WIM un ordinateur. Vous le ferez peut-tre en conjonction dun fichier Autounattend.xml par exemple. Dans ce chapitre, vous allez dcouvrir le droulement de lapplication manuelle dune image WIM sur un ordinateur laide de Windows PE et ImageX et vous comprendrez mieux le mcanisme dinstallation par image. Ce chapitre vous dtaille un scnario dutilisation de bout en bout de la commande ImageX.
265
Chapitre 7
diskpart select disk 0 create partition primary size=<taille souhaite> select partition 0 active format fs=ntfs label="Systme" quick assign letter=c exit
3. Assurez-vous que vous accdez correctement votre image (qui se trouve soit sur un mdia amovible, soit sur le rseau). 4. Vous allez maintenant utiliser la commande ImageX /apply pour appliquer limage sur la station de travail. Vous devez crer toutes les partitions du disque dur avant de commencer ce processus, sauf si vous excutez cette option laide dun script. Si vous utilisez loption /apply pour une structure de rpertoire, cette option inclura le rpertoire spcifi, y compris tous les sous-rpertoires et tous les fichiers. 5. Dans la fentre dInvite de commandes Windows PE, tapez la ligne suivante : imagex /apply e:\puzzmaniainstall.wim 1 c: /verify. Le processus est lanc. Votre image sinstalle. Comptez une dure dapplication de 11 ou 12 minutes avec une image standard de Windows Vista. Ce qui est intressant, cest de constater quune image personnalise, incluant par exemple le pack Office 2007, ne prend quune minute de plus pour tre applique. 6. Une fois le processus termin, redmarrez lordinateur. Vous entrez alors en mode daccueil de premier dmarrage de Windows Vista (finalisation de linstallation), qui peut tre contrl et automatis par lajout des fichiers Unattend.xml et/ou Oobe.xml. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 Voici quelques conseils pour lapplication dimage :
j j j j
Essayez, dans la mesure du possible, dappliquer la mme image Windows sur tous les postes pour garder une cohrence et une efficacit de dploiement Matrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver au but recherch.
Configurez correctement le disque dur de lordinateur de destination laide de Diskpart.exe si vous utilisez Windows PE ou laide dun fichier Autounattend.xml. Avant de vous lancer, testez soigneusement et scrupuleusement lapplication de limage sur un ordinateur de test et validez lusage de limage (la version de Windows Vista installe, les paramtres, les applications, le look, la scurit, les comptes utilisateurs, les accs, etc.).
266
Personnaliser limage
7.3.
Personnaliser limage
Vous avez la possibilit de personnaliser limage que vous avez capture afin de lui donner une identit dentreprise plus marque. Vous avez la possibilit de personnaliser les crans daccueil de premier dmarrage de Windows Vista, lAccueil Windows et labonnement auprs dun fournisseur de services Internet en les configurant aux couleurs de votre entreprise. De ce fait, Windows Vista vous permet, en tant que membre dun service informatique, dapporter une proximit supplmentaire entre lutilisateur et son service informatique.
Le chier Oobe.xml
Oobe.xml (prononcez "oubi") est un fichier qui sert collecter du texte et des images pour personnaliser les crans daccueil de premier dmarrage de Windows Vista, lAccueil Windows et labonnement auprs dun fournisseur de services Internet. Pour crer une image systme de Windows unique comprenant plusieurs langues et destine tre livre dans plusieurs pays, vous pouvez ajouter diffrents fichiers Oobe.xml afin de personnaliser le contenu en fonction des slections de langue et de pays ou de rgion du client. Oobe.xml est un fichier de contenu qui peut tre utilis en liaison avec Unattend.xml pour recevoir et dployer des personnalisations dentreprises pour les crans daccueil de premier dmarrage de Windows (utile pour les constructeurs et assembleurs), pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet. Le fichier Oobe.xml offre les avantages suivants :
j
un seul fichier pour recevoir les documentations et les ressources daccompagnement de personnalisation pour les crans daccueil de personnalisation de Windows Vista ; un espace de stockage pour les fichiers et les informations concernant les valeurs par dfaut des paramtres internationaux ; un espace de stockage pour des offres spcifiques une langue lintention des utilisateurs ; un espace de stockage pour les choix darrire-plan de Bureau des utilisateurs ; un espace de stockage pour les termes du contrat de licence logiciel Microsoft et vos termes du contrat de licence avec les utilisateurs.
j j j j
En liaison avec Unattend.xml, il permet de dfinir des valeurs par dfaut dentreprise pour les crans daccueil de premier dmarrage de Windows, pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet.
267
Chapitre 7
Sans Unattend.xml, il permet de dfinir des valeurs par dfaut dentreprise pour les crans daccueil de Windows, pour lAccueil Windows et pour labonnement auprs dun fournisseur de services Internet.
Bien que le fichier Oobe.xml puisse contenir toutes les informations dont vous avez besoin pour personnaliser les crans daccueil de Windows, vous pouvez utiliser les paramtres Unattend.xml pour dfinir si et comment lutilisateur final pourra choisir les options rgionales. De plus, vous pouvez utiliser les paramtres Unattend.xml pour montrer ou masquer diffrentes pages des fins de test. Voici les composants avec les paramtres Unattend.xml qui peuvent servir manipuler des pages dcrans daccueil de premier dmarrage de Windows :
j j j
Faisons une correspondance entre les pages dcrans daccueil de premier dmarrage Windows Vista, les paramtres Unattend.xml et les rsultats affichs.
Tableau 7.2 : Correspondance entre les pages dcrans daccueil de premier dmarrage
MicrosoftWindowsInternational Core | UILanguage MicrosoftWindowsInternational Core | InputLocale MicrosoftWindowsInternational Core | SystemLocale MicrosoftWindowsInternational Core | UILanguageFallback MicrosoftWindowsInternational Core | UserLocale
Si ces quatre paramtres sont dfinis, cette page est ignore. Si des paramtres individuels sont dfinis, les champs napparaissent pas sur cette page.
MicrosoftWindowsShellSetup Si ce paramtre est dfini, la page sera | OOBE | HideEULAPage ignore. Il est suppos que ladministrateur dentreprise accepte les termes du contrat de licence logiciel Microsoft pour les utilisateurs. MicrosoftWindowsSetup | UserData | ProductKey | Key MicrosoftWindowsSetup | UserData | ProductKey | WillShowUI Si Windows dtecte une installation de version commerciale dans laquelle lutilisateur a dj entr une cl, une installation de licence multiple ou une cl de produit valide dans Unattend.xml, cette page ne sera pas affiche.
Cl de produit
268
Personnaliser limage
Paramtres Unattend.xml
Rsultats
MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Description MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | DisplayName MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Group MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Name MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Password | PlainText MicrosoftWindowsShellSetup | UserAccounts | LocalAccounts | LocalAccount | Password | Value
Si un compte dutilisateur a t cr avec ce paramtre, cette page ne sera pas affiche. Si cette page nest pas affiche, une fentre de lutilisateur sera automatiquement slectionne pour lutilisateur. Il ny a pas de paramtre Unattend.xml pour dfinir une fentre de lutilisateur.
Nom dordinateur
MicrosoftWindowsShellSetup Si le paramtre ComputerName a t | ComputerName dfini, cette page ne sera pas affiche. Cette page contrle aussi le choix du papier peint initial. Si cette page nest pas affiche, le premier papier peint du bureau Windows sera slectionn par dfaut. Ce paramtre peut tre dfini en spcifiant un thme dans Unattend.xml, mais ce paramtre ne dtermine pas si cette page est affiche ou non. MicrosoftWindowsShellSetup Si ce paramtre a t dfini, la page ne sera | OOBE | ProtectYourPC pas affiche et la valeur approprie sera dfinie. Les valeurs possibles sont : - 1 (recommandes) ; - 2 (seulement les mises jour dinstallation) ; - 3 (nactive aucune protection). Non applicable Si toutes les pages des autres crans daccueil de Windows sont ignores, cette page ne sera pas affiche.
Protgez votre PC
Page finale
Lorsquil est utilis exclusivement pour la personnalisation, les paramtres internationaux et les offres, Oobe.xml affiche toutes les pages dcrans daccueil de Windows, la page unique de lAccueil Windows et lAssistant pour labonnement auprs dun fournisseur de services Internet.
269
Chapitre 7
Le fonctionnement dOobe.xml
Laccueil de premier dmarrage de Windows, lAccueil Windows et les opportunits dabonnement au fournisseur daccs Internet qui occupent le contenu du fichier Oobe .xml vrifieront et chargeront ce fichier aux endroits suivants et dans cet ordre : 1. %WINDIR%\system32\oobe\info\oobe.xml. 2. %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. 3. %WINDIR%\system32\oobe\info\<pays>\<langue>\oobe.xml. Lorsque laccueil de premier dmarrage Windows trouve un nouveau fichier lun de ces endroits, il remplace toutes les informations trouves dans les fichiers Oobe.xml prcdents nud par nud. LAccueil Windows et les opportunits dabonnement au fournisseur daccs Internet neffectueront pas de remplacement nud par nud. Au lieu de cela, les informations trouves dans le nouveau fichier Oobe.xml remplaceront toutes les informations contenues dans les fichiers Oobe.xml prcdents. Lors dun dploiement dans une seule langue, lorsquil sexcute pour la premire fois, laccueil de premier dmarrage de Windows recherchera un fichier Oobe.xml lendroit suivant : %WINDIR%\system32\oobe\info\. Aprs la slection par lutilisateur dun pays ou dune rgion, laccueil de premier dmarrage de Windows recherchera une autre version du fichier Oobe.xml lendroit suivant : %WINDIR%\system32\oobe\info\<pays>. Si un dossier de pays correspondant au pays slectionn par le client est trouv, laccueil de premier dmarrage de Windows le charge et remplace les nuds du fichier Oobe.xml dorigine par ceux trouvs dans le fichier spcifique au pays. Si un tel dossier est trouv, laccueil de premier dmarrage de Windows chargera le fichier Oobe.xml de ce dossier et remplacera toutes les informations trouves dans les fichiers Oobe.xml antrieurs nud par nud. Laccueil de premier dmarrage de Windows cherchera aussi un fichier oobe.xml dans %WINDIR%\system32\oobe\info\default\<langue>\. En revanche, comme il ny a quune seule langue disponible sur le systme, il nest pas ncessaire de crer ce dossier. Si vous expdiez avec plusieurs langues, crez plusieurs dossiers de pays pour vos pays de destination et des dossiers de langue pour les langues cibles dans les dossiers de pays, en y incluant un fichier Oobe.xml avec le contenu propre au pays et la langue dans chaque dossier de langue, aux endroits suivants :
j j j j
270
Personnaliser limage
Par exemple, <pays1> peut tre le Canada, <langue1> le franais, <langue2> langlais, etc. Crez galement des dossiers de langue avec le dossier default et placez un fichier Oobe.xml localis en consquence dans chacun deux, pour sadapter aux scnarios dans lesquels lutilisateur final ne slectionne pas lun de vos pays de destination : %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml. Si vous configurez laccueil de premier dmarrage de Windows afin quil prsente un exemplaire des termes de votre contrat de licence, placez chaque fichier des termes du contrat de licence localiss de manire adquate dans son dossier de langue correspondant : %WINDIR%\system32\oobe\info\<pays>\<langue>.
Implmenter Oobe.xml
Le fichier Oobe.xml nest pas un fichier que vous allez crer laide de Windows System Image Manager. Il va falloir le construire de toutes pices. Pour cela, partez de lexemple suivant qui pourra vous servir de modle de fichier Oobe.xml :
<?xml version="1.0" encoding="utf-8" ?> <FirstExperience> <oobe> <oem> <name>Educsoft</name> <logopath>c:\educsoft\educsoft.png</logopath> <eulafilename>educsoft_eula.rtf</eulafilename> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper1.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper2.jpg</path> </wallpaper> <wallpaper> <path>c:\educsoft\wallpapers\wallpaper3.jpg</path> </wallpaper> <offerheader>Accdez aux offres spciales Educsoft</offerheader> <offer type="list"> <title>Offer 1</title> <imagepath>c:\educsoft\offers\offer1.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut a est non mauris fringilla bibendum. Nulla aliquam facilisis est. Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer1.rtf</detailsfilename> <shellexecute>%systemroot%\system32\notepad.exe</shellexecute> </offer> <offer type="list"> <title>Offer 2</title> <imagepath>c:\educsoft\offers\offer2.bmp</imagepath>
271
Chapitre 7
<details>Quisque congue faucibus lacus. Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Nullam vel neque eu lacus viverra tincidunt.</details> <shellexecute>%systemroot%\system32\calc.exe</shellexecute> </offer> <offer type="list"> <title>Offer 3</title> <imagepath>c:\educsoft\offers\offer3.bmp</imagepath> <details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut a est non mauris fringilla bibendum. Nulla aliquam facilisis est. Nullam venenatis velit. Nam congue sem nec ipsum.</details> <detailsfilename>offer3.rtf</detailsfilename> <shellexecute>%systemroot%\system32\mspaint.exe</shellexecute> </offer> </oem> <defaults> <language>1036</language> <location>54</location> <locale>1036</locale> <keyboard>0000040c</keyboard> <timezone>Paris, Madrid</timezone> </defaults> </oobe> <useroobe> <oemStrip xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <offerSource>Offres de Educsoft</offerSource> <tasks> <task id="{1D8650FD-8935-4657-A3E3-C6AD82DCFEB8}" xmlns="http://schemas.microsoft.com/windows/tasks/v1"> <name>nom tache exemple</name> <icon>%systemroot%\system32\notepad.exe</icon> <description>description exemple</description> <command>http://tempurl/fwlink.asp=?id=test</command> <sortPriority>1</sortPriority> <infotip>Souscrivez maintenant!</infotip> <previewPaneView xmlns="http://schemas.microsoft.com/windows/oobetasks/v1"> <previewBackground>%systemroot%\system32\oobe\info\background_wc.png </previewBackground> <startText>bouton action tache exemple</startText> <title>titre tache exemple</title> <columnOne> <para><text>texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> <para><bullet /><text>liste a puce texte exemple</text></para> </columnOne> </previewPaneView> <!-- conditions (optional) <conditions> <condition name="shell://v1#IsUserAdmin" /> <condition name="shcond://v1#DateInRange">
Personnaliser limage
-->
Vous navez qu le recopier dans un fichier Oobe.xml, ladapter votre entreprise et il fonctionnera. Pour mieux comprendre son fonctionnement et sa structure, dcortiquons les grandes lignes de ce fichier.
nomfichiercluf
Chemin daccs absolu dun fichier .rtf nominatif. Chemin daccs absolu vers au plus trois fichiers 32 bits au format .png nomms. 128 x 128 pixels. Chane de caractres avec au maximum 40 caractres. Caractres. Chemin daccs absolu dun fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers de type .png ne sont pas pris en charge.
wallpaper
offerheader
title imagepath
273
Chapitre 7
Description Description plus approfondie de loffre. Fichier contenant des informations concernant loffre. Chemin du fichier excutable pour loffre.
Valeur Chane de caractres avec au maximum 128 caractres Chemin daccs absolu dun fichier .rtf. Les graphiques intgrs ne peuvent pas tre affichs. Chemin daccs absolu du programme dinstallation pour loffre.
shellexecute
Rfrences aux chemins daccs dans Oobe.xml Les dossiers et fichiers auxquels les chemins daccs absolus dans Oobe.xml font rfrence doivent tre inclus dans limage, soit hors connexion, soit lors de la cration de limage avant deffectuer le Sysprep.
La section <defaults>
Le tableau suivant indique les paramtres disponibles pour Oobe.xml et leurs valeurs autorises pour la section <defaults>.
Tableau 7.4 : Description de la section <defaults> du fichier oobe.xml
Paramtre langue emplacement Description Sparateur dcimal de la langue par dfaut. Valeur Identificateur dcimal. Pour la France, lidentificateur est 1036.
Lemplacement est spcifi laide dune Identificateur dcimal. Pour la France, valeur dcimale. lidentificateur est 54. Les paramtres rgionaux sont spcifis laide dune valeur. La disposition du clavier est dtermine par le format didentifiant des paramtres rgionaux dentre, constitu par une combinaison de la valeur hexadcimale de lidentificateur linguistique et dun identificateur de priphrique. Identificateur dcimal. Pour la France, lidentificateur est 1036. Utilisez la valeur du paramtre keyboard figurant dans le Registre sous HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Control \Keyboard Layouts et prcdez-la de la valeur du paramtre rgional convertie en hexadcimal. Pour la France, cette valeur est 0x40c.
274
Personnaliser limage
Paramtre fuseauhoraire
Description Le fuseau horaire de lendroit o se situe lordinateur est spcifi par une chane. Sa longueur maximale est de 256 caractres. De nouveaux fuseaux horaires peuvent apparatre dans les versions futures. Si vous souhaitez ajouter la prise en charge dun nouveau fuseau horaire, vous devez taper la chane exacte correspondante. Valeur boolenne dterminant lutilisation de la transparence.
transparence
Liens utiles pour le remplissage de la section <defaults> Si vous souhaitez consulter la liste complte des valeurs langue, emplacement, paramtres rgionaux et clavier quil est possible de renseigner, ces liens vous intresseront :
j j j
Chapitre 7
276
Personnaliser limage
5. Entrez un nom lordinateur et choisissez un fond dcran. Vous remarquez que certains fonds dcran sont personnaliss. Cliquez sur Suivant.
277
Chapitre 7
6. Vrifiez les paramtres dheure et de date (provenant de Oobe.xml) et cliquez sur Suivant.
7. Enfin, juste avant de terminer la personnalisation de linstallation, vous pouvez consulter les offres. Lorsque vous slectionnez une offre, vous serez redirig vers le lien de cette offre, une fois linstallation termine et votre compte dutilisateur logu.
278
Personnaliser limage
Chane dune longueur maximale de 255 caractres. Chemin daccs absolu un fichier .ico ou autre. Obligatoire. Chane dune longueur maximale de 255 caractres Chemin absolu du fichier excutable.
Valeur numrique dterminant lordre de Valeur numrique comprise entre 1 loffre. Les nombres les plus importants et 99 inclus. La valeur par dfaut est 1. ont la priorit la plus haute. Par consquent, un lment ayant un numro de priorit de tri lev (comme 94) apparatra avant un lment un numro plus faible (comme 7). Courte description de loffre affiche sur Chane dune longueur maximale de pointage de la souris. 255 caractres. Mots-cls utiliss des fins de recherche. Chemin dun fichier .png pour loffre. Chane dlimite par un point-virgule (;). Chemin absolu dun fichier .png. 128 x 128 pixels. Si cette valeur est omise, le fichier spcifi pour la valeur de <icon> correspondant loffre sera affich sa place (si le contenu du fichier .ico peut tre mis lchelle 126 x 126).
279
Chapitre 7
Description Chemin dun fichier .png pour larrireplan de loffre OEM. Courte description de la tche de dmarrage. Texte de titre de loffre. Cre une puce en face du paragraphe de texte. Texte dcrivant loffre.
Valeur Chemin absolu dun fichier .png. La taille maximale est de 800 x 178 pixels. Chane dune longueur maximale de 64 caractres. Chane dune longueur maximale de 255 caractres. Chemin absolu dun fichier .png. Chane dune longueur maximale de 255 caractres
280
Personnaliser limage
Les entreprises peuvent se servir de lAccueil Windows personnalis pour proposer aux utilisateurs des liens vers loutil helpdesk interne, vers lintranet, vers des applications communes, la vie de lentreprise etc. Cest un moyen mis disposition des services informatiques pour garder un contact avec lutilisateur afin quil ait sous la main les moyens de contacter facilement son service informatique. Cela augmentera la satisfaction de lutilisateur.
daccs Internet
Paramtre nom type doffre showin informations imagepath Description Valeur Nom du fournisseur. Utilis comme titre chane de loffre Doit tre un type de liste doffres de fournisseurs de services Internet (ISP). Paramtre dterminant lendroit o est affiche loffre. Description plus approfondie de loffre. Chemin absolu dun fichier .bmp. list tous Chane avec au maximum 60 caractres Chemin absolu dun fichier 32 bits .bmp ou .gif. 32 x 32 pixels. Les fichiers PNG et ICO ne sont pas pris en charge. Chemin absolu dun fichier .rtf. Les graphiques intgrs ne peuvent pas tre affichs.
detailsfilename
Fichier contenant des informations concernant loffre. Si cette tiquette est omise, le contenu de ltiquette <informations> est de nouveau affich sur la page dinformations. Chemin du fichier excutable pour loffre.
shellexecute
281
Chapitre 7
Le tableau suivant indique les noms de condition, leurs paramtres, leurs valeurs et leurs descriptions :
Tableau 7.7 : Description des conditions utilisables dans Oobe.xml
Nom de condition RegvalEquals Paramtres Regkey Regval RegvalExpected Regkey Regval Regkey Valeurs Chemin de la cl de registre Nom de la valeur de Registre Valeur de Registre attendue Chemin de la cl de Registre Nom de la valeur de Registre Chemin de la cl de Registre Aucun Aucun Aucun Description La valeur de Registre est la valeur attendue.
RegvalExists
RegkeyExists
La cl de Registre existe. Lordinateur est sur un domaine. Lutilisateur est un administrateur. Un moniteur auxiliaire (Windows SideShow) est connect. Lordinateur est un ordinateur portable. Des fichiers hors connexion ont t activs.
Aucun
Aucun
IsOfflineFiles Enabled
Aucun
Aucun
282
La maintenance de limage
Paramtres Sku
Description Lors de la dfinition de cette condition, nutilisez pas le nom de rfrence (SKU) complet. Utilisez au lieu de cela les valeurs qui correspondent la rfrence souhaite. Windows Vista dition Familiale Basique : homebasic. Windows Vista dition Familiale Premium : homepremium. Windows Vista Professionnel : business. Windows Vista Entreprise : enterprise. Windows Vista dition Intgrale : ultimate. Lordinateur est un Tablet PC. Lordinateur a un priphrique de numrisation tactile activ. Dfinissez une plage de dates. Utilisez un format rgional de date invariant.
IsTabletPC
Aucun
Aucun Aucun
IsTouchAvailable Aucun
DateInRange
1. Avant 2. Aprs
1. Date et heure 2. Date En combinant ces deux conditions, on peut obtenir une offre valide pendant un certain laps de temps.
7.4.
La maintenance de limage
Le processus de dploiement ne sarrte pas lunique projet de dploiement de Windows Vista sur les ordinateurs de lentreprise la place de Windows XP, par exemple. Il peut aussi tre quotidien : ds quun nouvel employ arrive et quil a donc besoin dun ordinateur frachement install. Et cest aussi un processus qui volue dans le temps : de nouveaux quipements feront tt ou tard leur apparition avec leurs nouveaux pilotes, des mises jours et des Service Packs de Windows Vista. Pour tre complet, le processus de dploiement doit fournir des outils qui permettent de mettre jour les images captures sans avoir forcment les recrer, cest--dire des outils qui permettent dajouter des packages, des packs de langue, des pilotes, des mises jour une image hors connexion ( froid), et bien dautres.
IMAGEX /EXPORT
Exporte une copie du fichier .wim spcifi vers un autre fichier .wim. Les fichiers source et destination doivent utiliser le mme type de compression.
Syntaxe :
imagex /export [fichier_src numro_src | nom_src dest_fichier nom_dest] {/boot | /check | /compress [type] | /ref [splitwim.swm]} Le chemin du fichier .wim contenant limage copier. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui identifie limage dans le fichier source .wim. Le chemin du fichier .wim qui recevra limage copier. Le nom unique qui identifie limage dans le fichier .wim de destination. Marque une image de volume comme dmarrable. Disponible seulement pour les images Windows PE. Une seule image de volume peut tre marque comme dmarrable dans un fichier .wim. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
fichier_src 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 numro_src nom_src dest_fichier nom_dest /boot
/check
284
La maintenance de limage
/compress [maximum | rapide | aucune] Spcifie le type de compression utilise pour lopration de capture initiale. Loption maximum propose la meilleure compression, mais le temps de capture de limage est le plus long. Loption rapide propose une compression dimage plus rapide, mais les fichiers rsultants ont une taille plus importante que ceux compresss avec loption maximum. Cest galement le type de compression par dfaut, utilis si vous laissez ce paramtre vide. Loption aucune ne compresse pas du tout limage capture. /ref splitwim.swm Active la rfrence des fichiers .wim diviss (SWM). splitwim.swm est le nom et la situation des fichiers diviss supplmentaires. Les caractres gnriques sont accepts. cela, il faudra ajouter le chemin de limage ainsi que son numro dindex, puis terminer par le chemin de limage de destination :
C:\Program Files\Windows AIK\Tools\x86>ImageX /export c:\images\image1.wim 1 c:\images\image2.wim "image1" ImageX Tool for Windows Copyright (C) Microsoft Corp. 1981-2005. All rights reserved. Exporting: [c:\images\image1.wim, 1] -> [c:\images\image2.wim] Progress: 100% Successfully exported image #1.
Une fois cette opration termine, image1 se trouve dans le fichier image2.wim. ImageX /export Lorsque vous utilisez la commande ImageX /export, il est important dindiquer le numro dindexation de limage source, mme si le fichier ne possde quune image. Autrement, la commande ne fonctionnera pas. Il ny aura pas de message derreur, uniquement un retour laide sur la commande image.
Le Gestionnaire de packages
Le Gestionnaire de packages est un outil de ligne de commandes (Pkgmgr.exe) que vous pouvez utiliser hors connexion pour installer, pour supprimer ou pour mettre jour des packages Windows, des pilotes, des applications, des mises jour de scurit, des Service Packs. Vous pouvez ajouter les packages fournis sous forme de fichiers .cab
285
Chapitre 7
une image systme Windows hors connexion. Le Gestionnaire de packages peut galement activer ou dsactiver des fonctionnalits de Windows, hors connexion ou bien sur une installation de Windows en cours dexcution. Le Gestionnaire de packages peut considrer un fichier de rponses dinstallation sans assistance comme une entre et configurer les paramtres rpertoris dans la passe de configuration OfflineServicing. Le Gestionnaire de packages peut effectuer les tches suivantes :
j j j j j j j
installer ou dsinstaller des correctifs logiciels ; installer des packs de langues ; ajouter des pilotes de matriel ; activer ou dsactiver des fonctionnalits de Windows ; accepter un fichier de rponses comme entre (paramtres OfflineServicing uniquement) ; ajouter des packages une image de Windows hors connexion ; installer ou dsinstaller plusieurs packages avec une seule chane de commandes.
Le Gestionnaire de packages peut fonctionner sur une image Windows monte ou applique. Il peut tre utilis avec danciens fichiers image Windows (.wim), mais non avec des images Windows plus rcentes que la version installe du WAIK dans lequel le Gestionnaire de packages est distribu. Le Gestionnaire de packages peut sexcuter sur les systmes dexploitation suivants :
j
j j
Certains packages exigent que dautres packages soient dabord installs. En raison de cette condition de dpendance, si vous installez plusieurs packages, procdez de lune des manires suivantes :
j
Utilisez un fichier de rponses. En transmettant un fichier de rponses au Gestionnaire de packages, plusieurs packages peuvent tre installs dans lordre correct. Cest la mthode recommande pour installer plusieurs packages. Installez ou supprimez plusieurs packages dans une seule commande en les sparant par un point-virgule dans une liste. Les packages peuvent apparatre dans nimporte quel ordre. Le Gestionnaire de packages installe ou supprime les packages dans lordre correct.
286
La maintenance de limage
La commande Pkgmgr.exe
Avant de dtailler lutilisation du Gestionnaire de packages et la manire de mettre jour une image, voici les descriptions des commutateurs de loutil en ligne de commande Pkgmgr.exe.
PKGMGR
Installe, dsinstalle, configure et met jour des fonctionnalits et des packages pour Windows Vista.
Syntaxe :
pkgmgr.exe [/?] [/h] [/help] [/l:nom_fichier] [/ip] [/iu:nom_fonctionnalit_Windows] [/m:rpertoire_package] [/n:fichier_rponses] [/norestart] [/o:chemin_disque_systme; chemin_rpertoire_Windows_hors_connexion] [/p:nom_package] [/quiet] [/s:rpertoire_sandbox] [/up:nom_package] [/uu:nom_fonctionnalit_Windows] Affiche laide lorsque cette commande est excute sans option. Utilisable en ligne ou hors connexion. Installe les packages. Le nom de package respecte la casse. Exige que les packages soient dsigns par loption /m ou par loption /p. Plusieurs packages peuvent tre installs avec une seule commande et doivent tre spars par des points-virgules. Utilisable en ligne ou hors connexion. Vous devez pointer vers le rpertoire du package dvelopp ; une option /ip doit aussi tre accompagne dune option /m. Dsigne le fichier journal pour la sortie de diagnostic. Utilisable en ligne ou hors connexion. Les journaux par dfaut sont situs dans le rpertoire %WINDIR%\logs\cbs\cbs.log. Setupact.log est un journal complet et Setuperr.log ne rpertorie que les erreurs. Lenregistrement dans un journal ne fonctionne pas lors de linstallation depuis un support en lecture seule, comme un CD Windows PE.
/l: nom_fichier
Spcifie la fonctionnalit Windows activer. Plusieurs fonctionnalits Windows peuvent tre installes avec une seule commande et doivent tre spares par des points-virgules. Utilisable en ligne ou hors connexion. Si vous installez une mise jour, vous avez alors besoin du nom de la mise jour si son package 287
Chapitre 7
est dans le package Windows Foundation. Si ce nest pas le cas, loption /iu exige aussi lidentit du package spcifie par loption /p, qui est suppose tre par dfaut loption de Windows Foundation pour loption /iu. Si ce nest pas le cas, annulez cette option. /m: rpertoire _package Spcifie le rpertoire avec le manifeste et la charge utile du package. Des rpertoires source supplmentaires peuvent tre spcifis aprs un point-virgule. Utilisable hors connexion. Exig pour loption /up. Si vous installez un package, vous devez pointer vers le rpertoire du package dvelopp, auquel cas une option /ip doit aussi tre accompagne dune option /m. Spcifie le nom du fichier de rponses dinstallation sans assistance. Utilisable en ligne ou hors connexion. Toutes les installations sans assistance exigent loption /n. Supprime le redmarrage. Si le redmarrage nest pas ncessaire, cette commande ne fait rien. Utilisable en ligne seulement. Utilisable avec loption /quiet.
/norestart
/o: chemin_disque _systme ; chemin _rpertoire _Windows _hors _connexion Spcifie une installation hors connexion. Le chemin_disque_systme dfinit la situation du Gestionnaire de dmarrage, daprs le mappage donn par le systme dexploitation hte. Chemin _rpertoire_Windows_hors_connexion spcifie le chemin complet du rpertoire Windows hors connexion tel quil est vu par le systme dexploitation actif. Toutes les oprations hors connexion exigent loption /o pour spcifier limage dont vous avez lintention deffectuer la maintenance hors connexion. /p: nom_package /quiet Installe la totalit du package. Utilisable hors connexion. Exig pour loption /up. Sexcute en mode silencieux. Aucune interface utilisateur, ni de sortie console nest fournie. Si un redmarrage est ncessaire, celui-ci est forc automatiquement, sans afficher de bote de dialogue de demande de confirmation. Utilisable en ligne ou hors connexion. Spcifie le rpertoire sandbox dans lequel les fichiers sont extraits. Cette option est ncessaire pour un traitement correct des fichiers
288
La maintenance de limage
lors de linstallation des packages depuis un rseau. Utilisable en ligne ou hors connexion. /up: nom _package Dsinstalle les packages. Exige que les packages soient dsigns par loption /m ou par loption /p. Plusieurs packages peuvent tre dsinstalls avec une seule commande et doivent tre spars par des points-virgules. Utilisable hors connexion. /uu: nom_fonctionnalit_Windows Spcifie la fonctionnalit de Windows dsactiver. Une fonctionnalit au moins de Windows doit tre spcifie. Plusieurs fonctionnalits Windows peuvent tre dsactives avec une seule commande et doivent tre spares par des points-virgules. Utilisable en ligne ou hors connexion. Loption /uu fonctionne de la mme manire que loption /iu.
289
Chapitre 7
2. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. Vous allez crer un fichier de rponses contenant les chemins daccs aux pilotes de priphriques installer : 3. Ajoutez le composant Microsoft-Windows-PnpCustomizationsNonWinPE votre fichier de rponses dans la passe de configuration OfflineServicing. 4. Dveloppez le nud Microsoft-Windows-PnpCustomizationsNonWinPE dans le fichier de rponses. Cliquez avec le bouton droit de la souris sur DevicePaths, puis slectionnez Insrer un nouvel lment PathAndCredentials. Un nouvel lment est intgr la liste PathAndCredentials.
5. Si vous devez rajouter plusieurs pilotes qui se trouvent plusieurs emplacements diffrents, alors ajoutez autant dlment sur la liste PathAndCredentials quil y a demplacements diffrents ajouter. 6. Dans les proprits du composant Microsoft-Windows-Pnp CustomizationsNon WinPE, spcifiez le chemin daccs au pilote de priphrique et les informations didentification utilises pour accder au fichier si celui-ci rside sur un partage rseau.
Figure 7.16 : Configuration du chemin daccs au pilote
290
La maintenance de limage
Gestion de llment Key En ajoutant plusieurs lments de la liste PathAndCredentials, vous pouvez inclure plusieurs chemins daccs aux pilotes de priphriques. Si vous ajoutez plusieurs lments de la liste, vous devez incrmenter la valeur de Key pour chaque chemin. Par exemple, vous pouvez ajouter deux chemins daccs distincts dans lesquels la valeur de Key gale 1 pour le premier chemin daccs et la valeur de Key gale 2 pour le second chemin daccs. 7. Enregistrez le fichier de rponses sous le nom pilotes.xml par exemple et quittez Windows SIM. Le fichier de rponses doit tre similaire lextrait suivant :
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="offlineServicing"> <component name="Microsoft-Windows-PnpCustomizationsNonWinPE" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas .microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <DriverPaths> <PathAndCredentials wcm:action="add" wcm:keyValue="1"> <Credentials> <Domain>PUZZMANIA</Domain> <Password>*</Password> <Username>Administrateur</Username> </Credentials> <Path>C:\Pilotes</Path> </PathAndCredentials> </DriverPaths> </component> </settings> <cpi:offlineImage cpi:source="catalog:c:/images/puzzmaniainstall.clg" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> </unattend>
8. Montez limage de Windows dans laquelle vous voulez installer les pilotes laide dImageX. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. Voici la dfinition de la commande imagex /mountrw :
291
Chapitre 7
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de Windows Vista, avec droit de lecture/criture vers un rpertoire spcifi. Une fois que le fichier est mont, vous pouvez voir et modifier toutes les informations contenues dans le rpertoire.
Syntaxe :
fichier_image numro_image nom_image chemin_image /check
imagex /mountrw [fichier_image numro_image | nom_image chemin_image] {/check} Le nom et le chemin du fichier .wim monter avec les droits de lecture/criture. Le numro qui rfrence le volume spcifique dans le fichier .wim. Le nom qui rfrence limage dans le fichier .wim. Le chemin du fichier o limage spcifie sera monte. Vrifie lintgrit du fichier .wim. Si cette option nest pas mentionne, les vrifications existantes sont supprimes.
Utilisation de la commande Imagex /mountrw lors de lutilisation du Gestionnaire de packages Veillez utiliser la commande Imagex avec le commutateur /mountrw lorsque vous montez une image en vue dune utilisation avec le Gestionnaire de packages et non le commutateur /mount car celui-ci ne permettrait pas au Gestionnaire de packages de modifier limage. 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 9. Activez la journalisation dans un fichier journal distinct de certaines actions dinjection de pilote de priphrique. Sur lordinateur sur lequel vous excutez le Gestionnaire de packages, modifiez la cl de Registre DebugPkgMgr situe dans HKLM\Software\Microsoft\Windows\CurrentVersion\Device Installer et donnez-lui la valeur 0x01. Cela cre un fichier Drivers.log pendant linjection du package de pilote. Ce fichier journal enregistre toutes les actions du processus dinjection du pilote.
292
La maintenance de limage
10. Utilisez le Gestionnaire de packages pour appliquer le fichier de rponses de linstallation sans assistance limage de Windows Vista monte. Spcifiez un emplacement pour le fichier journal crer. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" logfile.txt". /n:"C:\pilotes.xml" /l:"C:\pkgmgrlogs\
Les fichiers .inf rfrencs dans le chemin daccs du fichier de rponses sont ajouts limage de rfrence Windows Vista. Vous pouvez ouvrir le fichier Drivers.log et examiner les actions dinjection du pilote de Gestionnaire de packages. Un fichier journal est cr dans le rpertoire C:\pkgmgrlogs\. Examinez le contenu du rpertoire \Windows\inf dans limage de Windows Vista monte pour vrifier que les fichiers .inf ont t installs. Les pilotes ajouts limage de Windows sont nomms oem*.inf. Cette opration assure que les nouveaux pilotes intgrs sur lordinateur portent un nom unique. Ainsi, les fichiers Pilote1.inf et Pilote2 .inf sont renomms oem0.inf et oem1.inf.
Figure 7.18 : Contenu du rpertoire \Windows\inf de limage monte
11. Enfin, dmontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est ferme et prte repartir dans votre processus de dploiement. Vous avez mis jour le contenu de limage partir de votre poste, sans pour autant avoir rejouer un Sysprep et une recration dimage.
Activer ou dsactiver les fonctionnalits Windows lorsque le systme dexploitation est hors connexion
Pour activer ou dsactiver des fonctionnalits Windows dune image Windows hors connexion, crez un fichier de rponses dinstallation sans assistance avec Windows SIM 293
Chapitre 7
et utilisez-le comme entre pour le Gestionnaire de packages. Un peu comme ce que vous venez de le faire avec lajout de pilotes mais les composants utiliser ne sont pas les mmes. 1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur Slectionner une image Windows ou un fichier catalogue et en spcifiant le type de fichier catalogue dans le menu contextuel (.clg), ou crez un nouveau catalogue en cliquant sur Crer un catalogue dans le menu Outils. 2. Dveloppez le catalogue dans le volet Image Windows et dveloppez les lignes Packages, puis Foundation.
Figure 7.19 : Le package Windows Foundation
3. Cliquez avec le bouton droit de la souris sur Microsoft-Windows -Foundation-Package et cliquez sur Ajouter au fichier de rponses.
294
La maintenance de limage
4. Cliquez sur Activ ou sur Dsactiv (Enabled ou Disabled) prs des fonctionnalits que vous souhaitez activer ou dsactiver. Cliquez sur la flche pour slectionner le contraire. 5. Vous devrez peut-tre dvelopper un lment pour voir tous ses enfants. Le parent doit tre activ si lun de ses enfants est activ. 6. Cliquez sur Outils dans le menu principal et cliquez sur Valider le fichier de rponses. 7. Corrigez toutes les erreurs qui apparaissent dans le volet Messages et sauvegardez le fichier de rponses, par exemple sous le chemin C:\addwinfeatures.xml. 8. Montez limage Windows hors connexion. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 9. Dans lInvite de commandes, excutez la commande suivante : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\addwinfeatures.xml". 10. Enfin, dmontez le fichier .wim et validez les modifications. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est ferme et prte repartir dans votre processus de dploiement. Vous avez ajout, dans cet exemple, linstallation de la fonctionnalit Windows de serveur web personnel comme effective pour chaque nouvelle installation faite partir de cette image.
295
Chapitre 7
rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall .wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 6. Dans la mme fentre dInvite de commandes, tapez la commande suivante :
pkgmgr /o:"C:\mount\;C:\mount\Windows" /l:"C:\pkgmgrlogs\logfile.txt". /n:"C:\newpackage.xml"
7. Ouvrez le fichier journal afin de vrifier si le package a t ajout avec succs. 8. Procdez aux modifications et au dmontage de limage. Tapez : imagex /unmount /commit C:\mount. Vous avez rajout un package de type fichier .cab une image froid.
La maintenance de limage
5. Utilisez ImageX pour monter limage de Windows que vous souhaitez appliquer au module linguistique. Dans une Invite de commandes, tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount, o limage de rfrence modifier se trouve dans le rpertoire C:\images et sappelle moninstall.wim et le rpertoire de montage sappelle C:\mount. La premire image de Windows dans le fichier moninstall.wim est monte sur C:\mount. 6. Utilisez le Gestionnaire de packages pour appliquer le fichier de rponses de linstallation sans assistance limage de Windows monte. Tapez : pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\langpack.xml". 7. Le dploiement des ordinateurs Windows Vista en entreprise phase 2 Le module linguistique est install dans limage de Windows. 7. Utilisez Intlcfg.exe pour recrer le fichier Lang.ini et slectionner les valeurs internationales par dfaut. Lorsque vous ajoutez ou supprimez des modules linguistiques dans une image de Windows, vous devez recrer le fichier Lang.ini. Le fichier Lang.ini est utilis pendant linstallation de Windows et contient une liste de tous les modules linguistiques disponibles, les emplacements des modules linguistiques et la langue par dfaut utiliser pendant linstallation de Windows. Recrez le fichier Lang.ini avec la commande suivante : intlcfg genlangini dist:C:\images image:C:\mount defaultlang:frFR all:frFR. Le fichier Lang.ini est recr et comprend une liste des modules linguistiques installs. En outre, la langue par dfaut utiliser pendant le processus dinstallation de Windows et la langue par dfaut de linstallation de Windows sont dfinies frFR. 8. Vous pouvez afficher les langues qui sont disponibles ou qui sont installes dans limage de Windows avec loption report de la commande Intlcfg. Tapez : intlcfg report dist:C:\images image:C:\mount. 297
Chapitre 7
9. Procdez aux modifications et au dmontage de limage. Tapez : imagex /unmount /commit C:\mount. Limage de Windows est prte tre rinjecte dans votre processus de dploiement. Si vous voulez modifier la langue utilise pendant linstallation de Windows, vous devez ajouter les ressources localises de linstallation de Windows la distribution de Windows.
Linstallation des packages sur un ordinateur distant travers un rseau nest pas prise en charge. Limage de Windows doit tre prsente sur le systme local. Le Gestionnaire de packages peut prlever des packages sur un partage rseau, mais il doit les copier sur un rpertoire temporaire local, accessible en criture, appel rpertoire bac sable (sandbox). Le Gestionnaire de packages sexcute partir dune Invite de commandes et comporte une interface utilisateur trs limite. Si vous spcifiez un fichier de rponses avec le Gestionnaire de packages, seuls les paramtres spcifis dans la passe de configuration OfflineServicing sont appliqus. Tous les autres paramtres dans le fichier de rponses sont ignors. Le Gestionnaire de packages peut tre utilis avec des fichiers image de Windows plus anciens (.wim), mais pas avec des images de Windows qui sont plus rcentes que la version installe du WAIK de Windows Vista avec lequel le Gestionnaire de packages est distribu.
j j
298
En rsum
j j
Le Gestionnaire de packages peut installer uniquement des fichiers .cab. Les composants de MSI doivent tre installs en ligne laide dOCSetup. Nutilisez pas le Gestionnaire de packages pour installer Windows PE. Le Gestionnaire de packages peut servir la maintenance dans Windows PE des images appliques hors connexion, mais les oprations de montage dImageX ne sont pas prises en charge. Les Service Packs doivent tre installs en ligne avec lutilitaire dinstallation Windows Update StandAlone.
7.5.
En rsum
Dans ces grandes lignes, le dploiement de Windows Vista na plus de secret pour vous. Vous savez capturer et appliquer une image. Vous savez galement que Windows Vista met en uvre un certain nombre doutils qui permettent dajouter de la valeur, comme Oobe.xml et la mise jour froid dune image. Ces outils offrent une grande souplesse dans la dure de vie de limage dans le processus de dploiement. Utilisez-les.
299
Chapitre 8
usqu prsent Windows Server 2003 ne disposait que dun seul moyen de dploiement nomm RIS (Remote Installation Services, "services dinstallation distance"). Cet ensemble de services rpondait aux besoins des entreprises, jusqu larrive de Windows Vista qui bouleverse les mthodes de dploiement chez Microsoft. Pour rpondre ces changements, Windows Server 2003 SP2 inclut une version profondment remanie de RIS dsormais nomme "services de dploiement Windows" ou WDS, qui aide les entreprises prparer larrive de Windows Vista et de Windows Server 2008. WDS assure le stockage, ladministration et le dploiement des images qui utilisent le nouveau format WIM (Windows Imaging). Les services de dploiement Windows amliorent RIS sur plusieurs points :
j j j j
la prise en charge native de Windows PE comme systme dexploitation damorage ; la prise en charge native du format de fichier WIM (Windows Imaging) ; le composant serveur PXE extensible et plus performant ; le nouveau menu damorage client pour choisir le systme dexploitation.
Les services de dploiement Windows rduisent le cot total de possession et la complexit des dploiements en apportant une solution de bout en bout pour dployer des systmes dexploitation Windows sur des ordinateurs sans systmes dexploitation. WDS prend en charge des environnements mixtes incluant Windows XP et Windows Server 2003. Services de dploiement Windows Les services de dploiement Windows sont livrs dans les services Pack 2 de Windows Server 2003. Cependant, les entreprises qui souhaitent utiliser ces services avant de dployer les services Pack les trouveront en tlchargement et peuvent les installer si les prrequis sont respects.
8.1.
Mme si, dans lensemble, les dmos ou les documents Microsoft montre lexcution des services de dploiement Windows sur des serveurs Longhorn, il nen reste pas moins que le composant peut tre install partir des versions de serveurs Windows Server 2003 Service Pack 1. Il doit galement fonctionner dans un environnement Active Directory, ou un serveur DHCP doit tre prsent avec des adresses disponibles ainsi que DNS. WDS (Windows Deployment Services) prend en charge nativement le format WIM et Win PE en version optimise et en version personnalise. Le composant PXE devient plus performant et plus facile administrer grce un ensemble de commandes. 303
Chapitre 8
Globalement, WDS ressemble RIS, puisque le premier prrequis pour installer WDS consiste installer le service RIS. Sachez quavec les services de dploiement Windows, vous avez diffrents modes dutilisation. On peut imaginer en effet que certaines entreprises possdent dj un environnement RIS avec des images. Si vous installez les services de dploiement Windows sur votre serveur RIS, les services de dploiement Windows vont pouvoir fonctionner en mode mixte et vous pourrez rutiliser vos images aprs les avoir converties. Cela signifie quil existe un chemin de migration entre les serveurs RIS actuels et les services de dploiement Windows. Libre vous de repartir de zro sur un serveur de services de dploiement Windows "propre" ou de raliser une mise niveau de votre serveur RIS.
Le poste dmarre et demande une adresse DHCP. Le serveur DHCP alloue une adresse. Le client contacte le serveur de services de dploiement Windows. Les services de dploiement Windows vrifient si le poste existe dans lActive Directory.
304
j j
Les services de dploiement Windows rpondent ou transfrent la demande au service de dploiement Windows le plus proche. Limage est installe sur le poste.
8.2.
Linstallation des services de dploiement Windows est cependant trs simple puisquil ne sagit en fait que dinstaller un service. Pour cela, vous devez aller dans le sous-rpertoire WDS du rpertoire WAIK. Installation des services de dploiement Windows Deux cas de figure sont possibles : linstallation des services de dploiement partir dun fichier tlcharg et linstallation partir de lajout dun composant du Services Pack 2 de Windows Server 2003. Nous avons souhait montrer linstallation partir dun fichier tlcharg. Cela permet de prsenter les prrequis, mais aussi daccompagner les entreprises encore en Services Pack 1 de Windows 2003 Server.
Prrequis Avant de commencer linstallation des services de dploiement Windows, vous devez ajouter le service RIS. Pour cela, rendez-vous dans le menu Dmarrer. Dans le Panneau de configuration, slectionnez Ajout et suppression de programme, puis Ajout et suppression de composants Windows. Cochez la case Service dinstallation distance.
305
Chapitre 8
Figure 8.3 : Ajout du service RIS comme prrequis dinstallation des services de
dploiement Windows Pour raliser linstallation, procdez ainsi : 1. Placez-vous dans le rpertoire WAIK\WDS pour lancer linstallation du service. Cliquez sur windows-deployment-services-update-x86.exe si votre serveur est une machine X86 ou sur windows-deployment-services-update-amd64.exe si votre serveur est une machine base de processeurs 64 bits dAMD. 2. Dans la fentre daccueil Mises jour des services de dploiement Windows pour Windows Server 2003, cliquez sur Suivant pour dmarrer linstallation. 3. Acceptez les termes de licence en cliquant sur Jaccepte. Cliquez sur Suivant pour passer ltape suivante. 4. la fin de linstallation, si vous ne souhaitez pas redmarrer votre serveur, cochez la case Ne pas redmarrer, puis cliquez sur Terminer. Sinon, cliquez uniquement sur Terminer. Votre serveur rebootera en fin dinstallation. Pour installer les services de dploiement Windows partir dune Invite de commandes, procdez ainsi : 1. Ouvrez une fentre dInvite de commandes en tant quadministrateur et placez-vous sur le dossier contenant linstallation du service. 2. Dans
SERVICESUPDATEX86
la
fentre
dInvite
de
commandes,
306
mode silencieux avec un redmarrage forc Une fois linstallation termine, le serveur redmarre. Cependant, il faut vrifier que les services sont bien installs. Pour cela, vous pouvez aller dans les outils dadministration et vrifier la prsence du service Hritage de service de dploiement Windows et des services de dploiement Windows.
Figure 8.5 : Vrification des services de dploiement dans le menu Outils dadministration
307
Chapitre 8
Vous pouvez galement utiliser des options pour modifier le comportement de linstallation. Voici la liste doption dinstallation des services de dploiement Windows.
Tableau 8.1 : Options dinstallation des services de dploiement Windows
Option /help /quiet /passive Explication Vous pouvez lutiliser dans la ligne de commandes pour rpertorier ces options. Vous pouvez lutiliser lorsque vous ne voulez aucune interaction utilisateur, ni affichage dinformations durant linstallation. Vous pouvez lutiliser lorsque vous ne voulez aucune interaction utilisateur, mais que vous voulez voir une barre dtat pour contrler la progression de linstallation. Vous pouvez lutiliser pour supprimer le redmarrage aprs linstallation. Vous pouvez lutiliser pour vous assurer du redmarrage aprs linstallation. Vous pouvez lutiliser lorsque vous voulez tre averti avant le redmarrage de lordinateur, aprs linstallation. La valeur par dfaut, si aucun argument nest fourni, consiste vous prvenir 20 secondes avant le redmarrage. Vous pouvez lutiliser lorsque vous voulez quun message vous demande si un redmarrage est requis. Vous pouvez lutiliser si vous voulez remplacer des rpertoires OEM existants et supprimer les fichiers existants dans les rpertoires. Vous pouvez lutiliser si vous ne voulez pas sauvegarder les fichiers ncessaires la dsinstallation des services de dploiement Windows. Vous pouvez lutiliser lorsque vous voulez fermer les autres applications susceptibles dempcher lordinateur de redmarrer.
/forceappsclose
/integrate:<chemin_complet> Vous pouvez lutiliser pour installer les mises jour logicielles avec les services de dploiement Windows.
/log:<chemin_complet>
Vous pouvez lutiliser pour crer un fichier journal dans le chemin indiqu.
308
8.3.
Puisque les services de dploiement Windows se doivent dassurer la transition et la convergence des diffrents formats dimage, ils prennent en charge trois modes de fonctionnement : hrit, mixte et natif.
Le mode hrit
Le mode hrit des services de dploiement Windows fonctionne de manire similaire aux services dinstallation distance (RIS). Dans ce mode, seul OSChooser est prsent comme systme dexploitation de dmarrage et seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils de gestion des services de dploiement Windows ne sont pas utiliss ; les utilitaires RIS hrits sont les seuls autoriser la gestion du serveur. Vous pouvez utiliser le mode hrit des services de dploiement Windows en installant la mise jour des services de dploiement Windows, mais sans la configurer, par le biais de lassistant dinstallation ou laide de WDSUTIL partir dune Invite de commandes. Le mode hrit nest pas pris en charge par Windows Server 2003.
Le mode mixte
Le mode mixte des services de dploiement Windows dcrit un tat du serveur prenant en charge les services RIS hrits et la nouvelle fonctionnalit des services de dploiement Windows. En mode mixte, le menu OSChooser est disponible en mme temps que les images de dmarrage Win PE. Dans ce mode, il sera possible daccder aux anciens types dimages RISETUP et RIPREP par le biais dOSChooser et les nouvelles images de format WIM seront disponibles en utilisant une image de dmarrage Win PE (image de dmarrage Windows Vista PE avec le client Services de dploiement Windows). Du point de vue du client, un menu de dmarrage permettra deffectuer des slections dans RIS ou dans Windows Server Longhorn Win PE. Dun point de vue gestion, un administrateur utilisera les outils de gestion hrits pour administrer les images RISETUP et RIPREP et il utilisera les outils WDS pour administrer le serveur et les images WIM. Le mode mixte des services de dploiement Windows nest disponible que dans Windows Server 2003. Vous lobtenez en installant la mise jour des services de dploiement Windows sur un serveur RIS configur prcdemment et en configurant WDS laide de lassistant dinstallation ou de lutilitaire WDSUTIL partir dune Invite de commandes.
Le mode natif
Le mode natif des services de dploiement Windows sapplique un serveur WDS avec des images de dmarrage Win PE uniquement. Dans ce mode, OSChooser nest pas disponible et les images WIM sont le seul type dimages pris en charge pour le 309
Chapitre 8
dploiement vers les clients. La gestion du serveur seffectue entirement partir des nouveaux utilitaires de gestion des services de dploiement Windows. Le mode natif des services de dploiement Windows est disponible sous Windows Server 2003, et Windows Server Longhorn Il est le seul mode des services de dploiement Windows pris en charge sous Windows Server Longhorn. Pour utiliser le mode natif sur un serveur Windows Server 2003, installez, mais ne configurez pas RIS, puis installez et configurez les services de dploiement Windows. Vous pouvez galement forcer votre serveur passer en mode natif en excutant WDSUtil /setserver /ForceNative.
8.4.
Une fois installs, les services de dploiement Windows ne sont pas pour autant fonctionnels. Il est ncessaire de les configurer. Pour configurer les services de dploiement Windows partir de lassistant, procdez ainsi : 1. Pour ouvrir le composant logiciel enfichable Services de dploiement Windows, activez le menu Dmarrer/Outils dadministration/Services de dploiement Windows.
310
2. Dans le volet gauche du composant logiciel enfichable Services de dploiement Windows, cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Configurer le serveur. 3. Dans la page daccueil de lAssistant Installation de Services de dploiement Windows, assurez-vous que votre environnement rpond aux conditions nonces, puis cliquez sur Suivant. 4. Entrez un chemin pour le dossier dinstallation distante et cliquez sur Suivant. 5. Si vous choisissez dinstaller les services de dploiement Windows sur le lecteur systme, un message davertissement saffiche. Cliquez sur Oui pour continuer linstallation, ou sur Non pour slectionner un nouvel emplacement dinstallation.
Figure 8.7 : Avertissement dinstallation sur le volume systme Figure 8.8 : Installation dun autre chemin daccs que la partition systme
6. Dans la fentre Emplacement du dossier dinstallation distance, saisissez le chemin daccs, par exemple D:\RemoteInstall (voir fig. 8.9). 7. Dans la page de fin de lAssistant Configuration des services de dploiement Windows, vous pouvez ajouter des images au serveur ou dslectionner la case cocher Ajouter les images au serveur de dploiement Windows maintenant si vous souhaitez ajouter des images ultrieurement. Cliquez sur Terminer.
311
Chapitre 8
Configuration des services de dploiement Windows Mme si vous avez dj configur les services de dploiement Windows partir de lassistant dinstallation, il est toujours possible de les configurer et de modifier la configuration partir de la console dadministration. Pour cela, cliquez du bouton droit de la souris sur le nom de votre serveur, puis slectionnez PXE Server Setting. Une fois la console lance, vous pouvez voir vos services de dploiement Windows dans votre domaine Active Directory. En dessous du serveur se trouvent quatre icnes.
j j
Images dinstallation : vous y trouvez toutes les images parses. Images de dmarrage : ici se trouve tout ce qui peut tre bootable, Boot.wim (le Win PE optimis pour linstallation de Windows Vista) ainsi que vos Win PE personnaliss. Images hrites : cest la partie o sont stockes toutes les anciennes images RIS ralises partir de Risetup. Priphriques en attente : liste lensemble des machines autorises ou non se connecter au serveur WDS.
8.5.
Nous avons vu en introduction que les services de dploiement Windows ont comme prrequis Active Directory et un serveur DHCP actif sur le rseau. Ils se basent sur lenvironnement PXE, qui son tour utilise DHCP. Dans le cas o lentreprise 312
nutiliserait quun seul serveur de dploiement, Il est ncessaire de modifier la configuration DHCP si les services de dploiement Windows et DHCP sont installs sur un seul serveur.
Loption DHCP 60
Si votre serveur DHCP est install sur le mme serveur que les services de dploiement Windows, lassistant Installation des services de dploiement Windows ajoute la balise 60 de loption DHCP, avec le paramtre de client PXE slectionn, toutes les tendues DHCP en tant quoption DHCP globale. Cest ncessaire pour quun client PXE de dmarrage reoive une notification de la prsence dun serveur PXE en coute sur le rseau. Si vous ajoutez le service DHCP un serveur ou les services de dploiement Windows sont existants, vous devez reconfigurer manuellement loption DHCP 60. Vous disposez pour cela de deux possibilits :
j j
la configuration laide de la console dadministration Services de dploiement Windows ; la configuration laide de lutilitaire WDSUTIL.
Pour configurer loption DHCP 60 partir de la console Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits.
313
Chapitre 8
4. Dans la page Proprits du serveur, cliquez sur longlet DHCP. 5. Dans la page Options DHCP, cliquez sur Configurer loption DHCP 60 avec la valeur PXEClient .
Figure 8.11 : Configuration de loption DHCP 60 dans le serveur de dploiement
Droits utilisateur Pour excuter cette procdure, vous devez tre membre du groupe Oprateurs de compte ou du groupe Administrateurs du domaine, ou avoir reu par dlgation les autorisations ncessaires.
Le port 67
8. Les services de dploiement Windows Si le service DHCP est install sur le mme serveur que les services de dploiement Windows, lassistant de configuration des services de dploiement Windows configurera WDS en slectionnant loption Ne pas couter sur le port 67. Cest ncessaire pour que les clients de dmarrage puissent dtecter le serveur DHCP sur le rseau. Si vous ajoutez le service DHCP un serveur de services de dploiement Windows existant, vous devez reconfigurer le port 67, ce qui est possible laide de lune des deux procdures suivantes :
j j
la configuration de loption Port 67 laide de la console dadministration Services de dploiement Windows ; la configuration de loption Port 67 laide de lutilitaire WDSUTIL.
314
Pour configurer le port 67 laide de la console dadministration Services de dploiement Windows, procdez ainsi : 1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur le lien Serveurs pour dvelopper la liste correspondante. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits. 4. Dans la page Proprits du serveur, cliquez sur longlet DHCP. 5. Dans la page Options DHCP, cliquez sur Ne pas couter sur le port 67.
Figure 8.12 : Configuration du port 67
Droits utilisateur Pour excuter cette procdure, vous devez tre membre du groupe Oprateurs de compte ou du groupe Administrateurs du domaine, ou avoir reu par dlgation les autorisations ncessaires.
8.6.
Les images de dmarrage sont des images Win PE contenant le client Services de dploiement Windows. Elles sont utilises pour prsenter un menu de dmarrage initial lorsquun client contacte le serveur de services de dploiement Windows.
315
Chapitre 8
Les images dinstallation reprsentent le type dimage par dfaut lorsque vous exportez une image de dmarrage partir du magasin dimages des services de dploiement Windows. Lorsquun client dmarre une image dinstallation, le programme dinstallation de Windows est immdiatement appel. Les images de capture offrent une alternative lutilitaire de ligne de commande
ImageX lors de la capture dune image prpare avec lutilitaire Sysprep. Lorsquun
client dmarre sur une image de capture, lutilitaire de capture des services de dploiement Windows est appel et vous guide pour la capture et lajout dune nouvelle image.
j
Les images de dcouverte sont des images de dmarrage qui prennent en compte les services de dploiement Windows, pouvant tre copies sur un CD pour tre utilis lorsque les services de dmarrage de lenvironnement dexcution de prdmarrage (PXE) sont indisponibles. Aprs le dmarrage sur une image de dcouverte, lutilisateur voit safficher le menu client des services de dploiement Windows et continue le programme dinstallation comme lorsquun dmarrage PXE se produit.
316
4. Dans la fentre Fichier Image, cliquez sur Parcourir pour slectionner limage ajouter, puis cliquez sur Suivant.
Figure 8.14 : Emplacement du fichier dimage bootable
5. Dans la fentre Mtadonnes dimage, entrez le nom de limage et sa description, puis cliquez sur Suivant. 6. Cliquez sur Suivant dans la fentre Rsum. 7. Une fois la progression de la copie acheve, cliquez sur Terminer.
317
Chapitre 8
5. Dans la fentre Exporter en tant que, slectionnez le chemin et tapez un nom de fichier pour limage. Cliquez sur Enregistrer.
318
5. Dans la bote de dialogue de confirmation, cliquez sur Oui pour supprimer limage.
8.7.
Les images dinstallation sont des images du systme dexploitation qui sera install sur les ordinateurs clients, qui dmarrent sur un serveur des services de dploiement Windows.
j
Format WIM : les fichiers WIM reprsentent un nouveau format de fichier contenant une ou plusieurs images Windows compresses. Les fichiers WIM reposent sur des fichiers, plutt que sur des secteurs, ce qui facilite la mise jour des images existantes. Les fichiers WIM intgrent galement la technologie SIS (Single Instance Storage), pour viter les doublons de fichiers au sein dun WIM. Images RIPREP : les images RIPREP sont des images des services dinstallation distance hrites. Les services de dploiement Windows, en mode hrit ou mixte,
319
Chapitre 8
peuvent dployer des images RIPREP. Les images RIPREP dpendent de la couche HAL et de la langue, ce qui rend leur prise en charge trs coteuse.
j
Images RISETUP : les images RISETUP reprsentent le premier type dimage des services dinstallation distance. Pour lessentiel, il sagit dune copie de la structure de rpertoires du CD (rpertoire i386) sur un partage de fichiers sur le serveur des services dinstallation distance. Les images RISETUP prsentent un avantage considrable par rapport aux images RIPREP des services dinstallation distance : elles ne dpendent pas de la couche HAL.
8.8.
Un groupe dimages est un ensemble de fichiers image WIM qui partage une scurit et des ressources de fichiers communes. Les groupes dimages limitent les services car laction de maintenir une image au sein dun groupe dimages, par exemple lapplication dun correctif logiciel, dun Service Pack ou la mise jour de fichiers, ncessite un accs exclusif au groupe. Les ressources de fichiers sont partages sur le groupe dimages instance unique bien que les mtadonnes de chaque image rsident dans un fichier WIM physique part. Les groupes dimages contiennent deux types de fichiers :
j
Res.rwm contient les flux de fichiers des images, comme il est dfini dans Install.wim, Install2.wim et WinXP.wim. Notez que chaque groupe dimages possde son propre fichier Res.rwm. Install.wim contient les mtadonnes dimage dcrivant le contenu dune image de systme dexploitation. Les ressources de fichiers relles de limage se trouvent dans Res.rwm.
Figure 8.19 : Fichiers Res.rwm et Install.wim du groupe dimages Windows Vista x64
Chaque groupe dimages possde un fichier Res.rwm cr lors de lajout de la premire image au groupe. Res.rwm est connu comme tant un fichier WIM rserv aux ressources uniquement ; toutes les ressources de tous les fichiers rsident dans Res.rwm. Le fichier .rwm est un fichier .wim renomm de manire tablir une distinction entre le fichier .wim rserv aux ressources et le fichier .wims de mtadonnes et acclrer
320
lnumration des images. Dans la mesure o lnumration dimages ne fonctionne que sur les fichiers .wim, le fichier Res.rwm sera ignor. Les donnes dun fichier WIM sont instance unique, les fichiers dupliqus ne sont donc stocks quune seule fois, ce qui rduit fortement le volume de stockage des images dun groupe dimages sur le disque.
4. dans le champ Entrez un nom pour le groupe dimages de la fentre Ajouter un groupe dimages, saisissez Windows Vista x64, puis cliquez sur OK.
321
Chapitre 8
Figure 8.22 : Slection du groupe dans lequel vous allez ajouter votre image
322
4. Dans la fentre Fichier image, cliquez sur Parcourir pour slectionner limage ajouter, puis cliquez sur Suivant.
Figure 8.23 : Nom et chemin de limage ajouter dans le magasin du groupe dimages
Windows x64 5. Dans la fentre Liste des images disponibles, slectionnez les images, activez loption Utilisez le nom par dfaut et la description pour chaque image slectionne et cliquez sur Suivant. 6. Dans la fentre Rsum, cliquez sur Suivant, puis sur Terminer.
323
Chapitre 8
5. Dans le volet droit, cliquez avec le bouton droit de la souris sur limage et cliquez sur Supprimer limage.
6. Dans la bote de dialogue, confirmez la suppression de limage, cliquez sur Oui pour supprimer limage.
Figure 8.26 : Confirmation de la suppression de limage
324
5. Dans la fentre Exporter en tant que, choisissez le chemin et le nom donn au fichier, puis cliquez sur Enregistrer.
325
Chapitre 8
8.9.
Vous pouvez utiliser la page Proprits des services dannuaire du serveur de dploiement pour dfinir la stratgie de noms de clients par dfaut et lemplacement du compte client. Les services de dploiement Windows offrent quatre mthodes pour nommer un ordinateur et le placer dans une unit dorganisation :
j j j j
Ladministrateur spcifie le nom de lordinateur et lunit dorganisation. Le serveur spcifie le nom de lordinateur et lunit dorganisation. Le client effectue toutes les actions dajout un domaine lors du premier dmarrage. Un administrateur cre une interface utilisateur personnalise.
Dans le cadre du processus dapprobation des priphriques en attente : il sagit de paramtres par serveur ou par architecture qui sapplique tous les priphriques approuvs. Ladministrateur peut les ignorer sur ordinateur par ordinateur lors de lapprobation. Pour les scnarios dajout un domaine impliquant le client WDS : par dfaut, toutes les installations effectues laide du client Services de dploiement Windows entranent lajout de lordinateur au domaine la fin du processus. Si linstallation a lieu sur un client prdfini (cr manuellement ou via Priphriques en attente), le client est ajout en tant que priphrique existant. Si linstallation est effectue sur un nouvel ordinateur, le client Services de dploiement Windows cre un compte dordinateur dans Active Directory en fonction de ces paramtres de stratgie. Le client sera alors joint en tant que nouveau compte.
1. Slectionnez le menu Dmarrer/Outils dadministration/Services de dploiement Windows. 2. Dans le volet gauche de la console Services de dploiement Windows, cliquez sur Serveurs pour dvelopper la liste. 3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Proprits. 4. Slectionnez longlet Paramtres de rponse PXE.
Figure 8.29 : Onglet Paramtres de rponse PXE du serveur de dploiement
5. Cliquez sur Rpondre tous les ordinateurs clients (connus et inconnus). 6. Cliquez sur Pour les clients inconnus, informer ladministrateur et rpondre aprs accord. 7. Effectuez un dmarrage PXE de lordinateur client. 8. Les services de dploiement Windows Sur lordinateur client, un message saffiche et indique lID de demande et ladresse IP du serveur qui a t contact lors du dmarrage de lordinateur client. 8. Dans le composant logiciel enfichable Services de dploiement Windows, slectionnez le serveur que le client a contact pour afficher le nouveau client sous la rubrique Priphriques en attente.
327
Chapitre 8
Figure 8.30 : Client en attente dans le serveur dans la file dattente du serveur de
dploiement 9. Cliquez avec le bouton droit de la souris sur le priphrique, puis cliquez sur Approuver.
10. Tapez un nom dordinateur et une unit dorganisation. 11. Cliquez sur OK. 12. Sur lordinateur client, choisissez une image dans le menu et appuyez sur [].
328
4. Dans la partie Stratgie de rponse PXE, cliquez sur Rpondre tous les ordinateurs clients (connus et inconnus).
Figure 8.32 : Paramtres de rponse PXE
5. Cliquez sur longlet Services dannuaire. 6. Dfinissez la stratgie de nom de clients. Stratgie de nom client La stratgie de nom de clients par dfaut est dfinie par le nom dutilisateur suivi de deux chiffres alatoires. Vous pouvez utiliser les chiffres 1 9 pour modifier le nombre de chiffres aprs le nom dutilisateur. 7. Sous longlet Emplacement du compte client, choisissez lunit dorganisation par dfaut (mme domaine que le serveur des services de dploiement Windows) ou dfinissez une unit dorganisation pour le serveur. 8. Effectuez un dmarrage PXE dun ordinateur client pour le crer laide de la stratgie de nom de clients et de lunit dorganisation spcifies.
329
Chapitre 8
Toutes les options automatiques dattribution de nom bases sur le nom de lutilisateur ajoutent un numro incrmentiel au nom de lutilisateur pour quil soit unique. 2. Slectionnez une option dans le tableau suivant pour crer automatiquement le nom dordinateur personnalis.
Tableau 8.2 : Dfinir une stratgie de noms dordinateurs Variable %First %Last %Username %MAC %[0][n]# Rsultat Le prnom de lutilisateur est utilis en tant que nom de lordinateur. Le nom de lutilisateur est utilis en tant que nom de lordinateur. Le nom dutilisateur est utilis en tant que nom de lordinateur. Ladresse de contrle daccs au mdia de la carte rseau est utilise en tant que nom de lordinateur. Le nom dordinateur contient un numro incrmentiel comprenant n chiffres. Pour entrer un caractre de remplissage (0) dans le numro incrmentiel, tapez un zro, comme indiqu. Par exemple, si vous choisissez %03#, entrez un nombre trois chiffres compris entre 001 et 999.
Bonne pratique vitez de crer une convention de nom qui pourrait gnrer des noms dordinateurs dupliqus. Pour lviter, utilisez loption de numro incrmentiel dcrite dans le tableau prcdent. Lorsque vous dfinissez la rgle dattribution de noms de votre ordinateur, vous pouvez limiter la longueur du nom de lordinateur en ajoutant une valeur numrique la chane de texte. Par exemple, pour rduire trois caractres le nom dordinateur, avec un numro incrmentiel deux chiffres ajouts au nom de famille du dernier utilisateur, utilisez la chane %3Last%02#. Le nom dordinateur attribu au cinquime utilisateur de lordinateur dont le nom de famille est Paul, sera donc Paul05. Vous pouvez utiliser sparment ou combiner les options dattribution de noms personnalises. Par exemple, si vous voulez que le nom dordinateur contienne les trois premires lettres du prnom de lutilisateur, puis les trois premires lettres du nom de famille de lutilisateur, suivi dun nombre incrmentiel trois chiffres, vous pouvez utiliser la chane %3First%3Last%03#.
Si vous utilisez un fichier dinstallation sans assistance dimage, assurez-vous que le fichier contient les balises adquates :
j
Chapitre 8
La prsence de ces balises indique que les services de dploiement Windows doivent insrer les informations dajout au domaine. La section Microsoft-Windows-Shell-Setup dans la passe <specialize> doit tre prsente dans votre fichier dinstallation sans assistance. Le nom dordinateur nest pas ajout si la passe <specialize> ne contient pas au moins une section Microsoft-Windows-Shell-Setup vide. Lobjectif ici consiste viter le codage irrversible des attributs de ce composant, notamment de publicKeyToken et de la langue.
Hdlscom1.com
Hdlscom1.n12
Hdlscom2.com
332
WDSUTIL
Fonctionnalit Vous pouvez utiliser ce programme pour rediriger la sortie du microprogramme vers le port COM2 des systmes qui ne prennent pas en charge la redirection du microprogramme vers la console. Ce programme ignorera la touche [F12] et dmarrera directement le serveur PXE. Vous pouvez utiliser ce programme de dmarrage (par dfaut) pour inviter lutilisateur appuyer sur la touche [F12] pour accder aux services de dmarrage. Vous pouvez utiliser ce programme de dmarrage pour ignorer la touche [F12] et dmarrer directement sur le serveur PXE. Wdsnbp.com est un programme de dmarrage rseau utilis par les services de dploiement Windows et ne doit jamais tre utilis en tant que programme de dmarrage par dfaut. Wdsnbp.com sert les oprations gnrales suivantes : - Il bloque le dmarrage PXE. Cela permet aux services de dploiement Windows dexcuter la logique de rponse avance en vitant que le client nexpire tandis quil attend le serveur. - Il rapporte larchitecture du client de dmarrage lorsque celle-ci ne peut pas tre dtermine partir du paquet rseau de dmarrage PXE. Cest particulirement important sur les systmes x64 qui ne rapportent pas leur architecture 64 bits. - Il rsout les cas de rfrences PXE lorsque les services de dploiement Windows et services dinstallation distance sont prsents sur le mme rseau ou segment rseau. - Il agit en tant que protocole de dmarrage rseau pour les cas dajouts automatiques o il bloquera le processus de dmarrage PXE et interrogera le serveur sur ltat dapprobation.
Pxeboot.com
Pxeboot.n12 Wdsnbp.com
8.11. WDSUTIL
8. Les services de dploiement Windows
wdsutil
wdsutil est loutil en ligne de commandes qui permet de configurer et dadministrer les services de dploiement de Windows.
Syntaxe :
/GetAllDevices
wdsutil <cmd> [option] Affiche des informations printermdiaires. sur tous les priphriques
333
Chapitre 8
/GetAllImageGroups /GetAllImages /GetAllServers /NewCaptureImage /NewDiscoverImage /AddDevice /GetDevice /SetDevice /AddImage /CopyImage /ExportImage /GetImage /RemoveImage /Replaceimage /SetImage /GetImageFile /AddImageGroup /GetImageGroup 8. Les services de dploiement Windows /RemoveImageGroup /SetImageGroup
Affiche les informations sur tous les groupes dimages. Affiche les informations sur toutes les images. Affiche les informations sur tous les serveurs de services de dploiement Windows. Cre une image Win PE utilise dans la capture des images du systme dexploitation. Cre une image Win PE utilise dans la dcouverte du serveur des services de dploiement Windows. Ajoute un priphrique printermdiaire. Affiche les attributs dun priphrique existant. Change les attributs dun priphrique existant. Ajoute les images de dmarrage ou dinstallation. Copie une image dans le magasin dimages. Exporte une image du magasin dimages vers un fichier WIM. Affiche les attributs dune image existante. Supprime une image de dmarrage ou dinstallation. Remplace une image de dmarrage ou dinstallation par une nouvelle version. Change les attributs dune image existante. Affiche les informations sur les images dun fichier WIM. Ajoute un groupe dimages. Affiche les informations dun groupe dimages. Supprime un groupe dimages. Change les attributs dun groupe dimages existant.
/ApproveAutoAddDevices Approuve les priphriques dajout automatique en attente sur le serveur. /RejectAutoAddDevices Refuse les priphriques dajout automatique en attente sur le serveur. /GetAutoAddDevices Affiche les priphriques dajout automatique du serveur.
334
WDSUTIL
/DeleteAutoAddDevices Supprime les priphriques dans la base de donnes de priphriques dajout automatique. /ConvertRiPrepImage /DisableServer /EnableServer /GetServer /InitializeServer /SetServer /StartServer /StopServer /UninitializeServer /UpdateServerFiles Convertit une image RIPREP existante en un fichier WMI. Dsactive lensemble des services de dploiement Windows sur un serveur. Active lensemble des services de dploiement Windows sur un serveur. Affiche les informations sur un serveur de services de dploiement Windows. Configure un serveur de services de dploiement Windows pour une utilisation initiale. Configure les paramtres dun serveur de services de dploiement Windows. Dmarre tous les services du serveur de services de dploiement Windows. Arrte tous les services du serveur de services de dploiement Windows. Restaure les modifications effectues lors de linitialisation du serveur. Met jour les fichiers du serveur sur le partage REMINST.
Pour illustrer la commande WDSUtil, voyez maintenant quelques exemples dadministration du serveur en ligne de commandes
335
Chapitre 8
Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
Ajouter une image dinstallation La mme manipulation en ligne de commandes existe pour ajouter une image dinstallation, la seule grande diffrence tant que cette image appartient un groupe. 336
WDSUTIL
Pour plus dinformations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalit des commandes du serveur.
Supprimer une image dinstallation La mme manipulation en ligne de commandes existe pour supprimer une image dinstallation, la seule grande diffrence tant que cette image appartient un groupe. Pour plus dinformations sur les commandes de WDSUTIL, ouvrez une Invite de commandes et saisissez wdsutil /allhelp pour avoir la totalit des commandes du serveur.
Chapitre 8
2. Dans la fentre dInvite de commandes, tapez wdsutil /verbose /getserver /Server:serveurWDS /Show:All /detailed.
C:\Documents and Settings\Administrateur>wdsutil /verbose /get-server /Server: stlscpap01 /Show:All /detailed Utilitaire de gestion des services de dploiement Windows [Version 6.0.6000.16386] Copyright (C) Microsoft Corporation. Tous droits rservs.
INFORMATIONS DINSTALLATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] tat du serveur : Version du systme : 5.2 Mode de fonctionnement WDS : Natif tat de linstallation : Emplacement REMINST : e:\RemoteInstall Partage REMINST jour : Oui Fichiers de dmarrage installs : x86 - Oui x64 - Oui ia64 - Non [----------------------------------------------------------------------------] INFORMATIONS DE CONFIGURATION POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] Autorisation de serveur : tat de lautorisation : Non autoris Stratgie de rponse : Rpondre aux clients : Oui Rpondre uniquement aux clients connus : Non Dlai de rponse : 0 secondes
Stratgie dutilisation des services dannuaire : Contrleur de domaine prfr : Catalogue global prfr : Prdfinir les priphriques laide de MAC : Non Stratgie de nommage des nouveaux ordinateurs : %61Username%# Ordre de recherche de domaine : Catalogue global uniquement Domaine de jointure des nouveaux ordinateurs : Oui Unit dorganisation Nouvel ordinateur : Type dunit dorganisation : ServerDomain Unit dorganisation : CN=Computers,DC=Copr,DC=puzzmania,DC=com Configuration DHCP : tat du service DHCP : En cours dexcution
338
WDSUTIL
Option DHCP 60 configure : Oui Stratgie de liaison PXE : Utiliser les ports DHCP : Oui Dtection de serveurs non autoriss : Dsactiv Port RPC : 5040 Stratgie de liaison dinterface : Stratgie : Exclure les inscrits Interfaces inscrites : Stratgie de programme de dmarrage : Autoriser N12 pour les nouveaux clients : Non Dcouverte darchitecture : Dsactiv Rinitialiser le programme de dmarrage : Non Programmes de dmarrage par dfaut : x86 - boot\x86\pxeboot.com x64 - boot\x64\pxeboot.com ia64 - boot\ia64\bootmgfw.efi Programmes de dmarrage N12 par dfaut : x86 - boot\x86\pxeboot.n12 x64 - boot\x64\pxeboot.n12 ia64 - boot\ia64\bootmgfw.efi Liste des GUID bannis : Stratgie dimage de dmarrage : Type dimage par dfaut pour les clients x64 : Les deux Images de dmarrage par dfaut : x86 x64 ia64 Stratgie de client WDS : Stratgie denregistrement : Active : Non Niveau denregistrement : Informations Stratgie autonome : Active : Non Prcdence de ligne de commande : Non Fichiers dinstallation sans assistance WDS : x86 x64 ia64 Stratgie OSChooser : Nom de menu : Stratgie dactualisation automatique de serveur : Dlai dactualisation : 900 secondes
Chapitre 8
Stratgie dactualisation de BCD : Active : Non Dlai dactualisation : 60 minutes Stratgie dajout automatique : Stratgie : Dsactiv Intervalle dinterrogation : 10 secondes Nombre max. de tentatives : 2160 fois Message : Priode de rtention : Priphriques approuvs : 30 jours Autres priphriques : 1 jours Valeurs par dfaut pour x86 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par dfaut pour x64 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui Valeurs par dfaut pour ia64 : Serveur de rfrence : Chemin daccs au programme de dmarrage Chemin daccs au fichier dinstallation : Chemin daccs limage de dmarrage : Utilisateur : Domain Admins Droits de jointure : Complet Domaine de jointure : Oui
Fournisseurs PXE WDS : Nom : BINLSVC Chemin daccs : C:\WINDOWS\system32\binlsvc.dll Ordre : 1 Critique : Oui
340
WDSUTIL
[----------------------------------------------------------------------------] INFORMATIONS SUR LES IMAGES POUR LE SERVEUR stlscpap01 [----------------------------------------------------------------------------] IMAGES DE DMARRAGE ============================================================================== -----------------------------Images de dmarrage pour x86 -----------------------------Nombre dimages : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x86) Nom du fichier : boot.wim Nom de limage : Microsoft Windows Longhorn Setup (x86) Description : Microsoft Windows Longhorn Setup (x86) Architecture : x86 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 338034861 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 14:22:57 Dernire modification : samedi 3 fvrier 2007 21:20:46 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ******************************************************************************
Maintenance x86 v.1.3 Nom du fichier : Maintenance.wim Nom de limage : Maintenance x86 v.1.3 Description : Maintenance x86 v.1.3 Architecture : x86 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 338034861 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 14:22:57 Dernire modification : samedi 3 fvrier 2007 21:32:22 Langue par dfaut : Franais (France)
341
Chapitre 8
Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** -----------------------------Images de dmarrage pour ia64 -----------------------------Nombre dimages : 0 -----------------------------Informations sur les images : -----------------------------Aucune image ne correspond aux critres spcifis. -----------------------------Images de dmarrage pour x64 -----------------------------Nombre dimages : 2 -----------------------------Informations sur les images : -----------------------------Microsoft Windows Longhorn Setup (x64) Nom du fichier : boot.wim Nom de limage : Microsoft Windows Longhorn Setup (x64) Description : Microsoft Windows Longhorn Setup (x64) Architecture : x64 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 383339906 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 16:07:42 Dernire modification : samedi 3 fvrier 2007 21:29:20 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Maintenance x64 v.1.1
WDSUTIL
Nom du fichier : Maintenance x64 v.1.1.wim Nom de limage : Maintenance x64 v.1.1 Description : Maintenance x64 v.1.1 Architecture : x64 Type dimage : Dmarrage Groupe dimages : <Non applicable> Taille : 383339906 octets Type HAL : Heure de cration : jeudi 2 novembre 2006 16:07:42 Dernire modification : samedi 3 fvrier 2007 21:34:27 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : <Non applicable> Fichier dinstallation sans assistance prsent : Non tat : Activ ******************************************************************************
============================================================================== -------Rsum : -------Nombre total de magasins dimages de dmarrage : 3 Nombre total dimages de dmarrage : 4 --------
IMAGES DINSTALLATION ============================================================================== -------------------Groupe dimages Windows Vista x64 -------------------Nom : Windows Vista x64 Scurit : O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510) Nombre dimages : 2 ----------------------------Informations sur les images : -----------------------------
343
Chapitre 8
Nom de limage : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x64 Type dimage : Installation Groupe dimages : Windows Vista x64 Taille : 11666352356 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 16:44:01 Dernire modification : dimanche 4 fvrier 2007 14:13:43 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 -1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de limage : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x64 Type dimage : Installation Groupe dimages : Windows Vista x64 Taille : 10604416502 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 16:37:21 Dernire modification : dimanche 4 fvrier 2007 14:11:50 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 -1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ***************************************************************************** -------------------Groupe dimages Windows Vista x86 -------------------Nom : Windows Vista x86 Scurit : O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI; FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
WDSUTIL
Nombre dimages : 2 ----------------------------Informations sur les images : ----------------------------Windows Vista ULTIMATE Nom du fichier : install-(2).wim Nom de limage : Windows Vista ULTIMATE Description : Windows Vista Ultimate Architecture : x86 Type dimage : Installation Groupe dimages : Windows Vista x86 Taille : 8018307216 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 13:41:31 Dernire modification : dimanche 4 fvrier 2007 14:20:48 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ ****************************************************************************** Windows Vista BUSINESS Nom du fichier : install.wim Nom de limage : Windows Vista BUSINESS Description : Windows Vista Business Architecture : x86 Type dimage : Installation Groupe dimages : Windows Vista x86 Taille : 7066175656 octets Type HAL : acpiapic Heure de cration : jeudi 2 novembre 2006 13:37:02 Dernire modification : dimanche 4 fvrier 2007 14:20:03 Langue par dfaut : Franais (France) Autres langues : Version du systme dexploitation : MicrosoftT WindowsT Operating System, 6.0.6000 Niveau de Service pack : 16386 Filtre utilisateur : O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80 1688844526-3235337491-1375791646-891369040-3692469510) Fichier dinstallation sans assistance prsent : Non tat : Activ
Chapitre 8
****************************************************************************** ============================================================================== -------Rsum : -------Nombre total de groupes dimages dinstallation : 2 Nombre total dimages dinstallation : 4 -------IMAGES NON NATIVES ============================================================================== -------Rsum : -------Nombre total de groupes dimages non natives : 0 Nombre total dimages non natives : 0 -------[----------------------------------------------------------------------------] -----------------------------RSUM GLOBAL SUR LES IMAGES : -----------------------------Nombre total de magasins dimages de dmarrage : 3 Nombre total dimages de dmarrage : 4 Nombre total de groupes dimages dinstallation : 2 Nombre total dimages dinstallation : 4 Nombre total de groupes dimages non natives : 0 Nombre total dimages non natives : 0 -----------------------------La commande sest termine correctement.
346
En rsum
Copyright (C) Microsoft Corporation. Tous droits rservs. La commande sest termine correctement. C:\Documents and Settings\Administrateur>
8.12. En rsum
Dans ce chapitre, nous avons vu que Windows Server 2003 possde prsent deux services de dploiement : le serveur RIS en natif depuis larrive de Windows Server 2003 et les services de dploiement Windows. Ces nouveaux services de dploiement permettent de continuer dployer les anciennes images prsentes dans votre systme dinformations, mais galement les images de Windows Vista. Pour assurer la compatibilit, ce serveur peut fonctionner selon trois modes. Pour dcrire le niveau de fonctionnalit associ chaque mode configuration possible de WDS, ladministration et lexploitation des serveurs sont classes en trois catgories, connues sous le nom de "modes serveurs".
j
Le mode compatible WDS est fonctionnellement quivalent RIS. Les binaires de WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera prsent comme systme dexploitation damorage. Cependant, seules les images RISETUP et RIPREP sont prises en charge. Les nouveaux outils dadministration de WDS ne sont pas utiliss. Les anciens utilitaires RIS sont les seuls moyens pour administrer le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows Server 2003.
347
Chapitre 8
Tableau 8.3 : Le mode compatible WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser RISETUP et RIPREP Utilitaires RIS
Le mode mixte de WDS dcrit un tat serveur ou les deux images damorage, OSChooser et Windows PE, sont disponibles. Dans ce mode, laccs aux anciens types dimages RISETUP et RIPREP est possible via OSChooser. En outre, il est possible dexploiter le nouveau format WIM via une image damorage Windows PE. Du ct poste client, un menu damorage permettra de choisir entre RIS et Windows PE. Ladministrateur pourra exploiter les anciens outils pour grer les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour grer toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS ne peut fonctionner que sur Windows Server 2003.
Tableau 8.4 : Le mode mixte WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur OSChooser et Windows PE WIM, RISETUP et RIPREP Utilitaires RIS et administration WDS
Le mode natif WDS correspond un serveur WDS et des images damorage uniquement de type Windows PE. Dans ce mode, OSChooser disparat et les images WIM sont les seules tre prises en charge pour un dploiement sur les clients. Ladministration du serveur seffectue via les outils WDS. Le mode natif WDS sapplique Windows Server 2003 et Windows Server 2008. Pour Windows Server 2008, il sagit du seul mode serveur WDS pris en charge.
Tableau 8.5 : Le mode natif WDS Fonctionnalit Environnement damorage Types dimages Outils dadministration Valeur Windows PE WIM Administration WDS
Ces diffrents modes permettent une transition en douceur entre les fonctionnalits RIS existantes et les nouvelles de WDS qui seront les seules exister dans Windows Server 2008. 348
En rsum
Le passage dune exploitation RIS WDS en mode compatible (binaires WDS mais fonctionnalits RIS) seffectue lorsquun serveur RIS existant est mis jour vers WDS. partir de cet instant, lutilisation des outils dadministration WDS (tels que MMC et linterface la ligne de commandes) pour initialiser le serveur fait passer WDS en mode mixte. Le passage en mode natif seffectue lorsque les images anciennes sont converties au format WIM et que la fonctionnalit OSChooser est inhibe (via la commande /forceNative). Le serveur de dploiement peut tre install avec le Services Pack 2 de Windows Server 2003 ou depuis un fichier tlcharg sur les sites de Microsoft. Dans ce cas, le serveur doit rpondre lensemble des prrequis dinstallation. Les services de dploiement fonctionnent depuis linterface graphique, mais galement en ligne de commandes partir de loutil WDSutil. Pour conclure ce chapitre, ce quil faut retenir est que ce nouveau service de dploiement a pour objectif dunifier les anciens modes de dploiement tel que RIS et les nouveaux modes de dploiement de type WIM. Le service fonctionne avec trois niveaux de compatibilit. Ce service demande quelques prrequis tel que le Service Pack 1 de Windows Server 2003 ou encore le Framework .Net. Le grand avantage propos par le service de dploiement est quil est quasiment administrable en ligne de commandes.
Chapitre 9
ans le monde des entreprises, les services informatiques mettent en uvre, font voluer et modifient les infrastructures systmes leur permettant de mieux contrler et administrer tous les services dploys pour les utilisateurs. Chez Microsoft, linfrastructure qui permet une administration centralise des ressources sappelle Active Directory. Windows Vista remplace Windows XP dans le contexte dentreprise. Windows Vista est taill pour rpondre aux exigences, de plus en plus grandes, damlioration de la productivit des utilisateurs en entreprise. Windows Vista arrive dans les entreprises et ces dernires disposent toutes dun systme dinformation existant. Que ce soit la petite PME avec cinq ou six postes ou la grande entreprise avec plus de 2000 utilisateurs. Windows Vista va devoir cohabiter avec les diffrentes versions de systmes dexploitation existants dans lentreprise et surtout, Windows Vista va devoir cohabiter au sein de linfrastructure systme et rseau de lentreprise. Dans le cadre des systmes dexploitation Microsoft, Windows Vista devra cohabiter au sein des forts et domaines Active Directory.
9.1.
Pour mieux comprendre la problmatique actuelle, faisons un petit rappel historique. lpoque, Windows 2000 Server et Windows 2000 Professionnel (la version cliente) sont sortis simultanment, la premire version dActive Directory couvrant parfaitement toutes les options de configuration de Windows 2000 Professionnel. En 2001, Windows XP Professionnel fait son apparition. Il sintgre dans les forts Active Directory Windows 2000 Server, mais il possde des capacits de configuration plus grandes que Windows 2000 Professionnel. Il faut donc attendre 2003 et la sortie de Windows Server 2003 pour mettre niveau les fonctionnalits dActive Directory et tirer parti de tout le potentiel de configuration et damlioration de la productivit du tandem Windows XP Professionnel et Windows Server 2003. Il en va de mme pour Windows Vista. Il sintgre bien dans les forts et les domaines Active Directory existants, mais nous en tirerons tout le potentiel uniquement lorsque le successeur de Windows Server 2003 (connu sous le nom actuel de Windows Server Longhorn) sera sorti et que linfrastructure Active Directory sera mise niveau, cest--dire pas avant fin 2007. Prenons lexemple dune socit fictive pour tayer nos dmonstrations. Cette socit se compose dun domaine, lui-mme compos de stations de travail Windows XP Professionnel. Aujourdhui, cette entreprise installe des ordinateurs Windows Vista pour rpondre aux besoins dune certaine population de lentreprise et souhaite les intgrer au domaine existant. Ces ordinateurs Windows Vista ont dj t installs selon la procdure adquate. Voici comment procder pour les intgrer au domaine
353
Chapitre 9
Linterface graphique
9. Lintgration de Windows Vista dans linfrastructure 1. Loguez-vous sous Windows Vista avec un compte administrateur local. 2. Cliquez sur le logo Windows pour ouvrir le menu de dmarrage, puis cliquez avec le bouton droit de la souris de la souris sur Ordinateur.
354
4. Cliquez sur Modifier les paramtres en bas droite de la fentre. 9. Lintgration de Windows Vista dans linfrastructure
5. Au message du contrle de compte utilisateur, cliquez sur Continuer. La fentre des proprits systme souvre.
355
Chapitre 9
6. Cliquez sur Modifier. Cochez loption Domaine et entrez le nom du domaine corp.puzzmania.com.
7. Validez, puis tapez lidentifiant dun compte du domaine possdant les droits pour ajouter un ordinateur au domaine. Cliquez sur OK.
Figure 9.6 : Fentre didentification dun compte du domaine possdant les droits
356
Si tout se passe bien, vous verrez apparatre un message de bienvenue dans votre domaine. Vous devrez, comme dans toutes les versions prcdentes de Windows, redmarrer lordinateur pour que les changements prennent effet.
Figure 9.7 : Vous devez redmarrer pour que vos changements prennent effet
Une fois lordinateur redmarr, la nouvelle fentre de login, propre aux ordinateurs Windows en rseau, fait son apparition, accessible par la fameuse combinaison de touches [Ctrl]+[Alt]+[Suppr].
357
Chapitre 9
8. Tapez sur la combinaison de touches et entrez votre identifiant de domaine. 9. Lintgration de Windows Vista dans linfrastructure
Aprs la validation, votre session de travail souvre. Sidentifier dans un autre domaine Si vous souhaitez vous loguer dans un autre domaine que le domaine dappartenance de lordinateur, domaine approuv dans lequel vous avez le droit de vous loguer, la diffrence des versions antrieures de Windows, il ny a pas de section vous permettant de slectionner un autre domaine. Vous devez taper le nom du domaine dans la partie rserve au nom de lutilisateur selon le format nomdomaine \nomutilisateur. Regardons maintenant de plus prs comment ce nouvel ordinateur apparat sous Active Directory Windows Server 2003. Pour cela, connectez-vous un contrleur de domaine ou un serveur Windows Server 2003 ou encore une station de travail comprenant les outils dadministration permettant de lancer loutil Utilisateurs et Ordinateurs Active Directory (cette dernire mthode est la plus scurise). Nous considrons que vous tes administrateur de linfrastructure Active Directory de lentreprise.
358
Linterface graphique
9. Lintgration de Windows Vista dans linfrastructure 1. partir de STLSCPDC01, lancez lutilitaire dadministration Utilisateurs et Ordinateurs Active Directory en cliquant sur Dmarrer/Programmes/Outils dadministration et Utilisateurs et Ordinateurs Active Directory.
2. Cliquez sur le conteneur Computers ; vous voyez apparatre le compte dordinateur de la machine WTLSCPVI01 frachement ajoute au domaine.
Figure 9.11 : Vue du conteneur Computers
3. Cliquez deux fois sur le compte dordinateur WTLSCPVI01. La fentre des proprits du compte souvre. Cliquez sur longlet Systme dExploitation.
359
Chapitre 9
Figure 9.12 : Onglet Systme dExploitation de la fentre Proprits du compte dordinateur WTLSCPVI01
Vous retrouvez la version de Windows Vista, signifiant que linscription du compte dordinateur sest bien effectue. Version de Windows Vista Pour les nostalgiques et les curieux, sous longlet Systme dExploitation de la fentre Proprits dun compte dordinateur Windows Vista, le champ Version est dfini 6. Cela signifie qutant conu partir des versions de Windows NT Windows Vista serait en fait Windows NT 6 si Microsoft navait pas revu sa convention de dnomination, Windows 2000 tant NT 5 et Windows XP tant NT 5.1. Toutefois, nous vous recommandons de bien isoler tous les comptes dordinateurs de machines Windows Vista en les sortant du conteneur Computers et en les mettant part, soit dans une unit dorganisation spcifique commune linfrastructure, soit dans une sous-unit dorganisation spcifique chaque unit dorganisation reprsentant un service de lentreprise. Vous simplifierez ainsi votre vision du parc informatique et ladministration centralise des machines. Prenons lexemple dune unit dorganisation spcifique toutes les stations de travail Windows Vista de lentreprise. 1. Crez une unit dorganisation appele Ordinateurs Vista. 2. Par glisser-dposer, placez le compte dordinateur WTLSCPVI01 dans la nouvelle unit dorganisation. Le compte dordinateur est plus facilement identifiable et administrable.
360
Figure 9.13 : Une unit dorganisation particulire pour tous les ordinateurs Windows Vista
Votre ordinateur Windows Vista est prt tre administr de faon centralise via les stratgies de groupe.
361
Chapitre 9
9.2.
Un ordinateur, quip de Windows Vista et membre dun domaine, est parfaitement administrable partir de linfrastructure Active Directory. Lun des enjeux majeurs de Windows Vista est galement de rduire les cots oprationnels du systme dinformation de lentreprise. La direction du systme dinformation tant perptuellement en qute de rduction des cots, les administrateurs de lentreprise doivent avoir en main des outils et des technologies la fois simples et efficaces afin dadministrer de faon centralise tout le parc informatique. Selon la taille de lentreprise, arriver centraliser ladministration peut devenir un vrai casse-tte. Par contre, quand le dfi est russi, qui dit administration centralise, dit gain de temps et qui dit gain de temps, dit gain dargent. Windows Vista renforce la notion des stratgies de groupe, bien connues depuis Windows 2000, afin de toujours amliorer et simplifier les oprations dadministration. Ces nouveauts des stratgies de groupe vont tendre vers une administration du parc informatique toujours plus centralise.
362
Les stratgies de groupe permettent de configurer et de personnaliser de faon centralise le comportement des ordinateurs et des utilisateurs et dappliquer ces paramtres en masse sur tous les ordinateurs et les utilisateurs. Il existe des stratgies de groupe locales, cest--dire configurables et applicables localement lordinateur, et des stratgies de groupe dinfrastructure, cest--dire configurables via Active Directory soit au niveau de lunit dorganisation, soit au niveau du site ou du domaine et applicables en mme temps sur tout le spectre dordinateurs et dutilisateurs concerns (par exemple tous les ordinateurs et les utilisateurs dune mme unit dorganisation). Ces dernires, au contraire des stratgies de groupe locales, permettent de configurer de faon centralise une seule stratgie de groupe applicable potentiellement sur tous les utilisateurs et les ordinateurs dun domaine ou dune unit dorganisation ou dun site. Au sein dune stratgie de groupe, de trs nombreux paramtres peuvent tre modifis : que ce soit au niveau de lordinateur (icnes du Bureau, longueur des mots de passe, etc.) ou au niveau de lutilisateur (personnalisation dInternet Explorer, redirection de dossiers, etc.). Sous Windows XP prs de 1500 paramtres sont configurables. Sachez que sous Windows Vista, prs de 3000 paramtres sont configurables, cest--dire le double.
Vous trouverez dans les chapitres suivants de ce volume tout ce quil faut savoir sur Active Directory. Le tome II, quant lui, dtaillera les stratgies de groupe, entre autres. Voici les principales nouveauts apportes par les stratgies de groupes sous Windows Vista
363
Chapitre 9
2. Dans la bote de dialogue Excuter en tant que, cliquez sur Lutilisateur suivant, tapez CORP\Administrateur comme nom dutilisateur, puis le mot de passe associ et cliquez sur OK. 3. Dveloppez successivement les rubriques Fort, Domaines, corp.puzzmania.com, Objets de stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Modifier.
Figure 9.15 : dition dune stratgie de groupe avec la console de gestion des stratgies
Figure 9.16 : dition dune stratgie de groupe place sur une unit dorganisation
364
5. Cliquez avec le bouton droit de la souris sur Modles dadministration et slectionnez Ajout/suppression de modles. La fentre de slection ou dajout de fichiers ADM souvre.
6. Slectionnez un fichier ADM (les fichiers sont souvent classs selon leur rle, Windows Media Player par exemple). Une fois slectionn, vous pouvez configurer les paramtres que vous souhaitez en fonction du modle ADM. Les fichiers ADM modifient des paramtres de la base de Registre. En employant les fichiers ADM sous Windows 2000, Windows Server 2003 et Windows XP, les utilisateurs et Microsoft se sont aperus de deux inconvnients :
j j
Le format ADM nest pas standard. Tous les fichiers ADM sont dupliqus pour chaque stratgie de groupe dinfrastructure, alourdissant ainsi son application.
Windows Vista introduit les fichiers ADMX, une collection de fichiers ayant la mme fonction que les fichiers ADM, mais qui ont la particularit dtre des fichiers standards XML : il est possible de crer un rpertoire de stockage central o toutes les stratgies de groupe du domaine viendront lire les informations dont elles ont besoin. Ce nouveau format permet de rsoudre les inconvnients dtects au pralable avec le format ADM. Les fichiers ADMX permettent galement la gestion unifie des langues prises en charge avec lintroduction des fichiers ADML qui donnent la possibilit dajuster les paramtres des stratgies de groupe avec des langues diffrentes, selon les applications par exemple. 365
Chapitre 9
Considrations sur la compatibilit du format ADMX Le format ADMX tant une nouveaut Windows Vista, seul Windows Vista aujourdhui est capable den tirer les bnfices. Les nouvelles options de paramtrages de Windows Vista sont uniquement accessibles dans un fichier ADMX, donc invisibles des outils dadministration Windows XP ou Server 2003. Le format nest pas rtrocompatible avec les versions antrieures de Windows. Par contre, qui peut le plus, peut le moins : un ordinateur Windows Vista sait parfaitement grer les fichiers ADM des versions antrieures de Windows. Pour mettre en uvre les fichiers ADMX, considrons deux cas : le cas simple de la stratgie locale, puis le cas de limplmentation des fichiers ADMX dans un environnement Active Directory existant.
Lditeur de stratgies de groupe que vous venez de lancer va lire automatiquement les fichiers de configuration au format ADMX. 3. Vous pouvez dvelopper larborescence, diter et modifier un paramtre (voir fig. 9.19). Sous Windows Vista, les fichiers ADMX sont localiss sous %systemroot% \PolicyDefinitions\. Par dfaut %systemroot% correspond C:\WINDOWS. En comparaison, les fichiers ADM se trouvaient sous %systemroot% \inf\. Et les fichiers ADML sont localiss sous %systemroot%\PolicyDefinitions\fr-FR pour la France. 366
4. Fermez les fentres. Regardez le contenu du rpertoire PolicyDefinitions. Pour cela, procdez comme suit : 1. Ouvrez lExplorateur Windows en cliquant sur le logo Windows de la barre des tches, puis sur Tous les programmes, Accessoires et Explorateur Windows. 2. Parcourez lExplorateur jusqu C:\Windows\PolicyDefinitions.
367
Chapitre 9
Il existe, la base, 132 fichiers ADMX. Autrement dit, contrairement aux versions antrieures de Windows et aux fichiers ADM, peu prs tous les paramtres sont configurables au format ADMX. ditons un fichier ADMX pour constater quil est bien au format XML standard. Cliquez deux fois sur un fichier ADMX. Prenons lexemple du fichier AddRemovePrograms.admx ; il contient les lments suivants :
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="addremoveprograms" namespace="Microsoft.Policies .AddRemovePrograms" /> <using prefix="windows" namespace="Microsoft.Policies.Windows" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <categories> <category name="Arp" displayName="$(string.Arp)"> <parentCategory ref="windows:ControlPanel" /> </category> </categories> <policies> <policy name="DefaultCategory" class="User" displayName="$(string .DefaultCategory)" explainText="$(string.DefaultCategory_Help)" presentation="$(presentation.DefaultCategory)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> <elements> <text id="DefaultCategoryBox" valueName="DefaultCategory" required="true" /> </elements> </policy> <policy name="NoAddFromCDorFloppy" class="User" displayName="$(string .NoAddFromCDorFloppy)" explainText="$(string.NoAddFromCDorFloppy_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromCDorFloppy"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddFromInternet" class="User" displayName="$(string .NoAddFromInternet)" explainText="$(string.NoAddFromInternet_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromInternet"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy>
368
<policy name="NoAddFromNetwork" class="User" displayName="$(string .NoAddFromNetwork)" explainText="$(string.NoAddFromNetwork_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddFromNetwork"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddPage" class="User" displayName="$(string.NoAddPage)" explainText="$(string.NoAddPage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoAddRemovePrograms" class="User" displayName="$(string .NoAddRemovePrograms)" explainText="$(string.NoAddRemovePrograms_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoAddRemovePrograms"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoChooseProgramsPage" class="User" displayName="$(string .NoChooseProgramsPage)" explainText="$(string.NoChooseProgramsPage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoChooseProgramsPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoRemovePage" class="User" displayName="$(string.NoRemovePage)" explainText="$(string.NoRemovePage_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoRemovePage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoServices" class="User" displayName="$(string.NoServices)" explainText="$(string.NoServices_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoServices"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoSupportInfo" class="User" displayName="$(string .NoSupportInfo)" explainText="$(string.NoSupportInfo_Help)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoSupportInfo"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> <policy name="NoWindowsSetupPage" class="User" displayName="$(string .NoWindowsSetupPage)" explainText="$(string.NoWindowsSetupPage_Help)"
369
Chapitre 9
key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" valueName="NoWindowsSetupPage"> <parentCategory ref="Arp" /> <supportedOn ref="windows:SUPPORTED_WindowsPreVista" /> </policy> </policies> </policyDefinitions>
Vous retrouvez tous les lments paramtrables de lAjout Suppression de Programmes, ainsi que les cls de Registre modifier et les versions de Windows prises en charge. Sous lditeur de la stratgie de groupe locale, vous obtiendriez la vue suivante :
programmes au travers de lditeur de stratgie de groupe Vous remarquez que les paramtres sont traduits en franais. Cest possible grce au fichier AddRemovePrograms.adml correspondant qui fait le lien entre les paramtres dfinis en anglais et une traduction franaise. Voici un tout petit extrait du contenu du fichier ADML sur un seul paramtre :
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>tapez le nom complet ici</displayName> <description>tapez la description ici</description>
370
<resources> <stringTable> <string id="Arp">Ajouter ou supprimer des programmes</string> <string id="DefaultCategory">Spcifie la catgorie par dfaut pour Ajouter de nouveaux programmes</string> <string id="DefaultCategory_Help">Spcifie la catgorie des programmes qui apparat quand les utilisateurs ouvrent la page "Ajouter de nouveaux programmes". Si vous activez ce paramtre, seuls sont affichs les programmes appartenant la catgorie que vous spcifiez lorsque la page "Ajouter de nouveaux programmes" souvre. Les utilisateurs peuvent utiliser la zone Catgorie sur la page "Ajouter de nouveaux programmes" pour afficher les programmes dans dautres catgories.
Pour utiliser ce paramtre, tapez le nom dune catgorie dans la zone Catgorie pour ce paramtre. Vous devez entrer une catgorie qui est dj dfinie dans Ajouter ou supprimer des programmes. Pour dfinir une catgorie, utilisez Installation de logiciel. Si vous dsactivez ce paramtre ou ne le configurez pas, tous les programmes (Catgorie : toutes) sont affichs lorsque la page "Ajouter de nouveaux programmes" souvre. Vous pouvez utiliser ce paramtre pour diriger les utilisateurs vers les programmes dont ils auront certainement besoin. Remarque : ce paramtre est ignor si le paramtre "Supprimer lapplication Ajouter ou supprimer des programmes" ou le paramtre "Masquer la page Ajouter de nouveaux programmes" est activ.</string>
371
Chapitre 9
3. Une fentre souvre pointant sur le sous-rpertoire Policies dans Sysvol. Vous remarquez les rpertoires reprsentant les identifiants uniques des stratgies de groupe dj existantes. Crez un nouveau rpertoire que vous appelez PolicyDefinitions.
4. Recopiez le contenu du rpertoire local C:\WINDOWS\PolicyDefinitions\ dans le rpertoire PolicyDefinitions que vous venez de crer dans le dossier Sysvol. Vous recopiez alors tous les fichiers ADMX et tous les fichiers ADML. Votre rpertoire central est cr et peupl.
Figure 9.23 : Les fichiers ADMX et ADML sont copis dans le rpertoire
PolicyDefinitions du Sysvol Pour tirer parti de ce rpertoire central, vous allez crer une stratgie de groupe afin de contrler les paramtres de tous les ordinateurs Windows Vista contenus dans lunit dorganisation Ordinateurs Vista. Attention, cette stratgie de groupe sera cre dans un domaine Active Directory Windows Server 2003 pour contrler des ordinateurs Windows Vista. La condition sine 372
qua non pour que cela fonctionne est quil faut que cette stratgie de groupe soit cre partir dun ordinateur Windows Vista. Pour cela, Windows Vista intgre par dfaut la console de gestion des stratgies de groupe GPMC (Group Policy Management Console). 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe.
3. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe. Un menu droulant apparat. Cliquez sur Nouveau.
4. Donnez un nom votre stratgie de groupe, par exemple param ordi vista.
373
Chapitre 9
5. Cliquez avec le bouton droit de la souris sur lobjet Stratgie de groupe. Dans le menu droulant, cliquez sur Modifier. La stratgie de groupe param ordi vista souvre. Vous navez qu modifier les paramtres que vous souhaitez. Automatiquement, la stratgie de groupe lira les fichiers ADMX localiss dans le rpertoire de stockage central. 6. Liez la stratgie de groupe lunit dorganisation Ordinateurs Vista. Pour cela, dans linterface de la GPMC, glissez la stratgie de groupe param ordi vista du conteneur Objets de stratgie de groupe vers lunit dorganisation Ordinateurs Vista.
374
4. Dans la zone Emplacement de la bote de dialogue Sauvegarde de lobjet GPO, entrez le chemin daccs lemplacement choisi pour stocker la ou les sauvegardes de GPO ou cliquez sur Parcourir pour rechercher le dossier o les stocker, puis cliquez sur OK. 5. Dans la zone Description, entrez la description des GPO sauvegarder, puis cliquez sur Sauvegarder. En cas de sauvegarde de plusieurs GPO, la description sapplique tous les GPO concerns. 375
Chapitre 9
Pour restaurer un objet de stratgie de groupe sauvegard, procdez comme suit : 1. Ouvrez la console GPMC. 2. Recherchez lentre Objets de stratgie de groupe dans larborescence de la console, dans la fort et dans le domaine contenant lobjet de stratgie de groupe restaurer.
376
Deux options soffrent vous. Pour restaurer une version prcdente dun objet de stratgie de groupe existant, procdez comme suit : 1. Double-cliquez sur Objets de stratgie de groupe, cliquez avec le bouton droit de la souris sur lobjet de stratgie de groupe restaurer, puis cliquez sur Restaurer partir dune sauvegarde.
2. Lorsque lAssistant Restauration dobjets de stratgie de groupe saffiche, suivez les instructions et fournissez les informations appropries sur lobjet de stratgie de groupe restaurer, puis cliquez sur Terminer. 3. Une fois lopration de restauration effectue par lAssistant Restauration dobjets de stratgie de groupe, cliquez sur OK. Pour restaurer un objet de stratgie de groupe supprim, procdez ainsi : 1. Cliquez avec le bouton droit de la souris sur Objets de stratgie de groupe, puis slectionnez Grer les sauvegardes (voir fig. 9.32). 2. Dans la bote de dialogue Grer les tches de sauvegarde, sous la rubrique Emplacement de sauvegarde, tapez le chemin du dossier de sauvegarde. Vous pouvez galement utiliser Parcourir pour rechercher le dossier de sauvegarde. 3. Dans la bote de dialogue Objets de stratgie de groupe sauvegards, choisissez sur la liste des GPO la version restaurer en vous appuyant sur les diffrentes versions de sauvegarde, puis cliquez sur Restaurer (voir fig. 9.33).
377
Chapitre 9
4. Lorsque le systme vous invite confirmer lopration de restauration, cliquez sur OK 378
379
Chapitre 9
2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable. 9. Lintgration de Windows Vista dans linfrastructure
3. Dans la colonne de gauche, contenant les composants logiciels enfichables disponibles, slectionnez le composant Editeur dobjets de stratgie de groupe et cliquez sur Ajouter >.
380
5. Une fentre souvre afin que vous choisissiez une stratgie de groupe. Cliquez sur longlet Utilisateurs.
Figure 9.38 : Onglet Utilisateurs
6. Choisissez lutilisateur local ou le groupe local que vous souhaitez configurer. Vous ne voyez pas tous vos groupes locaux sur la liste, mais uniquement deux catgories : les administrateurs et les non-administrateurs. Validez, puis cliquez sur OK. 381
Chapitre 9
Rptez cette opration pour tous les utilisateurs que vous souhaitez configurer. Vous obtenez la console de configuration suivante :
Vous avez l plusieurs stratgies de groupe locales bases sur des utilisateurs locaux ou sur des catgories dutilisateurs locaux : les administrateurs ou les non-administrateurs. Vous pouvez alors procder des paramtrages diffrents.
9.3.
Toutes les nouveauts, toutes les amliorations apportes par les paramtres des stratgies de groupe de Windows Vista seront entirement exploitables uniquement avec une version dActive Directory provenant de serveurs Windows Server Longhorn. Les administrateurs ont dj connu cette phase de transition avec Windows XP Professionnel, en attendant la sortie de Windows Server 2003. Toutefois, il sera possible de prendre en compte certains nouveaux paramtrages des stratgies de groupe de Windows Vista en modifiant la version existante du schma Active Directory Windows Server 2003 ou Windows Server 2003 R2. La totalit de ces amliorations seront applicables aux ordinateurs Windows Vista, qui sont les seuls savoir en tirer pleinement parti, ce qui vous permettra de profiter dune trs bonne 382
intgration des machines Windows Vista dans votre infrastructure. Une partie de ces amliorations reste tout de mme applicable aux ordinateurs Windows XP, ce qui est un atout indniable. Les nouveaux paramtres de stratgie de groupe apportent un support avanc pour les ordinateurs Windows Vista en ce qui concerne la gestion des rseaux filaires Ethernet IEEE 802.3, la gestion des rseaux sans fil Ethernet IEEE 802.11 et la prise en charge de la fonctionnalit de cryptage fort de la partition du disque dur : Bitlocker. Cest sur la prise en compte de ces nouveaux paramtres que vous allez pouvoir modifier le schma de votre infrastructure Active Directory existante afin de tirer parti de ces amliorations au plus tt, sans attendre Windows Server Longhorn.
msnetieee8023GPPolicyGUID : identificateur unique pour la gestion des rseaux filaires dans les objets de stratgie de groupe. msnetieee8023GPPolicyData : inclut les valeurs des paramtres pour la gestion des rseaux filaires dans les objets de stratgie de groupe. msnetieee8023GPPolicyReserved : rserv un usage futur.
Notions relatives lextension de schma Avant dtendre le schma dActive Directory, vous devez prendre en compte les points suivants : La modification du schma est globale tous les domaines de la fort. j Lextension de schma est irrversible. Les attributs ou les classes ne peuvent tre supprims aprs leur cration. Au mieux, ils peuvent tre dsactivs. j Une sauvegarde de tous vos contrleurs de domaine est ncessaire avant la modification. j Veillez bien documenter vos changements. Une des meilleures solutions consisterait procder dabord la modification de schma sur un domaine de test, proche de la configuration du domaine de production.
j
383
Chapitre 9
Pour plus dinformations sur le schma dActive Directory, consultez ladresse www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/default.mspx. Pour tendre le schma Active Directory de votre infrastructure existante, afin de prendre en compte les paramtres de gestion des rseaux filaires IEEE 802.3, procdez comme suit : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez le script suivant :
# ---------------------------------------------------------- # Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.3Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-8023-GP-PolicyGUID #ms-net-ieee-8023-GP-PolicyData #ms-net-ieee-8023-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDisplayName: ms-net-ieee-8023-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific 802.3 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1954 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: WrCnlLK4WU+cJTnmm6oWhA== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyData adminDisplayName: ms-net-ieee-8023-GP-PolicyData adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.3 wired networks. attributeId: 1.2.840.113556.1.4.1955 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE
384
systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1956 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 1048576 schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg== showInAdvancedViewOnly: TRUE systemFlags: 16 # ---------------------------------------------------------- # Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-8023-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-8023-GroupPolicy adminDisplayName: ms-net-ieee-8023-GroupPolicy adminDescription: This class represents an 802.3 wired network group policy object. This class contains identifiers and configuration data relevant to an 802.3 wired network. governsId: 1.2.840.113556.1.5.252 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1956 systemMayContain: 1.2.840.113556.1.4.1955 systemMayContain: 1.2.840.113556.1.4.1954
385
Chapitre 9
systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw== defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16 # ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.3Schema.ldf et au format ANSI. Stockez-le un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer, puis sur Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez la ligne ldifde i v k f 802.3Schema .ldf c DC=X Nom_LDAP_complet_du_domaine, o Nom_LDAP_complet _du_domaine correspond au nom unique LDAP du domaine.
paramtres de GPO des rseaux filaires IEE802.3 Le schma est modifi. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Le schma est modifi. Il ne vous reste plus qu crer ou ouvrir une stratgie de groupe existante, partir dun ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe. 386
3. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier. 4. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows et Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau filaire (IEEE 802.3). 5. Cliquez sur Crer une nouvelle stratgie Windows Vista. La fentre des proprits souvre. 6. Vous pouvez entrer un nom et une description. Cliquez sur longlet Scurit. Vous pouvez ajuster vos paramtres dauthentification que tous les adaptateurs rseau affects par cette stratgie de groupe appliqueront.
Un mode de scurit mixte : vous pouvez maintenant configurer plusieurs profils avec le mme SSID, mais avec des mthodes de scurit diffrentes. Le SSID (Service Set IDentifier) dsigne le rseau auquel est attach le poste. Ainsi, les ordinateurs clients possdant des capacits de niveau de scurit diffrentes pourront malgr tout se connecter au mme rseau sans fil. Permettre et refuser les listes pour les rseaux sans fil : vous pouvez configurer une liste de rseaux sans fil auxquels le client sans fil de Windows Vista peut se relier et une liste de rseaux sans fil auxquels le client sans fil de Windows Vista ne peut pas se relier. Lextensibilit : vous pouvez importer les profils qui ont des paramtres spcifiques de connectivit et de scurit des fournisseurs sans fil, tels que diffrents types dEAP.
Vous pouvez tendre le schma Active Directory pour que vos ordinateurs Windows Vista puissent profiter de ces paramtres. Lexercice consiste ajouter les attributs suivants dans Active Directory
j j j
msnetieee80211GPPolicyGUID : identificateur unique pour la gestion des rseaux sans fil dans les objets de stratgie de groupe. msnetieee80211GPPolicyData : inclut les valeurs des paramtres pour la gestion des rseaux sans fil dans les objets de stratgie de groupe. msnetieee80211GPPolicyReserved : rserv pour un usage futur.
387
Chapitre 9
Pour tendre le schma Active Directory de votre infrastructure existante afin de prendre en compte les paramtres de gestion des rseaux sans fil IEEE 802.11, procdez ainsi : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez le script suivant :
# ----------------------------------------------------------# Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.11Schema.ldf # ----------------------------------------------------------# ----------------------------------------------------------# define schemas for these attributes: #ms-net-ieee-80211-GP-PolicyGUID #ms-net-ieee-80211-GP-PolicyData #ms-net-ieee-80211-GP-PolicyReserved # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific 802.11 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1951 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyData adminDisplayName: ms-net-ieee-80211-GP-PolicyData adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.11 wireless networks. attributeId: 1.2.840.113556.1.4.1952 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ== showInAdvancedViewOnly: TRUE
388
systemFlags: 16
dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1953 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg== showInAdvancedViewOnly: TRUE systemFlags: 16
# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 # ----------------------------------------------------------# define schemas for the parent class: #ms-net-ieee-80211-GroupPolicy # ----------------------------------------------------------dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-80211-GroupPolicy adminDisplayName: ms-net-ieee-80211-GroupPolicy adminDescription: This class represents an 802.11 wireless network group policy object. This class contains identifiers and configuration data relevant to an 802.11 wireless network. governsId: 1.2.840.113556.1.5.251 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1953 systemMayContain: 1.2.840.113556.1.4.1952 systemMayContain: 1.2.840.113556.1.4.1951 systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
389
Chapitre 9
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) (A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16
# ----------------------------------------------------------# Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.11Schema.ldf et au format ANSI. Stockez-le un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer puis Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez ldifde i v k f 802.11Schema.ldf c DC=X Nom_LDAP_complet_du_domaine.
paramtres de GPO des rseaux sans fil IEE802.11 La modification du schma sexcute. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Le schma est maintenant modifi. Il ne vous reste plus qu crer ou ouvrir une stratgie de groupe existante, partir dun ordinateur Windows Vista : 1. Cliquez sur le logo Windows de la barre des tches, puis tapez gpmc.msc et validez. La console de gestion des stratgies de groupe souvre. 2. Dveloppez larborescence jusquau conteneur Objets de stratgie de groupe. 3. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier.
390
4. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows, puis Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau sans fil (IEEE 802.11). 5. Cliquez sur Crer une nouvelle stratgie Windows Vista. La fentre des proprits souvre. 6. Vous pouvez entrer un nom et une description. Vous pouvez entrer la liste des SSID autoriss. Cliquez sur longlet Permissions rseau. Vous pouvez ajuster vos paramtres dauthentification que tous les adaptateurs rseau sans fil affects par cette stratgie de groupe appliqueront. Vous pouvez galement crer une stratgie sans fil pour Windows XP, comme cela existait dj avec une infrastructure Active Directory Windows Server 2003 et Windows XP. 1. Cliquez avec le bouton droit de la souris sur la stratgie de groupe que vous souhaitez diter. Dans le menu droulant, cliquez sur Modifier. 2. Dveloppez les rubriques Configuration ordinateur, Paramtres Windows, puis Paramtres de scurit. Cliquez avec le bouton droit de la souris sur Stratgie de rseau sans fil (IEEE 802.11). 3. Cliquez sur Crer une nouvelle stratgie Windows XP. La fentre des proprits souvre. 4. Vous pouvez entrer un nom, une description et configurer vos prfrences. Les possibilits sont moins tendues que sous Windows Vista.
Grer Bitlocker
Lorsque vous activez Bitlocker sur un ordinateur Windows Vista vous chiffrez de faon forte la partition de votre disque dur. La fonctionnalit Bitlocker sappuie sur une puce matrielle appele TPM, ce qui rend encore plus fort son chiffrement. Pour pouvoir crypter et dcrypter les donnes, vous avez besoin de grer les cls Bitlocker ainsi que les mots de passe TPM. Active Directory vous donne loccasion de les sauvegarder de faon centralise, condition que vous mettiez niveau le schma. Les informations de rcupration incluent le mot de passe de rcupration pour chaque volume Bitlocker activ, le mot de passe TPM, et linformation permettant didentifier quel ordinateur sapplique le cryptage. Sauvegarder le mot de passe de rcupration pour chaque volume Bitlocker activ ainsi que le mot de passe TPM permet aux administrateurs daccder et de rcuprer des donnes de volumes verrouills. Ce qui assure aux administrateurs de lentreprise de garantir laccs aux donnes cryptes lutilisateur, mme si celui-ci a perdu la cl Bitlocker et le mot de passe.
391
Chapitre 9
Prise en charge de lextension de schma pour Bitlocker Toutes les versions dActive Directory ne prennent pas en charge lextension de schma pour Bitlocker : tous les contrleurs de domaine de linfrastructure doivent tre au pralable sous Windows Server 2003, avec le Service Pack 1 au minimum. Pour tendre le schma Active Directory de votre infrastructure existante et prendre en compte la sauvegarde des paramtres de rcupration Bitlocker, procdez ainsi : 1. Sur le contrleur de domaine appropri (par exprience, celui qui dtient le rle de matre de schma), ouvrez le Bloc-notes et copiez ce script
#============================================================================= # TPM Recovery Information - Attributes #============================================================================= # # ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msTPM-OwnerInformation adminDisplayName: TPM-OwnerInformation adminDescription: This attribute contains the owner information of a particular TPM. attributeId: 1.2.840.113556.1.4.1966 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: bRpOqg1VBU6MNUr8uRep/g== showInAdvancedViewOnly: TRUE #============================================================================= # Bitlocker Recovery Information - Attributes # NOTE: FVE is the acronym for Full Volume Encryption, a pre-release name #============================================================================= # # ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryGuid adminDisplayName: FVE-RecoveryGuid adminDescription: This attribute contains the GUID associated with a Full Volume Encryption (FVE) recovery password. attributeID: 1.2.840.113556.1.4.1965 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 137
392
schemaIdGuid:: vAlp93jmoEews/hqAETAbQ== showInAdvancedViewOnly: TRUE # # ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-RecoveryPassword adminDisplayName: FVE-RecoveryPassword adminDescription: This attribute contains the password required to recover a Full Volume Encryption (FVE) volume. attributeId: 1.2.840.113556.1.4.1964 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE searchFlags: 136 schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg== showInAdvancedViewOnly: TRUE #============================================================================= # Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # BitLocker Recovery Information - Class #============================================================================= # # ms-FVE-RecoveryInformation # dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: classSchema ldapDisplayName: msFVE-RecoveryInformation adminDisplayName: FVE-RecoveryInformation adminDescription: This class contains a Full Volume Encryption recovery password with its associated GUID. governsID: 1.2.840.113556.1.5.253 objectClassCategory: 1 subClassOf: top systemMustContain: msFVE-RecoveryGuid systemMustContain: msFVE-RecoveryPassword systemPossSuperiors: computer schemaIdGUID:: MF1x6lOP0EC9HmEJGG14LA== defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY) defaultHidingValue: TRUE defaultObjectCategory: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
393
Chapitre 9
#============================================================================= # Classes - Schema Update #============================================================================= dn: CN=computer,CN=Schema,CN=Configuration,DC=X #changetype: ntdsSchemaModify changetype: modify add: mayContain mayContain: msTPM-OwnerInformation dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Bitlocker Recovery Information - Additional Attributes #============================================================================= # # ms-FVE-VolumeGuid # dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-VolumeGuid adminDisplayName: FVE-VolumeGuid adminDescription: This attribute contains the GUID associated with a BitLocker-supported disk volume. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. attributeID: 1.2.840.113556.1.4.1998 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE searchFlags: 27 schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: TRUE rangeUpper: 128 # # ms-FVE-KeyPackage # dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: attributeSchema ldapDisplayName: msFVE-KeyPackage adminDisplayName: FVE-KeyPackage adminDescription: This attribute contains a volumes BitLocker encryption key secured by the corresponding recovery password. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. attributeId: 1.2.840.113556.1.4.1999 attributeSyntax: 2.5.5.10
394
omSyntax: 4 isSingleValued: TRUE searchFlags: 152 schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA== showInAdvancedViewOnly: TRUE isMemberOfPartialAttributeSet: FALSE rangeUpper: 102400 #============================================================================= # Additional Attributes - Schema Update #============================================================================= dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 #============================================================================= # Updates to BitLocker Recovery Information Class #============================================================================= dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This class contains BitLocker recovery information including GUIDs, recovery passwords, and keys. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X changetype: modify add: mayContain mayContain: msFVE-VolumeGuid mayContain: msFVE-KeyPackage #============================================================================= # Updates to pre-RC1 Attributes #============================================================================= # # Updates to ms-TPM-OwnerInformation # dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 #
395
Chapitre 9
# Updates to ms-FVE-RecoveryGuid # dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains the GUID associated with a BitLocker recovery password. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 27 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 128 dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X changetype: modify replace: isMemberOfPartialAttributeSet isMemberOfPartialAttributeSet: TRUE # # Updates to ms-FVE-RecoveryPassword # dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: adminDescription adminDescription: This attribute contains a password that can recover a BitLocker-encrypted volume. Full Volume Encryption (FVE) was the pre-release name for BitLocker Drive Encryption. dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 152 dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X changetype: modify replace: rangeUpper rangeUpper: 256 # # Reload the schema cache to pick up updated attributes # dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1
En rsum
2. Sauvegardez le fichier sous le nom BitLockerTPMSchemaExtension.ldf et au format ANSI. Stockez-le dans un endroit simple pour le rcuprer, C:\TEMP par exemple. 3. Cliquez sur Dmarrer, puis Excuter. Tapez cmd. 4. Dans lInvite de commandes, tapez ldifde i v k f BitLockerTPMSchemaExtension.ldf c DC=X Nom_LDAP_complet_du_domaine.
paramtres Bitlocker La modification du schma sexcute. 5. Redmarrez le contrleur de domaine sur lequel vous avez lanc la commande pour que les changements soient pris en compte. Ntendez pas le schma dActive Directory laide du DVD dinstallation de Windows Vista ! Le DVD dinstallation de Windows Vista contient lutilitaire adprep.exe qui est cens tendre le schma dActive Directory pour la prise en compte des rseaux filaires IEEE 802.3, des rseaux sans fil IEEE 802.11 et de Bitlocker de faon unifie. Or, la version adprep.exe contenue sur le DVD dinstallation de Windows Vista est une version bta qui ne fonctionne pas en production et qui nest pas prise en charge. Vous devez imprativement suivre les procdures et les scripts qui viennent de vous tre dcrits.
9.4.
En rsum
Microsoft fait tout pour que Windows Vista sintgre le mieux possible un domaine existant, et cest normal : il y va de ladoption du produit par les entreprises. Outre les nombreuses nouveauts des paramtres de stratgie de groupe ou les optimisations de leur traitement, notez la prsence de la console de gestion des stratgies de groupe (GPMC) de base sous Windows Vista, qui vous permet dexploiter immdiatement des stratgies de groupe pour les ordinateurs Windows Vista.
397
Chapitre 10
Windows PowerShell
10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 Prsentation de Windows PowerShell . . . . . . Installer Windows PowerShell . . . . . . . . . . . Excuter Windows PowerShell . . . . . . . . . . . Les applets de commande Windows PowerShell Le traitement dobjets . . . . . . . . . . . . . . . . Linteraction et les scripts . . . . . . . . . . . . . Utiliser Windows PowerShell . . . . . . . . . . . . Naviguer dans Windows PowerShell . . . . . . . PowerShell et Active Directory . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . .... .... .... ... .... .... .... .... .... .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 . 402 . 403 . 404 . 410 . 413 . 415 . 424 . 427 . 428
indows PowerShell est un environnement de ligne de commande Windows spcialement conu pour les administrateurs systme. Il comprend une ligne de commandes interactive et un environnement de script qui peuvent tre utiliss indpendamment lun de lautre ou ensemble. Le parallle est tout de suite vident avec les puissants outils de ligne de commande et denvironnement de scripts prsents sous Unix/Linux. Mme si Windows PowerShell nest pas natif dans Windows Server 2003 ou dans Windows Vista, il y a fort parier quil va occuper une place importante dans ladministration de postes utilisateurs et des serveurs dans les annes venir. Windows PowerShell peut tre utilis galement sur Windows XP ainsi que Windows Server 2003. Le seul prrequis pour quil puisse fonctionner est la prsence de lenvironnement .NET Framework 2.0. 10. Windows PowerShell
Windows PowerShell ne traite pas de texte, mais des objets bass sur la plateforme .NET. 401
Chapitre 10
Windows PowerShell
j j
Windows PowerShell est livr avec un important jeu de commandes intgres, dotes dune interface homogne. Toutes les commandes de lenvironnement utilisent le mme analyseur de commande, au lieu danalyseurs diffrents pour chaque outil. Lutilisation de chaque commande est ainsi beaucoup plus simple acqurir.
Mieux, vous navez pas abandonner les outils auxquels vous tes habitu. Vous pouvez toujours utiliser les outils Windows traditionnels, tels que net, sc et reg.exe dans Windows PowerShell. Concernant la conception de PowerShell, les dveloppeurs sont partis de zro pour redfinir le Shell avec comme inspiration ce qui se faisait dj dans les autres systmes :
j j j j
Unix pour le modle de composition trs puissant ; AS400 et VMS pour les nommages et la syntaxe consistante facilitant lapprentissage ; TCL et WSH pour le support multilangage ; Bash, Perl, C# pour le style et la richesse des expressions.
Windows PowerShell utilise son propre langage au lieu de rutiliser un langage existant, parce que Windows PowerShell avait besoin dun langage pour la gestion des objets .NET qui permette de fournir un environnement cohrent dutilisation des applets de commande qui permette la prise en charge de tches complexes, sans compliquer les tches simples et qui permette enfin une cohrence avec les langages de niveau suprieur utiliss en programmation .NET, comme C#.
Windows Vista, Windows XP Service Pack 2 ou Windows Server 2003 Service Pack 1 ; Microsoft .NET Framework 2.0. Windows PowerShell Windows PowerShell nest pas fourni la base. Vous pouvez le tlcharger ladresse
www.microsoft.com/windowsserver2003/technologies/management/powershell/download .mspx. Choisissez alors la version que vous souhaitez en adquation avec le systme
dexploitation.
402
Pour installer Windows PowerShell : 1. Excutez le fichier que vous venez de tlcharger. 2. Suivez les instructions des pages de lassistant dinstallation.
Figure 10.1 : Installation de Windows PowerShell
Vous avez la possibilit de procder linstallation de faon silencieuse depuis un partage rseau. 3. Une fois que vous avez recopi le fichier dinstallation sur le partage rseau souhait, ouvrez une Invite en ligne de commande, accdez au partage rseau, puis tapez <Nom_fichier_exe_PowerShell> /quiet.
partir du menu de dmarrage de Windows, cliquez sur le logo Windows, sur Tous les programmes, sur Windows PowerShell 1.0, puis sur licne de Windows PowerShell. partir de la zone dexcution, cliquez sur le logo Windows, tapez powershell et validez. partir dune fentre dInvite de commandes, tapez powershell. Parce que Windows PowerShell sexcute dans une session de console, vous pouvez utiliser cette technique pour lexcuter au cours dune session Telnet ou SSH distance. Pour revenir votre session dinvite de commandes, tapez exit.
j j
403
Chapitre 10
Windows PowerShell
Vous remarquez que linvite PowerShell commence par les deux lettres PS.
404
Description Convertit un chemin daccs Windows PowerShell en chemin daccs un fournisseur de Windows PowerShell. Cre une page HTML qui reprsente un objet ou un jeu dobjets. Convertit des chanes standards chiffres en chanes scurises. Cette commande peut aussi convertir du texte brut en chanes scurises. Elle est utilise avec ConvertFromSecureString et ReadHost. Copie un lment dun emplacement vers un autre dans un espace de noms. Copie une proprit et une valeur dun emplacement spcifi vers un autre emplacement. Exporte vers un fichier les informations sur les alias actuellement dfinis. Cre une reprsentation XML dun ou de plusieurs objets et la stocke dans un fichier. Exporte la configuration de la console actuelle vers un fichier afin que vous puissiez la rutiliser ou la partager. Cre un fichier de valeurs spares par des virgules (CSV) qui reprsente les objets dentre. Excute une opration en fonction de chacun des jeux dobjets dentre. Utilise un affichage personnalis pour mettre en forme la sortie. Met en forme la sortie en tant que liste de proprits sur laquelle chaque proprit apparat sur une nouvelle ligne. Met en forme la sortie en tant que tableau. Met en forme les objets en tant que large table qui affiche une seule proprit de chaque objet. Obtient le descripteur de scurit dune ressource, comme un fichier ou une cl de Registre. Obtient les alias pour la session active.
CopyItem CopyItemProperty ExportAlias ExportClixml ExportConsole ExportCsv ForEachObject FormatCustom FormatList FormatTable FormatWide GetAcl GetAlias
GetAuthenticodeSignature Obtient les informations relatives la signature Authenticode dun fichier. GetChildItem GetCommand GetContent GetCredential GetCulture GetDate Obtient les lments et les lments enfants un ou plusieurs emplacements spcifis. Obtient des informations de base sur les applets de commande et sur dautres lments des commandes Windows PowerShell. Obtient le contenu de llment lemplacement spcifi. Obtient un objet credential (informations didentification) bas sur le nom et le mot de passe dun utilisateur. Obtient des informations propos des paramtres rgionaux sur un ordinateur. Obtient lheure et la date actuelles.
405
Chapitre 10
Windows PowerShell
Description Obtient des informations propos des journaux des vnements locaux ou des entres stockes dans ces journaux des vnements. Obtient la stratgie dexcution actuelle de lenvironnement. Affiche des informations sur les applets de commande et les concepts Windows PowerShell. Obtient la liste des commandes entres pendant la session active. Obtient une rfrence lobjet hte de la console actuelle. Affiche la version Windows PowerShell et les informations rgionales par dfaut. Obtient llment lemplacement spcifi. Rcupre les proprits de llment spcifi. Obtient des informations propos de lemplacement de travail actif. Obtient des informations sur les objets ou les collections dobjets. Obtient des informations sur les fichiers de certificat .pfx de lordinateur. Obtient les processus qui sexcutent sur lordinateur local. Obtient des informations propos des lecteurs Windows PowerShell. Obtient des informations se rapportant au fournisseur de Windows PowerShell spcifi. Obtient les composants logiciels enfichables Windows PowerShell situs sur lordinateur. Obtient les services sur lordinateur local. Obtient les composants Windows PowerShell qui sont instruments pour le traage. Obtient des informations sur la culture de linterface utilisateur actuelle pour Windows PowerShell. Retourne les lments uniques sur une liste trie. Obtient les variables dans la console actuelle. Obtient des instances de classes WMI ou des informations propos des classes disponibles. Regroupe les objets qui contiennent la mme valeur pour les proprits spcifies. Importe une liste dalias partir dun fichier. Importe un fichier CLIXML et cre des objets correspondants dans Windows PowerShell. Importe des fichiers de valeurs spares par des virgules (CSV) dans le format produit par lapplet de commande ExportCsv et retourne des objets qui correspondent aux objets reprsents dans ce fichier CSV. Excute une expression Windows PowerShell qui est fournie sous la forme dune chane.
GetHistory GetHost GetItem GetItemProperty GetLocation GetMember GetPfxCertificate GetProcess GetPSDrive GetPSProvider GetPSSnapin GetService GetTraceSource GetUICulture GetUnique GetVariable GetWmiObject GroupObject ImportAlias ImportClixml ImportCsv
InvokeExpression
406
Applet de commande InvokeHistory InvokeItem JoinPath MeasureCommand MeasureObject MoveItem MoveItemProperty NewAlias NewItem NewItemProperty NewObject NewPSDrive NewService NewTimeSpan NewVariable OutDefault
Description Excute les commandes depuis lhistorique de la session. Appelle laction par dfaut spcifique au fournisseur sur llment spcifi. Combine un chemin daccs et un chemin daccs denfant en un seul chemin daccs. Le fournisseur fournit les sparateurs de chemin daccs. Mesure le temps quil faut pour excuter des blocs de script et des applets de commande. Mesure les caractristiques des objets et leurs proprits. Dplace un lment dun emplacement un autre. Dplace une proprit dun emplacement un autre. Cre un alias. Cre un nouvel lment dans un espace de noms. Dfinit une nouvelle proprit dlment un emplacement. Cre une instance dun objet .NET ou COM. Installe un nouveau lecteur Windows PowerShell. Cre une entre pour un service Windows dans le Registre et dans la base de donnes de services. Cre un objet TimeSpan. Cre une variable. Envoyez la sortie au formateur par dfaut et lapplet de commande de sortie par dfaut. Cette applet de commande na aucun effet sur la mise en forme ou la sortie. Cest un espace rserv qui vous permet dcrire votre propre fonction OutDefault ou une applet de commande. Envoie la sortie un fichier. Envoie la sortie la ligne de commande. Supprime la sortie au lieu de lenvoyer la console. Envoie la sortie une imprimante. Envoie des objets lhte en tant que srie de chanes. Dfinit lemplacement actuel sur le dernier emplacement plac sur la pile laide dune opration push. Vous pouvez extraire lemplacement partir de la pile par dfaut ou dune pile cre laide de PushLocation. Excute une opration push qui place lemplacement actuel sur la pile. Lit une ligne dentre partir de la console. Supprime les lments spcifis. Supprime la proprit et sa valeur dun lment. Supprime un lecteur Windows PowerShell de son emplacement. Supprime les composants logiciels enfichables Windows PowerShell de la console actuelle.
407
Chapitre 10
Windows PowerShell
Description Supprime une variable et sa valeur. Renomme un lment dans un espace de noms du fournisseur de Windows PowerShell. Renomme la proprit dun lment. Rsout les caractres gnriques inclus dans un chemin daccs et affiche le contenu de ce dernier. Arrte, puis dmarre un ou plusieurs services. Reprend un ou plusieurs services interrompus (suspendus). Slectionne des proprits spcifies dun objet ou dun jeu dobjets. Il peut galement slectionner des objets uniques dun tableau dobjets ou slectionner un nombre spcifi dobjets du dbut ou de la fin dun tableau dobjets. Identifie des modles dans les chanes. Modifie le descripteur de scurit de la ressource spcifie, telle quun fichier ou une cl de Registre. Cre ou modifie un alias (autre nom) pour une applet de commande ou un autre lment de commande dans la session Windows PowerShell actuelle.
SetAuthenticodeSignature Utilise une signature Authenticode pour signer un script Windows PowerShell ou autre fichier. SetContent SetDate SetExecutionPolicy SetItem SetItemProperty SetLocation SetPSDebug SetService SetTraceSource SetVariable SortObject SplitPath StartService crit ou remplace le contenu dun lment par un nouveau contenu. Modifie lheure systme sur lordinateur en la remplaant par lheure que vous spcifiez. Modifie la prfrence utilisateur pour la stratgie dexcution de lenvironnement. Remplace la valeur dun lment par la valeur spcifie dans la commande. Dfinit la valeur dune proprit lemplacement spcifi. Dfinit lemplacement de travail actif sur un emplacement spcifi. Active/dsactive les fonctions de dbogage, dfinit le niveau de suivi et active/dsactive le mode strict. Modifie le nom daffichage, la description ou le mode de dmarrage dun service. Configure, dmarre et arrte une trace des composants Windows PowerShell. Dfinit la valeur dune variable. Cre la variable si aucune variable avec le nom demand nexiste pas. Trie les objets par les valeurs de proprit. Retourne la partie spcifie dun chemin daccs. Dmarre un ou plusieurs services arrts.
408
Applet de commande StartSleep StartTranscript StopProcess StopService StopTranscript SuspendService TeeObject TestPath TraceCommand UpdateFormatData UpdateTypeData WhereObject WriteDebug WriteError WriteHost WriteOutput WriteProgress WriteVerbose WriteWarning
Description Interrompez lenvironnement, le script ou lactivit de linstance dexcution pour lintervalle de temps spcifi. Cre un enregistrement de tout ou partie dune session Windows PowerShell dans un fichier texte. Arrte un ou plusieurs processus en cours dexcution.
Arrte un ou plusieurs services en cours dexcution. Arrte une transcription. Interrompt (suspend) un ou plusieurs services en cours dexcution. Dirige lentre dobjet vers un fichier ou une variable, puis passe lentre le long du pipeline. Dtermine si tous les lments dun chemin daccs existent. Lapplet de commande TraceCommand configure et dmarre une trace de lexpression ou de la commande spcifie. Met jour et ajoute les fichiers de donnes de mise en forme. Met jour la configuration de type tendu actuelle en rechargeant en mmoire les fichiers *.types.ps1xml. Cre un filtre qui contrle les objets qui seront passs le long dun pipeline de commandes. crit un message de dbogage pour laffichage hte. crit un objet au pipeline derreur. Affiche des objets laide de linterface utilisateur hte crit des objets au pipeline de succs. Affiche une barre de progression dans une fentre de commande Windows PowerShell. crit une chane pour laffichage comment de lhte. crit un message davertissement.
Dans les environnements traditionnels, les commandes sont des programmes excutables allant de la commande simple comme dir au trs complexe comme netsh. Dans Windows PowerShell, la plupart des applets de commande sont trs simples et conues pour une utilisation en association avec dautres applets de commande. Par exemple, les applets de commande get ne font que rcuprer des donnes, les applets de commande set permettent uniquement de dfinir ou de modifier des donnes, les applets de commande format servent exclusivement la mise en forme de donnes et les applets de commande out seulement diriger la sortie vers une destination spcifie. Chaque applet de commande est assortie dun fichier daide auquel vous pouvez accder en tapant gethelp <nom_applet_commande> detailed. 409
Chapitre 10
Windows PowerShell
Laffichage dtaill du fichier daide de lapplet de commande comprend une description de lapplet de commande, la syntaxe de commande, la description des paramtres et un exemple qui illustre lutilisation de lapplet de commande.
410
Le traitement dobjets
Name MemberType Definition ---------------------Name AliasProperty Name = ServiceName add_Disposed Method System.Void add_Disposed(EventHandler value) Close Method System.Void Close() Continue Method System.Void Continue() CreateObjRef Method System.Runtime.Remoting.ObjRef CreateObjRef(Type requestedType) Dispose Method System.Void Dispose() Equals Method System.Boolean Equals(Object obj) ExecuteCommand Method System.Void ExecuteCommand(Int32 command) GetHashCode Method System.Int32 GetHashCode() GetLifetimeService Method System.Object GetLifetimeService() GetType Method System.Type GetType() get_CanPauseAndContinue Method System.Boolean get_CanPauseAndContinue() get_CanShutdown Method System.Boolean get_CanShutdown() get_CanStop Method System.Boolean get_CanStop() get_Container Method System.ComponentModel.IContainer get_Container() get_DependentServices Method System.ServiceProcess.ServiceController[] get_DependentServices() get_DisplayName Method System.String get_DisplayName() get_MachineName Method System.String get_MachineName() get_ServiceHandle Method System.Runtime.InteropServices.SafeHandle get_ServiceHandle() get_ServiceName Method System.String get_ServiceName() get_ServicesDependedOn Method System.ServiceProcess.ServiceController[] get_ServicesDependedOn() get_ServiceType Method System.ServiceProcess.ServiceType get_ServiceType() get_Site Method System.ComponentModel.ISite get_Site() get_Status Method System.ServiceProcess .ServiceControllerStatus get_Status() InitializeLifetimeService Method System.Object InitializeLifetimeService() Pause Method System.Void Pause() Refresh Method System.Void Refresh() remove_Disposed Method System.Void remove_Disposed(EventHandler value) set_DisplayName Method System.Void set_DisplayName(String value) set_MachineName Method System.Void set_MachineName(String value) set_ServiceName Method System.Void set_ServiceName(String value) set_Site Method System.Void set_Site(ISite value) Start Method System.Void Start(), System.Void Start(String[] args) Stop Method System.Void Stop() ToString Method System.String ToString() WaitForStatus Method System.Void WaitForStatus(ServiceControllerStatus desiredStatus), System.Void WaitForStatus(ServiceControllerStatus desiredStatus, TimeSpan timeout) CanPauseAndContinue Property System.Boolean CanPauseAndContinue {get;} CanShutdown Property System.Boolean CanShutdown {get;}
Chapitre 10
Windows PowerShell
CanStop Property System.Boolean CanStop {get;} Container Property System.ComponentModel.IContainer Container {get;} DependentServices Property System.ServiceProcess.ServiceController[] DependentServices {get;} DisplayName Property System.String DisplayName {get;set;} MachineName Property System.String MachineName {get;set;} ServiceHandle Property System.Runtime.InteropServices.SafeHandle ServiceHandle {get;} ServiceName Property System.String ServiceName {get;set;} ServicesDependedOn Property System.ServiceProcess.ServiceController[] ServicesDependedOn {get;} ServiceType Property System.ServiceProcess.ServiceType ServiceType {get;} Site Property System.ComponentModel.ISite Site {get;set;} Status Property System.ServiceProcess .ServiceControllerStatus Status {get;} GetMember affiche des informations sur lobjet service, y compris le nom de type (TypeName) de lobjet et une liste de ses proprits et mthodes.
Pour rechercher les valeurs de toutes les proprits dun objet particulier, utilisez un oprateur de pipeline afin denvoyer les rsultats dune commande get une commande FormatList ou FormatTable. Utilisez le paramtre Property des applets de commande Format avec une valeur visant tout inclure. Par exemple, pour rechercher toutes les proprits du service Planification du systme, tapez getservice schedule | formatlist property *.
chanes afin de convertir la sortie dun format en un autre et de supprimer des titres et des en-ttes de colonnes. Windows PowerShell fournit un nouveau modle interactif bas sur les objets, plutt que sur du texte. Lapplet de commande qui reoit un objet peut agir directement sur ses proprits et mthodes sans la moindre conversion ou manipulation. Les utilisateurs peuvent faire rfrence aux proprits et mthodes de lobjet par nom, plutt que davoir calculer la position des donnes dans la sortie. Prenons un exemple : le rsultat dune commande IpConfig est pass une commande Findstr. Loprateur de pipeline envoie le rsultat de la commande situe sa gauche la commande situe sa droite.
Le rsultat est laffichage de la ligne contenant la chane de caractres Adresse comme seul rsultat de la commande IpConfig.
413
Chapitre 10
Windows PowerShell
constructions de langage pour les boucles, les conditions, le contrle de flux et laffectation de valeurs aux variables.
La stratgie dexcution
Bien que les scripts soient extrmement utiles, voire essentiels, dans certaines entreprises, ils peuvent tre utiliss pour diffuser du code malveillant. En consquence, la stratgie de scurit dans Windows PowerShell, appele "stratgie dexcution", vous permet de dterminer si des scripts peuvent sexcuter et sils doivent inclure une signature numrique. Pour liminer un risque vident, aucune des stratgies dexcution de Windows PowerShell ne vous permet dexcuter un script par un double-clic sur son icne. Pour obtenir plus dinformations, sous Windows PowerShell, tapez gethelp
about_signing.
Les stratgies dexcution PowerShell assurent la scurit de lenvironnement de script en dterminant les conditions dans lesquelles PowerShell charge des fichiers de configuration et excute des scripts. Les stratgies dexcution PowerShell sont numres dans le tableau suivant :
Tableau 10.2 : Les diffrentes stratgies dexcution de Windows PowerShell
Stratgie dexcution Restricted AllSigned Description Stratgie dexcution par dfaut. Autorise lexcution de commandes individuelles, mais de scripts. Les scripts peuvent tre excuts. Requiert la signature numrique dun diteur approuv sur tous les scripts et les fichiers de configuration, y compris les scripts que vous crivez sur lordinateur local, vous demande confirmation avant dexcuter des scripts provenant dditeurs approuvs et risque dexcuter des scripts signs mais malveillants. Les scripts peuvent tre excuts. Requiert la signature numrique dun diteur approuv sur les scripts et fichiers de configuration tlchargs partir dInternet (y compris les programmes de messagerie lectronique et de messagerie instantane), ne requiert pas de signatures numriques sur les scripts excuts depuis lordinateur local, ne vous demande pas de confirmation avant dexcuter des scripts provenant dditeurs approuvs et risque dexcuter des scripts signs mais malveillants. Les scripts non signs peuvent tre excuts. Les scripts et fichiers de configuration tlchargs partir dInternet (y compris Microsoft Outlook, Windows Mail et Windows Messenger) sont excuts aprs que vous avez t inform de leur provenance. Risque dexcuter des scripts malveillants.
RemoteSigned
Unrestricted
414
Restricted est la stratgie la plus sre. Cest la valeur par dfaut. Elle autorise lexcution de commandes individuelles, mais pas celle de scripts.
Lorsquune stratgie dexcution empche PowerShell de charger un fichier ou dexcuter un script, un avertissement qui explique la restriction saffiche. Pour charger le fichier ou autoriser lexcution de scripts, changez de stratgie dexcution. Le changement prend immdiatement effet et est conserv jusqu ce que vous en changiez de nouveau. Seuls les administrateurs sont autoriss changer de stratgie. Pour changer de stratgie dexcution : 1. Sous Windows PowerShell, tapez SetExecutionPolicy <nom_stratgie>, par exemple SetExecutionPolicy RemoteSigned. 2. Si la commande aboutit, PowerShell affiche lInvite de commandes. Aucun message de russite ne saffiche. Si la commande choue, PowerShell affiche un message derreur et rtablit la stratgie dexcution antrieure. Pour consulter la stratgie dexcution PowerShell : 3. Sous Windows PowerShell, tapez GetExecutionPolicy.
Figure 10.6 : Rsultat de la commande Get-ExecutionPolicy
Limportance de laide
Lapplet de commande GetHelp est un outil pratique pour en apprendre davantage sur Windows PowerShell. En lisant les descriptions des applets de commande, en tudiant les concepts et en explorant les rubriques lies au langage, vous pouvez commencer comprendre comment utiliser Windows PowerShell. La premire rubrique dintrt est donc le systme daide.
j
Pour afficher des informations sur le systme daide de Windows PowerShell, tapez
gethelp.
415
Chapitre 10
Windows PowerShell
Pour commencer utiliser Windows PowerShell, vous souhaiterez donc en savoir plus sur quelques applets de commande de base, telles que GetCommand, GetProcess, GetService, GetEventlog, etc.
j
Pour afficher la forme la plus simple de laide dune applet de commande, tapez
gethelp, suivi du nom de lapplet de commande en question. Par exemple, pour obtenir de laide sur GetCommand, tapez gethelp getcommand.
Pour afficher laide dtaille dune applet de commande, qui inclut la description des paramtres et des exemples, utilisez le paramtre Detailed de GetHelp. Par exemple, pour obtenir laide dtaille relative lapplet de commande GetCommand, tapez gethelp getcommand detailed. Pour afficher lintgralit de laide disponible pour une applet de commande, y compris des informations techniques sur cette applet de commande et ses paramtres, utilisez le paramtre Full. Par exemple, pour obtenir lintgralit de laide relative lapplet de commande GetCommand, tapez gethelp getcommand full.
416
Vous pouvez aussi afficher des parties slectionnes du fichier daide. Pour consulter uniquement les exemples, utilisez le paramtre Examples. Par exemple, pour afficher les exemples de lapplet de commande GetCommand, tapez gethelp getcommand examples. Pour consulter uniquement des descriptions dtailles de paramtres, utilisez le paramtre Parameter de GetHelp. Vous pouvez spcifier le nom dun paramtre ou utiliser le caractre gnrique * pour spcifier tous les paramtres. Par exemple, pour consulter une description du paramtre TotalCount de GetCommand, tapez gethelp getcommand parameter totalcount. Pour consulter tous les paramtres de lapplet de commande GetCommand, tapez gethelp getcommand parameter *.
Vous pouvez galement utiliser lune des fonctions de Windows PowerShell qui appellent GetHelp. La fonction Help affiche un cran daide complet la fois. La fonction Man affiche une aide qui ressemble aux pages Man sous Unix (tiens ?).
j
Pour utiliser les fonctions Help et Man afin dafficher laide de lapplet de commande GetCommand, tapez man getcommand ou help getcommand.
Lorsque vous demandez une rubrique daide particulire, GetHelp affiche le contenu de la rubrique. Mais lorsque vous utilisez des caractres gnriques pour demander plusieurs rubriques, GetHelp affiche une liste de rubriques. Par exemple, pour consulter la liste des rubriques daide relatives aux applets de commande Get, tapez gethelp get*. Laide sur les concepts de Windows PowerShell commence par about_. Pour afficher de laide sur un concept Windows PowerShell, tapez gethelp, suivi du nom du concept qui vous intresse. Par exemple, pour obtenir de laide sur les caractres gnriques, tapez gethelp about_wildcard. Pour afficher une liste de toutes les rubriques conceptuelles de Windows PowerShell, tapez gethelp about_*.
417
Chapitre 10
Windows PowerShell
La lecture des rubriques daide et lessai des exemples vous permettront de vous familiariser avec le fonctionnement de Windows PowerShell et la manire dont vous pouvez lutiliser dans votre rle dadministrateur.
Pour rpertorier les applets de commande de votre session, utilisez lapplet de commande GetCommand sans paramtres de commande. Laffichage par dfaut de GetCommand comprend trois colonnes : CommandType, Name et Definition. Lorsquil sagit dafficher la liste des applets de commande, la colonne Definition affiche la syntaxe de lapplet de commande. Lapplet de commande GetCommand obtient galement des commandes et lments de commande autres que des applets de commande, notamment les alias (surnoms de commandes), fonctions et fichiers excutables disponibles dans Windows PowerShell. Voici un exemple qui rpertorie les fichiers excutables disponibles dans Windows PowerShell en utilisant GetCommand, limage correspondante ne montre quune petite partie du rsultat :
Dans cet exemple, lorsquil sagit dafficher la liste des fichiers excutables, la colonne Definition contient le chemin daccs complet au fichier excutable. Maintenant, essayez dautres applets de commande, comme GetProcess, GetService, GetEventLog et GetAlias. Lorsque vous serez laise avec les 418
applets de commande de type Get simples, essayez-en une plus intressante, comme GetWmiObject. Cette applet de commande vous permet dafficher et de modifier les composants dordinateurs distants. Par exemple, la commande getwmiobject win32_bios computername srvdc01 obtient des informations sur le BIOS du serveur SRVDC01. Et noubliez pas dutiliser la commande gethelp avec ses multiples commutateurs pour entrer dans les dtails techniques de la commande.
Aucune autre applet de commande ne met en forme la sortie. Lorsque vous excutez une commande, Windows PowerShell appelle le formateur par dfaut, dtermin par le type des donnes affiches. Le formateur dtermine les proprits de la sortie afficher et si elles doivent tre affiches sous forme de liste ou de tableau. Par exemple, lorsque vous utilisez lapplet de commande GetService, laffichage par dfaut est un tableau trois colonnes comme dans limage suivante (qui ne contient quune petite partie du rsultat) :
Figure 10.11 :
Pour modifier le format de la sortie de toute applet de commande, utilisez loprateur de pipeline afin denvoyer la sortie de la commande une applet de commande Format. Par exemple, la commande suivante envoie la sortie dune commande GetService lapplet de commande FormatList. En consquence, les donnes de service sont prsentes sous forme de liste pour chaque service.
419
Chapitre 10
Windows PowerShell
Dans ce format, non seulement les donnes apparaissent dans une liste au lieu dun tableau, mais les informations sur chaque service sont plus nombreuses. Au lieu de trois colonnes de donnes pour chaque service, il y a neuf lignes de donnes. FormatList na pas rcupr les informations de service supplmentaires. Les donnes taient prsentes avec les objets rcuprs par GetService, mais FormatTable, le formateur par dfaut, les a omises car il ne pouvait pas afficher plus de trois colonnes sur la largeur de lcran.
420
Tableau 10.3 : Liste des alias prconfigurs sous PowerShell Alias % ? ac asnp cat cd chdir clc clear cli clp cls clv copy cp cpi cpp cvpa del diff dir echo epal epcsv erase fc fl foreach ft fw gal gc gci Commande PowerShell correspondante ForEachObject WhereObject AddContent AddPSSnapin GetContent SetLocation SetLocation ClearContent ClearHost ClearItem ClearItemProperty ClearHost ClearVariable CopyItem CopyItem CopyItem CopyItemProperty ConvertPath RemoveItem CompareObject GetChildItem WriteOutput ExportAlias ExportCsv RemoveItem FormatCustom FormatList ForEachObject FormatTable FormatWide GetAlias GetContent GetChildItem
Chapitre 10
Windows PowerShell
Alias gcm gdr ghy gi gl gm gp gps group gsnp gsv gu gv gwmi h history iex ihy ii ipal ipcsv kill lp ls mi mount move mp mv nal ndr ni nv oh
Commande PowerShell correspondante GetCommand GetPSDrive GetHistory GetItem GetLocation GetMember GetItemProperty GetProcess GroupObject GetPSSnapin GetService GetUnique GetVariable GetWmiObject GetHistory GetHistory InvokeExpression InvokeHistory InvokeItem ImportAlias ImportCsv StopProcess OutPrinter GetChildItem MoveItem NewPSDrive MoveItem MoveItemProperty MoveItem NewAlias NewPSDrive NewItem NewVariable OutHost
Alias popd ps pushd pwd r rd rdr ren ri rm rmdir rni rnp rp rsnp rv rvpa sal sasv sc select set si sl sleep sort sp spps spsv sv tee type where write
Commande PowerShell correspondante PopLocation GetProcess PushLocation GetLocation InvokeHistory RemoveItem RemovePSDrive RenameItem RemoveItem RemoveItem RemoveItem RenameItem RenameItemProperty RemoveItemProperty RemovePSSnapin RemoveVariable ResolvePath SetAlias StartService SetContent SelectObject SetVariable SetItem SetLocation StartSleep SortObject SetItemProperty StopProcess StopService SetVariable TeeObject GetContent WhereObject WriteOutput
Chapitre 10
Windows PowerShell
Dans ces alias, vous en remarquerez des biens connus dUnix/Linux comme ls, rm, etc.
Crer un alias
Pour crer des alias pour les applets de commande et les commandes dans Windows PowerShell, utilisez lapplet de commande SetAlias. Par exemple, pour crer lalias gh pour lapplet de commande GetHelp, tapez setalias gh gethelp. 10. Windows PowerShell
Supprimer un alias
Pour supprimer un alias, utilisez lapplet de commande RemoveItem. Par exemple, pour supprimer lalias ls, tapez removeitem alias:ls.
deux-points et les lments parents sont spars des lments enfants par des barres obliques inverses (\), comme lorsque vous tapez C:\windows, ou des barres obliques (/). La navigation dans Windows PowerShell est facilite grce quelques fonctionnalits :
j j
Des symboles reprsentent le rpertoire actif (le point) et le contenu dun rpertoire *. Des variables intgres reprsentent votre rpertoire de base $home et le rpertoire dinstallation de Windows PowerShell $pshome.
Comme dans dautres environnements, vous pouvez passer dun emplacement un autre, crer, supprimer, dplacer et copier des rpertoires et des fichiers ou modifier leurs proprits. Vous pouvez mme utiliser la saisie automatique par tabulation pour les noms de chemins daccs. Les commandes Item vous seront trs utiles pour cela.
425
Chapitre 10
Windows PowerShell
Vous remarquerez que le rsultat de la commande dir (GetChildItem) dans les lecteurs de Registre est diffrent de celui du systme de fichiers. Parce que le Registre propose des informations diffrentes sur diffrents lecteurs, lenvironnement fournit une vue diffrente des donnes. Dans ce cas, il est important de savoir combien de sous-cls et dentres sont prsentes, de sorte que la sortie inclut un nombre de sous-cls et un nombre dentres de valeurs, en plus des noms des sous-cls et des entres. 10. Windows PowerShell
Vous ne rencontrerez que peu de diffrences de navigation jusqu laccs aux entres du Registre. Les entres dune cl de Registre sont considres comme tant les proprits de la cl sous laquelle elles se trouvent. Comme telles, vous pouvez les rcuprer au moyen de lapplet de commande GetItemProperty.
426
427
Chapitre 10
Windows PowerShell
write-host "Domain Name: " $objItem.DomainName write-host "DS Directory Service Flag: " $objItem.DSDirectoryServiceFlag write-host "DS DNS Controller Flag: " $objItem.DSDnsControllerFlag write-host "DS DNS Domain Flag: " $objItem.DSDnsDomainFlag write-host "DS DNS Forest Flag: " $objItem.DSDnsForestFlag write-host "DS Global Catalog Flag: " $objItem.DSGlobalCatalogFlag write-host "DS Kerberos Distribution Center Flag: " $objItem.DSKerberosDistributionCenterFlag write-host "DS Primary Domain Controller Flag: " $objItem.DSPrimaryDomainControllerFlag write-host "DS Time Service Flag: " $objItem.DSTimeServiceFlag write-host "DS Writable Flag: " $objItem.DSWritableFlag write-host "Installation Date: " $objItem.InstallDate write-host "Name: " $objItem.Name write-host "Name Format: " $objItem.NameFormat write-host "Primary Owner Contact: " $objItem.PrimaryOwnerContact write-host "Primary Owner Name: " $objItem.PrimaryOwnerName write-host "Roles: " $objItem.Roles write-host "Status: " $objItem.Status write-host
10.10. En rsum
Windows PowerShell est un noyau et, au moins pour ce qui nous concerne, vous pouvez comparer un noyau un interprteur de ligne de commande. Bien que VBScript puisse sexcuter partir de la ligne de commande, un fichier VBScript ne peut pas tre excut ligne par la ligne. Un script Windows PowerShell, par contre, peut tre immdiatement cr comme une srie de commandes individuelles. De plus, Windows PowerShell dispose de fonctions dont le comportement sapparente beaucoup des sous-routines VBScript, ce qui peut tre cr en temps rel au niveau de linvite de commande de Windows PowerShell. Encore mieux, Windows PowerShell est construit sur Microsoft .NET Framework, tandis que VBScript se base sur la technologie COM plus ancienne. Cela signifie que la vaste quantit de code .NET produite aujourdhui peut tre directement utilise partir de Windows PowerShell. Pour conclure, avec Windows PowerShell, vous avez une prise en charge complte du script et un mode interactif, tout en un. Cependant, mme si PowerShell doit simposer comme standard dans les annes venir, il nen reste pas moins quil sera ncessaire de convertir les milliers de lignes de VBScript existantes.
428
Chapitre 11
a surveillance et la gestion des serveurs ne sont pas des activits qui supportent les approximations. Elles doivent tre planifies correctement.
Cette leon prsente les tches, les outils et les droits requis pour administrer un serveur. Ces informations sont essentielles la bonne marche de votre travail dadministrateur systme. Ce chapitre dcrit les conditions demploi et les fonctions des outils que vous utilisez pour administrer un serveur. Il explique galement les concepts dadministration dun serveur local ou distant.
Administrateurs : les membres du groupe Administrateurs peuvent effectuer toutes les tches prises en charge par le systme dexploitation. Les administrateurs peuvent sattribuer nimporte quel droit dutilisateur dont ils ne disposent pas par dfaut. Lappartenance au groupe local Administrateurs doit tre limite aux seuls utilisateurs qui ont besoin dun accs total au systme. Connectez-vous en tant quadministrateur uniquement lorsque cest ncessaire. Soyez trs prudent lorsque vous ajoutez dautres utilisateurs au groupe Administrateurs. Par exemple, si le personnel dassistance technique est responsable des imprimantes de votre
431
Chapitre 11
organisation, ajoutez-le dans le groupe Oprateurs dimpression plutt que dans le groupe Administrateurs.
j j
Oprateurs de sauvegarde : les membres de ce groupe peuvent sauvegarder et restaurer les fichiers en utilisant loutil de sauvegarde. Oprateurs de compte : les membres de ce groupe peuvent grer les comptes dutilisateurs et les groupes, lexception du groupe Administrateurs ou de tout groupe doprateurs qui ne peuvent tre modifis que par un membre du groupe Administrateurs. Oprateurs de serveur : les membres de ce groupe peuvent partager les ressources disque, se connecter un serveur de manire interactive, crer et supprimer les partages rseau, dmarrer et arrter des services, formater le disque dur du serveur et arrter lordinateur. Ils peuvent galement sauvegarder et restaurer les fichiers laide de loutil de sauvegarde. Oprateurs dimpression : les membres de ce groupe peuvent configurer les imprimantes locales et rseau de sorte que les utilisateurs puissent facilement sy connecter et utiliser leurs ressources.
433
Chapitre 11
aux services et aux outils dadministration inclus dans la console et vous fait bnficier des autorisations appropries pour intervenir sur les composants administrs par la console. Tout utilisateur peut employer la commande Excuter en tant que. Bien que la commande Excuter en tant que soit avant tout destine aux administrateurs systme, nimporte quel utilisateur disposant de plusieurs comptes peut employer cette commande pour lancer des programmes avec diffrents comptes sans pour autant fermer de session.
Dans le menu Dmarrer, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Excuter en tant que. Dans lExplorateur Windows, cliquez du bouton droit de la souris sur le programme de votre choix, puis cliquez sur la commande Excuter en tant que. Activez la commande Excuter en tant que partir dune Invite de commandes. Cette mthode est gnralement utilise pour le script de tches administratives ou le lancement dune Invite de commandes dans le cadre dune administration locale. Pour excuter la commande, tapez runas /user:nom_domaine\nom _utilisateur nom_programme.
434
Par exemple, pour activer loutil Gestion de lordinateur en tant quadministrateur partir de la ligne de commandes, ouvrez une Invite de commandes et tapez runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc.
Figure 11.3 : Lancement de loutil de gestion de lordinateur de la commande runas
que
435
Chapitre 11
3. Dans la page Slection dun titre pour le programme, tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer. 4. Sur le Bureau, double-cliquez sur licne Performances, puis choisissez Gestion de lordinateur, Gestionnaire de priphriques ou Gestion des disques. 5. Saisissez votre mot de passe.
Figure 11.6 : Proprit du raccourci permon
436
Tableau 11.1 : Raccourcis associs la commande Excuter en tant que Outil Gestion de lordinateur Gestion de priphriques Gestion des disques Utilisateurs et ordinateurs Active Directory MMC Invite de commandes Ligne de commandes runas /user:corp\administrateur "mmc %windir%\system32\compmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\devmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\diskmgmt.msc" runas /user:corp\administrateur "mmc %windir%\system32\dsa.msc" runas /user:corp\administrateur mmc runas /user:corp\administrateur cmd
437
Chapitre 11
Pour utiliser la commande Excuter en tant que partir de lInvite de commandes, procdez ainsi : 1. Dans le menu Dmarrer, cliquez sur Excuter, tapez runas /user:corp\administrateur cmd, sachant que corp doit correspondre au nom de votre domaine, puis cliquez sur OK. 2. Une fentre dInvite de commandes apparat vous proposant dentrer un mot de passe pour le compte corp\administrateur. Saisissez le mot de passe correspondant au compte dadministrateur, puis appuyez sur []. 3. Une nouvelle console apparat, excute en mode Administrateur. Le titre de la console affiche "en tant quutilisateur corp\administrateur". 11. La maintenance des serveurs
analyser les vnements systme tels que les heures douverture de session et les erreurs applicatives ; crer et grer des ressources partages ; afficher la liste des utilisateurs connects un ordinateur local ou distant ;
439
Chapitre 11
j j j j
dmarrer et arrter les services systme tels que le Planificateur de tches et le service dindexation ; dfinir les proprits des priphriques de stockage ; afficher les configurations de priphrique et ajouter de nouveaux pilotes de priphriques ; grer les applications et les services.
La console Gestion de lordinateur rpartit les outils dadministration en trois catgories : 11. La maintenance des serveurs
j
Les outils systme : ils sont destins la gestion des vnements systme et des performances de lordinateur. LObservateur dvnements : utilisez cet outil pour grer et afficher les vnements enregistrs dans le journal des applications, le journal de scurit et le journal systme. Vous pouvez analyser les journaux pour suivre les vnements de scurit et identifier dventuels problmes lis aux logiciels, au matriel ou au systme. Les Dossiers partags : utilisez cet outil pour visualiser les connexions et les ressources en cours dutilisation sur lordinateur. Vous pouvez crer, afficher et grer les ressources partages, afficher les sessions et les fichiers ouverts, fermer les fichiers et dconnecter les sessions. Les Utilisateurs et groupes locaux : utilisez cet outil pour crer et grer les groupes et comptes dutilisateurs locaux. Les Journaux et alertes de performance : utilisez cet outil pour analyser et collecter les donnes relatives aux performances de lordinateur. Le Gestionnaire de priphriques : utilisez cet outil pour afficher les priphriques matriels installs sur lordinateur, mettre jour les pilotes de priphriques, modifier les paramtres matriels et rsoudre les conflits de priphriques.
Le stockage : les outils de stockage sont destins la gestion des proprits des priphriques de stockage. Le Stockage amovible : utilisez cet outil pour assurer le suivi des supports de stockage amovibles et grer les bibliothques ou les systmes de stockage de donnes les contenant. Le Dfragmenteur de disque : utilisez cet outil pour analyser et dfragmenter des volumes sur les disques durs. La Gestion des disques : utilisez cet outil pour effectuer les tches lies au disque, telles que la conversion de disques ou la cration et le formatage de volumes. Loutil Gestion des disques vous aide grer les disques durs ainsi que les partitions ou les volumes quils contiennent.
440
Les services et applications : les outils de la catgorie des services et des applications vous aident grer les services et les applications de lordinateur. Les Services : utilisez cet outil pour grer les services sur des ordinateurs locaux ou distants. Vous pouvez dmarrer, arrter, interrompre, reprendre ou dsactiver un service. Ainsi, vous pouvez employer loutil Services pour arrter un service sur un ordinateur distant. Le Contrle WMI : utilisez cet outil pour configurer et grer le service de gestion Windows. Le Service dindexation : utilisez cet outil pour grer lindexation, crer et configurer des catalogues supplmentaires pour stocker les informations dindex.
Pour utiliser loutil Gestion de lordinateur afin dadministrer un ordinateur distance, procdez ainsi : 1. Dans le menu Dmarrer, cliquez du bouton droit de la souris sur Poste de travail, puis cliquez sur Grer. 2. Cliquez du bouton droit de la souris sur Gestion de lordinateur (local), puis cliquez sur Se connecter un autre ordinateur. 3. Cliquez sur Un autre ordinateur, tapez le nom de lordinateur que vous souhaitez grer distance ou cliquez sur Parcourir pour le rechercher. Cliquez sur OK.
441
Chapitre 11
4. Dans larborescence de la console Gestion de lordinateur, dveloppez les entres Outils systme, Stockage ou Services et applications. 5. Cliquez sur llment, puis slectionnez les outils que vous souhaitez utiliser.
Les administrateurs systme doivent souvent travailler en dehors du site. Ainsi, en tant quadministrateur, vous pouvez vous trouver sur un site et devoir effectuer la maintenance dun serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console MMC pour grer le serveur distance. Par exemple, vous pouvez dmarrer ou arrter des services sur un serveur distant, consulter le journal des vnements et grer les partages ou les disques.
442
Pour configurer la console MMC afin de grer un serveur distance, procdez comme suit : 1. Ouvrez la console MMC en cliquant sur Dmarrer, puis sur Excuter. Tapez mmc et validez. 2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. 3. Sur la liste des composants logiciels enfichables, cliquez sur Gestion de lordinateur, puis sur Ajouter. 4. linvite, slectionnez lordinateur local ou distant que vous souhaitez grer laide de ce composant logiciel enfichable, puis cliquez sur Terminer. 5. Cliquez sur Fermer, puis sur OK. 11. La maintenance des serveurs
Le Bureau distance
laide de loutil Bureau distance pour administration, vous pouvez grer un ou plusieurs ordinateurs distants partir dun seul emplacement. Dans une grande entreprise, vous pouvez avoir recours ladministration distance pour centraliser la gestion de plusieurs ordinateurs situs dans dautres btiments, voire dans dautres villes. Dans une petite entreprise, vous pouvez avoir recours ladministration distance pour grer un seul serveur situ dans un bureau voisin ou dans un autre site. Loutil Bureau distance pour administration fournit un accs au serveur partir dun ordinateur situ sur un autre site, laide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet linterface utilisateur la session cliente. De mme, il transmet les manipulations sur le clavier et les clics de souris du client vers le serveur. Vous pouvez crer jusqu deux connexions distantes simultanes. Chaque session que vous ouvrez est indpendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez loutil Bureau distance pour administration afin douvrir une session sur un serveur distant, la connexion est tablie comme sil sagissait de louverture dune session sur le serveur local. Le Bureau distance pour administration fournit deux outils permettant dadministrer un serveur distant : la Connexion Bureau distance et le composant logiciel enfichable des Bureaux distance. Chaque instance de loutil Connexion Bureau distance cre sa propre fentre. Vous pouvez administrer un serveur distant par fentre. Chaque instance dmarre toujours une nouvelle session sur le serveur.
443
Chapitre 11
Pour configurer les connexions serveur afin dadministrer un serveur distance, procdez ainsi : 1. Connectez-vous en tant quadministrateur. 2. Dans le menu Dmarrer, cliquez du bouton droit de la souris sur Poste de travail. 3. Cliquez sur Proprits. 4. Cliquez sur Utilisation distance. 5. Cochez la case Autoriser les utilisateurs se connecter distance cet ordinateur. 11. La maintenance des serveurs
Figure 11.13 :
Utilisez longlet Gnral pour fournir les informations requises pour la connexion automatique au serveur distant. Ces informations sont le nom du serveur, le nom et le mot de passe de lutilisateur et le nom de domaine. Vous pouvez galement enregistrer votre mot de passe et les paramtres de connexion, et ouvrir une connexion enregistre.
444
Utilisez longlet Affichage pour modifier la taille de laffichage et les paramtres de couleur du Bureau distant, et pour afficher ou masquer la barre de connexion en mode Plein cran. Utilisez longlet Ressources locales pour choisir dautoriser ou non un Bureau distant avoir accs aux lecteurs de disque, aux ports srie, aux imprimantes ou la carte puce de lordinateur local. On appelle "redirection des ressources" le fait dautoriser laccs depuis le Bureau distant. Lorsque vous autorisez le Bureau distant avoir accs ces ressources, il peut les utiliser pendant toute la dure de la session. 11. La maintenance des serveurs
Admettons que vous choisissiez dautoriser laccs au disque dur local depuis le Bureau distant. Cette autorisation vous permet de facilement copier des fichiers depuis ou vers le Bureau distant, mais elle signifie galement que le Bureau distant dispose dun accs au contenu du disque dur local. Si cet accs nest pas appropri, vous pouvez dcocher la case correspondante afin dempcher que le disque dur local ou toute autre ressource ne soient redirigs vers le Bureau distant.
j j
Utilisez longlet Programmes pour spcifier un programme dmarrer lors de la connexion au serveur distant. Utilisez longlet Avanc pour amliorer la performance de la connexion au serveur distant en autorisant laffichage de certaines caractristiques de la session Windows distante, telles que larrire-plan du Bureau, comme si elles taient actives sur lordinateur distant. Pour optimiser les performances de la connexion, slectionnez une vitesse de connexion plus rapide. La vitesse de connexion par dfaut, de 56 kbits/s, offre de bonnes performances pour la plupart des rseaux. Mais vous pouvez utiliser des paramtres de vitesse suprieurs pour activer des fonctions graphiques plus performantes, telles que le papier peint du Bureau et laffichage ou le masquage des menus.
445
Chapitre 11
3. Lorsque vous avez termin de travailler sur la session distante, dans le menu Dmarrer, cliquez sur Fermer la session. En tant quadministrateur systme, vous tes amen vous connecter la session de la console afin de voir les messages systme envoys la console. Vous devez peut-tre galement grer simultanment plusieurs serveurs. Pour cela, utilisez le composant logiciel enfichable Bureaux distance.
446
Pour vous connecter un ou plusieurs serveurs laide du composant logiciel enfichable Bureaux distance : 1. Dans le menu Dmarrer, cliquez sur Outils dadministration, puis sur Bureaux distance.
2. Dans larborescence de la console, cliquez du bouton droit de la souris sur Bureaux distance, puis sur Ajouter une nouvelle connexion. 3. Dans la bote de dialogue Ajouter une nouvelle connexion, entrez le nom du serveur, un nom de connexion, un nom dutilisateur, le mot de passe correspondant et le nom du domaine.
Figure 11.17 : Ajout dune nouvelle connexion
4. Si vous souhaitez vous connecter la session de la console, activez loption Se connecter la console.
447
Chapitre 11
6. Lorsque vous avez termin de travailler sur la session distante, dans le menu Dmarrer, cliquez sur Fermer la session. Pour vous connecter la session de la console sur un serveur distant laide de loutil de ligne de commandes mstsc : 1. Dans le menu Dmarrer, cliquez sur Excuter, tapez cmd, puis cliquez sur OK.
448
2. linvite, tapez la commande mstsc /v:stlscpdc01 /console, puis validez (Stlscpdc01 correspond au nom du serveur distant).
mstsc 3. Connectez-vous au serveur distant. Lutilisation des paramtres de dlai peut vous aider grer les ressources du serveur. Aprs avoir dfini les limites des connexions de session, vous pouvez administrer le serveur plus efficacement. Pour configurer un paramtre de dlai pour une connexion distante, procdez comme suit : 1. Cliquez sur Dmarrer, puis sur Outils dadministration. Cliquez sur Configuration des services Terminal Server.
2. Dans le volet dinformations, cliquez du bouton droit de la souris sur RDP-Tcp, puis cliquez sur Proprits (voir fig. 11.22). 3. Sous longlet Sessions, activez la premire option Remplacer les paramtres de lutilisateur.
449
Chapitre 11
4. Modifiez les paramtres appropris : Fin dune session dconnecte, Limite de session active ou Limite de session inactive. Nombre de connexions En mode Administration distance, le nombre de connexions est limit deux.
Figure 11.23 : Nombre de connexions en mode Administration distance
Dconnexion des sessions Une session dconnecte doit imprativement tre ferme pour tre termine. Aussi, noubliez pas de bien fermer les sessions quand vous avez fini vos oprations. Sinon, vous vous trouverez dans limpossibilit douvrir dautres sessions, du moins jusqu ce que vous fassiez le mnage dans les sessions. 450
de comprendre pourquoi la charge de travail dun serveur augmente soudainement ; dobserver les modifications et les tendances de lutilisation des ressources afin de planifier les mises niveau matrielles ultrieures ; de tester les changements de configuration ou tout autre effort de rglage des performances en analysant les rsultats ; de diagnostiquer les problmes et didentifier les composants ou les processus pour optimiser les performances.
Les sous-systmes sont insuffisants, et des composants supplmentaires ou mis niveau sont alors requis (par exemple, les goulets dtranglement sont souvent dus une mmoire insuffisante). Les sous-systmes ne partagent pas les charges de travail de faon quitable et un quilibrage est ncessaire (par exemple, une ancienne carte rseau est installe sur un nouveau serveur).
451
Chapitre 11
Un sous-systme ne fonctionne pas correctement et doit tre remplac (par exemple, un disque dur qui prsente souvent des problmes mineurs avant de tomber dfinitivement en panne). Un programme monopolise une ressource particulire (par exemple, la mmoire nest pas correctement partage par une application dveloppe maison). Pour rsoudre ce problme, il est ncessaire de demander un dveloppeur de rcrire le programme, dajouter ou de mettre niveau des ressources ou dexcuter le programme durant des priodes de faible utilisation. Un sous-systme nest pas correctement configur, et les paramtres de configuration doivent donc tre modifis (par exemple, il se peut quune ancienne carte rseau plusieurs vitesses soit configure pour 10 Mbits/s au lieu de 100 Mbit/s).
Les quatre principales ressources systme pour les lignes de base des performances sont :
j j j j
Ce sont des objets de performance. Il sagit de donnes gnres par un composant ou une ressource du systme. Chaque objet de performance inclut des compteurs, qui comprennent des donnes concernant des aspects spcifiques des performances du systme. Les objets de performances peuvent avoir plusieurs instances.
452
La console Performances
Windows Server 2003 fournit les outils suivants qui font partie de la console Performances et permettent danalyser lutilisation des ressources sur votre ordinateur :
j j
Vous pouvez afficher les donnes de compteur enregistres laide du Moniteur systme ou les exporter vers des tableurs ou des bases de donnes pour les analyser et gnrer un rapport. Le Moniteur systme permet de crer des graphiques, des histogrammes et des rapports concernant les donnes des compteurs de performance. Laffichage graphique, qui reprsente laffichage par dfaut, propose le plus grand choix de paramtres facultatifs.
Laffichage graphique
Il permet danalyser en temps rel tous les processus dun systme. Les donnes des compteurs dune priode dfinie sont prsentes sous forme de graphique linaire.
Lhistogramme
Il permet de dtecter les goulets dtranglement au niveau du processeur. Les donnes de compteurs sont prsentes sous forme de diagramme en btons (une valeur par instance de compteur).
Le rapport
Il permet danalyser les valeurs numriques de chaque compteur. Les donnes de compteurs sont prsentes dans un tableau (une valeur par instance de compteur). 453
Chapitre 11
2. Cliquez sur Moniteur systme. 3. Cliquez du bouton droit de la souris dans le volet des informations, puis sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs ajouter au journal : 4. Dans la zone Objet de performance, slectionnez le type dobjet de performance analyser. Pour ajouter des compteurs, slectionnez loption Tous les compteurs si vous souhaitez inclure tous les compteurs pour lobjet de performance slectionn 454
ou loption Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour lobjet de performance slectionn. Pour analyser les instances du compteur slectionn, slectionnez loption Toutes les instances si vous souhaitez analyser toutes les instances des compteurs slectionns ou loption Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs slectionns.
Figure 11.25 : Ajouter des compteurs
455
Chapitre 11
6. Cliquez sur Fermer. Information sur les compteurs Pour obtenir la description dun compteur, slectionnez celui-ci, puis cliquez sur Expliquer.
Figure 11.27 : Expliquer les compteurs de performance
Cas particuliers Certains types dobjets possdent plusieurs instances. Par exemple, si un serveur possde plusieurs processeurs, le type dobjet Processeur dispose de plusieurs instances. Si un systme contient deux disques, le type dobjet Disque physique possde deux instances. Certains objets, tels que ceux de la mmoire ou du serveur, ne disposent que dune seule instance. Si un type dobjet a plusieurs instances, vous pouvez ajouter des compteurs pour raliser le suivi statistique de chaque instance ou, dans de nombreux cas, de toutes les instances la fois.
Lanalyse programme
Lanalyse programme consiste rcuprer et conserver des donnes sur une priode dfinie pour les analyser ultrieurement. Cela permet dtablir une ligne de base, de dtecter les goulets dtranglement et de dterminer si des modifications du systme se
456
sont produites au cours de cette priode. Utilisez loutil Journaux et alertes de performance pour effectuer une analyse programme. Pour effectuer une analyse programme laide de la console Performances, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
3. Cliquez du bouton droit de la souris sur Journaux de compteur, puis sur Nouveaux paramtres de journal. 4. Dans la bote de dialogue qui apparat, indiquez le nom du journal, puis cliquez sur OK.
Figure 11.29 : Nom du nouveau fichier journal
5. Sous longlet Gnral, cliquez sur Ajouter des compteurs. Pour chaque compteur ou groupe de compteurs ajouter au journal : 6. Dans la zone Objet de performance, slectionnez le type dobjet de performance analyser. Pour ajouter des compteurs, slectionnez loption Tous les compteurs si vous souhaitez inclure tous les compteurs pour lobjet de performance slectionn ou loption Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs pour lobjet de performance slectionn. Pour analyser les instances du compteur slectionn, slectionnez loption Toutes les instances si vous souhaitez analyser toutes les instances des compteurs slectionns ou loption Choisir les instances si vous souhaitez analyser les instances choisies dans la liste des compteurs slectionns.
457
Chapitre 11
7. Cliquez sur Ajouter, puis sur Fermer. 8. Sous longlet Gnral, modifiez lintervalle dans le champ correspondant.
Figure 11.31 :
9. Sous longlet Planification, modifiez le jour et lheure du dmarrage et de larrt du journal, puis cliquez sur OK.
458
10. Si un message vous invite crer un dossier de journal, cliquez sur Oui.
459
Chapitre 11
Le Gestionnaire des tches peut permettre danalyser les indicateurs cls des performances de votre ordinateur :
j j
Vous pouvez afficher ltat des programmes en cours dexcution et terminer ceux qui ne rpondent plus. Lactivit des processus en cours peut tre value en utilisant jusqu 15 paramtres, et des graphiques ainsi que des donnes concernant lutilisation du processeur et de la mmoire peuvent tre affichs. Si vous tes connect un rseau, vous avez la possibilit dafficher ltat de ce rseau. Si plusieurs utilisateurs sont connects votre ordinateur, vous pouvez savoir qui ils sont, quels fichiers sont utiliss et leur envoyer un message. Le Gestionnaire des tches propose cinq onglets qui permettent deffectuer lensemble de ces actions.
Figure 11.34 : Le gestionnaire des tches
460
Pour analyser un serveur distant, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Cliquez du bouton droit de la souris dans le volet droit du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Cliquez sur Choisir les compteurs sur, puis tapez le nom de lordinateur distant.
Figure 11.35 :
4. Dans Objet de performance, slectionnez les objets analyser. Pour chaque objet de performance, slectionnez les compteurs correspondants sur la liste. Cliquez sur Ajouter aprs chaque slection de compteur, puis cliquez sur Fermer.
461
Chapitre 11
Les journaux
Windows Server 2003 peut rcuprer des donnes concernant les ressources disque, la mmoire, les processeurs et les composants rseau. De plus, certaines applications, par exemple Exchange Server, peuvent galement rcuprer des donnes. Celles-ci constituent des objets de performances et leur nom est gnralement celui du composant qui les gnre. Lobjet Processeur reprsente un ensemble de donnes de performances relatives aux processeurs du serveur. Les journaux sont des compteurs qui indiquent les donnes enregistres dans le fichier journal. Les journaux de compteur permettent de slectionner les compteurs pour rcuprer les donnes sur les performances. Pour crer un journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. Tous les journaux de compteur existants apparaissent dans le volet des informations. Licne verte indique quun journal est en cours et licne rouge signale larrt du journal. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis cliquez sur Nouveaux paramtres de journal. 4. Dans la zone de texte Nom, tapez le nom du journal, puis cliquez sur OK. 5. Sous longlet Gnral, cliquez sur Ajouter des compteurs pour slectionner les compteurs enregistrer. 6. Si vous souhaitez modifier le fichier par dfaut et planifier des informations, utilisez les onglets Fichiers journaux et Planification. 7. Pour enregistrer les paramtres dun journal de compteur, cliquez du bouton droit de la souris sur celui-ci dans le volet situ droite dans la console Performances, puis cliquez sur Enregistrer les paramtres sous. Vous pouvez indiquer le fichier .htm dans lequel enregistrer les paramtres. 8. Pour rutiliser les paramtres enregistrs avec un autre journal de compteur, cliquez du bouton droit de la souris dans le volet situ droite, puis cliquez sur Nouveaux paramtres de journalisation issus de. Cela permet de gnrer facilement de nouveaux paramtres partir de la configuration dun journal de compteur. Vous pouvez galement ouvrir le fichier HTML dans Internet Explorer pour afficher un graphique du Moniteur systme. Les journaux de compteur pouvant rapidement remplir lespace disque, prenez lhabitude de les supprimer lorsque vous nen avez plus besoin ; gnralement, aprs avoir tabli une ligne de base et enregistr les informations correspondantes. Il est 462
conseill dtablir une ligne de base une fois par semaine et de supprimer les journaux ayant plus de 30 jours. Pour supprimer un journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur supprimer. 11. La maintenance des serveurs
463
Chapitre 11
Description Dfinit un fichier journal squentiel binaire (extension .blg). Seuls les formats binaires peuvent intgrer des instances discontinues.
Utilisation Utilisez ce format de fichier pour enregistrer les instances de donnes intermittentes, savoir celles qui sarrtent et reprennent une fois le journal commenc. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux dlimits par des virgules. Utilisez ce format pour enregistrer des donnes en continu dans le mme fichier journal, les nouvelles donnes remplaant les enregistrements prcdents lorsque la taille maximale du fichier est atteinte. Utilisez la commande tracerpt pour convertir les fichiers binaires en fichiers journaux dlimits par des virgules. Utilisez ce format de fichier pour rcuprer les donnes sur les performances au niveau de lentreprise et non pour chaque ordinateur.
Dfinit le nom dune base de donnes SQL et dun ensemble de journaux au sein de la base de donnes dans laquelle les donnes sur les performances seront lues ou crites.
Pour dfinir les paramtres de fichier dun journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance. 3. Pour dfinir les proprits de fichier dun journal de compteur, double-cliquez sur Journaux de compteur. 4. Dans le volet des informations, double-cliquez sur le journal. 5. Passez sous longlet Fichiers journaux. 6. Sur la liste Type de fichier journal, slectionnez le format souhait pour ce fichier journal, paramtrez les options, puis cliquez sur le bouton Configurer. 7. Dans la zone Configurer, dterminez les paramtres de configuration laide des options Configurer les fichiers journaux ou Configurer les journaux SQL, selon le type de fichier journal choisi sur la liste correspondante. 8. Activez loption Terminer les noms de fichiers avec, puis, sur la liste, cliquez sur le style de suffixe souhait. Utilisez cette option pour distinguer les fichiers journaux
464
ayant le mme nom de fichier dans un groupe de journaux gnrs automatiquement. 9. Dans la zone Dmarrer la numrotation partir de, indiquez le premier chiffre de la numrotation automatique des fichiers, lorsque vous slectionnez nnnnnn pour loption Terminer les noms de fichiers avec. 10. Dans la zone Commentaire, tapez si ncessaire un commentaire ou une description concernant le fichier journal.
Figure 11.38 : Les diffrents types de fichiers journal
11. Dans la bote de dialogue Configurer les fichiers journaux, sous la rubrique Taille du fichier journal, activez loption Limite maximale pour que les donnes soient rcupres de faon continue dans un fichier journal jusqu ce que sa taille limite dfinie par les quotas de disque ou le systme dexploitation soit atteinte. Pour les journaux SQL, les donnes sont rcupres dans une base de donnes jusqu ce que sa taille limite dfinie par le nombre denregistrements effectus soit atteinte. Choisissez Limite de et indiquez la taille limite du fichier journal. Pour les journaux de compteur et de traage, indiquez la taille maximale en mgaoctets. Pour les journaux SQL, indiquez la taille maximale dans les enregistrements (voir fig. 11.39). Pour dfinir les paramtres de dbut et de fin dun journal de compteur, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de compteur.
465
Chapitre 11
3. Dans le volet des informations, double-cliquez sur le nom du journal de compteur. 4. Sous longlet Planification, sous la rubrique Dmarrer lenregistrement dans le journal, cliquez sur Heure, puis indiquez lheure et la date.
Figure 11.40 : Planification des heures de dmarrage et darrt du journal
5. Sous longlet Arrter lenregistrement dans le journal, slectionnez lune des options suivantes :
j j
Pour que le journal sarrte aprs une dure prcise, cliquez sur Aprs, puis indiquez le nombre dintervalles et leur type (jours, heures, etc.). Pour que le journal sarrte une heure et une date prcises, cliquez sur Heure, puis indiquez lheure et la date. Vous pouvez saisir quatre caractres dans la zone de lanne, deux dans les autres.
466
Pour que le journal de compteur sarrte lorsque le fichier journal atteint sa taille maximale, activez loption Quand le fichier journal de 10 Mo est plein. Le fichier continue accumuler des donnes selon la taille limite indique sous longlet Fichiers journaux (en kilo-octets, jusqu 2 Go).
6. Dans la zone Quand un fichier journal est ferm, slectionnez loption approprie :
j j
Si vous souhaitez configurer un journal de compteur circulaire (continu, automatique), slectionnez loption Commencer un nouveau fichier journal. Pour excuter un programme aprs larrt du fichier journal (par exemple, si vous souhaitez utiliser la commande copy pour transfrer les journaux termins vers un site darchive), slectionnez Excuter cette commande. Tapez le chemin daccs et le nom du fichier du programme excuter ou cliquez sur Parcourir pour rechercher lemplacement du programme.
Pour commencer et arrter manuellement les journaux de compteur, procdez ainsi : 1. Ouvrez la console Performances, puis double-cliquez sur Journaux et alertes de performance. 2. Cliquez sur Journaux de compteur. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de compteur arrter ou dmarrer. 4. Cliquez sur Dmarrer ou Arrter.
467
Chapitre 11
Les alertes
Grce la fonction dalerte, vous pouvez dfinir une valeur de compteur qui dclenche des actions, telles que lenvoi dun message rseau, lexcution dun programme ou le dmarrage dun journal. Les alertes sont utiles si vous nanalysez pas de faon active une valeur seuil dun compteur particulier mais que vous souhaitiez tre inform lorsquelle est suprieure ou infrieure un paramtre spcifi, afin de pouvoir rechercher lorigine de ce changement. Alertes Une alerte est une fonction qui dtecte quel moment une valeur de compteur prdfinie est suprieure ou infrieure un paramtre spcifi. Ce dernier est un seuil dalerte. Vous pouvez dfinir une alerte pour un compteur afin deffectuer les actions suivantes :
j j j j
crer une entre dans le journal des vnements de lapplication pour, notamment, enregistrer tous les vnements ayant provoqu une alerte ; commencer un journal lorsque la valeur de compteur slectionne est suprieure ou infrieure au seuil dalerte ; envoyer un message pour tre prvenu lorsquun vnement spcifique se produit ; excuter un programme pour lancer un programme lorsquun vnement se produit (par exemple, le serveur peut sarrter si le disque dur est plein).
Pour crer une alerte, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes. Toutes les alertes existantes apparaissent dans le volet des informations. Licne verte indique que lalerte est en cours et licne rouge signale larrt de lalerte. 3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations, puis sur Nouveaux paramtres dalerte. 4. Dans la zone de texte Nom, tapez le nom de lalerte, puis cliquez sur OK.
Figure 11.42 : Nouveaux paramtres dalerte
468
5. Dans la fentre dalerte portant le nom du fichier que vous venez de donner, paramtrez les diffrents onglets :
j
Sous longlet Gnral, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des compteurs, des seuils dalerte et des intervalles dchantillonnage.
Figure 11.43 : Longlet Gnral
Sous longlet Action, dfinissez les actions raliser lorsque des donnes de compteur gnrent une alerte.
Figure 11.44 :
469
Chapitre 11
Sous longlet Planification, vous avez la possibilit de dfinir quel moment le service commence rechercher les alertes.
Figure 11.45 : Longlet Planification dune alerte
Si vous avez choisi denvoyer un message rseau, vous recevrez ce type de message :
Si vous avez choisi denregistrer un vnement dans le journal des vnements, voici ce que vous obtiendrez :
Figure 11.47 : Message dalerte enregistr dans le journal dvnements
470
Pour supprimer une alerte, procdez ainsi : 1. Pour lancer la console Performances, dadministration/Performances. cliquez sur Dmarrer/Outils
2. Double-cliquez sur Journaux et alertes de performance. 3. Dans le volet des informations, cliquez du bouton droit de la souris sur lalerte supprimer.
La mmoire
La mmoire du serveur est le sous-systme ayant la plus grande incidence sur les performances gnrales du serveur. Si le serveur ne dispose pas de mmoire suffisante pour contenir les donnes qui lui sont ncessaires, il doit temporairement stocker ces donnes sur le disque (on dit quil swappe). Laccs au disque est beaucoup plus lent que laccs la mmoire RAM. Par consquent, tout stockage de donnes sur le disque altre les performances du serveur de faon importante. Par rebond, si les performances du serveur sont altres, les applications quil fait tourner le sont aussi, logiquement. 471
Chapitre 11
La surveillance et lanalyse de lutilisation de la mmoire sont, par consquent, les premires tapes suivre dans le cadre de lvaluation des performances du serveur.
Tableau 11.3 : Identifier et rsoudre les problmes de goulet dtranglement au niveau de
la mmoire
Compteur de mmoire Pages/s Plage moyenne acceptable De 0 20 Valeur dsire Basse Haute Basse Action Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher le processus lorigine des changes. Ajouter de la RAM Rechercher une fuite de mmoire dans une application Rechercher le processus lorigine des changes. Ajouter de la RAM
Octets disponibles Au moins 5 % de la mmoire totale Octets valids Moins que la mmoire RAM physique Reste constante, naugmente pas Infrieure 5
Pour analyser la mmoire laide de la console Performances, procdez comme suit : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Dans Objet de performance, cliquez sur Mmoire. Slectionnez un un les compteurs suivants, puis cliquez sur Ajouter :
j j j j j
Pages/s ; Octets disponibles ; Octets valids ; Octets de rserve non pagine ; Dfauts de page/s.
4. Bien que les compteurs suivants ne soient pas explicitement des compteurs dobjets mmoire, ils sont galement utiles lanalyse de la mmoire :
j j j
Fichier dchange\Pourcentage dutilisation ; Cache\% Prsence des donnes mappes ; Serveur\Octets de rserve pagine et Serveur\Octets de rserve non pagine.
472
5. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution du problme de mmoire.
473
Chapitre 11
Le processeur
Laspect le plus important concernant les performances du processeur est le niveau dutilisation de ce dernier. Lorsquune application ou un autre logiciel utilise plus que sa part du cycle du processeur, tous les autres programmes en cours dexcution sont ralentis. Aprs la quantit de mmoire utilise, lactivit du processeur est linformation la plus importante permettant danalyser un serveur.
Tableau 11.4 : Identifier et rsoudre les problmes de goulet dtranglement au niveau du
processeur
Compteur processeur % Temps processeur Systme : longueur de la file du processeur Files de travail du serveur : longueur de la file Interruptions/S Plage moyenne acceptable Infrieur 85 % Valeur dsire Basse Action Rechercher le processus utilisant trop de processeur. Mettre niveau ou ajouter un autre processeur Mettre niveau ou ajouter un autre processeur Rechercher le processus utilisant trop de processeur. Mettre niveau ou ajouter un autre processeur Rechercher le contrleur gnrant les interruptions
Infrieur 10
Basse
Infrieur 4
Basse
Dpend du processeur
Basse
Les disques
La vitesse daccs du disque dur physique peut fortement ralentir les applications et le chargement des donnes. De plus, lespace de stockage sur le disque doit tre suffisant pour permettre linstallation des applications, ainsi que le stockage des donnes et du fichier dchange. Il est important danalyser les disques pour maintenir le bon fonctionnement de vos systmes.
474
disque
Compteur de disque Plage acceptable physique % Temps du disque Infrieure 50 % Valeur dsire Basse Action Analyser les disques pour dterminer si des oprations dchange seffectuent, mettre niveau le sous-systme disque Mettre niveau le sous-systme disque
Taille de la file dattente du disque actuel Disque, octets transfert moyen Octets disque/s
De 0 2
Basse
Haute Haute
Pour analyser les disques, procdez ainsi : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Dans la bote de dialogue Ajouter des compteurs, sous Objet de performance, choisissez Disque physique. Slectionnez les compteurs suivants et cliquez sur Ajouter.
j j j j
% Temps du disque ; Moy. disque, octets/transfert ; Taille de file dattente du disque actuelle ; Octets disque/s.
4. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution des ventuels problmes de disque.
Le rseau
Les performances du rseau dpendent de la vitesse du matriel de linfrastructure de votre rseau et de celle des logiciels en cours dexcution sur les serveurs et clients. Dans tout environnement de travail, les communications rseau sont extrmement importantes. linstar du processeur ou des disques de votre systme, le comportement du rseau influe sur le fonctionnement du systme.
475
Chapitre 11
rseau
Compteur de linterface rseau Utilisation du rseau (dans le Gestionnaire de tches) Interface rseau : Octets envoys/s Interface rseau : Total des octets/s Plage moyenne acceptable Infrieur 30 %, en gnral Ligne de base ou suprieure Ligne de base ou suprieure Valeur Dsire Basse Haute Haute Action Mettre niveau la carte ou le rseau physique Mettre niveau la carte ou le rseau physique Poursuivre lanalyse pour dterminer la cause du problme, mettre niveau la carte ou le rseau physique Mettre niveau la carte ou le rseau physique
Sans objet
Pour analyser le rseau, procdez ainsi : 1. Cliquez sur Dmarrer/Panneau de configuration, puis double-cliquez sur Outils dadministration et Performances. 2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur systme, puis cliquez sur Ajouter des compteurs. 3. Sous Objet de performance, choisissez Interface rseau. Slectionnez les compteurs suivants et cliquez sur Ajouter :
j j
4. Sous Objet de performance, choisissez Serveur. Slectionnez les compteurs Serveur\Octets et reus/s, cliquez sur Ajouter, puis sur Fermer. 5. Dans le volet de droite du Moniteur systme, examinez les compteurs, puis effectuez les oprations ncessaires la rsolution des ventuels problmes de rseau.
11.3. En rsum
La maintenance de vos serveurs Windows Server 2003 est, videmment, une partie trs importante du travail dun administrateur. Cest mme une des parties qui vous suivra une fois le projet dimplmentation dActive Directory termin. Comme nous pouvons le constater, Windows Server 2003 est suffisamment bien quip en standard pour vous proposer de maintenir et danalyser les performances afin de rsoudre des problmes ou raliser des prvisions sur les volutions matrielles du serveur. Sachez tirer parti de tous les outils mis votre disposition. 476
Chapitre 12
inq ans aprs larrive de Windows Server 2003, Windows Server 2008 est le successeur dun systme dexploitation fiable et robuste qui a fait toutes ces preuves. Mais alors quapporte Windows Server 2008 ? Tout dabord, il a t conu pour fournir aux entreprises la plateforme la plus productive pour virtualiser des charges de travail, alimenter des applications et protger des rseaux. Il propose une plateforme scurise et facile grer servant dvelopper et hberger de faon fiable des applications et des services web. Polyvalent, du groupe de travail au centre de donnes, Windows Server 2008 propose des fonctionnalits nouvelles et extrmement utiles, ainsi que des amliorations importantes au systme dexploitation de base.
dfinir lutilisation de son serveur pour choisir la version Standard, Entreprise, Datacenter ou Web ; vrifier que lon rpond bien aux prrequis matriels de linstallation CPU, RAM, disques, etc. ; choisir la version que lon souhaite installer, complte ou Core.
Voici les prrequis dinstallation de demande Windows Server 2008, que cela soit dans les versions Core ou compltes Le processeur
j j j
Lespace disque
j j j
Espace disque requis au minimum : 8 Go. Recommand : 40 Go (installation complte) ou 10 Go (installation Server Core). Optimal : 80 Go (installation complte) ou 40 Go (installation Server Core) ou plus.
La mmoire
j j
Chapitre 12
j j j
Optimal : 2 Go de RAM (installation complte) ou 1 Go de RAM (installation Server Core) ou plus. Maximum (systmes 32 bits) : 4 Go (Standard) ou 64 Go (Entreprise). Maximum (systmes 64 bits) : 32 Go (Standard) ou 2 To (Entreprise). Taille du fichier dchange Les ordinateurs avec plus de 16 Go de RAM ncessiteront davantage despace disque pour les fichiers de pagination, de mise en veille prolonge et de vidage.
Les priphriques
j j j
Un lecteur de DVD-Rom ; un moniteur Super VGA (800 x 600) ou dune rsolution suprieure ; un clavier et une souris.
virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services dannuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de limpression (voir fig. 12.1).
La maintenance de logiciels rduite : tant donn que Server Core installe uniquement ce qui est ncessaire pour quun serveur facile grer excute les rles de serveur pris en charge, le serveur requiert moins de maintenance logicielle. Avec une installation Server Core plus rduite, le nombre des mises jour et correctifs est rduit, ce qui permet dconomiser sur lutilisation de la bande passante du rseau tendu par les serveurs et le temps dadministration pour le personnel informatique.
480
Figure 12.1 : Slection de linstallation dun serveur Core ou dun serveur en version
complte
j
Une surface dattaque rduite : tant donn quil y a moins de fichiers installs et excuts sur le serveur, il y a moins de vecteurs dattaque exposs au rseau. Par consquent, la surface dattaque est rduite. Les administrateurs peuvent installer uniquement les services spcifiques ncessaires un serveur donn, en maintenant le risque dexposition un minimum absolu. Moins de redmarrages et un espace disque rduit : avec une installation minimale de Server Core, moins de composants installs auront besoin dtre mis jour ou corrigs et le nombre de redmarrages requis sera rduit. Une installation Server Core installe les fichiers minimaux ncessaires pour les fonctionnalits requises, et lespace disque utilis sur le serveur sera donc rduit. En choisissant dutiliser loption dinstallation Server Core sur un serveur, les administrateurs peuvent rduire les exigences en matire de gestion et mise jour logicielle pour un serveur, tout en rduisant les risques lis la scurit.
481
Chapitre 12
Ils utilisent tous les deux le principe des images WIM. Pour installer Windows Server 2008, procdez de la manire suivante : 1. Insrez le DVD de Windows Server 2008 et redmarrez votre serveur partir de votre lecteur de DVD. Une premire fentre souvre et vous propose de choisir les options suivantes :
j j j
de lire les instructions et les recommandations ; daccder aux fonctionnalits de rparation ; de poursuivre linstallation standard.
482
Figure 12.3 : partir de cettee fentre, vous avez la possibilit dinstaller ou rparer
Windows Server 2008 4. Dans la fentre Entrez votre cl de produit pour activation, dans le champ Cl de produit, saisissez votre cl de produit et cliquez sur Suivant.
Figure 12.4 : Saisie de la cl produit qui dbloque la version de Windows Server 2008
Chapitre 12
La partie Slectionnez le systme dexploitation que vous voulez installer est une tape importante et structurante. Cest ici, que vous allez choisir linstallation dun serveur complet ou linstallation dun serveur Core. 5. Dans notre exemple, slectionnez Windows Server 2008 Enterprise (Installation complte), puis cliquez sur Suivant. Server Core Pour rappel, Server Core est une version de serveur sans interface graphique pour ladministration. Sa configuration se fait en ligne de commandes. Le Serveur Core ne possde pas la totalit des rles que propose la version complte de Windows Server 2008. Les rles proposs par le serveur Core sont les suivants :
j j
j j j j j j
virtualisation Windows Server ; serveur DHCP (Dynamic Host Configuration Protocol) ; serveur DNS (Domain Name System) ; serveur de fichiers ; services dannuaire Active Directory (AD DS) ; Active Directory Lightweight Directory Services (AD LDS) ; services Windows Media ; gestion de limpression.
6. Dans la fentre Veuillez lire le contrat de licence, cliquez sur la case cocher Jaccepte les termes du contrat de licence et cliquez sur Suivant.
484
7. Nous devons choisir la destination de linstallation, savoir le lecteur logique et la taille de la partition sur laquelle nous souhaitons raliser linstallation. Dans la fentre Quel type dinstallation voulez-vous effectuer, slectionnez Personnalise (option avance).
Figure 12.6 : Cest cette tape que vous avez le choix de mettre votre systme niveau
ou de personnaliser une installation 8. ltape O souhaitez-vous installer Windows ?, slectionnez le disque de votre choix et cliquez sur Suivant. Pour dfinir une partition et une taille de partition spcifique, cliquez sur Options de lecteurs (avances).
485
Chapitre 12
9. Une fois linstallation termine, Windows Server 2008 redmarre et vous demande de changer de mot de passe.
Accs DCOM au service de certificats ; Administrateurs ; Duplicateurs ; IIS_IUSRS ; Invits ; Lecteurs des journaux dvnements ; Oprateurs de chiffrement ;
486
j j j j j j j j j
Oprateurs de configuration rseau ; Oprateurs de sauvegarde ; Oprateurs dimpression ; Utilisateurs ; Utilisateurs avec pouvoirs ; Utilisateurs de lanalyseur de performances ; Utilisateurs du bureau distance ; Utilisateurs du journal de performances ; Utilisateurs du modle COM distribu.
487
Chapitre 12
Nom Distributed Transaction Coordinator DNS Client Group Policy Client IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent KtmRm for Distributed Transaction Coordinator Network Connections Network List Service
Statut Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started Started
Type de dmarrage Automatic (Delayed Start) Automatic Automatic Automatic Automatic Automatic Automatic (Delayed Start) Manual Automatic Automatic Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Manual Automatic Automatic Automatic Automatic Manual Automatic Automatic
Systme pour louverture de session Network Service Network Service Local System Local System Local System Network Service Network Service Local System Local Service Network Service Local Service Local System Local System Local System Network Service Local Service Local System Local Service Local System Local System Local System Local Service Network Service Local System Local System Local Service Network Service Network Service Local System
Network Location Awareness Network Store Interface Service Plug and Play Print Spooler Remote Access Connection Manager Remote Procedure Call (RPC) Remote Registry Secondary Logon Secure Socket Tunneling Protocol Service Security Accounts Manager Server Shell Hardware Detection SL UI Notification Service Software Licensing System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper Telephony Terminal Services User Profile Service
488
Grer le serveur
Nom Windows Error Reporting Service Windows Event Log Windows Firewall Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Time Windows Update Workstation
Type de dmarrage Automatic Automatic Automatic Automatic Automatic (Delayed Start) Automatic Automatic (Delayed Start) Automatic
Systme pour louverture de session Local System Local Service Local Service Local System Network Service Local Service Local System Local Service
489
Chapitre 12
490
Grer le serveur
Figure 12.10 : La console Gestionnaire de serveur Figure 12.11 : Le volet Hirarchie de la console Gestionnaire de serveur
491
Chapitre 12
Le Gestionnaire de serveur consolide une varit dinterfaces et doutils de gestion dans une console de gestion unifie, permettant aux administrateurs de complter des tches de gestion courantes sans avoir naviguer entre plusieurs interfaces, outils et botes de dialogue.
492
Serveur dapplications : il permet la gestion centralise et lhbergement dapplications mtier distribues hautes performances, telles que celles des entreprises et le Framework 3.0 Serveur de tlcopie : il envoie des tlcopies. Il permet de grer les ressources de tlcopie, comme les tches, les paramtres, les rapports et les priphriques de tlcopie sur le serveur ou sur le rseau. Serveur DHCP : il permet la configuration, la gestion et la fourniture de manire centralise dadresses IP et dinformations connexes pour les ordinateurs clients. Serveur DNS : il permet la rsolution de noms pour les rseaux TCP/IP. Pour simplifier la gestion de ce serveur, il est prfrable quil soit install sur le mme serveur que le service Active Directory. En slectionnant le rle Active Directory, il est possible dinstaller et configurer le service DNS et le Service Active Directory pour quils fonctionnent ensemble. Serveur Web IIS : il fournit une infrastructure web par le biais dun ensemble de composants. Services AD LDS (Active Directory Lightweight Directory Services) : ils fournissent un magasin pour les donnes spcifiques de lapplication, pour les applications Active Directory qui ne ncessitent pas linfrastructure des services de domaine Active Directory. Il peut avoir plusieurs instances AD LDS sur un seul serveur, chacune dentre elles disposant de son propre schma. Services AD RMS (Active Directory Rights Management Services) : ils permettent de protger les informations contre une utilisation non autorise. Les services AD RMS tablissent lidentit des utilisateurs et fournissent aux utilisateurs autoriss des licences pour les informations protges. Services ADFS (Active Directory Federation Services) : ils intgrent des fonctionnalits de fdration des identits scurise et simplifies dauthentification unique via le Web. AD FS inclut un service de fdration via le Web bas sur un navigateur, un proxy du service de fdration pour personnaliser lenvironnement au client et protger les ressources internes et des agents web utiliss pour fournir aux utilisateurs fdrs laccs aux applications hbergs en interne. Services dimpression : ils permettent de partager des imprimantes sur un rseau, ainsi que de centraliser des tches de gestion de serveur dimpression et dimprimantes rseau. Ils permettent galement de migrer des serveurs dimpression et de dployer des connexions dimprimante laide de la stratgie de groupe. Services de certificats Active Directory : ils permettent de crer des autorits de certification et des services de rle associs pour mettre et grer les certificats utiliss dans diverses applications.
j j
j j
493
Chapitre 12
Services de dploiement Windows : ils fournissent un moyen simple et scuris pour dployer rapidement distance des systmes dexploitation Windows sur des ordinateurs par le rseau. Services de domaine Active Directory : ils stockent des informations sur les objets sur le rseau et les rendent disponibles aux utilisateurs et aux administrateurs du rseau. Ces services utilisent des contrleurs de domaines pour donner accs aux ressources autorises aux utilisateurs rseau nimporte o sur le rseau via un processus douverture de session unique. Services de fichiers : ils fournissent des technologies simplifiant la gestion du stockage, la rplication des fichiers, la gestion des dossiers partags, la recherche rapide de fichiers et laccs aux ordinateurs clients Unix. Services de stratgie et accs rseau : ils fournissent le serveur NPS (Network Policy Server), le routage et laccs distant, lautorit HRA (Health Registration Authority) et le protocole HCAP (Host Credential Authorization Protocol), qui favorisent le maintient de lintgrit et de la scurit de votre rseau. Services Terminal Server : il intgre des technologies qui permettent aux utilisateurs daccder aux programmes Windows installs sur un serveur Terminal Server ou daccder au Bureau Windows. Grce aux services Terminal Server, les utilisateurs peuvent accder un serveur Terminal Server partir du rseau dentreprise ou dInternet. Services UDDI : ils offrent des fonctionnalits UDDI (description, dcouvertes et intgration universelles) pour le partage dinformations relatives aux services web sur lintranet dune organisation entre partenaires commerciaux sur un extranet. Services Windows Sharepoint : ils permettent la cration de sites web sur lesquels les utilisateurs peuvent collaborer sur des documents, tches et vnements et partager facilement des contacts et dautres informations. Cet environnement est conu pour le dploiement, ladministration et le dveloppement souples des applications.
Il y a 36 fonctionnalits :
j j j j j j j j j
assistance distance ; base de donnes interne Windows ; chiffrement de lecteur Bitlocker ; client dimpression Internet ; client Telnet ; client TFTP ; clustering avec basculement ; compression diffrentielle distance ; disque de rcupration de donnes ;
494
j j j j j j j j j j j j j j j j j j j j j j j j j j j
quilibrage de charge rseau ; exprience audio-vido haute qualit Windows ; exprience utilisateur ; extensions du serveur BITS ; fonctionnalits .NET Framework 3.0 ; fonctionnalits de la sauvegarde de Windows Server ; gestion des stratgies de groupe ; gestionnaire de ressources systme Windows ; gestionnaire de stockage amovible ; gestionnaire de stockage pour rseau SAN ; kit dadministration de Connection Manager ; message Queuing ; 12. Windows Server 2008 moniteur de port LPR ; MPIO (Multhipath I/O) ; outils dadministration de serveur distance ; protocole de rsolution de noms dhomologues ; proxy RPC sur HTTP ; serveur ISSN (Internet Storage Name Server) ; serveur SMTP ; serveur Telnet ; serveur WINS ; service dactivation de processus Windows ; service de rseau local sans fil ; services SMNP ; services TCP/IP simplifis ; sous-systmes pour les applications Unix ; Windows PowerShell.
Pour ajouter une fonctionnalit, procdez ainsi : 1. Slectionnez le menu Dmarrer/Gestionnaire de serveur.
495
Chapitre 12
496
3. Dans le volet de droite, slectionnez Ajouter des rles. Dans la fentre Slectionnez des rles de serveurs, cochez la case du rle que vous souhaitez installer et cliquez sur Suivant.
4. En cas dajout de composants optionnels ncessaires, lassistant vous propose de les ajouter et de les installer galement. Pour cela, cliquez sur Ajouter les fonctionnalits requises.
497
Chapitre 12
5. Dans la fentre suivante, lassistant vous expliquez les fonctionnalits du rle et vous propose des informations complmentaires lies au rle. Cliquez sur Suivant pour poursuivre linstallation.
6. Un rle reprsente bien souvent plusieurs services. Dans la fentre Slectionner les services de Rle, slectionnez uniquement les services utiles votre besoin et cliquez sur Suivant.
498
8. la fin de linstallation, la fentre Rsultat de linstallation prsente un rcapitulatif de linstallation. Cliquez sur Fermer pour terminer linstallation du rle
499
Chapitre 12
La fentre de rle prsente le nouveau rle install, il sagit ici du serveur web Internet Information Server 7.
Obliger les postes clients rester en bonne sant : la protection NAP (Network Access Protection) permet aux administrateurs de configurer et de mettre en place des exigences en matire de sant et de scurit avant dautoriser les postes clients accder au rseau. Contrler les autorits de certification : linfrastructure de cl publique (PKI, Public Key Infrastructure) dentreprise amliore la possibilit de contrler et de dpanner plusieurs autorits de certification.
500
j j j j j
Disposer dun vritable pare-feu : le nouveau pare-feu Windows avec scurit avance fournit un certain nombre damliorations en matire de scurit. Le chiffrement et la protection des donnes : BitLocker protge les donnes sensibles en chiffrant le lecteur de disque. Les outils cryptographiques : une cryptologie nouvelle gnration fournit une plateforme de dveloppement cryptographique flexible. Lisolement de serveur et de domaine : les ressources de serveur et de domaine peuvent tre isoles pour limiter laccs aux ordinateurs authentifis et autoriss. Le contrleur de domaine en lecture seule (RODC) : le RODC est une nouvelle option dinstallation de contrleur de domaine qui peut tre installe sur des sites distants susceptibles davoir des niveaux infrieurs de scurit physique.
Ces amliorations aident les administrateurs augmenter le niveau de scurit de leur organisation et simplifient la gestion et le dploiement des configurations et des paramtres lis la scurit. 12. Windows Server 2008
Un ensemble dAPI, destin avant tout aux diteurs tiers, leur permet de venir inclure leur moteur de filtrage et de disposer ainsi dun filtrage beaucoup plus volu. Des fonctionnalits de filtrage avances : communications authentifies ; configuration dynamique et robuste du pare-feu avec les appels WinSock ; fondation de pare-feu Windows et IPSec ; fonctionnement avec du trafic chiffr (par exemple, RPC dans Windows Server 2008).
Le systme de Hooking passage dans la pile (stack) est mieux document, ce qui rduit considrablement les risques dincompatibilit.
Chapitre 12
contrles depuis le BFE (Base Filtering Engine). Il y a plusieurs niveaux comme IPSec, ALE (Application Layer Enforcement), etc. Toutes les applications dditeurs tiers vont donc venir sinclure dans le systme sous forme de Callout. Par lintermdiaire des API, Windows Filtering Platform va faire appel de manire standard aux diffrents composants quel que soit leur diteur. Voici un petit comparatif entre le pare-feu de Windows Server 2003 et celui de Windows Server 2008 :
Tableau 12.2 : Comparatif des pare-feu Windows XP SP2 et Windows Vista Fonction Sens Rglage par dfaut Filtres de paquets Critres de rgles Windows Server 2003 Entrant Bloquer TCP, UDP, ICMP Application, port, types ICMP Bloquer Panneau de configuration et Netsh Aucune Fichier ADM Exceptions, profils Windows Server 2008 Entrant et sortant Cela dpend du sens Tout type Multiples combinaisons Bloquer, autoriser, ignorer Panneau de configuration et Netsh enrichis et MMC Via RPC MMC et Netsh Rgles, catgorie profils
Le nouveau pare-feu, dans ses fonctions avances, vous permet de crer des rgles selon les critres de filtrage suivants :
j j j j j j j j
groupe utilisateurs/machine Active Directory ; IP source et destination (individuelle ou plage) ; ports TCP/UDP source et destination ; liste des ports dlimits par des points-virgules ; numro de protocole IP ; type dinterface (filaire, sans-fil, VPN/RAS) ; type/code ICMP ; service.
502
Dynamique
Dans les versions antrieures de Windows Server, le pare-feu Windows et IPSec taient configurs sparment. tant donn quun pare-feu bas sur lhte et IPSec dans Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de crer des exceptions de pare-feu et des rgles IPSec contradictoires ou qui se chevauchent. Le nouveau pare-feu Windows de Windows Server 2008 a associ la configuration des services rseau avec les mmes commandes dinterface graphique et de ligne de commande. Cette intgration de paramtres de pare-feu et IPSec simplifie la configuration du pare-feu et IPSec, et contribue empcher les chevauchements de stratgies et les paramtres contradictoires.
La protection : NAP
NAP (Network Access Protection) empche les ordinateurs non intgres daccder au rseau dune organisation et de le compromettre. NAP est utilise pour configurer et mettre en place des exigences en matire de sant client et mettre jour, ou corriger, des ordinateurs clients non conformes afin quils puissent tre connects au rseau de lentreprise. Avec NAP, les administrateurs peuvent configurer des stratgies de sant qui dfinissent des lments tels que la configuration logicielle requise, les mises jour de scurit requises et les paramtres de configuration requis pour les ordinateurs se connectant au rseau de lorganisation. NAP permet dappliquer les exigences en matire de sant en valuant la sant des ordinateurs clients et en limitant laccs rseau lorsque les ordinateurs clients ne sont pas conformes. Les composants clients et serveurs participent la correction des ordinateurs clients non conformes, pour quils puissent obtenir un accs rseau illimit. Si un ordinateur client est dtermin non conforme, il peut se voir refuser laccs au rseau ou tre rpar immdiatement pour devenir conforme.
503
Chapitre 12
Les mthodes de mise en place de la NAP prennent en charge quatre technologies daccs rseau qui travaillent conjointement avec celle-ci pour mettre en place des stratgies de sant : mise en place dIPSec (Internet Protocol Security), de 802.1X, dun rseau priv virtuel (VPN) pour le routage et laccs distant et du protocole DHCP (Dynamic Host Configuration Protocole).
Enterprise PKI
Il existe un certain nombre damliorations de linfrastructure de cl publique (PKI) dans les systmes dexploitation Windows Server 2008 et Windows Vista. La gestion a t facilite dans tous les aspects de PKI Windows, les services de rvocation ont t retravaills et la surface dattaque pour linscription a diminu. Voici quelques-unes des amliorations de la PKI
j
Enterprise PKI (PKIView) : PKIView, qui faisait partie lorigine du kit de ressources Microsoft Windows Server 2003 et sappelait "loutil PKI Health", est maintenant un composant logiciel enfichable MMC (Microsoft Management Console) pour Windows Server 2008. Il est utilis pour analyser ltat de sant des autorits de certification et pour afficher des dtails sur les certificats gnrs par lautorit de certification et publis dans AD CS. Protocole OCSP (Online Certificate Status Protocol) : un rpondeur en ligne bas sur le protocole OCSP (Online Certificate Status Protocol) peut tre utilis pour grer et distribuer des informations sur ltat de rvocation dans les cas o lutilisation de CRL conventionnelles ne serait pas une solution optimale. Des rpondeurs en ligne peuvent tre configurs sur un seul ordinateur ou dans un tableau de rpondeurs en ligne.
504
Service NDES (Network Device Enrollment Service) : dans Windows Server 2008, le service NDES est limplmentation Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol), un protocole de communication qui permet aux logiciels excuts sur des priphriques rseau, tels que les routeurs et les commutateurs qui ne peuvent pas tre authentifis autrement sur le rseau, dobtenir des certificats x509 auprs dune autorit de certification. Web Enrollment : le nouveau contrle Web Enrollment (inscription par le Web) est plus sr, plus facile rdiger en script et plus facile mettre jour que sa version antrieure. Stratgie de groupe et PKI : des paramtres de certificat dans la stratgie de groupe permettent aux administrateurs de grer les paramtres de certificat partir dun emplacement central pour tous les ordinateurs du domaine.
505
Chapitre 12
En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs des services de domaine Active Directory (AD DS) de Microsoft quun contrleur de domaine rinscriptible renferme. Cependant, les clients ne peuvent pas inscrire de modifications directement dans un RODC. Comme les modifications ne peuvent pas tre inscrites directement dans le RODC et que, par consquent, leur source nest pas locale, les contrleurs de domaine rinscriptibles qui sont des partenaires de rplication nont pas besoin dextraire des modifications du RODC. La sparation des rles dadministrateur spcifie que nimporte quel utilisateur de domaine peut tre dlgu pour tre ladministrateur local dun RODC sans que cet utilisateur ne bnficie de droits dutilisateur pour le domaine lui-mme ou dautres contrleurs de domaine.
Isolation du serveur : dans un scnario disolation du serveur, les serveurs spcifiques sont configurs en utilisant la stratgie dIPSec afin de naccepter que les communications authentifies issues dautres ordinateurs. Par exemple, le serveur de base de donnes peut tre configur pour naccepter que les connexions du serveur dapplication web. Isolation du domaine : pour isoler un domaine, les administrateurs peuvent utiliser lappartenance de domaine Active Directory afin de sassurer que les ordinateurs qui sont membres dun domaine nacceptent que les communications authentifies et scurises manant dautres ordinateurs membres du domaine. Le rseau isol est compos uniquement dordinateurs faisant partie du domaine. Lisolation du domaine utilise la stratgie dIPSec pour assurer la protection du trafic circulant entre les membres de domaine, y compris tous les ordinateurs clients et serveurs.
506
En rsum
12.8. En rsum
Windows Server 2008 reprsente la nouvelle gnration de Windows Server. Il offre un contrle accru de linfrastructure serveur et rseau. Il augmente la scurit en renforant le systme dexploitation et en protgeant lenvironnement rseau. Il permet galement dtre flexible en acclrant le dploiement et la maintenance des systmes informatiques, facilitant la consolidation et la virtualisation des serveurs et applications et en fournissant des outils dadministration intuitifs.
Partie
B
Active Directory
Partie
B
Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17 Chapitre 18 Chapitre 19 Chapitre 20 Chapitre 21 Chapitre 22
Active Directory
Introduction LDAP et Active Directory . . . . . . . 511 La planication dun projet Active Directory . . . . . . 535 La conception de linfrastructure logique Active Directory . 545 La conception de la topologie de sites . . . . . . . . 563 La conception et limplmentation de la structure des units dorganisation . . . . . . . . . . . . . . . . . 593 Limplmentation des serveurs dinfrastructure Active Directory . . . . . . . . . . . . . . . . . . . 613 Les fonctions et les rles dans Active Directory . . . . . 661 La maintenance dActive Directory . . . . . . . . . . 695 La scurisation dActive Directory . . . . . . . . . . 715 Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . . . . . . 733
Chapitre 13
e chapitre a pour premier objectif dintroduire les principes de base des annuaires, mais galement de prsenter le protocole LDAP, jusqu sa version 3, qui constitue une norme ouverte pour les annuaires. Dans un second temps, ce chapitre abordera la prsentation dActive Directory avec la structure logique et physique pour se terminer par un bref rsum.
513
Chapitre 13
Internet des pages jaunes (www.pagesjaunes.fr), vous retrouverez les services relatifs la restauration et aux tablissements de la restauration. Les annuaires lectroniques et en ligne ont la mme vocation que les annuaires papier, mais ils apportent en plus les avantages suivants : ils sont dynamiques, flexibles, scuriss et personnalisables.
Spcification X.501 : description des concepts X.500. Spcification X.509 : descriptions des mcanismes dauthentification X.500. Spcification X.511 : description des fonctions de recherche et de manipulation dobjets. Spcification X.518 : description des services distribus. Spcification X.519 : description des protocoles X.500 tels que DAP, DSP, DOP et DISP. Spcification X.520 : description des attributs et des classes X.500. Spcification X.525 : description des mcanismes de rplication X.500. Spcification X530 : description des services dadministration des annuaires X.500.
j j j j j
Comme vous pouvez le constater, le protocole X.500 a t conu ds le dpart pour offrir aux services dannuaires des services complets et sophistiqus. Annuaire du monde OSI, il repose sur les services de la couche 7 (application) du modle ISO de lOSI. Cependant, ce cahier des charges norme et sa complexit de mise en uvre seront les causes des nombreux problmes de fonctionnement et de performance des premires versions dannuaire X.500. En raison de son cot, il sera rserv aux grands comptes exigeants, comme les oprateurs de tlcommunication, pour lesquels il a t initialement conu. Malgr une couverture fonctionnelle complte, il naura pas connu le succs escompt. De plus, le principal inconvnient viendra du fait que seuls les protocoles ISO taient reconnus. Au commencement de lInternet, certains disaient mme que le rve secret des architectes de lOSI aurait t que X.500 supplante TCP/IP ! En fait, cela narrivera jamais et, bien au contraire, les implmentations X.500 les plus modernes seront petit petit adaptes pour prendre en charge TCP/IP.
514
La premire spcification a t publie en 1993 sous la RFC 1487. La spcification LDAPv2 publie sous la RFC 1777 sera la premire version approuve par lindustrie. La RFC 1778 (String Representation of Standard Attribute Syntaxes) et la RFC 1779 (String Representation of Distinguished Mane) participent aussi la clarification des syntaxes reconnues. La spcification LDAPv3 est publie en 1997 sous la RFC 2251. Cette version amliorera de manire significative LDAPv2 dans les domaines suivants Lextensibilit plus importante : le protocole LDAPv3 peut tre tendu pour prendre en charge de nouvelles oprations laide de nouveaux contrles. De cette manire, les services LDAP pourront tre tendus au fur et mesure que ce sera ncessaire. La dcouverte des fonctionnalits et du schma disponible : les serveurs LDAPv3 disposent dune nouvelle entre dans lannuaire appele "RootDSE" (Root Directory Server Specific Entry). Ce nouvel lment permet la publication de nombreuses informations spcifiques, par exemple les informations de schma ou les contrles disponibles. Cette fonctionnalit permet aux clients LDAP de mieux ngocier les fonctionnalits et les services disponibles par tel ou tel serveur dannuaires LDAP. Une meilleure gestion des authentifications : LDAPv3 implmente le support de SASL (Simple Authentification and Security Layer) et de TLS (Transport Layer Security). La gestion des rfrences : LDAPv3 implmente un mcanisme de gestion des rfrences qui permet aux serveurs LDAP de renvoyer des rfrences vers dautres serveurs LDAP. Le support des jeux de caractres Unicode : le support du jeu de caractres UTF-8 permet au protocole LDAP de manipuler des donnes quel que soit le langage utilis.
Comme LDAPv2, le protocole LDAPv3 ncessite un certain nombre de clarifications, lesquelles sont publies dans les RFC suivantes
j j j
RFC 2252 : Attribut Syntax Definitions. RFC 2253 : UTF-8 String Representation of Distinguished Names. RFC 2254 : String Representation of LDAP Search Filters. 515
Chapitre 13
j j j j
RFC 2255 : The LDAP URL Format. RFC 2256 : A Summary of X.500 (96) User Schema for Use with LDAPv3. RFC2829 : Authentication Methods for LDAP. RFC2830 : Extensions for Transport Layer Security. Adresse de rfrence des RFC Voici une adresse incontournable pour les RFC, mais surtout pour les RFC traduites en franais : http ://abcdrfc.free.fr.
Le standard LDAP v3
Le standard LDAP v3 est constitu de plusieurs spcifications dont certaines sont ltat de standard propos (premire tape avant de devenir un standard Internet part entire), dautres sont ltat exprimental ou ont un simple statut dinformation. Vous trouverez dans le tableau suivant les principales spcifications existant ce jour ainsi que leurs tats respectifs : 13. Introduction LDAP et Active Directory
Tableau 13.1 : Spcifications du standard LDAP v3
Numro RFC 1823 Titre The LDAP Application Program Interface Using Domains in LDAP /X.500 Distinguished Name Description Description de linterface de programmation pour laccs aux services dun annuaire LDAP. Date Aot 1995 Statut Information
RFC 2247
Janvier 1998 Ce document dcrit comment tablir la correspondance entre un nom de domaine Internet (par exemple, NomSociete.com) et un DN (Distinguished Name), racine de larbre LDAP de ce domaine. Ce document dcrit les lments du protocole LDAP, ainsi que lensemble des fonctions, leurs paramtres et leurs codes retour. Ce document dcrit la syntaxe des attributs et lensemble des attributs normaliss qui doivent tre pris en charge pour les serveurs LDAP. Dcembre 1997
Standard propos
RFC 2251
Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (v3)
Standard propos
RFC 2252
Dcembre 1997
Standard propos
516
Description Ce document dcrit la syntaxe UTF-8 pour la prise en charge du multilinguisme dans les requtes LDAP.
RFC 2254
The String Ce document dcrit la syntaxe Representation des filtres de recherche dans une of LDAP requte LDAP. Search Filters The LDAP URL Format Ce document dcrit le format des URL permettant dinterroger un annuaire LDAP partir dun navigateur Web ou de toute application HTTP.
Dcembre 1997
Standard propos
RFC 2255
Dcembre 1997
Standard propos
RFC 2256
A Summary of the X.500 (96) User Schema for Use With LDAP v3 An Approach for Using LDAP as a Network Information Service Internet .X509 Public Key Infrastructure LDAP v2 Schema Lightweight Directory Access Protocol (v3)
Ce document dcrit les attributs Dcembre 1997 normaliss dans le standard X500 et communment utiliss dans les annuaires LDAP. Ce document tablit une correspondance entre des attributs et des classes dobjets LDAP et NIS. Rappelons que NIS est une sorte dannuaire de ressources, implment dans la majorit des systmes Unix. Ce document dcrit les attributs et les objets requis pour grer dans un annuaire LDAP des certificats X509. Mars 1998
Standard propos
RFC 2307
Exprimental
RFC 2587
Juin 1999
Standard propos
RFC 2589
Ce document dcrit une extension Mai 1999 du protocole LDAP permettant de grer des donnes volatiles (ou dynamiques) dans lannuaire. Par exemple une adresse IP attribue dynamiquement par un rseau un utilisateur peut tre sauvegarde dans lannuaire et tre rattach lentre qui dcrit cet utilisateur. Mais elle a une dure de vie limite, et change chaque fois que lutilisateur se reconnecte au rseau.
Standard propos
517
Chapitre 13
Titre Use of Language Codes in LDAP An LDAP Control and Schema for Holding Operation Signatures
Description Ce document dcrit la faon de dsigner laide dune codification la langue utilise dans les requtes LDAP.
RFC 2649
Ce document dcrit une extension Aot 1999 du protocole LDAP permettant de signer les informations sauvegardes dans lannuaire. Cette signature permet de sassurer de lintgrit des donnes et de leur appartenance leur auteur, en se basant sur des certificats. Ce document dcrit une extension Septembre 1999 du protocole LDAP permettant de contrler la taille des rponses renvoyes suite une recherche. Ce document dfinit des classes dobjets permettant de dcrire des objets Java dans un annuaire LDAP. Octobre 1999
Exprimental
RFC 2696
LDAP Control Extension for Simple Paged Results Manipulation Schema for Representing Java Y Objects in LDAP Directory Schema for Representing CORBA Object References in an LDAP Directory
Information
RFC 2713
Information
RFC 2714
Ce document dfinit des classes dobjets permettant de dcrire des objets CORBA dans un annuaire LDAP.
Octobre 1999
Information
Lensemble de ces spcifications a favoris lmergence de produits qui prennent en charge le standard LDAP en mode natif. Plutt que de dvelopper des interfaces LDAP des annuaires existants ou des bases de donnes, les diteurs de solutions ont prfr de nouveaux produits optimiss pour ce standard. Cest le cas de Microsoft avec Active Directory (AD), dIBM avec Secure Way, diPlanet avec iPlanet Directory Server, et de bien dautres encore. Notons enfin que ce standard est actuellement adopt par la majorit des acteurs du march, et quil est dores et dj intgr dans leurs produits. Citons titre dexemple Novell, IBM, Oracle, Microsoft, iPlanet, Lotus, HP, etc. Comme vous pouvez le constater dans la liste des spcifications du standard LDAP v3, ce standard volue constamment. Aucune version 4 nest prvue pour le moment, car la
518
plupart des volutions sont soit des modifications du schma, soit de nouveaux services quil est possible de solliciter travers les extensions LDAP. On entend par extensions, de nouvelles fonctions offertes travers une opration particulire prvue dans le standard LDAP v3, permettant dexcuter des traitements dans un serveur dannuaire, qui ne font pas partis du standard lui-mme. Un groupe de travail de lIETF, nomm LDAPEXT, uvre normaliser ces extensions. Ainsi, il nest pas ncessaire, pour le moment, de modifier la structure du standard LDAP. Il est tout fait possible avec la version actuelle de faire voluer le schma si celui-ci drive du schma propos dans le standard, et de faire appel de nouvelles fonctions travers les interfaces dj prvues cet effet.
Support des entres dynamiques : lannuaire Active Directory peut stocker les valeurs dentres dynamiques en leur assignant une dure de vie (TTL). De cette manire, ces valeurs peuvent tre automatiquement dtruites lors de lexpiration du TTL. Support du protocole TLS (Transport Layer Security) : les connexions vers lActive Directory via le protocole LDAP peuvent tre dsormais cryptes et authentifies laide du support TLS. Support des authentifications DIGEST-MD5 : les connexions vers lActive Directory via le protocole LDAP peuvent dsormais tre authentifies laide du mcanisme dauthentification SASL-DIGEST-MD5 (SASL, Simple Authentication and Security Layer). Linterface Windows Digest SSPI (Security Support Provider Interface) permet dutiliser des authentifications de type DIGEST-MD5 en tant que mthode de type SASL.
519
Chapitre 13
Support des vues virtuelles : il sagit dune optimisation du traitement des rponses aux requtes LDAP. Par exemple, lorsquune requte doit retourner vers le client un rsultat trop volumineux, lide consiste lui retourner seulement le contenu dune fentre de valeurs plutt que lintgralit de la rponse. De cette manire, le client voit le rsultat instantanment et la surcharge sur le rseau est contenue. Bind LDAP multiples : cette fonctionnalit permet un client de raliser plusieurs Bind LDAP au travers de la mme connexion pour pouvoir authentifier les utilisateurs.
Le tableau suivant liste les diffrentes RFC LDAP reconnues par limplmentation de lannuaire Active Directory de Windows 2000 Server.
Tableau 13.2 : Principales RFC LDAP prises en charge par lannuaire Active Directory
Le tableau suivant liste les diffrentes RFC LDAP additionnelles reconnues par limplmentation de lannuaire Active Directory de Windows 2000 Server.
Tableau 13.3 : RFC LDAP additionnelles prises en charge par lannuaire Active Directory
520
Support des RFC Lensemble des RFC prises en charge par limplmentation de LDAP sous Windows 2000 Server est accept par Windows Server 2003. Le tableau suivant liste les diffrentes RFC LDAP reconnues par limplmentation de lannuaire Active Directory de Windows Server 2003.
Tableau 13.4 : RFC LDAP additionnelles prises en charge par lannuaire Active Directory
Cependant, tout le monde le sait, les technologies passent par des tapes intermdiaires ncessaires, lesquelles gnrent souvent des problmes de compatibilit. Cest le cas avec les problmes gnrs par la classe InetOrgPerson dfinie dans la RFC 2798.
521
Chapitre 13
Lannuaire Active Directory respecte toutes les RFC fondamentales traitant du protocole LDAP et tout particulirement la RFC 3377 qui dfinit les spcifications du protocole LDAPv3. La classe InetOrgPerson est dfinie dans la RFC 2798, laquelle est considre comme une extension de LDAPv3 et, de ce fait, elle nest donc pas incluse dans la RFC 3377 qui dcrit les spcifications LDAPv3. La classe InetOrgPerson dfinie dans la RFC 2798 na t publie par lIETF quen avril 2000 alors que Windows 2000 Server tait livr en fvrier de la mme anne, ce qui videmment rend impossible la prise en charge de cette classe sous Windows 2000 Server. En cas de ncessit, il est toujours possible dtendre le schma de lActive Directory pour y ajouter une nouvelle classe. Microsoft a livr quelque temps aprs la sortie de Windows 2000 Server un complment logiciel capable dintgrer cette nouvelle classe dans le schma Active Directory. Ce complment logiciel sappelle "Windows 2000 InetOrgPerson Kit", il est disponible gratuitement sur le site de Microsoft. Le schma Active Directory de Windows Server 2003 intgre la dfinition complte de la classe InetOrgPerson ainsi que lintgralit des fonctions dadministrations relatives cette classe.
j j
Finalement, nous pourrions en conclure que cette classe a toujours t reconnue sous Windows 2000 Server, mais quelle na rellement t intgre la base que sous Windows Server 2003.
522
Active Directory
Lvolutivit
Le service dannuaire doit tre galement en mesure de faire face la croissance du rseau sans quil soit trop surcharg. Cela implique que lon puisse partitionner la base de donnes dannuaire de faon ce quelle naugmente pas au point de devenir instable. Rassurez-vous, cela ne sera jamais le cas pour un trs grand nombre de petites et moyennes entreprises, particulirement en France. Pour information, Microsoft supporte des bases de donnes pouvant aller jusqu 1 million dobjets et des tests avec plusieurs dizaines de millions dobjets ont dj t raliss avec succs.
La standardisation
Le service dannuaire doit aussi permettre laccs ses donnes via des normes ouvertes. Cela garantit que dautres applications pourront utiliser les ressources de lannuaire au lieu de grer des annuaires spcifiques. Active Directory repose sur des protocoles daccs standardiss comme LDAP version 3 et NSPI (Name Service Provider Interface). noter que le protocole NSPI, qui est exploit par les clients Microsoft Exchange Server 5.x, est pris en charge par Active Directory, ce qui permet la compatibilit avec lannuaire Exchange.
Lextensibilit
Le service dannuaire doit permettre aux administrateurs et aux applications dajouter toutes sortes de donnes en fonction des besoins de lentreprise.
523
Chapitre 13
La scurit
Le service dannuaire pourrait permettre un intrus de tout savoir sur lentreprise. Il est donc impratif que le service dannuaire dispose de moyens pour scuriser le stockage. Pour y rpondre, Active Directory est intgr la scurit de Windows Server 2003, et il est possible de dfinir un contrle daccs pour tout objet de lannuaire et pour chaque proprit des objets. Il est possible dappliquer des stratgies de scurit localement ou lchelle dun site, dun domaine ou dune unit organisationnelle. Le trafic LDAP est sign et crypt. Par dfaut, les outils Active Directory de Windows Server 2003 signent et cryptent tout le trafic LDAP. Cela garantit que les donnes proviennent dune source connue et quelles nont pas subi daltrations. Active Directory prend en charge plusieurs protocoles dauthentification, comme Kerberos, version 5, SSL, version 3, avec les certificats X.509, version 3. Active Directory permet galement de mettre en place des groupes de scurit qui stendent sur plusieurs domaines.
Les objets
Dans Active Directory, les ressources sont stockes sous forme dobjets. Lobjet tant le composant dActive Directory le plus facile dcrire puisquil reprsente en gnral une ressource concrte. Dans Active Directory, les objets sont stocks dans une structure hirarchique de conteneurs et de sous-conteneurs qui facilite ladministration. Il serait simple de comparer cela au systme de dossiers dans Windows. Il est possible de tailler cette structure sur mesure pour pouvoir rpondre aux besoins de lentreprise, mais aussi pour quelle sadapte aux diffrentes volutions sans trop de contraintes.
j
Les classes dobjets : un objet nest en fait quune collection dattributs. Ainsi un objet utilisateur est fait dattributs du genre nom, mot de passe, appartenance de groupe, etc. Les attributs dun objet sont dfinis via une classe dobjets. La classe utilisateur, par exemple, spcifie les attributs constituant lobjet utilisateur. Les classes dobjets permettent de regrouper les objets en fonction de leurs
524
Active Directory
similitudes. Ainsi, tous les objets utilisateur sont dfinis par la classe dobjet utilisateur. Quand vous crez un nouvel objet, il hrite automatiquement des attributs de sa classe. Microsoft dfinit un ensemble basique de classes dobjets avec leurs attributs utiliss par Active Directory sous Windows Server 2003. Active Directory tant extensible, les administrateurs et les applications peuvent naturellement modifier les classes dobjet ainsi que les attributs dfinis par ces classes.
j
Le schma Active Directory : les classes et les attributs quelles dfinissent sont dsigns collectivement par lappellation de "schma Active Directory" (dans la terminologie des bases de donnes, le schma est la structure des tables et des champs avec leurs interrelations). Vous pouvez vous reprsenter Active Directory comme un ensemble de donnes (classes dobjets) qui dfinissent la faon selon laquelle les donnes relles de lannuaire (attributs des objets) sont structures et stockes.
Presque tout dans Active Directory est un objet, y compris le schma lui-mme. linstar de tous les autres objets, le schma est protg par des listes de contrles daccs (ACL) administres par le sous-systme de scurit de Windows Server 2003. Les utilisateurs et les applications munis de permissions appropries peuvent lire le schma, voire le modifier. 13. Introduction LDAP et Active Directory
Les domaines
Un domaine est une partition dans une fort Active Directory. Le partitionnement des donnes permet aux organisations de rpliquer des donnes uniquement l o elles sont requises. De cette manire, lannuaire peut stendre globalement sur un rseau qui possde une bande passante limite. En outre le domaine prend en charge un certain nombre dautres fonctions centrales lies ladministration, dont
j
Lidentit dutilisateur de niveau rseau : les domaines permettent de crer des identits dutilisateurs une fois, puis de le rfrencer sur nimporte quel ordinateur joint la fort dans laquelle le domaine se trouve. Les contrleurs de domaine qui constituent un domaine sont utiliss pour stocker de manire scurise les comptes dutilisateurs et les informations dauthentification comme les mots de passe ou les certificats. Lauthentification : les contrleurs de domaine offrent des services dauthentification pour les utilisateurs et fournissent des donnes dautorisation supplmentaires, comme des appartenances de groupes dutilisateurs, qui peuvent tre utilises pour contrler laccs aux ressources sur le rseau. La relation dapprobation : les domaines peuvent tendre les services dauthentification aux utilisateurs dans des domaines en dehors de leur propre fort grce des relations dapprobation. La rplication : le domaine dfinit une partition de lannuaire contenant suffisamment de donnes pour fournir des services de domaine et les rpliquer
525
Chapitre 13
entre contrleurs de domaines. De cette manire, tous les contrleurs de domaine sont des pairs dans un domaine et sont grs comme une unit.
Larbre
Les domaines sont organiss en une structure hirarchique appele "arbre". Mme avec un seul domaine, il y a un arbre. Le premier domaine cr dans un arbre est le domaine racine. Le domaine suivant sera un domaine enfant de la fort. Cette extensibilit, permet davoir une multitude de domaines dans un arbre.
Ce schma dexemple vous montre la reprsentation dun arbre. Dans cet exemple, puzmmania.com a t le premier domaine cr dans Active Directory, ce qui en fait le domaine racine.
526
Active Directory
Tous les domaines dun arbre se partagent le mme schma et un espace de noms connexe. Dans lexemple du schma darbre, tous les domaines situs sous le domaine racine puzzmania.com se partagent lespace de noms puzzmania.com. Possder un seul arbre peut tre bien si lentreprise emploie le mme espace de noms DNS. Par contre, pour une entreprise utilisant plusieurs espaces de noms DNS, le modle doit pouvoir staler sur plusieurs arbres Ce qui nous donne loccasion de passer au concept de fort.
Les forts
Une fort reprsente un groupe darbres qui ne forment pas un espace de noms connexe, mais qui peuvent se partager un mme schma et un mme catalogue global. Il y a toujours au moins une fort dans une infrastructure Active Directory et elle est cre lors de linstallation du premier contrleur de domaine Active Directory sur le rseau.
527
Chapitre 13
les objets quelle contient est dtermin par des listes de contrle daccs (ACL, Access Control Lists) associes lunit organisationnelle et aux objets quelle contient.
Figure 13.3 : Schma dOU
Active Directory
contient quune et une seule partition dannuaire. La combinaison des partitions des diffrents domaines de la fort reprsente lintgralit dActive Directory. Quel pourrait tre le ou les avantages partitionner lannuaire ? Lun des avantages est que vous pouvez ajouter de nouveaux domaines une fort sans surcharger de manire injustifie les domaines existants. La raison en est que lorsque lon cre une partition pour un nouveau domaine, ce sont les nouveaux contrleurs de domaine qui font la plupart des tches impliques par ladministration de la nouvelle partition.
Les sites
Par dfinition, un site est une combinaison dun ou plusieurs sous-rseaux IP relis par une liaison fiable et rapide permettant de localiser autant de trafic rseau que possible. En rgle gnrale, un site prsente les mmes limites quun rseau local (LAN). Lorsque vous regroupez des sous rseaux de votre rseau, vous ne devez combiner entre eux que des sous-rseaux quips de connexions rapides. On peut considrer comme rapides les connexions qui seffectuent au moins 512 kbits/s. Avec Active Directory, les sites ne font pas partie de lespace de noms. Lorsque vous parcourez lespace de noms logique, vous ne voyez pas de sites. Vous ne voyez que les utilisateurs et les ordinateurs regroups en domaine et en OU.
Figure 13.4 : Site dans Active Directory
Les sites ne contiennent que les objets ordinateurs et connexions utiliss pour configurer la rplication entre les sites.
Chapitre 13
Considrations sur les sites Un seul domaine peut stendre sur plusieurs sites gographiques et un seul site gographique peut inclure des comptes dutilisateurs et dordinateurs appartenant plusieurs domaines. Les sites servent surtout contrler le trafic de rplication. Les contrleurs de domaine dun site disposent dune grande latitude pour rpliquer les modifications apportes la base de donnes Active Directory chaque fois quil y a des modifications. Les contrleurs de domaine situs sur des sites diffrents compressent le trafic de rplication et oprent selon une planification prdfinie, tout cela afin de rduire le trafic rseau. Cette rplication peut tre planifie par dfaut (cest--dire toutes les 3 heures) ou bien tre planifie par ladministrateur selon ses besoins. 13. Introduction LDAP et Active Directory
Cration de site et site par dfaut Si vous ne crez pas vous-mme votre propre site dans Active Directory, tous les contrleurs de domaine appartiendront automatiquement un mme site, par dfaut appel "Premier-Site-par-dfaut", qui est cr en mme temps que le premier domaine.
Pour plus dinformations sur les sites et la topologie de site, reportez-vous au chapitre La conception de la topologie des sites.
Active Directory
imprimantes partages et dautres informations publies. Un domaine doit avoir au moins un contrleur de domaine, cest une obligation. En fait, cest en promouvant un serveur Windows Server 2003 autonome au rle de contrleur de domaine que le domaine est cr. Cependant, pour des questions de redondance, il est fortement recommand davoir au moins deux contrleurs de domaine par domaine pour chaque domaine. Si votre entreprise est constitue de plusieurs sites relis par des liaisons WAN lentes, il sera judicieux alors de placer galement un contrleur de domaine sur chaque site afin de rduire le trafic douverture de session sur le WAN.
Les rles matres au niveau de la fort sont au nombre de deux dans la fort entire. Les rles matres au niveau du domaine sont au nombre de trois par domaine.
Un contrleur de domaine peut-tre propritaire dun ou de plusieurs rles tout en respectant des rgles bien prcises. Ces rles matres jouent un rle (comme leur nom lindique) au niveau de linfrastructure Active Directory. 13. Introduction LDAP et Active Directory
Pour plus dinformations sur la rpartition des rles matres, reportez-vous au chapitre La conception de la topologie des sites.
Le matre de schma : le premier contrleur de domaine de la fort tient le rle de matre de schma. Il est charg de grer et de distribuer le schma au reste de la fort. Il gre la liste de toutes les classes dobjets et de tous les attributs dfinissant les objets rencontrs dans Active Directory. Le matre de schma doit tre oprationnel pour que lon puisse actualiser ou modifier le schma. Le matre dattribution de noms de domaine : ce contrleur enregistre les ajouts et les suppressions de domaines dans la fort, il est vraiment vital pour la prservation de lintgrit de domaine. Le matre dattribution de noms de domaine est consult chaque fois que lon ajoute de nouveaux domaines la fort. En cas dindisponibilit de ce rle matre, il sera impossible dajouter de nouveaux domaines.
Le matre dID relatifs : il alloue des squences dID relatifs chacun des diffrents contrleurs de son domaine. tout moment, il ne peut exister quun seul contrleur de domaine jouant se rle de matre RID dans chaque domaine de la fort. Quand un contrleur de domaine cre un utilisateur, un groupe ou un ordinateur, il assigne 531
Chapitre 13
cet objet un ID de scurit unique. LID de scurit se compose dun ID de scurit de domaine qui est identique tous les ID de scurit dans le domaine, et un ID relatif qui est unique pour chaque ID cr dans le domaine.
j
Lmulateur de contrleur principal de domaine (CDP) : ce contrleur de domaine a la charge dmuler un CDP (contrleur de domaine principal) Windows NT 4.0 pour les clients nayant pas encore migr vers une des versions de Windows 2000, Windows Server 2003 ou Windows XP et qui nexcutent pas de logiciel client pour les services dannuaire. Lune des grandes fonctions de lmulateur PDC est de contrler louverture de session pour les clients antrieurs Windows 2000. Lmulateur de PDC est consult galement si un client narrive pas se faire authentifier. Cela donne lopportunit de voir sil y a eu des modifications de mots de passe de dernire minute pour les anciens clients du domaine (avant Windows 2000) avant de rejeter louverture de session. Le matre dinfrastructure : ce contrleur de domaine enregistre les modifications apportes aux objets du domaine. Toutes les modifications sont dabord signales au matre dinfrastructure, avant dtre rpliques vers les autres contrleurs de domaine. Le matre dinfrastructure gre les groupes et les appartenances de groupe concernant les objets du domaine. Le matre dinfrastructure a aussi pour rle dinformer les autres domaines des modifications apportes aux objets.
Le catalogue global
Le catalogue global est une rplique partielle des attributs le plus souvent recherchs de tous les objets de tous les domaines de la fort. Lobjectif du catalogue global est daugmenter la rapidit des recherches mises sur Active Directory, en particulier les requtes concernant la fort entire et les tentatives douvertures de sessions interdomaines. Le catalogue global rside sur un ou plusieurs contrleurs de domaine dun site ou dun domaine. Un serveur qui contient le catalogue global est appel serveur de catalogue global. Les serveurs de catalogue global contiennent les objets Active Directory suivants :
j j
La rplique complte de tous les objets de leur propre domaine ; la rplique partielle de tous les objets de la fort de tous les contextes de nommage.
Par dfaut, le premier contrleur de domaine du premier domaine (domaine racine de la fort) est configur automatiquement comme serveur de catalogue global. Tout autre contrleur de domaine peut tre serveur de catalogue global condition dtre configur pour cela.
Pour configurer un serveur en tant que serveur de catalogue global, reportez-vous au chapitre Ladministration et la gestion des sites du volume II de cet ouvrage.
532
Active Directory
La rplication intrasite : elle envoie le trafic de rplication sous forme non compresse dans la mesure o tous les contrleurs de domaine du mme site sont relis par des liaisons haut dbit. La rplication fonctionne alors avec un mcanisme de notifications. Cela veut dire plus simplement quen cas de modifications faites sur le domaine, celles-ci sont rapidement rpliques vers les autres contrleurs de domaine du mme site. La rplication intersite : elle compresse tout le trafic de rplication car celui-ci transite travers les liens WAN. Il est possible de planifier la rplication intersite pour que celle-ci rplique aux heures les plus justes ou simplement laisser les paramtres par dfaut, cest--dire toutes les 3 heures.
Figure 13.7 : plages horaires de rplication
Pour plus dinformations sur les concepts de rplication, reportez-vous au chapitre La conception de la topologie des sites.
533
Chapitre 13
13.3. En rsum
Ce chapitre vous a prsent les bases et les dfinitions du protocole LDAP et surtout dActive Directory. Tout cela vous sera trs utile pour la suite et plus particulirement dans votre activit professionnelle. Prenez le temps daller sur Internet et de lire les RFC si vous souhaitez approfondir le sujet. Cela vous permettra daborder les problmatiques dannuaire avec un certain recul et un regard avis. Maintenant que vous avez les bases, mettez tout cela en pratique en attaquant la conception de linfrastructure dannuaire de la socit Puzzmania.
Chapitre 14
Vue densemble
vant daborder en dtail (dans les chapitres suivants) la conception technique dActive Directory, ce chapitre va vous permettre daborder globalement la planification dun projet Active Directory. Implmenter Active Directory, cest matriser non seulement des aspects techniques, mais aussi la gestion de projet, llaboration du planning, lencadrement des ressources humaines qui travailleront ainsi que la rdaction de toute la documentation qui laccompagne. Cette vision globale vous permettra daborder aussi bien un projet Active Directory Windows Server 2003 que Windows Server 2008.
crent la structure du domaine et de la fort et dploient les serveurs ; crent la structure de lunit dorganisation ; crent les comptes dutilisateur et dordinateur ; crent les groupes de scurit et de distribution crent les objets Stratgie de groupe (GPO) quils appliquent aux domaines, aux sites et aux units dorganisation ; crent les stratgies de distribution de logiciels.
537
Chapitre 14
Collecte dinformations sur lentreprise : cette premire tche dfinit les besoins en service dannuaire et les besoins de lentreprise concernant le projet. Les informations sur lorganisation incluent notamment un profil organisationnel de haut niveau, les implantations gographiques de lentreprise, linfrastructure technique et du rseau et les plans lis aux modifications apporter dans lentreprise. Analyse des informations sur lorganisation : vous devez analyser les informations collectes pour valuer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite dterminer quelles sont les informations les plus importantes et quels composants de la conception dActive Directory ces informations affecteront. Soyez prt appliquer ces informations dans lensemble du processus de conception. Analyse des options de conception : lorsque vous analysez des besoins dentreprise spcifiques, plusieurs options de conception peuvent y rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais dune conception de domaine ou dune structure dunit dorganisation. Comme chacun de vos choix affecte les autres composants de la conception, restez flexible dans votre approche de la conception durant tout le processus.
538
Slection dune conception : dveloppez plusieurs conceptions dActive Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous slectionnez une conception, analysez les besoins dentreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut quaucune des conceptions soumises ne fasse lunanimit. Choisissez la conception qui rpond le mieux vos besoins dentreprise et qui reprsente globalement le meilleur choix. Affinage de la conception : la premire version de votre plan de conception est susceptible dtre modifie avant la phase pilote de limplmentation. Le processus de conception est itratif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins dentreprise.
La conception du domaine et de la fort : la conception de la fort inclut des informations comme le nombre de forts requis, les consignes de cration des approbations et le nom de domaine pleinement qualifi pour le domaine racine de chaque fort. La conception inclut galement la stratgie de contrle des modifications de la fort, qui identifie les processus de proprit et dapprobation pour les modifications de la configuration prsentant un impact sur toute la fort. Identifiez la personne charge de dterminer la stratgie de contrle des modifications de chaque fort dans lorganisation. Si votre plan de conception comporte plusieurs forts, vous pouvez valuer si des approbations de forts sont requises pour rpartir les ressources du rseau parmi les forts. La conception du domaine indique le nombre de domaines requis dans chaque fort, le domaine qui sera le domaine racine pour chaque fort et la hirarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut galement le nom DNS pour chaque domaine et les relations dapprobation entre domaines. La conception de lunit dorganisation : elle indique comment vous crerez les units dorganisation pour chaque domaine dans la fort. Incluez une description de lautorit dadministration qui sera applique chaque unit dorganisation, et qui cette mme autorit sera dlgue. Pour finir, incluez la stratgie utilise pour appliquer la stratgie de groupe la structure de lunit dorganisation. La conception du site : elle spcifie le nombre et lemplacement des sites dans lorganisation, les liens requis pour relier les sites et le cot de ces liens.
539
Chapitre 14
fonctionnels pour un composant spcifique de limplmentation dActive Directory. Ces plans sont tout autant de documents trs importants conserver et archiver soigneusement. Un plan Active Directory inclut les composants suivants
j
Stratgie de compte : elle inclut des informations comme les consignes dattribution de nom aux comptes et la stratgie de verrouillage, la stratgie en matire de mots de passe et les consignes portant sur la scurit des objets. Stratgie daudit : elle dtermine le suivi des modifications apportes aux objets Active Directory. Plan dimplmentation dunit dorganisation : il dfinit quelles units dorganisation crer et comment. Par exemple, si la conception dunit dorganisation spcifie que ces units seront cres gographiquement et organises par division lintrieur de chaque zone gographique, le plan dimplmentation des units dorganisation dfinit les units implmenter, telles que celles des ventes, des ressources humaines et de production. Le plan fournit galement des consignes portant sur la dlgation dautorit. Plan de stratgie de groupe : il dtermine qui cre, relie et gre les objets de stratgie de groupe, et comment cette stratgie sera implmente. Plan dimplmentation du site : il spcifie les sites, les liens qui les relient, et les liaisons de sites planifies. Il spcifie galement la planification et lintervalle de rplication ainsi que les consignes en matire de scurisation et de configuration de la rplication entre sites. Plan de dploiement de logiciels : il spcifie comment vous utiliserez la stratgie de groupe pour dployer de nouveaux logiciels et des mises niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de logiciels sont obligatoires ou facultatives. Plan de placement des serveurs : il spcifie le placement des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS intgrs Active Directory et des matres doprations. Il spcifie galement si vous activerez la mise en cache des appartenances un groupe universel pour les sites ne possdant pas de serveur de catalogue global.
j j
j j
Lorsque tous les plans de composant sont termins, vous devez les combiner pour former le plan complet dimplmentation dActive Directory. Si la taille de votre entreprise ne ncessite pas des documents distincts pour tous ces plans, vous ne pouvez crer quun seul et unique document qui combine les diffrents plans en chapitres du mme document matre. Une fois le plan dimplmentation dActive Directory en place, vous pouvez commencer implmenter Active Directory conformment votre plan de conception. Vous devez excuter les tches suivantes pour implmenter Active Directory
540
Implmentation de la fort, du domaine et de la structure DNS : crez le domaine racine de la fort, les arborescences de domaines et tout autre domaine enfant constituant la fort et la hirarchie des domaines. Cration des units dorganisation et des groupes de scurit : crez la structure dunit dorganisation pour chaque domaine dans chaque fort, crez des groupes de scurit et dlguez lautorit administrative des groupes administratifs dans chaque unit dorganisation. Cration des comptes dutilisateur et dordinateur : importez les comptes dutilisateur dans Active Directory. Cration des objets Stratgie de groupe : crez des objets Stratgie de groupe bass sur la stratgie de groupe, puis reliez-les des sites, des domaines ou des units dorganisation. Implmentation des sites : crez des sites en fonction du plan des sites, crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et dployez sur les sites des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS et des matres doprations.
j j
Accs pour les utilisateurs et les applications aux informations concernant des objets : ces informations sont stockes sous forme de valeurs dattributs. Vous pouvez rechercher des objets selon leur classe dobjet, leurs attributs, leurs valeurs 541
Chapitre 14
dattributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs.
j
Transparence des protocoles et de la topologie physique du rseau : un utilisateur sur un rseau peut accder toute ressource, une imprimante par exemple, sans savoir o celle-ci se trouve ou comment elle est connecte physiquement au rseau. Possibilit de stockage dun trs grand nombre dobjets : comme il est organis en partitions, Active Directory peut rpondre aux besoins issus de la croissance dune organisation. Par exemple, un annuaire peut ainsi passer dun serveur unique contenant quelques centaines dobjets des milliers de serveurs contenant des millions dobjets. Possibilit dexcution en tant que service indpendant du systme dexploitation : ADAM (Active Directory Application Mode) est une nouvelle fonctionnalit dActive Directory de Windows Server 2003 permettant de rsoudre certains scnarios de dploiement lis des applications utilisant un annuaire. ADAM sexcute comme un service indpendant du systme dexploitation qui, en tant que tel, ne ncessite pas de dploiement sur un contrleur de domaine. Lexcution en tant que service indpendant du systme dexploitation signifie que plusieurs instances ADAM peuvent sexcuter simultanment sur un serveur unique, chaque instance tant configurable de manire indpendante.
Dnition du schma
14. La planification dun projet Active Directory Le schma Active Directory dfinit les genres dobjets, les types dinformations concernant ces objets, et la configuration de scurit par dfaut pour les objets pouvant tre stocks dans Active Directory. Le schma Active Directory contient les dfinitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stocks dans Active Directory. Les contrleurs de domaine excutant Windows Server 2003 ne comportent quun seul schma pour toute une fort. Ainsi, tous les objets crs dans Active Directory se conforment aux mmes rgles. Le schma possde deux types de dfinitions : les classes dobjets et les attributs. Les classes dobjets, comme utilisateur, ordinateur et imprimante, dcrivent les objets dannuaire possibles que vous pouvez crer. Chaque classe dobjet est un ensemble dattributs. Les attributs sont dfinis sparment des classes dobjets. Chaque attribut nest dfini quune seule fois et peut tre utilis dans plusieurs classes dobjets. Par exemple, lattribut Description est utilis dans de nombreuses classes dobjets, mais il nest dfini quune seule fois dans le schma afin de prserver la cohrence. Vous pouvez crer de nouveaux types dobjets dans Active Directory en dveloppant le schma. Par exemple, pour une application de serveur de messagerie comme Exchange, vous pouvez dvelopper la classe dutilisateur dans Active Directory en lui ajoutant de nouveaux attributs stockant des informations supplmentaires, telles que les adresses de messagerie des utilisateurs. On appelle cela "tendre le schma".
542
Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des modifications apportes un schma en les dsactivant, permettant ainsi aux organisations de mieux exploiter les fonctionnalits dextensibilit dActive Directory (ce ntait pas le cas sous Windows 2000). Vous pouvez galement redfinir une classe ou un attribut de schma.
les attributs les plus frquemment utiliss dans les requtes, comme le nom et le prnom dun utilisateur, et son nom douverture de session ; les informations requises pour dterminer lemplacement de tout objet dans lannuaire ; un sous-ensemble dattributs par dfaut pour chaque type dobjet ; les autorisations daccs pour chaque objet et attribut stock dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possdez pas les autorisations de visualisation requises, cet objet napparatra pas dans les rsultats de la recherche. Les autorisations daccs garantissent que les utilisateurs ne pourront trouver que les objets pour lesquels ils possdent un droit daccs.
Un serveur de catalogue global est un contrleur de domaine qui traite efficacement les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que vous crez dans Active Directory devient automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour quilibrer le trafic li aux authentifications de connexion et aux requtes. Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes :
j j
trouver les informations Active Directory en tout point de la fort, indpendamment de lemplacement des donnes ; utiliser les informations dappartenance au groupe universel pour se connecter au rseau.
543
Chapitre 14
CN (Common Name) est le nom usuel de lobjet dans son conteneur. OU (Organizational Unit) est lunit dorganisation qui contient lobjet. Plusieurs valeurs dOU peuvent exister si lobjet se trouve dans une unit dorganisation imbrique. DC (Domain Component) est un composant de domaine, tel que com ou local. Il existe toujours au moins deux composants de domaine, voire davantage si le domaine est un domaine enfant.
Les composants de domaine du nom unique sont bass sur le DNS. Dans lexemple suivant, Ventes est le nom unique relatif dune unit dorganisation reprsente par le chemin LDAP suivant : OU=Ventes,DC=corp,DC=puzzmania,DC=com.
14.5. En rsum
Limplmentation dActive Directory, dans toute entreprise, sera considre comme un projet part entire. Il est donc intressant davoir les lments en main pour savoir comment grer, mettre en place et dmarrer rapidement un projet autour dActive Directory.
544
Chapitre 15
eprenons le cours de notre tude de cas Puzzmania. Comme vous lavez suivi, la direction et le service informatique de Puzzmania ont dcid dimplmenter une fort puzzmania.com selon un modle de racine vide avec les domaines fils corp .puzzmania.com et rd.puzzmania.com. Ce choix dcoule dun historique, dun besoin et dune orientation stratgique dentreprise. Ce chapitre explique le choix des quipes de Puzzmania en dcrivant les diffrents modles dinfrastructures logiques dActive Directory.
Faites en sorte que les besoins de lentreprise dterminent la conception. Une conception dActive Directory approprie doit satisfaire les exigences initiales. La conception du service dannuaire doit tre labore en fonction de ces besoins, et non en fonction de la technologie du service dannuaire. Traitez le processus de conception dActive Directory au fur et mesure que vous recevez des informations. En effet, vous analyserez de nouveau vos dcisions de conception lorsque vous recevrez de nouvelles informations (par exemple, lajout de pare-feu entre des sites distants). tant donn que votre conception est susceptible de changer au cours du processus, il est important de rester flexible jusqu ce que tous les besoins de lentreprise aient t considrs. Commencez par la conception la plus simple possible, soit une fort avec un seul domaine et un site unique. Dfinissez ensuite le critre li lintroduction dlments plus complexes. Tout nouvel lment que vous souhaitez ajouter, une fort, un domaine, un site ou une unit dorganisation, doit avoir un objectif dfini spcifique car la quantit dobjets augmente les cots dinfrastructure et dadministration de limplmentation. Considrez les compromis comme faisant partie intgrante de la conception de linfrastructure logique dActive Directory. Lobjectif est de crer une structure Active Directory qui rpond tous les besoins. Toutefois, ces derniers pourront
547
Chapitre 15
entraner des conflits de conception qui vous conduiront prendre des dcisions et trouver des compromis : ils font partie du jeu et vous devez les inclure tout au long de lvolution de la conception. MSF Si vous souhaitez mettre en place un projet tel que la conception et limplmentation dActive Directory au sein de votre entreprise, sachez que Microsoft a mis au point une mthode trs performante pour crer des solutions professionnelles dans les limites temporelles et budgtaires fixes. Cette mthode sappelle MSF (Microsoft Solutions Framework). Cest une approche pose et structure pour mener bien des projets technologiques. MSF coupl MOF (Microsoft Operations Framework) sapparente une mthodologie proche de celle dcrite dans le rfrentiel ITIL. Pour en savoir plus, rendez-vous ladresse www.microsoft.com/technet/itsolutions/msf/default.mspx. La suite du chapitre prsente les diffrents modles dinfrastructures afin que vous vous posiez les bonnes questions quant votre projet dentreprise et que vous dterminiez le modle le mieux adapt.
548
549
Chapitre 15
Dterminez le nombre minimal de forts requis pour rpondre aux besoins. Une seule fort permet une collaboration maximale au sein de lenvironnement et elle reprsente la configuration la plus facile et la moins coteuse grer. Elle doit tre
550
toujours voque en priorit car un nombre minimal de forts rduit la charge de gestion ncessaire la maintenance du rseau.
j
Utilisez des units dorganisation dans une fort existante base sur lorganisation pour rpondre aux besoins dautonomie des donnes. Il nest pas ncessaire de crer une nouvelle fort ou un nouveau domaine pour assurer lautonomie des donnes. Utilisez plutt des units dorganisation dans un domaine existant de la fort base sur lorganisation et dlguez-en le contrle des administrateurs. Crez une nouvelle fort base sur lorganisation ou accs restreint pour rpondre aux besoins disolation des donnes. Dterminez le type de fort en fonction du niveau de confidentialit et dintgrit requis pour les donnes isoles. En ce qui concerne les donnes trs confidentielles ou secrtes, envisagez lutilisation dune fort accs restreint. Pour tous les autres besoins disolation des donnes, utilisez une fort base sur lorganisation. Vrifiez avant tout que le besoin disolation des donnes est bien rel et que lautonomie des donnes est insuffisante avant dajouter une fort votre solution. Crez une nouvelle fort pour assurer lisolation dun service. Lisolation du service est gnralement impose par des contraintes oprationnelles ou lgales. La seule faon dassurer lisolation du service consiste crer une nouvelle fort. Pour atteindre le niveau maximal disolation du service, envisagez dutiliser un modle de fort accs restreint.
Quand vous concevrez votre fort, commencez par prendre en compte les besoins de votre entreprise en matire disolation dun service ou de donnes particulires. Dailleurs, ces deux principes disolation (service ou donnes) sont des lments dterminants lors de la conception dune fort. Aprs lanalyse de lexistant, si votre conception de fort doit comprendre une stratgie disolation dun service, suivez ces tapes : 15. La conception de linfrastructure logique Active Directory 551 1. Crez une fort supplmentaire base sur lorganisation ou une fort de ressources pour permettre lisolation du service. 2. tablissez un pare-feu entre la fort base sur lorganisation et les autres forts afin de limiter laccs dadministrateurs extrieurs aux informations contenues dans la fort. 3. Configurez les forts qui sont cres pour assurer lisolation du service de telle sorte quelles approuvent des domaines appartenant dautres forts. Assurez-vous que les utilisateurs dautres forts ne sont pas membres des groupes dadministrateurs dans les forts isoles pour viter de compromettre la scurit de ces dernires. 4. Protgez vos contrleurs de domaine contre les attaques potentielles. En ce qui concerne la protection physique, placez les contrleurs de domaine dans une salle informatique avec accs scuris. Pour ce qui est de la protection logique, placez les contrleurs de domaine sur un rseau scuris avec limitation daccs.
Chapitre 15
Si, aprs lanalyse de lexistant, votre conception de fort doit comprendre une stratgie disolation des donnes, suivez ces tapes : 1. Crez une fort supplmentaire base sur lorganisation ou une fort accs restreint pour assurer lisolation des donnes. 2. Si vous utilisez une fort base sur lorganisation, configurez-la de telle sorte quelle approuve des domaines appartenant dautres forts. Pour garantir que la scurit de la fort isole nest pas compromise, vrifiez que les utilisateurs dautres forts ne peuvent pas tre membres des groupes ayant des droits levs sur les serveurs sur lesquels sont places les donnes. 3. Configurez dautres forts pour quelles approuvent la fort base sur lorganisation afin que les utilisateurs de la fort isole puissent accder aux ressources de ces autres forts (si ncessaire). 4. tablissez un pare-feu entre la fort base sur lorganisation et les autres forts afin de limiter laccs des utilisateurs aux informations situes hors de leur fort. Si vous utilisez un modle de fort accs restreint pour lisolation des donnes, faites en sorte quelle napprouve pas dautres forts ou domaines. Par ailleurs, limitez laccs au rseau hbergeant les contrleurs de domaine et les ordinateurs dans la fort accs restreint. Si ncessaire, et si vous en avez les moyens et les besoins, vous pouvez maintenir les donnes protges de la fort accs restreint sur un rseau indpendant qui nest pas connect physiquement un autre rseau de votre entreprise.
552
Le modle de domaine unique rpond peu prs tous les besoins des petites entreprises. La raison qui motiverait la cration dun domaine supplmentaire au sein dune fort pourrait tre le nombre excessif dutilisateurs au sein dun domaine. Mais en fait, il nen est rien car, comme le montre le tableau qui suit (tir des informations donnes par Microsoft), le nombre maximal dutilisateurs dans un seul domaine est trs lev. Seul le trafic de rplication sur les liaisons distantes (WAN) influe sur le nombre maximal dutilisateurs dans un domaine.
Tableau 15.1 : Nombre maximal recommand dutilisateurs dans un seul domaine
Liaison la plus lente Nombre maximal connectant un contrleur dutilisateurs si 1 % de de domaine (kbit/s) la bande passante est disponible 28,8 32 56 64 128 256 512 1 500 10 000 10 000 10 000 10 000 25 000 50 000 80 000 100 000 Nombre maximal dutilisateurs si 5 % de la bande passante sont disponibles 25 000 25 000 50 000 50 000 100 000 100 000 100 000 100 000 Nombre maximal dutilisateurs si 10 % de la bande passante sont disponibles 40 000 50 000 100 000 100 000 100 000 100 000 100 000 100 000
553
Chapitre 15
Conditions dvaluation du tableau Les valeurs de ce tableau tiennent compte des hypothses suivantes :
j j j j j j
Le taux de nouveaux utilisateurs rejoignant la fort est de 20 % par an. Le taux dutilisateurs quittant la fort est de 15 % par an. Chaque utilisateur est membre de cinq groupes globaux et de cinq groupes universels. Le rapport utilisateurs/ordinateurs est de 1 pour 1. Le systme DNS intgr Active Directory est utilis. La fonction de nettoyage DNS est utilise.
Le nombre dutilisateurs de votre fort est suprieur au nombre dutilisateurs quun seul domaine peut contenir. Vous souhaitez permettre aux administrateurs rgionaux de bnficier dune autonomie de service au niveau domaine.
554
bien. Ce nest pas parce quil convient ltude de cas Puzzmania quil reprsente forcment la meilleure solution pour vous.
Des choix soffrent vous quant au design de ce domaine racine. Tout dpend du modle de domaine slectionn.
555
Chapitre 15
Vous pouvez utiliser le domaine unique en tant que domaine racine de la fort (cela parat logique). Vous pouvez crer un domaine racine contenant uniquement les comptes administratifs lchelle de la fort (on lappelle un "domaine racine vide", au sens vide dutilisateurs et de ressources), le domaine de vos comptes tant un enfant du domaine racine de la fort. Utilisez cette option si vos plans de croissance vous amnent utiliser un modle de domaine rgional.
556
Si lon ajoute un domaine racine vide un modle de domaine unique, on pourrait croire que ce dernier nest plus unique ! En fait, il est unique au sens o il est le seul contenir tous les utilisateurs et toutes les ressources de lentreprise.
Le domaine racine dune fort dans un modle de domaine rgional ou bas sur les entits de lentreprise
Lorsque vous utilisez un modle de domaine rgional ou un modle bas sur les entits de lentreprise, deux options soffrent vous :
j
Vous pouvez crer un domaine racine vide et faire de chaque domaine (rgional ou autres) un enfant du domaine racine de la fort.
557
Chapitre 15
Vous pouvez utiliser un des domaines rgionaux en tant que domaine racine de la fort et faire des domaines rgionaux restants les enfants de la racine. Si vous choisissez cette option, slectionnez comme racine de la fort un domaine rgional de situation centrale. Cette mthode sapplique galement aux domaines bass sur les entits de lentreprise.
La mthode qui consiste crer un domaine racine vide, puis des domaines enfants bass sur lorganisation de lentreprise, a t adopte par Puzzmania. Pourquoi une racine vide ? En voici les avantages.
558
Sparation oprationnelle entre les administrateurs de la fort et les administrateurs du domaine (domaines enfants) : dans un environnement domaine unique, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intgr peuvent utiliser des outils et des procdures standards pour adhrer aux groupes Administrateurs de lentreprise et Administrateurs du schma. En revanche, dans une fort qui utilise un domaine racine ddi, les membres du groupe Administrateurs du domaine ou du groupe Administrateurs intgr dans les domaines enfants ne peuvent pas adhrer aux groupes dadministrateurs de niveau fort laide doutils et de procdures standards. Cela permet de scuriser linfrastructure. Protection contre les changements oprationnels dans lorganisation ou dans dautres domaines : un domaine racine ddi ne reprsente pas une rgion ou une activit particulire dans la structure de domaines. Cest pourquoi il nest pas affect par les rorganisations et les autres modifications qui obligent renommer ou restructurer les domaines. Par exemple, si votre entreprise rachte une autre entreprise (comme la fait Puzzmania), lintgration au sein de linfrastructure informatique se fera de faon plus aise. Maintien dune racine neutre pour quaucune rgion ou activit napparaisse comme subordonne une autre : certaines entreprises prfrent viter de donner limpression quune rgion est subordonne une autre dans lespace de noms. Lorsque vous utilisez un domaine racine vide dans la fort, tous les domaines enfants peuvent tre gaux dans la hirarchie des domaines.
Les avantages dun domaine rgional ou dentit en tant que racine de la fort
Lutilisation dun domaine rgional ou bas sur une entit de lentreprise en tant que domaine racine de la fort peut galement prsenter un avantage. Cela vous permet dviter la surcharge administrative lie la gestion dun domaine racine vide supplmentaire.
559
Chapitre 15
Le logiciel systme qui compose un contrleur de domaine Active Directory : il gre entre autres les processus dauthentification et la dfinition de lidentit dun utilisateur. La base de donnes de lannuaire stocke sur les contrleurs de domaine : elle stocke des informations telles que les mots de passe des utilisateurs, la composition des groupes et les listes de contrle daccs (ACL) qui rgissent laccs aux objets.
Si un intrus modifie le logiciel systme ou la base de donnes de lannuaire sur un contrleur de domaine, les fonctionnalits de scurit incluses dans Active Directory peuvent tre dsactives ou modifies. Les personnes suivantes ont la possibilit de lancer de telles attaques
j
Les administrateurs : ils doivent avoir la possibilit de modifier le logiciel systme sur les contrleurs de domaine pour appliquer des correctifs logiciels, pour installer des Service Packs ou des mises niveau du systme dexploitation. Pendant ces interventions classiques, un administrateur peut trs bien installer un logiciel tiers qui effectue des modifications malveillantes. Les personnes pouvant accder physiquement aux contrleurs de domaine : tout individu ayant physiquement accs un contrleur de domaine peut attaquer le systme de deux manires. Soit il modifie ou remplace des fichiers de Windows Server 2003 sur le disque dur hbergeant le logiciel systme du contrleur de domaine, soit il utilise un accs hors ligne la base de donnes de lannuaire pour lire des donnes sans que les listes de contrle daccs ne fonctionnent, pour utiliser les mots de passe stocks dans la base ou faire des modifications dans cette dernire qui affectent le comportement des contrleurs de domaine si la base de donnes hors ligne est connecte au systme.
Les mthodes dattaque sont les suivantes : 15. La conception de linfrastructure logique Active Directory
j j j
accs aux disques physiques en redmarrant un contrleur de domaine sur un autre systme dexploitation ; suppression ou remplacement des disques physiques sur un contrleur de domaine ; obtention et manipulation dune copie dune sauvegarde de ltat du systme dun contrleur de domaine.
Toutes ces ventualits dattaque doivent tre prises en compte, notamment dans le choix du nombre de domaines (ou forts) et de lemplacement des contrleurs de domaine par exemple. La rflexion autour de la conception dActive Directory doit tenir compte de la scurit.
En rsum
j j
Dterminez le nombre minimal de domaines requis pour rpondre aux besoins de lentreprise. Si possible, utilisez un modle de domaine unique, sinon ayez recours un modle de domaine rgional ou bas sur les entits de lentreprise. Si vous utilisez un modle de domaine rgional ou bas sur les entits de lentreprise, crez un nouveau domaine comme racine vide de la fort ou dsignez un des domaines rgionaux ou bass sur les entits de lentreprise comme racine de la fort.
Enfin et surtout, pensez dcrire votre projet de conception dans un document, en prcisant le modle de domaine, le nombre de domaines, le niveau fonctionnel de chacun deux et celui qui sera utilis comme racine de la fort.
15.8. En rsum
En exposant les diffrents modles de forts et de domaines, nous avons pos les briques fondamentales de la conception dActive Directory. Les besoins de lentreprise, ses contraintes et son activit sont trs importants car ils vont orienter la conception de linfrastructure logique dActive Directory. Il ny a pas de recette toute faite indiquant dappliquer tel modle en fonction de lactivit de lentreprise. Chaque cas est diffrent. Ayez toujours le rflexe de considrer la structure monofort monodomaine en premier lieu. Seules de bonnes raisons doivent vous pousser ajouter des domaines dans la fort (comme Puzzmania) ou ajouter dautres forts. Cette structure est la plus simple, mais elle couvre quand mme un trs grand nombre de cas dentreprise. Il serait dommage de sen priver. Les grandes lignes de la conception sont maintenant poses : cest vous de jouer ! 15. La conception de linfrastructure logique Active Directory 561
Chapitre 16
expression "topologie des sites" dsigne la reprsentation logique du rseau physique. La conception dune topologie de sites permet de router efficacement les requtes clients et le trafic de rplication dActive Directory. Lorsquelle est russie, elle offre les avantages suivants :
j j j j
une diminution du cot de la rplication des donnes Active Directory ; une diminution des efforts administratifs requis pour la maintenance de la topologie des sites ; une planification de la rplication pendant les heures creuses pour les emplacements quips de liens rseau lents ou de connexions distance ; une optimisation de la localisation des ressources les plus proches (contrleurs de domaine, serveurs DFS), une amlioration des processus douverture et de fermeture de session et une amlioration des oprations de tlchargement de fichiers.
En outre, elle permet une meilleure visibilit sur le projet de dploiement dActive Directory. Une conception de topologie de sites russie permet aussi davoir les ides claires avant daborder des aspects plus techniques. Une rflexion sur les aspects concrets que sont la structure physique du rseau et lobjectif dentreprise dans ce projet est cruciale : cest le moyen dviter les ennuis techniques par la suite. Bien que ce chapitre soit plus thorique que pratique, notamment en ce qui concerne la mise en place dActive Directory chez Puzzmania, il est indispensable daborder ce sujet au pralable afin dviter de prendre une mauvaise direction. La conception dune topologie de sites Active Directory inclut la comprhension de la structure physique du rseau, la planification du placement des contrleurs de domaine, la conception des sites, des sous-rseaux, des liens de sites et des ponts de liaison de sites pour assurer lefficacit du routage des requtes et du trafic de rplication. Voici la description du processus de conception dune topologie de sites :
Avant dexaminer chaque point, familiarisez-vous avec les concepts relatifs aux sites.
565
Chapitre 16
mauvaise opinion de la nouvelle infrastructure si vous ne matrisez pas les concepts qui vont suivre et si vous ne concevez pas une topologie de sites adquate. Pour ce faire, vous devez connatre un minimum de dfinitions techniques.
Routage de la rplication
Active Directory utilise un modle de rplication multimatre afin de rpliquer dun contrleur de domaine un autre. Cela signifie quun contrleur de domaine communique les modifications de lannuaire un deuxime contrleur, qui les communique un troisime, et ainsi de suite, jusqu ce que tous les contrleurs de domaine soient informs des modifications. Afin dobtenir le meilleur quilibre possible entre la rduction de la latence de rplication et la rduction du trafic, la topologie des sites contrle la rplication Active Directory en distinguant la rplication qui intervient au sein dun site et celle qui intervient entre les sites distants. lintrieur dun mme site, la rplication, dite rplication intrasite, est optimise en termes de vitesse. En pratique, vous trouverez et pourrez configurer lobjet de connexion de rplication dans le composant logiciel enfichable Sites et services Active Directory en dployant lobjet contrleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :
Bote de dialogue dun objet de connexion de rplication intrasite du composant logiciel enfichable Sites et services Active Directory
566
Une mise jour de donnes dannuaire, la cration dun compte par exemple, dclenche la rplication et les donnes sont transmises non compresses aux autres contrleurs de domaine. linverse, on compresse les donnes dans le cadre dune rplication entre des sites distants afin de minimiser le cot de transmission sur les liens distants. Lorsque la rplication intervient entre des sites, un unique contrleur par domaine sur chaque site collecte et stocke les modifications de lannuaire et les communique intervalles planifis un contrleur de domaine dun autre site.
Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services
Active Directory
567
Chapitre 16
Enregistrement de ressources de service (SRV) Un enregistrement de ressources de service (SRV) est un enregistrement de ressources DNS utilis pour localiser les contrleurs de domaine Active Directory. En trouvant un contrleur de domaine sur son site, le client spargne les communications par les liens distants. Mais il est possible quil nen trouve pas. Dans ce cas, un contrleur de domaine qui possde les connexions de plus faible cot par rapport aux autres sites connects publis sur le site du client (enregistre via un enregistrement de ressources SRN spcifique au site dans le DNS). Les contrleurs de domaine publis dans le DNS sont ceux du site le plus proche selon ce qui est configur dans la topologie. Ce processus garantit que chaque site possde un contrleur de domaine prfr pour lauthentification.
Rplication Sysvol
Le volume systme Sysvol est une arborescence de dossiers qui se trouve sur chaque contrleur de domaine. Les dossiers Sysvol fournissent un emplacement Active Directory par dfaut pour les fichiers qui doivent tre rpliqus dans un domaine, cest--dire les objets de stratgie de groupe, les scripts de dmarrage et de fermeture ainsi que les scripts douverture et de fermeture de session. Connectez-vous au partage Sysvol de votre contrleur de domaine.
Figure 16.4 : Vue du partage Sysvol du domaine puzzmania.com
Windows Server 2003 utilise le service de rplication de fichiers (FRS, File Replication Service) pour rpliquer les modifications apportes au contenu de Sysvol dun contrleur de domaine vers un autre. Le service FRS rplique ces modifications en fonction de la planification que vous crez durant la conception de la topologie des sites. 16. La conception de la topologie de sites
568
Localisation de services
En publiant des services comme les services de fichiers et dimpression dans Active Directory, vous permettrez aux clients de localiser les services quils requirent dans leur propre site ou dans le site le plus proche. Les services dimpression, par exemple, utilisent lattribut demplacement stock dans Active Directory pour permettre aux utilisateurs de parcourir le rseau la recherche dimprimantes en fonction de leur emplacement, mme sils ne le connaissent pas exactement. Il suffit de lancer une recherche en remplissant le champ Emplacement et les imprimantes configures pour ce site apparaissent en rsultat.
Figure 16.5 :
la partition de schma ; la partition dannuaire ; la partition de la configuration ; la partition du domaine ; la partition dapplication. 16. La conception de la topologie de sites
La partition dannuaire
Chaque partition est une unit de rplication et possde sa propre topologie de rplication. La rplication est excute entre les rplicas des partitions dannuaire. Tous les contrleurs de domaine de la mme fort ont au moins deux partitions dannuaire en commun : celles du schma et de la configuration. De plus, ils partagent une partition de domaine commune. 569
Chapitre 16
La partition de schma
Chaque fort possde une seule partition de schma. Cette partition de schma est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient les dfinitions de tous les objets et attributs crs dans lannuaire, ainsi que les rgles qui permettent de les crer et de les manipuler. Les donnes du schma sont rpliques dans tous les contrleurs de domaine de la fort. Cest pourquoi les objets doivent tre conformes aux dfinitions dobjet et dattribut du schma.
La partition de la conguration
Chaque fort possde une seule partition de configuration. Stocke dans tous les contrleurs de domaine de la mme fort, la partition de configuration contient les donnes sur la structure Active Directory de lensemble de la fort, telles que les domaines et les sites existants, les contrleurs de domaine existants dans chaque fort et les services disponibles. Les donnes de la configuration sont rpliques dans tous les contrleurs de domaine de la fort.
La partition de domaine
16. La conception de la topologie de sites Chaque fort peut avoir plusieurs partitions de domaine. Elles sont stockes dans chaque contrleur de domaine dun domaine donn. Une partition de domaine contient les donnes sur tous les objets propres au domaine et crs dans ce domaine, tels que les utilisateurs, les groupes, les ordinateurs et les units dorganisation. Une partition de domaine est rplique dans tous les contrleurs de domaine du domaine considr. Tous les objets de chaque partition de domaine dune fort sont stocks dans le catalogue global avec un seul sous-ensemble de leurs valeurs dattribut.
La partition dapplication
Les partitions dapplication stockent les donnes sur les applications dans Active Directory. Chaque application dtermine comment elle stocke, classe et utilise ses propres donnes. Pour viter toute rplication inutile des partitions dapplication, vous pouvez dsigner les contrleurs de domaine qui en hbergent dans une fort. la 570
diffrence dune partition de domaine, une partition dapplication ne peut pas stocker les principaux objets de scurit, tels que les comptes dutilisateur. De plus, les donnes contenues dans une partition dapplication ne sont pas stockes dans le catalogue global. Par exemple, si vous utilisez le systme DNS intgr Active Directory, vous avez deux partitions dapplication pour les zones DNS : ForestDNSZones et DomainDNSZones.
j
ForestDNSZones fait partie dune fort : tous les contrleurs de domaine et les serveurs DNS dune fort reoivent un rplica de cette partition. Une partition dapplication dune fort entire stocke les donnes de la zone de la fort. DomainDNSZones est unique pour chaque domaine : tous les contrleurs de domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de cette partition. Les partitions dapplication stockent la zone DNS du domaine dans DomainDNSZones <nom_domaine>.
Chaque domaine possde une partition DomainDNSZones, mais il nexiste quune partition ForestDNSZones. Aucune donne DNS nest rplique sur le serveur de catalogue global.
Chapitre 16
Il est inutile de vous inquiter des risques ventuels dpuisement de la rserve dUSN. Les 64 bits de ce nombre lui permettent de prendre en compte jusqu 18 446 744 073 709 551 616 changements par contrleur de domaine.
La collision de rplication
Mme avec le mcanisme de numro de squence de mise jour, la collision est possible. Par exemple, si un administrateur du domaine racine de la fort puzzmania .com rinitialise un mot de passe sur SNCERCDC01 et quun autre administrateur rinitialise le mme mot de passe sur SNCERCDC02 avant que SNCERCDC01 nait eu loccasion de distribuer sa modification, il y a invitablement collision. Ce problme est rsolu grce un numro de version de proprit (PVN, Property Version Number). Il est appliqu en tant quattribut chaque objet dans Active Directory et est mis jour et horodat en squence chaque fois quune modification est apporte lobjet. Si une collision de rplication se produit, le PVN le plus rcent a priorit et le mot de passe associ est affect lutilisateur.
Lobjet connexion
Un objet connexion est un objet Active Directory qui reprsente une connexion de rplication dun contrleur de domaine un autre. Un contrleur de domaine est un membre dun unique site et est reprsent dans le site par un objet serveur dans Active Directory. Chaque objet serveur possde un objet NTDS Settings enfant qui reprsente le contrleur de domaine rpliquant dans le site.
Figure 16.7 : Objet serveur de type contrleur de domaine et objet NTDS Settings vus par le
Lobjet connexion est un enfant de lobjet NTDS Settings du serveur de destination. Pour que la rplication intervienne entre deux contrleurs de domaine, lobjet serveur de lun doit avoir un objet connexion qui identifie le serveur source de rplication. Toutes les connexions de rplication dun contrleur de domaine sont stockes sous la forme dobjets de connexion sous lobjet NTDS Settings. Lobjet connexion identifie le serveur source de rplication, contient une planification de rplication et spcifie un transport de rplication. Le vrificateur de cohsion de connaissances (KCC, Knowledge Consistency Checker) cre automatiquement des objets de connexion, qui peuvent aussi tre crs manuellement. chaque fois que vous modifiez un objet de connexion cr par le KCC, vous le convertissez automatiquement en un objet de connexion de type "manuel" et le KCC cessera alors de lui apporter des modifications.
Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intgr qui sexcute sur tous les contrleurs de domaine et gnre la topologie de rplication pour la fort. Il cre des topologies de rplications intrasite et intersite spares. Le KCC ajuste dynamiquement la topologie afin de tenir compte des contrleurs de domaine qui sont nouveaux, ou temporairement indisponibles ou encore qui se sont dplacs dun site un autre, des modifications de cots, des planifications. KCC et ISTG Le KCC cre des objets de connexion afin de relier les contrleurs de domaine au sein dune topologie commune. Il comprend deux composants : un contrleur intrasite KCC, qui se charge de la rplication lintrieur dun site, et le gnrateur de topologie intersite, ou ISTG (Intersite Topology Generator), qui cre les objets de connexion entre sites.
Chapitre 16
Dans Windows Server 2003, ISTG a t amlior et peut maintenant grer jusqu 5000 sites. Toutefois, vous ne pourrez bnficier des amliorations apportes ISTG que lorsque le niveau fonctionnel de la fort sera pass en mode Windows Server 2003. Sur chaque contrleur de domaine, le KCC cre des itinraires de rplication en crant des objets de connexion entrante unidirectionnelle qui dfinissent des connexions depuis dautres contrleurs de domaine. Pour les contrleurs de domaine dans le mme site, le KCC cre des objets de connexion de manire automatique. Lorsque vous possdez plusieurs sites, vous configurez les liens qui les unissent et un unique KCC dans chaque site se charge de crer automatiquement les connexions intersites.
Fonctionnalit de basculement
Les sites garantissent que les donnes de rplication sont routes mme en cas de pannes rseau et de pannes des contrleurs de domaine. Le KCC sexcute des intervalles spcifis afin dajuster la topologie de rplication pour ladapter aux modifications qui interviennent dans Active Directory (par exemple, en cas dextension de la socit, lorsque de nouveaux contrleurs de domaine sont ajouts ou lorsque de nouveaux sites sont crs). Le KCC vrifie le statut de rplication des connexions existantes afin de dterminer si des connexions ont cess de fonctionner. Si une connexion ne fonctionne pas cause dun contrleur de domaine en panne, le KCC construit automatiquement des connexions temporaires vers les autres partenaires de rplication (sil en existe) afin de sassurer que la rplication peut soprer. Si tous les contrleurs de domaine dans un site sont indisponibles, le KCC cre automatiquement des connexions de rplication avec les contrleurs de domaine dun autre site.
Le sous-rseau
16. La conception de la topologie de sites Un sous-rseau est un segment dun rseau TCP/IP auquel un ensemble dadresses IP logiques est attribu. Les sous-rseaux regroupent des ordinateurs en fonction de leur proximit physique sur le rseau. Dun point de vue Active Directory, les objets de sous-rseau identifient les adresses rseau qui sont utilises pour mettre en correspondance les ordinateurs avec les sites.
574
Figure 16.8 : Les sous-rseaux vus par le composant logiciel enfichable Sites et services
Active Directory
Les sites
Les sites correspondent un ou plusieurs sous-rseaux TCP/IP dots de connexions rseau fiables et rapides. Les informations de site permettent aux administrateurs de configurer laccs et la rplication Active Directory afin doptimiser lutilisation du rseau physique. Les sites sont reprsents dans Active Directory sous la forme dobjets de site. Les objets de site sont des ensembles de sous-rseaux et chaque contrleur de domaine dans la fort est associ un site Active Directory en fonction de son adresse IP. Les sites peuvent hberger des contrleurs de domaine de plusieurs domaines et un domaine peut tre reprsent dans plusieurs sites.
Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory
575
Chapitre 16
Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour tablir une connexion pour la rplication Active Directory. Ils sont stocks dans Active Directory sous la forme dobjets de lien de sites. Un tel objet reprsente un ensemble de sites qui peuvent communiquer cot uniforme via un transport intersite spcifi.
Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services
Active Directory Tous les sites contenus dans un lien sont considrs comme connects au sein dun mme type de rseau. On relie manuellement les sites en utilisant des liens de sorte que les contrleurs de domaine dans un site puissent rpliquer les modifications de lannuaire vers les contrleurs de domaine dun autre site. tant donn que les liens de sites ne correspondent pas au chemin effectif pris par les paquets rseau sur le rseau physique durant la rplication, vous navez pas besoin de crer des liens redondants pour amliorer lefficacit de la rplication Active Directory. Lorsque deux sites sont connects par un lien, le systme de rplication cre automatiquement des connexions entre des contrleurs de domaine spcifiques dans chaque site, appels "serveurs tte de pont". Dans Windows Server 2003, le KCC peut dsigner plusieurs contrleurs de domaine par site hbergeant la mme partition dannuaire comme candidat au rle de serveur tte de pont. Les connexions de rplication cres par le KCC sont alatoirement rparties entre tous les serveurs tte
de pont candidats dans un site afin que la charge de rplication soit partage. Par dfaut, le processus de slection alatoire a lieu uniquement lorsque de nouveaux objets de connexion sont ajouts au site. Toutefois, vous pouvez excuter Adlb.exe, un nouvel outil du kit de ressources Windows Server 2003 appel "ADLB" (Active Directory Load Balancing) pour rquilibrer la charge chaque fois quune modification intervient dans la topologie des sites ou que le nombre de contrleurs de domaine du site varie. En outre, ADLB peut chelonner les planifications de manire que la charge de rplication sortante pour chaque contrleur de domaine soit rpartie de faon gale au fil du temps. Interrogez laide de lutilitaire ADLB afin dobtenir ses diffrentes options.
Par dfaut, le KCC peut former un itinraire transitif via les liens de sites qui possdent certains sites en commun. Si ce comportement est dsactiv, chaque lien de sites 577
Chapitre 16
reprsente son propre rseau distinct isol. Les ensembles de liens de sites qui peuvent tre traits comme un unique itinraire sont reprsents sous la forme de ponts de liaison de sites. Chaque pont reprsente un environnement de communication isol pour le trafic rseau. Les ponts de liaison permettent de reprsenter logiquement la connectivit physique transitive entre les sites. Chaque pont permet au KCC dutiliser nimporte quelle combinaison de liens de sites inclus pour dterminer litinraire le moins coteux lorsquil sagit dinterconnecter des partitions dannuaires conserves dans ces sites. Le pont ne fournit lui-mme aucune connectivit aux contrleurs de domaine. Sil est supprim, la rplication sur les liens de sites combins se poursuit jusqu ce que le KCC supprime les liens. Les ponts ne sont ncessaires que si un site contient un contrleur de domaine hbergeant une partition dannuaire qui nest pas galement hberge par un contrleur de domaine dans un site adjacent. Les sites adjacents sont dfinis comme tant inclus dans un unique lien de sites. Le pont cre une connexion logique entre deux liens de sites dconnects, qui fournit un chemin transitif via un site intrimaire. Pour les besoins du gnrateur de topologie intersite (ISTG, Intersite Topology Generator), le pont nimplique pas quun contrleur de domaine dans le site intrimaire fournisse le chemin de rplication. Toutefois, ce serait le cas si le site intrimaire contenait un contrleur de domaine qui hbergeait la partition dannuaire rpliquer ; un pont ne serait alors pas requis. Le cot de chaque lien de sites est additionn jusqu former une somme totale pour le chemin rsultant. Le pont serait utilis si le site intrimaire ne contenait pas un contrleur hbergeant la partition dannuaire et sil nexistait aucun lien de cot plus faible. Si le site intrimaire contenait un contrleur qui hberge la partition dannuaire, deux sites dconnects configureraient des connexions de rplication pour le contrleur de domaine intermdiaire et nutiliseraient pas le pont.
578
disponible dans les proprits des conteneurs de transport intersite IP et SMTP implmente les ponts de liaison de sites.
579
Chapitre 16
Figure 16.13 : Configuration de la mise en cache de lappartenance aux groupes universels laide du composant logiciel enfichable Sites et services Active Directory
La mise en cache de lappartenance aux groupes universels vite quun serveur de catalogue global soit requis dans chaque site dun domaine. Lutilisation de la bande passante rseau est ainsi minimise car il nest pas ncessaire quun contrleur de domaine rplique tous les objets situs dans la fort. Les temps dauthentification sont galement rduits, car les contrleurs de domaine qui authentifient nont pas toujours besoin daccder un catalogue global pour obtenir des informations dappartenance aux groupes universels.
Crer une carte des emplacements : il sagit de lister les sites gographiques et les groupes dordinateurs sur un rseau local dans le but de schmatiser son infrastructure. Lister les liens de communication et la bande passante : cela vous permettra dattirer lattention sur les sites relis par des lignes bas dbit, par exemple. Lister les sous-rseaux IP chaque emplacement : il sagit de relever les sous-rseaux IP et les masques associs afin de dterminer la configuration des sites dans Active Directory.
j j
580
Tableau 16.1 : Liste des sous-rseaux affects aux sites gographiques de Nice, Paris,
Active Directory associe chaque machine un site spcifique en comparant ladresse IP de la machine avec les sous-rseaux associs chaque site. Lorsque vous ajoutez des contrleurs un domaine, Active Directory examine galement leur adresse IP et les place dans le site appropri. Ce processus est automatique.
j
Lister les domaines et le nombre dutilisateurs pour chaque emplacement : cette information est un des facteurs qui dtermine le placement des contrleurs de domaine et des serveurs de catalogue global.
Lassociation des informations sur les sous-rseaux IP, la bande passante et les emplacements va dterminer la configuration de rplication.
les contrleurs de domaine racine de la fort ; les contrleurs de domaine rgionaux (les contrleurs de domaine des domaines enfants) ; les contrleurs de domaine qui sont aussi serveurs de catalogue global ; les contrleurs de domaine ayant des rles matres dopration particuliers.
Dune manire gnrale, ne choisissez pas un emplacement sur lequel vous ne pouvez pas garantir sa scurit physique. 581
Chapitre 16
Pour plus dinformations sur les techniques de sauvegarde et de restauration dActive Directory, consultez le chapitre La maintenance dActive Directory. Les contrleurs de domaine racine de la fort doivent tre placs sur un site gographique qui possde des liens distants suffisamment rapides pour rpliquer correctement les donnes dannuaire vers les autres sites. Les lignes daccs distants vers les contrleurs de domaine racine de la fort doivent tre les plus stables possibles. Les administrateurs de linfrastructure de Puzzmania dcident donc, daprs ces caractristiques, de placer les contrleurs de domaine racine de la fort puzzmania.com sur le site gographique de Nice. Cest cet endroit que se trouvent les personnes les plus comptentes et aussi les locaux les plus scuriss, notamment en raison de lactivit de recherche et de dveloppement. Le site de Nice est en outre un point nvralgique du rseau. Les contrleurs de domaine en question sappellent SNCERCDC01 et SNCERCDC02.
Ici, corp.puzzmania.com et rd.puzzmania.com sont considrs comme des domaines rgionaux contenant des contrleurs de domaine rgionaux. Il faut prvoir de les positionner, pour chaque domaine reprsent, aux emplacements principaux. Limitez leur nombre autant que possible pour rduire les cots. Le fait dliminer des contrleurs de domaine des emplacements dits secondaires (les sites sur lesquels ne se trouvent quune poigne de personnes) rduit les cots de maintenance des contrleurs de domaine distance. Combien existe-t-il de contrleurs de domaine de secours ? Outre le placement de ces contrleurs de domaine, posez-vous la question du nombre de contrleurs de domaine de secours dont vous avez besoin pour un domaine donn. tes-vous prt navoir quun seul contrleur de domaine pour votre domaine au risque que le domaine soit indisponible en cas de problme ? Prfrez-vous placer un, voire deux contrleurs de domaine de secours, quitte ce quils soient sur des sites distants, pour modrer limpact dun arrt dun contrleur de domaine, mme si les authentifications sont plus lentes, et viter une ventuelle indisponibilit totale du domaine ? vous de faire la part des choses en vous aidant des informations collectes sur le rseau et en tenant compte galement du nombre dutilisateurs sur votre domaine, du nombre et des horaires de leurs authentifications, ainsi que des services rendus par le domaine, comme le dploiement dapplications. Quel sera limpact sur les postes clients en cas dindisponibilit du domaine ? Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre dmarche.
583
Chapitre 16
En recoupant les informations, les administrateurs de linfrastructure des domaines corp.puzzmania.com et rd.puzzmania.com dcident de placer les contrleurs de domaine de la faon suivante
j
Pour corp.puzzmania.com : trois contrleurs seront installs et configurs, un dans chaque site gographique principal. SNCECPDC01 se trouvera sur le site de Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun contrleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis car on rduit les cots en prenant le risque de ne mettre quun contrleur par site gographique et de subir des ralentissements, et la faisabilit car on tient compte du nombre dutilisateurs et de ressources. Pour rd.puzzmania.com : deux contrleurs seront installs et configurs sur le site de Nice. SNCERDDC01 et SNCERDDC02 seront scuriss (il y en aura deux pour viter les arrts de service et ils seront installs dans une salle informatique scurise, et donc situe Nice). En outre, les utilisateurs qui sy connecteront sont situs Nice.
584
Lmulateur de contrleur de domaine principal (CPD) traite toutes les requtes de rplication provenant de contrleurs de domaine secondaires Windows NT 4.0
585
Chapitre 16
Server et toutes les mises jour de mots de passe pour les clients qui nexcutent pas le logiciel client Active Directory (Windows 95 par exemple).
j
Le matre dID relatifs alloue des ID relatifs tous les contrleurs de domaine pour garantir que tous les principaux de scurit (les identifiants de scurit) possdent un identifiant unique. Le matre dinfrastructure dun domaine conserve une liste des principaux de scurit dautres domaines qui sont membres de groupes dans son propre domaine.
Le matre de schma rgit les modifications du schma. Le matre dattribution de noms de domaine ajoute et supprime des domaines la fort. Matre de schma Avant douvrir le composant logiciel enfichable Schma Active Directory, qui permet dattribuer le rle matre de schma, noubliez pas denregistrer la DLL schmmgmt .dll de la faon suivante : cliquez sur Dmarrer/Excuter, saisissez regsvr32 schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel enfichable Schma Active Directory condition davoir les droits ncessaires.
Les dtenteurs des rles matres dopration sont dsigns automatiquement lorsque le premier contrleur de domaine dans un domaine est cr. Les deux rles de niveau fort sont attribus au premier contrleur de domaine cr dans la fort et les trois rles de niveau domaine sont attribus au premier contrleur de domaine cr dans le domaine. Dsignez ces contrleurs de domaine, puis ceux qui seront matres dopration remplaants. Assurez-vous que le matre doprations remplaant est un partenaire de rplication direct du matre dopration titulaire. Dans un modle de fort comprenant des domaines pre et fils, veillez ce que le contrleur matre dinfrastructure ne soit pas galement serveur de catalogue global. Une pratique courante est de placer, dans un domaine donn, tous les rles matres dopration sur le premier contrleur install et de dsigner le contrleur de domaine de secours comme serveur de catalogue global. Cest un choix possible. Dans un modle domaine unique, laissez le rle matre dinfrastructure au premier contrleur de domaine et configurez tous les autres, mme le premier, comme serveurs de catalogue global. En effet, le rle de matre dinfrastructure est sans importance dans un modle domaine unique parce que les principaux de scurit des autres domaines nexistent pas. La rpartition des matres dopration est intressante chez Puzzmania. Elle tient compte des serveurs de catalogue global, de lquilibre de charge et des bonnes coutumes de placement des matres dopration. Voici un tableau synthtisant les rles tenus par les contrleurs de domaine de la fort puzzmania.com.
Domaine
Matre mulateur dattribution CPD de noms de domaine Non Oui Non Non Non Non Non Oui Non Oui Non Non Oui Non
puzzmania.com SNCERCDC01 SNCERCDC02 corp.puzzmania SNCECPDC01 .com STLSCPDC01 SPARCPDC01 rd.puzzmania .com SNCERDDC01 SNCERDDC02
Crez des sites pour tous les emplacements dans lesquels vous prvoyez de placer des contrleurs de domaine (utilisez les informations rcoltes lors de la phase de prvision des emplacements des contrleurs de domaine). Crez des sites pour les emplacements qui incluent des serveurs excutant des applications qui requirent quun site soit cr (par exemple DFS). Si un site nest pas requis, ajoutez le sous-rseau associ un site pour lequel lemplacement possde la vitesse et la bande passante disponible intersite maximales. 16. La conception de la topologie de sites
j j
Cest laide du composant logiciel enfichable Sites et services Active Directory que vous crerez les sites.
Pour plus dinformations sur les oprations pratiques raliser laide du composant logiciel enfichable Sites et services Active Directory, consultez le chapitre Ladministration et la gestion des sites dans le volume II de la bible Windows Server 2003. La configuration applique Puzzmania est trs simple : les sites Nice, Toulouse, Paris, Londres, Nice R&D sont crs. Mme sil ny a aucun contrleur de domaine Londres, cela ne cote pas grand-chose danticiper lavenir.
587
Chapitre 16
Figure 16.17 : Affectation du cot dun lien de sites laide du composant logiciel enfichable Sites et services Active Directory
Des liens de sites sont donc crs entre les diffrents sites de linfrastructure Puzzmania. En correspondance avec le schma rseau, un cot de 283 est paramtr sur les liens Nice-Paris et Nice-Toulouse. Un cot de 309 est paramtr sur le lien Toulouse-Paris. Ltape logique qui vient aprs la dtermination du cot du lien de sites est la planification des horaires de rplication entre les deux sites relis. Vous avez la possibilit de dterminer les heures auxquelles la rplication va se drouler en fonction de la qualit du lien de sites (et par extension, de la qualit du lien de communication). Pour rgler ces horaires, utilisez le composant logiciel enfichable Sites et services Active Directory.
Figure 16.18 : Rglage des horaires de rplication laide du composant logiciel enfichable Sites et services Active Directory
Chapitre 16
En fonction des heures travailles, il est plus judicieux, dans le contexte de Puzzmania, de suspendre la rplication de 7 heures 12 heures et de 14 heures 20 heures. Cela permettra de rserver le WAN dautres usages.
Pour pallier le fait que le rseau IP nest pas compltement rout. Pour contrler le flux de rplication dActive Directory, soit parce que la rplication seffectue au travers dun pare-feu, soit parce que vous voulez contrler le basculement de la rplication lors dune panne dun contrleur de domaine.
590
En rsum
Dans cet exemple, ce pont empchera la rplication des contrleurs de domaine des sites A, C et D vers le reste du rseau en cas de panne du contrleur du site B. Linfrastructure de Puzzmania nest pas assez complexe pour ncessiter la cration de ponts de liaison de sites.
16.7. En rsum
Ce chapitre aborde les aspects thoriques de la conception de la topologie de sites. Il prsente des dfinitions, une mthodologie mais galement des rgles incontournables de bon fonctionnement. Si vous respectez cette mthodologie et ces rgles, les utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce qui concerne la rplication des informations dannuaire entre les sites distants. Selon votre infrastructure, vous trouverez forcment plusieurs solutions, plusieurs configurations qui rpondront correctement vos besoins en respectant la mthodologie et les rgles. Dautres facteurs rentreront alors en ligne de compte, comme la consolidation des serveurs ou la rduction des cots. En ce sens, il est intressant de mettre en parallle les rgles de conception et ltude de cas car, durant la lecture de ce chapitre, vous vous tes srement dit que vous auriez procd autrement, ou bien que cette solution ne serait pas applicable au projet sur lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranch, ils ont fait des compromis et vous serez amen en faire de votre ct.
Chapitre 17
es units dorganisation sont les conteneurs (des sortes despaces de classement) du service dannuaire Active Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Du fait de la grande flexibilit dans la cration des units dorganisation et de leur imbrication, ces conteneurs peuvent reflter une structure organise et, par extension, les structures hirarchique et logique de votre entreprise. Vous pouvez grer la configuration et lutilisation de comptes et de ressources en fonction de votre modle dorganisation. Vous tes libre, par exemple, dutiliser les units dorganisation pour appliquer automatiquement des stratgies de groupe dfinissant des paramtres pour les comptes dordinateur et dutilisateur dans Active Directory en accord avec la politique dentreprise (scurit, applications, droits). Le cycle de vie des units dorganisation inclut quatre phases :
j j j j
La planification : durant cette phase, vous dterminez quelles units dorganisation vous allez crer et comment vous en dlguerez le contrle administratif. Le dploiement : vous crez la structure dunits dorganisation en fonction de leur plan. La maintenance : aprs avoir cr la structure, vous pouvez renommer, dplacer ou modifier les units dorganisation cres en fonction des besoins de lorganisation. La suppression : dans Active Directory, tous les objets, y compris les units dorganisation, occupent de lespace sur le contrleur de domaine qui les hberge. Lorsque des units dorganisation ne sont plus requises, vous devez les supprimer.
Chapitre 17
Quelles sont les raisons qui justifient la structure dannuaire actuelle ? Par exemple, quels sont les liens avec le dcoupage en sites physiques ? Avec lenjeu dentreprise ? La structure dannuaire est-elle volutive ? Quelles personnes administrent actuellement la fort et les domaines ? Leurs rles doivent-ils tre maintenus ? Qui sont les administrateurs de service actuels ? Le nombre de personnes remplissant ce rle est-il suffisant ? Les responsabilits de ces personnes doivent-elles rester les mmes ?
j j j
Le matriel : identifiez les serveurs, les ordinateurs, les portables, les imprimantes, etc. Veillez inclure la fonction de chaque quipement, son emplacement physique et la quantit de chaque quipement. Consignez certains dtails importants sur les quipements. Pour des imprimantes par exemple, indiquez si elles sont locales ou relies au rseau. Les rles professionnels : consignez tous les rles professionnels (par exemple, commercial) et dcrivez les tches associes chacun dentre eux. Dterminez quels rles prsentent des exigences particulires en matire dadministration. Les groupes : identifiez tous les groupes et dcrivez-les.
596
Les administrateurs de rles : administrateurs du administrateurs des services, administrateurs des donnes.
support
technique,
Les administrateurs de groupes fonctionnels : administrateurs de serveurs, dimprimantes, de bureaux. Les administrateurs demplacements : administrateurs de sites distants.
Quelles personnes ont besoin de crer, de modifier, de grer et de supprimer des comptes dutilisateurs ? Quelles personnes ont besoin de grer les ressources de fichiers et de dossiers, y compris les autorisations associes ? Quelles personnes ont besoin de grer la stratgie de groupe ?
Chapitre 17
17.2. Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation
Aprs avoir dtermin le meilleur modle administratif pour votre entreprise, vous devez structurer ce modle pour quil reflte la manire dont lentreprise gre ses ressources informatiques. Ces ressources comprennent des utilisateurs, des ordinateurs, des groupes, des imprimantes et des fichiers partags. Cette structure montre comment sont organiss les personnes ou les groupes chargs de grer des ressources spcifiques.
j
Lexamen de la structure du modle administratif vous permettra de dterminer comment faire en sorte que la conception des units dorganisation reflte la structure du service informatique et la structure de gestion des ressources. Lorsque vous concevez une structure dunits dorganisation, veillez ce quelle puisse prendre en charge les volutions et la croissance de lorganisation. Les modifications de lorganisation ne doivent pas affecter la structure dunits dorganisation.
Voici des modles de structure dunits dorganisation auxquels peut correspondre votre modle administratif. Ils vous aideront concevoir la meilleure structure dunits dorganisation pour votre entreprise. Dtaillons les cinq modles de structure dunits dorganisation les plus frquemment rencontrs.
Concevoir une structure dunits dorganisation les modles de structure dunits dorganisation
Avantage
j j
Inconvnient
j
Risque ventuel pour la scurit : si un emplacement inclut plusieurs divisions ou services, une personne ou un groupe possdant lautorit administrative sur un domaine ou une unit dorganisation peut galement possder cette autorit sur les domaines ou les units dorganisation enfants. Ncessite des administrateurs rseau chaque emplacement.
Avantage
j j
Conserve lautonomie des services de lentreprise. Accepte les fusions, les acquisitions et les expansions de lentreprise.
Inconvnient
j j
Impact possible sur la rplication dActive Directory. Ne rsiste pas aux rorganisations de lentreprise.
Chapitre 17
Du fait de la spcificit du domaine rd.puzzmania.com, ce modle bas sur la fonction, dans ce cas la recherche et le dveloppement, est le mieux adapt aux contraintes.
Avantage
j
Inconvnient
j j
Impact possible sur la rplication dActive Directory. Il peut tre ncessaire de crer des couches supplmentaires dans la hirarchie des units dorganisation pour prendre en charge ladministration des utilisateurs, des imprimantes, des serveurs et des partages rseau.
Avantage
j j
Permet denvisager la croissance des services de lentreprise. Permet de dfinir des limites de scurit distinctes en fonction des sites.
Inconvnient
j j
Ncessite une nouvelle conception si le service informatique se retrouve dcentralis. Ncessite une coopration entre les administrateurs informatiques si ces derniers sont situs au mme emplacement, mais appartiennent des dpartements diffrents.
600
Avantage
j
Permet une scurit robuste entre les services de lentreprise, tout en autorisant la dlgation dadministration base sur lemplacement physique.
Inconvnient
j
Utilisateurs et ordinateurs Active Directory : ce composant logiciel enfichable permet de crer, de modifier et de supprimer des units dorganisation. Utilisez-le lorsque vous navez que quelques units dorganisation grer, ou pour des oprations de base. Outils de service dannuaire : cet ensemble doutils en ligne de commandes, parmi lesquels Dsadd, Dsmod et Dsrm, permet de grer des objets et deffectuer des requtes dinformations dans Active Directory. Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange) : cet outil en ligne de commandes permet de crer des units dorganisation et dautres objets Active Directory. Ldifde utilise un fichier dentre contenant des informations sur les objets ajouter, modifier ou supprimer. 601
Chapitre 17
Environnement dexcution de scripts Windows : vous pouvez crer des units dorganisation laide dapplications Windows ou laide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces).
4. Dans la zone Nom de la bote de dialogue Nouvel objet Unit dorganisation, saisissez le nom de lunit dorganisation, puis cliquez sur OK. Les oprations de suppression et de modification sont aussi trs simples : cliquez du bouton droit sur lunit dorganisation et slectionnez la bonne commande.
DSADD
Ajoute des types dobjets spcifiques lannuaire. dsadd computer dsadd contact dsadd group dsadd ou dsadd user dsadd quota Ajoute un ordinateur lannuaire. Ajoute un contact lannuaire. Ajoute un groupe lannuaire. Ajoute une unit dorganisation lannuaire. Ajoute un utilisateur lannuaire. Ajoute une spcification de quota une partition dannuaire.
Parmi tous les lments, cest le commutateur ou qui nous intresse le plus. En voici la description :
DSADD OU
Ajoute des units dorganisation lannuaire.
603
Chapitre 17
Syntaxe :
17. La conception et limplmentation de la structure des UO NU_Unit_ Organisation
dsadd ou NU_Unit_Organisation desc Description s Serveur d Domaine u Nom_Utilisateur p Mot_de_passe q Nom unique de lunit dorganisation que vous dsirez ajouter.
desc Description Description de lunit dorganisation que vous dsirez ajouter. s Serveur d Domaine Contrleur de domaine auquel lordinateur se connecte. Domaine auquel lordinateur se connecte. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert une session. Nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astrisque), un mot de passe sera demand. Mode silencieux : supprime tout affichage sur la sortie standard.
u Nom _Utilisateur
p Mot_de_Passe q
Chez Puzzmania, il sagit de crer des units dorganisation pour le domaine corp .puzzmania.com. Suite la conception de la structure dunits dorganisation, commencez par crer les units dorganisation hirarchiques relatives aux sites gographiques de Nice, Toulouse et Paris. Procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsadd ou OU=Toulouse,DC=corp,DC=puzzmania, DC=com desc "OU de niveau hirarchique du site de Toulouse" et validez. Dans cet exemple, la commande est lance partir dun contrleur de domaine. Si ce navait pas t le cas, vous auriez utilis les commutateurs donnant les droits ncessaires la cration dunits dorganisation sur le domaine.
604
Commande Dsadd Si vous ne saisissez pas le nom distinctif de lobjet que vous crez, il est lu sur lentre standard (STDIN), cest--dire via le clavier, dans un fichier redirig ou une sortie de canal provenant dune autre commande. Utilisez [Ctrl]+[Z] pour indiquer le caractre de fin de fichier pour STDIN.
DSMOD
Modifie des types dobjets spcifiques lannuaire. dsmod computer dsmod contact dsmod group dsmod ou dsmod server dsmod user Modifie un ordinateur existant dans lannuaire. Modifie un contact existant dans lannuaire. Modifie un groupe existant dans lannuaire. Modifie une unit dorganisation existant dans lannuaire. Modifie un contrleur de domaine existant dans lannuaire. Modifie un utilisateur existant dans lannuaire. 605
Chapitre 17
Modifie une spcification de quota existant dans lannuaire. Modifie une spcification de quota existant dans lannuaire.
Parmi tous les lments, cest le commutateur ou qui nous intresse. En voici la description :
DSMOD OU
Modifie des units dorganisation de lannuaire.
Syntaxe :
NU_Unit _Organisation desc Description s Serveur d Domaine
dsmod ou NU_Unit_Organisation desc Description s Serveur d Domaine u Nom_Utilisateur p Mot_de_passe c q Nom unique de lunit dorganisation que vous dsirez modifier. Description de lunit dorganisation que vous dsirez modifier. Contrleur de domaine auquel lordinateur se connecte. Domaine auquel lordinateur se connecte. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert une session. Nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous saisissez * (astrisque), un mot de passe sera demand. Mode opratoire continu. Signale les erreurs, mais passe lobjet suivant sur la liste darguments quand plusieurs objets cibles sont spcifis. Sans cette option, la commande se termine la premire erreur. Mode silencieux : supprime tout affichage sur la sortie standard.
u Nom _Utilisateur
p Mot_de_Passe c
606
Les paramtres transmis la commande dsmod sont les mmes que ceux de dsadd. 17. La conception et limplmentation de la structure des UO Pour transmettre une nouvelle description via le paramtre desc, procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsmod ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com desc "OU de niveau hirarchique du site gographique de Toulouse" et validez.
DSRM
Supprime des objets de lannuaire.
Syntaxe :
dsrm NU_Unit_Organisation [noprompt] [subtree [exclude]] [{s <Serveur> | d <Domaine>}] [u <Nom_Utilisateur>] [p {<Mot_de_passe> | *}] [c] [q] [{uc | uco | uci}] Requis/stdin. Liste dun ou de plusieurs noms uniques (DN) dobjets supprimer. Si ce paramtre est omis, il est lu partir de lentre standard (stdin). 607
NU_Unit _Organisation
Chapitre 17
Mode silencieux : ne demande pas de confirmation de suppression. Supprime lobjet et tous les objets de sa sous-arborescence. Avec exclude, lobjet nest pas supprim ; seule sa sous-arborescence lest. s <Serveur> : contrleur de domaine nomm <Serveur> auquel lordinateur se connecte. d <Domaine> : contrleur de domaine auquel lordinateur se connecte dans le domaine <Domaine>. Par dfaut : un contrleur de domaine dans le domaine de connexion. Nom dutilisateur permettant de se connecter. Par dfaut : lutilisateur connect. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Bob), domaine\nom dutilisateur (par exemple, corp\Bob) ou nom dutilisateur principal (UPN, User Principal Name, par exemple Bob@corp.puzzmania.com). Mot de passe de lutilisateur <Nom_Utilisateur>. Si vous saisissez *, un mot de passe sera demand. Mode opratoire continu : signale les erreurs mais poursuit avec lobjet suivant sur la liste darguments lorsque plusieurs objets cibles sont spcifis. Sans cette option, la commande se termine la premire erreur. Mode silencieux : supprime tout affichage sur la sortie standard. uc indique que lentre partir du pipe ou la sortie vers le pipe est au format Unicode. uco indique que la sortie vers le pipe ou le fichier est au format Unicode. uci indique que lentre partir du pipe ou du fichier est au format Unicode.
{s <Serveur> | d <Domaine>}
u <Nom _Utilisateur>
p {<Mot_de _passe> | *} c
Les paramtres transmis la commande dsrm sont les mmes que ceux de la commande dsadd. Par contre, vous pouvez utiliser les paramtres supplmentaires suivants avec dsrm :
j
subtree supprime lobjet ainsi que tous les objets contenus dans la sous-arborescence situe sous cet objet.
608
exclude spcifie de ne pas supprimer lobjet de base fourni par NU_Unit_Organisation lorsque vous supprimez la sous-arborescence situe
au-dessous. Par dfaut, seul lobjet de base spcifi est supprim. Le paramtre exclude ne peut tre spcifi quavec le paramtre subtree. Pour supprimer lunit dorganisation Toulouse du domaine corp.puzzmania.com, procdez comme suit : 1. Ouvrez une session sur le contrleur de domaine SNCECPDC01. Ouvrez une Invite de commandes en cliquant sur Dmarrer/Excuter et en saisissant cmd. 2. Saisissez la commande dsrm OU=Toulouse,DC=corp,DC=puzzmania,DC=com
desc "OU de niveau hirarchique du site gographique de Toulouse"
et validez.
Loutil Ldifde
Loutil en ligne de commandes Ldifde vous permet de crer, de modifier et de supprimer des units dorganisation et de dfinir des hirarchies dunits dorganisation. Loutil se base sur un fichier dentre qui indique les actions excuter. La premire tape consiste donc crer le fichier dentre utiliser. Aprs avoir cr ce fichier, excutez la commande Ldifde. Procdez comme suit pour crer des units dorganisation (ici pour le domaine corp
.puzzmania.com) laide de loutil en ligne de commandes Ldifde :
609
Chapitre 17
Lexemple suivant montre le format du fichier : 17. La conception et limplmentation de la structure des UO
dn: OU=Toulouse,DC=corp,DC=puzzmania,DC=com changetype: add objectClass: organizationalUnit
j j
Changetype dtermine le type dopration effectue sur lobjet Active Directory. ObjectClass spcifie la classe de lobjet Active Directory. Ldifde ajoute une unit dorganisation appele Toulouse au domaine corp.puzzmania.com. Vous pouvez ajouter plusieurs units dorganisation en ajoutant dautres entres. Chaque entre dn: doit tre prcde dune ligne vide, sauf la premire.
2. Excutez Ldifde pour crer, modifier ou supprimer des units dorganisation en saisissant la commande ldifde i k f OUList.ldf b Nom_Utilisateur Domaine Mot_de_Passe. Les premiers paramtres de la commande sont : i k f b Nom _Utilisateur Domaine Mot_de _Passe Mode dimportation. Si celui-ci nest pas spcifi, le mode par dfaut est exportation. Permet de ne pas tenir compte des erreurs durant une opration dimportation et de poursuivre le traitement. Nom du fichier dimportation ou dexportation. O List.ldf est le fichier dentre.
Nom dutilisateur, nom de domaine et mot de passe associs au compte dutilisateur qui sera utilis pour excuter lopration dimportation ou dexportation.
610
En rsum
Procdez comme suit pour crer une unit dorganisation laide de lenvironnement dexcution de scripts Windows : 1. laide du Bloc-notes, crez un fichier texte portant lextension .vbs. Insrez les oprations effectuer dans ce fichier de la faon suivante : 2. Commencez par vous connecter au domaine dans lequel vous souhaitez crer lunit dorganisation en saisissant Set objDom = GetObject("LDAP://dc=corp, dc=puzzmania,dc=com"). 3. Crez ensuite lunit dorganisation en spcifiant OrganizationalUnit comme type dobjet Active Directory crer et le nom de lunit dorganisation en saisissant Set objOU = objDom.Create("OrganizationalUnit", "ou=Toulouse"). 4. Enregistrez ces informations dans la base de donnes Active Directory en saisissant la commande objOU.SetInfo. 5. Enregistrez le fichier sous le nom script.vbs par exemple. 6. Pour excuter les commandes de ce fichier, saisissez lInvite de commandes wscript script.vbs.
17.4. En rsum
Le plus remarquable, quand on travaille avec les units dorganisation, notamment dans la phase de conception, cest de voir quel point on peut faire reflter la vie du service informatique et, par extension, la vie de lentreprise, au travers dune technologie telle que les conteneurs dActive Directory. Au-del des possibilits techniques, vous devez vous attacher mettre limplmentation de la structure dunits dorganisation (la technologie) au service de lorganisation informatique de lentreprise (le besoin). Cest la cl de la russite de limplmentation en entreprise, quel que soit le contexte. Profitez de lexprience des units dorganisation, o cest facilement visible et apprhendable, pour le mettre en uvre dans tous les domaines informatiques de lentreprise.
611
Chapitre 18
Vue densemble
e chapitre dcrit la mise en place de linfrastructure, savoir limplmentation dActive Directory selon les besoins de lentreprise. Aprs avoir tudi dans les chapitres prcdents linstallation de Windows Server 2003 et les diffrents concepts servant fdrer lorganisation de lentreprise, nous abordons limplmentation de la structure au sens large et, plus prcisment, celle de Puzzmania. Seront nonces dans un premier temps les diverses prconisations concernant Active Directory ainsi que les conditions requises pour son installation. Ensuite, il sera question de la mise en place de la fort et de ses domaines. Pour cela, nous verrons les diffrentes installations possibles dActive Directory. Une fois le ou les domaines implments, nous vrifierons linstallation des contrleurs de domaine et regarderons les objets crs par dfaut aprs linstallation du premier contrleur de domaine. Au besoin, nous supprimerons ou rtrograderons un contrleur de domaine.
Dtermination des contraintes matrielles : il sagit destimer les serveurs pour pouvoir utiliser les contrleurs de domaine aujourdhui et demain, dans des conditions optimales. Vrification des conditions requises pour linstallation dActive Directory : partitionnement disque, DNS, NTFS, etc. Installation des contrleurs de domaine : il existe quatre mthodes dinstallation et de dploiement dActive Directory, vous utiliserez celle qui correspond le plus votre cadre de travail.
j j
Pour limplmentation des domaines et de la fort, nous adopterons une vision plutt globale. La aussi, plusieurs mthodes de fonctionnement soffrent vous (plusieurs forts, plusieurs domaines ou pas de domaine racine). Il nexiste pas ou peu de mauvaises solutions tant quelles rpondent pleinement vos contraintes dentreprise (par exemple, le nombre de sites et de personnes par site, les contraintes de bande passante). Pour rpondre ses besoins et contraintes, comme vous lavez dans les chapitres prcdents, Puzzmania a choisi de sparer la partie recherche et dveloppement de la partie plus classique appele Corp. Pour que ces domaines restent unifis et volutifs, Puzzmania a choisi de mettre en place un domaine racine.
Pour en savoir plus sur les besoins et les contraintes de Puzzmania, lisez les chapitres Une tude de cas et La conception de linfrastructure logique dActive Directory.
615
Chapitre 18
Fort multidomaine Dans le cas dune conception multidomaine, le domaine racine de la fort peut tre une racine ddie, utilise uniquement pour ladministration de la fort ou, au contraire, contenir des utilisateurs, des groupes et des ressources en plus des comptes dadministration de la fort. Une fois le domaine racine de la fort dploye, le propritaire de la fort cre un ou plusieurs domaines enfants pour terminer la hirarchie de la fort Active Directory. Les domaines enfants peuvent tre crs soit en mettant niveau des domaines Windows NT ou Windows 2000, soit en dployant des domaines supplmentaires. Ce qui nous conduit donc aux tapes suivantes :
j
Installation du premier contrleur de domaine, donc cration de la fort : cette partie du dploiement du domaine racine de la fort est la premire tape du dploiement de linfrastructure de service dannuaire Active Directory dans lorganisation de Puzzmania. Vrification de linstallation du contrleur de domaine et de la mise en place du service dannuaire Active Directory. Installation du deuxime contrleur de domaine sur le mme site : ce stade, on peut dj dire quil commence y avoir une tolrance aux pannes dans la fort, les rplications du service dannuaire se font automatiquement. Installation du premier contrleur de domaine du domaine enfant, une fois le domaine racine install : de prfrence, commencez par le site o les contrleurs de domaine racine sont installs. Vrification de linstallation du contrleur de domaine et de la cration du domaine enfant. Installation des autres contrleurs de domaine du domaine enfant localement ou sur les sites distants. Installation des autres domaines enfants.
j j
j j j
Maintenant que les grandes lignes de limplmentation ont t brosses, entrons dans le vif du sujet.
Pour 500 utilisateurs, le contrleur de domaine naura besoin que dun seul processeur cadenc 850 MHz.
616
Vue densemble
j j
Entre 500 et 1500 utilisateurs, le contrleur de domaine aura besoin de deux processeurs cadencs 850 MHz. Sil y a plus de 1500 utilisateurs, le contrleur de domaine aura besoin de quatre processeurs cadencs 850 MHz. 18. Limplmentation des serveurs dinfrastructure AD
Notez quun processeur 1,6 GHz peut remplacer deux processeurs cadencs 850 MHz. Un processeur 3 GHz peut remplacer quatre processeurs cadencs 850 MHz. Lanalyse des besoins dun contrleur en matire despace disque, comme les besoins en matire de processeur, dpend surtout du nombre dutilisateurs dans le domaine. Tenez compte des lments suivants pour analyser lespace disque ncessaire :
j
Le lecteur qui contient la base de donnes Active Directory (NTDS.dit) exige au moins 400 Mo pour chaque bloc dutilisateurs. Cela englobe lespace requis pour la partition DNS. Le lecteur qui contient les journaux de transactions Active Directory exige au moins 500 Mo. Le lecteur qui contient le dossier SYSVOL exige lui aussi au moins 500 Mo. Le lecteur qui contient les fichiers du systme dexploitation Windows Server 2003 exige environ 2 Go despace disque. Calcul de lespace libre Lors du calcul de lespace disque, vous devez prvoir de lespace disque supplmentaire sur les contrleurs de domaine qui hbergent le catalogue global. Pour une fort multidomaine, chaque domaine supplmentaire ajoute au catalogue global environ 50 % de la taille de sa base de donnes personnelle.
j j j
Lanalyse des besoins en matire de mmoire dpend une fois de plus du nombre dutilisateurs :
j j j
Pour 500 utilisateurs, le contrleur de domaine naura besoin que de 512 Mo de mmoire. Entre 500 et 1500 utilisateurs, le contrleur de domaine aura comme exigence 1 Go de mmoire. Sil y a plus de 1500 utilisateurs, le contrleur de domaine aura alors besoin de 2 Go de mmoire. Dimensionnement de la base de donnes Active Directory Rendez-vous ladresse www.microsoft.com/france/technet/produits/win2000s/info/info .asp?mar=/france/technet/produits/win2000s/info/adsize.html.
617
Chapitre 18
Toute configuration de serveur lheure actuelle peut faire face et rpondre aux besoins de la quasi-totalit des moyennes et grandes entreprises, ce qui laisse des marges de manuvre et de la souplesse dans la configuration. Cest pourquoi il nest pas toujours ncessaire de placer des machines neuves ou puissantes pour les contrleurs de domaine du domaine racine par exemple. Cela dit, nhypothquez pas lavenir en plaant des machines dont la maintenance est trop complique. 18. Limplmentation des serveurs dinfrastructure AD
Un serveur sur lequel est install Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition : attention, Web Edition ne prend pas en charge Active Directory ! Une partition ou un volume format avec le systme de fichiers NTFS : la partition NTFS est ncessaire pour le dossier SYSVOL. Les privilges administratifs ncessaires pour la cration, le cas chant, dun domaine dans un rseau Windows Server 2003 existant. Le protocole TCP/IP install et configur pour utiliser le systme DNS. Un serveur DNS qui fait autorit pour le domaine.
j j j j
Le serveur DNS qui fait autorit pour le domaine DNS doit prendre en charge les conditions suivantes :
Tableau 18.1 : Conditions de prise en charge du serveur DNS Condition requise Enregistrements de ressources SRV (obligatoires) Description Les enregistrements de ressources SRV sont des enregistrements DNS identifiant les ordinateurs qui hbergent des services spcifiques dans un rseau Windows Server 2003. Le serveur DNS qui prend en charge le dploiement dActive Directory doit galement prendre en charge les enregistrements de ressources SRV. Si ce nest pas le cas, vous devez configurer le systme DNS localement lors du processus dinstallation dActive Directory ou le configurer manuellement aprs linstallation dActive Directory.
618
Description Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent en charge les mises jour dynamiques. Le protocole de mise jour dynamique permet aux serveurs et aux clients voluant dans un environnement DNS dajouter et de modifier automatiquement des enregistrements dans la base de donnes DNS, ce qui rduit les tches administratives. Si vous utilisez un logiciel DNS qui prend en charge des enregistrements de ressources SRV, mais pas le protocole de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV manuellement dans la base de donnes DNS. Dans un transfert de zone incrmentiel, les modifications apportes une zone dun serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois recommands car ils permettent dconomiser de la bande passante rseau. En effet, seuls les enregistrements de ressources nouveaux ou modifis sont rpliqus entre des serveurs DNS, au lieu du fichier entier de base de donnes de la zone.
Dans la plupart des cas, dans les PME et PMI, ces questions ne se posent pas car le serveur Windows Server 2003 lui-mme gre le DNS.
619
Chapitre 18
Utilisation de lAssistant Installation dActive Directory : cette mthode convient la majeure partie des situations. Nous laborderons en dtail et lutiliserons tout au long de notre tude de cas sur lensemble des contrleurs de domaine, lexception du contrleur SNCERCDC03 (pour ce dernier, nous emploierons une autre mthode uniquement pour montrer une alternative dinstallation). Cet assistant prsente une suite de pages dans lesquelles il faudra saisir les informations que nous allons dtailler lors de linstallation de notre premier contrleur de domaine SNCERCDC01. Lassistant permet dinstaller tous les contrleurs de domaine de manire identique, tout en limitant le nombre derreurs. Utilisation dun fichier de rponses pour lancer linstallation sans assistance : cela permet dinstaller Active Directory distance (nous naborderons pas cette mthode dans ce chapitre vu le faible nombre de contrleurs utilis pour Puzzmania). Cette mthode reste toutefois intressante pour les entreprises qui possdent un nombre important dagences ayant des contrleurs de domaine sur site. Utilisation du rseau ou dun support de sauvegarde : attention, cette installation ne permet dinstaller Active Directory que sur des contrleurs de domaine supplmentaires ! Utilisation de lAssistant Configurer votre serveur : une manire supplmentaire dinstaller le premier contrleur de domaine uniquement.
Dmarrage du protocole dauthentification Kerberos, version 5. Dfinition de la stratgie de lautorit de scurit locale (LSA, Local Security Authority) : le paramtre indique que ce serveur est un contrleur de domaine. Cration de partitions Active Directory : une partition de rpertoire est une partie de lespace de noms du rpertoire. Chaque partition contient une hirarchie, ou une
620
sous-arborescence, des objets dannuaire de larborescence de rpertoire. Lors de linstallation, les partitions suivantes sont cres sur le premier contrleur de domaine dune fort partition dannuaire de schma ; partition dannuaire de configuration ; 18. Limplmentation des serveurs dinfrastructure AD partition dannuaire de domaine ; zone DNS de la fort ; partition de la zone DNS du domaine.
j j
Mises jour des partitions par lintermdiaire de la rplication sur chaque contrleur de domaine subsquent cr dans la fort. Cration de la base de donnes Active Directory et des fichiers journaux : lemplacement par dfaut de la base de donnes et des fichiers journaux est systemroot\Ntds. Amliorer les performances Pour amliorer les performances, placez la base de donnes et les fichiers journaux sur des disques durs distincts. De cette manire, les oprations de lecture et dcriture ralises dans la base de donnes et dans les fichiers journaux nentrent pas en concurrence pour les ressources en entre et en sortie.
Cration du domaine racine de la fort : si le serveur est le premier contrleur de domaine du rseau, le processus dinstallation cre le domaine racine de la fort, puis attribue les rles matres dopration au contrleur de domaine, notamment lmulateur de contrleur principal de domaine (PDC, Primary Domain Controller) ; le matre des identificateurs relatifs (RID, Relative Identifier) ; le matre dattribution de noms de domaine ; le contrleur de schma ; le matre dinfrastructure. Attribution des rles matres dopration Vous pouvez attribuer les rles matres dopration un autre contrleur de domaine lorsque vous ajoutez des contrleurs de domaine rpliqus au domaine.
Cration du dossier volume systme partag : cette structure de dossiers est hberge sur tous les contrleurs de domaine Windows Server 2003. Elle contient les dossiers suivants
621
Chapitre 18
le dossier partag SYSVOL, qui contient des informations relatives la stratgie de groupe ; le dossier partag Net Logon, qui contient les scripts de connexion des ordinateurs qui ne sont pas quips de Windows Server 2003. 18. Limplmentation des serveurs dinfrastructure AD
j
Configuration de lappartenance du contrleur de domaine un site appropri : si ladresse IP du serveur que vous souhaitez promouvoir contrleur de domaine se trouve dans la plage dadresses dun sous-rseau donn dfini dans Active Directory, lassistant configure lappartenance du contrleur de domaine au site associ au sous-rseau. Si aucun objet de sous-rseau nest dfini ou si ladresse IP du serveur ne se trouve pas dans la plage des objets de sous-rseau prsents dans Active Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier site configur automatiquement lorsque vous crez le premier contrleur de domaine dans une fort).
Pour plus dinformations sur les sites sous Windows Server 2003, lisez le chapitre La conception de la topologie des sites du volume I et le chapitre Ladministration et la gestion des sites du volume II de cet ouvrage. LAssistant Installation dActive Directory cre un objet serveur pour le contrleur de domaine dans le site appropri. Lobjet serveur contient les informations ncessaires pour la rplication. Cet objet serveur contient une rfrence lobjet ordinateur de lunit dorganisation Domain Controllers qui reprsente le contrleur de domaine en cours de cration. Objet serveur Si un objet serveur pour ce domaine existe dj dans le conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine, lassistant le supprime, puis le recre car il suppose que vous rinstallez Active Directory.
j
Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichiers : cela permet de contrler laccs des utilisateurs aux objets Active Directory. Application du mot de passe fourni par lutilisateur au compte administrateur : vous utilisez ce compte pour lancer le contrleur de domaine en mode Restauration des services dannuaire.
622
Pour apprendre installer des serveurs, lisez le chapitre Linstallation et le dploiement de Windows Server 2003. LAssistant Installation Active Directory Windows Server 2003 apporte des amliorations lAssistant Installation Active Directory. Lorsque vous installez le premier contrleur de domaine dans un domaine, vous pouvez autoriser lassistant installer et configurer automatiquement le service DNS intgr Active Directory. Mme sil reste quand mme certains rglages effectuer manuellement par la suite, lassistant permet de gagner du temps et dviter des erreurs de configuration. Que fait lassistant sur le premier contrleur de domaine de la racine de la fort (SNCERCDC01) ?
j j
Il demande ladministrateur de vrifier linstallation et la configuration du service DNS. Il configure la rsolution de noms DNS rcursive par redirection, en ajoutant les adresses IP des entres existantes pour le serveur DNS prfr et le serveur DNS auxiliaire la liste des serveurs DNS de longlet Redirecteur. Cet onglet est accessible sur la page des proprits du contrleur de domaine dans le composant logiciel enfichable DNS. Il configure la rsolution des noms rcursive par indications de racine, en ajoutant les indications de racine configures sur le serveur DNS prfr. Il configure le serveur DNS prfr de manire ce quil pointe sur le serveur DNS qui sexcute. Serveur contrleur de domaine Contrairement Windows NT 4.0 Server, Windows Server 2003 ne permet pas de spcifier en cours dinstallation que la machine sera un contrleur de domaine. Chaque serveur Windows Server 2003 est install en tant que serveur autonome ou en tant que serveur membre dun domaine. Une fois linstallation termine, vous pouvez promouvoir le serveur au rang de contrleur de domaine.
j j
623
Chapitre 18
2. Dans lAssistant Grer votre serveur, cliquez sur Ajouter ou supprimer un rle. 3. LAssistant Configurer votre serveur se lance. Cliquez sur Suivant. Lassistant inspecte votre configuration afin dy trouver les rles dj installs sur votre serveur. 4. Une fois linspection termine, cliquez sur Configuration personnalise. 5. Lassistant ouvre la fentre Rle du serveur dans laquelle se trouve lensemble des rles configurs ou non. Slectionnez Contrleur de domaine (Active Directory), puis cliquez sur Suivant.
Figure 18.2 : Assistant Configurer votre serveur Rle Contrleur de domaine (Active
Directory) 624
6. Lassistant ouvre une fentre Aperu des slections dans laquelle se trouve un rsum. Dans ce rsum doit figurer la mention "Excuter lAssistant Installation dActive Directory pour configurer ce serveur en tant que contrleur de domaine". Cliquez sur Suivant. 7. La fentre Assistant Installation Active Directory dmarre. Cliquez sur Suivant.
Figure 18.3 : Assistant Installation dActive Directory
8. Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. 9. Sur la page Type de contrleur de domaine, slectionnez loption Contrleur de domaine pour un nouveau domaine.
Figure 18.4 : Type de contrleur de domaine
625
Chapitre 18
10. Sur la page Crer un nouveau domaine, slectionnez loption Domaine dans une nouvelle fort, puis cliquez sur Suivant.
Figure 18.5 : Crer un nouveau domaine
11. Sur la page Installer ou configurer le service DNS, slectionnez Non, je veux installer et configurer le service DNS sur cet ordinateur. Cliquez sur suivant. 12. Sur la page Nouveau nom de domaine, saisissez le nom du domaine puzzmania.com dans la zone Nom DNS complet pour le nouveau domaine, puis cliquez sur Suivant.
Figure 18.6 : Nom de domaine DNS pour le domaine
propos des minuscules et des majuscules (RFC 1034) Les noms de domaine peuvent tre enregistrs en minuscules, en majuscules ou dans un mlange des deux. Cependant, le RFC prcise que, quelle que soit la faon dont le nom est enregistr, toutes les oprations sont insensibles la casse.
626
13. Patientez jusqu laffichage de la page Nom de domaine NetBIOS. Il est recommand dutiliser le nom NetBIOS prconis par dfaut (PUZZMANIA). Cliquez sur Suivant.
Figure 18.7 : Nom de domaine NetBIOS
14. Sur la page Dossiers de la base de donnes et du journal, saisissez le chemin de lemplacement de la base de donnes Active Directory dans la zone Dossier de la base de donnes. Saisissez le chemin de lemplacement du journal dans la zone Dossier du journal. Cliquez sur Suivant.
Figure 18.8 : Dossiers de la base de donnes et du journal
Dossiers de la base de donnes et du journal Bien quil soit recommand de placer ces deux dossiers sur des disques durs diffrents, il est prfrable pour une entreprise de taille moyenne possdant des contrleurs de domaine de puissance correcte de garder ces deux dossiers lemplacement dorigine.
627
Chapitre 18
15. Sur la page Volume systme partag, saisissez lemplacement du dossier SYSVOL. Le volume systme partag doit se trouver sur une partition ou un volume formats NTFS. Cliquez sur Suivant. Il est prfrable pour de moyennes entreprises de garder SYSVOL son emplacement dorigine. 16. Sur la page Autorisations, slectionnez les permissions par dfaut des objets utilisateur et groupe, et cliquez sur Suivant.
Figure 18.9 : Autorisations
17. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez de mot de passe que vous souhaitez affecter ce compte dadministrateur sur le serveur pour le cas o il serait ncessaire de dmarrer lordinateur en mode Restauration des services dannuaire. Confirmez le mot de passe et cliquez sur Suivant.
Figure 18.10 : Mot de passe administrateur de restauration des services dannuaire
628
18. Sur la page Rsum, les options que vous avez slectionnes apparaissent. Revoyez le contenu de cette page avant de cliquer sur Suivant. Lassistant met quelques minutes configurer les composants Active Directory. Si vous navez pas configur ladresse IP statique pour le serveur, vous serez invit le faire ce moment-l.
Figure 18.11 :
Rsum
19. Lorsque la page Fin de lAssistant Installation de Active Directory apparat, cliquez sur Terminer, puis sur Redmarrer maintenant.
629
Chapitre 18
Une fois que le serveur a redmarr, la fentre Grer votre serveur indique quil a t configur avec les rles contrleur de domaine (Active Directory) et serveur DNS. Le premier contrleur de domaine est install. ce stade de limplmentation, ce contrleur joue le contrleur de domaine du domaine, mais galement de la fort. Il possde donc pour le moment tous les rles matres dopration ainsi que le catalogue global.
630
Tableau 18.2 : Partage NETLOGON et SYSVOL Nom de partage NETLOGON SYSVOL Enregistrement %systemroot%\SYSVOL\sysvol \domaine\SCRIPTS %systemroot%\SYSVOL\sysvol Remarque Partage de serveur daccs Partage de serveur daccs
631
Chapitre 18
Edb.* : fichiers journaux des transactions et des points de vrification. Res*.log : fichiers journaux rservs.
Lors de linstallation dActive Directory sur le premier contrleur de domaine dun nouveau domaine, ce qui est le cas sur SNCERCDC01 pour le domaine puzzmania, plusieurs objets par dfaut sont crs. Ces objets peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des units dorganisation. Affichez ces objets par dfaut laide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
632
Nous aborderons plus en dtail les objets crs par Active Directory un peu plus loin dans ce chapitre.
Voici les tapes permettant de vrifier la configuration DNS : 1. Cliquez sur Dmarrer/Outils dadministration, puis slectionnez DNS. 2. Dans larborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, slectionnez puzzmania.com et dveloppez les nuds _msdcs, _sites, _tcp et _udp pour voir les inscriptions de ressources par dfaut. Le service Netlogon cre un fichier journal qui contient les inscriptions de ressources SRV. Ce fichier est stock dans %systemroot%\system32\config\Netlogon.dns. 633
Chapitre 18
634
18. Limplmentation des serveurs dinfrastructure AD 4. Dans larborescence de la console, cliquez du bouton droit de la souris sur le serveur DNS et choisissez Proprits dans le menu contextuel. Une bote de dialogue apparat. 5. Sous longlet Avanc, vrifiez que, dans la zone intitule Charger les donnes de zone au dmarrage, loption partir dActive Directory et du registre est active. Cliquez sur OK.
635
Chapitre 18
4. Dans la fentre de bienvenue de Windows, cliquez sur [Ctrl]+[Alt]+[Suppr]. Ouvrez une session sur lordinateur local en utilisant le nom de compte administrateur (spcifi au cours de la configuration du serveur) et le mot de passe du mode Restauration (spcifi pendant linstallation dActive Directory). Cliquez sur OK. Nom de compte et mot de passe Il nest pas possible dutiliser le nom et le mot de passe administrateur Active Directory car le service est dconnect et la vrification de compte ne peut avoir lieu. Cest la base de compte SAM qui intervient pour le contrle des accs Active Directory sur lordinateur pendant que ce dernier est dconnect. 5. Un message vous avertit que Windows fonctionne en mode sans chec. Cliquez sur OK pour dmarrer le contrleur de domaine en mode sans chec. 6. Pour retourner au fonctionnement normal dActive Directory, redmarrez votre serveur.
636
Sur Internet via le protocole NTP : dans ce cas, il faut permettre lmulateur PDC de rsoudre les noms DNS vers Internet et faire en sorte quil puisse dialoguer avec un serveur NTP externe via le port TCP/IP 123. Sur une source interne via le protocole NTP : il faudra dans ce cas permettre lmulateur PDC de rsoudre le nom DNS de la rfrence externe et faire en sorte quil puisse dialoguer avec le serveur NTP interne via le port TCP/IP 123.
Il est possible de synchroniser lheure de lmulateur PDC avec celle dun serveur externe en excutant la commande net time conformment la syntaxe net time \\NomServeur /setsntp:SourceHeure. Cela permet tous les ordinateurs de la fort qui excutent Windows Server 2003, Windows 2000 ou Windows XP dtre la mme heure, quelques secondes prs. Les ordinateurs excutant une version de Windows antrieure doivent disposer de la commande de synchronisation partir dune rfrence horaire lors de louverture de session utilisateur (script de login), conforme la syntaxe net time \\NomServeur /set.
Congurer le service de temps Windows pour utiliser une horloge matrielle interne
Pour configurer le contrleur de domaine sans utiliser de source de temps externe, il faut modifier lindicateur dannonce sur le serveur mulateur PDC. Cette configuration force le matre mulateur PDC se dclarer en tant que source de temps fiable et utilise lhorloge temps rel CMOS (Complementary Metal Oxide Semiconductor) intgre. 637
Chapitre 18
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config
Tableau 18.3 : Configuration du service de temps Windows pour utiliser une horloge
Congurer le service de temps Windows pour utiliser une source de temps externe
Changer le type de serveur en NTP
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Parameters
Tableau 18.4 : Changement du type de serveur en NTP Paramtre Type Valeur NTP Observation
Dnir lAnnounceFlags
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config
Activer NTPServer
j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders
638
Tableau 18.6 : Activation de NTPServer Paramtre NTPServer Valeur Homologues Observation Homologues est un espace rserv pour une liste limite dhomologues partir desquels votre ordinateur obtient les informations horaires. Chaque nom DNS rpertori doit tre unique. Vous devez ajouter ,0x1 la fin de chaque nom DNS.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \TimeProviders\NtpClient
Tableau 18.7 : Slection de lintervalle dinterrogation Paramtre SpecialPoll Interval Valeur TempsEn Secondes Observation TempsEnSecondes est un espace rserv pour le nombre de secondes souhait entre chaque interrogation. La valeur recommande est 900. Cette valeur configure le serveur de temps pour une interrogation toutes les 15 minutes.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Configq
Tableau 18.8 : Configuration des paramtres de correction de temps Paramtre Valeur Observation TempsEnSecondes est un espace rserv pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous slectionnez dpend de lintervalle dinterrogation, des conditions rseau et de la source de temps externe. TempsEnSecondes est un espace rserv pour une valeur raisonnable, par exemple 1 heure (3600) ou 30 minutes (1800). La valeur que vous slectionnez dpend de lintervalle dinterrogation, des conditions rseau et de la source de temps externe. MaxPos Phase TempsEn Correction Secondes
639
Chapitre 18
640
Interne Interne
Interne
Conteneur Personnes pouvant accder en lecture Users seule au serveur DHCP Conteneur Administrateurs DNS Users
641
Chapitre 18
Type dobjet Groupe de scurit local au domaine Groupe de scurit local au domaine Groupe de scurit global Groupe de scurit Global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Groupe de scurit global Utilisateur Utilisateur Utilisateur
Emplacement
Fonction
Conteneur Serveurs RAS et IAS Users Conteneur Personnes pouvant accder en lecture Users seule WINS Conteneur Certification dentreprise et agents de Users renouvellement Conteneur Clients DNS pouvant faire des mises Users jour dynamiques pour le compte dautres clients (serveurs DHCP par exemple) Conteneur Administrateurs du domaine Users Conteneur Stations et serveurs, membres du Users domaine Conteneur Contrleurs du domaine Users Conteneur Tous les invits du domaine Users Conteneur Tous les utilisateurs du domaine Users Conteneur Administrateurs dsigns de lentreprise Users Conteneur Administrateurs dsigns du schma Users Conteneur Compte prdfini pour ladministration de Users lordinateur/du domaine Conteneur Compte prdfini pour les accs du type Users Invit lordinateur/au domaine Conteneur Compte prdfini pour les accs Users anonymes IIS (Internet Information Services) Conteneur Compte prdfini pour les accs Users anonymes aux applications IIS Out-ofprocess Conteneur Compte du service KDC Users
Admins du domaine Ordinateurs du domaine Contrleurs de domaine Invits du domaine Utilisa. du domaine Administrateurs de lentreprise Administrateurs du schma Administrateur Invit IUSR_xxx
IWAM_xxx
Utilisateur
Krbtgt
Utilisateur
642
tes susceptible de rencontrer lors de linstallation dActive Directory, ainsi que les stratgies permettant de les rsoudre :
Tableau 18.11 : Problmes lis linstallation dActive Directory Problme Accs refus lors de linstallation ou de lajout de contrleurs de domaine Solution
Fermez la session, puis ouvrez-la de nouveau laide dun compte appartenant au groupe Administrateurs local. Fournissez les informations didentification dun compte dutilisateur membre des groupes Admins du domaine et Administrateurs de lentreprise. Modifiez le nom de sorte quil soit unique. Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez promouvoir au titre de contrleur de domaine et au moins lun des contrleurs de domaine du domaine. Utilisez la commande ping partir de lInvite de commandes. Pour tester la connexion un contrleur de domaine du domaine, vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur du domaine en vous connectant un contrleur de domaine laide de son nom DNS. Pour cela, lInvite de commandes, saisissez le nom de domaine pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter au contrleur de domaine. Vous pouvez galement vous assurer que le systme DNS a t configur correctement en vrifiant les enregistrements A que les contrleurs de domaine enregistrent dans la base de donnes DNS. Augmentez la taille de la partition ou installez la base de donnes et les fichiers journaux Active Directory sur des partitions distinctes.
Les noms de domaine DNS ou NetBIOS ne sont pas uniques Le domaine ne peut pas tre contact
Windows Server 2003 propose un ensemble doutils pour diagnostiquer et rsoudre les problmes susceptibles de survenir durant linstallation dActive Directory :
j j
Le journal du service dannuaire. Netdiag.exe : cet utilitaire permet de tester la connectivit rseau. Excutez netdiag .exe chaque fois quun ordinateur rencontre un problme sur le rseau. Cet utilitaire essaiera de diagnostiquer le problme. Il peut mme baliser les zones problmatiques pour une inspection plus approfondie. Il est capable de remdier des problmes de DNS simples grce son commutateur /fix.
643
Chapitre 18
Dcdiag.exe : cet outil permet dexaminer les contrleurs de domaine. Il analyse ltat des contrleurs de domaine de la fort ou dune entreprise et dcrit les problmes ventuels. Dcdiag.exe lance une srie de tests pour vrifier diffrentes fonctions dActive Directory. Saisissez la commande dcdiag /s:mon_controleur_domaine /test:connectivity depuis une Invite de commandes pour tester la connectivit un autre contrleur de domaine.
Les fichiers Dcpromoui.log, Dcpromos.log et Dcpromo.log. Ntdsutil.exe : il sagit de loutil de diagnostic dActive Directory. Il propose des services de gestion dActive Directory. Attention, utilisez cet utilitaire trs puissant avec prcaution !
Saisissez un nom dutilitaire suivi de /? pour en savoir plus son sujet. Ces outils sont puissants et complets. Avant dutiliser certains dentre eux, il faut installer les supports tools qui se trouvent dans la partie Support\tools\suptools.msi du CD-Rom dinstallation de Windows Server 2003. 644
3. Lorsque vous y tes invit, confirmez que vous souhaitez renommer le contrleur de domaine. 4. Entrez le nom complet de lordinateur (notamment le suffixe DNS principal), puis cliquez sur OK. Indisponibilit du contrleur Le fait de renommer un contrleur de domaine risque de le rendre provisoirement indisponible : ni les utilisateurs ni les ordinateurs ne pourront y accder. Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son suffixe DNS principal. Cependant, cette modification ne permet pas de dplacer le contrleur de domaine vers un nouveau domaine Active Directory. Par exemple, si vous renommez le serveur stlsrcdc01.corp.puzzmania.com en sncercdc04.puzzmania.com, lordinateur reste un contrleur de domaine pour le domaine corp.puzzmania.com, mme si le suffixe DNS principal est puzzmania.com. Pour dplacer un contrleur de
Chapitre 18
domaine vers un autre domaine, vous devrez pralablement "rtrograder" le contrleur de domaine, puis le promouvoir au titre de contrleur de domaine dans le nouveau domaine.
646
3. Sur la page Mot de passe administrateur, saisissez le nouveau mot de passe administrateur dans les botes de dialogue Nouveau mot de passe administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
Figure 18.25 : Validation du mot de passe Active Directory pour la suppression du contrleur de domaine
4. Sur la page Rsum, passez en revue le rsum, cliquez sur Suivant, puis sur Terminer. Une fois redmarr, le serveur sera toujours dans le domaine, mais il sera un simple serveur membre du domaine.
Chapitre 18
6. Maintenant, il faut slectionner le serveur supprimer. Pour cela, saisissez select operation target, puis appuyez sur []. 7. Vous pouvez slectionner domaines, sites et serveurs en demandant pralablement Ntdsutil de les lister. Celui-ci les liste en les numrotant. Tout dabord, saisissez list domains, puis appuyez sur []. La liste de domaines apparat. Dans notre exemple, Ntdsutil liste les trois domaines en les numrotant de 0 2. 8. Pour slectionner le domaine puzzmania.com, saisissez select domain 0 et appuyez sur [].
select operation target: list domains 3 domaine(s) trouv(s) 0 - DC=puzzmania,DC=com 1 - DC=corp,DC=puzzmania,DC=com 2 - DC=rd,DC=puzzmania,DC=com
9. Ensuite, choisissez le site dans lequel rside le contrleur de domaine supprimer. Vous devez connatre le numro du site de Nice o rside SNCERCDC03. Pour trouver les sites qui existent et connatre leur numro, saisissez list sites, puis appuyez sur []. 10. Le site de Nice porte le numro 0. Saisissez select site 1 et appuyez sur [] pour le slectionner.
11. Maintenant que vous avez le domaine et le site, il faut vous rapprocher du serveur. Pour trouver le numro du serveur, saisissez list servers for domain in site, puis appuyez sur [].
648
12. Une fois les serveurs lists, slectionnez le contrleur de domaine en saisissant select server 2 puisque SCNERCDC03 est le troisime contrleur de domaine. Appuyez sur []. 13. prsent, le contrleur de domaine du site choisi est slectionn. Saisissez quit pour revenir lInvite de commandes metadata cleanup. 14. Saisissez remove selected server et appuyez sur []. Deux botes de dialogue davertissement demandent de confirmer votre choix. Confirmez et le serveur est supprim. Ntdsutil Si vous effectuez les mmes manipulations au niveau du domaine et que vous saisissiez remove selected domain, aprs confirmation dans les botes de dialogue, votre domaine part en fume. 15. Saisissez quit et appuyez sur [] pour quitter Ntdsutil. Attention, lorsque vous supprimez un contrleur de domaine qui est serveur de catalogue global, assurez-vous que les utilisateurs peuvent disposer dun autre catalogue global avant la suppression ! De mme, si le contrleur de domaine dtient un rle matre dopration, vous devez transfrer ce rle vers un autre contrleur avant la suppression. Nous y reviendrons plus loin. 18. Limplmentation des serveurs dinfrastructure AD
649
Chapitre 18
1. Ouvrez une session en tant quadministrateur. 2. Cliquez sur Dmarrer/Excuter, puis saisissez dcpromo/adv dans la zone Ouvrir. Cliquez sur OK. 3. Sur la page Type de contrleur de domaine, cochez la case Contrleur de domaine supplmentaire pour un domaine existant. Sinon, si vous lancez lAssistant Installation dActive Directory avec loption /adv, choisissez sur la page Copie des informations du domaine en cours loption Via le rseau ou loption partir des fichiers de restauration de cette sauvegarde, puis indiquez lemplacement des fichiers de sauvegarde restaurs.
Figure 18.27 : Installation Active Directory depuis le rseau
4. Sur la page Informations didentification rseau, saisissez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Admins du domaine pour le domaine cible. 5. Sur la page Contrleur de domaine supplmentaire, spcifiez le nom de domaine pour lequel ce serveur deviendra un contrleur de domaine supplmentaire. 6. Sur la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, ou cliquez sur Parcourir pour choisir un emplacement. 7. Sur la page Volume systme partag, saisissez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement.
650
8. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez et confirmez le mot de passe du mode Restauration des services dannuaire, puis cliquez sur Suivant. 9. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 10. Lorsque le systme vous y invite, redmarrez lordinateur. Domaine et fichiers de sauvegarde Pour copier les informations de domaine partir de fichiers de sauvegarde, vous devez dabord sauvegarder ltat du systme (System State) dun contrleur de domaine appartenant au domaine dans lequel le nouveau serveur deviendra contrleur de domaine supplmentaire. Ensuite, restaurez la sauvegarde de ltat du systme localement sur le serveur que vous vous apprtez promouvoir. Pour cela, recourez lutilitaire de sauvegarde Windows Server 2003, choisissez loption Restaurez vers : Autre emplacement. Si le contrleur de domaine partir duquel vous avez restaur ltat du systme tait galement un catalogue global, lAssistant Installation dActive Directory vous demande si vous souhaitez que ce contrleur de domaine devienne galement un catalogue global. 18. Limplmentation des serveurs dinfrastructure AD
Pour plus dinformations sur les installations partir de fichier de rponses, reportez-vous au chapitre Linstallation et le dploiement de Windows Server 2003.
651
Chapitre 18
DomainDnsZones sont bien rpliques. Utilisez le composant logiciel enfichable DNS pour vrifier que la rsolution de noms rcursive du serveur DNS est configure en accord avec la mthode utilise par votre organisation.
Voici un script issu du script center qui vous permet de lister les partenaires de rplications :
strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & _ strComputer & "\root\MicrosoftActiveDirectory") Set colReplicationOperations = objWMIService.ExecQuery _ ("Select * from MSAD_ReplNeighbor") For each objReplicationJob in colReplicationOperations Wscript.Echo "Domain: " & objReplicationJob.Domain Wscript.Echo "Naming context DN: " & objReplicationJob.NamingContextDN Wscript.Echo "Source DSA DN: " & objReplicationJob.SourceDsaDN Wscript.Echo "Last synch result: " & objReplicationJob.LastSyncResult Wscript.Echo "Number of consecutive synchronization failures: " & _ objReplicationJob.NumConsecutiveSyncFailures Next
652
2. Configurez les paramtres DNS clients du premier contrleur de domaine et des contrleurs de domaine subsquents. 3. Mettez jour la dlgation DNS.
Les enregistrements de ressources obsoltes peuvent consommer lespace disque du serveur et gnrer des temps de transfert de zones inutilement longs. Les serveurs DNS chargeant des zones avec des enregistrements de ressources obsoltes risquent dutiliser des informations qui ne sont pas jour pour rpondre aux requtes clients, ce qui peut gnrer des problmes de rsolution de noms pour les clients sur le rseau. Laccumulation denregistrements de ressources obsoltes sur le serveur DNS peut dgrader ses performances et sa ractivit. Vieillissement et nettoyage Par dfaut, le mcanisme de vieillissement et de nettoyage du service Serveur DNS est dsactiv. Ne lactivez quaprs en avoir compris tous les paramtres. Sans cela, le serveur pourrait accidentellement supprimer des enregistrements de ressources qui ne doivent pas ltre. Si un enregistrement de ressource est accidentellement supprim, les utilisateurs ne parviendront plus obtenir une rponse leurs requtes pour cet enregistrement de ressource ; tout utilisateur pourra en outre crer lenregistrement de ressource et en devenir le propritaire, mme sur des zones configures pour les mises jour dynamiques scurises. Pour plus dinformations concernant la manire de configurer le vieillissement et le nettoyage, consultez la page de prsentation du vieillissement du nettoyage du centre daide et de support de Windows Server 2003.
653
Chapitre 18
Pour activer les fonctionnalits de vieillissement et de nettoyage, suivez ces tapes : 1. Activez le vieillissement et le nettoyage sur le serveur DNS appropri. Ces paramtres dterminent les proprits de niveau zone pour toute zone intgre Active Directory sur le serveur. 18. Limplmentation des serveurs dinfrastructure AD 2. Activez le vieillissement et le nettoyage pour les zones slectionnes sur le serveur DNS. Lorsque des proprits de zone sont dfinies pour une zone slectionne, ces paramtres sappliquent uniquement la zone en question et ses enregistrements de ressources. moins que ces proprits de niveau zone soient configures autrement, elles hritent leurs paramtres par dfaut de rglages comparables conservs dans les proprits de vieillissement/nettoyage du serveur DNS.
3. Cochez loption Nettoyer les enregistrements de ressources obsoltes. 4. Modifiez les autres proprits de vieillissement et de nettoyage comme requis.
654
vrification de la structure des dossiers ; vrification des dossiers partags ; vrification de la base de donnes et des fichiers journaux dActive Directory ; vrification de la configuration DNS ; vrification de lintgration du DNS Active Directory ; vrification du mode Restauration des annuaires.
Ces oprations pourront se faire galement pour le deuxime domaine enfant de puzzmania.
655
Chapitre 18
Pour installer le premier domaine enfant de puzzmania, procdez comme suit : 1. Connectez-vous en tant que puzzmania\administrateur. 2. Cliquez sur Dmarrer, cliquez du bouton droit de la souris sur Invite de commandes, puis cliquez sur Excuter en tant que. 18. Limplmentation des serveurs dinfrastructure AD
Figure 18.31 : Commande Excuter en tant que
3. Dans la bote de dialogue Excuter en tant que, cliquez sur Lutilisateur suivant, saisissez un nom dutilisateur puzzmania\administrateur et le mot de passe, puis cliquez sur OK. 4. lInvite de commandes, saisissez dcpromo et appuyez sur []. 5. Sur la page Assistant Installation dActive Directory, cliquez sur Suivant. 6. Sur la page Compatibilit du systme dexploitation, cliquez sur Suivant. 7. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis cliquez sur Suivant. 8. Sur la page Crer un nouveau domaine, cliquez sur Domaine enfant dans une arborescence de domaine existante, puis sur Suivant.
Figure 18.32 : Cration dun domaine enfant dans une arborescence existante
656
9. Sur la page Informations didentification rseau, saisissez Administrateur comme nom dutilisateur, assurez-vous que puzzmania.com est le domaine, puis cliquez sur Suivant. 10. Sur la page Installation dun domaine enfant, assurez-vous que le domaine parent est puzzmania.com, saisissez le nom de domaine enfant recherche, puis cliquez sur Suivant.
Figure 18.33 : Cration du domaine enfant rd
11. Sur la page Nom de domaine NetBIOS, vrifiez que le nom NetBIOS est RD, puis cliquez sur Suivant. 12. Sur la page Dossier de la base de donnes et du journal, acceptez la slection par dfaut, puis cliquez sur Suivant. 13. Sur la page Volume systme partag, acceptez lemplacement par dfaut dinstallation du dossier SYSVOL, puis cliquez sur Suivant. 14. Sur la page Diagnostics des inscriptions DNS, assurez-vous que les paramtres de configuration DNS sont exacts, puis cliquez sur Suivant. 15. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les systmes dexploitation Windows 2000 ou Windows Server 2003, puis cliquez sur Suivant. 16. Sur la page Mot de passe administrateur de restauration des services dannuaire, saisissez et confirmez le mot de passe et cliquez sur Suivant. 17. Passez en revue la page Rsum, cliquez sur Suivant pour commencer linstallation, puis sur Terminer. 18. Redmarrez le serveur.
657
Chapitre 18
19. Vous pouvez maintenant installer les deuximes contrleurs de domaine de chaque domaine sur leurs sites respectifs. 20. Testez la rplication laide de la commande repadmin /showrepl pour vous assurer que les rplications fonctionnent correctement entre les contrleurs de domaine. En cas de problme, vous pouvez dans un premier temps utiliser la commande netdiag /fix.
18.6. En rsum
Pour rsumer et clore ce chapitre, Active directory est en quelque sorte la colonne vertbrale de votre organisation. Il bnficie dune grande souplesse lui permettant de prendre en compte dans son implmentation les notions logiques pour les domaines, par exemple, et les notions physiques telle que les sites. Le mode de rplication multimatre permet Active Directory de fonctionner de manire dsynchronise durant quelque temps. Nous avons vu quActive Directory devait rpondre quelque prrequis pour son bon fonctionnement. Ce qui peut amener poser la question suivante : "Active Directory est-il tributaire de la configuration du serveur pour pouvoir bnficier de bonnes performances ?" Oui, Active Directory est tributaire de sa configuration pour de bonnes performances, celle-ci doit rpondre aux exigences suivantes :
j j j j j
850 MHz par tranche de 500 utilisateurs ; 512 Mo de RAM par tranche de 500 utilisateurs ; 500 Mo despace disque pour SYSVOL ; 400 Mo despace disque pour NTDS.dit ; 2 Go despace disque pour la partition systme.
Lors de linstallation du domaine racine de fort, nous avons pu constater que lon pouvait installer Active Directory de plusieurs manires. Combien existe-t-il mthodes pour installer Active Directory sur un contrleur de domaine ? Il existe quatre mthodes pour installer un contrleur de domaine.
j j j j
utilisation de lAssistant Installation dActive Directory ; utilisation dun fichier de rponse ; installation depuis le rseau ou un mdia ; utilisation de lAssistant Configurer votre serveur.
658
En rsum
Aprs linstallation dActive Directory sur les contrleurs de domaine, il est ncessaire de vrifier et de reconfigurer certains paramtres. Que se passe-t-il une fois que le premier contrleur de domaine est install ? Un ensemble dutilisateurs et de groupes prdfinis est install. Le contrleur possde automatiquement le catalogue global, mais aussi lensemble des rles matre doprations. Lvolution de la puissance des processeurs fait quaujourdhui la plupart des contrleurs de domaine restent sous-exploits. La virtualisation permet doptimiser et de consolider les contrleurs de domaines de plusieurs domaines dun mme site sur le mme serveur physique. Cependant, il nest pas recommand ce jour de virtualiser lensemble des contrleurs de domaine dun mme domaine. ce titre, Microsoft met disposition sur son site un document de 70 pages sur les recommandations de la virtualisation des contrleurs de domaine. Ce quil est important de garder lesprit, cest que les performances dActive Directory rsident dans la puissance processeur, mais galement dans la capacit charger la base de donnes en mmoire.
659
Chapitre 19
ien quessentiels mais peu utiliss par les administrateurs, nous allons aborder les rles matres dopration, apporter des explications par le biais de quelques dfinitions ou travaux pratiques. Nous aborderons galement la mise en place de relations dapprobation afin de pouvoir continuer utiliser des ressources des domaines existants. Afin dexploiter au mieux les nouvelles fonctionnalits apportes par Windows Server 2003, nous dcrirons les niveaux fonctionnels aux niveaux des domaines et de la fort.
Le contrleur de schma
Le schma Active Directory dfinit les types dobjets et les types dinformations qui sy rapportent pouvant tre stocks dans Active Directory. Active Directory stocke ces dfinitions sous forme dobjets. Active Directory gre les objets du schma laide des mmes oprations de gestion dobjet que celles quil utilise pour grer les autres objets de lannuaire. Le contrleur de schma excute les rles suivants :
j
663
Chapitre 19
j j
Il contient la liste principale des classes dobjets et des attributs utiliss pour la cration de tous les objets Active Directory. Il rplique les mises jour apportes au schma Active Directory sur tous les contrleurs de domaine de la fort en utilisant la rplication de la partition de schma. Il autorise uniquement les membres du groupe Administrateurs du schma modifier le schma. Chaque fort possde un seul contrleur de schma. Cela permet dviter les conflits quentraneraient des tentatives de mise jour simultanes du schma par plusieurs contrleurs de domaine. Si le contrleur de schma nest pas disponible, vous ne pouvez pas modifier le schma ou installer des applications qui le modifient.
(SID, Security IDentifier) cet objet. Cet identificateur consiste en un identificateur de scurit de domaine, qui est le mme pour toutes les entits de scurit cres dans le domaine, et en un identificateur relatif qui est unique pour chaque entit de scurit cre dans le domaine. Le matre RID prend en charge la cration et les dplacements dobjets
j
Cration dobjets : pour permettre une opration multimatre de crer des objets sur un contrleur de domaine, le matre RID alloue un bloc didentificateurs relatifs un contrleur de domaine. Lorsquun contrleur de domaine requiert un bloc didentificateurs relatifs supplmentaires, il contacte le matre RID qui lui alloue un nouveau bloc didentificateurs relatifs, puis les attribue de nouveaux objets. Lorsque la rserve didentificateurs relatifs dun contrleur de domaine est vide et que le matre RID est indisponible, la cration dentit de scurit sur ce contrleur de domaine est impossible. Lutilitaire de diagnostic du contrleur de domaine (commande dcdiag) vous permet dafficher lattribution de rserve didentificateurs relatifs. Dplacement dobjets : lorsque vous dplacez un objet dun domaine lautre, le dplacement est initi sur le matre RID qui contient lobjet. De cette faon, il ny a pas de duplication des objets. Si vous dplaciez un objet sans quun seul matre conserve cette information, vous pourriez dplacer lobjet vers plusieurs domaines sans savoir quun dplacement prcdent a dj eu lieu. Suppression Lors dun dplacement dun domaine un autre, le matre RID supprime lobjet du domaine dorigine.
Lmulateur PDC
Lmulateur PDC agit comme un contrleur de domaine principal Microsoft Windows NT pour prendre en charge les contrleurs secondaires de domaine excutant Windows NT dans un domaine en mode mixte. la cration dun domaine, Active Directory attribue le rle dmulateur PDC au premier contrleur de domaine du nouveau domaine. Lmulateur PDC excute les rles suivants :
j
Il agit en tant que contrleur de domaine principal pour tous les contrleurs secondaires de domaine existants. Si un domaine contient des contrleurs secondaires de domaine ou des ordinateurs clients excutant Windows NT 4.0 ou une version antrieure, lmulateur PDC fonctionne en tant que contrleur de domaine principal Windows NT ; lmulateur PDC rplique les modifications apportes lannuaire sur tous les contrleurs secondaires de domaine excutant Windows NT.
665
Chapitre 19
Il gre les modifications de mot de passe des ordinateurs excutant Windows NT, Microsoft Windows 95 ou Windows 98. Active Directory inscrit directement les modifications de mot de passe dans lmulateur PDC. Il minimise la latence de rplication des modifications de mot de passe. Le dlai ncessaire pour quun contrleur de domaine reoive une modification apporte un autre contrleur de domaine est appel"latence de rplication". Lorsque le mot de passe dun ordinateur client excutant Windows 2000 ou une version ultrieure est modifi sur un contrleur de domaine, ce dernier transmet immdiatement la modification lmulateur PDC. Si une authentification de connexion choue sur un autre contrleur de domaine du fait dun mauvais mot de passe, ce contrleur de domaine transmet la demande dauthentification lmulateur PDC avant de rejeter la tentative de connexion. Il synchronise lheure de tous les contrleurs de domaine du domaine en fonction de son heure. Le protocole dauthentification Kerberos, version 5, exige que lheure des contrleurs de domaine soit synchrone pour autoriser lauthentification. Les ordinateurs clients dun domaine synchronisent galement leur heure sur celle du contrleur de domaine authentifiant lutilisateur. Il interdit toute possibilit dcrasement des objets de stratgie de groupe (GPO, Group Policy Object). Par dfaut, la stratgie de groupe rduit les risques de conflits de rplication en sexcutant sur le contrleur de domaine jouant le rle dmulateur PDC pour ce domaine.
Le matre dinfrastructure
Le matre dinfrastructure est un contrleur de domaine qui met jour les rfrences des objets de son domaine qui pointent vers les objets dun autre domaine. La rfrence contient lidentificateur global unique (GUID, Globally Unique IDentifier) de lobjet, son nom unique et ventuellement un identificateur de scurit (SID). Active Directory met rgulirement jour le nom unique et lidentificateur de scurit afin de reflter les modifications apportes lobjet, par exemple lorsquun objet a t dplac au sein dun domaine ou entre des domaines, ou quil a t supprim.
Si lobjet est dplac, son nom unique change car il reprsente son emplacement exact dans lannuaire.
666
j j j
Si lobjet est dplac au sein du domaine, son identificateur de scurit ne change pas. Si lobjet est dplac vers un autre domaine, lidentificateur de scurit change afin de reflter le nouvel identificateur de scurit du domaine. Lidentificateur global unique ne change pas quel que soit lemplacement car il est unique sur tous les domaines. Vrifier le transfert de rle Dans un environnement domaines multiples, assurez-vous que le rle matre dinfrastructure est transfr sur un contrleur de domaine qui nhberge pas le catalogue global. Sinon, certains contrleurs de domaine peuvent finir par disposer dinformations obsoltes sur les appartenances aux groupes.
667
Chapitre 19
Ce qui nous amne aborder le transfert de rles des matres doprations. Une question lgitime pour se poser : "Mais sil ny a quun seul matre doprations pour la fort ou le domaine ! Que le contrleur de domaine tombe en panne, comment vais-je faire pour transfrer mon rle matre ? Que va-t-il se passer ?" En fait, dans ce cas, il ne sera plus question de transfrer un rle matre, mais plutt deffectuer une prise de ce rle. Cela comporte un certain nombre de recommandations.
Pour dterminer en mode graphique quel serveur est le contrleur de schma, procdez comme suit : 1. Enregistrez le composant logiciel enfichable Schma Active Directory en excutant la commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll.
Figure 19.2 :
668
2. Cliquez sur OK. 3. Crez une console MMC (Microsoft Management Console) personnalise, puis ajoutez-lui le composant logiciel enfichable Schma Active Directory. 4. Dans larborescence de la console, dveloppez, puis cliquez avec le bouton droit sur Schma Active Directory, et cliquez sur Matre doprations. 5. Dans la bote de dialogue Modifier le matre doprations, examinez le nom de lactuel contrleur de schma.
3. Cliquez sur Spcifiez un nom, entrez le nom du contrleur de domaine auquel vous souhaitez transfrer le rle de contrleur de schma (scerddc02), puis cliquez sur OK. 4. Dans larborescence de la console, cliquez avec le bouton droit sur Schma Active Directory, puis cliquez sur Matre doprations.
Figure 19.4 : Transfert du rle matre de schma
669
Chapitre 19
5. Lorsque vous voyez le nom du contrleur de domaine scerddc02, cliquez sur Modifier, puis sur Oui. Utiliser le composant logiciel enfichable Schma Active Directory Avant de pouvoir utiliser le composant logiciel enfichable Schma Active Directory, vous devez utiliser Regsvr32.exe pour enregistrer ce composant, Schmmgmt.dll, puis crer une nouvelle console MMC personnalise.
Pour dterminer en mode graphique quel serveur est le matre dattribution de noms de domaine actuel, procdez comme suit : 1. Ouvrez Domaines et approbations Active Directory.
670
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Matre doprations. 3. Dans la bote de dialogue Modifier le matre doprations, examinez le nom de lactuel matre dattribution de noms de domaine scncercdc01 (premier contrleur par dfaut de la fort).
5. Lorsque le nom du contrleur de domaine apparat, cliquez sur Modifier, puis sur Oui.
Figure 19.8 : Message de validation du transfert
671
Chapitre 19
Pour dterminer quel contrleur de domaine excute le rle de matre RID, dmulateur PDC ou de matre dinfrastructure, procdez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Dans larborescence de la console, cliquez avec le bouton droit sur le domaine pour lequel vous souhaitez afficher les matres doprations, puis cliquez sur Matres doprations. 3. Sous les onglets RID, CDP et Infrastructure, sous la rubrique Matres doprations, visualisez le nom de lactuel Matre doprations.
672
673
Chapitre 19
5. Sous les onglets RID, CDP et Infrastructure, sous Matres doprations, visualisez, cliquez sur Modifier, puis sur Oui. Dterminer les contrleurs de domaine qui doivent obtenir les rles Lorsquun contrleur de domaine est rtrograd au rang de serveur membre, il abandonne les rles de matre doprations quil dtenait aux autres contrleurs de domaine. Pour pouvoir dterminer les contrleurs de domaine qui doivent obtenir les rles, transfrez ces derniers avant de procder la rtrogradation.
2. Dans larborescence de la console, dveloppez larborescence du site avec lequel vous souhaitez travailler, par exemple Nice. 3. Dveloppez le dossier serveur du site, puis cliquez sur le serveur qui devra hberger le catalogue global. Prenons comme exemple scnecpdc01, domaine contrleur du site de Nice pour le domaine corp. 4. Dans le volet affichage, cliquez du bouton droit de la souris sur le paramtre NTDS, puis slectionnez Proprits. 5. Pour activer le catalogue global, cochez la case Catalogue global sous longlet Gnral. Voici lexemple prsent ci-aprs :
675
Chapitre 19
676
Trafic de rplications Lactivation dun serveur de catalogue global peut entraner un trafic de rplications supplmentaire pendant que le serveur rcupre une copie initiale complte de tout le catalogue global. Le contrleur de domaine ne sannonce pas comme serveur de catalogue global avant davoir reu les informations du catalogue global via la rplication.
677
Chapitre 19
Windows 2000 mixte ; Windows 2000 natif ; Windows 2003 Server ; Windows 2003, version prliminaire. Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support.
Attention, il nest pas possible de rduire le niveau fonctionnel dun domaine aprs lavoir lev !
678
Tableau 19.3 : Diffrences fonctionnelles entre les modes de domaine Fonctionnalit Renommer un contrleur de domaine Mise jour de lheure douverture de session Windows 2000 mixte Non Non Windows 2000 natif Non Non Non Windows Server 2003 Oui Oui Oui
Non Mot de passe de lutilisateur dans lobjet InetOrgPerson object Groupes Universels Groupes de distribution : oui ; Groupes de scurit : non
Oui Autorise les groupes de scurit et de distribution Oui Autorise une imbrication totale des groupes
Oui Autorise les groupes de scurit et de distribution Oui Autorise une imbrication totale des groupes
Imbrication de groupes Groupes de distribution : oui ; Groupes de scurit : non (toutefois les groupes de scurit du domaine local peuvent avoir des groupes globaux comme membres) Conversion de groupes Non Aucune conversion de groupe nest autorise
Oui Autorise la conversion entre les groupes de scurit et les groupes de distribution Oui Autorise les principaux de scurit migrer dun domaine un autre
Oui Autorise la conversion entre les groupes de scurit et les groupes de distribution Oui Autorise les principaux de scurit migrer dun domaine un autre
Historique SID
Non
Au niveau de la fort
Par dfinition la fonctionnalit de fort active les fonctionnalits travers tous les domaines de votre fort. Deux niveaux fonctionnels de fort sont disponibles : Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel de la fort vers Windows Server 2003 afin dactiver des fonctionnalits qui ne sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
j j
Chapitre 19
Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support. Attention, il nest pas possible de rduire le niveau fonctionnel dune fort aprs lavoir lev ! Tout comme pour llvation de niveau fonctionnel de domaine, ne peut pas lever qui veut le niveau fonctionnel de fort. Il est important de rappeler qulever ce niveau fonctionnel aura un impact sur toute la fort. Pour pouvoir effectuer cette manipulation, il est ncessaire de rpondre certainement conditions. Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur dentreprise. Voici les diffrents niveaux fonctionnels de fort de Windows Server 2003 et les contrleurs de domaine pris en charge pour chaque niveau :
Tableau 19.4 : Niveaux de fonctionnalit de fort Niveau fonctionnel de fort Windows 2000 Windows Server 2003, version prliminaire Windows Server 2003 Contrleurs de domaine pris en charge Windows NT 4, Windows 2000, Windows Server 2003 Windows NT 4, Windows Server 2003 Windows Server 2003
Liste des fonctionnalits Pour obtenir une liste exhaustive des fonctionnalits actives pour chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la rubrique Fonctionnalit des domaines et des forts, en ligne, dans Aide et Support. Voici un rcapitulatif des diffrences fonctionnelles entre les modes de domaine :
Tableau 19.5 : Diffrences fonctionnelles entre les modes de fort Fonctionnalit Amliorations de la rplication du catalogue global Windows 2000 Non, moins que les partenaires de rplication soient tous sous Windows Server 2003 Windows Server 2003 Oui
680
Fonctionnalit Objets du schma dfunts Approbations de forts Rplication de valeurs lies Changement de nom dun domaine Algorithmes amliors de la rplication Active Directory Classes auxiliaires dynamiques Changement dans InetOrgPerson objectClass
Windows Server 2003 Oui Oui Oui Oui Oui Oui Oui
681
Chapitre 19
Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur de domaine. Pour augmenter le niveau fonctionnel du domaine, procdez ainsi : 1. Ouvrez la console Domaines et approbations Active Directory. 2. Cliquez du bouton droit de la souris sur le domaine que vous souhaitez faire voluer et choisissez Augmenter le niveau fonctionnel du domaine. Une bote de dialogue souvre.
Figure 19.16 : Augmenter le niveau fonctionnel du domaine
3. Slectionnez le niveau dsir sur la liste droulante. Seuls les niveaux possibles apparaissent. Cliquez sur Augmenter. Une bote de confirmation apparat.
4. Si vous tes sr de votre choix, cliquez sur OK. Prudence Vous ne pourrez plus revenir en arrire sans un gros travail de restauration du domaine des sauvegardes Active Directory. Soyez prudent !
682
Unique rfrence aux contrleurs de domaines dun domaine particulier Le niveau fonctionnel du domaine fait. Vous pouvez toujours utiliser des contrleurs de domaines de niveaux infrieurs dans la mme arborescence pourvu quils se situent dans des domaines diffrents.
4. Si vous tes sr de votre choix, Cliquez sur OK. Attention car vous ne pourrez plus revenir en arrire ! 683
Chapitre 19
684
685
Chapitre 19
Une relation dapprobation stablit entre le domaine puzzmania.com et le corp .puzzmania.com lorsque ce dernier, un nouveau domaine enfant du domaine puzzmania.com, vient sajouter larborescence. Le processus dinstallation dActive Directory cre automatiquement une relation dapprobation entre le nouveau domaine et celui qui le prcde immdiatement dans la hirarchie de lespace de noms (par exemple, corp.puzzmania.com et cr en tant quenfant de puzzmania.com). Il en rsulte quun domaine qui rejoint une arborescence dispose immdiatement des relations dapprobations tablies avec tous les domaines de larborescence. Cela rend disponibles tous les objets de tous les domaines de larborescence pour tous les autres domaines de ladite arborescence. Lapprobation est transitive et bidirectionnelle. 19. Les fonctions et les rles dans Active Directory
Approbation raccourcie
Il sagit tout simplement dapprobations externes cres pour raccourcir le chemin entre deux domaines dune mme fort lorsque les utilisateurs de lun ou des domaines ont besoin dun accs frquent aux ressources de lautre domaine.
En crant une approbation raccourcie entre deux domaines dune fort, le processus dauthentification Kerberos, par lequel un accs des ressources dans deux domaines diffrents est accord des utilisateurs, est considrablement plus court dun point de vue du nombre de domaine traverser, rduisant dautant le trafic dauthentification et acclrant le processus le processus dauthentification interdomaine. Ce type de relations dapprobations reste utile uniquement pour les organisations possdant plusieurs niveaux de domaines.
686
Approbation externe
galement appel "approbation sens unique", ce type dapprobation est unidirectionnel et non transitif (similaire NT) et doit tre cr explicitement laide de la console Domaines et approbations Active Directory. Dans une approbation externe le domaine approuvant approuve le domaine approuv et les utilisateurs du domaine approuv peuvent accder aux ressources du domaine approuvant, condition quils disposent des autorisations adquates sur les ressources auxquelles ils essaient daccder. 19. Les fonctions et les rles dans Active Directory
Vous pouvez tablir explicitement une approbation externe entre un domaine Windows Server 2003 et un autre domaine Windows Server 2003, un domaine Windows 2000 Server ou un domaine NT. Vous pouvez galement crer une approbation bidirectionnelle non transitive entre deux domaines en crant deux approbations unidirectionnelles dans des sens opposs. Voici les utilisations types des approbations externes :
j j
pour tablir une approbation explicite entre un domaine Windows Server 2003 ou Windows 2000 Server et un domaine NT4 ; pour tablir une approbation explicite entre deux domaines Windows Server 2003 et Windows 2000 se trouvant dans des forts diffrentes.
687
Chapitre 19
Comment les approbations permettent aux utilisateurs daccder aux ressources dune fort
Lorsquun utilisateur tente daccder une ressource dun autre domaine, le protocole dauthentification Kerberos, version 5, doit dterminer si le domaine approuver (cest--dire le domaine qui contient la ressource laquelle tente daccder lutilisateur) possde une relation dapprobation avec le domaine approuv (cest--dire le domaine dans lequel lutilisateur tente douvrir une session). Pour dterminer cette relation, le protocole Kerberos, version 5, suit le chemin dapprobation en utilisant le TDO afin dobtenir une rfrence au contrleur de domaine du domaine cible. Le contrleur de domaine cible met un ticket de service pour le service demand. Le chemin dapprobation est le chemin daccs le plus court dans la hirarchie dapprobation. 688
Lorsquun utilisateur du domaine approuv tente daccder aux ressources dun autre domaine, son ordinateur contacte dabord le contrleur de domaine de son domaine afin dobtenir lauthentification pour la ressource. Si la ressource ne se trouve pas dans le domaine de lutilisateur, le contrleur de domaine utilise la relation dapprobation avec son parent et renvoie lordinateur de lutilisateur vers un contrleur de domaine de son domaine parent. Cette tentative de localisation de la ressource se poursuit jusquau sommet de la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la hirarchie tant quun contact nest pas tabli avec un contrleur de domaine du domaine dans lequel se trouve la ressource.
689
Chapitre 19
3. Le contrleur de domaine de corp.puzzmania.com envoie une rfrence son domaine parent, puzzmania.com, lordinateur de lutilisateur. 4. Lordinateur de lutilisateur contacte un contrleur de domaine de puzzmania.com pour obtenir une rfrence un contrleur de domaine du domaine racine de la fort creadesign.com. 5. Grce la rfrence renvoye par le contrleur de domaine de puzzmania.com, lordinateur de lutilisateur contacte un contrleur de domaine de la fort creadesign.com pour obtenir un ticket de service pour le service demand. 19. Les fonctions et les rles dans Active Directory 6. Les ressources ne se trouvent pas dans le domaine racine de la fort creadesign .com, le contrleur de domaine contacte donc son catalogue global pour trouver le SPN. Le catalogue global trouve une correspondance pour le SPN et lenvoie au contrleur de domaine. 7. Le contrleur de domaine envoie une rfrence etude.creadesign.com lordinateur de lutilisateur. 8. Lordinateur de lutilisateur contacte le KDC sur le contrleur de domaine detude .creadesign.com et ngocie un ticket pour lutilisateur afin de pouvoir accder aux ressources du domaine etude.creadesign.com. 9. Lordinateur de lutilisateur envoie le ticket de service lordinateur sur lequel se trouvent les ressources partages, il lit les informations didentification de scurit et cre un jeton daccs permettant lutilisateur daccder aux ressources.
Pour crer une approbation de fort, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine racine de la fort, puis cliquez sur Proprits. Pour crer une approbation raccourcie, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine avec lequel vous souhaitez tablir une approbation raccourcie, puis cliquez sur Proprits.
690
Pour crer une approbation externe, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine avec lequel vous souhaitez tablir une approbation, puis cliquez sur Proprits.
Figure 19.24 :
Proprits de corp.puzzmania.com
19. Les fonctions et les rles dans Active Directory Pour crer une approbation de domaine, cliquez avec le bouton droit de la souris sur le nud de domaine du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
3. Sous longlet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
Figure 19.25 : Assistant de cration de la nouvelle approbation
691
Chapitre 19
4. Dans la page daccueil de lAssistant Nouvelle approbation, cliquez sur Suivant. 5. Sur la page Nom dapprobation, suivez lune de ces tapes
j j j j
Si vous crez une approbation de fort, tapez le nom DNS de la deuxime fort, puis cliquez sur Suivant. Si vous crez une approbation raccourcie, tapez le nom DNS du domaine, tapez et confirmez le mot de passe de lapprobation, puis cliquez sur Suivant. Si vous crez une approbation externe, tapez le nom DNS du domaine, puis cliquez sur Suivant. Si vous crez une approbation de domaine, tapez le nom DNS du domaine cible, puis cliquez sur Suivant.
Si vous crez une approbation de fort, cliquez sur Approbation de fort, puis sur Suivant. Si vous crez une approbation raccourcie, passez ltape 7. Si vous crez une approbation externe, cliquez sur Approbation externe, puis sur Suivant.
Figure 19.26 : Type dapprobation
Si vous crez une approbation de domaine, cliquez sur Approbation de domaine, puis sur Suivant. Sur la page Transitivit de lapprobation, suivez lune de ces tapes suivantes
Pour crer une relation dapprobation avec le domaine et le domaine Kerberos spcifi, cliquez sur Non transitif, puis sur Suivant. Pour crer une relation dapprobation avec le domaine et le domaine Kerberos spcifi, cliquez sur Transitif, puis sur Suivant.
692
En rsum
Pour crer une approbation bidirectionnelle, cliquez sur Bidirectionnel, puis suivez les instructions de lassistant. Pour crer une approbation unidirectionnelle entrante, cliquez sur Sens unique : en entre, puis suivez les instructions de lassistant. Pour crer une approbation unidirectionnelle sortante, cliquez sur Sens unique : en sortie, puis suivez les instructions de lassistant.
19.5. En rsum
Concluons ce chapitre par deux questions importantes Combien y a-t-il de rles matres doprations et comment peut-on les administrer ? Il y a cinq rles matres doprations deux pour la fort et trois par domaine, il est possible de les administrer depuis la MMC ou en lignes de commandes laide de NTDSUtil. Pour la fort
j j
Contrleur de schma : schema master (matre du schma). Matre dattribution de noms de domaine : domain naming master (matre nom de domaine).
Pour le domaine
j j j
Matre des ID relatifs : rid master (matre identificateur relatif). mulateur PDC : pdc (mulateur de PDC). Matre dinfrastructure : domain naming master (matre nom de domaine).
Nous avons vu galement quil tait possible dutiliser des fonctionnalits avances sous Windows Server 2003. Autre question : comment est-il possible dutiliser les fonctions avances de Windows Server 2003 ? En levant les niveaux fonctionnels, de la fort et des domaines. Voici un rcapitulatif des diffrents niveaux. Au niveau de la fort :
j j j
Windows 2000 ; Windows Server 2003, version prliminaire ; Windows Server 2003, natif. 693
Chapitre 19
Au niveau du domaine :
j j j j
Windows 2000 mixte ; Windows 2000 natif ; Windows Server 2003, version prliminaire ; Windows Server 2003 natif.
Nous avons galement abord le catalogue global et les relations dapprobations. 19. Les fonctions et les rles dans Active Directory Enfin, ne perdez pas de vue deux choses :
j j
Nhypothquez jamais lavenir concernant vos machines dinfrastructure. Il ny a quasiment pas ou peu de mauvaise solution tant que votre implmentation, aussi bizarre soit-elle, rpond vos besoins. Lun des avantages dActive Directory rside dans sa souplesse.
694
Chapitre 20
e chapitre dcrit les oprations de maintenance dActive Directory les plus couramment effectues : la prise de rles matres dopration, la dfragmentation et le dplacement dActive Directory. Les plus critiques sont, bien sr, les oprations de sauvegarde et de restauration de lannuaire. Il est obligatoire en entreprise de nos jours de mettre en place un plan de sauvegarde et de restauration dActive Directory. Il y va de la survie de linfrastructure. Commenons justement le chapitre par cette partie.
Le dossier partag Sysvol : il contient les modles Stratgie de groupe et les scripts douverture de session. La base de Registre : elle contient les informations sur la configuration de lordinateur. Les fichiers de dmarrage du systme : Windows Server 2003 requiert ces fichiers lors de la phase de dmarrage initial. Ils incluent les fichiers systme et de dmarrage sous la protection de fichier Windows et sont utiliss par Windows pour charger, configurer et excuter le systme dexploitation. La base de donnes des inscriptions de classe COM+ : elle contient des informations sur les applications des services de composants. La base de donnes des services de certificats : elle contient les certificats quun serveur excutant Windows Server 2003 utilise pour authentifier les utilisateurs. Elle est prsente uniquement si le serveur fonctionne comme serveur de certificats. Active Directory : la base en elle-mme est compose des fichiers suivants : Ntds.dit : il sagit de la base de donnes Active Directory qui stocke tous les objets dActive Directory au niveau du contrleur de domaine. Lextension .dit fait rfrence larborescence des informations de lannuaire. Son emplacement par dfaut est le dossier %systemroot%\NTDS. Active Directory enregistre chaque transaction dans un ou plusieurs fichiers journaux associs au fichier Ntds.dit. 697
j j
Chapitre 20
Edb*.log : il sagit du fichier journal des transactions dont le nom par dfaut est Edb.log et dont la capacit est de 10 Mo environ. Lorsque le fichier Edb.log est satur, Active Directory cre un autre fichier dnomm Edbxxxxx.log (o xxxxx correspond lordre chronologique de cration). Edb.chk : il sagit dun fichier de points de vrification que la base de donnes utilise pour garder une trace des donnes qui ne sont pas encore crites dans le fichier Ntds.dit. Le fichier de points de vrification est un pointeur qui conserve des donnes de statut entre la mmoire et le fichier Ntds.dit sur le disque. Il indique le point de dbut partir duquel les informations doivent tre rcupres en cas de dfaillance. Res1.log et Res2.log : il sagit des fichiers journaux de transactions. La quantit despace disque rserve sur un disque ou dans un dossier pour les journaux de transactions est de 20 Mo. Cet espace disque offre aux fichiers journaux de transactions une marge suffisante de fermeture si le reste de lespace disque est utilis. 20. La maintenance dActive Directory Quels sont les outils qui permettent de sauvegarder Active Directory ? Tous les outils tiers disponibles sur le march de la sauvegarde sont capables de sauvegarder et de restaurer Active Directory, et donc ltat du systme (par exemple, Backup Exec de Symantec Veritas ou BrightStor Arcserve Backup de Computer Associates). Windows Server 2003 propose de sauvegarder de manire simple ltat du systme avec lutilitaire de sauvegarde (NTBackup), en gnrant un fichier de sauvegarde au format .bkf. Cet outil sera utilis dans ce qui suit. Utilisation de NTBackup Lutilitaire de sauvegarde NTBackup permet de sauvegarder ou de restaurer tout type de fichier, et pas seulement Active Directory. Pour les petites entreprises, il sagit dun outil de sauvegarde et de restauration part entire. Quels sont les principaux conseils pour la planification de sauvegarde de ltat du systme ? Tout dpend si vous souhaitez sauvegarder ltat du systme avec votre outil tiers (si vous en possdez un) ou si vous prfrez utiliser NTBackup. NTBackup est un outil fiable et robuste lorsquil effectue cette tche de sauvegarde parce quil a t conu dans cette optique par Microsoft. Quant la frquence de sauvegarde, sachez quelle doit tre adapte au nombre de modifications quotidiennes effectues dans Active Directory et la granularit de restauration que vous dsirez. Couramment, dans une entreprise de taille moyenne, une sauvegarde par nuit, toutes les nuits, est suffisante. Pour ce qui est de la rtention, elle ne doit pas dpasser soixante jours car, pass ce dlai, la sauvegarde nest plus valide pour la restauration. Sauvegardez et faites des cycles darchivage tous les 60 jours. Les sauvegardes effectues doivent tre compltes, vu le caractre changeant des fichiers jour aprs jour.
698
Par rapport ltude de cas, Puzzmania, on a dcid de sauvegarder ltat du systme sur la totalit des contrleurs de domaine. La socit possdant un outil tiers de sauvegarde centralis, il est quand mme dcid de configurer NTBackup sur tous les contrleurs de domaine afin de sauvegarder ltat du systme. Cela permet, en cas de panne du logiciel de sauvegarde centralis, davoir au moins une sauvegarde dActive Directory qui aura fonctionn. NTBackup est configur pour crire le fichier de sauvegarde .bkf sur le contrleur de domaine. Ce fichier sera ensuite sauvegard ailleurs (soit recopi par scripts sur un point du rseau, soit sauvegard par loutil tiers de sauvegarde), puis archiv. Les sauvegardes de ltat du systme sont ralises chaque nuit en mode complet. Pour sauvegarder ltat du systme (ici du contrleur de domaine SNCERCDC01), procdez ainsi : 1. Dans le menu Dmarrer, pointez sur Programmes/Accessoires/Outils systme, puis cliquez sur Utilitaire de sauvegarde. 20. La maintenance dActive Directory 2. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 3. Sur la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des paramtres, puis sur Suivant. 4. Sur la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les fichiers sauvegarder, puis sur Suivant. 5. Sur la page lments sauvegarder, dveloppez la zone Poste de travail, activez la case cocher System State, puis cliquez sur Suivant.
6. Sur la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir. Slectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer, puis sur Suivant. 7. Sur la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer.
699
Chapitre 20
8. Une fois la sauvegarde termine, sur la page Sauvegarde en cours, cliquez sur Fermer. 20. La maintenance dActive Directory Vous pouvez utiliser les options de sauvegarde avances de lutilitaire de sauvegarde pour dfinir ou configurer des paramtres, comme la vrification des donnes, la compression matrielle et les tiquettes de support. Sauvegarde des contrleurs de domaine Cette section explique comment sauvegarder Active Directory titre indicatif. Mais, en entreprise, vous sauvegarderez le contrleur de domaine, savoir lintgralit du disque systme (lecteur C), les fichiers de donnes importants, sil y en a, et ltat du systme.
Vous pouvez rinstaller le contrleur de domaine, puis laisser le processus de rplication normale alimenter le nouveau contrleur de domaine avec les donnes de ses rplicas. Cest la mthode la plus longue, nutiliser quen dernier recours. videmment, si vous navez quun seul contrleur de domaine, elle marche moins bien. Vous pouvez utiliser lutilitaire de sauvegarde NTBackup pour restaurer des donnes rpliques partir dun support de sauvegarde (un fichier .bkf par exemple) sans rinstaller le systme dexploitation ni reconfigurer le contrleur de domaine. Cest cette mthode de restauration qui va tre dveloppe.
700
partir dune sauvegarde de ltat du systme correctement effectue, vous pouvez restaurer Active Directory en utilisant NTBackup, mais cette restauration doit imprativement seffectuer en mode de dmarrage de Windows Server 2003, appel mode restauration Active Directory. Dans ce mode, il est possible de restaurer Active Directory de deux faons diffrentes :
j j
701
Chapitre 20
2. Ouvrez une session laide du mot de passe de restauration indiqu au moment de linstallation dActive Directory et dmarrez NTBackup. 3. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 4. Sur la page Sauvegarder ou restaurer, cliquez sur Restaurer des fichiers et des paramtres. 5. Sur la page Que voulez-vous restaurer, sous la rubrique lments restaurer, slectionnez la sauvegarde que vous dsirez, dveloppez la liste, activez la case cocher System State, puis cliquez sur Suivant.
6. Sur la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer. 7. Sur la bote de dialogue Avertissement, cliquez sur OK.
702
8. Une fois la restauration termine, dans la bote de dialogue Restauration en cours, cliquez sur Fermer. 9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
703
Chapitre 20
7. Saisissez quit et validez. Pour revenir lInvite de commandes, saisissez de nouveau quit. 8. Remplacez lancien fichier Ntds.dit par le nouveau fichier dans le chemin daccs de la base de donnes Active Directory. 9. Redmarrez le contrleur de domaine en mode normal.
705
Chapitre 20
2. Redmarrez le contrleur de domaine, appuyez sur [F8] pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis validez. 3. Ouvrez une session laide du mot de passe de restauration indiqu au moment de linstallation dActive Directory. 4. linvite de commandes, saisissez ntdsutil et validez. 5. Saisissez files et validez. 6. linvite files, et aprs avoir dfini un emplacement offrant suffisamment despace pour y stocker la base de donnes, saisissez move DB to d:\newadpath (o d:\newadpath correspond au chemin daccs sur lordinateur local o vous voulez placer la base de donnes), puis validez.
La base de donnes Ntds.dit est dplace vers lemplacement spcifi. 7. Saisissez quit et appuyez sur []. Pour revenir lInvite de commandes, saisissez de nouveau quit. 8. Redmarrez le contrleur de domaine en mode normal. 706
Pour plus dinformations sur les matres dopration, consultez lAnnexe Les ports et services Active Directory. Si un serveur matre dopration nest pas disponible, la suite dune dfaillance matrielle ou dun problme du rseau, vous pouvez prendre le rle matre dopration. Ce processus est galement dsign comme un transfert forc du rle matre dopration. Mais attention, ne prenez pas le rle matre dopration si vous pouvez le transfrer la place. Il faut que laction de prise de rle soit mrement rflchie et que toutes les contraintes soient tudies. Avant de forcer le transfert, dterminez dabord la cause et la dure approximative de la panne du contrleur de domaine ou du rseau. Si le problme est d une dfaillance du rseau ou du serveur qui sera rpare rapidement, attendez que le propritaire du rle soit nouveau disponible. Par contre, si le contrleur de domaine qui dtient actuellement le rle est indisponible, vous devez dterminer sil est possible de le rcuprer et de le remettre ligne. En rgle gnrale, la prise du rle matre dopration est une tape lourde de consquences, que vous devez envisager uniquement si vous tes sr que le matre dopration actuel ne sera plus disponible. La dcision dpend du rle et du temps pendant lequel le propritaire du rle sera indisponible. Dans les manipulations qui suivent, nous allons transfrer un rle de SNCERCDC01 vers SNCERCDC02.
707
Chapitre 20
Prise du rle matre de schma Un contrleur de domaine dont le rle matre de schma a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre de schma, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 20. La maintenance dActive Directory 6. Saisissez seize schema master.
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [] pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [] pour quitter Ntdsutil.
708
Prise du rle matre dattribution de noms de domaine Un contrleur de domaine dont le rle matre dattribution de noms de domaine a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre dattribution de noms de domaine, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize domain naming master. 20. La maintenance dActive Directory
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [}]pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [}]pour quitter Ntdsutil.
709
Chapitre 20
Prise du rle de matre des ID relatifs Un contrleur de domaine dont le rle de matre des ID relatifs a t pris ne doit jamais tre remis en ligne. Pour prendre le rle matre dID relatifs, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 20. La maintenance dActive Directory 6. Saisissez seize RID master.
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [] pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [] pour quitter Ntdsutil.
710
Pour prendre le rle matre dmulateur PDC, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize PDC.
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [] pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [] pour quitter Ntdsutil.
711
Chapitre 20
Lorsque le matre dinfrastructure dorigine est nouveau en service, vous pouvez attribuer nouveau le rle au contrleur de domaine dorigine. Pour prendre le rle matre dinfrastructure, procdez ainsi : 1. Cliquez sur Dmarrer, puis sur Excuter, saisissez ntdsutil dans la zone Ouvrir, puis cliquez sur OK. 2. Saisissez roles, puis appuyez sur []. 3. Saisissez connections, puis appuyez sur []. 4. Saisissez connect to server SNCERCDC02, puis appuyez sur []. 5. linvite server connections, saisissez q, puis appuyez sur []. 6. Saisissez seize infrastructure master. 20. La maintenance dActive Directory
7. linvite fsmo maintenance, saisissez q, puis appuyez sur [] pour accder linvite ntdsutil. Saisissez q, puis appuyez sur [] pour quitter Ntdsutil.
20.5. En rsum
Ce chapitre dcrit quelques oprations de maintenance dActive Directory. Pour conclure le sujet des sauvegardes et des restaurations dActive Directory, notez que ce que ne dit pas la procdure cest : comment vous organisez-vous ? Il vous revient de vous organiser pour conserver les sauvegardes et retrouver la bonne le moment voulu. Effectivement, la russite dune restauration dpend aussi de votre capacit 712
En rsum
copier les sauvegardes sur un support (chemin rseau, disques durs, bandes), puis les archiver correctement et ressortir le bon jeu de sauvegardes au moment opportun. Vous devez inclure la sauvegarde et la restauration dActive Directory dans votre plan directeur de sauvegarde.
Chapitre 21
otre Active Directory correctement en place et sous contrle, il vous faut le scuriser. Ce chapitre prsente des mthodes avances qui vous permettront de renforcer la scurit du service dannuaire au sein de lentreprise. En particulier, les thmes suivants vont tre abords : limportance de la scurit dActive Directory, lidentification des types de menaces pour la scurit, ltablissement de frontires sres, la slection dune structure Active Directory, la scurisation des comptes dadministration des services, la limitation de lexposition des comptes dadministration des services, la scurisation des mthodes dadministration des donnes, la protection des serveurs DNS, la protection des donnes DNS.
Lauthentification : lors de louverture de session, la procdure dauthentification vrifie lidentit des utilisateurs. Lautorisation : lorsque les utilisateurs rseau tentent de se connecter des serveurs ou autres priphriques rseau, la procdure dautorisation peut leur accorder ou leur refuser laccs la ressource.
Dans la mesure o la structure dActive Directory abrite toutes les donnes dauthentification et dautorisation, ainsi que le service distribu qui gre ces donnes, sa scurit est critique. Active Directory fournit de nombreux composants cls pour authentifier les utilisateurs et gnrer des donnes dautorisation qui contrlent laccs aux ressources du rseau. Une violation de la scurit Active Directory peut affaiblir cette fondation et entraner la perte de laccs lgitime aux ressources rseau ou la divulgation inapproprie ou mme la perte dinformations sensibles.
Chapitre 21
limitent laccs utilisateur aux ressources et aux services rseau. Par consquent, chaque groupe dutilisateurs reprsente une menace potentielle spcifique.
j
Utilisateurs anonymes : ce groupe reprsente laccs non authentifi au rseau qui est activ lorsque les paramtres de stratgie de groupe permettent laccs anonyme et que les autorisations sur les ressources sont dfinies pour permettre laccs une ouverture de session anonyme par le biais du groupe Accs compatible Pr-Windows 2000. Autoriser laccs des utilisateurs anonymes peut entraner une baisse du niveau de scurit dActive Directory parce que laccs non autoris aux informations stockes dans Active Directory peut entraner la divulgation de ces informations. Utilisateurs authentifis : ce groupe sapplique tout utilisateur qui a russi le processus dauthentification. Ce processus implique que lutilisateur a une identit sur le domaine et a fourni des informations didentification valides. Par dfaut, les utilisateurs authentifis peuvent accder aux informations contenues dans lannuaire et sur les contrleurs de domaine ; ils peuvent galement visualiser les journaux dvnements systme sur les contrleurs de domaine. Pour renforcer la scurit dActive Directory contre la divulgation dinformations, les accs non ncessaires doivent tre supprims. Administrateur de service : il reprsente les comptes administratifs utiliss lgitimement pour contrler la configuration et les stratgies des services dannuaire et pour obtenir un accs physique aux contrleurs de domaine afin de grer ladministration des serveurs. Ce groupe est galement utilis pour contrler linfrastructure de la fort en crant ou en supprimant des domaines ou des contrleurs de domaine, en grant la configuration des domaines ou des contrleurs de domaine, et en surveillant la sant des contrleurs de domaine. Dans la mesure o les administrateurs de services occupent une position qui leur permet de lancer des attaques dans la fort, vous devez pouvoir leur accorder toute votre confiance. La notion de confiance est primordiale. Le terme "service" dans "administrateur de service" est rapprocher du sens du contrle daccs bas sur un rle plutt que service au sens Windows. Administrateur de donnes : ce groupe gre les donnes contenues dans Active Directory qui ne permettent pas de contrler le service dannuaire ou sa configuration. Il prend en charge les utilisateurs et les ordinateurs de la fort en ajoutant ou en supprimant les units dorganisation, les ordinateurs, les utilisateurs et les groupes, et en modifiant les paramtres des stratgies de groupe. Les administrateurs de donnes disposent de droits dlgus leur permettant de grer les objets contenus dans les Units dorganisation, mais pas de grer les contrleurs de domaine ou la configuration de la fort. Utilisateurs ayant physiquement accs aux contrleurs de domaine : ce paramtre sapplique lorsquune personne parvient accder un emplacement sur lequel rsident des contrleurs de domaine ou des postes de travail dadministration, ou lorsquune personne vole lun de ces ordinateurs. Si une personne non autorise parvient accder des ordinateurs qui contiennent des donnes sensibles, la divulgation dinformations ou la modification de donnes est possible.
718
En comprenant les diffrentes menaces qui peuvent peser spcifiquement sur votre environnement rseau, vous pouvez planifier et implmenter des stratgies de scurit avances et efficaces permettant de scuriser les frontires administratives et les services, ainsi que les pratiques dadministration des donnes et les mises en uvre DNS.
Lautonomie : elle permet aux administrateurs dadministrer de manire autonome une partie ou la totalit du service Active Directory ou les donnes contenues dans le rpertoire ou sur les ordinateurs membres. Elle peut tre obtenue en dlguant ladministration des services ou des donnes. Lisolation : elle permet aux administrateurs dempcher dautres administrateurs de modifier ou daccder une partie ou la totalit du service Active Directory ou aux donnes contenues dans le rpertoire ou sur les ordinateurs membres. Cela ncessite le dploiement dune fort distincte contenant ses administrateurs, ses utilisateurs et ses ressources.
Avant de choisir un modle de dlgation Active Directory, prenez en compte les points suivants concernant les rles administratifs Active Directory :
j
Les propritaires de fort dtiennent le droit de contrle sur les services au niveau du domaine et le droit daccs aux donnes stockes dans nimporte quel domaine de la fort. Les propritaires de domaine dtiennent le droit daccs aux donnes stockes dans le domaine ou sur les ordinateurs de ses membres. Les propritaires de domaine, bien quoprant indpendamment des propritaires de fort ou des autres propritaires de domaines, ne peuvent empcher un propritaire de domaine malveillant de contrler leurs services ou daccder leurs donnes. 719
j j
Chapitre 21
si la dlgation est motive par un besoin organisationnel, oprationnel, juridique ou autre ; si le besoin concerne la dlgation en matire de gestion des services et/ou des donnes.
fort domaine unique contenant des units dorganisation pour une autonomie des donnes ; fort unique plusieurs domaines pour une autonomie des services au niveau de chaque domaine ; forts distinctes pour lisolation des services ; forts distinctes pour lautonomie des services au niveau de chaque fort ; forts distinctes pour lisolation des donnes des propritaires de services.
et la cration et la suppression des domaines. Pour assurer la plupart de ces fonctions, les administrateurs de service ont besoin dun accs physique aux contrleurs de domaine. En raison des privilges levs des administrateurs de services, vous devez prendre les mesures ncessaires pour prserver la scurit de leurs comptes :
j j j j j
Scurisez les comptes dadministration des services pour contrler comment les comptes sont utiliss. Effectuez les tches dadministration de services uniquement partir de stations de travail spcifiques et scurises. vitez de dlguer les oprations sensibles sur le plan de la scurit. Prenez connaissance des fonctionnalits des comptes dadministration des services par dfaut. Ne partagez jamais les comptes dadministration des services.
Le partage des mots de passe des comptes dadministration des services est lun des problmes de scurit auxquels de nombreuses entreprises sont confrontes rgulirement. Cette pratique doit tre fortement dcourage dans la mesure o il est impossible didentifier lauteur de modifications si plusieurs administrateurs utilisent le mme compte. Le partage des mots de passe peut galement poser un problme scurit lorsque les administrateurs quittent lquipe ou lentreprise.
Limitez le nombre de comptes dadministration des services. Maintenez le nombre de membres des comptes dadministration des services au minimum. Les tches effectues par les administrateurs de services doivent se limiter la modification du service Active Directory et la reconfiguration des contrleurs de domaine. Nutilisez pas les comptes dadministration des services pour les tches dadministration quotidiennes. Une stratgie de groupe peut tre active pour faciliter le contrle de lappartenance aux comptes dadministration des services. Sparez les comptes administrateur et utilisateur pour les utilisateurs administratifs. Pour les utilisateurs remplissant des rles dadministration, crez 721
Chapitre 21
deux comptes : un compte dutilisateur normal pour effectuer les tches standards quotidiennes et un compte dadministration rserv aux tches dadministration. Le compte dadministration ne doit pas tre dot dune messagerie ni tre utilis pour excuter des applications usage quotidien, telles que Microsoft Office, ou pour surfer sur Internet.
j
Masquez le compte dadministrateur de domaine. Un compte nomm Administrateur est cr dans chaque domaine lors de linstallation dActive Directory. Ce compte dadministration par dfaut, qui est cr au cours de la configuration du domaine, permet daccder au service dannuaire et de ladministrer. Il sagit dun compte spcial que le systme protge pour faire en sorte quil soit disponible en cas de besoin. Ce compte ne peut tre ni dsactiv ni verrouill. Pour cette raison, vous devez lui donner un nom autre quAdministrateur. Lorsque vous renommez ce compte, veillez modifier galement sa description. Par ailleurs, crez un compte leurre nomm Administrateur qui ne dispose ni dautorisations spciales ni de droits dutilisateur, puis surveillez les ID dvnement 528, 529 et 534 relatifs la fois au compte renomm et au compte leurre. Attaque du compte Administrateur Sachez quil existe un certain nombre doutils permettant de trouver le nom du compte Administrateur. Mme si vous renommez ce compte, ces outils permettent de dcouvrir son nom, car lidentifiant de scurit (SID) intgr du compte Administrateur se termine toujours par 500. Vous pouvez remdier ce problme en implmentant une stratgie de scurit qui naffiche pas les comptes et les partages du gestionnaire de comptes de scurit pour les connexions anonymes.
Nommez un personnel de confiance. Les administrateurs de services contrlent la configuration et le fonctionnement du service dannuaire. Par consquent, cette responsabilit doit incomber uniquement des utilisateurs fiables et de confiance, ayant fait la preuve de leur sens des responsabilits et qui matrisent parfaitement le fonctionnement de lannuaire. Limitez le groupe Administrateurs du schma aux membres temporaires. Pour viter quun compte dadministrateur de schma ne soit utilis pour lancer une attaque contre Active Directory, najoutez pas de membre au groupe Administrateurs du schma. Ajoutez un utilisateur de confiance ce groupe uniquement lorsquune tche dadministration doit tre effectue sur le schma. Une fois la tche accomplie, supprimez cet utilisateur. Surveillez le processus douverture de session dadministration. Exigez des cartes puce pour les ouvertures de session dadministration ou implmentez un systme de mot de passe fractionn pour les environnements hautement scuriss. Rpartissez le mot de passe du compte dadministration entre deux utilisateurs partageant ce compte, afin que chaque utilisateur ne connaisse que la moiti du mot de passe.
722
Limitation de lapplication de la stratgie de groupe des personnes de confiance : La stratgie de groupe doit tre cre et applique uniquement par des personnes totalement fiables. Ces personnes doivent bien connatre les stratgies de scurit de lorganisation et avoir dmontr quelles sont prtes appliquer ces stratgies. Les utilisateurs dots de comptes qui permettent de crer ou de modifier les paramtres de stratgie de groupe peuvent augmenter les privilges dun autre compte dutilisateur grce ces stratgies.
Appropriation dun objet de donnes : si les administrateurs de donnes ont la possibilit de crer des objets, assurez-vous que vous comprenez bien la porte de ce pouvoir. Lorsquun utilisateur cre un objet, il en devient galement le propritaire du fait quil en est le crateur ; il est donc appel "Crateur propritaire". Dans le modle de contrle daccs discrtionnaire utilis par Windows Server 2003, le propritaire dun objet dtient le contrle total sur cet objet, notamment la possibilit de modifier les autorisations sur cet objet. Rservation de la proprit des objets racine de partition dannuaire aux administrateurs de services : assurez-vous que les groupes dadministration de services appropris dans chaque domaine sont propritaires de lobjet racine pour la partition dannuaire du domaine. Dans la mesure o les propritaires de ces objets racine de partition dannuaire ont la possibilit de modifier les paramtres de scurit de tous les autres objets de la partition par le biais des entres de contrle daccs pouvant tre hrites, il est absolument crucial de sassurer que lobjet racine de partition dannuaire appartient un groupe dadministration hautement fiable. La partition dannuaire du schma appartient au groupe Administrateurs du schma, la partition dannuaire de configuration appartient au groupe Admins de lentreprise et la partition dannuaire de domaine appartient au groupe Administrateurs intgrs. Dfinition de quotas pour la proprit des objets : Sur les contrleurs de domaine qui excutent Windows Server 2003, vous pouvez dfinir des quotas qui limitent le nombre dobjets quune entit de scurit (utilisateur, groupe, ordinateur ou service) peut possder dans une partition dannuaire de domaine, de configuration ou dapplication. Par dfaut, lentit de scurit qui cre un objet en est le propritaire, bien que la proprit puisse tre transfre. Les quotas Active Directory liminent la possibilit de crer un nombre illimit dobjets dans une partition dannuaire, lesquels pourraient tre utiliss pour lancer des attaques de dni de service.
723
Chapitre 21
Par dfaut, les quotas ne sont pas dfinis. Par consquent, le nombre dobjets quune entit de scurit peut possder nest pas limit. Pour chaque partition dannuaire cible, vous pouvez dfinir diffrentes limites pour diffrentes entits de scurit et/ou dfinir des limites qui sappliquent toutes les entits de scurit. Vous pouvez dfinir des quotas pour chaque partition dannuaire, lexception de la partition dannuaire schma, qui ne prend pas en charge les quotas. Vous pouvez configurer les quotas pour quils sappliquent aux entits de scurit dune partition dannuaire en utilisant les commandes en ligne. Les commandes dsadd, dsmod et dsquery possdent toutes un commutateur quota qui vous permet de dfinir les quotas pour la partition dannuaire, modifier les quotas existants, modifier les paramtres de quota par dfaut dune partition et rechercher laffectation et lutilisation des quotas.
DSADD QUOTA
21. La scurisation dActive Directory Ajoute une spcification de quota une partition dannuaire. Une spcification de quota dtermine le nombre maximal dobjets dannuaire pouvant appartenir une entit de scurit donne dans une partition dannuaire donne.
Syntaxe :
dsadd quota part <DN_partition> [rdn <RDN>] acct <nom> qlimit <valeur> | 1 [desc <description>] [{s <serveur> | d <domaine>}] [u <nom_utilisateur>] [p {<mot_passe> | *}] [q] [{uc | uco | uci}] Requis. Spcifie le nom unique de la partition dannuaire sur laquelle vous voulez crer un quota. Si le nom unique est omis, il sera pris du mode dentre standard (stdin). Spcifie le nom unique relatif (RDN) de la spcification de quota en cours de cration. Si loption rdn est omise, elle sera dfinie <domaine>\<nom_utilisateur>. Requis. Spcifie le principal de scurit (utilisateur, groupe, ordinateur, InetOrgPerson) pour lequel le quota est en cours de spcification. Loption acct peut tre fournie dans un des formats suivants : DN du principal de scurit ou domaine\nom de compte SAM du principal de scurit Requise. Spcifie le nombre dobjets dans la partition dannuaire pouvant appartenir au principal de scurit. Entrez nolimit ou 1 pour spcifier un quota non limit.
rdn <RDN>
acct <nom>
qlimit <valeur> | 1}
724
Spcifie une description pour la spcification de quota que vous voulez ajouter. Connecte lordinateur au domaine spcifi ou au serveur spcifi. Par dfaut, lordinateur est connect au contrleur de domaine dans le domaine douverture de session. Spcifie le nom dutilisateur avec lequel lutilisateur va se connecter au serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur en utilisant lun des formats suivants : nom dutilisateur, domaine\nom dutilisateur, nom principal dutilisateur (UPN).
u <nom _utilisateur>
p {<mot_passe> | *} Spcifie lutilisation dun mot de passe spcifique ou une * pour se connecter un serveur distant. Si vous entrez *, alors un mot de passe vous sera demand. q {uc | uco | uci} Supprime toutes les informations sortantes vers le mode sortant standard (mode silencieux). Spcifie que les donnes entrantes et sortantes sont formates en Unicode. La valeur uc spcifie un format Unicode pour les donnes entrantes ou sortantes vers le canal. La valeur uco spcifie un format Unicode pour les donnes sortantes du canal vers le fichier. La valeur uci spcifie un format Unicode pour les donnes entrantes du canal ou du fichier. 21. La scurisation dActive Directory
DSMOD QUOTA
Modifie les attributs dune ou de plusieurs spcifications de quotas dans le rpertoire. Une spcification de quota dtermine le nombre maximal dobjets annuaires quune entit de scurit donne peut possder dans une partition dannuaire spcifique.
Syntaxe :
dsmod quota <DN_quota ...> [qlimit <valeur>] [desc <description>] [{s <serveur> | d <domaine>}] [u <utilisateur>] [p {<mot de passe> | *}] [c] [q] [{uc | uco | uci}] Spcifie les noms uniques dune ou de plusieurs spcifications de quotas modifier. Si les valeurs sont omises, elles peuvent tre
<DN_quota ...>
725
Chapitre 21
obtenues par une entre standard (stdin) pour prendre en charge la canalisation des sorties dune autre commande partir de cette commande. qlimit <valeur> Spcifie le nombre dobjets dans la partition de rpertoire pouvant tre cre par lentit de scurit laquelle est assigne la spcification de quota. Pour spcifier un quota illimit, utilisez nolimit ou 1. Dfinit la description de la spcification de quota dans <description>. Connecte un domaine ou un serveur distant spcifi. Par dfaut, lordinateur est connect un contrleur de domaine sur le domaine connect. Spcifie le nom dutilisateur avec lequel lutilisateur ouvre une session sur un serveur distant. Par dfaut, u utilise le nom du serveur sur lequel lutilisateur a ouvert une session. Vous pouvez utiliser nimporte lequel des formats suivants pour spcifier un nom dutilisateur : nom dutilisateur, domaine\nom dutilisateur, nom de lutilisateur principal (UPN). Spcifie soit dutiliser un mot de passe, soit un astrisque pour ouvrir une session sur un serveur distant. Si vous entrez *, vous serez invit entrer un mot de passe. Spcifie un mode dopration continue. Les erreurs sont signales, mais le processus continue avec lobjet suivant dans la liste darguments lorsque vous spcifiez plusieurs objets cibles. Si vous nutilisez pas c, la commande sarrte aprs la premire survenance de lerreur. Supprime toute sortie une sortie standard (mode silencieux). Spcifie le formatage Unicode de donnes dentres ou de sortie. uc spcifie un format Unicode pour une entre ou une sortie vers une canalisation. uco spcifie un format Unicode pour une sortie
p {<mot_de_ passe> | *}
726
vers une canalisation ou un fichier. uci spcifie un format Unicode pour une entre partir dune canalisation ou dun fichier.
DSQUERY QUOTA
Spcifications de quotas dans lannuaire correspondant au critre de recherche spcifi. Une spcification de quota dtermine le nombre maximal dobjets annuaires pouvant appartenir une entit de scurit dans une partition dannuaire spcifique.
Syntaxe :
dsquery quota startnode {domain root | <DN_Objet>} [o {dn | rdn}] [acct <Nom>] [qlimit <Filtre>] [desc <Description>] [{s <Serveur> | d <Domaine>}] [u <Utilisateur>] [p {<Mot de passe> | *}] [q] [r] [limit <Nombre dobjets>] [{uc | uco | uci}]
Requis. Spcifie o la recherche devrait commencer. Utiliser DN_Objet pour spcifier le nom unique (ou DN), ou utiliser la racine du domaine pour spcifier la racine du domaine actuel. Spcifie le format de sortie. Le format par dfaut est le nom unique (DN). Recherche les spcifications de quota assigns lentit de scurit (utilisateur, groupe, ordinateur, InetOrgPerson) tel que reprsent par <nom>. Loption acct peut tre indique au format du nom unique de lentit de scurit ou au format domaine\nom_compte_SAM de lentit de scurit. Recherche les spcifications de quota dont la limite correspond au filtre. Recherche les spcifications de quota dont lattribut de description correspond <description>.
{s <serveur> | d <domaine>} Se connecte un domaine ou un serveur distant spcifi. Par dfaut lordinateur est connect un contrleur de domaine dans le domaine de connexion.
727
Chapitre 21
u <nom _utilisateur>
Spcifie le nom dutilisateur avec lequel lutilisateur se connecte un serveur distant. Par dfaut, u utilise le nom dutilisateur avec lequel lutilisateur sest connect. Vous pouvez utiliser lun des formats suivants pour spcifier un nom dutilisateur : nom dutilisateur, domaine\nom dutilisateur, nom principal de lutilisateur (UPN). Spcifie dutiliser un mot de passe ou * pour se connecter un ordinateur distant. Si vous entrez *, un mot de passe vous sera demand. Supprime toutes les donnes sortantes vers la sortie standard (mode silencieux). Spcifie que la recherche utilise la rcurrence ou suit les rfrences pendant la recherche. Par dfaut, la recherche ne suit pas les rfrences. Spcifie que la recherche utilise le catalogue global Active Directory. Spcifie le nombre dobjets qui correspondent au critre donn devant tre renvoy. Si la valeur NbObjets est 0, tous les objets correspondants sont renvoys. Si ce paramtre nest pas spcifi, les 100 premiers rsultats sont affichs par dfaut. Spcifie que les donnes entrantes et sortantes sont formats au format Unicode, comme suit : uc spcifie un format Unicode pour lentre ou la sortie vers une canalisation. uco spcifie un format Unicode pour la sortie vers une canalisation ou un fichier. uci spcifie un format Unicode pour lentre dune canalisation ou dun fichier.
p {<mot_passe> | *}
q r
728
daccs aux informations stockes sur leur ordinateur. Lusurpation didentit et la pollution de cache sont des exemples de ce type dattaque. Un autre type dattaque, le dni de service, tente de neutraliser le serveur DNS afin de rendre linfrastructure DNS inaccessible au sein de lentreprise. Pour protger vos serveurs DNS contre ces types dattaques :
j
Surveillez lactivit du rseau. Les attaques de dni de service provoquent linondation dun serveur DNS par un si grand nombre de demandes client que ce dernier narrive plus traiter les demandes lgitimes et arrte de rpondre aux demandes DNS. Pour prvenir de telles attaques, surveillez les hausses inhabituelles de trafic et recherchez les anomalies telles quun volume lev provenant du mme emplacement ou un volume lev de trafic du mme type. Fermez tous les ports de pare-feu non utiliss. Les pare-feu sont un moyen simple de se protger contre les attaques qui proviennent de lextrieur. Les pare-feu limitent le nombre de ports disponibles permettant la communication entre plusieurs points sur votre rseau. Les serveurs DNS utilisent le port UDP 53 pour communiquer entre eux. Ouvrez le port 53 sur les pare-feu lorsquils sparent les entits suivantes : les serveurs DNS qui effectuent les transferts de zone ; 21. La scurisation dActive Directory les serveurs DNS qui dlguent les zones et le serveur de rfrence de chaque zone ; les clients DNS et leurs serveurs DNS ; les redirecteurs et les serveurs DNS qui sont un niveau suprieur dans la hirarchie de lespace de noms DNS.
Si un intrus parvient accder au serveur lui-mme, il peut tenter de modifier les donnes stockes dans les fichiers de zone DNS. Pour renforcer la scurisation de vos donnes contre une attaque directe :
j
Utilisez une mise jour dynamique scurise. Pour que seuls les utilisateurs authentifis et de confiance puissent effectuer des enregistrements, utilisez la mise jour dynamique scurise. Grce cette procdure, les demandes denregistrement ne sont traites que si elles proviennent de clients authentifis appartenant la fort. Cette condition rend plus difficile le lancement dattaques de ce type par un utilisateur, car il faudrait que ce dernier appartienne au groupe Utilisateurs authentifis ou dtienne des informations dauthentification plus puissantes pour obtenir laccs. Dfinissez des quotas pour limiter le nombre denregistrements de ressources DNS. Par dfaut, les membres du groupe Utilisateurs authentifis peuvent crer des enregistrements de ressources sur les serveurs DNS appartenant au mme domaine que lordinateur client. Ceci permet aux ordinateurs deffectuer une mise jour dynamique des donnes de la zone DNS. Un utilisateur authentifi effectue un maximum de 10 enregistrements dans le DNS. Pour vous assurer que des utilisateurs ou des applications malveillantes neffectuent pas denregistrements 729
Chapitre 21
inappropris de ressources, dfinissez un quota par dfaut sur les partitions dannuaire dapplication ForestDnsZones et DomainDnsZones. Cest valable pour les serveurs DNS Windows Server 2003 (et ultrieur) si les donnes DNS sont rpliques sur tous les contrleurs de domaine qui sont des serveurs DNS dans la fort ou le domaine. Pour les serveurs DNS Windows 2000, dfinissez un quota sur les partitions dannuaire de domaine si les donnes DNS sont rpliques sur tous les contrleurs de ce domaine. En appliquant une limite par dfaut de 10 objets, les ordinateurs peuvent lgitimement mettre jour les donnes DNS, mais ils ne peuvent pas lancer dattaque de dni de service.
j
Assurez-vous que les administrateurs DNS sont fiables. Les membres du groupe Admins du DNS contrlent la configuration de lenvironnement DNS. Cela signifie quils peuvent perturber le fonctionnement du service dannuaire en lanant des attaques de dni de service ou en envoyant les clients vers des serveurs cachs. Slectionnez uniquement des personnes qui connaissent bien vos stratgies de fonctionnement et qui ont prouv leur intention dappliquer ces stratgies. Par ailleurs, accordez chacune uniquement laccs la partie de linfrastructure DNS dont elle est responsable. Dlguez ladministration des donnes DNS. Vous pouvez dfinir des autorisations sur les conteneurs de zone pour empcher laccs dutilisateurs qui pourraient tenter de les modifier laide doutils dadministration, tels que le composant logiciel enfichable DNS ou ADSI Edit. Par dfaut, les groupes Administrateurs, Admins du domaine, Admins de lentreprise et Admins du DNS ont laccs Contrle total tous les composants du DNS. Les autres groupes ont laccs en lecture. Utilisez un mcanisme de routage adapt votre environnement : des redirecteurs conditionnels pour spcifier le serveur auquel adresser la demande pour un suffixe donn ; des zones secondaires pour fournir la redondance des donnes de la zone DNS ; des indicateurs de racine pour permettre un client DNS de trouver le serveur DNS correspondant un nom contenu dans lespace de noms en utilisant les dlgations qui commencent dans la zone du domaine racine.
Utilisez des espaces de noms DNS internes et externes distincts. Si lentreprise a besoin dune prsence sur Internet (indispensable de nos jours), crez des espaces de noms distincts pour Internet et pour votre intranet. DNS a t conu pour distribuer des informations en rponse des demandes manant des clients. Il na pas t conu pour fournir un accs scuris aux informations quil distribue. Dsactivez la rcursivit sur les serveurs DNS qui ne rpondent pas directement aux clients DNS et qui ne sont pas configurs avec des redirecteurs. Par dfaut, la rcursivit est active pour le service Serveur DNS et, de manire gnrale, les clients demandent que le serveur utilise la rcursivit pour rsoudre un nom lorsquils envoient une demande. Un serveur DNS a besoin de la rcursivit uniquement sil doit rpondre des demandes rcurrentes de clients DNS ou sil est configur avec un redirecteur. Si la rcursivit est dsactive, le service Serveur DNS utilise systmatiquement les rfrences, indpendamment de la demande du client.
730
Retrouvez tout sur la conception et limplmentation technique de DNS dans le tome II de cet ouvrage.
Vous pouvez utiliser le composant Domaines et approbations Active Directory pour configurer ltendue de lauthentification entre deux forts lies par une approbation de fort. Vous pouvez configurer diffremment lauthentification slective pour les approbations de fort sortantes et entrantes. 21. La scurisation dActive Directory Avec des approbations slectives, les administrateurs peuvent prendre des dcisions de contrle daccs souples lchelle de la fort pour grer lauthentification travers les frontires de scurit Active Directory.
j j
La procdure suivante explique comment crer une approbation de fort et activer lauthentification slective pour la relation dapprobation. Pour crer une approbation de fort et activer lauthentification slective : 1. Dmarrez Domaines et approbations Active Directory en cliquant sur Dmarrer/ Tous les Programmes/Outils dadministration. 2. Crez une approbation de fort sens unique ou bidirectionnelle. 3. Ouvrez la bote de dialogue Proprits de la relation dapprobation. 4. Sous longlet Authentification, activez loption Authentification slective pour lapprobation. Une fois quune approbation de fort avec authentification slective a t cre et configure, les utilisateurs situs dans la fort approuve ne peuvent toujours pas accder aux ordinateurs de la fort qui donne lapprobation tant que lauthentification slective na pas t configure pour des serveurs spcifiques de la fort approbatrice. La fort approbatrice est celle o se trouvent les ressources. Voici comment permettre un serveur de votre domaine dauthentifier des utilisateurs et des groupes slectionns appartenant une autre fort. Pour configurer lauthentification slective pour un serveur spcifique :
731
Chapitre 21
1. Dmarrez Domaines et approbations Active Directory en cliquant sur Dmarrer/ Tous les Programmes/Outils dadministration. 2. Ouvrez la bote de dialogue Proprits associe au serveur que vous souhaitez configurer. 3. Sous longlet Scurit, ajoutez les utilisateurs ou les groupes de la fort approuve auxquels vous voulez permettre daccder aux ressources du serveur, puis affectez-leur lautorisation Autorisation dauthentifier pour le serveur.
21.10. En rsum
La scurisation dActive Directory est trs importante, elle dcoule dun certain nombre de bonnes pratiques exposes ici. Certaines de ces bonnes pratiques peuvent vous paratre des vidences. Tant mieux, cela veut dire que vous avez la fibre scuritaire, mais noubliez tout de mme pas de les appliquer.
Chapitre 22
a version R2 de Windows Server 2003 apporte deux nouvelles fonctionnalits, ADAM et ADFS, qui permettent dtendre le champ daction dActive Directory. Ces deux nouveauts offrent aux administrateurs et aux utilisateurs la possibilit dexplorer des scnarios de communication indits, que ce soit dapplications ou dutilisateurs, mme lorsque ceux-ci sont dorganisations (forts) diffrentes.
Chapitre 22
ADAM et ADFS
Tableau 22.1 : Composants ADAM de base et contreparties AD Composant Magasin de donnes Active Directory ADAM Adamntds.dit Active Directory Ntds.dit Finalit Fournit un magasin de donnes hirarchique pour les donnes dannuaire Traite les demandes de clients dannuaire et dautres services dannuaire Fournit des interfaces au service dannuaire pour effectuer des demandes associes aux annuaires
Service dannuaire Dsamain.exe, Adamdsa.dll Interface de services dannuaire Protocole LDAP, rplication
Fournit la plate-forme sur laquelle Windows 2000 sexcute le service dannuaire Server ou contrleur de domaine Windows Server 2003 ou R2
736
Le service dannuaire
Le service dannuaire ADAM gre le magasin de donnes dannuaire. Il rpond aux demandes dannuaire provenant de clients dannuaire, ainsi que dautres services dannuaire. Le service dannuaire ADAM sexcute dans le contexte de scurit du compte qui est spcifi comme compte de service ADAM. Le service dannuaire ADAM met en uvre toutes les fonctions suivantes :
j j j j
lauthentification des utilisateurs dannuaire ; la rponse aux demandes de donnes ; la synchronisation des donnes entre des serveurs dannuaire (par rplication multimatre) ; la gestion des donnes.
Le service dannuaire ADAM autorise ou refuse laccs aux clients selon les informations didentification fournies par ces derniers. ADAM prend en charge les mmes mthodes dauthentification ou de liaison quActive Directory.
737
Chapitre 22
ADAM et ADFS
Des utilisateurs peuvent maintenant tre crs dans la partition de configuration afin que les utilisateurs ADAM puissent tre administrateurs dADAM. Un outil, nomm Adaminstall, synchronise des objets dActive Directory vers une instance ADAM. Les utilisateurs ADAM peuvent se lier une instance ADAM en utilisant lauthentification Digest. Cette mthode dauthentification utilise les informations didentification des applications serveurs et limine la ncessit de conserver en mmoire une version en texte clair du mot de passe de lapplication. La liaison Digest est prise en charge dans LDP. Un outil danalyse de schma Active Directory, nomm ADSchemaAnalyzer, simplifie la migration du schma Active Directory vers ADAM. Une nouvelle version de loutil LDP est livre avec lditeur dACL.
j j
ADAM peut maintenant chaner des demandes de mot de passe dutilisateur dans ADAM vers lobjet utilisateur dans Active Directory afin quun mot de passe puisse tre chang dans les deux services dannuaire. Lorsquun utilisateur dans ADAM, qui est galement un utilisateur dans Active Directory, tente de changer le mot de passe dutilisateur dans ADAM, ce changement est trait de la mme manire quun changement de mot de passe dutilisateur dans Active Directory. Lancien et le nouveau mot de passe doivent tre fournis (sauf pour les administrateurs Active Directory, qui doivent uniquement fournir le nouveau mot de passe), et le nouveau mot de passe doit tre conforme aux stratgies de mot de passe dfinies dans Active Directory. Active Directory effectue toute la vrification de la stratgie.
Windows Server 2003 (version R2 ou pas), Standard Edition ; Windows Server 2003 (version R2 ou pas), Enterprise Edition ; Windows Server 2003 (version R2 ou pas), Datacenter Edition ; la version 64 bits de Windows Server 2003 (version R2 ou pas), Enterprise Edition ;
738
j j j
la version 64 bits de Windows Server 2003 (version R2 ou pas), Datacenter Edition ; Windows XP Professionnel Service Pack 1 (SP1) au minimum ; Windows XP, dition 64 bits, Service Pack 1 (SP1) au minimum.
Windows XP Professionnel ; Windows XP dition familiale ; la famille Windows Server 2003 et R2 ; Windows 2000. 22. ADAM et ADFS
739
Chapitre 22
ADAM et ADFS
Fonction du composant Catalogue global Gestion du bureau IntelliMirror Distribution des logiciels automatise Approbations de domaines et de forts Infrastructure de cl publique (PKI) /X.509 Prise en charge des enregistrements de ressources de service DNS (SRV) Prise en charge de linterface de programmation dapplication (API) LDAP Prise en charge de lAPI ADSI Prise en charge de MAPI (Messaging API) Administration dlgue Rplication multimatre InetOrgPerson LDAP sur SSL (Secure Sockets Layer) Scurit de niveau attribut Prise en charge de la liste de contrle daccs ACL LDAP Schma extensible Prise en charge des partitions dannuaire dapplications
ADAM Non Non Non Non Non Non Oui Oui Non Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Active Directory Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Prise en charge de linstallation dun rplica partir dun support Prise en charge des serveurs 64 bits Prise en charge de la liaison LDAP concurrente
Implmenter ADAM
Voici les procdures dimplmentation relatives ADAM :
Installer ADAM
Pour installer ADAM partir de Windows Server 2003 R2, procdez comme ceci : 1. Dans le Panneau de configuration, activez le lien Ajout/Suppression de programmes. 2. Cliquez sur Ajouter/Supprimer des composants Windows. 3. Slectionnez Services Active Directory, sous la rubrique Composants, puis cliquez sur Dtails. 4. Activez la case cocher Active Directory Application Mode (ADAM) sous la rubrique Sous-composants de Services Active Directory, puis cliquez sur OK. 740
5. Cliquez sur Suivant dans la page Composants Windows. 6. Aprs avoir insr le CD 2 de Windows Server 2003 R2 si besoin, prenez connaissance du message qui saffiche, puis cliquez sur Terminer dans la dernire fentre qui apparat. 7. Si une erreur se produit lors de lexcution de lAssistant Installation de Active Directory en mode application avant laffichage de la page Fin de lAssistant Installation de Active Directory en mode Application : 1. Consultez tout dabord le message derreur qui dcrit lorigine du problme. 2. Cliquez ensuite sur Dmarrer/Excuter, puis tapez %windir%\Debug\ dans la zone de saisie. 22. ADAM et ADFS
741
Chapitre 22
ADAM et ADFS
Une instance ADAM consiste en une copie unique du service dannuaire ADAM, avec son magasin dannuaires associ, les ports LDAP et SSL affects et le journal dvnements dapplication. Vous pouvez excuter plusieurs instances ADAM simultanment sur un seul ordinateur. Si vous choisissez dinstaller une instance ADAM unique, linstance ADAM que vous installez ne fera pas partie dun jeu de configurations existant et naura pas de partenaires de rplication. Si vous choisissez dinstaller un rplica dune instance ADAM existante, linstance ADAM que vous installez contiendra des copies des partitions dannuaire de configuration et de schma (notamment toutes les extensions du schma) depuis linstance partir de laquelle vous avez choisi de rpliquer. 4. Entrez le nom de linstance ADAM et cliquez sur Suivant (voir fig. 22.5). 5. Entrez les numros de port LDAP et SSL associs et cliquez sur Suivant (voir fig. 22.6).
742
6. Dans la page Partition de lannuaire dapplications, vous pouvez crer une nouvelle partition dannuaire dapplications pendant linstallation dADAM. Une partition dannuaire dapplications contient des donnes spcifiques dune ou de plusieurs applications utilisant un annuaire. Vous pouvez cliquer sur Non, ne pas crer de partition dannuaire dapplications ou cliquer sur Oui, crer une partition dannuaire dapplications, puis spcifier un nom unique pour la nouvelle partition. ADAM prend en charge les noms uniques de style X.500 et de style DNS (Domain Name System). Cliquez sur Suivant.
743
Chapitre 22
ADAM et ADFS
7. Spcifiez lemplacement o seront stocks les fichiers de linstance et cliquez sur Suivant.
Figure 22.8 : Emplacement des fichiers de linstance ADAM
8. Slectionnez un compte de services utiliser et cliquez sur Suivant (voir fig. 22.9). 9. Slectionnez lutilisateur ou le groupe auquel vous voulez attribuer le rle dadministrateur ADAM et cliquez sur Suivant (voir fig. 22.10).
744
10. Dans la page Importer les fichiers LDIF, vous pouvez spcifier limportation des fichiers LDIF facultatifs ms-InetOrgPerson.ldf, ms-User.ldf, ms-UserProxy.ldf et MS-AZMan.ldf. Ces fichiers contiennent plusieurs dfinitions de schmas de classes des utilisateurs, ainsi que les objets utiliser avec le Gestionnaire dautorisations Windows, qui peuvent tre imports dans le schma de la nouvelle instance ADAM en cours dinstallation. Cliquez sur Suivant.
745
Chapitre 22
ADAM et ADFS
11. Tout est prt pour linstallation de la nouvelle instance. Dans la fentre de rsum, cliquez sur Suivant et linstallation seffectue.
Figure 22.12 : Installation de linstance ADAM
746
4. Dans la zone Nom de la connexion, tapez un nom. 5. Dans la zone Nom du serveur, tapez le nom DNS, le nom NetBIOS ou ladresse IP de lordinateur sur lequel linstance ADAM sexcute. 6. Dans le champ Port, tapez le port de communication LDAP utilis par linstance ADAM laquelle vous voulez vous connecter. 7. Sous la rubrique tablir une connexion au nud suivant, cliquez sur Nom unique (DN) ou contexte de nom, puis spcifiez le nom unique auquel vous voulez vous connecter, ou cliquez sur Contexte dattribution de noms connu puis sur Configuration, RootDSE ou Schma.
747
Chapitre 22
ADAM et ADFS
8. Sous la rubrique tablir une connexion en utilisant ces informations didentification, cliquez sur Le compte de lutilisateur ayant ouvert la session, ou cliquez sur Ce compte puis spcifiez le nom dutilisateur et le mot de passe du compte auquel vous voulez vous connecter.
Figure 22.15 : Cration dun nouvel utilisateur dans une instance ADAM
748
5. Dans la zone Slectionner une classe, cliquez sur la classe que vous voulez utiliser (user, inetOrgPerson, person ou OrganizationalPerson), puis cliquez sur Suivant. 6. Dans le champ Valeur, tapez une valeur pour lattribut nom commun (CN) du nouvel utilisateur, puis cliquez sur Suivant.
Figure 22.16 : Paramtres du nouvel utilisateur
7. Aprs avoir dfini tout ventuel attribut pour le nouvel utilisateur, cliquez sur Terminer.
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next Set objOU = GetObject("LDAP://localhost:50000/ ou=Techniciens,dc=corp,dc=puzzmania, dc=com") Set objUser = objOU.Create("user", "cn=mmolist") objUser.Put "displayName", "Martin Molist" objUser.Put "userPrincipalName", "mmolist@puzzmania.com" objUser.SetInfo
2. Enregistrez ce fichier sous le nom CreerADAMUser.vbs, par exemple, et lancez la commande wscript CreerADAMUser.vbs dans une Invite de commandes.
749
Chapitre 22
ADAM et ADFS
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next
2. Enregistrez ce fichier sous le nom CreerADAMOU.vbs par exemple et lancez la commande wscript CreerADAMOU.vbs dans une Invite de commandes.
La maintenance dADAM
Comme pour Active Directory, la sauvegarde et la restauration dADAM sont importantes.
Sauvegarder ADAM
Pour sauvegarder une instance ADAM dans un fichier, procdez ainsi :
750
1. Cliquez sur Dmarrer, pointez sur Tous les programmes, sur Accessoires, sur Outils systme, puis cliquez sur Utilitaire de sauvegarde. 2. Dans lAssistant Sauvegarde ou Restauration, cliquez sur le lien correspondant au mode avanc. 3. Cliquez sur longlet Utilitaire de sauvegarde, puis, dans le menu Tche, cliquez sur Nouveau. 4. Pour slectionner les dossiers dinstance ADAM sauvegarder, cochez la case situe gauche des dossiers. Par dfaut, les fichiers ADAM sont situs dans le rpertoire \%ProgramFiles%\Microsoft ADAM\nom_instance (o nom_instance reprsente le nom de linstance ADAM) qui contient les fichiers de base de donnes et fichiers journaux et le rpertoire \%windir%\ADAM qui contient les fichiers de programmes et doutils dadministration. 5. Dans la zone Effectuer la sauvegarde vers, slectionnez votre chemin de sauvegarde. 6. Dans la zone Nom du fichier ou mdia de sauvegarde, tapez le bon emplacement et le nom. 7. Cliquez sur Dmarrer, puis apportez les modifications ncessaires dans la bote de dialogue Informations sur la sauvegarde. 8. Pour dfinir les options avances de sauvegarde telles que la vrification des donnes ou la compression matrielle, cliquez sur Avanc. 9. Cliquez sur Dmarrer la sauvegarde pour dmarrer lopration de sauvegarde. 22. ADAM et ADFS
Restaurer ADAM
Pour effectuer une restauration faisant autorit des donnes ADAM sur une instance ADAM appartenant un jeu de configurations : 1. Si elle est en cours dexcution, arrtez linstance ADAM pour laquelle des donnes seront restaures. 2. Ouvrez lutilitaire de sauvegarde. 3. Cliquez sur longlet Restaurer et grer le mdia. 4. Dans le volet dinformations, slectionnez linstance ADAM que vous souhaitez restaurer en cochant la case gauche du dossier qui reprsente linstance ADAM que vous souhaitez restaurer. 5. Dans Restaurer les fichiers vers, cliquez sur Emplacement dorigine. 6. Dans le menu Outils, cliquez sur Options, cliquez sur longlet Restaurer, cliquez sur Toujours remplacer les fichiers sur mon ordinateur, puis cliquez sur OK. 7. Cliquez sur Dmarrer.
751
Chapitre 22
ADAM et ADFS
8. Une fois la restauration termine, fermez lutilitaire de sauvegarde. Pour forcer la restauration : 1. Ouvrez une Invite de commandes des outils ADAM. Pour cela, cliquez sur Dmarrer, pointez sur Tous les programmes, pointez sur ADAM, puis cliquez sur Invite de commande des outils ADAM. 2. Dans la fentre dInvite de commandes, tapez dsdbutil. 3. linvite dsdbutil:, tapez activate instance nominstance (o nominstance reprsente le nom de service de linstance ADAM sur laquelle vous souhaitez restaurer les donnes). 4. Tapez ensuite authoritative restore. 5. linvite authoritative restore:, tapez lune des commandes suivante :
j j j
restore database pour effectuer une restauration faisant autorit de toute la base de donnes dannuaire ; restore object dn pour effectuer une restauration faisant autorit de lobjet annuaire, dont le nom unique est reprsent par dn ; restore subtree dn pour effectuer une restauration faisant autorit de la sous-arborescence dannuaire dont le nom unique est reprsent par dn.
752
adamsync
/l ou /list /d ou /delete nom_unique _configuration /i ou /install fichier _entre /download nom_unique _configuration fichier_sortie /export nom _unique _configuration fichier_sortie Affiche toutes les configurations disponibles de loutil de synchronisation dActive Directory vers ADAM.
Supprime la configuration spcifie. Installe la configuration contenue dans le fichier dentre spcifi.
/sync nom_unique _configuration Synchronise la configuration spcifie. 22. ADAM et ADFS /reset nom _unique _configuration /mai nom_unique _configuration /fs nom_unique _configuration /ageall nom _unique _configuration
Rinitialise le cookie de rplication de la configuration spcifie. Dfinit la configuration spcifie en tant quinstance faisant autorit. Effectue une synchronisation de rplication complte de la configuration spcifie.
/so nom_unique _configuration nom_unique_objet Effectue une synchronisation de rplication pour lobjet spcifi dans la configuration spcifie. Utilisez le nom unique de lobjet. /passPrompt Demande les informations didentification de lutilisateur.
753
Chapitre 22
ADAM et ADFS
SSO de fdration et Web : lorsquune organisation utilise le service dannuaire Active Directory, il bnficie des avantages procurs par la fonctionnalit SSO, travers lauthentification intgre Windows au sein de la scurit de lorganisation ou des frontires de lentreprise. ADFS tend cette fonctionnalit aux applications confronte Internet, ce qui permet aux clients, aux partenaires et aux fournisseurs de disposer dune exprience utilisateur SSO web similaire et rationnelle lorsquils accdent aux applications bases sur le Web de lorganisation. En outre, des serveurs de fdration peuvent tre dploys dans diffrentes organisations pour faciliter les transactions fdres interentreprises (B2B) entre des organisations partenaires. Services Web WS-* interoprabilit : ADFS fournit une solution de gestion didentit fdre qui interagit avec dautres produits de scurit qui prennent en charge larchitecture de services Web WS-*. ADFS emploie pour cela la spcification de fdration de WS-*, appele WS-Federation. La spcification WS-Federation permet des environnements qui nutilisent pas le modle didentit Windows de crer une fdration avec les environnements Windows. Architecture extensible : ADFS fournit une architecture extensible qui prend en charge le type de jeton SAML (Security Assertion Markup Language) et lauthentification Kerberos (dans le SSO web fdr avec le scnario dapprobation de fort). ADFS peut galement effectuer un mappage de revendication, par exemple, en modifiant les revendications laide dune logique dentreprise personnalise en tant que variable dans une demande daccs. Des organisations peuvent utiliser cette extensibilit pour modifier ADFS en vue dune coexistence avec leurs infrastructures de scurit et stratgies dentreprise actuelles.
754
755
Chapitre 22
ADAM et ADFS
Dans le partenaire de comptes, les serveurs de fdration servent se connecter des comptes dutilisateurs locaux, que ce soit dans un magasin Active Directory ou dans un magasin ADAM. Les serveurs de fdration mettent galement des jetons de scurit initiaux que les comptes dutilisateurs locaux peuvent utiliser pour accder des applications web hberges dans le partenaire de ressources. De plus, les serveurs de fdration du partenaire de comptes mettent des cookies au niveau des utilisateurs pour grer le statut des connexions. Ces cookies incluent des revendications pour ces utilisateurs. Ces cookies offrent des fonctionnalits SSO. Ainsi, les utilisateurs nont pas besoin dentrer leurs informations didentification chaque fois quils visitent des applications Web du partenaire de ressources. Sur le partenaire de ressources, les serveurs de fdration valident les jetons de scurit qui sont mis par les serveurs de fdration au niveau du partenaire de comptes. Sur le partenaire de ressources, les serveurs de fdration mettent aussi des jetons de scurit lintention des applications web du partenaire de ressources. De plus, les serveurs de fdration du partenaire de ressources mettent des cookies dans les comptes dutilisateurs, qui proviennent du partenaire de comptes. Ces cookies offrent des fonctionnalits SSO. Ainsi, les utilisateurs nont pas besoin douvrir nouveau une session sur leurs serveurs de fdration du partenaire de comptes pour accder diffrentes applications web du partenaire de ressources.
756
Au niveau du partenaire de comptes, les proxies de serveur de fdration font office de proxies pour les connexions dutilisateurs aux serveurs de fdration situs sur lintranet. Ils peuvent aussi faire office de proxies pour les jetons de scurit mis par le serveur de fdration du partenaire de comptes, aussi bien pour ses propres jetons que ceux qui sont destins aux partenaires de ressources. Au niveau du partenaire de ressources, les proxies du service de fdration font office de proxies pour les jetons de scurit des utilisateurs, qui sont mis partir des serveurs de fdration aussi bien au niveau du partenaire de comptes que du partenaire de ressources, lintention des applications web du partenaire de ressources. 22. ADAM et ADFS
Vitesse du processeur : 133 MHz. Mmoire vive minimale recommande : 256 Mo.
757
Chapitre 22
ADAM et ADFS
Quant la configuration logicielle requise, les services ADFS reposent sur la fonctionnalit de serveur qui est intgre au systme dexploitation Windows Server 2003 R2. Les composants Service de fdration, Proxy du service de fdration et Agent Web ADFS ne peuvent pas sexcuter sur des systmes dexploitation plus anciens. Rpartition des composants dADFS Les composants Service de fdration et Proxy du service de fdration ne peuvent pas se trouver sur le mme ordinateur et ils ne peuvent tre installs que sur des ordinateurs excutant Windows Server 2003 R2, Enterprise Edition.
Le service de fdration
Le serveur excutant le service de fdration doit tre configur avec les composants suivants :
j j j j j j
Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par dfaut configur avec TLS/SSL (Transport Layer Security et Secure Sockets Layer) ; un certificat, de signature numrique X.509, pour le service de fdration, utilis pour la signature des jetons.
758
Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0 ; un site web par dfaut configur avec TLS/SSL (Transport Layer Security et Secure Sockets Layer).
Windows Server 2003 R2, Standard Edition, ou Windows Server 2003 R2, Enterprise Edition ; IIS 6.0 ; ASP.NET 2.0 ; .NET Framework 2.0. 22. ADAM et ADFS
Lorsque linstallation de lAgent Web ADFS est termine, il faut configurer au moins un site web dans IIS avec TLS/SSL, de faon ce que les utilisateurs fdrs puissent accder aux applications web qui sont hberges sur le serveur web.
759
Chapitre 22
ADAM et ADFS
Le navigateur web
Bien que nimporte quel navigateur web actuel compatible JScript puisse faire office de client ADFS, seuls Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et Safari sur Macintosh ont t tests par Microsoft. Pour des raisons de performance, il est fortement recommand dactiver JScript. Les cookies doivent tre accepts, ou du moins approuvs, pour les serveurs de fdration et les applications web auxquels on accde.
760
8. Dans la page Service de fdration, cliquez sur Crer un certificat de signature de jetons auto-sign. 9. Sous la rubrique Stratgie dapprobation, cliquez sur Crer une nouvelle stratgie dapprobation, puis sur Suivant. 10. Si vous tes invit fournir lemplacement des fichiers dinstallation, accdez Dossier dinstallation de R2\cmpnents\r2, puis cliquez sur OK. 11. Dans la page Fin de lAssistant Composants de Windows, cliquez sur Terminer.
761
Chapitre 22
ADAM et ADFS
3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis sur Dtails. 4. Dans la bote de dialogue Services Active Directory, cliquez sur Services de fdration Active Directory (ADFS), puis cliquez sur Dtails. 5. Dans la bote de dialogue Services de fdration Active Directory (ADFS), cochez la case Proxy du Service de fdration, puis cliquez sur OK. Si ASP.NET 2.0 na pas t pralablement activ, cliquez sur Oui pour lactiver, puis sur OK. 6. Dans la bote de dialogue Services Active Directory, cliquez sur OK. 7. Dans lAssistant Composants de Windows, cliquez sur Suivant. Configuration des composants Pour aller plus loin dans la configuration des composants, consultez ladresse http://technet2.microsoft.com/windowsserver/en/technologies/featured/adfs/default.mspx.
La terminologie ADFS
Afin de mieux comprendre les diffrents termes employs dans lapproche ADFS, aidez-vous du tableau suivant :
Tableau 22.3 : Termes employs lors de la mise en place dADFS
Description Partenaire de fdration approuv par le service de fdration pour fournir des jetons de scurit. Le partenaire de comptes met ces jetons de scurit ses utilisateurs (les utilisateurs prsents dans le domaine du partenaire de comptes), afin quils puissent accder des applications bases sur le Web dans le partenaire de ressource. Composant Windows Server 2003 R2 qui fournit des technologies douverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs applications web, travers la dure de vie dune session en ligne unique. ADFS y parvient en partageant de manire scurise lidentit numrique et les droits accords, travers des limites de scurit et dentreprise. ADFS dans Windows Server 2003 R2 prend en charge WS-F PRP (WS-Federation Passive Requestor Profile). Revendication effectue par un serveur (nom, identit, cl, groupe, privilge ou fonctionnalit, par exemple) sur un client. Application ASP.NET qui effectue une autorisation base sur les revendications prsentes dans un jeton de scurit ADFS. Paire de domaines Kerberos ou de domaines ayant tabli une approbation de fdration.
762
Description Service de jeton de scurit conu dans Windows Server 2003 R2. Le service de fdration fournit des jetons en rponse aux demandes de jetons de scurit. Proxy vers le service de fdration dans le rseau de primtre (galement appel "zone dmilitarise" et "sous-rseau filtr"). Le proxy du service de fdration utilise des produits PRP WS-F pour rcuprer des informations didentification dutilisateur partir de clients de navigateur et dapplications web, puis envoie les informations au service de fdration de leur part. Partenaire de fdration qui approuve le service de fdration pour mettre des jetons de scurit bass sur des revendications. Le partenaire de ressource contient des applications bases sur le Web et publies, auxquelles les utilisateurs du partenaire de comptes peuvent accder. Unit de donne signe et crypte qui exprime une ou plusieurs revendications. Service web qui met des jetons de scurit. Un service de jetons de scurit effectue des assertions bases sur une preuve quil approuve et pour quiconque lapprouve (ou pour des destinataires spcifiques). Pour communiquer une approbation, un service ncessite une preuve, telle quune signature pour attester de la connaissance dun jeton de scurit ou dun ensemble de jetons de scurit. Un service mme peut gnrer des jetons ou dpendre dun service de jetons de scurit pour mettre un jeton de scurit avec sa propre dclaration dapprobation. Cela compose la base de la rpartition dapprobation. Dans les services ADFS, le service de fdration est un service de jetons de scurit. Dans les services ADFS, ensemble de serveurs de fdration avec rpartition de charge, proxies de serveur de fdration ou serveurs web hbergeant lAgent Web ADFS. Optimisation de la squence dauthentification pour liminer la charge de travail que reprsentent des ouvertures de session rptes dun utilisateur final. Certificat X509 dont la paire de cls publique/prive associe sert fournir une intgrit pour des jetons de scurit. Spcifications dune architecture de services web fondes sur des normes industrielles telles que SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) et UDDI (Universal Description, Discovery, and Integration). WS-* fournit une base pour crer des solutions dentreprise compltes et qui interagissent pour lensemble de lentreprise, y compris la possibilit de grer une identit et une scurit fdres. Application Windows dpendant dun jeton Windows NT pour procder lautorisation dutilisateurs.
Partenaire de ressource
Ferme de serveurs
Ouverture de session unique (ou SSO) Certificat de signature de jetons Services web (ou WS-*)
763
Chapitre 22
ADAM et ADFS
Terme WS-Federation
Description Spcification qui dfinit un modle et un ensemble de messages pour la rpartition dapprobation et la fdration didentit, ainsi que les informations dauthentification travers diffrents modles Kerberos dapprobation. La spcification WS-Federation identifie deux sources didentit et des demandes dauthentification travers des domaines Kerberos dapprobation : les requtes actives, telles que les applications compatibles avec SOAP, ainsi que les requtes passives, dfinies en tant que navigateurs HTTP avec une large prose en charge de HTTP, par exemple HTTP 1.1.
22.3. En rsum
Active Directory Application Mode (ADAM) est un mode indpendant du service dannuaire Active Directory, dpourvu de fonctionnalits dinfrastructure. Il fournit des services dannuaire pour les applications et ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies douverture de session Web unique (SSO) pour authentifier un utilisateur dans plusieurs applications Web, travers la dure de vie dune session en ligne unique.
Partie
C
Scurits
Partie
C
Chapitre 23 Chapitre 24 Chapitre 25 Chapitre 26
Scurits
Introduction la scurit . . . . . . . . . . . . . 767 La conception de la scurit des serveurs . . . . . . . 789 valuation de la scurit . . . . . . . . . . . . . 805 La scurisation des postes de travail . . . . . . . . . 823
Chapitre 23
Introduction la scurit
23.1 23.2 23.3 23.4 23.5 23.6 23.7 23.8 23.9 23.10 Quest ce que la dfense en profondeur . . . La couche physique . . . . . . . . . . . . . . . La couche Primtre . . . . . . . . . . . . . . . La couche rseau interne . . . . . . . . . . . . La couche hte . . . . . . . . . . . . . . . . . . La couche application . . . . . . . . . . . . . . La couche Donnes . . . . . . . . . . . . . . . Les notions fondamentales lies la scurit Les dix commandements de la scurit . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769 . 770 . 773 . 775 . 778 . 780 . 782 . 784 . 786 . 787
A
j j j j j j j j
vant de commencer cette suite de chapitres destins la scurit, il est ncessaire de comprendre les risques, les enjeux et les impacts de la scurit. Un tel impact peut rapidement avoir des consquences sur les points suivants : le manque gagner ou laugmentation des cots ; la perte ou lendommagement de donnes ; linterruption des processus de lentreprise ; la perte de confiance des clients ; la perte de confiance des investisseurs ; les consquences juridiques associes au manquement la scurisation du systme dans de nombreux tats et pays ; le non-respect des exigences lgales en matire de scurit ; la rputation de lentreprise entache.
Rsultat : la scurit de linformatique devient un point crucial au cur du systme dinformation et, de facto, elle devient un centre de cot trs lev. Cependant, lentreprise tire certains avantages investir dans la scurit :
j j j j
la rduction des temps morts et des cots associs aux priodes dindisponibilit des systmes et des applications ; la rduction des cots de main-duvre associs au dploiement inefficace de mises jour de la scurit ; la rduction des pertes de donnes dues aux virus destructeurs ou aux violations de la scurit des informations ; la protection renforce de la proprit intellectuelle. 23. Introduction la scurit
Pour que les investissements soient rentables et que la scurit soit efficace devant les particularits de votre infrastructure, il est ncessaire de catgoriser ses diffrentes parties comme la scurit client/serveur, la scurit du rseau et des donnes ou encore celle des postes utilisateurs. Une fois cette liste tablie, il vous faudra dfinir alors pour chaque catgorie une stratgie de conception avant la phase dimplmentation. Lobjectif de ce chapitre est de vous prsenter les notions de dfense en profondeur.
769
Chapitre 23
Introduction la scurit
j j j
La couche Primtre : pare-feu matriels et/ou logiciels et rseaux privs virtuels utilisant des procdures de mise en quarantaine. La couche Rseau interne : segmentation rseau, scurit IP (IPSec) et systmes de dtection dintrusion rseau (NIDS, Network Intrusion Detection Systems). La couche Hte : renforcement de la scurit des systmes dexploitation serveur et client, outils de gestion des correctifs, mthodes dauthentification renforces et systmes de dtection dintrusion hte. La couche Application : renforcement de la scurit des applications et logiciels antivirus. La couche Donnes : listes de contrle daccs (ACL, Access Control Lists), chiffrement, systme de fichiers EFS (Encrypting File System) et technologie DRM (Digital Rights Management).
j j
770
La couche physique
Scurit physique Le principe de base de la couche Scurit physique est que toutes les ressources de linfrastructure informatique dune entreprise doivent tre scurises physiquement. Ces ressources ne comprennent pas seulement des quipements, mais aussi des logiciels, des donnes et des informations professionnelles critiques stockes sur divers priphriques.
La mobilit est un sujet de plus en plus prsent dans les entreprises. Laccs physique aux appareils mobiles de votre organisation constitue un danger pour la couche Scurit physique. Laction dun individu mal intentionn sera considrablement facilite sil a accs des listes de contacts ou des numros de tlphone, sil a la possibilit denvoyer des messages lectroniques ou de rpondre au tlphone en se faisant passer pour le propritaire lgitime. Laccs physique un systme permet galement un individu mal intentionn dinstaller des logiciels ou du matriel malveillants, par exemple des rootkits, des logiciels espions ou dautres virus. Ces logiciels passent parfois inaperus et sexcutent sur un systme pendant un certain temps, collectant des donnes critiques sur lentreprise. Cela peut avoir des consquences dsastreuses pour lentreprise. Dans certains cas, une attaque nest que du vandalisme. Les dommages physiques causs aux quipements ou leur destruction peuvent constituer un problme majeur, mais il est nanmoins plus grave quun intrus parvienne voir, modifier ou supprimer des donnes supposes tre scurises. Si un individu mal intentionn accde physiquement des systmes, Il est possible de considrer que celles-ci deviennent les propritaires de ces systmes.
La scurit physique concerne tous les composants de votre infrastructure informatique. Si une personne non autorise dispose dun accs physique lenvironnement, ce dernier ne peut pas tre considr comme scuris.
771
Chapitre 23
Introduction la scurit
Laccs doit tre surveill laide dun circuit ferm de tlvision et, dans certains cas, par des gardes. Les enregistrements vido peuvent tre utiliss pour un audit et la prsence de camras peut avoir un effet dissuasif contre les accs non autoriss. Les ordinateurs portables dune socit peuvent contenir des informations trs utiles un intrus. Ils doivent toujours tre stocks de faon scurise lorsquils ne sont pas utiliss. Sparez les serveurs des oprateurs humains et des utilisateurs. Toutes les salles serveur doivent tre fermes cl. Laccs ces salles doit tre strictement rglement et les entres enregistres. Sil nexiste pas de salles ddies aux serveurs, il convient de scuriser ces derniers laide de coffrages ou, faute de mieux, de verrouiller les baies. Comme la plupart des baies de serveur peuvent tre ouvertes laide dune cl standard, ne faites pas confiance aux verrous prvus par le fournisseur. Laccs physique stend aux consoles dadministration distance en plus des serveurs. Il nest pas trs utile de scuriser laccs aux claviers et aux crans si laccs aux serveurs est possible via des services Terminal Server partir de tout point du rseau interne. Laccs administratif distance doit tre scuris par des contre-mesures appropries, par exemple lauthentification multifactorielle et le chiffrement des canaux de communication. Cette recommandation sapplique aux solutions KVM (Keyboard Video Monitor) rseau ainsi quau matriel de gestion distance. Protgez physiquement les sauvegardes de vos donnes et des configurations de vos priphriques rseaux. Les copies de sauvegarde peuvent divulguer des informations sur le rseau susceptible dtre utiles un intrus. Vous pouvez galement utiliser les sauvegardes pour restaurer rapidement des donnes ou rtablir une configuration plus scurise dun priphrique. Vrifiez que tout le matriel rseau est protg physiquement. Les routeurs et les commutateurs rseau doivent tre scuriss physiquement. Dans le cas contraire, un intrus peut facilement se connecter un ordinateur portable ou un ordinateur de bureau et attaquer les serveurs au sein du primtre. La gestion des priphriques rseau doit tre contrle de faon ne jamais voir ces quipements utiliss pour monter une attaque contre linfrastructure rseau. De mme, rduire les opportunits pour les individus, bien intentionns ou autres, dinfecter ou de mettre en danger un systme est important. Supprimez les priphriques dentre de donnes tels que les lecteurs de disquettes et les lecteurs de CD-Rom sur les systmes qui nen ont pas besoin.
772
La couche Primtre
Votre primtre rseau est la pierre angulaire entre le rseau interne de votre entreprise et les rseaux non approuvs. Beaucoup de personnes pensent que le primtre recouvre uniquement la connexion entre le rseau interne et Internet, mais cette dfinition est trop limitative. Avec lapproche de dfense en profondeur, le primtre rseau comprend tous les points o le rseau interne est connect aux rseaux et htes qui ne sont pas grs par lquipe informatique de lentreprise. Il peut sagir de connexions :
j j j j j j j
Internet ; des succursales qui ne sont pas gres par lquipe informatique de lentreprise ; des partenaires commerciaux ; des utilisateurs distants ; des rseaux sans fil ; des applications Internet ; dautres segments rseau internes. 23. Introduction la scurit
Le primtre dun rseau est la zone de ce rseau qui est la plus vulnrable aux attaques venant de lextrieur. Les quipements utiliss dans le primtre rseau comprennent notamment :
j j j
des routeurs ; des serveurs de messagerie et des serveurs web ; des logiciels et quipements pare-feu.
773
Chapitre 23
Introduction la scurit
Il peut sembler logique de concentrer les efforts sur la zone o les attaques sont plus probables, comme Internet. Cependant, une personne mal intentionne peut galement essayer dattaquer votre rseau par tout autre point daccs. Il est trs important que toutes les entres et les sorties de votre rseau soient scurises. Certaines attaques de primtre ne portent pas directement sur le primtre rseau. Par exemple, dans une attaque type hameonnage (phishing), lagresseur diffuse un message lectronique qui, examin superficiellement, parat provenir dune entreprise authentique. En gnral, de tels messages essaient de leurrer le destinataire pour linciter fournir des informations sensibles sur son compte. Par exemple, ces messages contiennent souvent une URL permettant daccder des sites web conus pour reproduire de faon trs convaincante le site dune entreprise authentique. Lescroquerie par hameonnage cause un dommage lindividu tromp et lentreprise authentique dont la rputation est ternie. Il est important que vous considriez la scurit du rseau comme un tout, en tenant compte de tous les points daccs votre rseau et non seulement de zones individuelles. Comme il est peu probable que vous soyez charg de mettre en uvre la scurit chez vos partenaires commerciaux, vous ne pouvez pas avoir une confiance totale dans les accs provenant de leur environnement. De mme, vous nexercez aucun contrle sur le matriel des utilisateurs distants et ne pouvez pas non plus faire confiance cet environnement. Les succursales ne possdant pas toujours des informations aussi sensibles quune maison mre, les mesures de scurit qui y sont mises en place sont parfois moindres. Cependant, elles peuvent avoir des connexions directes avec le sige, quun intrus peut utiliser.
Lorsque des ordinateurs distants tablissent des communications sur un VPN, les entreprises peuvent examiner ces ordinateurs de plus prs afin de sassurer quils respectent la stratgie de scurit prdtermine. Les systmes qui veulent se connecter doivent tre mis en quarantaine sur une partie spare du rseau jusqu ce que les vrifications de scurit soient termines. Vous pouvez galement mettre en uvre la Protection de laccs au rseau (NAP, Network Access Protection) comme un moyen de filtrer les clients internes avant dautoriser laccs au rseau. Les systmes dexploitation Microsoft Windows rcents facilitent le blocage des ports de communication superflus afin de limiter la surface dattaque dun
774
ordinateur. Vous pouvez galement utiliser des Systmes de dtection dintrusion hte (HIDS, Host Intrusion Detection Systems) et des pare-feu bass sur lhte.
j
La scurisation des primtres est essentiellement assure laide de pare-feu. La configuration dun pare-feu peut prsenter des difficults techniques. Cest pourquoi les procdures doivent dtailler prcisment la configuration requise. Le protocole de tunneling utilis par les systmes Microsoft est le protocole PPTP (Point-to-Point Tunneling Protocol) avec le chiffrement MPPE (Microsoft Point-to-Point Encryption) ou le protocole L2TP (Layer 2 Tunneling Protocol) avec le chiffrement IPSec. Lorsque des donnes quittent lenvironnement dont vous tes responsable, il est important quelles soient dans un tat garantissant leur arrive destination. Pour cela, vous pouvez utiliser le chiffrement et les protocoles de tunneling afin de crer un rseau priv virtuel (VPN, Virtual Private Network). Vous pouvez utiliser S/MIME ou PGP pour chiffrer et signer les messages lectroniques quittant votre organisation. Les systmes du primtre doivent galement avoir une utilisation clairement dfinie. Bloquez ou dsactivez toutes les autres fonctionnalits. La traduction dadresses rseau (NAT, Network Address Translation) permet une entreprise de masquer les configurations de port interne et dadresse IP afin dempcher les utilisateurs malveillants dattaquer les systmes internes avec des informations rseau voles. Les mcanismes de scurit de primtre peuvent galement masquer des services internes (mme ceux qui doivent tre accessibles lextrieur) pour que les intrus ne puissent jamais communiquer directement avec un autre systme que le pare-feu partir dInternet.
j j
775
Chapitre 23
Introduction la scurit
La couche Rseau interne comprend lintranet dentreprise dont le contrle et la gestion sont assurs par lquipe informatique de lentreprise. Cet intranet peut comprendre les lments suivants :
j j j j
le rseau local (LAN, Local Area Network) ; le rseau tendu (WAN, Wide Area Network) ; le rseau mtropolitain (MAN, Metropolitan Area Network) ; le rseau sans fil.
Les attaques ne proviennent pas uniquement de sources externes. Quil sagisse de vritables attaques internes ou juste daccidents, de nombreux systmes et services peuvent tre endommags. Il est important de mettre en uvre une scurit rseau interne pour arrter les menaces malveillantes et accidentelles. La segmentation du rseau interne est lun des moyens utiliss cet effet. En fournissant une couche supplmentaire dans le modle de dfense en profondeur, la segmentation interne permet de dtecter lintrus plus facilement et lempche daccder toutes les ressources du rseau principal de lentreprise.
Laccs linfrastructure rseau permet galement un intrus de surveiller le rseau et dobserver le trafic quil transmet. Les rseaux entirement routs facilitent la communication, mais ils permettent aux intrus daccder leurs ressources, quel que soit lemplacement de lintrus sur le rseau. Par exemple, si les intrus peuvent accder au rseau, ils peuvent utiliser un renifleur de rseau pour capturer le trafic rseau et, ventuellement, se procurer des informations confidentielles ou des informations dauthentification. Laccs aux systmes internes et aux ressources rseau permet un intrus daccder plus facilement aux donnes dune entreprise. Les systmes dexploitation rseau installent de nombreux services, or chaque service rseau est un point dattaque potentiel. Un intrus peut utiliser un service vulnrable sur un ordinateur pour prendre le contrle de cet ordinateur afin de lutiliser pour lancer dautres attaques. Les rseaux sans fil se prtent lcoute clandestine parce que les intrus peuvent y accder sans entrer physiquement dans les locaux de lorganisation. Sil parvient accder au rseau sans fil, lintrus est en mesure de capturer des informations confidentielles, et mme de contourner tout pare-feu de primtre.
j j
776
Chiffrez les communications rseau. Tenez compte de la faon dont les priphriques rseau, tels que les commutateurs, seront grs. Par exemple, votre quipe rseau peut utiliser Telnet pour sattacher un commutateur ou un routeur en vue deffectuer des modifications de configuration. Telnet transmet toutes les informations dauthentification de scurit en texte clair. Autrement dit, les noms dutilisateurs et les mots de passe sont accessibles toute personne qui espionne ce segment du rseau. Cela peut reprsenter une faille de scurit majeure. Songez autoriser uniquement lutilisation dune mthode chiffre et scurise comme SSH (Secure Shell) ou un accs terminal srie direct. Signez les paquets rseau. Mettez en uvre des technologies de chiffrement et de signature telles que IPSec ou la signature SMB (Server Message Block) pour empcher les intrus despionner les paquets du rseau et de les rutiliser. Appliquez des filtres de port IPSec pour restreindre le trafic vers les serveurs. Bloquez tous les ports qui ne sont pas indispensables aux fonctionnalits du serveur. Exigez lauthentification mutuelle. Pour aider scuriser lenvironnement du rseau interne, demandez chaque utilisateur de sauthentifier de faon scurise auprs dun contrleur de domaine et des ressources auxquelles il accde. Utilisez lauthentification mutuelle (qui permet au poste client de connatre lidentit du serveur) pour empcher la copie accidentelle de donnes vers le systme dun intrus. Segmentez le rseau. Les commutateurs doivent segmenter ou partitionner physiquement un rseau pour quil ne soit pas disponible dans son intgralit partir dun point unique. Vous pouvez raliser le partitionnement en utilisant des commutateurs et des routeurs rseau spars ou en crant plusieurs rseaux locaux virtuels (VLAN, Virtual Local Area Network) sur le mme commutateur physique. La segmentation de rseau est utile lorsquil est impossible dinstaller des correctifs logiciels sur certains systmes ou de renforcer leur scurit par des contre-mesures sous peine dendommager lapplication ou les donnes de lapplication. Elle peut galement constituer une rponse des menaces comme la connexion au rseau dutilisateurs dont les ordinateurs portables sont infects par des virus. Pour ces systmes, une segmentation physique supplmentaire utilisant des pare-feu, la scurit IPSec ou dautres mesures doit faire partie de la stratgie de scurit de lorganisation. Limitez le trafic mme sil est segment. Pour les rseaux locaux filaires et sans fil, utilisez 802.1X pour fournir un accs chiffr et authentifi. Cette solution peut utiliser des comptes et des mots de passe Active Directory ou des certificats numriques pour lauthentification. Si vous utilisez des certificats, vous aurez besoin dune infrastructure cl publique (PKI, Public Key Infrastructure) base sur les services de certificats Windows ; pour les mots de passe comme pour les certificats, vous aurez galement besoin dun serveur RADIUS (Remote Authentication Dial-In User Service) bas sur le service dauthentification Internet (IAS, Internet 777
j j
Chapitre 23
Introduction la scurit
Authentication Service). Les Services de certificat et le service IAS sont inclus dans Windows Server 2003. Pour les organisations de petite taille, il peut savrer avantageux dutiliser WPA (Wi-Fi Protected Access), un mcanisme qui permet le chiffrement du trafic sans fil avec changement automatique des cls de chiffrement (fonction appele "rgnration des cls") soit au bout dun certain temps, soit aprs la transmission du nombre de paquets spcifi. WPA ne requiert pas une infrastructure complexe comme 802.1X, mais fournit un niveau de scurit infrieur.
La couche Hte contient des systmes individuels du rseau. Ces systmes remplissent souvent des rles ou des fonctions spcifiques. La prise en charge des fonctionnalits de scurit diffre dun systme dexploitation lautre. Les systmes dexploitation les plus courants comme, Windows XP et Windows Vista pour les postes clients ou encore Windows Server 2003 ou Windows Server 2008 comprennent des fonctionnalits de scurit intgres comme les noms et les mots de passe uniques pour chaque utilisateur, les listes de contrle daccs et laudit. Les systmes dexploitation Microsoft plus anciens comme Windows 95/98/Me ne comprennent pas les fonctionnalits de base requises dun systme dexploitation scuris. Une scurisation efficace des htes implique de parvenir un quilibre entre le degr de scurit et la facilit dutilisation. Par exemple, si vous activez tous les services dun serveur rseau ou si vous autorisez les connexions rseau partir de nimporte quel client, le serveur sera facile utiliser, mais non scuris. Inversement, si vous dsactivez 778
La couche hte
des services, vous pouvez compromettre la facilit dutilisation du serveur. Si vous activez un pare-feu bas sur lhte, vous risquez dempcher des clients lgitimes de se connecter au serveur. Souvent, laugmentation de la scurit dun ordinateur entrane une diminution de sa facilit dutilisation.
Un intrus peut essayer dexploiter les faiblesses dun systme dexploitation. Vous pouvez vous protger de ces attaques en veillant installer les correctifs de scurit et les mises jour les plus rcents. Une configuration de systme dexploitation non scurise peut exposer lhte aux attaques. Un intrus peut utiliser et exploiter les services quil sait disponibles par dfaut sur de nombreux systmes, par exemple les services Internet (IIS). En rgle gnrale, les services dont un serveur na pas besoin pour remplir son rle dans le rseau ne doivent pas tre activs ; si ces services sont ncessaires, ils doivent tre configurs dans un souci de scurit. Les accs non surveills rendent la couche Hte vulnrable. Lorsque les accs et les tentatives daccs ne sont pas audits et surveills, lefficacit potentielle dune attaque est accrue parce que vous risquez de dcouvrir lattaque seulement aprs quelle a caus des dommages substantiels. La couche Hte peut galement tre compromise par la diffusion de virus, la plupart du temps via le courrier lectronique, dans le cadre dune attaque automatise. Par exemple, le ver informatique Nimda cre sur lordinateur infect des partages rseau ouverts autorisant laccs au systme. Pendant ce processus, le ver cre galement un compte dinvit bnficiant des privilges dadministrateur. De plus, des intrus peuvent utiliser ce virus pour installer des rootkits ou des logiciels espions afin de compromettre la scurit du systme dexploitation.
Utilisez des techniques de renforcement de la scurit sur les systmes dexploitation client et serveur. Le choix de ces techniques dpend du rle de lordinateur. Dans chaque cas, vous pouvez utiliser les modles de scurit et les modles dadministration de la stratgie de groupe pour protger ces systmes. Sur les systmes client, vous pouvez galement utiliser la stratgie de groupe pour limiter les droits des utilisateurs et pour contrler linstallation des logiciels. Avec une stratgie de groupe limitant les applications excutes par un utilisateur, vous pouvez empcher cet utilisateur dexcuter accidentellement un cheval de Troie. 779
Chapitre 23
Introduction la scurit
Sur les systmes serveurs, les techniques de renforcement de la scurit comprennent galement la dsactivation ou la suppression des services inutiles, linstallation dun systme de dtection dintrusion hte (HIDS), lapplication dautorisations NTFS, la dfinition de stratgies daudit, le filtrage des ports et lexcution de tches supplmentaires bases sur le rle du serveur. Surveillez et auditez les accs et les tentatives daccs aux ressources rseau. Installez et tenez jour des programmes de dtection de virus et de logiciels espions. Utilisez des pare-feu. Lutilisation du pare-feu Windows disponible avec Windows XP et les systmes dexploitation ultrieurs peut rduire considrablement la surface dattaque sur un ordinateur client.
Bien que Windows XP Service Pack 2 et Windows Vista, ct poste client, ainsi que Windows Server 2003 Service Pack 2 et Windows Server 2008, ct serveur, augmentent la scurit des systmes dexploitation htes, vous devez faire en sorte que les applications qui sexcutent sur les serveurs soient aussi scurises que possible. Elle comprend les applications rseau des clients et des serveurs. Les applications clientes sexcutent gnralement sur les ordinateurs des utilisateurs finaux, tandis que les applications serveurs sont hberges sur des ordinateurs serveurs ddis. Les applications rseau permettent aux postes clients daccder aux donnes et de les manipuler. Elles sont galement un point daccs au serveur sur lequel ces applications sexcutent. Noubliez pas que lapplication fournit un service au rseau. La solution de 780
La couche application
scurit utiliser ne doit pas empcher cette application de fonctionner. Recherchez les problmes de scurit pour les applications dveloppes en interne, ainsi que pour les applications commerciales.
Un intrus peut parvenir exploiter une faiblesse dune application pour excuter un code malveillant sur le systme. Lun des types dattaques les plus rpandus contre les bases de donnes est linjection SQL. Une attaque par injection SQL se produit lorsquun intrus modifie des requtes SQL soumises au serveur de base de donnes de faon pouvoir injecter des commandes dans la base de donnes. La restriction des types dinformations qui peuvent tre entres dans un champ dentre peut rduire considrablement ce type de vulnrabilit. Un intrus qui cible une application peut russir lendommager pour la rendre inoprante. Par exemple, une application peut sarrter la suite dune attaque de dpassement de mmoire tampon. Un intrus peut utiliser une application existante pour quelle effectue involontairement des tches indsirables comme le routage de messages lectroniques. Si un serveur SMTP nest pas configur pour bloquer le relais de messagerie, un intrus peut router des messages lectroniques indsirables par lintermdiaire du serveur. En pareil cas, les organisations peuvent ragir en bloquant tout le courrier lectronique en provenance de votre serveur. Un intrus peut saturer une application pour interdire toute utilisation lgitime ; ce type dattaque est appel "dni de service". Si un intrus peut compromettre plusieurs stations de travail qui ne sont pas scurises, il est peut-tre capable dutiliser ces stations de travail pour lancer une attaque par dni de service distribue contre un serveur sur le rseau.
Les installations dapplications ne doivent inclure que les services et les fonctionnalits requises. En excutant lAssistant Configuration de la scurit, vrifiez que tous les services non requis par les applications sont dsactivs. Lorsque de nouvelles applications personnalises sont dveloppes, utilisez les mthodes conseilles les plus rcentes relatives lingnierie de scurit lors du dveloppement des applications. Si la scurit dune application ou dun service est compromise, lintrus peut tre en mesure daccder au systme avec les mmes privilges que ceux qui sont associs 781
Chapitre 23
Introduction la scurit
lapplication. Cest pourquoi il faut excuter les services et les applications avec le plus faible niveau de privilge possible.
j j
Les applications qui sexcutent sur le rseau doivent tre installes de faon scurise avec les Service Packs et les correctifs les plus rcents. Les applications dveloppes en interne doivent tre conues avec un souci particulier de scurit et leurs vulnrabilits doivent tre continuellement values ; pour toute vulnrabilit identifie, des correctifs doivent tre dvelopps et dploys. Utilisez des stratgies de restriction logicielle. Les stratgies de restriction logicielle vous permettent de protger votre environnement informatique contre le code non fiable en identifiant et en spcifiant les applications autorises sexcuter. Les applications peuvent tre identifies dans la stratgie au moyen dune rgle de hachage, une rgle de certificat, une rgle de chemin daccs ou une rgle de zone Internet. Les logiciels peuvent sexcuter sur deux niveaux : non restreint et non autoris. Le logiciel antivirus doit sexcuter afin dempcher lexcution de code malveillant. Un logiciel antivirus doit tre dploy sur les ordinateurs clients, les serveurs et les pare-feu ou les serveurs proxy par lesquels les donnes entrent dans le rseau.
NTFS prend en charge des fonctionnalits supplmentaires, comme laudit et le systme de fichiers EFS (Encrypting File System), qui peuvent tre utilises pour mettre en uvre la scurit des donnes. Sur un rseau, les donnes peuvent tre stockes sous diffrentes formes. Elles peuvent tre stockes dans des documents, dans des fichiers de 782
La couche Donnes
donnes Active Directory ou dans des fichiers crs laide de diverses applications. Le systme informatique conserve les donnes sur des supports de stockage de masse, en gnral un disque dur. Toutes les versions rcentes de Windows prennent en charge plusieurs systmes de fichiers pour le stockage et laccs aux fichiers sur un disque. Le systme NTFS est pris en charge par Microsoft Windows NT, Windows 2000, Windows XP et Microsoft Windows Server 2003. Il fournit des autorisations sur les fichiers et sur les dossiers pour assurer la protection des donnes. La dernire couche du modle de dfense en profondeur est la couche Donnes. Les systmes informatiques stockent, traitent et servent des donnes. Lorsque les donnes sont traites sous une forme qui a du sens, elles deviennent des informations utiles.
Les fichiers dapplication sont galement stocks sur disque et exposs aux attaques, ce qui permet aux intrus dendommager lapplication ou de la manipuler des fins malveillantes. Le service dannuaire Active Directory utilise des fichiers sur le disque pour stocker des informations dannuaire. Ces fichiers sont stocks sur un emplacement par dfaut lorsque le systme est promu contrleur de domaine. Lors de cette promotion, il est conseill de stocker ces fichiers un emplacement autre que lemplacement par dfaut car cela permet de les cacher aux intrus. Dans la mesure o leur nom est connu (avec le nom de fichier NTDS.dit), le dplacement de ces fichiers ne fait que ralentir laction des intrus. Si les fichiers dannuaire sont compromis, tout lenvironnement du domaine est en danger. Les intrus qui accdent un systme de fichiers peuvent faire des dgts importants ou obtenir de grandes quantits dinformations. Ils peuvent afficher des fichiers de donnes et des documents qui contiennent des informations confidentielles. Ils peuvent galement modifier ou supprimer des informations, ce qui peut poser des problmes importants une entreprise.
Dans la mesure o les donnes sont les lments fondamentaux dune socit, il est important de disposer dune procdure de rcupration teste et prouve. Si des sauvegardes sont effectues rgulirement, les donnes modifies ou supprimes accidentellement ou par un acte de malveillance peuvent tre rcupres assez rapidement grce ces sauvegardes. Un processus de sauvegarde et de restauration fiable est essentiel dans nimporte quel environnement de donnes. Les bandes de sauvegarde et de restauration doivent galement tre scurises pendant quelles se 783
Chapitre 23
Introduction la scurit
trouvent dans le bureau. Il convient en outre de conserver des copies de ces bandes en lieu sr lextrieur du bureau. De plus, les bandes doivent tre transportes de faon scurise. Laccs non autoris aux bandes de sauvegarde est tout aussi dangereux quune violation physique de votre infrastructure.
j
Une protection accrue de la couche Donnes doit combiner chiffrement et listes de contrle daccs. Le chiffrement dun fichier empche uniquement une lecture non autorise ; il nempche pas les actions qui nimpliquent pas la lecture du fichier, une suppression par exemple. Pour empcher la suppression de fichiers, utilisez les listes de contrle daccs. EFS permet le chiffrement de fichiers lorsquils rsident sur le systme de fichiers. Le processus de chiffrement utilise une cl de chiffrement de fichier pour chiffrer le fichier et une technologie de cl prive/publique pour protger la cl de chiffrement. Il est important de comprendre quEFS ne chiffre pas les fichiers lorsquils transitent sur un rseau. NTFS fournit galement une scurit au niveau du fichier et au niveau du dossier. Cela permet la cration de listes de contrle daccs pour dfinir qui a accs un fichier et avec quel type daccs. Installez les applications et le systme dexploitation un emplacement autre que lemplacement par dfaut. Beaucoup de fichiers critiques des systmes dexploitation ont des noms et des emplacements par dfaut bien connus. Il est souvent sage de dplacer ces fichiers pour que les intrus russissant accder votre systme ne les trouvent pas trop facilement. Les listes de contrle daccs ne fonctionnent que sur les documents au sein du systme de fichiers pour lesquels ils ont t activs. Une fois les documents copis un autre emplacement (par exemple, le disque dur local dun utilisateur), il ny a plus de contrle daccs. Les services RMS (Rights Management Services) fournis avec Windows Server 2003 dplacent la fonction de contrle daccs vers lobjet lui-mme, de sorte que le contrle daccs est actif quel que soit lemplacement de stockage physique du document. Les services RMS offrent galement aux crateurs de contenu un contrle supplmentaire sur les actions quun poste client peut effectuer ; par exemple, le destinataire dun document peut tre autoris le lire, mais pas limprimer ou le copier-coller ; pour le courrier envoy avec Microsoft Office Outlook 2003, lexpditeur peut empcher les destinataires de transfrer le message. Vous pouvez galement utiliser S.MIME et PGP pour scuriser les messages lectroniques pendant quils sont en transit dun client un autre.
absolues des ressources, des pertes attendues et des cots de contrles. Au lieu de cela, vous calculez des valeurs relatives. Bien que cela soit considrablement plus rapide quune approche quantitative traditionnelle, lapproche de la gestion des risques de scurit fournit toutefois des rsultats qui sont plus dtaills et plus faciles justifier devant les responsables de lentreprise. En combinant la simplicit et la clart de lapproche qualitative avec une partie de la rigueur de lapproche quantitative, la gestion des risques de scurit reprsente un processus la fois efficace et facile utiliser, pour grer les risques de scurit. La gestion des risques de scurit se dcoupe en quatre tapes. 1. valuer les risques : cette phase combine des aspects des mthodes quantitative et qualitative dvaluation des risques. Une approche qualitative est utilise pour classer rapidement la liste complte des risques de scurit. Ensuite, les risques les plus srieux sont analyss plus en dtail selon une approche quantitative. Le rsultat est une liste relativement courte des risques les plus importants qui ont fait lobjet dune tude approfondie. 2. Dfinir des solutions : la liste cre pendant la phase dvaluation des risques est utilise pour proposer et valuer des solutions de contrle possibles. Les meilleures solutions pour attnuer les risques les plus importants sont ensuite recommandes au service de la scurit. 3. Mettre en place des solutions : pendant cette troisime phase, les responsables de la minimisation des risques mettent rellement en place des solutions de contrle. 4. Valider des solutions : la quatrime phase est utilise pour vrifier que les contrles fournissent rellement le degr de protection attendu et pour surveiller les modifications de lenvironnement, par exemple lapparition de nouvelles applications dentreprise ou de nouveaux outils dattaque susceptibles de modifier le profil de risque de lorganisation. En outre, les contrles actuels doivent tre rvalus rgulirement et remplacs sil y a lieu par de nouveaux contrles compte tenu de lvolution de la technologie et des avances dans la protection contre les attaques. Comme la gestion des risques de scurit est un processus continu, le cycle recommence avec chaque nouvelle valuation des risques. La frquence selon laquelle le cycle se reproduit est susceptible de varier dune organisation lautre.
785
Chapitre 23
Introduction la scurit
En rsum
masques. Mais mme masque, une cl peut tre trouve si elle se trouve sur lordinateur. Lorsque cela est possible, utilisez un stockage hors connexion pour les cls. 8. Les logiciels antivirus comparent les donnes stockes sur votre ordinateur une srie de signatures de virus. Chaque signature correspond un virus spcifique ; Lorsque lantivirus trouve des donnes qui correspondent cette signature dans un fichier, dans un message lectronique ou ailleurs, il en conclut quil a trouv un virus. Cependant, un programme antivirus ne peut dtecter que les virus quil connat. Il est indispensable de tenir le logiciel antivirus jour dans la mesure o de nouveaux virus sont crs en permanence. 9. La meilleure faon de protger des donnes confidentielles, que ce soit sur Internet ou dans la vie courante, rside dans votre comportement. Prenez connaissance des dclarations de confidentialit sur les sites web que vous visitez et ne traitez quavec ceux dont les rgles vous conviennent. Si les cookies vous inquitent, dsactivez-les. Surtout, vitez de naviguer au hasard sur le Web. 10. Une scurit infaillible requiert un niveau de perfection qui nexiste pas et ne pourra sans doute jamais exister. Le dveloppement de logiciels est une science imparfaite et presque tous les logiciels ont des bogues. Certains bogues peuvent tre exploits pour provoquer des violations de la scurit. Mme si les logiciels taient parfaits, cela ne rsoudrait pas compltement le problme de la scurit. En effet, la plupart des attaques impliquent une part plus ou moins importante dexploitation de la nature humaine, souvent sous la forme dingnierie sociale.
23.10. En rsum
Pour mettre en place la scurit dun systme dinformation, il ne suffit pas dappliquer quelques correctifs ou procdure. Il est primordial de mener une vritable rflexion sur les lments protger et la manire de les scuriser. Il est galement important de raliser une dfense en profondeur de son systme. Il faut garder lesprit que votre systme est aussi fort que le plus faible de ses maillons. 23. Introduction la scurit 787
Chapitre 24
a scurit des serveurs dans lentreprise est un point crucial, et cest bien parce quil y a plusieurs types de rles et quil est important de prendre en compte les contraintes de chaque serveur. Vous laurez compris, il nest pas possible dappliquer les paramtres dun serveur IIS un contrleur de domaine Active Directory. Cependant, il peut arriver parfois quun serveur endosse plusieurs rles, cest pour cela que nous allons aborder dans ce chapitre la conception de la scurit en fonction des rles simples ou mutualiss.
Chapitre 24
problmes de scurit. Dans ce cas, lutilisation de modles de scurit standards peut constituer un avantage.
Ladministration de la scurit a pour but de prserver les ressources rseau en limitant les accs ces ressources. Ladministration dun rseau vise assurer que les utilisateurs peuvent accder toutes les applications et tous les programmes du rseau dont ils ont besoin pour remplir leurs fonctions.
792
facilit demploi. Le systme le plus scuris est celui qui nest pas connect et qui est enferm dans un coffre-fort. Un tel systme est parfaitement scuris, mais il est inutilisable.
Un faible cot
Le compromis suivant concerne le cot de la scurisation. Dans un monde idal o les ressources seraient illimites, tout le monde serait daccord pour crer des rseaux aussi scuriss et faciles demploi que possible. Dans la ralit, les considrations de cot psent souvent trs lourd quand il sagit de concilier scurit et facilit demploi. Vous connaissez peut-tre le principe qui consiste choisir deux seulement des trois avantages suivants : efficacit, rapidit et moindre cot. Les compromis relatifs la scurit sont tablis selon un principe similaire, ceci prs que les trois options sont ici la scurit, la facilit demploi et le moindre cot. Il est possible de cumuler un niveau de scurit lev et une grande facilit demploi, mais moyennant un cot important en termes dinvestissements, de temps et de personnel.
Vous voulez dsactiver les services qui ne sont pas indispensables. Chaque service ou application est un point dattaque potentiel. Par consquent, dsactivez ou supprimez tous les services inutiles afin de rduire la surface dattaque. Vous voulez mettre en uvre des stratgies de mots de passe scuriss. Vous pouvez renforcer les paramtres de stratgie de mot de passe et de verrouillage des comptes pour un contrleur de domaine, un serveur membre ou un serveur autonome en appliquant les paramtres dun modle de scurit adquats. 793
Chapitre 24
Vous voulez dsactiver lauthentification LAN Manager et NTLMv1 et le stockage des valeurs de hachage de LAN Manager. La mise en uvre de cette mthode peut empcher laccs de clients hrits ; aussi est-il ncessaire de vrifier que vous pouvez configurer ces paramtres sans dsactiver les fonctionnalits dont vous avez besoin. Vous avez besoin dutiliser MBSA (Microsoft Baseline Security Analyzer) pour analyser la configuration de la scurit des serveurs. MSBA peut effectuer localement ou distance des analyses de systmes Windows pour identifier les mises jour de scurit manquantes et les problmes de configuration potentiels. MBSA affiche les rsultats de lanalyse sous la forme dun rapport web. Vous voulez limiter laccs physique et rseau aux serveurs. Stockez les serveurs dans une salle ferme cl. Exigez des dispositifs carte magntique ou code lentre de la salle ferme cl. Empchez les contrleurs de domaine de dmarrer sur un autre systme dexploitation. Vous ne devez autoriser uniquement des personnes dignes de confiance accder aux serveurs. Vous devez galement laborer des mthodes de scurit pour les administrateurs de services et de donnes afin que seul le personnel ayant besoin dun accs aux serveurs y ait effectivement accs. Il est ncessaire dattribuer chaque utilisateur de votre entreprise uniquement les autorisations et droits dutilisateur dont il a besoin.
En plus de ces mthodes de scurit de base des serveurs, vous pouvez utiliser diverses mthodes avances. Ces mthodes avances de scurisation des serveurs comprennent notamment lapplication de modles de scurit personnaliss et la configuration de filtres de port IPSec en fonction des rles remplis par les serveurs.
Quelques recommandations
Voici quelques recommandations prendre en compte dans le cadre de la scurit de vos serveurs. Lun des premiers points et de renforcer les comptes prdfinis sur les serveurs. Pour cela, appliquez les rgles suivantes : 24. La conception de la scurit des serveurs
j
Renommez les comptes prdfinis Administrateur et Invit et modifiez leur description. Le fait dattribuer ces comptes des noms uniques peut faciliter lidentification des tentatives dattaque leur encontre. Dans presque tous les cas, le compte Invit doit tre dsactiv. Affectez des mots de passe longs et complexes ces comptes prdfinis, ou utilisez des expressions comme mots de passe. Utilisez des scripts ou des utilitaires tiers pour vrifier priodiquement les mots de passe locaux sur toutes les stations de travail et tous les serveurs de lentreprise. Utilisez pour ces comptes des mots de passe diffrents sur chaque serveur. Ainsi, si un intrus russit compromettre lun de ces comptes sur un serveur, il ne sera pas immdiatement mme de compromettre dautres serveurs.
j j j
794
Il est important de limiter le nombre des utilisateurs qui peuvent ouvrir une session localement sur les serveurs. Pour cela, utilisez la stratgie de groupe pour configurer les droits de lutilisateur afin que seuls les administrateurs autoriss puissent ouvrir une session localement sur les serveurs. Il est ncessaire dutiliser des groupes restreints pour limiter le nombre de membres des groupes dadministration. Loption Groupes restreints du service dannuaire Active Directory vous permet de faire en sorte que les groupes dadministration contiennent uniquement des utilisateurs autoriss. Vous devez galement limiter laccs au systme des comptes prdfinis et des comptes de service non lis au systme dexploitation. Configurez manuellement lattribution des droits utilisateurs de la manire suivante :
j
Refusez laccs cet ordinateur partir du rseau pour les comptes prdfinis Administrateur, Support (compte utilis pour lassistance distance) et Invit, ainsi que pour tous les comptes de service non lis au systme dexploitation. Interdisez louverture de session en tant que tche pour les comptes Support et Invit. Interdisez louverture de session via les services Terminal Server pour les comptes prdfinis Administrateur, Support et Invit, ainsi que pour tous les comptes de service non lis au systme dexploitation.
j j
Il faut viter autant que possible de configurer un service de sorte quil ouvre une session laide dun compte de domaine. Chaque fois que cest possible, utilisez un compte local pour chaque service. Par ailleurs, nutilisez pas le mme nom de compte dutilisateur et le mme mot de passe pour un service excut sur plusieurs serveurs. Vous devez utiliser des autorisations NTFS pour scuriser les fichiers et les dossiers. Convertissez les volumes FAT ou FAT32 au systme NTFS, puis appliquez les autorisations appropries aux fichiers et aux dossiers de ces volumes.
la planification de la scurit ; ltablissement de frontires de scurit ; le renforcement de la stratgie de domaine ; ltablissement dune stratgie en fonction des rles.
795
Chapitre 24
Active Directory se compose de nombreux types dobjets remplissant chacun une fonction diffrente. Les composants Active Directory sassemblent dautres composants pour faciliter la mise en uvre de la scurit dans un environnement rseau. Dans Active Directory, la stratgie de groupe permet de centraliser les modifications et la gestion de la configuration des paramtres de lutilisateur et de lordinateur, notamment en matire de scurit et de donnes utilisateurs. Cependant, vous pouvez utiliser des stratgies de groupe pour dfinir la configuration de groupes dutilisateurs et dordinateurs. Avec une stratgie de groupe, vous pouvez spcifier des paramtres pour des stratgies bases sur le Registre, pour mettre en uvre la scurit, pour linstallation de logiciels, pour des scripts, pour la redirection des dossiers, pour des services dinstallation distance et pour la maintenance dInternet Explorer. Vous pouvez galement contrler automatiquement la composition des groupes avec la fonction Groupes restreints. Les paramtres de stratgie de groupe que vous crez sont contenus dans un objet de stratgie de groupe. De ce fait, en associant un objet de stratgie de groupe des conteneurs systme Active Directory slectionns (sites, domaines et units dorganisation), vous pouvez appliquer les paramtres de stratgie de cet objet aux utilisateurs et ordinateurs compris dans ces conteneurs Active Directory. Pour grer les objets de stratgie de groupe au sein dune entreprise, vous pouvez utiliser la console de gestion des stratgies de groupe (GPMC). Les stratgies de groupe sont lun des outils fondamentaux dont vous disposez pour mettre en uvre la scurit de votre rseau. Le reste de cette prsentation est essentiellement consacr la manire dutiliser les stratgies de groupe pour scuriser un environnement rseau.
Planier la scurit
Lorsquon parle de la scurit dActive Directory, certaines tches sont primordiales Ainsi, vous devez dans un premier temps analyser lenvironnement dans lequel vous prvoyez de dployer Active Directory. Ltendue de lenvironnement dtermine les mesures qui devront tre prises pour le scuriser. Trois environnements dexploitation sont rencontrs le plus souvent. 24. La conception de la scurit des serveurs
j
Le centre de donnes interne : cest le type denvironnement dans lequel il est le plus facile de mettre en uvre la scurit Active Directory car les membres de lquipe informatique se trouvent gnralement sur place. Laccs au centre de donnes et les tches administratives peuvent donc tre aisment limits ces personnes. Par ailleurs, les contrleurs de domaine sont situs dans des locaux centraliss et scuriss. En raison de la prsence de composants systme centraliss et du personnel informatique, la surveillance et la rsolution des problmes lis aux contrleurs de domaine sont simplifies et les attaques peuvent tre rapidement dtectes et traites. La succursale : cest dans ce type denvironnement quil est le plus difficile de mettre en uvre la scurit Active Directory. En effet, le personnel informatique est gnralement hors site, de sorte quil nest pas facile de restreindre toutes les tches
796
administratives ses seuls membres. De plus, il ny a pas de locaux ddis et scuriss pour le stockage et la gestion des contrleurs de domaine et il peut tre difficile de restreindre laccs physique aux contrleurs de domaine. Enfin, la dtection et le traitement des attaques peuvent exiger un processus lent et coteux.
j
Le centre de donnes extranet : ce type denvironnement est similaire un centre de donnes intranet. Il est lgrement plus difficile dy mettre en uvre la scurit Active Directory car le personnel informatique travaille gnralement pour un partenaire commercial de lentreprise ou pour un tiers.
Vous devez galement effectuer une analyse des menaces. Lanalyse des menaces comprend les tapes suivantes :
j
Identifiez les menaces pour Active Directory. Dterminez dabord leur type, par exemple lusurpation didentit, la falsification de donnes, la rpudiation, la divulgation dinformations, le dni de service, llvation de privilges et lingnierie sociale, puis les sources (les utilisateurs anonymes, les utilisateurs authentifis, ladministrateur de service, ladministrateur de donnes et les utilisateurs ayant physiquement accs aux contrleurs de domaine). Dterminez des mesures de scurit pour rduire la vulnrabilit exploite par chaque type de menace et pour rsoudre les problmes potentiels avant quils ne se manifestent. tablissez des plans de secours contenant des instructions dtailles que le personnel informatique devra suivre en cas de violation de la scurit.
Spcifiez des frontires de scurit et dadministration bases sur les besoins de lorganisation en matire de dlgation de ladministration. Dterminez si la dlgation est motive par des impratifs dorganisation, dexploitation ou dordre juridique. Dterminez si ces impratifs indiquent un besoin dautonomie, disolement ou les deux. valuez le niveau de confiance que vous accordez aux administrateurs de service (propritaires de forts et propritaires de domaines). 797
Chapitre 24
j j
Concevez une structure Active Directory base sur les besoins en matire de dlgation. Placez les contrleurs de domaine dploys dans un extranet et orients vers lextrieur dans une fort distincte.
Renforcez les paramtres de stratgie pour le domaine en crant et en liant au niveau du domaine un nouvel objet de stratgie de groupe contenant des paramtres de scurit plus forts. Vous pouvez configurer ces paramtres manuellement, en suivant les recommandations fournies par le guide Windows Server 2003 Security Guide, ou utiliser lun des modles de scurit prdfinis compris dans ce guide. Vrifiez que les stratgies de mot de passe et de compte rpondent aux besoins de votre organisation en matire de scurit. Si ncessaire, renforcez les paramtres de stratgie de mot de passe et de verrouillage des comptes du domaine et passez en revue les paramtres de stratgie de lauthentification Kerberos du domaine. Analysez les menaces et mettez jour la stratgie de scurit pour tenir compte de ces menaces et les contrer. Il ne sert rien dessayer de configurer des paramtres de scurit sans avoir une vision claire des menaces auxquelles le rseau est expos. Vous pourriez thoriquement modifier des centaines de paramtres de scurit, mais beaucoup dentre eux sont dsactivs parce quils entraneraient une perte de fonctionnalit. Ces paramtres ne dgraderaient peut-tre rien dans votre environnement, mais pourquoi courir le risque de les activer sils ne vous permettent pas de combattre une menace que votre stratgie de scurit juge importante ?
798
Les units dorganisation des niveaux infrieurs hritent des paramtres appliqus aux units dorganisation des niveaux suprieurs. Ces paramtres de stratgie de scurit sont appliqus par lintermdiaire des objets de stratgie de groupe. Les modles de scurit contiennent des paramtres de configuration de la scurit qui peuvent tre appliqus aux systmes. Ils peuvent tre imports dans un objet de stratgie de groupe.
Les paramtres de stratgie daudit : ces paramtres spcifient les vnements lis la scurit qui sont enregistrs dans le journal des vnements. Vous pouvez surveiller les activits lies la scurit pour savoir, par exemple, qui tente daccder un objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur ou encore quand une modification est apporte un paramtre de stratgie daudit. Les paramtres dattribution des droits utilisateurs : ils spcifient les utilisateurs ou les groupes ayant des droits ou des privilges douverture de session sur les serveurs membres du domaine. Les paramtres doptions de scurit : ils servent activer ou dsactiver des paramtres de scurit pour des serveurs, comme la signature numrique de donnes, les noms des comptes Administrateur et Invit, laccs aux lecteurs de disquette et de CD-Rom, le comportement dinstallation des pilotes et les invites douverture de session. Les paramtres du journal des vnements : ils spcifient la taille de chaque journal des vnements et les actions entreprendre lorsquil arrive saturation. Les vnements de scurit enregistrs sont stocks dans plusieurs journaux dont le journal des applications, le journal de scurit et le journal systme.
799
Chapitre 24
Les paramtres des services systme : ils spcifient le comportement de dmarrage et les autorisations pour chaque service prsent sur le serveur.
les serveurs dinfrastructure ; les serveurs de fichiers ; les serveurs dimpression ; les serveurs IIS.
Configurez lenregistrement DHCP. Pour cela, utilisez loutil dadministration DHCP. Protgez-vous contre les attaques par dni de service DHCP. Pour cela, configurez la tolrance de pannes de vos serveurs DHCP de telle sorte quune attaque par dni de service sur un serveur DHCP ne perturbe pas tous les services DHCP de votre rseau. Utilisez les zones DNS intgres Active Directory. Lintgration Active Directory fournit une scurit renforce : vous pouvez limiter le nombre de personnes pouvant effectuer des enregistrements DNS, et les donnes DNS sont stockes et transmises de faon plus sre. Les zones DNS exposes Internet ne doivent jamais tre stockes dans Active Directory. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables aux applications serveurs.
800
Dsactivez le systme de fichiers distribus (DFS) et le service de rplication de fichiers (FRS) sils ne sont pas ncessaires sur un serveur de fichiers. Scurisez tous les fichiers et dossiers partags du serveur de fichiers en utilisant NTFS et des autorisations de partage. Activez laudit des fichiers critiques. Auditez toutes les modifications, celles qui ont chou comme celles qui ont abouti, apportes des donnes hautement confidentielles. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage de fichiers.
Assurez-vous que la signature SMB nest pas requise par le serveur dimpression. Dsactivez le paramtre Serveur rseau Microsoft : communications signes numriquement (toujours). Dsactiver ce paramtre permet de sassurer que la signature SMB ne sera pas demande par le serveur dimpression. Si ce paramtre est activ, les utilisateurs ne pourront pas afficher la file dattente dimpression. laide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au partage dimprimantes.
Chapitre 24
Si possible, mettez niveau tous vos serveurs web vers Windows Server 2003 et IIS 6.0. Il nest pas ncessaire dexcuter loutil IIS Lockdown sur les systmes IIS 6.0 puisque cette version des services Internet est verrouille par dfaut linstallation. LAssistant IIS Lockdown fonctionne en dsactivant des fonctionnalits inutiles, ce qui rduit la surface dattaque offerte aux intrus. Il vous donne la possibilit de supprimer ou de dsactiver des services IIS comme HTTP, FTP, SMTP et NNTP. Loutil IIS Lockdown fournit une fonctionnalit dannulation qui permet dinverser les effets du verrouillage le plus rcent. Pour assurer la dfense en profondeur, URLScan est intgr lAssistant IIS Lockdown avec des modles personnaliss pour chaque rle de serveur pris en charge. Cette intgration permet lassistant de fournir la scurit supplmentaire applique par URLScan sans obliger ladministrateur concevoir un filtre URLScan personnalis pour la configuration et lapplication serveur considres. URLScan est un filtre ISAPI (Internet Server Application Programming Interface) qui analyse les requtes HTTP (Hypertext Transfer Protocol) mesure quelles sont reues par les services Internet. Vous pouvez aussi appliquer les paramtres de scurit suivants pour renforcer la protection des serveurs IIS. Ces paramtres doivent tre configurs manuellement sur chaque serveur IIS. Nactivez que les composants IIS essentiels. Assurez-vous en particulier que seules les extensions dapplications voulues sont actives. Par scurit, les services Internet (IIS) ne sont pas installs par dfaut sur Windows Server 2003. Lorsquils sont installs, de nombreuses fonctionnalits restent dsactives tant quelles nont pas t spcifiquement actives. Vous devez activer manuellement chaque service requis par votre installation IIS. Installez IIS et stockez le contenu web sur un volume de disque ddi, distinct du volume systme. Cela rduit la probabilit quun intrus russisse ouvrir et modifier des fichiers de systme dexploitation sur le serveur. Configurez des autorisations NTFS pour tous les dossiers renfermant du contenu web. Appliquez les autorisations minimales requises pour activer la fonctionnalit de site web ncessaire. Nactivez pas la fois les autorisations dexcution et dcriture sur le mme site web. Cette combinaison dautorisations pourrait permettre un intrus de placer du contenu nuisible sur le serveur, puis de lexcuter. Sur les serveurs IIS 5.0, excutez les applications en utilisant la protection dapplication moyenne ou leve pour viter quelles ne sexcutent dans le contexte systme du processus Inetinfo. Utilisez des filtres IPSec pour bloquer toutes les communications entrantes, lexception du trafic entrant sur les ports TCP 80 et 443.
j j
802
En rsum
Les mthodes conseilles pour renforcer la protection des serveurs pour des rles spciques
Le renforcement de la protection des serveurs pour des rles spcifiques passe par lapplication des modles de scurit appropris et par la configuration manuelle des paramtres de serveur appropris pour ces rles. La plupart des paramtres de scurit recommands sont appliqus un serveur membre au moyen du modle de scurit Member Server Baseline et, de faon incrmentielle, dun modle de scurit bas sur le rle spcifique de ce serveur. Tenez compte des mthodes conseilles suivantes lorsque vous renforcez la protection de serveurs pour des rles spcifiques :
j
Modifiez les modles selon les besoins pour les serveurs qui assurent plusieurs rles. Les serveurs qui assurent plusieurs rles ont besoin dun modle personnalis qui configure les paramtres de scurit du serveur pour lui permettre de remplir ces rles. Vous devrez peut-tre commencer avec le modle prdfini pour lun des rles assurs par le serveur, puis modifier le modle en question de telle sorte que les services et les autres paramtres de scurit requis par les autres rles soient correctement configurs. Activez uniquement les services requis par le rle. Tous les services dont le serveur na pas besoin pour remplir le rle qui lui a t attribu doivent tre dsactivs. Activez lenregistrement des vnements lis aux services pour capturer les informations pertinentes. Pensez activer lenregistrement pour les services critiques requis par le rle du serveur. Par exemple, activez lenregistrement DHCP pour un serveur DHCP. Utilisez des filtres IPSec pour bloquer tous les ports qui ne sont pas requis par le rle du serveur. Pour plus dinformations sur les ports spcifiques autoriser sur un serveur pour un rle spcifique, consultez le chapitre correspondant du Windows Server 2003 Security Guide. Scurisez les comptes de service et les comptes dutilisateur connus. Sauf ncessit absolue, ne configurez pas un service de sorte quil ouvre une session laide dun compte de domaine. Renommez les comptes prdfinis Administrateur et Invit et modifiez leur description. Affectez des mots de passe longs et complexes ces comptes prdfinis. Utilisez pour ces comptes des mots de passe diffrents sur chaque serveur. Si un intrus russit ainsi compromettre lun de ces comptes sur un serveur, il ne sera pas immdiatement mme de compromettre dautres serveurs.
j j
24.7. En rsum
La scurit des serveurs joue un rle important dans lentreprise condition que celle-ci soit adapte au rle prsent sur le serveur. Cela passe forcment par des compromis entre la scurit et les fonctionnalits.
803
Chapitre 25
valuation de la scurit
25.1 25.2 25.3 25.4 25.5 25.6 25.7 25.8 25.9 25.10 Pourquoi raliser des valuations de la scurit ? Planication de lvaluation de scurit . . . . . . Le concept de dfense en profondeur . . . . . . . Dnition du cadre de lvaluation de scurit . Les objectifs de lvaluation de scurit . . . . . . Les types dvaluations de scurit . . . . . . . . . Laudit de scurit informatique . . . . . . . . . . Publier les rsultats de lvaluation de scurit . Utiliser loutil MSAT . . . . . . . . . . . . . . . . . . En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807 . 808 . 810 . 811 . 812 . 813 . 816 . 818 . 818 . 821
ne valuation de scurit peut jouer de nombreux rles dans la scurit du rseau. Vous pouvez effectuer des valuations de scurit pour dtecter des erreurs de configuration courantes ou pour identifier les ordinateurs qui ne disposent pas des derniers correctifs de scurit. Vous pouvez effectuer des valuations de scurit pour connatre le niveau defficacit des mesures de scurit dfensives dune application depuis la prcdente mise jour de scurit. Une valuation de la scurit peut galement rvler des faiblesses inattendues de la scurit de votre organisation. Une fois les faiblesses dcouvertes, vous devez rapidement signaler tous les problmes identifis au cours de lvaluation et y remdier.
de rpondre quelques questions (du type "Le rseau est-il scuris ?" ou "Comment savoir si le rseau est scuris ?") ; doffrir une base de rfrence pour faciliter, la longue, lamlioration de la scurit et destimer le niveau defficacit des mesures de scurit dfensives prcdentes, depuis la dernire mise jour de scurit ; de dcouvrir les erreurs de configuration ou les mises jour de scurit manquantes ; de rvler les faiblesses caches de la scurit de lentreprise ; de veiller au respect de la lgislation la plus rcente en termes de scurit.
j j j
807
Chapitre 25
valuation de la scurit
Le facteur humain : lhomme ; il sagit dune source majeure de dfaillance de la scurit du rseau, si ce nest la source majeure de dfaillance. Voici quelques exemples de facteurs humains Mots de passe faibles : le moyen le plus couramment utilis pour introduire des vulnrabilits dans la scurit du rseau consiste crer et utiliser des mots de passe faibles. Scurit physique : elle fait rfrence aux utilisateurs qui ne ferment pas les portes ou laissent leur ordinateur dans des lieux non protgs. Ingnierie sociale : elle fait rfrence aux utilisateurs amens par la ruse rvler leurs mots de passe ou autoriser laccs des ressources scurises.
Les facteurs lis la stratgie : la qualit et lexhaustivit de la stratgie de scurit dune organisation reposent fortement sur lefficacit globale de sa scurit rseau. Une mauvaise stratgie peut engendrer des dfaillances de la scurit du rseau de diffrentes faons Stratgies vagues : une stratgie de scurit vague peut conduire les administrateurs choisir le chemin de la facilit pour la respecter. Stratgies sans instructions de conformit : de nombreuses stratgies de scurit stipulent des critres de conformit mais aucune instruction quant aux moyens de respecter ces critres. Stratgies obsoltes : les besoins dune organisation concernant le rseau et la scurit voluant en permanence, les stratgies de scurit peuvent devenir obsoltes. Stratgies mal appliques ou non appliques : la non-application des stratgies de scurit engendre souvent le mpris de celles-ci et, par extension, labsence de bonnes pratiques de scurit. Stratgies inapplicables : une stratgie de scurit trop stricte peut ne pas tre applicable, si elle entrave le travail quotidien des utilisateurs (par exemple, lutilisateur qui a obligation davoir un mot de passe trop complexe sera tent de lcrire sur un papier accol son cran). Tout est question de compromis.
808
Les erreurs de configuration : la mise en uvre des configurations matrielles ou logicielles par dfaut peut offrir aux intrus un terrain propice aux attaques. Un administrateur peut galement mal configurer un systme en ne suivant pas les bonnes pratiques de scurit, introduisant ainsi dautres vulnrabilits exploitables par un intrus. Les erreurs de jugement : les administrateurs peuvent avoir une fausse ide du comportement des utilisateurs, du fonctionnement dune technologie ou de la ralisation de certaines tches. Une simple petite ngligence rsultant dun jugement infond peut aider un intrus compromettre un rseau. On appelle cela "faire la chasse aux faux positifs". Lignorance : souvent, les administrateurs ne sont tout simplement pas conscients des consquences de leurs actions ou des menaces que les intrus font peser sur leurs rseaux. Lincapacit maintenir les systmes jour : en effet, il y a une course entre les administrateurs et les intrus, ds lors quune mise jour de scurit est publie. La scurit de votre rseau nest pas meilleure que la dernire mise jour de scurit installe.
La planification dune valuation de scurit est importante pour structurer correctement le projet. Les phases suivantes peuvent tre utilises pour orienter votre planification
j
La pr-valuation : la phase de pr-valuation consiste dterminer le cadre et les objectifs du projet global dvaluation de scurit. Une fois ces derniers dtermins, un calendrier prvisionnel appropri peut tre tabli pour la dure du projet. Vous devez galement dfinir les rgles suivre pendant lvaluation. Lvaluation : la phase dvaluation vise choisir les technologies et effectuer lvaluation proprement dite. Il est important de noter que les outils que vous choisissez doivent tre en adquation avec les objectifs dtermins durant la phase de pr-valuation. Vous ne devez pas associer votre valuation directement un type spcifique doutils ou de technologies. La dernire tche de la phase dvaluation consiste organiser vos rsultats. La prparation des rsultats : la phase de prparation des rsultats consiste estimer les risques lis chaque faiblesse dcouverte. Une part importante de vos rsultats vise inclure galement une parade pour chaque vulnrabilit dcouverte. Si vous projetez de raliser un suivi des valuations, vous devez identifier les vulnrabilits qui nont pas t rsolues depuis la dernire valuation et en dterminer les raisons. Ces rsultats permettront de dterminer les amliorations apporter votre scurit rseau. La prsentation des conclusions : la phase finale vise crer votre rapport de synthse et prsenter vos conclusions. Il est galement important de fixer la date de la prochaine valuation.
809
Chapitre 25
valuation de la scurit
Les donnes : les risques inhrents la couche Donnes sont lis aux vulnrabilits quun intrus pourrait exploiter pour accder aux donnes dune entreprise ou dun particulier. Ces donnes peuvent tre protges par lutilisation de mots de passe forts, les ACL sur les fichiers et les dossiers, ou encore par lutilisation dune stratgie de sauvegarde et de restauration efficace. Lapplication : les risques inhrents la couche Application sont lis aux vulnrabilits quun intrus pourrait exploiter pour accder des applications en cours dexcution. Il peut tout aussi bien sagir dapplications rseau clientes ou serveur. Les applications serveur sont susceptibles dtre compromises via diffrentes mthodes, notamment les attaques par dpassement de la mmoire tampon, les attaques par dtection de mot de passe ou les attaques par traverse de rpertoires, de mme que par des applications rseau mal configures qui exposent les donnes des utilisateurs non autoriss. La couche Application peut tre dfendue en appliquant les bonnes pratiques de renforcement de la scurit des applications, tout particulirement pour les applications relatives aux services web, aux services de messagerie lectronique ou aux services de base de donnes. Lhte : les risques inhrents la couche Hte sont lis aux intrus qui exploiteraient les vulnrabilits des services offerts par lhte ou le priphrique. Les dfenses de
810
lhte peuvent passer par le renforcement de la scurit du systme dexploitation, lutilisation de mthodes dauthentification fortes, la gestion des mises jour de scurit, les mises jour dantivirus et la ralisation daudits efficaces.
j
Le rseau interne : les risques au niveau des rseaux internes dune organisation concernent dans une large mesure les donnes critiques transmises via les rseaux. La connectivit requise pour les stations de travail clientes sur ces rseaux internes prsente elle aussi des risques. La scurit peut tre renforce via la mise en uvre de segments rseau et de systmes de dtection dintrusion rseau (comme NIDS, Network based Intrusion Detection System, pour les puristes). Le primtre : le rseau de primtre englobe chaque point o le rseau interne est connect un rseau ou un hte qui nest pas gr par lquipe informatique de lorganisation. Cela comprend les connexions Internet, aux partenaires commerciaux et aux rseaux privs virtuels ainsi que les connexions daccs distance. Les principaux risques inhrents cette couche concernent les intrus qui russiraient accder aux ressources du rseau de primtre, voire potentiellement aux couches rseau qui sont connectes. Les dfenses du rseau de primtre passent par des pare-feu et des routeurs correctement configurs, ainsi que par des rseaux VPN utilisant des procdures de quarantaine. La scurit physique : les risques inhrents la couche physique concernent les intrus qui parviendraient accder physiquement une ressource physique. Cette couche englobe toutes les couches prcdentes, dans la mesure o laccs physique une ressource peut son tour permettre laccs toutes les autres couches du modle Dfense en profondeur. Les dfenses de la scurit physique passent par le verrouillage du matriel dans les centres de donnes accessibles laide dun badge, par des gardiens et par des dispositifs de suivi. Les stratgies, les procdures et la sensibilisation : les fondations de lensemble du modle incluent les stratgies et les procdures que votre organisation doit mettre en place pour rpondre aux besoins de chaque couche et lpauler. Les composants de ce niveau comprennent des stratgies et des procdures de scurit, ainsi que des programmes de sensibilisation la scurit.
Dfinir la cible : cibler votre analyse des vulnrabilits inclut la connaissance des ressources installes sur votre rseau. Vous pourrez ainsi dterminer le type de vulnrabilits rechercher, les types de logiciels danalyse des vulnrabilits que vous utiliserez et les comptences que le projet ncessitera. Pour dfinir votre cible, vous devez dcomposer votre rseau en lments spcifiques tels que les segments rseau, les priphriques rseau, les systmes dexploitation et les applications.
811
Chapitre 25
valuation de la scurit
Dfinir la zone cible : la zone cible peut inclure les types danalyses suivants, comprenant des composants tels que le calendrier prvisionnel de lvaluation Lanalyse verticale : ce type danalyse recherche plusieurs vulnrabilits sur un hte ou plusieurs htes de mme type. Par exemple, vous pouvez analyser tous les ordinateurs excutant Windows XP pour rechercher le niveau de mise jour de scurit, les vulnrabilits Windows courantes et les mots de passe faibles. Lanalyse horizontale : ce type danalyse recherche une vulnrabilit sur des types dhtes ou dapplications. Par exemple, vous pouvez analyser tous les priphriques et ordinateurs de votre rseau pour rechercher les vulnrabilits aux attaques par dni de service. Lanalyse verticale et horizontale : ce type danalyse associe les avantages des analyses verticale et horizontale en recherchant diverses vulnrabilits sur plusieurs plateformes.
j j
Dterminer un calendrier prvisionnel pour lvaluation : il est important de dterminer et de communiquer le calendrier prvisionnel exact de lvaluation. Dfinir les types de vulnrabilits analyser : aprs avoir dtermin la cible de votre projet, y compris les priphriques, les systmes dexploitation et les applications qui seront analyss ainsi que la taille et le type de lanalyse, vous devez dfinir les types de vulnrabilits analyser. Par exemple, si vous dcidez danalyser tous les serveurs Windows 2000 et Windows Server 2003 de trois sous-rseaux spcifiques (comme pour Puzzmania), vous pouvez dcider de rechercher uniquement les risques dexploitation des vulnrabilits connues des produits.
la fin de cette phase de planification, vous disposez dune srie dlments qui dfinissent clairement les limites du projet, constituent les fondements de ses objectifs et guident vos choix technologiques.
812
Tableau 25.1 : Un exemple de formalisation des objectifs dune valuation de scurit Objectif du projet Tous les serveurs Windows Server 2003 sur le sous-rseau R&D de Nice seront analyss pour dtecter et rsoudre les vulnrabilits suivantes : Vulnrabilit Vulnrabilit RPC sur DCOM (MS 03026) numration SAM anonyme Activation du compte Invit Plus de 10 comptes dans le groupe local des administrateurs Parade Installer les mises jour de scurit Microsoft 03026 et 03039 Configurer le paramtre RestrictAnonymous sur 1 Dsactivation du compte Invit Rduire le nombre de compte dans le groupe local des administrateurs de chaque serveur
Lanalyse des vulnrabilits : cest lvaluation de scurit la plus fondamentale, elle requiert gnralement le moins de comptences. Elle analyse un rseau pour y rechercher des faiblesses potentielles de scurit, connues et cernes. Elle est gnralement effectue par un logiciel, mais elle peut galement tre automatise via des scripts personnaliss. La qualit des rsultats de lanalyse des vulnrabilits dpend de celle du logiciel utilis. Le test dintrusion : le test de pntration est un type dvaluation de scurit plus sophistiqu, qui requiert des testeurs trs qualifis et dignes de confiance. Il se concentre sur les faiblesses de scurit connues et inconnues du rseau et dcrit la faon dont les vulnrabilits sont exploites ainsi que les faiblesses du personnel et des processus. Le test de pntration permet de sensibiliser les administrateurs rseau, les responsables informatiques et les dirigeants sur les consquences possibles dune intrusion rseau. Parce que seule lintention distingue un testeur dintrusion dun intrus, vous devez faire preuve de prudence lorsque vous autorisez des employs ou des experts externes effectuer des tests dintrusion. Un test de
813
Chapitre 25
valuation de la scurit
pntration qui nest pas professionnellement ralis peut conduire une interruption de services et perturber lactivit de lentreprise.
j
Laudit de scurit informatique : il se concentre gnralement sur les personnes et les processus utiliss pour concevoir, mettre en uvre et grer la scurit dun rseau. Dans un audit de scurit informatique, la personne en charge de laudit, ainsi que les stratgies et les procdures de scurit de votre organisation utilisent une rfrence de base. Un audit adquat permettra de dterminer si votre organisation possde les composants ncessaires pour crer et exploiter un environnement informatique scuris. Les audits de scurit informatiques sont galement des lments essentiels pour prouver que la rglementation est respecte.
Dtecter les vulnrabilits : aprs avoir effectu une analyse, vous devez valider les rsultats en vous assurant quils sont complets et exacts. Comparez le nombre dhtes analyss avec le nombre dhtes dfini par le cadre de lvaluation et dterminez sil existe des divergences. Mme les meilleurs outils peuvent ne pas produire un rapport complet, et loutil danalyse lui-mme peut avoir des dfauts. Assigner des niveaux de risque aux vulnrabilits dcouvertes : vous devez assigner des niveaux de risque chacune des vulnrabilits que vous dcouvrez. Le niveau de risque aide les administrateurs et les responsables informatiques dterminer le domaine de la scurit du rseau traiter en premier et o affecter le plus de ressources pour traiter les vulnrabilits. Identifier les vulnrabilits qui nont pas t rsolues : en analysant priodiquement le rseau, vous saurez si des vulnrabilits prcdemment identifies nont pas t rsolues. Ces informations vous permettront de faire remonter les efforts damlioration de la scurit au sein de la hirarchie de votre organisation. Vous ne pourrez probablement pas rsoudre toutes les vulnrabilits signales par le logiciel danalyse. Ainsi, il se peut que la parade endommage les applications qui sexcutent sur lhte ou qui communiquent avec lui. Il se peut galement quil nexiste pas de parade efficace au moment de lanalyse ou que les administrateurs ne puissent pas faire les modifications ncessaires. Dterminer les amliorations de la scurit du rseau au fil du temps : avec le temps, vous pouvez mesurer les amliorations de la scurit du rseau en examinant les rsultats des analyses. La liste des lments que vous pouvez mesurer en permanence inclut le nombre de nouvelles vulnrabilits dcouvertes sur les htes ; le nombre dhtes sensibles une nouvelle vulnrabilit ;
814
le nombre de vulnrabilits non rsolues et le nombre dhtes qui restent vulnrables ; la priode de temps pendant laquelle un hte est rest vulnrable ; le nombre total de vulnrabilits dtectes et rsolues.
Le test de pntration
Les testeurs dintrusion efficaces tentent rarement de compromettre un rseau en lattaquant de faon alatoire. Une telle action serait inefficace, longue et augmenterait leurs chances dtre attrap. En suivant une mthodologie de base, vous amliorez vos chances de localiser et dexploiter les faiblesses dans les dlais impartis. En outre, vous disposez dune infrastructure naturelle pour enregistrer vos rsultats, ce qui simplifie la phase de cration de rapports. Les tapes suivantes constituent une mthodologie de base que vous pouvez utiliser
j
Dterminer la mthode que lintrus est le plus susceptible dutiliser pour attaquer un rseau ou une application : cette tape a trs probablement t prise en compte lorsque vous avez dfini le cadre et les objectifs de lvaluation de scurit. Le cadre et les objectifs ont d dterminer le choix des mthodes et des outils utiliser pour mettre en place votre test de pntration. Localiser les zones de faiblesse du rseau ou des dfenses applicatives : ltape suivante consiste obtenir des informations sur la cible. Lorsque vous commencez votre test de pntration, nignorez pas les vidences. Par exemple, aprs avoir identifi la plateforme systme exploiter, lun des premiers endroits o rechercher la liste des vulnrabilits du produit est le site web du fournisseur. Dterminer comment un intrus pourrait exploiter les faiblesses : aprs avoir suffisamment inspect votre cible, catalogu les informations rassembles et dtermin comment un intrus pourrait les utiliser pour exploiter le rseau, vous pouvez procder au test de pntration. Lun des principaux objectifs de tout test de pntration est dobtenir un accs administrateur ou systme. Une fois ce niveau de privilge obtenu sur un systme, il y a de fortes chances pour que celui-ci concde dautres comptes administrateur ou dautres comptes bnficiant de privilges. Localiser les ressources qui pourraient tre atteintes, modifies ou dtruites : aprs avoir obtenu un certain niveau daccs votre cible, prenez le temps de noter les ressources qui pourraient tre atteintes, modifies ou dtruites. Plus tard, lors de la publication de vos conclusions, il sera primordial didentifier ces ressources et les parades potentielles mettre en place. Dterminer si lattaque a t dtecte : une fois votre test actif termin, il est judicieux dtudier si tous les lments du test de pntration ont t dtects pendant lattaque et de comprendre pourquoi ils lont t. Ces informations vous permettront dapprofondir vos comptences et aideront considrablement les administrateurs rseau optimiser leurs outils de dtection dintrusion.
815
Chapitre 25
valuation de la scurit
tablir un inventaire des attaques : lors dun test de pntration, ralisez soigneusement un inventaire des attaques rseau qui aboutiraient dans des conditions normales. laide de ces informations, les administrateurs pourront tre en mesure damliorer leurs processus, leurs technologies et leurs oprations afin de mieux empcher et de mieux dtecter les attaques que vous avez dcouvertes. Faire des recommandations : plus vous communiquerez clairement sur la faon dont vous avez attaqu un rseau avec succs, mieux les administrateurs rseau pourront ajuster les paramtres de scurit. Vous pouvez passer en revue la documentation dtaille de la mthodologie utilise lors du test, quelle ait permis de compromettre le rseau ou non, afin didentifier les domaines que votre organisation doit modifier pour scuriser le rseau. Prvenir avant de lancer le test de pntration Avant deffectuer un test de pntration sur le rseau dune organisation, il est vital de dfinir et de communiquer les objectifs, le cadre et les rgles du test de pntration. Un manque de planification et de communication peut engendrer une interruption du service rseau et bien dautres problmes.
816
des fins dvaluation, la scurit informatique globale peut tre dcompose de la faon suivante
j
La stratgie : la stratgie de scurit peut tre dfinie comme tant les rgles de scurit des informations de lorganisation. La stratgie de scurit dfinit galement la position dune organisation en matire de scurit, savoir la faon dont elle conoit et considre les stratgies ainsi que le niveau dimplication de lquipe informatique. Il existe trois types de stratgies de scurit. Chacune dentre elles est base sur sa mthode dapplication principale. Les stratgies administratives : elles sont appliques par la direction ou par lutilisateur. Les stratgies techniques : elles sont appliques par le systme dexploitation, les applications ou dautres contrles techniques. Les stratgies techniques doivent avoir des stratgies administratives correspondantes. Les stratgies physiques : appliquez les stratgies physiques en implmentant des contrles physiques pour empcher la falsification ou le vol.
j j j j j
Les processus et les procdures : ils dcrivent et prescrivent la faon dont les administrateurs et les utilisateurs doivent se conformer la stratgie de scurit. La technologie : elle dcrit la mthodologie et les outils utiliss pour appliquer les processus et procdures dune stratgie. La mise en uvre : elle dcrit le fonctionnement dune stratgie spcifique sur le rseau, ce qui comprend lnumration des paramtres activs ou dsactivs. La documentation : elle consiste noter ce qui a t mis en uvre, y compris la configuration et les paramtres de scurit. Les oprations : elles fournissent des informations sur lutilisation et la gestion prcise de la stratgie sur le rseau.
Un bon audit de scurit informatique value la capacit de lorganisation scuriser ses informations au niveau de la stratgie, des processus et des procdures, ainsi que des oprations. Ces trois composants, dcrits prcdemment, sont au cur de la scurit de lentreprise. Par consquent, construisez votre infrastructure daudit autour deux. Une infrastructure daudit de scurit trs simple mais efficace consiste comparer ces trois composants. En utilisant ce modle, vous pouvez vous assurer que la direction (les propritaires habituels de la stratgie), les responsables informatiques (les propritaires habituels des processus et des procdures) et lquipe informatique (charge du fonctionnement du rseau) ont une position identique en matire de scurit. Idalement, la stratgie de scurit possde des processus et des procdures correspondants, qui sont documents et suivis quotidiennement par les administrateurs et les utilisateurs.
817
Chapitre 25
valuation de la scurit
Dfinir la vulnrabilit : la dfinition de la vulnrabilit permet de rpondre des questions telles que "Quels sont lorigine et limpact potentiel de la vulnrabilit ?" et "Quelle est la probabilit dexploitation de la vulnrabilit ?". Documenter les plans visant rduire la vulnrabilit : il est important de prsenter des solutions et des rductions potentielles, ou dautres suggestions visant rduire ou supprimer la vulnrabilit. Identifier les modifications apporter : documentez tout ce qui doit tre modifi. Attribuer les responsabilits pour mettre en uvre les recommandations approuves : votre rapport doit mentionner les personnes charges dappliquer les recommandations. Prescrire la prochaine date dvaluation de scurit : vous devez galement prescrire une date pour la prochaine valuation de scurit.
j j
Le principe de MSAT est simple : proposer une valuation de la scurit de lentreprise au travers une srie de questions trs cibles. Dans le dtail : 1. Tlchargez puis installez MSAT sur votre ordinateur. Il ny a pas de difficult lors de linstallation, vous navez qu suivre les instructions.
818
2. Lancez lapplication en cliquant sur Dmarrer/Tous les programmes/Microsoft Security Assessment Tool/MSAT. 3. Passez le message de bienvenue en cliquant sur Start. Vous devez crer un nouveau profil de risque, tapez le nom de votre entreprise.
4. Commencez rpondre aux questions qui vous sont poses. Une fois que vous avez rpondu une page de questions, cliquez sur Next pour passer la page suivante. Ces questions vont servir qualifier le profil de risque de la socit.
819
Chapitre 25
valuation de la scurit
Continuez rpondre aux questions, il y en a plus dune trentaine. 25. valuation de la scurit En voici un autre exemple :
5. la fin de toutes les questions, nommez lvaluation qui en rsulte (choisissez un nom en adquation avec votre profil de risque) et cliquez sur OK.
820
En rsum
6. Cest parti pour les questions techniques de lvaluation proprement parler. Ces questions sont classes en diffrentes sections : tout dabord des questions dinformations de base sur lentreprise (nom, nombre dordinateurs, de serveurs, pays), puis une srie de questions sur la scurit, savoir la scurit de linfrastructure, des applications, des oprations et du personnel (si vous utilisez une connexion Internet, si vous utilisez un serveur Exchange, un serveur VPN, etc.). Et enfin des questions sur lenvironnement (activit, nombre demploys, nombre de sites, etc.). Une fois que vous avez rpondu une page de questions, cliquez sur Next pour passer la page suivante.
Continuez rpondre aux questions, il y en a plus dune centaine. la fin, vous pourrez visualiser et conserver le rsultat de lvaluation selon trois rapports : un rapport rcapitulatif, un rapport complet et un rapport comparatif.
25.10. En rsum
Lvaluation de la scurit est trs importante pour analyser la manire dont vous tes protg. Cela peut toucher le cur du systme dexploitation et, par mconnaissance sur la scurit, tre parfois fatal lentreprise si celle-ci se fait attaquer et dpouiller de ce qui fait son unicit sur le march. Les bonnes pratiques dcrites ici vont vous aider monter une valuation dans les plus brefs dlais. De plus, MSAT peut vous donner un cadre, voire une valuation toute faite et pertinente du niveau de scurit de vtre entreprise. Cest gratuit, profitez-en et mme si les questions sont plus adaptes une socit de moins de 1000 employs, vous pourrez toujours vous inspirer de ces questions si vous travaillez dans une entreprise beaucoup plus grande. 821
Chapitre 26
L
j j
a scurisation des postes de travail sarticule autour dun ensemble de rubriques de base Les mises jour de logiciels : faites en sorte que les systmes dexploitation et les applications des ordinateurs clients soient quips des dernires mises jour de scurit et des derniers correctifs et Service Packs. 26. La scurisation des postes de travail Les logiciels antivirus : installez un logiciel antivirus et tenez jour les fichiers de signatures pour empcher lintroduction de code malveillant et lexploitation des logiciels installs. Le pare-feu : installez et configurez un quipement et/ou un logiciel pare-feu. Linformatique mobile : implmentez des stratgies et des technologies permettant de protger les priphriques mobiles comme les ordinateurs portables et les ordinateurs de poche (PDA) et de limiter les vulnrabilits possibles lors de la connexion de ces priphriques aux quipements de lentreprise. La protection des donnes : protgez les documents et les informations sensibles en implmentant une stratgie de sauvegarde, en utilisant des technologies de cryptage et en limitant laccs au moyen des mthodes dauthentification appropries. La scurit des applications : rduisez les sources de vulnrabilit des applications en utilisant des technologies de gestion de configuration telles que la stratgie de restriction logicielle, la stratgie de groupe et les outils de dploiement. Les outils de gestion des clients : utilisez des technologies de gestion de la scurit comme Active Directory, les modles de scurit, le contrle de quarantaine pour laccs rseau et la stratgie de groupe pour rationaliser le dploiement et lapplication des stratgies de scurit. Les mthodes conseilles pour les mots de passe : scurisez laccs aux ordinateurs clients en utilisant des mots de passe forts et en appliquant les mthodes conseilles en ce qui concerne lutilisation des mots de passe en gnral.
j j
Ces rubriques, aussi videntes quelles puissent paratre, sont plus complexes mettre en uvre en entreprise car ltendue des ordinateurs contrler est beaucoup plus grande quun simple PC la maison.
825
Chapitre 26
informatique qualifi, vous avez probablement intrt opter pour le service WSUS. Dans le cas contraire, utilisez Windows Update. Pour les moyennes ou grandes entreprises, WSUS et SMS (Systems Management Server) sont les solutions logiques. Si vous avez besoin dune solution de gestion des mises jour simple, choisissez WSUS. Si vous voulez une distribution complte des logiciels comprenant des fonctionnalits de gestion des mises jour, choisissez SMS.
Windows Defender
Windows Defender est un antispyware intgr Windows Vista et destin un usage domestique. Il faut entendre par "usage domestique" labsence de fonctionnalits dadministration. Windows Defender est le logiciel de Microsoft pour lutter contre les malwares, il est intgr Windows Vista. Il rassemble des fonctions de dtection, de nettoyage et blocage en temps rel des spywares. Parmi ces actions, Windows Defender est ainsi capable de surveiller Internet Explorer et les composants logiciels chargs dans le navigateur, de vrifier les tlchargements. Windows Defender surveille aussi un certain nombre de points dentre frquemment utiliss sur la machine par les spywares. Il peut sagir par exemple de la cl de registre HKLM\ \RUN qui permet des logiciels de se maintenir chaque redmarrage. La technologie de Windows Defender repose sur neuf agents de surveillance. Il offre la possibilit de raliser une analyse du systme rapide ou complte. Pour dcouvrir linterface de Windows Defender, slectionnez le menu Dmarrer (le logo de Windows Vista), puis cliquez sur Tous les programmes et Windows Defender.
826
Dans la partie suprieure de la fentre Windows Defender, vous voyez les menus proposs :
j
Le menu Accueil affiche ltat gnral de Windows Defender. Vous y retrouvez la date de la dernire recherche, ltat de la protection en temps rel et la version des signatures utilises par Windows Defender. Le menu Analyser analyse lordinateur la recherche de spywares. Diffrentes analyses sont proposes (Quick Scan, Full Scan, Custom Scan). Le menu Historique affiche lhistorique de toutes les activits de Windows Defender. Le menu Outils regroupe plusieurs paramtres et outils et se dcompose en quatre sections : La section Options affiche les paramtres gnraux de Windows Defender. La section Microsoft SpyNet permet dchanger de conseils avec la communaut Spynet. La section Elments en quarantaine contient les lments qui ont t mis en quarantaine. 827
j j j
Chapitre 26
La section Explorateur de logiciels affiche les logiciels qui sexcutent sur la machine, qui coutent le rseau et le niveau de classification associ.
Utilisation de Windows Defender Les utilisateurs viss par Windows Defender se limitent aux particuliers. Windows Defender ne rentre pas dans le cadre de la gestion dentreprise, cest--dire quil nexploite pas les stratgies de groupe ou la console dadministration centralise. Il sera possible dutiliser une version dentreprise pour la gestion des malwares, mais cela sera propos dans une version payante du produit qui sappelle Microsoft Client Protection. Cette version ne se limitera pas la simple gestion de spywares, elle intgrera galement lantivirus de Microsoft et pourra tre administre sous la forme dune solution.
1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Vrifier maintenant. Dans la fentre Contrle de compte utilisateur, slectionnez Continuer. Une fois la mise jour termine, le bouclier devient vert et il est possible de voir la date de la dernire dfinition de signatures. 26. La scurisation des postes de travail
Pour planifier les analyses automatiques, suivez ces tapes : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. Dans la partie suprieure de la fentre Windows Defender, vous retrouvez les sections de loutil. 2. Slectionnez Outils, dans la fentre Outils et options, cliquez sur Options sous la rubrique Paramtres. 3. Vrifiez que la case Analyser automatiquement mon ordinateur (recommand) est coche. Cest impratif pour pouvoir paramtrer les diffrentes options. 4. Dans Frquence danalyse, slectionnez Mercredi. 5. Dans Heure, choisissez 13:00.
829
Chapitre 26
6. Dans le type danalyse, laissez (Analyse rapide). 7. Cochez la case Rechercher les dfinitions mises jour avant lanalyse. 8. Cochez la case Appliquer les actions par dfaut aux lments dtects lors dune analyse. 26. La scurisation des postes de travail 9. Cliquez sur Enregistrer.
Pour lancer une analyse manuelle, procdez ainsi : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. Dans la partie suprieure de la fentre Windows Defender, vous retrouvez les sections de loutil. 2. Slectionnez la flche du menu Analyser. La fentre de slection vous propose trois options danalyse :
j
Analyse rapide ;
830
j j
3. Choisissez une des options danalyse propose, puis cliquez sur Analyser maintenant. 26. La scurisation des postes de travail Pour dsactiver ou activer la protection en temps rel de Windows Defender, procdez comme suit : 1. Cliquez sur le menu Dmarrer, puis sur Panneau de configuration. 2. Slectionnez licne Scurit. 3. Cliquez sur licne Windows Defender. 4. Cliquez sur Outils, puis sur Options. 5. Sous la rubrique Options de protection en temps rel, activez la case cocher Utiliser la protection en temps rel (recommand). 6. Slectionnez les options voulues. Pour prserver vos donnes personnelles et protger votre ordinateur, il est recommand de slectionner toutes les options de protection en temps rel. 7. Choisissez enfin si Windows Defender doit vous avertir lors de certains vnements. Slectionnez les options requises, puis cliquez sur Enregistrer.
Consulter lhistorique
Vous pouvez si vous le souhaitez connatre lactivit de Windows Defender car il garde une trace dun grand nombre dactions. Pour afficher lhistorique de Windows Defender, procdez de la faon suivante : 1. Slectionnez le menu Dmarrer/Tous les programmes/Windows Defender. 2. Cliquez sur Historique. 3. Pour supprimer tous les lments de la liste, cliquez sur Effacer lhistorique. Si vous tes invit fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation. Informations complmentaires Vous en saurez plus sur la scurit de Windows Vista en visitant les sites suivants : www.microsoft.com/athome/security/spyware/software/default.mspx ; http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID =1032293588&EventCategory=5&culture=en-US&CountryCode=US ; j www.microsoft.com/athome/security/spyware/software/support/reportspyware .mspx ;
j j
831
Chapitre 26
Le Centre de scurit
Bien quil soit important de rester inform des dernires mises jour logicielles, la gestion des mises jour peut devenir coteuse et longue, et perturber les entreprises et les utilisateurs. Windows Vista rpond ces problmes en imposant un redmarrage moins frquent des ordinateurs, ce qui simplifie le processus de dploiement des mises jour, lutilisation plus efficace de la bande passante, la possibilit pour les administrateurs de suivre les mises jour ayant russi ou chou, ainsi que des amliorations de lagent WUA (Windows Update Agent). Avec larrive de Redmarrer Managers, les utilisateurs nont pas besoin de redmarrer Windows Vista lors de linstallation ou de la mise jour dune application. Certaines mises jour peuvent installer une nouvelle version dun fichier mis jour mme si lancien fichier est en cours dutilisation par une autre application. Windows Vista remplace le fichier lors du prochain redmarrage de lapplication. Lobjectif avec Redmarrer Manager est de pouvoir diviser le nombre de redmarrages par deux concernant lapplication de correctifs de scurit. Freeze Dry est lun des composants de Redmarrer Managers, il permet Windows Vista de dterminer quelle application utilise un fichier devant tre mis jour. Ainsi, si lapplication tire parti des API de notifications darrt et de redmarrage, les donnes de lapplication seront enregistres, lapplication ferme, les fichiers mis jour, puis lapplication sera redmarre. Par consquent, la plupart des mises jour ne perturbent pas le travail des utilisateurs, ce qui permet de ne plus gner la productivit et ainsi de rduire les cots de gestion des mises jour. Office 12 est lexemple dun logiciel qui tire parti des API de notifications darrt et de redmarrage. WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software Update Services). Il permet damliorer la gestion des mises jour. Les administrateurs peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises jour disponibles et dterminer si ces mises jour sont ncessaires dans leurs environnements. Pour les environnements qui utilisent les mises jour automatiques, les administrateurs peuvent utiliser WSUS afin de dployer toutes les mises jour. Dans les versions antrieures de Windows, seules les mises jour critiques pouvaient tre dployes laide de la fonctionnalit Mises jour automatiques.
832
Lagent WUA (Windows Update Agent) est dsormais une application autonome pouvant tlcharger des mises jour directement partir du site de Microsoft ou dun serveur WSUS interne. Dans la mesure o WUA offre une interface unique vers les mises jour tlcharges partir du site de Microsoft ou dun serveur dentreprise interne, les utilisateurs nont pas apprendre comment utiliser deux outils distincts. 26. La scurisation des postes de travail Pour dcouvrir le Centre de scurit Windows, procdez comme suit : 1. Ouvrez le menu Dmarrer et cliquez sur Panneau de configuration. 2. Dans le Panneau de configuration, cliquez sur les liens Scurit, puis sur Centre de Scurit Windows. Dans la fentre Centre de Scurit Windows, deux nouvelles catgories ont fait leur apparition :
j j
La rubrique Protection contre les programmes malveillants comprend les logiciels antispywares ainsi que lantivirus. La rubrique Autres paramtres de scurit affiche ltat des paramtres dInternet Explorer Paramtres de scurit Internet et Contrle du compte utilisateur.
833
Chapitre 26
Pour dcouvrir les nouvelles options des mises jour automatiques (Windows Update) : 1. Dans la partie gauche de la fentre, cliquez sur Windows Update. La fentre Windows Update souvre. 26. La scurisation des postes de travail
Rechercher les mises jour lance une vrification des mises jour sans passer par le site web Windows Update. Avant, cette fonctionnalit ntait disponible quen ligne de commande avec wuauclt.exe /detectnow. Modifier les paramtres change les paramtres de Windows Update. Afficher lhistorique des mises jour affiche lhistorique des mises jour. Lhistorique comprend le nom, la date, le statut de linstallation et limportance de la mise jour pour la scurit. Restaurer les mises jour maques restaure les mises jour caches. Les mises jour comprennent aussi les signatures pour lantispyware intgr Windows Vista (Windows Defender).
j j
834
Le pare-feu personnel
Un grand nombre dapplications potentiellement dangereuses, telles que les applications clientes de partage poste poste susceptibles de transmettre des informations personnelles sur Internet, sont conues pour ignorer les pare-feu qui bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux administrateurs dentreprise de configurer les paramtres des Stratgies de groupe pour les applications devant tre autorises ou bloques, en leur donnant le contrle sur les applications pouvant communiquer sur le rseau. Lun des moyens les plus importants pour les services informatiques pour attnuer les risques de scurit consiste limiter les applications pouvant accder au rseau. Le pare-feu personnel intgr Windows Vista constitue une part importante de cette stratgie. Avec le pare-feu personnel, les administrateurs peuvent autoriser lexcution locale dune application sur des ordinateurs, mais lempcher de communiquer sur le rseau. Cela donne aux administrateurs la finesse de contrle dont ils ont besoin pour attnuer les risques de scurit sans compromettre la productivit des utilisateurs.
835
Chapitre 26
3. Slectionnez Pare-feu Windows. Longlet Gnral du pare-feu Windows comporte trois paramtres. Voici ce que vous pouvez faire avec ces paramtres et quand les utiliser
Loption Activ
Ce paramtre est slectionn par dfaut. Lorsque le pare-feu Windows est activ, la communication est bloque pour la plupart des programmes. Si vous souhaitez dbloquer un programme, vous pouvez lajouter la liste des exceptions (sous longlet Exceptions). Par exemple, vous ne pourrez peut-tre pas envoyer des photos laide dun programme de messagerie instantane avant davoir ajout ce programme sur la liste des exceptions. Pour activer le pare-feu Windows, procdez de la faon suivante : 1. Cliquez sur le menu Dmarrer/Panneau de configuration. 2. Slectionnez Centre de scurit. 836
3. Dans le volet gauche de la fentre Centre de scurit Windows, slectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Dsactiver le pare-feu Windows. 5. Cliquez sur Activ (recommand), puis sur OK. 26. La scurisation des postes de travail
Figure 26.9 : Activer le pare-feu
Loption Dsactiv
vitez dutiliser ce paramtre moins quun autre pare-feu ne soit excut sur votre ordinateur. La dsactivation du pare-feu Windows peut rendre votre ordinateur (et votre rseau si vous en utilisez un) plus vulnrable des attaques de pirates informatiques ou de logiciels malveillants tels que des vers. Pour dsactiver le pare-feu Windows, procdez de la faon suivante : 1. Cliquez sur Dmarrer/Panneau de configuration. 2. Slectionnez Centre de scurit. 3. Dans le volet gauche de la fentre Centre de scurit Windows, slectionnez Pare-feu Windows. 4. Cliquez sur Activer ou Dsactiver le pare-feu Windows. 5. Cliquez sur Dsactiv (non recommand), puis sur OK.
837
Chapitre 26
838
839
Chapitre 26
Figure 26.12 : Configuration de la MMC pour utiliser les options avances du pare-feu
de Windows Vista
lordinateur local
840
prsent, vous allez tester le pare-feu et crer pour cela une rgle de restriction sortante pour le Lecteur Windows Media. Dans un premier temps, le test consiste lancer une station de radio sur Internet partir du Lecteur Windows Media. Pour ouvrir une radio en ligne laide de Windows Media Player, procdez comme suit : 1. Dans le menu Dmarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Dans le Lecteur Windows Media, appuyez sur les touches [Ctrl]+[U] pour ouvrir la fentre Ouvrir une URL. 3. Dans la fentre Ouvrir une URL, taper lURL de la radio en ligne : http://www .ouirock.com/player/metafile/windows.asx. Cliquez sur OK. Le Lecteur Windows Media accde lURL indique. Par dfaut, toutes les applications sont autorises traverser le pare-feu.
URL Il sagit ici dune URL prise titre dexemple. Il existe un grand nombre dautres liens sur Internet pouvant tre utiliss pour cet exercice. 4. Fermez le Lecteur Windows Media. 841
Chapitre 26
Puisque laccs la radio fonctionne, il est possible den restreindre laccs en crant une rgle dont les caractristiques seront les suivantes
j j
Nom : Lecteur Windows Media. Appliquer : %ProgramFiles%\Windows Media Player\wmplayer.exe. Action : Block.
Pour crer la rgle qui pourra bloquer le Lecteur Windows Media, procdez comme suit : 1. Dans la MMC, au centre, cliquez sur Rgles du trafic sortant situ dans la catgorie Dmarrer. Vous retrouvez dans la partie centrale de la fentre toutes les rgles utilises par le pare-feu pour filtrer le trafic entrant.
2. Dans la partie droite de la fentre, cliquez sur Nouvelle rgle pour crer une nouvelle rgle. 3. Dans la fentre Assistant Nouvelle rgle sortante, dans la section Quel type de rgle voulez-vous crer?, slectionnez Programme, puis cliquez sur Suivant.
842
Dans la section Quels programmes sont concerns par cette rgle?, deux choix vous sont proposs.
j j
Tous les programmes : la rgle sappliquera tout le trafic de lordinateur. Ce programme : cette rgle permet de restreindre laccs un programme uniquement en spcifiant son chemin.
4. Slectionnez Ce Programme et saisissez %ProgramFiles%\Windows Media Player\wmplayer.exe, puis cliquez sur Suivant.
sappliquer 843
Chapitre 26
5. Dans la section Action, slectionnez Refuser, puis cliquez sur Suivant. Dans la fentre Profil, sous la rubrique Quels profils sont concerns par cette rgle?, vous pouvez dfinir trois possibilits.
j
Domaine : sapplique lors de la connexion dun ordinateur son domaine dentreprise. Prives : sapplique lors de la connexion dun ordinateur un groupe de rseau priv. Publiques : sapplique lors de la connexion dun ordinateur au groupe de rseau public.
j j
6. Laissez les trois profils slectionns et cliquez sur Suivant. 7. Tapez Lecteur Windows Media dans le champ Nom, puis cliquez sur Terminer.
Modification dune rgle Si vous souhaitez modifier une rgle aprs sa cration, double-cliquez dessus. Les tapes sont reprsentes par des onglets.
844
Pour terminer, il ne reste plus qu tester le bon fonctionnement de la rgle Lecteur Windows Media en ouvrant une radio en ligne laide du Lecteur Windows Media. Pour tester la rgle, procdez comme suit : 1. Dans le menu Dmarrer, cliquez sur Tous les programmes, puis sur Lecteur Windows Media. 2. Une fois que le lecteur Windows Media est ouvert, appuyez sur les touches [Ctrl]+[U]. La fentre Ouvrir une URL saffiche. 3. Dans la fentre Ouvrir une URL, tapez lURL de la radio en ligne http://www .ouirock.com/player/metafile/windows.asx, puis cliquez sur OK. Aprs quelques secondes, un message apparat indiquant que le fichier na pas t trouv (le Lecteur Windows Media ne trouve pas). Le Lecteur Windows Media nest plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu. 4. Cliquez sur Fermer. 5. Fermez le Lecteur Windows Media. 6. Fermez la Console Microsoft Management et cliquez sur Non.
845
Chapitre 26
Informations complmentaires Vous en saurez plus sur le pare-feu de Windows Vista en visitant les sites suivants :
j
www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx www.microsoft.com.
846
Lantivirus en entreprise
lutilisateur recevra un Access Denied ou son quivalent en tentant dexcuter une tache ncessitant des privilges plus levs. Par contre, sil excute une application en tant quadministrateur ou par un runas, il ne passe pas par le mcanisme UAC. En effet, cela cre tout dabord un nouveau jeton dadministration complet qui est alors utilis pour lancer lapplication CreateProcessAsUser auquel on passe le jeton dadministrateur en paramtre. Cest pourquoi lexcution dune Invite de commandes en tant quadministrateur ou runas /user:admin cmd ouvre une fentre dans laquelle vous avez les privilges complets. Diffrences entre le compte intgr administrateur et les membres du groupe Administrateurs Par dfaut, le compte intgr administrateur est dsactiv et napparat pas dans la fentre de lancement. Par dfaut, les membres du groupe local Administrateurs excutent les applications avec leur jeton restreint et doivent approuver toute demande dexcution avec des privilges plus levs : Mode Admin Approval. Le compte intgr administrateur excute les applications directement avec son jeton complet, lUAC na donc bas besoin de rentrer en jeu. Toutefois, le fonctionnement de lUAC peut tre dsactiv plusieurs niveaux, mais il nest pas recommand de le faire encore une fois pour des raisons de scurit. Informations complmentaires Vous en saurez plus sur la scurit de Windows Vista en visitant les sites suivants : www.microsoft.com/france/technet/produits/windowsvista/deploy/appcompat /acshims.mspx ; j www.microsoft.com/france/events/event.aspx?EventID=118769731 ; j www.microsoft.com/france/events/event.aspx?EventID=118769729 ; j www.microsoft.com/france/events/event.aspx?EventID=118769730 ;
j j
www.microsoft.com/france/technet/produits.
847
Chapitre 26
Si lon en croit plusieurs rapports internationaux, les virus informatiques ont un impact conomique mondial qui dpasse les 10 milliards de dollars par an. Pour quelque chose de familier et de routinier, on saperoit quand mme que les virus frappent encore de nos jours. Il sagit de cots aussi bien directs quindirects. 26. La scurisation des postes de travail Le cot direct dune attaque de virus correspond aux dpenses ncessaires pour rparer les dommages causs. Cette rparation peut demander un effort important lquipe informatique locale ou aux fournisseurs de services externes. Il sagit notamment deffacer les dommages crs par le virus, de rcuprer les donnes partir de sauvegardes, de rinstaller des systmes dexploitation et des applications. Les cots indirects dune attaque virale sont plus difficiles dterminer. Certaines organisations ont connu une baisse de productivit et de chiffre daffaires aprs avoir t prives de leur messagerie lectronique ou dun autre systme vital pour leur activit pendant plusieurs semaines cause dun virus. Une attaque virale peut provoquer une perte de donnes ou compromettre des informations confidentielles. Une attaque virale russie peut galement nuire la rputation de lentreprise en dgradant la confiance des clients, des investisseurs et des cranciers. Bien que le montant des cots indirects soit plus difficile estimer, il est vident que ces cots existent et quils sont considrables. Imaginez les dommages que cela peut causer une petite entreprise qui na pas forcment les moyens dinvestir dans son systme dinformation.
848
Concevez une structure dunits dorganisation qui favorise la mise en uvre de la scurit des ordinateurs clients. La structure dunits dorganisation doit prendre en charge lutilisation dune stratgie de groupe permettant de grer efficacement lapplication de paramtres de scurit tous les objets utilisateur et ordinateur client dActive Directory. Veillez ce que cette implmentation respecte les normes de scurit de votre organisation. Concevez une structure dunits dorganisation qui spare les objets utilisateur et ordinateur en fonction de leur rle. Vous devez concevoir la structure dunits dorganisation de manire pouvoir dfinir des paramtres de scurit appropris pour les diffrents types dutilisateurs de votre organisation. Par exemple, les dveloppeurs peuvent tre 849
Chapitre 26
autoriss effectuer sur leurs stations de travail des tches interdites lutilisateur moyen. De mme, les utilisateurs dordinateurs portables peuvent prsenter des besoins (en matire de scurit) lgrement diffrents de ceux des utilisateurs dordinateurs de bureau. 26. La scurisation des postes de travail Concevez la structure dunits dorganisation de manire pouvoir dfinir des paramtres de scurit appropris aux diffrents types dordinateurs clients de votre organisation. Envisagez de crer des units dorganisation distinctes pour les diffrents systmes dexploitation utiliss par les ordinateurs clients. Vous avez galement la possibilit de crer des units dorganisations distinctes pour diffrents types dordinateurs clients, par exemple les ordinateurs de bureau et les ordinateurs portables.
j
Crez pour chaque unit dorganisation un objet de stratgie de groupe contenant les paramtres de scurit appropris aux utilisateurs ou aux ordinateurs clients de cette unit dorganisation. Par exemple, vous pouvez vouloir appliquer des paramtres diffrents aux ordinateurs portables et aux ordinateurs de bureau dans la mesure o les portables sont souvent utiliss hors des locaux de lentreprise et risquent de se connecter au rseau dentreprise via des liaisons non scurises.
Les modles pour domaines (Domain) : ces modles contiennent des paramtres de scurit qui sont appliqus tous les utilisateurs et ordinateurs du domaine. Les modles pour ordinateurs de bureau (Desktop) : ces modles contiennent des paramtres qui peuvent tre appliqus aux ordinateurs de bureau directement connects un rseau.
850
Les modles pour ordinateurs portables (Laptop) : ces modles contiennent des paramtres conus pour rsoudre les problmes de scurit lis la portabilit de ces ordinateurs.
Chacun de ces modles de scurit est disponible en deux versions : environnement client dentreprise (Enterprise Client) et environnement haute scurit (High Security). Les ordinateurs clients dentreprise sont gnralement situs dans un domaine Active Directory. Ces clients sont administrs via lapplication dune stratgie de groupe des conteneurs, des sites, des domaines et des units dorganisation. Les ordinateurs clients des environnements haute scurit sont ceux qui ncessitent une scurit extrmement forte. Dans ce cas, la fonctionnalit utilisateur est limite aux seules fonctions ncessaires lexcution de tches spcifiques. Laccs est limit aux applications, services et environnements dinfrastructure approuvs. Vous pouvez utiliser ces modles tels quels si les paramtres quils contiennent conviennent votre environnement rseau. Pour adapter un modle aux besoins de votre organisation, utilisez le composant logiciel enfichable Modles de scurit. Aprs lavoir correctement configur, vous pouvez importer un modle dans un objet de stratgie de groupe qui sapplique au domaine ou une unit dorganisation spcifique de ce domaine. La console de gestion des stratgies de groupe (GPMC, Group Policy Management Console) permet de modifier des objets de stratgie de groupe et dy importer des modles de scurit.
Chapitre 26
il se peut que vous deviez configurer manuellement les paramtres de ce modle que vous souhaitez utiliser avant de les appliquer aux ordinateurs et utilisateurs de votre entreprise. Il vous faut bien sr passer par une phase de retouches pour ladapter vos besoins. Sachez galement que les fournisseurs dapplications tiers peuvent inclure dautres modles dans leurs logiciels.
Stratgie de mot de passe des comptes : ce paramtre dfinit la stratgie des mots de passe et du verrouillage des comptes pour le domaine. Les mots de passe complexes et rgulirement modifis rduisent les chances de succs dune attaque de mot de passe. Stratgie de verrouillage de compte : ce paramtre spcifie le nombre de tentatives douverture de session infructueuses au bout duquel un compte dutilisateur est verrouill. Stratgie daudit : ce paramtre spcifie les vnements de scurit qui sont enregistrs dans le journal de la scurit. Journal des vnements : les paramtres du journal des vnements sont utiliss pour enregistrer les vnements systme. Le journal de la scurit contient des vnements daudit. Ce paramtre indique la taille maximale des journaux, les droits daccs chaque journal, la priode et les mthodes de rtention. Systme de fichiers : ce paramtre spcifie des autorisations et des paramtres daudit pour les objets du systme de fichiers. Il peut tre utilis pour dfinir des listes de contrle daccs sur des fichiers et des dossiers. Stratgies de scurit IP : ce paramtre permet de spcifier des filtres IPSec, les actions associes ces filtres et des rgles de filtrage pour lensemble du trafic TCP/IP rencontr par lordinateur. Paramtres du Registre : ce paramtre permet de configurer des paramtres de Registre spcifiques sur tous les ordinateurs concerns par la stratgie et dempcher toute modification de ces paramtres. Il permet de spcifier les autorisations daccs et les paramtres daudit associs des cls du Registre. Groupes restreints : ce paramtre permet dempcher lajout dutilisateurs des groupes de scurit spcifis dans Windows 2000, Windows XP Professionnel,
j j
852
Windows Vista et Windows Server 2003. Il spcifie les comptes qui sont membres dun groupe et les groupes dont ce groupe est membre.
j
Options de scurit : ce paramtre permet dactiver ou de dsactiver un grand nombre de paramtres de scurit divers relatifs aux utilisateurs et aux ordinateurs, notamment la signature numrique des donnes, les noms des comptes dadministrateur et dinvit, les mthodes dauthentification pour le contrle daccs, le comportement de linstallation des pilotes et les invites douverture de session. Stratgies de restriction logicielle : les stratgies de restriction logicielle permettent de spcifier quel logiciel peut ou ne peut pas sexcuter sur un ordinateur client. Elles utilisent des rgles de hachage, de chemin daccs, de zone et de certificat. Services systme : ce paramtre dfinit le mode de dmarrage par dfaut et la configuration de scurit des services, y compris les autorisations daccs. Scurit des services Noubliez pas que tout service, toute application reprsente un point dattaque potentiel. Par consquent, dsactivez ou supprimez de votre environnement les services et les fichiers excutables inutiles.
Attribution des droits utilisateur : ce paramtre indique les oprations systme que les utilisateurs et les groupes sont autoriss effectuer.
Chapitre 26
protocole dauthentification utilis par les ordinateurs clients ainsi que le niveau ngoci de scurit de la session. Plusieurs options sont disponibles pour ce paramtre. Nous vous recommandons de dfinir le plus fort niveau dauthentification possible pour votre infrastructure. Dans un environnement dordinateurs de type entreprise, il est conseill de slectionner Envoyer uniquement les rponses NTLMv2. Voici les options disponibles
j
Envoyer les rponses LM et NTLM : les clients utilisent lauthentification LM et NTLM, mais jamais la scurit NTLMv2 de niveau session. Les contrleurs de domaines acceptent lauthentification LM, NTLM et NTLMv2. Envoyer LM et NTLM : utiliser la scurit de session NTLM version 2 si ngocie : les clients utilisent lauthentification LM et NTLM, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLM : les clients utilisent lauthentification NTLM uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 \ refuser LM : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge. Envoyer uniquement les rponses NTLMv2 \ refuser LM et NTLM : les clients utilisent lauthentification NTLMv2 uniquement, plus la scurit de session NTLMv2 si le serveur la prend en charge.
Scurit rseau : Ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modication de mot de passe
Lorsque vous dfinissez ou modifiez le mot de passe dun compte dutilisateur pour imposer un mot de passe de moins de 15 caractres, Windows gnre un hachage LAN Manager (LM) et le hachage Windows NT (NTLM) de ce mot de passe. Ces hachages sont stocks dans la base de donnes du Gestionnaire de comptes de scurit (SAM) ou dans Active Directory.
j j
Les protocoles dauthentification NTLM, NTLMv2 et Kerberos utilisent tous le hachage NTLM. Le protocole dauthentification LM utilise le hachage LM. Le hachage LM est relativement faible par rapport au hachage NTLM ; il est donc plus susceptible de succomber un forage rapide et brutal. Cest pourquoi vous avez la possibilit dempcher Windows de stocker les hachages LM des mots de passe. Pour empcher les ordinateurs clients de gnrer un hachage LM, affectez ce paramtre la valeur Activ.
854
Les hachages LM existants sont supprims lorsque les utilisateurs modifient leurs mots de passe.
Pour utiliser la signature SMB, vous devez lactiver ou la rendre obligatoire sur le client et le serveur SMB. Si la signature SMB est active sur un serveur, les clients qui sont aussi activs pour la signature SMB utilisent le protocole de signature des paquets pendant toutes les sessions qui suivent. Si la signature SMB est obligatoire sur un serveur, un client ne peut tablir une session que sil est au moins activ pour la signature SMB. Lorsque cette stratgie est active, elle exige du client SMB de signer les paquets. Lorsque cette stratgie est dsactive, le client SMB nest pas oblig de signer les paquets. Voici les options de signature SMB pour les ordinateurs Windows 2000 et plus rcents, ainsi que leur configuration recommande dans un environnement de scurit de type client dentreprise : Client rseau Microsoft : Communications signes numriquement (toujours) prend la valeur Dsactiv et Client rseau Microsoft : Communications signes numriquement (lorsque le serveur laccepte) prend la valeur Activ.
Chapitre 26
dadministration, cliquez sur Ajout/Suppression de modles, recherchez lemplacement du modle dadministration importer, puis slectionnez le modle de votre choix.
4. Configurez des paramtres de scurit et dadministration supplmentaires en fonction des besoins de votre organisation, puis fermez lditeur dobjets de stratgie de groupe.
Les mthodes conseilles pour scuriser les postes de travail laide dune stratgie de groupe
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez une stratgie de groupe pour appliquer des modles de scurit et dadministration aux ordinateurs clients du rseau de votre entreprise :
j
Utilisez comme ligne de base, dans la mesure du possible, les modles pour client dentreprise fournis par les guides de scurit Windows Vista Security Guide et Windows XP Security Guide et modifiez-les en fonction des besoins de votre organisation. Lorsque vous rflchissez sur les paramtres de scurit de votre entreprise, vous devez absolument tablir un compromis entre la scurit et la productivit des utilisateurs. Votre objectif consiste protger les utilisateurs contre les programmes malveillants et les virus tout en leur permettant de profiter de tous les avantages de linformatique. Vous devez faire en sorte que les efforts des utilisateurs ne soient jamais dcourags par des paramtres de scurit trop restrictifs. Tout est affaire de compromis, en scurit informatique bien plus quailleurs, et cest bien ce qui en fait une activit difficile. Implmentez des stratgies de compte et daudit strictes au niveau des domaines. Utilisez le modle de niveau domaine pour clients dentreprise comme ligne de base, en le modifiant si ncessaire.
856
En rsum
Testez soigneusement les modles avant leur dploiement. Testez systmatiquement et rigoureusement les paramtres des modles de scurit et dadministration avant de les appliquer un grand nombre dutilisateurs et dordinateurs dans votre organisation. Certains paramtres qui vous semblent appropris peuvent nanmoins donner de mauvais rsultats dans votre environnement. Utilisez des modles dadministration supplmentaires. Consultez le site web Microsoft et contactez vos autres fournisseurs de logiciels pour obtenir des modles dadministration supplmentaires. Microsoft fournit des modles dadministration pour beaucoup de ses produits, y compris Office et Internet Explorer.
26.5. En rsum
Certes, la scurit des postes de travail de lentreprise tient la bonne configuration des outils de scurit tels lantivirus, le pare-feu, lantispyware, etc., mais pas seulement. La scurit des postes de travail tient pour beaucoup des paramtres qui sont pousss par les mcanismes de linfrastructure (les stratgies de groupe dans Active Directory). Tout est li. Tout doit tre bien harmonieux. Si vous scurisez linfrastructure sans vous soucier de lantivirus local alors vous tes vulnrable et inversement. Dans le cadre dune dmarche de scurisation normalise base sur le principe de la roue de Deming : Plan, Do, Check, Act (que lon pourrait traduire en franais pas "planifier, produire, contrler, amliorer") les stratgies de groupe sont essentielles car elles permettent dappliquer les paramtres de scurit de faon centralise, de les pousser en masse sur tous les utilisateurs et ordinateurs, de les contrler, de les modifier et de les forcer si ncessaire.
857
Partie
D
Annexes
Partie
D
Chapitre 27 Chapitre 28 Chapitre 29
Annexes
Annexe I - Liste alphabtique des commandes . . . . . 861 Annexe II - Les services et les ports rseau sous Windows Server 2003 . . . . . . . . . . . . . . . . . . 927 Annexe III - Glossaire . . . . . . . . . . . . . . 967
Chapitre 27
administration en lignes de commandes constitue un bon exemple des amliorations qui font la puissance dadministration de Windows Server 2003.
Mme si ce mode dadministration reste beaucoup moins intuitif et assist que le mode graphique, ladministration depuis la ligne de commandes a t largement tendue sous Windows Server 2003. Des dizaines de nouvelles commandes et de nouveaux scripts ont t ajouts pour ladministration dActive Directory, des imprimantes, Internet Information Server, les journaux dvnements ou des stratgies de groupes. Toutes ces nouvelles commandes et scripts font quaujourdhui, 98 % de Windows Server 2003 peut sadministrer par script ou ligne de commandes. Et bien que nous tenions vous prsenter au travers de cette annexe un certain nombre de commandes, cette liste nest en rien exhaustive. Ce chapitre a pour objectif de prsenter un ensemble de commandes qui nont pas t illustres au long de cet ouvrage.
27.1. A ADPREP
(Nouvelle commande sous Windows Server 2003).
Syntaxe :
/forestPrep /domainPrep
adprep <cmd> [option] <cmd> La mise jour des informations au niveau de la fort doit tre excute sur le contrleur de rle de schma. La mise jour des informations au niveau du domaine doit tre excute sur le contrleur de rle dinfrastructure. Doit tre excute lorsque /forestPrep est termin. [option] adprep ne copie aucun fichier de la source sur lordinateur local. adprep supprimera lavertissement demandant Windows 2000 Service Pack 2 lors de lopration /forestprep.
/noFileCopy /noSPWarning
Cet outil en ligne de commandes se trouve dans le dossier \I386 sur le CD-Rom de Windows Server 2003. adprep dpend de plusieurs fichiers se trouvant dans cd dossier ; vous ne pouvez donc pas le retirer du CD-Rom et lexcuter de faon indpendante.
863
Chapitre 27
j j
Consultez les journaux de adprep de \System32\Debug\Adprep\Logs chaque fois que vous excutez cette commande. La rplication des modifications du schma au sein dun site ne prend que 15 minutes, mais si votre entreprise possde plusieurs sites, cela peut se rvler plus long. Il peut tre prfrable dattendre environ une journe aprs chaque utilisation dadprep, afin dtre certain que les effets ont correctement rpliqu. Si vous essayez dexcuter adprep /domainprep sans attendre suffisamment longtemps aprs lexcution de adprep /forestprep, un message davertissement indique que le processus de rplication nest pas termin. Si vous essayez de mettre niveau vers Windows Server 2003 un contrleur de domaine Windows 2000 aprs avoir excut adprep /domainprep dans le domaine, un message davertissement similaire est affich. Lorsque vos forts et domaines ont t prpars par lexcution de adprep, les contrleurs de domaine restants peuvent continuer fonctionner sous Windows 2000, jusqu ce que vous dcidiez de les mettre niveau. Envisagez dinstaller les Service Pack 3 sur vos contrleurs de domaines Windows 2000 avant dutiliser adprep. Si des contrleurs de domaine Windows 2000 fonctionnent avec le Service Pack 3, il est plus facile de les administrer distance depuis Windows XP Professionnel ou depuis des machines Windows Server 2003 utilisant le jeu des outils dadministration Windows Server 2003.
AT
La commande AT planifie lexcution des commandes et programmes sur lordinateur une date et une heure spcifies. Le service Planification doit fonctionner pour utiliser la commande AT.
Syntaxe :
AT [\\ordinateur] [ [id] [/DELETE] | /DELETE [/YES]] AT [\\ordinateur] heure [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] "commande" Spcifie un ordinateur distant. Les commandes sont planifies sur lordinateur local si ce paramtre est omis. Identificateur (nombre) affect une commande planifie. Supprime une commande planifie. Si id est omis, toutes les commandes sur lordinateur sont supprimes. Utilise pour supprimer toutes les tches sans demande de confirmation. Heure de lexcution de la commande.
864
/INTERACTIVE
Permet au travail dinteragir avec le bureau de lutilisateur qui est connect au moment o le travail est effectu.
/EVERY:date[,...]Excute la commande tous les jours spcifis de la semaine ou du mois. Si la date est omise, le jour en cours du mois est utilis par dfaut. /NEXT:date[,...] Excute la commande lors de la prochaine occurrence du jour (par exemple, jeudi prochain). Si la date est omise, le jour en cours du mois est utilis par dfaut. "commande"
j
Les tches planifies avec at sont affiches dans le dossier tches planifies, mais si vous modifiez ensuite les paramtres de la tche en utilisant tches planifies, vous ne pouvez plus y accder depuis la ligne de commandes at. Vous devez tre membre du groupe local Administrateurs pour utiliser cette commande. Le service Planificateur de tches doit tre en cours dexcution pour utiliser cette commande. Si ncessaire, employez la console Services pour le dmarrer. (Par dfaut, ce service est configur de manire se lancer automatiquement au dmarrage du systme.) Les tches planifies sont stockes dans le Registre et ne sont pas perdues si vous redmarrez le service Planificateur de tches. Le rpertoire courant pour lexcution dune tche planifie est %Systemroot%. Les tches planifies sexcutent comme des processus en arrire-plan et aucune sortie nest affiche sur lcran. Vous pouvez rediriger la sortie cran vers un fichier en utilisant le symbole de redirection (>). Si vous modifiez lheure systme dun ordinateur aprs avoir planifi lexcution dune tche sur celui-ci, noubliez pas de synchroniser le planificateur de commandes avec la nouvelle heure lanant at sans options. Si une tche planifie utilise une lettre de lecteur afin de se connecter un partage rseau, noubliez pas de planifier une seconde tche afin de dconnecter le lecteur lorsque vous ne lutilisez plus. Sinon, la lettre de lecteur ne sera pas disponible depuis lInvite de commandes.
j j
j j j
ATTRIB
Affiche ou modifie des attributs de fichier.
865
Chapitre 27
Syntaxe :
+ R A S 27. Annexe I Liste alphabtique des commandes H [Lecteur:] [Chemin] [NomFichier] /S /D
j j
ATTRIB [+R | R] [+A | A ] [+S | S] [+H | H] [[lect:] [chemin] fichier] [/S [/D]] Dfinit un attribut. Efface un attribut. Attribut de fichier en lecture seule. Attribut de fichier archive. Attribut de fichier systme. Attribut de fichier cach.
Spcifie le ou les fichiers que ATTRIB doit traiter. Traite les fichiers dans le dossier courant et dans tous les sous-dossiers. Traite aussi les dossiers.
Si les attributs System ou Cached sont dfinis sur un fichier, ils doivent tre supprims avant de pouvoir modifier tout autre attribut de ce fichier.
Attrib est galement disponible depuis la console de rcupration.
27.2. B BOOTCFG
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes peut tre utilis pour configurer, interroger, modifier ou supprimer les paramtres de lentre de dmarrage dans le fichier boot.ini.
Syntaxe :
/Copy
BOOTCFG /paramtre [arguments] Effectue une copie dune entre de dmarrage existante pour la section [operating systems] laquelle vous pouvez ajouter des options du systme dexploitation. Supprime une entre de dmarrage existante dans la section [operating systems] section du fichier BOOT.INI. Vous devez spcifier lentre supprimer.
/Delete
866
Affiche les paramtres actuels dentre de dmarrage. Autorise lutilisateur spcifier des options de commutateur pour une entre de dmarrage spcifie. Permet de modifier la valeur du dlai dattente. Permet de modifier le systme dexploitation par dfaut. Permet lutilisateur de paramtrer loption /redirect pour la prise en charge headless dune entre de dmarrage. Autorise lutilisateur spcifier le port et le taux en bauds du dbogage distance dune entre de dmarrage spcifie. Autorise lutilisateur ajouter des commutateurs prdfinis pour une entre de dmarrage spcifie. Autorise lutilisateur supprimer des commutateurs prdfinis pour une entre de dmarrage spcifie. Autorise lutilisateur configurer le dbogage du port 1394 pour une entre de dmarrage spcifie. Affiche cet cran daide. 27. Annexe I Liste alphabtique des commandes
Vous pouvez aussi configurer certaines options du menu Dmarrer (systme dexploitation par dfaut, dlai de slection) depuis linterface graphique ou en modifiant Boot.ini.
Pour cela : 1. Dans le Panneau de configuration, choisissez Systme/Avanc/Dmarrage et rcupration. 2. Slectionnez Paramtres et choisissez le systme dexploitation par dfaut. Modifiez le dlai de slection. 3. Cliquez sur Modifier pour diter Boot.ini.
27.3. C CACLS
Affiche ou modifie les listes de contrle daccs (ACL) des fichiers.
867
Chapitre 27
Syntaxe :
CACLS nom_fichier [/T] [/M] [/S[:SDDL]] [/E] [/C] [/G util:perm] [/R util [...]] [/P util:perm [...]] [/D util [...]] Affiche les listes ACL. Modifie les listes ACL des fichiers spcifis dans le rpertoire en cours et tous les sous-rpertoires. Modifie les listes ACL des volumes monts sur un rpertoire. Affiche la chane SDDL de la liste DACL. Remplace les listes ACL par celles spcifies dans SDDL (non valide avec /E, /G, /R, /P ou /D). Modifie la liste ACL au lieu de la remplacer. Continue en ignorant les erreurs daccs refus. Accorde lutilisateur les droits daccs. Perm peut tre : - R Lecture - W criture - C Modification (en criture) - F Contrle total. Retire les droits daccs de lutilisateur (avec /E). Remplace les droits de lutilisateur. Perm peut tre : - N Aucun - R Lecture - W criture C Modification (en criture) - F Contrle total. Refuse laccs lutilisateur spcifi. Des caractres gnriques peuvent tre utiliss pour prciser plusieurs fichiers dans une commande. Vous pouvez spcifier plus dun utilisateur dans une commande. Abrviations : Hritage de conteneur (Container Inherit). Les rpertoires hritent de lentre de contrle daccs. Hritage dobjet (Object Inherit). Les fichiers hritent de lentre de contrle daccs. Hritage uniquement (Inherit Only). Lentre de contrle daccs ne sapplique pas au fichier ou rpertoire en cours.
CI OI IO
cacls ne peut tre utilise pour crer des autorisations spciales, uniquement des autorisations standards. De ce point de vue, elle est moins fine que linterface graphique.
868
j j
cacls ne peut tre utilise pour dfinir des autorisations sur la racine dun volume NTFS mont sur un dossier dun volume NTFS diffrent.
Pour employer cacls dans un fichier de commande, vous devez fournir un moyen de rpondre automatiquement aux invites quelle peut gnrer. Puisque cacls na pas doption /y, utilisez la commande Echo afin denvoyer y comme rponse au message "tes-vous sr ?" que calcs pourrait gnrer : Echo y | cacls NomFichier /g NomUtilisateur:autorisation.
cacls est utile pour ajouter automatiquement le groupe Administrateurs aux ACL des rpertoires daccueil des utilisateurs. Consultez larticle Q180464 de la Base de connaissance sur Microsoft TechNet pour voir plusieurs scripts ralisant cette action.
CHKDSK
Vrifie un disque et affiche un rapport dtat.
Syntaxe :
volume nom_de _fichier /F /V
CHKDSK [volume[[chemin]nom_de_fichier]] [/F] [/V] [/R] [/B] [/L[:taille]] Spcifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. FAT/FAT32 seulement : Spcifie les fichiers dont la fragmentation est vrifier. Corrige les erreurs sur le disque. FAT/FAT32 : affiche les chemins daccs et nom complets de tous les fichiers du disque. Sur NTFS : affiche galement les ventuels messages de nettoyage. Localise les secteurs dfectueux et rcupre les informations lisibles (implique /F). NTFS seulement : change la taille du fichier journal en la valeur spcifie en kilo-octets. Si aucune taille nest donne, affiche la taille actuelle. Force le dmontage pralable du volume si ncessaire. Les handles ouverts vers le volume ne seront plus valides (implique /F). NTFS seulement : Vrifie sommairement les entres dindex.
/R /L:taille
/X /I
869
Chapitre 27
/C
NTFS seulement : Ignore la vrification des cycles lintrieur de larborescence de dossiers. Les options /I ou /C rduisent le temps dexcution de CHKDSK en ignorant certaines vrifications sur le volume. Vous devez tre membre du groupe Administrateur pour utiliser la commande
chkdsk.
j j j
Lexcution de chkdsk peut prendre plusieurs heures ou jours sur de trs gros volumes. Pour acclrer chkdsk, utilisez les options /i et /c qui neffectuent pas certaines vrifications sur le volume. Si vous choisissez de corriger avec CHKDSK /f, il existe une possibilit de perte de donnes (en particulier FAT). Cest pourquoi il vous est demand de confirmer si chkdsk doit effectuer ou non les modifications ncessaires la table dallocation des fichiers. Effectuez galement toujours une sauvegarde complte des volumes contenant des donnes importantes avant dexcuter chkdsk /f sur eux. Le fichier %systemRoot%\System32\ autochk.exe est requis par chkdsk pour son excution. Autochk crit un message dans le journal de lapplication pour chaque lecteur vrifi. Vous pouvez galement visiter les erreurs prsentes sur un disque depuis linterface graphique en utilisant le bouton Vrifier maintenant sous longlet Outils de la feuille de proprit dun disque.
chkdsk ne peut corriger les erreurs dans la table de fichiers matres (MFT, Master File Table) dun volume NTFS. Si vous avez un fichier ou un rpertoire que vous ne pouvez ouvrir, renommer, copier ou supprimer sur un volume NTFS, sauvegardez le volume sur une bande en omettant le fichier problme puis restaurez le volume.
j j j
CHKNTFS
Affiche ou modifie la vrification du disque au dmarrage.
Syntaxe :
CHKNTFS volume [...] CHKNTFS /D CHKNTFS /T[:dure] CHKNTFS /X volume [...] CHKNTFS /C volume [...]
volume
870
/D
Restaure le comportement par dfaut de lordinateur ; tous les lecteurs sont vrifis au dmarrage et CHKDSK est excut pour ceux dont lintgrit est incertaine. Indique la dure du compte rebours du dmarrage dAUTOCHK avec le temps spcifi en secondes. Si la dure nest pas spcifie, affiche le paramtre en cours. Exclut un lecteur de la vrification par dfaut au dmarrage. Les lecteurs exclus ne sont pas accumuls entre les appels de commande. Vrifie le lecteur spcifi au dmarrage ; CHKDSK sexcutera si lintgrit du lecteur est incertaine. Vous devez tre membre du groupe Administrateur pour utiliser la commande
chkntfs. chkntfs vrifie tous les volumes au dmarrage.
/T:dure
/X /C
j j j
Ne fixez pas la dure du compte rebours zro car la vrification du systme de fichiers peut tre trs longue et lutilisateur ne sera pas en mesure dannuler cette opration. (chkntsf ne peut tre stopp lorsque son excution est lance.)
CIPHER
Affiche ou modifie le cryptage de rpertoires (fichiers) sur partitions NTFS.
Syntaxe :
CIPHER [/E | /D] [/S:rpert] [/A] [/I] [/F] [/Q] [/H] [chemin [...]] CIPHER /K CIPHER /R:nom_fich CIPHER /U [/N] CIPHER /W:rpert CIPHER /X[:fich_EFS] [nom_fich]
/A
Traite les fichiers et les rpertoires. Un fichier crypt peut tre dcrypt sil est modifi et que le rpertoire parent nest pas crypt. Il est recommand de crypter le fichier et le rpertoire parent. Dcrypte les rpertoires spcifis. Les rpertoires sont marqus afin que les fichiers ajouts ultrieurement ne soient pas crypts.
/D
871
Chapitre 27
/E /F
Crypte les rpertoires spcifis. Les rpertoires sont marqus afin que les fichiers ajouts ultrieurement soient crypts. Force lopration de cryptage sur tous les objets spcifis, y compris ceux qui sont dj crypts. Les objets dj crypts sont ignors par dfaut. Affiche les fichiers avec lattribut cach ou systme. Ces fichiers sont exclus par dfaut. Poursuit lopration spcifie mme en cas derreur. Par dfaut, CIPHER sarrte lorsquune erreur se produit. Cre une nouvelle cl de cryptage de fichier pour lutilisateur excutant CIPHER. Si cette option est choisie, les autres options sont ignores. Cette option ne fonctionne quavec /U. Elle empche les cls dtre mises jour. Elle permet de trouver tous les fichiers crypts sur les lecteurs locaux. Signale uniquement les informations les plus importantes. Gnre une cl et un certificat dagent de rcupration EFS, et les enregistre dans un fichier .PFX (contenant la cl prive et le certificat) et dans un fichier .CER (ne contenant que le certificat). Un administrateur peut ajouter le contenu du fichier .CER la stratgie de rcupration EFS afin de crer un agent de rcupration pour les utilisateurs, et importer le fichier .PFX pour rcuprer des fichiers spcifiques. Effectue lopration spcifie sur le rpertoire donn et tous ses sous-rpertoires. Tente datteindre tous les fichiers crypts sur les lecteurs locaux. Cette option permet de mettre jour la cl de cryptage de fichier de lutilisateur ou la cl de lagent de rcupration avec les cls en cours si elles ont t modifies. Cette option ne fonctionne pas avec les autres options lexception de /N. Supprime les donnes de lespace disque inutilis sur tout le volume. Si cette option est slectionne, les autres options sont ignores. Le rpertoire spcifi peut se trouver nimporte o dans un volume local. Sil sagit dun ou de plusieurs points de montage vers un rpertoire sur un autre volume, les donnes sur ce volume seront supprimes.
/N
/Q /R
/S /U
/W
872
/X
Sauvegarde le certificat et les cls EFS dans nom_fichier. Si fichier_EFS est fourni, les certificats utilisateur actuels employs pour crypter le fichier seront sauvegards. Sinon, le certificat et les cls EFS actuels de lutilisateur seront sauvegards. Le chemin daccs dun rpertoire. Un nom de fichier sans son extension. Spcifie un motif, un fichier ou un rpertoire. Le chemin daccs dun fichier crypt. 27. Annexe I Liste alphabtique des commandes
Les caractres gnriques sont utilisables avec les fichiers, mais pas avec les rpertoires. Vous ne pouvez pas chiffrer les fichiers systme ou compresss.
CLIP
(Nouvelle commande sous Windows Server 2003). Redirige la sortie des outils de ligne de commandes vers le Presse-papiers. Ce texte peut ensuite tre coll dans dautres programmes. Exemples : DIR | CLIP CLIP < README .TXT Copie le contenu du rpertoire en cours dans le Presse-papiers Windows. Copie le contenu du fichier readme.txt dans le Presse-papiers Windows.
CMD
Dmarre une nouvelle instance de linterprteur de commandes de Windows.
Syntaxe :
/C
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF] [[/S] [/C | /K] chane] Excute la commande donne par la chane de caractres puis se termine.
873
Chapitre 27
/K /S /Q /D /A 27. Annexe I Liste alphabtique des commandes /U /T:fg /E:ON /E:OFF /F:ON /F:OFF /V:ON
Excute la commande donne par la chane de caractres puis reste actif. Modifie le traitement de la chane aprs /C ou /K (voir ci-aprs). Excute (sans interactions) la commande donne puis reste actif. Dsactive lexcution dAutoRun partir du Registre (voir ci-aprs). Redirige la sortie de commandes internes vers un canal ou un fichier ANSI. Redirige la sortie de commandes internes vers un canal ou un fichier Unicode. Change la couleur du premier ou de larrire-plan (voir aussi COLOR /?). Active les extensions de commande (voir ci-aprs). Dsactive les extensions de commande (voir ci-aprs). Active les caractres de fin des noms de fichiers et de rpertoires (voir ci-aprs). Dsactive les caractres de fin des noms de fichiers et de rpertoires (voir ci-aprs). Active lexpansion retarde des variables denvironnement en utilisant ! comme dlimitation. Par exemple, /V:ON permet !var! de dvelopper la variable var lexcution. La syntaxe var dveloppe les variables lorsquelles sont entres, ce qui est diffrent lorsquil est utilis lintrieur dune boucle FOR. Dsactive lexpansion retarde des variables denvironnement.
/V:OFF
j j j
Utilisez les guillemets pour entourer les commandes contenant des espaces. Utilisez $$ pour sparer de multiples commandes entoures de guillemets au sein dune ligne de commandes.
/x est identique /e :on et /y est identique /e :off, pour des raisons de compatibilit avec linterprteur de commandes de Windows NT.
874
Linstallation de nouveaux composants du systme dexploitation ou de nouvelles applications peut crer des variables denvironnement supplmentaires ou modifier celles existantes, comme PATH.
CMDKEY
(Nouvelle commande sous Windows Server 2003). Cre, affiche et supprime les noms et mots de passe utilisateur enregistrs. 27. Annexe I Liste alphabtique des commandes
Syntaxe :
Quelques exemples
j
j j
Pour crer des informations didentification gnriques, le commutateur /add peut tre remplac par /generic. Pour supprimer des informations didentification existantes :
cmdkey /delete:nom_cible
Vous pouvez galement grer les informations didentification enregistres depuis linterface graphique laide de lutilitaire Noms et Mots de passe utilisateurs enregistr du Panneau de configuration.
875
Chapitre 27
CSVDE
change dannuaires CSV. i f NomFichier s NomServeur 27. Annexe I Liste alphabtique des commandes v c NDsrc NDcib j Chemin t Port u d NDracine r Filtre p tendueRech l liste o liste g m n k Active limportation (lexportation est active par dfaut). Nom de fichier dentre ou de sortie. Serveur avec lequel effectuer la liaison (par dfaut, le contrleur de domaine du domaine de lordinateur). Affiche les commentaires. Remplace les occurrences de NDsrc par NDcib. Emplacement du fichier journal. Numro de port (par dfaut = 389). Utilise le format Unicode. Racine de la recherche LDAP (utilise le contexte de nommage par dfaut). Filtre de recherche LDAP (par dfaut, "(objectClass=*)"). tendue de recherche (Base/Un niveau/Sous-arborescence). Liste dattributs (spare par des virgules) rechercher lors dune recherche LDAP. Liste dattributs (spare par des virgules) omettre de lentre. Dsactive la recherche pagine. Active la logique SAM pour lexportation. Nexporte pas les valeurs binaires. Ignore les erreurs Non-respect de contrainte et Objet existant lors de limportation. Si aucune information didentification nest spcifie, csvde tablira la liaison en tant quutilisateur actuellement connect, en employant SSPI.
876
csvde est utilis pour crer de multiples comptes utilisateurs. Pour cela :
Le fichier csv que vous importez doit contenir une premire ligne, appele "ligne dattribut" qui spcifie le nom de chaque attribut dfini dans le fichier. Il doit contenir une ligne supplmentaire pour chaque compte dutilisateur que vous souhaitez crer. Les attributs de cette ligne correspondront ceux de la ligne dattributs (la premire ligne). Utilisez les guillemets pour inclure des valeurs prsentant des virgules. Il doit contenir le chemin du compte utilisateur dans Active Directory, le type dobjet et le nom douverture de session utilisateur (antrieur Windows 2000/ 2003) pour chaque utilisateur. Il doit contenir le nom dutilisateur principal (UPN) pour chaque utilisateur. Il doit spcifier si le compte est activ ou dsactiv (par dfaut activ). Il peut inclure toute information personnelle qui est un attribut dun compte dutilisateur, comme une adresse ou un numro de tlphone.
j
Les mots de passe ne sont pas inclus dans les fichiers de csvde car ce sont des fichiers texte (fichiers .csv) et ils ne sont donc pas scuriss. csvde cre de nouveaux comptes dutilisateurs et leur attribue un mot de passe vide. Cest pourquoi il est prfrable que ces comptes soient dsactivs leur cration car nimporte qui peut ouvrir une session en utilisant des comptes dont le mot de passe est vide.
csvde ne peut tre utilis que pour ajouter des objets Active Directory ; elle ne peut modifier ou supprimer des objets existants.
j j
Microsoft Excel est un bon outil pour la cration de fichiers csvde car il peut exporter ces derniers au format de donnes csv.
27.4. D DATE
Affiche ou modifie la date.
Syntaxe :
DATE [date]
Entrez DATE sans paramtres pour afficher la date systme et tre invit la modifier. Appuyez sur [] pour conserver la mme date.
877
Chapitre 27
Si les extensions de commandes sont actives, la commande DATE prend en charge le commutateur /T ; la commande nindique que la date, sans demander den entrer une nouvelle.
j
DCGPOFIX
27. Annexe I Liste alphabtique des commandes Recre les objets de stratgie de groupe par dfaut dun domaine.
Syntaxe :
/target: {Domain | DC | BOTH}
Facultatif. Spcifie lobjet de stratgie de groupe restaurer : lobjet de stratgie de groupe de la stratgie de domaine par dfaut et/ou lobjet de stratgie de groupe de la stratgie par dfaut des contrleurs de domaine. Facultatif. Utilisez ce commutateur pour que cet outil ignore la version de schma Active Directory. Sinon, cet outil fonctionnera uniquement sur la mme version de schma que la version Windows dans laquelle il a t fourni.
/ignoreschema
j j
Lorsque vous excutez dcgpofix, vous perdez toutes les modifications effectues aux objets de stratgies de groupes. Loption /ignore schma permet dcgpofix de fonctionner avec des versions diffrentes dActive Directory, mais assurez-vous dutiliser la version de dcgpofix incluse avec votre version courante dActive Directory.
DEFRAG
(Nouvelle commande sous Windows Server2003) Dfragmente le volume.
Syntaxe :
volume a
defrag <volume> [a] [f] [v] [?] Lettre de lecteur ou d:\vol\mountpoint). Analyse uniquement. point de montage (d: ou
878
f v
j j
Force la dfragmentation mme si lespace libre est bas. Sortie dtaille. Il nest pas possible dexcuter en mme temps la commande defrag et lutilitaire Dfragmenteur de disques dans la Gestion de lordinateur. Un minimum de 15 % despace libre sur les volumes est requis pour les dfragmenter totalement. Si vous forcez la dfragmentation alors que lespace libre nest pas suffisant, la dfragmentation est souvent partielle. Pour arrter le processus de dfragmentation, appuyez sur [Ctrl]+[C]. 27. Annexe I Liste alphabtique des commandes
DFSCMD
DFSCMD configure une arborescence DFS.
Syntaxe :
/map \\nom_dfs \partage_dfs \chemin \ \srv\partage\ chemin [commentaire] [/restore]
DFSCMD [options]
Crer un volume DFS. Mapper un chemin daccs DFS un chemin daccs de serveur. Avec loption /restore, ne vrifie pas le serveur de destination.
/unmap \\nom_dfs \partage_dfs \chemin Supprimer un volume DFS. Supprimer tous ses rplicas. /add \\nom_dfs \partage_dfs \chemin \\serveur \partage\chemin [/restore] Ajouter un rplica un volume DFS. Avec /restore, ne vrifie pas le serveur de destination. /remove \\nom _dfs\partage _dfs\chemin \\ serveur\partage \chemin
879
Chapitre 27
/view \\nom_dfs \partage_dfs [/partial | /full | /batch || /batchrestore] Afficher tous les volumes du systme DFS. Sans arguments, affiche seulement les noms de volumes. Avec loption /partial, affiche galement les commentaires. Avec loption /full, affiche la liste des serveurs dun volume. Avec /batch, cre un fichier batch permettant de recrer le DFS. Avec /batchrestore, cre un fichier batch permettant de recrer le DFS laide de loption /restore. /move \\nom_dfs\ partage_dfs \chemin1 \\nom _dfs\partage _dfs\chemin2 [/force] Dplacer un dossier situ dans le DFS vers un autre chemin daccs logique. Si loption /force est utilise, les liens existants sont remplacs si ncessaire. Les chemins daccs et les commentaires contenant des espaces doivent tre placs entre guillemets.
j
La commande dfscmd peut grer des arborescences DFS existantes (de domaine ou autonomes) mais elle ne peut tre utilise pour en crer de nouvelles. Vous devez utiliser la console Systme de fichiers distribus pour crer une nouvelle arborescence dfs en dfinissant une nouvelle racine dfs. Les chemins qui contiennent des espaces doivent tre placs entre guillemets.
DISKPART
(Nouvelle commande sous Windows Server 2003). Permet de manipuler un espace disque.
Syntaxe :
/s <script> ADD ACTIVE
diskpart [/s <script>] [options] Utilise un script. Ajoute un miroir un volume simple. Indique la partition de base actuelle comme tant active.
880
ASSIGN AUTOMOUNT BREAK CLEAN CONVERT CREATE DELETE DETAIL ATTRIBUTES EXIT EXTEND GPT HELP IMPORT INACTIVE LIST ONLINE REM REMOVE REPAIR RESCAN RETAIN SELECT
j
Assigne une lettre de lecteur ou un point de montage au volume slectionn. Active et dsactive le montage automatique des volumes de base. Dtruit un jeu de miroir. Efface les informations de configuration ou toutes les informations du disque. Convertit diffrents formats de disque. Cre un volume ou une partition. Supprime un objet. Fournit des dtails concernant un objet. Manipule les attributs de volume. Quitte DiskPart. tend un volume. Assigne des attributs la partition GPT slectionne. Imprime une liste de commandes. Importe un groupe de disques. Marque la partition de base actuelle comme inactive. Imprime une liste des objets. Indique en ligne un disque actuellement indiqu hors ligne. Ne fait rien. Utilis pour commenter des scripts. Supprime une lettre de lecteur ou lassignation un point de montage. Rpare un volume RAID-5 avec un membre dfectueux. Analyse nouveau lordinateur la recherche de disques et de volumes. Place une partition nominale sous un volume simple. Dplace le focus vers un objet. 27. Annexe I Liste alphabtique des commandes 881
Lorsque des commandes diskpart sont excutes depuis un script, il est possible de rediriger la sortie vers un fichier texte afin de consulter ce dernier ultrieurement :
Chapitre 27
Si vous utilisez plusieurs scripts avec diskpart dans un fichier de commandes, ajoutez TimeOut /t 15 avant chaque commande diskpart /s script afin dtre certain que les premires tches sont termines avant que les suivantes ne commencent. Si une erreur se produit pendant lexcution dune commande diskpart, la tche sarrte et un code derreur est affich. Si vous ajoutez loption noerr la commande, celle-ci est traite comme si aucune erreur ne stait produite. En voici les codes : 0 : pas derreur, le script sest excut avec succs. 1 : exception fatale. 2 : paramtres incorrects pour la commande diskpart. 3 : impossible douvrir les scripts ou le fichier de sortie spcifis. 4 : un service a renvoy une erreur. 5 : syntaxe de la commande invalide.
DSGET
(Nouvelle commande sous Windows Server 2003). Les commandes de cet outil affichent les proprits slectionnes dun objet spcifique de lannuaire.
Syntaxe :
dsget computer dsget contact dsget subnet dsget group dsget ou dsget server dsget site dsget user dsget quota
dsget <option> Affiche les proprits des ordinateurs dans lannuaire. Affiche les proprits des contacts dans lannuaire. Affiche les proprits des sous-rseaux dans lannuaire. Affiche les proprits des groupes dans lannuaire. Affiche les proprits des units dorganisation dans lannuaire. Affiche les proprits des serveurs dans lannuaire. Affiche les proprits des sites dans lannuaire. Affiche les proprits des utilisateurs dans lannuaire. Affiche les proprits des quotas dans lannuaire.
882
dsget partition
DSMOVE
(Nouvelle commande sous Windows Server 2003). Cette commande dplace ou renomme un objet au sein de lannuaire.
Syntaxe :
dsmove <DN_Objet> [newparent <DN_Parent>] [newname <Nouveau_Nom>] [{s <Serveur> | d <Domaine>}] [u <Nom_Utilisateur>] [p {<Mot_de_passe> | *}] [q] [{uc | uco | uci}] Requis/stdin. Nom unique (DN) de lobjet dplacer ou renommer. Si ce paramtre est omis, il est lu partir de lentre standard (stdin). DN de lemplacement du nouveau parent vers lequel lobjet doit tre dplac. Nouvelle valeur de nom unique relatif (RDN) sous laquelle lobjet doit tre renomm. s <Serveur> se connecte au contrleur de domaine (DC) sous le nom <Serveur>. d <Domaine> se connecte un contrleur de domaine dans le domaine <Domaine>. Par dfaut, un contrleur de domaine du domaine de connexion. Se connecte en tant que <Nom_Utilisateur>. Par dfaut : lutilisateur connect. Un nom dutilisateur peut tre : un nom dutilisateur, domaine\nom_utilisateur, ou un nom dutilisateur principal (UPN). Mot de passe de lutilisateur <Nom_Utilisateur>. Si * est utilis, un mot de passe est demand. Mode silencieux : supprime tout affichage sur la sortie standard.
<DN_Objet>
u <Nom _Utilisateur>
p <Mot_de _passe> q
883
Chapitre 27
uc indique que lentre partir du pipe ou la sortie vers le pipe est au format Unicode. uco indique que la sortie vers le pipe ou le fichier est au format Unicode. uci indique que lentre partir du pipe ou du fichier est au format Unicode.
j j
Vous pouvez dplacer et renommer un objet en une seule tape en utilisant les options newparent et newname.
dsmove peut dplacer des objets uniquement au sein dun domaine. Pour dplacer des objets entre des domaines, employez lutilitaire MoveTreee qui se trouve sur le CD-Rom du produit.
DSQUERY
(Nouvelle commande sous Windows Server 200). Lensemble de commandes de cet outil vous permet deffectuer des requtes sur lannuaire selon des critres spcifis. Chacune des commandes dsquery suivantes permet de rechercher des objets dun type spcifique, lexception de la commande dsquery *, qui permet deffectuer des requtes pour nimporte quel type dobjet. dsquery computer recherche des ordinateurs dans lannuaire. dsquery contact dsquery subnet dsquery group dsquery ou dsquery site dsquery server dsquery user dsquery quota recherche des contacts dans lannuaire. recherche des sous-rseaux dans lannuaire. recherche des groupes dans lannuaire. recherche des units dorganisation dans lannuaire. recherche des sites dans lannuaire. recherche des contrleurs de domaine dans lannuaire. recherche des utilisateurs dans lannuaire. recherche les spcifications de quotas dans lannuaire.
dsquery partition recherche les partitions dans lannuaire. dsquery * recherche nimporte quel objet dans lannuaire laide dune requte LDAP gnrique.
884
27.5. E EVENTQUERY
(Nouvelle commande sous Windows Server 2003). Rpertorie les vnements et les proprits dvnements dans un ou plusieurs journaux 27. Annexe I Liste alphabtique des commandes
Syntaxe :
eventquery[.vbs] [/s Ordinateur [/u Domaine\Utilisateur [/p MotDePasse]]] [/fi NomFiltre] [/fo {TABLE | LIST | CSV}] [/r Plagevnement [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDfini ParUtilisateur] [NomJournalRpertoire] [*] ] Spcifie le nom ou ladresse IP dun ordinateur distant (nutilisez pas de barres obliques inverses). Il sagit par dfaut de lordinateur local. Excute le script avec les autorisations de compte de lutilisateur spcifi par Utilisateur ou Domaine \Utilisateur. Il sagit par dfaut des autorisations de lutilisateur actuellement connect sur lordinateur o est mise la commande. Spcifie le mot de passe du compte dutilisateur spcifi par le paramtre /u. Spcifie les types dvnements inclure ou exclure de la requte Spcifie le format utiliser pour la sortie. Les valeurs valides sont table, list et csv. Spcifie la plage dvnements rpertorier. Supprime les en-ttes de colonnes dans la sortie. Valide uniquement pour les formats table et csv. Spcifie laffichage des commentaires sur les vnements dans la sortie.
/s Ordinateur
/u Domaine\ Utilisateur
/p MotDePasse /fi NomFiltre /fo {TABLE | LIST | CSV} /r Plage vnement /nh /v
885
Chapitre 27
/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [JournalDfini ParUtilisateur] [NomJournal Rpertoire] [*] Spcifie le ou les journaux surveiller. Les valeurs valides sont Application, System, Security, "DNS server", un journal dfini par lutilisateur et un journal de rpertoire. "DNS server" peut tre utilis uniquement si le service DNS est excut sur lordinateur spcifi par le paramtre /s. Pour spcifier plusieurs journaux surveiller, utilisez nouveau le paramtre /l. Le caractre gnrique (*) peut tre utilis et est la valeur par dfaut.
j
Cette commande est un script .vbs et a besoin de CScript pour sexcuter. Voici comment faire de Cscript votre environnement de script par dfaut : cscript \\h: cscript \\.
27.6. F FINGER
Affiche des informations sur un ou plusieurs utilisateurs sur un ordinateur distant spcifi (gnralement un ordinateur sous Unix) qui excute le service Finger ou dmon. Lordinateur distant spcifie le format et la sortie de laffichage des informations de lutilisateur. Utilis sans paramtres, finger affiche des informations daide.
Syntaxe :
l Utilisateur
finger [l] [Utilisateur] [@Hte] Affiche les informations utilisateur sous forme de liste longue. Spcifie lutilisateur sur lequel vous voulez des informations. Si vous omettez le paramtre Utilisateur, finger affiche des informations sur tous les utilisateurs de lordinateur spcifi. Spcifie lordinateur distant excutant le service Finger dans lequel vous recherchez des informations utilisateur. Vous pouvez spcifier un nom ou une adresse IP dordinateur.
@Hte
886
La machine distante doit excuter le dmon ou le service Finger. Si ce nest pas le cas, vous recevez un message "Connexion refus" en rponse la commande finger. Windows Server 2003 ninclut pas de service Finger ; uniquement un client en ligne finger.
FORMAT
Formate un disque utilisable avec Windows. 27. Annexe I Liste alphabtique des commandes
Syntaxe :
FORMAT volume [/FS:sys_fich] [/V:nom_volume] [/Q] [/A:taille] [/C] [/X] FORMAT volume [/V:nom_volume] [/Q] [/F:taille] FORMAT volume [/V:nom_volume][/Q][/T:pistes /N:secteurs] FORMAT volume [/V:nom_volume][/Q] FORMAT volume [/Q]
volume /FS:sys_fich
Spcifie la lettre de lecteur (suivie de deux-points), le point de montage ou le nom de volume. Spcifie le type de systme de fichiers (FAT, FAT32 ou NTFS).
/V:nom_de_volume Spcifie le nom de volume. /Q /C /X /A:taille Effectue un formatage rapide. NTFS uniquement. Les fichiers crs sur le nouveau volume seront compresss par dfaut. Force le volume tre dmont dabord si ncessaire. Tous les descripteurs ouverts sur le volume ne seront plus valides. Remplace la taille dunit dallocation par dfaut. Les paramtres par dfaut sont trs fortement recommands dans le cas gnral. NTFS gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. FAT gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko (128 ko, 256 ko pour taille de secteur > 512 octets). FAT32 gre 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. (128 ko, 256 ko pour taille de secteur > 512 octets). Les systmes de fichiers FAT et FAT32 imposent les restrictions suivantes sur le nombre de clusters par volume : FAT : nombre de clusters <= 65 526 FAT32 : 65 526 < nombre de clusters < 4 177 918. Le formatage cessera immdiatement sil est jug que ces conditions ne peuvent pas tre remplies en utilisant la taille de
887
Chapitre 27
clusters spcifie. La compression NTFS nest pas prise en charge pour les tailles dunits dallocation suprieures 4096. /F:taille /T:pistes /N:secteurs Spcifie la taille de la disquette formater (1,44). Spcifie le nombre de pistes par face de disque. Spcifie le nombre de secteurs par piste.
Lorsque format est utilis avec la console de rcupration, seules les options /fs et /q sont disponibles. 27. Annexe I Liste alphabtique des commandes
FREEDISK
Cet outil vrifie si la quantit spcifie despace libre est disponible sur le lecteur spcifi. Renvoie 0 si lespace est disponible et 1 si lespace nest pas disponible. Lorsquune valeur nest pas spcifie, lespace libre disponible est affich. La valeur par dfaut est le lecteur ou le volume en cours.
Syntaxe :
/S systme /U [domaine\] utilisateur /P [mot_de _passe] /D lecteur/ volume
FREEDISK [/S systme [/U utilisateur [/P [mot_de_passe]]]] [/D lecteur/volume] [valeur] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter. Spcifie le mot de passe du contexte utilisateur donn. Il est demand sil est omis. Spcifie le lecteur ou le volume pour lequel la disponibilit despace libre doit tre connue. Cette option doit tre spcifie pour un systme distant. Spcifie la quantit despace libre en octets. Elle peut tre spcifie en kilo-octets, en mgaoctets, en gigaoctets, en traoctets, Po, Eo, Zo et Yo.
<valeur>
Lors de linstallation sans assistance, utilisez freedisk dans un fichier de commandes pour vrifier si lespace libre est suffisant pour la suite de linstallation.
888
FTP
Transfre des fichiers vers et depuis un ordinateur excutant un service de serveur FTP (File Transfer Protocol) tel que les services Internet (IIS). Ftp peut tre utilise de manire interactive ou en mode Batch, en traitant des fichiers texte ASCII.
Syntaxe :
v d i n g
ftp [v] [d] [i] [n] [g] [s:Nom_Fichier] [a] [w:Taille_Tampon] [A] [Hte] Supprime laffichage des rponses du serveur FTP. 27. Annexe I Liste alphabtique des commandes Active le dbogage, en affichant toutes les commandes transmises entre le client FTP et le serveur FTP. Dsactive les messages interactifs lors des transferts de fichiers multiples. Supprime la possibilit douvrir automatiquement une session une fois la connexion initiale tablie. Dsactive la globalisation des noms de fichiers. Glob permet lutilisation de lastrisque (*) et du point dinterrogation (?) comme caractres gnriques dans les noms de fichiers et les chemins daccs. Pour plus dinformations, consultez Rubriques connexes. Spcifie un fichier texte contenant des commandes FTP. Ces commandes sexcutent automatiquement aprs le dmarrage de FTP. Ce paramtre nadmet aucun espace. Utilisez ce paramtre au lieu du symbole de redirection (<). Spcifie que nimporte quelle interface locale peut tre utilise lors de la liaison de la connexion de donnes FTP.
s:Nom_Fichier
w:Taille_Tampon Spcifie la taille du tampon de transfert. La taille de tampon par dfaut est de 4096 octets. A Hte Ouvre une session sur le serveur FTP en tant que session anonyme. Spcifie le nom dordinateur, ladresse IP ou ladresse IPv6 du serveur FTP auquel vous souhaitez vous connecter. Sil est spcifi, le nom ou ladresse de lhte doit tre le dernier paramtre de la ligne.
La commande ftp est un client par opposition au service ou au dmon FTP qui rside sur le serveur.
889
Chapitre 27
Windows Server 2003 propose Service de publication FTP avec IIS (Internet Information Service). Par dfaut, le rpertoire daccueil ou racine de ce service correspond au rpertoire C:\Inetpub\ftproot sur le serveur. FTP est non scuris car il transmet les mots de passe en clair.
Pour utiliser FTP dans un fichier de commandes : 1. Effectuez une session FTP interactive et copiez-la dans lditeur de texte comme le Bloc-notes. 27. Annexe I Liste alphabtique des commandes 2. Enlevez les rponses ; pour ne laisser que la commande. 3. Utilisez loption S pour excuter le fichier de commandes avec FTP.
27.7. G GETMAC
Cet outil permet un administrateur dafficher ladresse MAC des cartes rseau dun ordinateur.
Syntaxe :
/S systme /U [domaine\] utilisateur
GETMAC [/S systme [/U nom_utilisateur [/P [mot_de_passe]]]] [/FO format] [/NH] [/V] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
GPRESULT
(Nouvelle commande sous Windows Server 2003). Cet outil de ligne de commandes affiche le jeu de stratgies rsultantes (RSoP). Information pour ordinateurs et utilisateurs cibles.
Syntaxe :
/S systme
GPRESULT [/S systme [/U utilisateur [/P mot_de_passe]]]] [/SCOPE tendue] [/USER utilisateur_cible] [/V | /Z] Spcifie le systme distant auquel se connecter.
890
/U [domaine\] utilisateur
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. /SCOPE tendue Prcise si les paramtres de lordinateur doivent tre affichs. Valeurs autorises : USER, COMPUTER.
/USER [domaine\] utilisateur Spcifie le nom dutilisateur pour lequel les donnes RSOP sont affiches. /V Indique que les informations dtailles doivent tre affiches. Ces informations prsentent dautres paramtres dtaills qui ont t appliqus avec une priorit de 1. Spcifie que les informations extrmement dtailles doivent tre affiches. Ces informations prsentent dautres paramtres dtaills qui ont t appliqus avec une priorit de 1 et plus. Ceci vous permet de savoir si un paramtre a t appliqu en plusieurs endroits. Consultez laide en ligne des stratgies de groupe pour plus de dtails.
/Z
Si vous excutez GPRESULT sans paramtres, il renvoie les donnes RSoP de lutilisateur en session sur lordinateur excutant le programme.
GPUPDATE
(Nouvelle commande sous Windows Server 2003). Actualise les paramtres des stratgies de groupe.
Syntaxe :
/Target : {Ordinateur | Utilisateur}
Spcifie que les paramtres de stratgie utilisateur uniquement ou les paramtres de stratgie ordinateur uniquement sont actualiss. Par dfaut, les paramtres des stratgies utilisateur et ordinateur sont actualiss tous les deux.
891
Chapitre 27
/Force
Applique nouveau tous les paramtres de stratgie. Par dfaut, seuls les paramtres de stratgie ayant t modifis sont appliqus.
/Wait : {valeur} Dfinit le nombre de secondes dattente afin que le processus de stratgie soit termin. Par dfaut : 600 secondes. La valeur "0" signifie "Aucune attente". La valeur "1" signifie "Indtermin". Lorsque lune de ces limites de temps est dpasse, lInvite de commandes revient mais le traitement de la stratgie continue. /Logoff 27. Annexe I Liste alphabtique des commandes Provoque la fermeture de session suite lactualisation du paramtrage de la stratgie de groupe. Ceci est ncessaire pour les extensions ct client de la stratgie de groupe qui ne traitent pas la stratgie par un cycle dactualisation larrire-plan, mais au moment o lutilisateur ouvre une session. Les exemples incluent linstallation du logiciel cibl sur lutilisateur et la redirection de dossier. Cette option na pas deffet sil ny a pas dextensions appeles ncessitant une fermeture de session. Provoque un redmarrage aprs lactualisation des paramtres de la stratgie de groupe. Cela nest pas demand pour les extensions ct client de la stratgie de groupe qui traitent la stratgie dans un cycle dactualisation en arrire-plan mais pour celles qui traitent la stratgie au dmarrage de lordinateur. Les exemples contiennent linstallation du logiciel. Cette option na pas de consquence sil ny a pas dextension appele redmarrer. Provoque la synchronisation de lapplication suivante de la stratgie en arrire-plan. Les applications de stratgie larrire-plan surviennent au dmarrage de lordinateur et louverture de session de lutilisateur. Vous pouvez lindiquer pour lutilisateur, lordinateur ou les deux en employant le paramtre /Target. Les paramtres /Force et /Wait seront ignors si spcifi.
/Boot
/Sync
j j
Cette commande peut actualiser les paramtres de la stratgie de groupe sur des ordinateurs autonomes ou dans Active Directory. La commande gpudate remplace la commande secedit /refreshpolicy.
892
27.8. L LDIFDE
change de rpertoires LDIF.
Syntaxe :
i f NomFichier s NomServeur c NDsrc NDcib v j Chemin t Port u w timeout
ldifde [options] 27. Annexe I Liste alphabtique des commandes Active limportation (lexportation est active par dfaut). Nom de fichier dentre ou de sortie. Serveur avec lequel effectuer la liaison (par dfaut, le contrleur de domaine du domaine de lordinateur). Remplace les occurrences de NDsrc par NDcib. Affiche les commentaires. Emplacement du fichier journal. Numro de port (par dfaut = 389). Utilise le format Unicode. Termine lexcution si le serveur prend plus de temps que le nombre de secondes spcifies pour rpondre lopration (par dfaut = aucun dlai dexpiration spcifi). Active le cryptage de la couche SASL. Racine de la recherche LDAP (utilise le contexte dattribution de nom par dfaut). Filtre de recherche LDAP (par dfaut(objectClass=*)). tendue de recherche arborescence). (Base/Un niveau/Sous
Liste dattributs (spare par virgules) rechercher lors dune recherche LDAP. Liste dattributs (spare par virgules) omettre de lentre. Dsactive la recherche pagine. Active la logique SAM pour lexportation.
893
Chapitre 27
Nexporte pas les valeurs binaires. Ignore les erreurs "Non-respect de contrainte" et "Objet existant" lors de limportation. Limportation utilisera lcriture diffre pour des performances accrues (activ par dfaut). Limportation nutilise pas lcriture diffre. Limportation utilise le nombre de threads spcifi (1 par dfaut). Si aucune information didentification nest spcifie, LDIFDS tablira la liaison en tant quutilisateur actuellement connect en employant SSPI.
a DN_utilisateur [Mot_de_passe | *] Authentification simple. b Nom_ utilisateur Domaine [Mot_de _passe | *] Mthode de liaison SSPI.
j j
Contrairement csvde, qui peut uniquement ajouter de nouveaux objets Active Directory, ldifde permet den ajouter, sans en supprimer, ou de les modifier. Si un attribut nest pas spcifi dans le fichier LDFIF, utilisez FILL SEP comme valeur pour lattribut.
LPQ
Affiche ltat dune file dattente lpd distante.
Syntaxe :
S Serveur P Imprimante I
j
lpq S Serveur P Imprimante [I] Nom ou adresse IP de lhte fournissant le service lpd. Nom de la file dattente dimpression. Commentaires.
Lpq peut galement interroger des serveurs non LPD (par exemple des serveurs dimpression Microsoft Windows). Cependant, elle ne vous permet pas denvoyer des travaux ces serveurs dimpression.
Voici comment interroger la file dattente dimpression TPC/IP de la machine locale : Lpq S localhost P NomImprimante.
894
LPR
Envoie un travail dimpression vers une imprimante du rseau.
Syntaxe :
S Serveur P Imprimante C Classe J Travail o Option
lpr S Serveur P Imprimante [C Classe] [J Travail] [o Option] [x] [d] nom du fichier Nom ou adresse IP de lhte fournissant le service lpd. Nom de la file dattente dimpression. 27. Annexe I Liste alphabtique des commandes Classification du travail pour utilisation sur la page de salve. Nom du travail imprimer sur la page de salve. Indique le type de fichier (suppose par dfaut que cest un fichier texte). Utilisez o l pour les fichiers binaires (par exemple Postscript). Compatibilit avec SunOS 4.1.x et versions antrieures. Envoyer dabord le fichier de donnes.
x d
27.9. M MOUNTVOL
Cre, supprime ou liste un point de montage du volume.
Syntaxe :
de Nom_volume /D /L /P
Chemin Nom_volume /D
Spcifie le rpertoire NTFS existant dans lequel le point de montage rsidera. Spcifie le nom du volume cible du point de montage. Supprime le point de montage du volume du rpertoire spcifi.
895
Chapitre 27
/L /P
Liste le nom de volume mont pour le rpertoire spcifi. Supprime le point de montage du volume du rpertoire spcifi, dmonte le volume et le rend non montable. Vous pouvez rendre montable le volume en crant un nouveau point de montage de volume. Supprime les paramtres du Registre pour les volumes non lists ci-aprs. Dsactive le montage automatique de nouveaux volumes. Active le montage automatique de nouveaux volumes. Vous pouvez galement crer des points de montage laide de la Gestion de disques. Les points de montages peuvent tre utiliss lorsque vous ne disposez plus daucune lettre de lecteur pour les volumes locaux et pour augmenter lespace sur un volume sans avoir le reformater ou remplacer le disque dur (ajoutez simplement un chemin de montage vers un autre volume). Vous pouvez galement utiliser un volume avec plusieurs chemins de montage afin dobtenir un accs tous vos volumes locaux par le biais dune seule lettre de lecteur. Ne supprimez pas un point de montage avec lExploreur Windows ou del /s car cela supprime le rpertoire cible et tous ces sous-rpertoires. la place, utilisez mountvol /d.
27.10. N NET
ACCOUNTS, COMPUTER, CONFIG, CONTINUE, FILE, GROUP, HELPMSG, LOCALGROUP, NAME, PAUSE, PRINT, SEND, SESSION, SHARE, START, STATISTICS, STOP, TIME, USE, USER, VIEW.
j
Pour voir la syntaxe dune commande net depuis la ligne de commandes, entrez net help suivi de loption qui dfinit la commande. Par exemple, pour connatre la syntaxe de net account, entrez net help account. Toutes les commandes net acceptent galement les options suivantes : /y rpond automatiquement par oui toutes les invites gnres par la commande (utile dans les fichiers de traitement par lots). /n rpond automatiquement par non toutes les invites.
896
NET CONFIG
Configure les services Serveur et Station de travail.
Syntaxe :
Pour configurer les services Serveur et Station de travail, consultez net config
serveur et netconfig workstation.
Syntaxe :
j j
Les modifications apportes par cette commande prennent effet immdiatement et sont permanentes. Il est prfrable de modifier les paramtres du service Serveur en modifiant directement le Registre au lieu dutiliser cette commande avec mimporte laquelle de ces trois options. Cette commande enregistre en effet de faon permanente les paramtres courants du service Serveur dans le Registre et dsactive lajustement automatique de ce service. Lajustement automatique est un mcanisme grce auquel Windows Server 2003 essaie de maintenir des performances optimales pour le service Serveur. Par exemple, si vous ajoutez de la mmoire votre serveur aprs avoir excut net config server /autosiconnect :5, Windows Server 2003 ne sera pas en mesure de se configurer automatiquement afin deffectuer la meilleure utilisation de la mmoire supplmentaire. Cependant, lutilisation de net config server sans autre paramtre na pas cet effet ngatif. Pour savoir comment annuler ce problme sil devait arriver, consultez larticle 128167 de la Base de connaissances. Pour configurer le service Station de travail, utilisez net config workstation.
897
Chapitre 27
Syntaxe :
j j
Les modifications apportes prennent effet immdiatement et sont permanentes. Pour configurer le service Serveur, utilisez net config server.
NET GROUP
27. Annexe I Liste alphabtique des commandes Cette commande permet de configurer des groupes
Syntaxe :
NET GROUP nom de groupe [/COMMENT:"texte"] [/DOMAIN] NET GROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET GROUP nom de groupe nom dutilisateur [...] {/ADD | /DELETE} [/DOMAIN]
j j j
net group peut galement tre entr sous la forme net groups.
Utilisez des guillemets autour des noms de groupes comprenant des espaces : " Utilisateur du domaine ". Dans la sortie de net group, lastrisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
NET HELPMSG
Cette commande aide interprter un numro de message derreur Windows.
Syntaxe :
NET LOCALGROUP
Cette commande permet de configurer des groupes locaux.
898
Syntaxe :
NET LOCALGROUP [nom de groupe [/COMMENT:"texte"]] [/DOMAIN] NET LOCALGROUP nom de groupe {/ADD [/COMMENT:"texte"] | /DELETE} [/DOMAIN] NET LOCALGROUP nom de groupe nom [...] {/ADD | /DELETE} [/DOMAIN]
j j j
net localgroup peut galement tre entr sous la forme net localgroups.
Utilisez des guillemets autour des noms de groupes comprenant des espaces : Utilisateur du domaine . Dans la sortie de net localgroup, lastrisque qui se trouve avant le nom du groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
C:\>net localgroup Alias de \\SNCECPDC01 *Accs compatible pr-Windows 2000 *Administrateurs *Administrateurs DHCP *Duplicateurs *diteurs de certificats *Groupe daccs dautorisation Windows *HelpServicesGroup *Invits *Oprateurs de compte *Oprateurs de configuration rseau *Oprateurs de sauvegarde *Oprateurs de serveur *Oprateurs dimpression *Serveurs de licences des services Terminal Server *Serveurs RAS et IAS *TelnetClients *Utilisateurs *Utilisateurs de lAnalyseur de performances *Utilisateurs DHCP *Utilisateurs du Bureau distance *Utilisateurs du journal de performances *Utilisateurs du modle COM distribu La commande sest termine correctement.
NET PRINT
Affiche des informations sur une file dattente dimpression ou une tche dimpression spcifique, ou contrle une tche dimpression donne.
899
Chapitre 27
Syntaxe :
NET PRINT \\nom dordinateur\nom de partage NET PRINT [\\nom dordinateur] numro de travail [/HOLD | /RELEASE | /DELETE]
j j
Si un serveur dimpression possde plusieurs imprimantes partages, chacune a sa propre file dattente. Cependant, des travaux de diffrentes files dimpression sur le mme serveur peuvent avoir un mme numro didentification.
NET SEND
Envoie des messages dautres utilisateurs, ordinateurs ou noms de messagerie sur le rseau
Syntaxe :
j j j j
Pour quun utilisateur reoive des messages, le service Affichage des messages doit tre en excution. Utilisez des guillemets pour les noms dordinateur et les noms dutilisateur contenant des espaces. Les messages peuvent prsenter jusqu 128 caractres. La file dattente de messages qui conserve temporairement les messages pour le compte du service Affichage des messages peut stocker un maximum de six messages ; les autres messages sont ignors si les prcdents nont pas t valids.
Net send* est identique netsend/domain.
j j
Les messages diffuss (options * et /domain) sont envoys sur tous les protocoles rseau. Par exemple, si TCP/IP et NWLink sont installs, les messages apparatront deux fois sur la machine rceptrice. Les messages envoys des destinataires spcifiques ne sont reus quune fois. Les messages sont reus uniquement sur le sous-rseau local, sauf si des routeurs sont configurs spcifiquement pour retransmettre les paquets name query de NetBIOS. Les messages envoys avec loption /user sont expdis chaque session tablie avec le serveur. Si un utilisateur a trois sessions ouvertes avec le serveur, le message sera reu trois fois.
900
NET SESSION
Gre les connexions un serveur. Utilise sans paramtre, la commande net session affiche des informations sur toutes les sessions actuellement ouvertes sur lordinateur local.
Syntaxe :
j j j j
Une session est initie lorsquune machine cliente parvient contacter un serveur, par exemple pour accder un dossier ou une imprimante partage. Un client ne peut tablir quune session avec un serveur, mais peut avoir plusieurs connexions des ressources sur ce serveur. Utilisez net send pour demander aux clients denregistrer leur travail avant de terminer leurs connexions avec le serveur.
NET SHARE
Gre les ressources partages. Utilise sans paramtre, la commande net share affiche des informations sur toutes les ressources actuellement partages sur lordinateur local.
Syntaxe :
NET SHARE nom de partage nom de partage=lecteur:chemin [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents| Programs | e ] nom de partage [/USERS:nombre | /UNLIMITED] [/REMARK:"texte"] [CACHE:Manual | Documents | Programs | None] {nom de partage | nom de priphrique | lecteur:chemin} /DELETE
j j
Entourez le chemin absolu par des guillemets sil contient des espaces. Si vous supprimez un partage avec net share /delete, il restera visible dans le Poste de travail et dans lExplorateur Windows, mme si vous redmarrez. Lastuce consiste appuyer sur [F5] afin de vider les informations contenues dans le cache. Loption /cache permet de configurer le mode de mise en service du partage lorsque les dossiers hors connexion sont implants. Pour une description complte de cette option, consultez larticle 214738 de la Base de connaissances sur Microsoft TechNet.
901
Chapitre 27
NET START
Dmarre un service. Utilise sans paramtre, la commande net start affiche la liste des services en cours dexcution.
Syntaxe :
j j j
Utilisez des guillemets pour les noms dordinateurs et les noms dutilisateurs contenant des espaces. Le dmarrage de services peut avoir des effets inattendus du fait des dpendances entre les services. Loutil graphique de gestion des services est la console Services.
NET STOP
Arrte un service en cours dexcution.
Syntaxe :
j j j
Utilisez des guillemets pour les noms dordinateur et les noms dutilisateur contenant des espaces. Larrt dun service retire de la mmoire les ressources associes. Avant darrter un service, il est prfrable de commencer par le suspendre et denvoyer un message aux utilisateurs connects afin de les avertir que le service va tre arrt. Cela leur donne du temps pour enregistrer leur travail et se dconnecter. Vous ne pouvez pas arrter le service Fax car il fonctionne la demande et sarrte automatiquement lorsquil ny a plus de tlcopies envoyer ou recevoir.
NET TIME
Synchronise lhorloge de lordinateur avec celle dun autre ordinateur ou dun domaine. Utilise sans paramtre, la commande net time affiche lheure dun autre ordinateur ou domaine.
902
Syntaxe :
NET TIME [\\nom dordinateur | /DOMAIN[:nom de domaine] | /RTSDOMAIN[:nom de domaine]] [/SET] NET TIME [\\nom dordinateur] /QUERYSNTP NET TIME [\\nom dordinateur] /SETSNTP[:liste de serveurs NTP]
La synchronisation des horloges est importante pour que des activits telles que la rplication de lannuaire fonctionnent correctement. (Les mises jour sont estampilles afin de rsoudre les collisions.) Utilisez net time \\serveurTemps /set /yes dans un script douverture de session pour synchroniser les horloges de toutes les machines avec le serveur Temps qui doit avoir lui-mme une horloge fiable.
/s ne fonctionne plus en quivalent de /set, comme ctait le cas sous Windows NT.
NET USE
Connecte ou dconnecte un ordinateur dune ressource partage, ou affiche des informations relatives aux connexions de lordinateur. Cette commande contrle aussi les connexions rseau persistantes. Utilise sans paramtre, la commande net use extrait une liste des connexions rseau.
Syntaxe :
NET USE [nom de priph.|*] [\\Ordinateur\Partage[volume] [mot de passe | *]] [/USER:[nom de domaine\]nom dutilisateur] [/USER:[nom de domaine avec points\]nom dutilisateur] [/USER:[nom dutilisateur@nom de domaine avec points] [/SMARTCARD] [/SAVECRED] [[/DELETE] | [/PERSISTENT:{YES | NO}]] NET USE [nom de priphrique | *] [mot de passe | *] [/HOME] NET USE [/PERSISTENT:{YES | NO}]
j j
Utilisez les guillemets autour de NomsOrdinateur si ce dernier comporte des espaces. Vous ne pouvez pas vous dconnecter dun partage sil est votre lecteur courant ou sil est verrouill par un processus actif.
903
Chapitre 27
NET USER
Ajoute ou modifie des comptes dutilisateurs ou affiche des informations relatives aux comptes dutilisateurs.
Syntaxe :
NET USER [nom dutilisateur [mot de passe | *] [options]] [/DOMAIN] NET USER nom dutilisateur {mot de passe | *} /ADD [options] [/DOMAIN] NET USER nom dutilisateur [/DELETE] [/DOMAIN]
NETSH
Utilitaire de script de ligne de commande qui vous permet, localement ou distance, dafficher ou de modifier la configuration rseau dun ordinateur en cours dexcution. Il fournit galement une fonctionnalit de script qui vous permet dexcuter un groupe de commandes en mode Batch sur un ordinateur spcifique. De plus, Netsh peut enregistrer un script de configuration dans un fichier texte pour des besoins darchivage ou pour vous aider configurer dautres serveurs.
Syntaxe :
netsh [a Fichier_alias] [c Contexte] [r Ordinateur_distant] [u [Nom_domaine\]Nom_utilisateur] [p Mot_passe | *] [Commande | f Fichier_script] Modifications pour le contexte netsh aaaa. Ajoute une entre de configuration une liste dentres. Modifications pour le contexte netsh bridge. Supprime une entre de configuration dune liste dentres. Modifications pour le contexte netsh dhcp. Modifications pour le contexte netsh diag. Affiche un script de configuration. Excute un fichier script. Modifications pour le contexte netsh firewall. Modifications pour le contexte netsh interface.
aaaa add bridge delete dhcp diag dump exec firewall interface
904
Modifications pour le contexte netsh ipsec. Modifications pour le contexte netsh ras. Modifications pour le contexte netsh routing. Modifications pour le contexte netsh rpc. Met jour les paramtres de configuration. Affiche les informations. Modifications pour le contexte netsh wins. Modifications pour le contexte netsh winsock. 27. Annexe I Liste alphabtique des commandes
Les sous-contextes suivants sont disponibles : aaaa, bridge, dhcp, diag, firewall, interface, ipsec, ras, routing, rpc, wins, winsock.
Il existe normalement une commande Flush permettant de supprimer les commandes enregistres en mode hors connexion, mais cela ne semble pas fonctionner dans la version actuelle. La commande dump affiche la configuration courante des services configurables de NetShell sur la machine sous forme dune suite de commandes NetShell. Le fichier obtenu peut tre excut sur une machine diffrente laide de la commande exec pour configurer cette machine de manire identique la premire. Le seul problme est quun certain nombre de paramtres de configuration ne sont pas sortis de faon correcte. Consultez larticle 254252 de la Base de connaissances Microsoft TechNet pour savoir comment modifier manuellement le fichier obtenu afin de le corriger.
905
Chapitre 27
Le contexte DHCP de NetShell est particulirement utile pour la gestion des serveurs DHCP distants au travers de liaisons WAN lentes, avec lesquelles lutilisation du mode administration distante de Terminal Serveur pour excuter loutil graphique de gestion de DHCP conduirait de pitres performances. Utilisez la commande set user dans un fichier ou un script de traitement par lots afin de configurer automatiquement les paramtres des appels entrants RAS dun ensemble dutilisateurs.
NSLOOKUP
Affiche des informations qui vous permettent dtablir un diagnostic de linfrastructure DNS (Domain Name System). nslookup [opt] mode interactif utilisant le serveur par dfaut
nslookup [opt] serveur mode interactif utilisant serveur nslookup [opt] hte recherche hte en utilisant le serveur par dfaut nslookup [opt] hte serveur recherche hte en utilisant serveur
j j
Les commandes nslookup contiennent au maximum 255 caractres. Pour rechercher un ordinateur qui ne se trouve pas dans le domaine DNS courant, ajoutez un point au nom. Par exemple, entrez pierre.puzzmania.com linvite interactive de nslookup. Utilisez exit ou appuyez sur [Ctrl]+[C] pour sortir dune session nslookup. Une commande non reconnue est interprte comme un nom dordinateur.
j j
27.11. P PRNCNFG
(Nouvelle commande sous Windows Server 2003). Configure ou affiche des informations de configuration relatives une imprimante. La syntaxe ci-aprs est utilise pour afficher des informations de configuration relatives une imprimante. 906
Syntaxe :
g s Ordinateur _Distant
cscript prncnfg.vbs g [s Ordinateur_Distant] p Nom_Imprimante [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez afficher des informations de configuration relatives une imprimante. Spcifie, par son nom, lordinateur distant qui gre limprimante propos de laquelle vous voulez afficher des informations. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local. 27. Annexe I Liste alphabtique des commandes Obligatoire. Spcifie, par son nom, limprimante propos de laquelle vous voulez obtenir des informations.
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur qui hberge limprimante propos de laquelle vous voulez afficher des informations. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script .v bs qui sexcute avec CScritpt. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNDRVR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et rpertorie des pilotes dimprimante. La syntaxe ci-aprs est utilise pour installer un pilote dimprimante.
907
Chapitre 27
Syntaxe :
cscript prndrvr.vbs a [m Nom_Pilote] [v {0 | 1 | 2 | 3}] [e Environnement] [s Ordinateur_Distant] [h Chemin] [i Nom_Fichier.inf] [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez installer un pilote. Spcifie, par son nom, le pilote que vous voulez installer. Les pilotes portent souvent le nom du modle dimprimante quils prennent en charge. Pour plus dinformations, consultez la documentation fournie avec limprimante. Spcifie la version du pilote que vous voulez installer. Pour savoir quelles versions sont disponibles en fonction de chaque environnement, consultez la description du paramtre e Environnement. Si vous ne spcifiez aucune version, la version de pilote approprie pour la version de Windows en cours dexcution sur lordinateur sur lequel vous installez le pilote est installe. La version 0 prend en charge Windows 95, Windows 98 et Windows Millennium Edition. La version 1 prend en charge Windows NT 3.51. La version 2 prend en charge Windows NT 4.0. La version 3 prend en charge Windows XP, Windows 2000 et les systmes dexploitation de la famille Windows Server 2003.
a m Nom_Pilote
v {0 | 1 | 2 | 3}
e Environnement Spcifie lenvironnement appropri pour le pilote que vous voulez installer. Si vous ne spcifiez aucun environnement, lenvironnement de lordinateur sur lequel vous installez le pilote est utilis. Environnement "Windows NT x86", versions disponibles 1, 2 et 3. Environnement "Windows NT Alpha_AXP", versions disponibles 1 et 2. Environnement "Windows IA64", version disponible 3. Environnement "Windows NT R4000", version disponible 1. Environnement "Windows NT PowerPC", version disponible 1. Environnement "Windows 4.0", version disponible 0. s Ordinateur _Distant Spcifie lordinateur distant sur lequel vous voulez installer le pilote. Si vous ne spcifiez pas dordinateur, le pilote est install sur lordinateur local. Spcifie le chemin daccs du fichier de pilote. Si vous ne spcifiez aucun chemin, le chemin daccs lemplacement partir duquel Windows a t install est utilis.
h Chemin
908
Spcifie le nom de fichier du pilote que vous voulez installer. Si vous ne spcifiez aucun nom de fichier, ntprint.inf est utilis.
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur sur lequel vous voulez installer le pilote. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script .vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNJOBS
(Nouvelle commande sous Windows Server 2003). Suspend, reprend, annule et rpertorie les travaux dimpression. La syntaxe ci-aprs est utilise pour rpertorier les travaux dimpression dans une file dattente dimpression.
Syntaxe :
l s Ordinateur _Distant
cscript prnjobs l [s Ordinateur_Distant] [p Nom_Imprimante] [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez rpertorier tous les travaux dimpression dans une file dattente dimpression. Spcifie le nom de lordinateur distant qui hberge la file dattente dimpression dont vous souhaitez afficher la liste des travaux. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local.
909
Chapitre 27
p Nom _Imprimante
Spcifie, par son nom, limprimante dont la file dattente dimpression contient les travaux que vous voulez rpertorier. Si vous ne spcifiez aucune imprimante, tous les travaux de toutes les files dattente sont rpertoris.
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur qui hberge la file dattente dimpression dont vous voulez rpertorier les travaux. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Malheureusement, il nest possible de suspendre, de reprendre ou dannuler quun travail la fois avec cette commande. Consultez la commande prnqctl qui permet de suspendre ou de reprendre une imprimante ou dannuler tous les travaux prsents dans la file dattente. Cette commande est un script .vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s. Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNMNGR
(Nouvelle commande sous Windows Server 2003). Ajoute, supprime et rpertorie les imprimantes ou connexions dimprimante, en plus de dfinir et dafficher limprimante par dfaut. La syntaxe ci-aprs est utilise pour ajouter une imprimante locale.
910
Syntaxe :
cscript prnmngr.vbs a p Nom_Imprimante [s Ordinateur_Distant] m Nom_Pilote r Nom_Port [u Nom_Utilisateur w Mot_De_Passe] Obligatoire. Spcifie que vous voulez ajouter une imprimante locale. Spcifie, par son nom, lordinateur distant auquel vous voulez ajouter une imprimante locale. Si vous ne spcifiez pas dordinateur, limprimante est ajoute lordinateur local. 27. Annexe I Liste alphabtique des commandes Obligatoire. Spcifie, par son nom, limprimante locale que vous voulez ajouter. Obligatoire. Spcifie, par son nom, le pilote de limprimante locale que vous voulez ajouter. Les pilotes portent souvent le nom du modle dimprimante quils prennent en charge. Pour plus dinformations, consultez la documentation fournie avec limprimante. Obligatoire. Spcifie le port auquel limprimante est connecte. Sil sagit dun port parallle ou dun port srie, utilisez lID du port (par exemple, LPT1 ou COM1). Sil sagit dun port TCP/IP, utilisez le nom de port qui a t spcifi lors de lajout du port. Pour plus dinformations, consultez Rubriques connexes.
a s Ordinateur _Distant
r Nom_Port
Spcifie un compte disposant dautorisations qui permettent, au moyen des services Infrastructure de gestion Windows (WMI, Windows Management Instrumentation), de se connecter lordinateur auquel vous voulez ajouter une imprimante locale. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
911
Chapitre 27
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates.
PRNQCTL
(Nouvelle commande sous Windows Server 2003). 27. Annexe I Liste alphabtique des commandes Permet dimprimer une page de test, dinterrompre ou de reprendre une impression et de supprimer une impression dune file dattente. La syntaxe ci-aprs est utilise pour annuler tous les travaux dimpression mis en attente sur une imprimante.
Syntaxe :
x s Ordinateur Distant
cscript prnqctl.vbs x [s OrdinateurDistant]p NomImprimante [u NomUtilisateur w MotDePasse] Obligatoire. Spcifie que vous voulez annuler tous les travaux dimpression mis en attente sur une imprimante. Indique le nom de lordinateur distant auquel est relie limprimante sur laquelle vous souhaitez annuler tous les travaux dimpression. Si vous nindiquez pas de nom dordinateur, lopration est effectue sur lordinateur local.
p NomImprimante Obligatoire. Spcifie le nom de limprimante sur laquelle vous voulez annuler tous les travaux dimpression. u Nom Utilisateur w MotDePasse
Spcifie un compte et les autorisations qui lui permettent, au moyen des services WMI (Windows Management Instrumentation), de se connecter lordinateur auquel est relie limprimante sur laquelle vous voulez annuler tous les travaux dimpression. Tous les membres du groupe Administrateurs pour cet ordinateur disposent de ces autorisations, mais celles-ci peuvent aussi tre accordes dautres utilisateurs. Si vous nindiquez pas de compte, vous devez vous connecter sous un compte autoris lancer cette commande.
Cette commande est un script vbs qui sexcute avec CScript. Pour Cscript, votre environnement dexcution de script par dfaut, entrez la commande suivante : Cscript \\h: cscript \\s.
912
Pour excuter cette commande, vous devez tre un administrateur. Si vous tes connect sous dautres informations didentification, utilisez u NomUtilisateur W MotDePasse pour indiquer les informations didentification adquates. Quelques secondes peuvent tre ncessaires pour annuler le dernier travail laide de loption x. Ne relancez pas la commande prnqctl x avant que la file ne soit vide ; vous pourriez obtenir une erreur dimpression et le dernier travail pourrait rester dans la file.
27.12. R RCP
Copie les fichiers depuis et vers lordinateur excutant le service RCP.
Syntaxe :
a
RCP [a | b] [h] [r] [host][.user:]source [host][.user:] path\destination Spcifie le mode de transfert ASCII. Ce mode convertit les caractres EOL en retours chariot sous Unix et en retours chariot (line feed) sur PC. Cest le mode de transfert par dfaut. Spcifie le mode de transfert dimages binaire. Transfre les fichiers cachs. Copie le contenu de tous les sous-rpertoires ; la destination doit tre un rpertoire. Spcifie lhte local ou distant. Si lhte spcifi est une adresse IP, vous devez spcifier lutilisateur. Spcifie le nom dutilisateur utiliser la place du nom dutilisateur en cours. Spcifie les fichiers copier. Spcifie le chemin relatif au rpertoire de session sur lhte distant. Utilisez les caractres dchappement (\, " ou ) dans les chemins distants pour employer les caractres jokers sur lhte distant.
913
Chapitre 27
j j
Windows Server 2003 ne fournit pas de dmon rshd. rcp sutilise donc principalement pour copier des fichiers entre des machines Windows et Unix.
rcp ne demande pas de mot de passe avant la copie. Pour contourner cela, utilisez le fichier .rhost du rpertoire daccueil de lutilisateur sur le serveur rshd afin de prciser les noms dhtes et les noms dutilisateurs autoriss employer rcp afin de copier des fichiers vers ou depuis le serveur rshd.
RECOVER
Rcupre les informations lisibles dun disque endommag ou dfectueux.
Syntaxe :
j
RECOVER [lecteur:][chemin]nom_de_fichier
Recover lit le fichier indiqu secteur par secteur et rcupre les donnes sur les secteurs non dfectueux (les donnes se trouvant sur des secteurs dfectueux sont perdues).
REXEC
Excute des commandes sur des htes distants excutant le service Rexec. Rexec authentifie lutilisateur sur lhte distant avant dexcuter la commande spcifie.
Syntaxe :
hte l utilisateur n commande
j j j
REXEC hte [l utilisateur] [n] commande Hte distant sur lequel la commande sera excute. Nom de lutilisateur sur lhte distant. Redirige lentre de Rexec sur NULL. Commande excuter.
Rexec copie lentre standard vers la commande distante. Rexec se termine lorsque la commande distante a t excute. Rexec ne peut servir lexcution de certaines commandes Unix interactives courantes telles que emacs (utilisez Telnet la place).
914
RUNAS
Lance un programme dans un contexte utilisateur diffrent.
Syntaxe :
RUNAS [ [/noprofile | /profile] [/env] [/savecred | /netonly] ] /user:<Nom_utilisateur> programme RUNAS [ [/noprofile | /profile] [/env] [/savecred] ] /smartcard [/user:<Nom_utilisateur>] programme Spcifie que le profil de lutilisateur ne devrait pas tre charg. Cela permet le chargement plus rapide de lapplication, mais peut provoquer le dysfonctionnement de certaines applications. Spcifie que le profil de lutilisateur devrait tre charg. Il sagit de loption par dfaut. pour utiliser lenvironnement en cours la place de celui de lutilisateur. utiliser si les informations didentification spcifies sont pour laccs distance uniquement. Pour utiliser les informations didentification prcdemment sauvegardes par lutilisateur. Cette option nest pas disponible sur Windows XP dition familiale et sera ignore. utiliser si les informations didentification sont fournies partir dune carte puce. Sous la forme UTILISATEUR@DOMAINE ou DOMAINE \UTILISATEUR. Ligne de commandes pour EXE. 27. Annexe I Liste alphabtique des commandes
/noprofile
Il est prfrable que les administrateurs possdent deux comptes : un compte dutilisateur ordinaire pour les tches quotidiennes (vrifier son courrier lectronique ou crire des rapports, par exemple) et un compte administrateur pour les tches dadministration. La commande runas permet un administrateur deffectuer des tches ncessitant des autorisations dadministrateur tout en tant connect comme un utilisateur ordinaire, rendant ainsi inutile une fermeture et une ouverture de session. La commande runas est galement dsigne sous le terme "Ouverture de session secondaire".
915
Chapitre 27
j j
runas fonctionne avec des programmes (*.exe), des consoles MMC enregistres (*.msc) et les lments du Panneau de configuration. runas ne peut tre employe avec des lments comme lExplorateur Windows, le dossier Imprimantes et Tlcopieurs et les lments du Bureau. Cependant, il est possible de contourner ce problme en utilisant longlet Processus dans le Gestionnaire des tches afin de tuer linterprteur de commandes courant (Explorer .exe). Utilisez ensuite le bouton Nouvelle tche sous longlet Application afin dexcuter la commande Runas /user:Domaine\Administrateur explorer.exe.
Il est possible de crer un raccourci vers un lment tel quune console MMC enregistre et de configurer cette dernire afin que lexcution se fasse toujours avec des informations didentification spcifiques.
Runas ne permet pas dexcuter des programmes stocks sur un partage rseau car les informations didentification servant au lancement du programme peuvent tre diffrentes de celles utilises pour se connecter au partage rseau. Cest pourquoi, runas peut ne pas tre en mesure daccder aux partages.
Le service Ouverture de session secondaire doit tre en cours dexcution pour pouvoir utiliser la commande runas. Si runas est utilise depuis la ligne de commandes sans loption /profil, le profil dutilisateur par dfaut remplace celui de lutilisateur incarn. Par exemple, si la commande invoque par runas enregistre un fichier dans Mes documents, il est enregistr dans le dossier Mes documents de lutilisateur par dfaut et non dans celui de lutilisateur spcifi par runas. Si vous passez par Excuter en tant que depuis le menu contextuel de lExplorateur Windows, loption /profil est spcifie par dfaut.
27.13. S SCHTASKS
(Nouvelle commande sous Windows Server 2003). Permet un administrateur de crer, supprimer, effectuer des requtes, modifier, excuter et mettre fin des tches planifies sur un systme local ou distant. Remplace AT.exe.
Syntaxe :
/Create /Delete
SCHTASKS /paramtre [arguments] Cre une nouvelle tche planifie. Supprime les tches planifies.
916
Affiche toutes les tches planifies. Modifie les proprits dune tche planifie. Excute la tche planifie immdiatement. Arrte la tche planifie actuellement en cours dexcution.
Le compte dutilisateur indiqu par loption /u doit appartenir au groupe Administrateur sur lordinateur distant spcifi par loption /s. De plus, lordinateur local doit appartenir au mme domaine que lordinateur distant ou se trouver dans un domaine approuv par le domaine de lordinateur distant. Autrement dit, seuls les administrateurs sont autoriss planifier des tches. Cependant, il est possible de spcifier avec loption /ru que le programme dmarr par la tche planifie sexcute avec des informations didentification diffrentes. Si vous utilisez /ru SYSTEM, vous navez pas besoin demployer loption /rp pour indiquer un mot de passe. Si vous excutez une tche laide des informations didentification SYSTEM, les utilisateurs ne seront pas en mesure dinteragir avec le programme dmarr par la tche. En effet, SYSTEM ne dispose pas des droits douverture de session interactive.
schtasks ne vrifie pas la validit du nom du programme ou du mot de passe du compte utilisateur spcifi par loption /u. Sils ne sont pas corrects, la tche ne sexcutera pas, tout simplement.
j j
j j
Pour vrifier si lexcution des tches planifies a gnr des erreurs, consultez le fichier de journalisation SchedLgU.txt qui se trouve dans le rpertoire \Windows.
schtasks fonctionne de la mme manire que les Tches planifies du Panneau de configuration.
SET
Affiche, fixe ou supprime des variables denvironnement de cmd.exe.
Syntaxe :
j j
SET sans paramtres affiche les variables denvironnement dfinies. Si les extensions de commande sont actives, SET est modifi comme suit.
La commande SET appele avec un nom de variable seulement, sans signe gal ou valeur, affiche la valeur de toutes les variables dont le prfixe correspond au nom donn la commande SET. Par exemple, SET P affiche toutes les variables qui commencent par la lettre P.
917
Chapitre 27
j j j
La commande SET fixe la valeur ERRORLEVEL 1 si le nom de variable nest pas trouv dans lenvironnement en cours. La commande SET nautorise pas quun signe gal (=) fasse partie du nom dune variable.
/A spcifie que la chane droite du signe gal est une expression numrique value. Lvaluation de lexpression est assez simple et prend en charge les oprations suivantes dans lordre dcroissant de prsance :
() : groupement. 27. Annexe I Liste alphabtique des commandes ! ~ : oprateurs unaires. * / % : oprateurs arithmtiques. + : oprateurs arithmtiques. << >> : dcalage logique. & : ET au niveau du bit. ^ : OU exclusif au niveau du bit. | : OU au niveau du bit. = *= /= %= += = : attribution. &= ^= |= <<= >>= , : sparateur dexpression. Si vous utilisez des oprateurs logiques ou des nombres, vous devez mettre lexpression entre guillemets. Toute chane non numrique dans lexpression est traite comme une variable denvironnement dont les valeurs sont converties en nombres avant dtre utilises. Si un nom de variable denvironnement est spcifi mais nest pas dfini dans lenvironnement en cours, la valeur zro est utilise. Cela vous permet de raliser des oprations avec les valeurs dune variable denvironnement sans entrer des signes % pour obtenir ces valeurs. Si SET /A est excut partir de la ligne de commandes en dehors dun script de commande, la valeur finale de lexpression est affiche. Loprateur dassignation requiert un nom de variable denvironnement gauche de cet oprateur. Les valeurs numriques sont des nombres dcimaux, moins quils ne soient prfixs par 0x pour les valeurs hexadcimales et 0 pour la notation octale. Donc, 0x12 est identique 18 et 022. La notation octale peut tre confuse : 08 et 09 ne sont pas valides car 8 et 9 ne sont pas des nombres valides en notation octale. /P vous permet de fixer la valeur dune variable avec une ligne entre par lutilisateur. Elle affiche la chane ChaneInvite spcifie avant de lire la ligne entre. ChaneInvite peut tre vide.
j j
La commande set est disponible dans la console de rcupration. Les variables denvironnement dfinies laide de set sont disponibles uniquement pour la session de console courante. Pour dfinir des variables persistantes, utilisez la commande setx.
918
SHUTDOWN
Agit sur les options darrt dun ordinateur.
Syntaxe :
/i /l /s /r /a /p /h /e /m \\ordinateur /t xxx
shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m \\ordinateur][/t xxx][/d [p:]xx:yy [/c "commentaire"]] Affiche linterface utilisateur graphique (GUI). Ce doit tre la premire option. Ferme la session. Ne peut pas tre utilise avec loption /m ou /d. Arrte lordinateur. Arrte et redmarre lordinateur. Annule un arrt du systme. Cet argument peut uniquement tre utilis pendant la priode dexpiration du dlai. Arrte lordinateur local sans dlai dexpiration ou avertissement. Cet argument peut uniquement tre utilis avec loption /d. Mettre lordinateur local en veille prolonge. Cet argument peut uniquement tre utilis avec loption /f. Explique la raison dun arrt imprvu dun ordinateur. Indique lordinateur cible. Dfinit le dlai dexpiration avant larrt xxx secondes. La plage valide est comprise entre 0 et 600, 30 tant la valeur par dfaut. 27. Annexe I Liste alphabtique des commandes
/c "commentaire" Commentaire sur la raison du redmarrage ou de larrt. Un nombre maximal de 127 caractres est autoris. /f /d [p:]xx:yy Force la fermeture des applications en cours dexcution sans avertir les utilisateurs. Fournit la raison du redmarrage ou de larrt. p indique que le redmarrage ou larrt est planifi, xx est le code de raison majeur (entier positif infrieur 256), yy est le code de raison mineur (entier positif infrieur 65 536).
919
Chapitre 27
START
Ouvre une fentre et excute le programme ou la commande spcifie.
Syntaxe :
START ["titre"] [/D chemin] [/I] [/MIN] [/MAX] [/SEPARATE | /SHARED] [/LOW | /NORMAL | /HIGH | /REALTIME | /ABOVENORMAL | /BELOWNORMAL] [/AFFINITY <affinit_hexa>] [/WAIT] [/B] [commande/programme] [paramtres] Titre de la fentre. Rpertoire de dpart. Lancer lapplication sans crer de fentre. Larrt par ^C nest pas pris en charge dans lapplication. Si lapplication nautorise pas la dtection de ^C, ^Pause est la seule faon darrter lapplication. Le nouvel environnement sera lenvironnement original pass cmd.exe, et non lenvironnement actuel. Dmarrer avec la fentre rduite. Dmarrer avec la fentre agrandie. Dmarrer les programmes Windows 16 bits dans un espace mmoire distinct. Dmarrer les programmes Windows 16 bits dans un espace mmoire partag. Dmarrer lapplication dans la classe de priorit IDLE. Dmarrer lapplication dans la classe de priorit NORMAL. Dmarrer lapplication dans la classe de priorit HIGH. Dmarrer lapplication dans la classe de priorit REALTIME. Dmarrer lapplication dans la classe de priorit ABOVENORMAL. Dmarrer lapplication dans la classe de priorit BELOWNORMAL. La nouvelle application aura le masque daffinit de processeur spcifi, exprim en tant que valeur hexadcimale. Lancer lapplication et attendre quelle mette fin la commande ou au programme. Sil sagit dune commande interne ou dun fichier batch, le processeur de commandes est excut avec le commutateur
I MIN MAX SEPARATE SHARED LOW NORMAL HIGH REALTIME ABOVENORMAL BELOWNORMAL AFFINITY WAIT
920
/K pour cmd.exe. Cela signifie que la fentre reste ouverte aprs excution de la commande. Sil ne sagit pas dune commande interne, ni dun fichier batch, cest un programme qui sexcutera sous la forme dune application fentre ou dune application console. Paramtres
j
Si vous utilisez start pour excuter une commande Windows (dir, chhdsk, etc.), une nouvelle fentre de linterprteur de commandes (cmd) souvre afin dexcuter cette commande. Cette fentre sexcutant implicitement avec loption /k, elle reste ouverte aprs la fin de la commande (voir la section cmd). Lorsque vous excutez une application graphique 32 bits avec start, le contrle revient immdiatement lInvite de commandes. Cependant, lorsquune commande Windows ou un script sont excuts, ils doivent dabord se terminer avant que le contrle ne revienne linterprteur de commande. Si les extensions de commande sont actives (cest cas par dfaut), utilisez start pour ouvrir un document ou un fichier laide de lapplication associe. Par exemple, voici comment ouvrir le fichier lisezmoi.doc avec Word : start lisezmoi.doc.
SYSTEMINFO
(Nouvelle commande sous Windows Server 2003). Cet outil affiche les informations de configuration du systme dexploitation pour un ordinateur local ou distant, y compris les niveaux de Service Pack.
Syntaxe :
/S systme /U [domaine\] utilisateur
SYSTEMINFO [/S systme [/U utilisateur [/P mot_de_passe]]] [/FO format] [/NH] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Est demand sil est omis. /FO format Spcifie le format dans lequel la sortie doit tre affiche. Valeurs autorises: TABLE, LIST, CSV.
921
Chapitre 27
/NH
Spcifie que les en-ttes de colonne ne doivent pas apparatre dans la sortie. Valide uniquement pour les formats TABLE et CSV.
27.14. T TAKEOWN
27. Annexe I Liste alphabtique des commandes (Nouvelle commande sous Windows Server 2003). Cet outil permet un administrateur de rcuprer laccs un fichier qui avait t refus en rassignant lappartenance de fichier.
Syntaxe :
/S systme /U [domaine\] utilisateur
TAKEOWN [/S systme] [/U utilisateur [/P mot_de_passe]]] /F nom_fichier [/A] [/R [/D invite_de_commandes]] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe du contexte utilisateur donn. Il est demand sil est omis. /F nom_fichier Spcifie le nom de fichier ou le modle de nom du rpertoire. Un caractre gnrique "*" peut tre utilis pour spcifier le modle. Autorise nompartage\nomfichier. Donne lappartenance au groupe dadministrateurs et non lutilisateur actuel. Rcursif : force loutil traiter tous les fichiers du rpertoire spcifi et tous ses sous-rpertoires. Rponse par dfaut utilise lorsque lutilisateur actuel ne possde pas lautorisation "lister le dossier" sur un rpertoire. Cela se produit lors du traitement rcursif (/R) sur les sous-rpertoires. Utilisez les valeurs O pour prendre possession ou N pour ignorer.
/A /R /D invite_de _commandes
922
TASKKILL
(Nouvelle commande sous Windows Server 2003) Cet outil est utilis pour arrter des tches par id de processus (PID) ou nom dimage.
Syntaxe :
/S systme /U [domaine\] utilisateur
TASKKILL [/S systme] [/U utilisateur [/P mot_de_passe]]] { [/FI filtre] [/PID ID_processus | /IM image] } [/T] [/F] Spcifie le systme distant auquel se connecter. 27. Annexe I Liste alphabtique des commandes Spcifie le contexte utilisateur sous lequel la commande doit sexcuter.
/P [mot_de_passe] Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. /FI filtre Applique un filtre pour slectionner un ensemble de tches. Permet "*" dtre utilis. Par exemple, imagename eq test*.
/PID ID_processus Spcifie le PID du processus arrter. Utilisez TaskList afin dobtenir le PID. /IM nom_image Spcifie le nom dimage du processus terminer. Le caractre gnrique "*" peut tre utilis pour spcifier toutes les tches ou les noms dimage. Met fin au processus spcifi et tous les processus enfants quil a dmarrs. Force les processus se terminer. Utilisez la commande tasklist pour obtenir lidentifiant des processus en cours dexcution que vous voulez tuer.
/T /F
j
TASKLIST
(Nouvelle commande sous Windows Server 2003). Cet outil affiche une liste des processus actuellement en cours sur un ordinateur local ou un ordinateur distant.
923
Chapitre 27
Syntaxe :
/S systme /U [domaine\] utilisateur /P [mot_de _passe] 27. Annexe I Liste alphabtique des commandes /M [module]
TASKLIST [/S systme [/U utilisateur [/P mot_de_passe]]]] [/M [module] | /SVC | /V] [/FI filtre] [/FO format] [/NH] Spcifie le systme distant auquel se connecter. Spcifie le contexte utilisateur sous lequel la commande doit sexcuter. Spcifie le mot de passe pour le contexte utilisateur donn. Il est demand sil est omis. Liste toutes les tches utilisant le nom de fichier .exe ou .dll donn. Si le nom de module nest pas spcifi, tous les modules chargs sont affichs. Affiche les services hbergs dans chaque processus. Affiche les informations de tches dtailles. Affiche un ensemble de tches qui correspond au critre spcifi par le filtre. Spcifie le format de sortie. Valeurs valides : TABLE, LIST, CSV. Spcifie que les en-ttes de colonnes ne doivent pas tre affichs sur la sortie. Valide uniquement pour les formats TABLE et CSV.
TELNET
Permet daccder un systme distant.
Syntaxe :
a e f
telnet [a][e car_chap][f journal][l utilisateur][t terminal][hte [port]] Tente louverture de session automatique. Identique l, mais utilise le nom de lutilisateur en session. Caractre dchappement pour entrer dans linvite du client Telnet. Nom du fichier journal ct client.
924
l t hte port
j
Nom dutilisateur pour louverture de session distance. Le systme distant doit prendre en charge loption TELNET ENVIRON. Type de terminal. Les terminaux pris en charge sont vt100, vt52, ansi et vtnt uniquement. Spcifie le nom de lhte ou ladresse IP de lordinateur distant auquel la connexion est demande. Numro de port ou nom de service. 27. Annexe I Liste alphabtique des commandes
Contrairement NT avant lui, Windows Server 2003 inclut un service Telnet qui lui permet de fonctionner en serveur Telnet. Nous disposons donc dun nouveau moyen pour effectuer ladministration distance des serveurs Windows Server 2003. Avant quun client Telnet puisse se connecter au service Telnet, ce dernier doit tre dmarr manuellement sur le serveur ou son paramtre de dmarrage doit tre mis Automatique. Alors que le client Telnet sous NT tait un utilitaire graphique (Telnet.exe), la version sous Windows Server 2003 sexcute en mode Console. Ce client supporte galement lauthentification NTLM afin damliorer la scurit de lauthentification entre les clients et les serveurs Telnet. Cependant le client graphique telnet.exe de Windows NT proposait dans la session, une fonctionnalit qui nest plus supporte dans la version en ligne de commandes de Windows Server 2003.
TFTP
Transfre les fichiers depuis et vers un ordinateur distant excutant le service TFTP.
Syntaxe :
i
TFTP [i] host [GET | PUT] source [destination] Spcifie le mode de transfert dimages binaire (aussi appel "octets"). En mode Images binaire, le fichier est transfr octet par octet. Utilisez ce mode pour transfrer des fichiers binaires. Spcifie lhte local ou distant. Transfre la destination du fichier sur lhte distant vers la source du fichier sur lhte local. Transfre la source du fichier sur lhte local vers la destination du fichier sur lhte distant. Indique le fichier transfrer. Indique o transfrer le fichier.
925
Chapitre 27
TIME
Affiche ou modifie lheure systme.
Syntaxe :
TIME /T 27. Annexe I Liste alphabtique des commandes
TIME [/T | heure] Sans paramtres, affiche lheure en cours et demande une nouvelle heure. Appuyez sur [] pour conserver la mme heure. La commande nindique que lheure, sans demander den entrer une nouvelle.
926
Chapitre 28
Annexe II - Les services et les ports rseau sous Windows Server 2003
28.1 28.2 28.3 Les ports des services systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929 Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . . . 965
urant les preuves difficiles que sont les temps de crise, les arrts de production, les problmes bloquants ou alatoires, vous serez parfois amen rcuprer les trames TCP/IP, analyser le trafic entrant et sortant au niveau de votre serveur afin den dterminer les changes de communication et, donc, de rsoudre le problme. Souvent, lors de lanalyse des trames TCP/IP, il peut savrer difficile de faire la corrlation entre le numro de port et le nom du service dlivr par Windows Server 2003 qui communique sur ce port. Le but de cette annexe est de vous apporter une rfrence prcise et concise qui vous aidera faire le lien entre les services Windows Server 2003 et les ports TCP/IP associs. Oriente sur la rsolution de problmes ou laudit de scurit, cette annexe est dcoupe en deux parties : une partie qui dcrit brivement chaque service, indique son nom logique, ainsi que les ports et les protocoles requis pour le fonctionnement de ces services. Et une autre partie qui prsente, sous forme de tableau, un classement par numro de port, et non selon le nom des services, et qui vous permet de dterminer rapidement quels sont les services lcoute sur un port particulier. Et pour tre le plus exhaustif possible, cette annexe inclut aussi les noms de services et les numros de ports TCP/IP de quelques-uns des produits serveurs Microsoft les plus utiliss. Enfin, cette annexe est destine sappliquer un systme dexploitation serveur, cest la raison pour laquelle elle prsente les ports sur lesquels un service est lcoute et non les ports utiliss par les programmes clients pour se connecter un systme distant.
929
Chapitre 28
dans larticle 224196 de la base de connaissance de Microsoft (restriction du trafic de rplication Active Directory sur un port spcifique). L2TP Les filtres de paquets pour le trafic L2TP ne sont pas requis car L2TP est protg par IPSec ESP.
Tableau 28.1 : Nom du service systme : LSASS Protocole dapplication Serveur de catalogue global Serveur de catalogue global Serveur LDAP Protocole TCP TCP TCP UDP TCP UDP UDP UDP TCP TCP Port 3269 3268 389 389 636 636 500 4500 135 1024-65536
Serveur LDAP LDAP SSL LDAP SSL ISAKMP IPSec NAT-T RPC Ports TCP alatoires levs
930
mappages de ports par lintermdiaire du moteur NAT pour les canaux de donnes FTP. Ce plugin met galement jour les ports dans le flux du canal de contrle FTP.
Tableau 28.2 : Nom du service systme : ALG Protocole dapplication Contrle FTP Protocole TCP Port 21
Le service de cluster
Le service de cluster contrle les oprations de cluster du serveur et gre la base de donnes du cluster. Un cluster est un ensemble dordinateurs indpendants qui agissent 931
Chapitre 28
en tant quordinateur unique. Les gestionnaires, les programmeurs et les utilisateurs voient le cluster comme un systme unique. Le logiciel distribue les donnes dans les nuds du cluster. En cas de dfaillance dun nud, dautres nuds fournissent les services et les donnes correspondants sa place. Lorsquun nud est ajout ou rpar, le logiciel de cluster migre certaines donnes vers ce nud.
Tableau 28.5 : Nom du service systme : ClusSvc Protocole dapplication Services de clusters RPC Ports TCP alatoires levs Protocole UDP TCP TCP Port 3343 135 1024-65534
LExplorateur dordinateurs
Le service Explorateur dordinateurs maintient jour la liste des ordinateurs sur votre rseau et la communique aux programmes qui la demandent. Les ordinateurs Windows utilisent ce service pour afficher les domaines et les ressources rseau. Les ordinateurs dsigns comme explorateurs grent des listes de parcours contenant toutes les ressources partages utilises sur le rseau. Les versions antrieures des programmes Windows (par exemple, les Favoris rseau), la commande net view et lExplorateur Windows, tous ncessitent des capacits de navigation. Par exemple, lorsque vous ouvrez les Favoris rseau sur un ordinateur Microsoft Windows 95, une liste des domaines et des ordinateurs saffiche. Pour pouvoir afficher cette liste, lordinateur demande une copie de la liste de parcours lordinateur dsign comme explorateur.
Tableau 28.6 : Nom du service systme : Browser Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS Protocole UDP UDP TCP Port 138 137 139
Le Serveur DHCP
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer automatiquement des adresses IP. Grce ce service, vous pouvez rgler les paramtres rseau avancs des clients DHCP. Par exemple, vous pouvez configurer des paramtres rseau tels que les serveurs DNS (Domain Name System) ou WINS (Windows Internet Name Service). Vous pouvez dsigner un ou plusieurs serveurs DHCP pour grer les informations de configuration TCP/IP et les transmettre aux ordinateurs clients. 932
Tableau 28.7 : Nom du service systme : DHCPServer Protocole dapplication Serveur DHCP MADCAP Protocole UDP UDP Port 67 2535
933
Chapitre 28
Le Serveur DNS
Le service Serveur DNS active la rsolution de noms DNS en rpondant aux requtes et il met jour les requtes de noms DNS. Les serveurs DNS sont requis pour rechercher les priphriques et les services identifis laide des noms DNS, ainsi que les contrleurs de domaine dans Active Directory.
Tableau 28.11 : Nom du service systme : DNS Protocole dapplication DNS DNS Protocole UDP TCP Port 53 53
Tableau 28.12 : Nom du service systme : EventLog Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Chapitre 28
point de terminaison mapps de manire statique. De plus, aucun catalogue global ne doit tre expos au client Outlook 2003 car linterface DSProxy/NSPI sur le serveur Exchange 2003 fournira cette fonctionnalit. Plus dinformations sur Microsoft Exchange 2003 Vous trouverez plus dinformations au sujet de la planification et de limplmentation dExchange 2003 ladresse www.microsoft.com/technet/prodtechnol/exchange /2003/library/default.mspx. Exchange Server assure galement la prise en charge dautres protocoles, par exemple SMTP, POP3 (Post Office Protocol 3) et IMAP.
Tableau 28.13 : Clients Microsoft Exchange Server et Outlook Protocole dapplication Protocole TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP Port 143 993 110 995 1024-65534 135 443 25 25 6001 6002 6004
IMAP IMAP sur SSL POP3 POP3 sur SSL Ports TCP alatoires levs RPC RPC sur http SMTP SMTP Banque dinformations Rfrence dannuaire DSProxy/NSPI
Le service de tlcopie
Le service de tlcopie, qui est conforme lAPI de tlphonie (TAPI), fournit des fonctions de tlcopie. Grce ce service, les utilisateurs peuvent envoyer et recevoir des tlcopies partir du bureau de Windows en utilisant un tlcopieur local ou un tlcopieur rseau partag.
Tableau 28.14 : Nom du service systme : Fax Protocole dapplication Service de session NetBIOS RPC Protocole TCP TCP Port 139 135
936
La rplication de chiers
Le service de rplication de fichiers (FRS, File Replication Service) est un moteur de rplication bas sur des fichiers qui copie automatiquement des mises jour de fichiers et de dossiers entre des ordinateurs qui participent un jeu de rplicas FRS commun. Il sagit du moteur de rplication par dfaut utilis pour rpliquer le contenu du dossier SYSVOL entre des contrleurs de domaine (quils soient sous Windows 2000 Server ou Windows Server 2003) situs dans un domaine commun. Le service FRS peut tre configur de faon rpliquer des fichiers et des dossiers entre des cibles dune racine ou liaison DFS laide de loutil dadministration DFS.
Tableau 28.15 : Nom du service systme : NtFrs Protocole dapplication RPC Ports TCP alatoires levs Protocole TCP TCP Port 135 1024-65534
Chapitre 28
donnes (utilises pour le FTP en mode actif) par dfaut est automatiquement celui qui est plac juste en dessous du port de contrle. Par consquent, si le port de contrle est configur sur 4131, le port des donnes par dfaut est 4130. La plupart des clients FTP utilisent le FTP en mode passif. Cela signifie que le client se connecte initialement au serveur FTP par le biais du port de contrle, le serveur FTP attribue un port TCP lev compris entre les ports 1025 et 5000, puis le client ouvre une seconde connexion sur le serveur FTP pour transfrer les donnes. Vous pouvez configurer la gamme des ports levs laide de la mtabase IIS.
Tableau 28.17 : Nom du service systme : MSFTPSVC Protocole dapplication Contrle FTP Donnes FTP par dfaut Protocole TCP TCP Port 21 20
HTTP SSL
Le service HTTP SSL permet IIS dutiliser les fonctions SSL. SSL est une norme ouverte pour tablir un canal de communications scurises afin dempcher linterception dinformations telles que des numros de cartes de crdit. Bien quil soit conu pour fonctionner avec dautres services Internet, SSL est utilis principalement pour effectuer des transactions financires sur Internet. Vous pouvez configurer les ports pour ce service laide du composant logiciel enfichable Gestionnaire des services Internet (IIS).
Tableau 28.18 : Nom du service systme : HTTPFilter Protocole dapplication HTTPS Protocole TCP Port 443
938
939
Chapitre 28
Lenregistrement de licences
Le service denregistrement de licences est un outil qui avait t conu lorigine pour aider les clients grer les licences des produits serveurs Microsoft utilisant le modle Licence dAccs Client (CAL) au serveur. Lenregistrement de licences a t introduit avec Windows NT Server 3.51. Par dfaut, le service denregistrement de licences est dsactiv dans Windows Server 2003. En raison des contraintes hrites lies la conception et de lvolution des termes des licences, lenregistrement de licences peut ne pas indiquer de faon prcise le nombre total de CAL achetes par rapport au nombre total de CAL utilises sur un serveur particulier ou dans toute lentreprise. Les CAL mentionnes par lenregistrement de licences peuvent entrer en conflit avec linterprtation du contrat de licence utilisateur final (CLUF) et avec les droits dutilisation des produits (PUR, Product Use Rights). Dailleurs, il semblerait que lenregistrement de licences ne soit pas fourni avec les versions futures du systme dexploitation Windows. Microsoft recommande par contre aux utilisateurs des systmes dexploitation de la gamme Small Business Server uniquement, dactiver ce service sur leurs serveurs.
Tableau 28.22 : Nom du service systme : LicenseService Protocole dapplication Service de datagramme NetBIOS Service de session NetBIOS SMB Protocole UDP TCP TCP Port 138 139 445
940
Chapitre 28
rapports et analyse des tendances. Ds que vous avez install le Service Pack 1 (SP1) MOM 2000, MOM 2000 nutilise plus un canal de communications en texte clair et tout le trafic entre lagent MOM et le serveur MOM est crypt sur le port TCP 1270. La console Administrateur MOM se connecte au serveur par lintermdiaire de DCOM. Cela signifie que les administrateurs qui grent le serveur MOM sur le rseau doivent avoir accs aux ports TCP alatoires levs.
Tableau 28.26 : Nom du service systme : one point Protocole dapplication MOM-Clair MOM-Crypt Protocole TCP TCP Port 51515 1270
Le service MSSQLSERVER
MSSQLSERVER est un service systme de Microsoft SQL Server 2000. SQL Server constitue une plateforme complte pour la gestion de donnes. Grce lutilitaire Rseau Serveur, vous pouvez configurer les ports utiliss par chaque instance de SQL Server.
Tableau 28.28 : Nom du service systme : MSSQLSERVER Protocole dapplication SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434
942
Le service MSSQL$UDDI
Le service MSSQL$UDDI est install en mme temps que la fonctionnalit UDDI (Universal Description, Discovery, and Integration) de Windows Server 2003. MSSQL$UDDI fournit lentreprise des services UDDI. Le moteur de base de donnes SQL Server est le composant principal de MSSQL$UDDI.
Tableau 28.29 : Nom du service systme : MSSQLSERVER Protocole dapplication SQL sur TCP SQL Probe Protocole TCP UDP Port 1433 1434
Chapitre 28
sur un intranet dentreprise par le biais de Windows NetMeeting. Vous devez activer explicitement ce service dans NetMeeting. Pour dsactiver ou arrter cette fonction, utilisez licne situe dans la zone de notification Windows.
Tableau 28.31 : Nom du service systme : mnmsrvc Protocole dapplication Services Terminal Server Protocole TCP Port 3389
Le Spouleur dimpression
Le service Spouleur dimpression gre toutes les files dattente dimpression locale et rseau et contrle tous les travaux dimpression. Le Spouleur dimpression est le centre
944
du sous-systme dimpression Windows. Il gre les files dattente dimpression sur le systme et communique avec les pilotes dimprimantes et les composants dentre/sortie (E/S), tels que le port USB et la suite de protocoles TCP/IP.
Tableau 28.34 : Nom du service systme : Spooler Protocole dapplication Service de session NetBIOS SMB Protocole TCP TCP Port 139 445
LInstallation distance
Vous pouvez utiliser le service dinstallation distance pour installer Windows 2000, Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le dmarrage distance dans un environnement dexcution de prdmarrage (PXE, Pre-Boot EXecution Environment). Le service BINL (Boot Information Negotiation Layer), composant principal du serveur dinstallation distance RIS (Remote Installation Server), rpond aux demandes des clients PXE, vrifie Active Directory pour la validation client et transmet les informations client vers et depuis le serveur. Ce service est install soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalit Ajout/Suppression de composants Windows, soit lorsque vous le slectionnez lors de la premire installation du systme dexploitation.
Tableau 28.35 : Nom du service systme : BINLSVC Protocole dapplication BINL Protocole UDP Port 4011
945
Chapitre 28
fournit galement des services daccs distance (connexion distance ou VPN). Mme sil est possible que le service Routage et accs distant utilise tous les protocoles suivants, il nutilise gnralement quun sous-ensemble de ces protocoles. Par exemple, si vous configurez une passerelle VPN qui se situe derrire un routeur de filtrage, vous utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanment L2TP et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (TCP sur le port 4500) et ISAKMP IPSec (TCP sur le port 500) par lintermdiaire du routeur. Routage et accs distant Mme si NAT-T et ISAKMP IPSec sont requis pour le protocole L2TP, ces ports sont en fait surveills par lAutorit de scurit locale.
Protocole dapplication GRE (protocole IP 47) AH IPSec (protocole IP 51) ESP IPSec (protocole IP 50) L2TP PPTP
Le Serveur
Le service Serveur assure la prise en charge de RPC et le partage de fichiers, dimpression et des canaux nomms sur le rseau. Il permet le partage des ressources locales, telles que les disques et les imprimantes, pour que les autres utilisateurs sur le rseau puissent y accder. Il permet galement la communication des canaux nomms entre les programmes excuts sur lordinateur local et sur les autres ordinateurs. La communication des canaux nomms correspond la mmoire rserve la sortie dun processus qui doit tre utilis comme entre pour un autre processus. Le processus dacceptation dentre ne doit pas obligatoirement avoir lieu sur lordinateur local.
Tableau 28.41 : Nom du service systme : lanmanserver Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS SMB Protocole UDP UDP TCP TCP Port 138 137 139 445
947
Chapitre 28
le port Echo 7, RFC 862 ; le port Discard 9, RFC 863 ; le port Character Generator 19, RFC 864 ; le port Daytime 13, RFC 867 ; le port Quote of the Day 17, RFC 865.
948
Tableau 28.44 : Nom du service systme : SimpTcp Protocole dapplication Chargen Chargen Daytime Daytime Discard Discard Echo Echo Quotd Quotd Protocole TCP UDP TCP UDP TCP UDP TCP UDP TCP UDP Port 19 19 13 13 9 9 7 7 17 17
Le service SNMP
Le service SNMP permet lordinateur local de traiter les requtes SNMP (Simple Network Management Protocol) entrantes. Il comprend des agents qui surveillent 949
Chapitre 28
lactivit des priphriques rseau et en rendent compte la station de travail de la console rseau. Ce service fournit une mthode pour grer les htes rseau (tels que les stations de travail ou les serveurs, les routeurs, les ponts et les concentrateurs) partir dun ordinateur central qui excute le logiciel de gestion rseau. SNMP utilise une architecture distribue de systmes et agents de gestion pour fournir ces services.
Tableau 28.46 : Nom du service systme : SNMP Protocole dapplication SNMP Protocole UDP Port 161
950
Le service SQL Server : prise en charge des clients OLAP de niveau infrieur
Ce service est utilis par SQL Server 2000 lorsque le service SQL Analysis Server doit prendre en charge les connexions des clients de niveau infrieur (services OLAP 7.0). Il sagit des ports par dfaut pour les services OLAP utiliss par SQL 7.0.
Tableau 28.49 : prise en charge des clients OLAP de niveau infrieur Protocole dapplication Services OLAP 7.0 Services OLAP 7.0 Protocole TCP TCP Port 2393 2394
951
Chapitre 28
Tableau 28.51 : Systems Management Server 2.0 Protocole dapplication Service de datagramme NetBIOS Rsolution de noms NetBIOS Service de session NetBIOS RPC Ports TCP alatoires levs Protocole UDP UDP TCP TCP TCP Port 138 137 139 135 1024-65534
Le service Telnet
Le service Telnet pour Windows permet aux clients Telnet douvrir des sessions sur des terminaux ASCII. Le serveur Telnet prend en charge deux types dauthentification et les quatre types de terminaux suivants :
j j j j
Tableau 28.53 : Nom du service systme : TlntSvr Protocole dapplication Telnet Protocole TCP Port 23
Windows et des programmes Windows excuts sur le serveur. Ces services autorisent la connexion interactive de plusieurs utilisateurs un ordinateur.
Tableau 28.54 : Nom du service systme : TermService Protocole dapplication Services Terminal Server Protocole TCP Port 3389
953
Chapitre 28
Protocole TCP
Port 1024-65534
RFC 1350 TFTP ; RFC 2347 extension doptions ; RFC 2348 option de taille de bloc ; RFC 2349 intervalle du dlai dexpiration et options de taille de transfert.
j j
TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers conu pour prendre en charge les environnements de dmarrage sans disque. Le service TFTP est lcoute sur le port UDP 69, mais il rpond partir dun port alatoire lev. Par consquent, lactivation de ce port permet au service TFTP de recevoir des demandes TFTP entrantes, mais cela ne permet pas au serveur slectionn de rpondre ces demandes. Le service est libre de rpondre toute demande de ce type provenant du port source souhait et le client distant utilisera ensuite ce port pour la dure du transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole travers un pare-feu, il peut tre utile douvrir le port UDP 69 entrant. Vous pouvez vous reposer ensuite sur dautres fonctionnalits de pare-feu, qui permettent de manire dynamique au service de rpondre par le biais de trous temporaires sur tout autre port.
Tableau 28.57 : Nom du service systme : tftpd Protocole dapplication TFTP Protocole UDP Port 69
954
redmarre. Ce service comprend galement le serveur web utilis par le priphrique, outre les descriptions de services et la page de prsentation.
Tableau 28.58 : Nom du service systme : UPNPHost Protocole dapplication UPNP Protocole TCP Port 2869
le service Moniteur Windows Media ; le service Programme Windows Media ; le service Station Windows Media ; le service Monodiffusion Windows Media.
Les services Windows Media sont prsent regroups en un seul service qui sexcute sur Windows Server 2003. Ses principaux composants ont t dvelopps par le biais du composant COM ; ce service a une architecture souple que vous pouvez personnaliser en fonction de programmes particuliers. Il prend en charge un plus grand nombre de protocoles de contrle, notamment les protocoles RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) et HTTP. 955
Chapitre 28
Tableau 28.60 : Nom du service systme : WMServer Protocole dapplication HTTP MMS MMS MS Theater RTCP RTP RTSP Protocole TCP TCP UDP UDP UDP UDP TCP Port 80 1755 1755 2460 5005 5004 554
publication World Wide Web et vrifie que le fichier Http.sys est configur pour router les demandes HTTP vers les processus de pools dapplication ou de systmes dexploitation appropris. Vous pouvez configurer les ports utiliss par ce service laide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Si le site web administratif est activ, un site web virtuel est cr qui utilise le trafic HTTP sur le port TCP 8098.
Tableau 28.62 : Nom du service systme : W3SVC Protocole dapplication HTTP HTTPS Protocole TCP TCP Port 80 443
AH IPSec (protocole IP Routage et accs 51) distant Echo Echo Discard Discard Daytime Daytime Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services
957
Chapitre 28
Port 17 17 19 19 20 21 21
Protocole TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP UDP TCP UDP TCP UDP TCP
Protocole dapplication Quotd Quotd Chargen Chargen FTP default data FTP control FTP control Telnet SMTP SMTP SMTP SMTP WINS Replication WINS Replication DNS DNS DNS
Nom du service logique Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services Simple TCP/IP Services
FTP Publishing Service MSFtpsvc FTP Publishing Service MSFtpsvc Application Layer Gateway Service Telnet Simple Mail Transport Protocol Simple Mail Transport Protocol Exchange Server Exchange Server Windows Internet Name Service Windows Internet Name Service DNS Server DNS Server Internet Connection Firewall/Internet Connection Sharing Internet Connection Firewall/Internet Connection Sharing DHCP Server Internet Connection Firewall/Internet Connection Sharing Trivial FTP Daemon Service WINS WINS DNS DNS SharedAccess ALG TlntSvr SMTPSVC SMTPSVC
23 25 25 25 25 42 42 53 53 53
53
UDP
DNS
SharedAccess
67 67
UDP UDP
DHCPServer SharedAccess
69
UDP
TFTP
tftpd
958
Port 80 80 80 88 88 102 110 110 119 123 123 135 135 135 135 135 135 135 135
Protocole TCP TCP TCP TCP UDP TCP TCP TCP TCP UDP UDP TCP TCP TCP TCP TCP TCP TCP TCP
Protocole dapplication HTTP HTTP HTTP Kerberos Kerberos X.400 POP3 POP3 NNTP NTP SNTP RPC RPC RPC RPC RPC RPC RPC RPC
Nom du service logique Windows Media Services World Wide Web Publishing Service SharePoint Portal Server Kerberos Key Distribution Center Kerberos Key Distribution Center Microsoft Exchange MTA Stacks
Kdc Kdc
Microsoft POP3 Service Exchange Server Network News Transfer Protocol Windows Time Windows Time Message Queuing Remote Procedure Call Exchange Server Certificate Services Cluster Service Distributed File System Distributed Link Tracking Distributed Transaction Coordinator Event Log Fax Service File Replication Local Security Authority
POP3SVC
959
Chapitre 28
Protocole TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP
Protocole dapplication RPC RPC RPC RPC RPC NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Name Resolution NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Datagram Service NetBIOS Session Service NetBIOS Session Service
Nom du service logique Remote Storage Notification Remote Storage Server Systems Management Server 2.0 Terminal Services Licensing Terminal Services Session Directory Computer Browser Server Windows Internet Name Service Net Logon Systems Management Server 2.0 Computer Browser Messenger Server Net Logon Distributed File System Systems Management Server 2.0 License Logging Service Computer Browser Fax Service
137 137 137 137 138 138 138 138 138 138 138 139 139
960
Port 139 139 139 139 139 139 139 139 143 161 162 270 389 389 389 389 443 443 443 445 445
Protocole TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP TCP TCP UDP TCP UDP TCP TCP TCP TCP TCP
Protocole dapplication NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service NetBIOS Session Service IMAP SNMP SNMP Traps Outbound MOM 2004 LDAP Server LDAP Server LDAP Server LDAP Server HTTPS HTTPS HTTPS SMB SMB
Performance Logs and SysmonLog Alerts Print Spooler Server Net Logon Remote Procedure Call Locator Distributed File System Systems Management Server 2.0 License Logging Service Exchange Server SNMP Service SNMP Trap Service Microsoft Operations Manager 2004 Local Security Authority Local Security Authority Distributed File System Distributed File System HTTP SSL World Wide Web Publishing Service SharePoint Portal Server Fax Service License Logging Service Fax LicenseService SNMP SNMPTRAP MOM LSASS LSASS Dfs Dfs HTTPFilter W3SVC LicenseService Spooler lanmanserver Netlogon RpcLocator Dfs
961
Chapitre 28
Protocole TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP
Protocole dapplication SMB SMB SMB SMB SMB IPSec ISAKMP LPD File Server for Macintosh RTSP NNTP over SSL RPC over HTTP RPC over HTTP LDAP SSL LDAP SSL IMAP over SSL POP3 over SSL MOM-Encrypted SQL over TCP SQL over TCP SQL Probe SQL Probe Legacy RADIUS Legacy RADIUS L2TP
Nom du service logique Print Spooler Server Remote Procedure Call Locator Distributed File System Net Logon Local Security Authority TCP/IP Print Server File Server for Macintosh Windows Media Services Network News Transfer Protocol Remote Procedure Call Exchange Server Local Security Authority Local Security Authority Exchange Server Exchange Server Microsoft Operations Manager 2000 Microsoft SQL Server MSSQL$UDDI Microsoft SQL Server MSSQL$UDDI Internet Authentication Service Internet Authentication Service Routing and Remote Access
Nom du service systme Spooler lanmanserver RpcLocator Dfs Dfs LSASS LPDSVC MacFile WMServer NntpSvc RpcSs
554 563 593 593 636 636 993 995 1270 1433 1433 1434 1434 1645 1646 1701
LSASS LSASS
962
Port 1723 1755 1755 1801 1801 1812 1813 1900 2101 2103 2105 2107 2393
Protocole TCP TCP UDP TCP UDP UDP UDP UDP TCP TCP TCP TCP TCP
Nom du service logique Routing and Remote Access Windows Media Services Windows Media Services Message Queuing Message Queuing
Nom du service systme RemoteAccess WMServer WMServer msmq msmq IAS IAS
RADIUS Authentication Internet Authentication Service RADIUS Accounting SSDP MSMQ-DCs MSMQ-RPC MSMQ-RPC MSMQ-Mgmt OLAP Services 7.0 Internet Authentication Service SSDP Discovery Service Message Queuing Message Queuing Message Queuing Message Queuing SQL Server : Downlevel OLAP Client Support SQL Server : Downlevel OLAP Client Support Windows Media Services DHCP Server SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent
2394
TCP
MS Theater MADCAP SMS Remote Control (control) SMS Remote Control (control) SMS Remote Control (data) SMS Remote Control (data) SMS Remote Chat
WMServer DHCPServer
963
Chapitre 28
Protocole UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP TCP UDP UDP UDP TCP UDP UDP TCP TCP
Protocole dapplication SMS Remote Chat SMS Remote File Transfer SMS Remote File Transfer
Nom du service logique SMS Remote Control Agent SMS Remote Control Agent SMS Remote Control Agent
SQL Analysis Services SQL 2000 Analysis Server UPNP SSDP event notification Global Catalog Server Global Catalog Server Cluster Services Terminal Services Terminal Services MSMQ-Ping BINL NAT-T SSDP legacy event notification RTP RTCP Universal Plug and Play Device Host SSDP Discovery Service Local Security Authority Local Security Authority Cluster Service NetMeeting Remote Desktop Sharing Terminal Services Message Queuing Remote Installation Local Security Authority SSDP Discovery Service Windows Media Services Windows Media Services Microsoft Operations Manager 2000 UPNPHost SSDPRSRV LSASS LSASS ClusSvc mnmsrvc TermService msmq BINLSVC LSASS SSDPRSRV WMServer WMServer
3268 3269 3343 3389 3389 3527 4011 4500 5000 5004 5005 42424 51515
ASP.Net Session State ASP.NET State Service aspnet_state MOM-Clear one point
964
28.3. Les exigences relatives aux ports et aux protocoles Active Directory
Les serveurs dapplications, les ordinateurs clients et les contrleurs de domaine situs dans des forts communes ou externes ont des dpendances de service qui permettent des oprations inities par lutilisateur ou par lordinateur (telles que la jonction de domaine, lauthentification douverture de session, ladministration distante et la rplication Active Directory) de fonctionner correctement. De tels services et oprations requirent une connectivit rseau sur des ports et des protocoles rseau spcifiques. Voici une liste (non exhaustive) de services, de ports et de protocoles ncessaires pour que les ordinateurs membres et les contrleurs de domaine puissent interoprer ou pour que les serveurs dapplications puissent accder Active Directory : 1. Active Directory/LSA. 2. Services de certificats (requis pour des configurations spcifiques). 3. Explorateur dordinateurs. 4. Serveur DHCP (si configur de cette manire). 5. Systme de fichiers distribus. 6. Serveur de suivi de lien distribu (facultatif mais activ par dfaut sur les ordinateurs Windows 2000). 7. Coordinateur de transactions distribues. 8. Serveur DNS (si configur de cette manire). 9. Journal des vnements. 10. Service de tlcopie (si configur de cette manire). 11. Rplication de fichiers. 12. Serveur de fichiers pour le Macintosh (si configur de cette manire). 13. HTTP SSL. 14. Service dauthentification Internet (si configur de cette manire). 15. Centre de distribution de cls Kerberos. 16. Enregistrement de licences (activ par dfaut). 17. Messenger. 18. Ouverture de session rseau. 19. Journaux et alertes de performance. 20. Spouleur dimpression. 28. Annexe II Les services et les ports rseau 965
Chapitre 28
21. Installation distance (si configur de cette manire). 22. Appel de procdure distante (RPC). 23. Localisateur dappels de procdure distante (RPC). 24. Notification de stockage tendu. 25. Serveur de stockage tendu. 26. Routage et accs distant. 27. Serveur. 28. Protocole SMTP (si configur de cette manire). 29. Service SNMP. 30. Service dinterruption SNMP. 31. Serveur dimpression TCP/IP. 28. Annexe II Les services et les ports rseau 32. Telnet. 33. Services Terminal Server. 34. Gestion de licences Terminal Server. 35. Annuaire de session des services Terminal Server. 36. WINS. 37. Temps Windows. 38. Service de publication World Wide Web.
966
Chapitre 29
Accs distance
lment du service de routage et daccs distant au rseau destin aux tltravailleurs, aux employs itinrants et aux administrateurs systme qui surveillent et grent des serveurs de plusieurs succursales. Les utilisateurs qui excutent Windows et le module de connexion rseau peuvent composer un numro pour tablir une connexion distante leur rseau et accder des services tels que le partage de fichiers et dimprimantes, la messagerie lectronique, le planning, etc.
ACL discrtionnaire
Partie dun descripteur de scurit dobjet qui accorde ou refuse des utilisateurs ou des groupes particuliers lautorisation daccder lobjet. Seul le propritaire de lobjet peut modifier les autorisations accordes ou refuses dans un ACL discrtionnaire. Cela signifie que laccs lobjet est la discrtion de son propritaire. Anglais : DACL (Discretionary Access Control List).
Acrobat
Format standard de lditeur Adobe destin la cration et la diffusion des documents lectroniques compatibles sur toutes les plateformes. Le plugin Acrobat Reader, gratuit et tlchargeable, permet de consulter les documents dans ce format.
Actif, active
Qualifie un objet (fentre ou icne) qui est slectionn, en cours dutilisation. Le systme dexploitation applique toujours, la fentre active, la prochaine commande ou frappe de touche que vous excutez. Les fentres ou les icnes du Bureau qui ne sont pas slectionnes sont inactives.
Active Directory
Active Directory est un annuaire au sens informatique et technique charg de rpertorier tout ce qui touche au rseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers partags, etc. Lutilisateur peut ainsi trouver facilement des ressources partages, et les administrateurs peuvent contrler leurs 969
Chapitre 29
utilisations grce des fonctionnalits de distribution, de duplication, de partitionnement et de scurisation des accs aux ressources rpertories. Active Directory donne aux administrateurs la possibilit dadministrer linfrastructure de faon centralise et dcentralise. Il est possible dinterroger lannuaire pour obtenir une liste des objets possdant des attributs, en formulant par exemple une requte du type : "Trouver toutes les imprimantes couleur de ltage 2".
ActiveX
Ensemble de technologies permettant des composants logiciels de dialoguer entre eux au sein dun environnement rseau, quel que soit le langage dans lequel ils ont t crs.
Administrateur
Pour les versions professionnelles de Windows Vista, cest la personne qui est responsable de la configuration et de la gestion des contrleurs de domaine ou des ordinateurs locaux et de leurs comptes de groupes ou dutilisateurs, qui attribue les mots de passe et les autorisations et aide les utilisateurs rsoudre leurs problmes de rseau. Les administrateurs sont membres du groupe Administrateurs et possdent le contrle total sur le domaine ou lordinateur. Pour les versions familiales de Windows Vista, cest la personne qui peut appliquer des modifications lordinateur au niveau du systme, installer des logiciels et accder tous les fichiers de lordinateur. Une personne possdant un compte dadministrateur dispose dun accs total tous les comptes utilisateur de lordinateur.
Administrateur dordinateur
Utilisateur qui gre un ordinateur. Ladministrateur de lordinateur est autoris apporter des modifications systme lordinateur, notamment installer des logiciels et accder tous les fichiers de lordinateur. Il peut galement crer, modifier et supprimer les comptes des autres utilisateurs.
Adresse Internet
Adresse qui identifie de faon unique un emplacement sur Internet. Elle commence habituellement par un nom de protocole, suivi par le nom de lorganisation qui gre le site et le suffixe identifiant le type dorganisation. Par exemple, dans ladresse http://www .yale.edu/, http reprsente le serveur web qui utilise le protocole HTTP (Hypertext Transfer Protocol), www indique que le site est situ sur le World Wide Web et edu indique quil sagit dun tablissement denseignement. Elle peut tre plus dtaille et contenir par exemple le nom dune page hypertexte, gnralement identifie par lextension de nom de fichier .html ou .htm. Anglais : URL (Uniform Resource Locator).
970
Adresse IP
Adresse 32 bits, utilise pour identifier un nud au sein dun rseau dinterconnexion IP. Chaque nud du rseau dinterconnexion IP doit possder une adresse IP unique, compose de lID rseau et dun ID hte unique. En rgle gnrale, la valeur dcimale de chaque octet est spare par un point (par exemple, 192.168.7.27). Dans cette version de Windows, vous pouvez configurer ladresse IP de manire statique ou dynamique par lintermdiaire de DHCP.
Appartenance un groupe
Un compte dutilisateur peut appartenir un groupe. Les autorisations et les droits accords un groupe le sont galement ses membres. Dans la plupart des cas, les actions quun utilisateur peut excuter sous Windows sont dtermines par lappartenance un groupe du compte dutilisateur sur lequel lutilisateur a ouvert une session.
Attribut
Pour les fichiers, informations qui indiquent si un fichier est en lecture seule, cach, prt pour larchivage (sauvegarde), compress ou crypt, et si le contenu de ce fichier doit tre index pour la recherche rapide des fichiers.
Audit
Processus de suivi des activits des utilisateurs par lenregistrement des types dvnements slectionns dans le journal scurit dun serveur ou dune station de travail.
971
Chapitre 29
Autorisation
Processus qui dtermine ce quun utilisateur est autoris faire sur un systme informatique ou un rseau. Rgle associe un objet en vue de dterminer les utilisateurs qui peuvent accder lobjet et la manire quils doivent employer. Les autorisations sont accordes ou refuses par le propritaire de lobjet.
Autorisations hrites
Autorisations portant sur un objet et qui sont automatiquement hrites de son objet parent. Les autorisations hrites ne peuvent pas tre modifies.
Authentication
Processus de vrification de la nature relle ou prtendue dune entit ou dun objet. Lauthentification consiste par exemple confirmer la source et lintgrit des informations, vrifier une signature numrique ou lidentit dun utilisateur ou dun ordinateur.
Backdoor
Littralement, "porte arrire". Elle permet aux pirates daccder illgalement un logiciel ou un systme dexploitation en utilisant une autre issue que celle qui est officielle.
Bande passante
Reprsente la quantit de donnes pouvant tre achemines par le biais dune connexion rseau. La bande passante se mesure habituellement en bits par seconde (bps).
Base de connaissances
Partie dun systme expert contenant lensemble des informations, en particulier des rgles et des faits, qui constituent le domaine de comptence du systme. Anglais : knowledge base.
Bluetooth
Norme de communication par ondes radio avec un rayon daction de 1 m 100 m suivant les appareils, dveloppe par le Bluetooth SIG. Elle est utilise avant tout sur les tlphones mobiles, les oreillettes sans fil et les assistants personnels. Norme permettant de relier deux appareils par une connexion radio dans un rayon de 10 m 100 m, sur une bande radio de 2,4 GHz. Elle est destine remplacer terme les liaisons infrarouges.
Bogue
De langlais, bug (punaise, insecte, microbe). En informatique, erreur, dfaut dans un programme, ce qui provoque des dysfonctionnements. 29. Annexe III Glossaire
Browser
Voir Navigateur.
Bug
Voir Bogue.
Bureau
Zone de travail de lcran dans laquelle apparaissent les fentres, les icnes, les menus et les botes de dialogue.
Byte
Voir Octet.
Carte mre
La carte mre runit des composants aussi essentiels que le processeur, la mmoire vive, des systmes de bus de donnes et des connecteurs dextension pour relier une carte son ou une carte graphique, par exemple. La carte mre est le centre nerveux dun ordinateur, le lieu dchange de donnes et de calcul.
973
Chapitre 29
Carte vido
Carte dextension enfiche dans un ordinateur personnel pour lui donner des capacits daffichage. Celles-ci dpendent des circuits logiques (fournis par la carte vido) et du moniteur. Chaque carte propose plusieurs modes vido diffrents. Ceux-ci appartiennent aux deux catgories de base : le mode texte et le mode graphique. Certains moniteurs permettent en outre de choisir la rsolution du mode texte et du mode graphique. Un moniteur peut afficher davantage de couleurs aux rsolutions les plus basses. Les cartes actuelles contiennent de la mmoire afin que la mmoire vive de lordinateur ne soit pas sollicite pour stocker les affichages. En outre, la plupart des cartes possdent leur propre coprocesseur graphique qui se charge des calculs lis laffichage graphique. Ces cartes sont souvent appeles "acclrateurs graphiques".
Certicat
Document numrique communment employ pour lauthentification et la scurisation des changes dinformations sur les rseaux ouverts tels quInternet, ou les extranets et les intranets. Un certificat lie de manire scurise une cl publique lentit qui possde la cl prive correspondante. Les certificats sont signs numriquement par lautorit de certification mettrice et peuvent tre mis pour un utilisateur, un ordinateur ou un service. Le format de certificat le plus largement accept est dfini par la norme internationale ITU-T X.509.
Cheval de Troie
Programme qui se fait passer pour un autre programme commun en vue de recevoir des informations. Par exemple, un programme usurpe lidentit dune session systme pour extraire des noms dutilisateur et des mots de passe susceptibles daider les dveloppeurs du cheval de Troie pntrer ultrieurement dans le systme. Synonyme : troyen. Anglais : trojan.
Classe dadresses
Groupements prdfinis dadresses Internet, dont chaque classe dfinit des rseaux possdant une taille dtermine. La plage de nombres susceptibles dtre affects au premier octet de ladresse IP varie en fonction de la classe dadresses. Les rseaux de classe A (dont les valeurs sont comprises entre 1 et 126) sont les plus grands, chacun deux peut relier plus de 16 millions dhtes. Les rseaux de classe B (dont les valeurs sont comprises entre 128 et 191) peuvent relier jusqu 65 534 htes par rseau, tandis que les rseaux de classe C (dont les valeurs sont comprises entre 192 et 223) peuvent regrouper jusqu 254 htes par rseau.
974
Cl
Dans la Base de registre, dossier qui apparat dans le panneau gauche de la fentre de lditeur. Une cl peut contenir des sous-cls ainsi que des rubriques values. Environment, par exemple, est une cl contenue dans HKEY_CURRENT_USER.
Communication sans l
Elle est possible entre deux ordinateurs ou entre un ordinateur et un priphrique. La lumire infrarouge constitue la forme de communication sans fil propose par le systme dexploitation Windows pour la transmission des fichiers. Les frquences radio, semblables celles utilises par les tlphones portables et les tlphones sans fil, constituent une autre forme de communication sans fil.
Compte dutilisateur
Ensemble de toutes les informations dfinissant un utilisateur pour Windows. Parmi ces informations, citons le nom dutilisateur et le mot de passe fourni par lutilisateur pour se connecter au rseau, les groupes auxquels appartient lutilisateur, et les droits et autorisations dont jouit lutilisateur pour utiliser lordinateur et le rseau ou accder leurs ressources. Pour Windows XP Professionnel, les comptes dutilisateurs sont grs par le service Utilisateurs et groupes locaux.
Compression
Procd permettant de rduire le volume (en bits) ou le dbit (en bits par seconde) des donnes numrises (parole, image, texte).
Cookie
Code, ensemble dinformations, quun serveur enregistre, souvent temporairement, sur votre disque dur pour vous identifier sur son service.
975
Chapitre 29
Corbeille
Emplacement dans lequel Windows stocke les fichiers supprims. Vous pouvez rcuprer des fichiers supprims par erreur ou vider la Corbeille pour augmenter lespace disque disponible.
Dfragmentation
Processus de rcriture de parties dun fichier dans des secteurs contigus dun disque dur en vue daugmenter la vitesse daccs et de rcupration des donnes. Lorsque des fichiers sont mis jour, lordinateur a tendance les enregistrer sur le plus grand espace continu du disque dur, qui se trouve souvent sur un secteur diffrent de celui sur lequel sont enregistres les autres parties du fichier. Lorsque des fichiers sont ainsi fragments, lordinateur doit examiner le disque dur chaque fois quil ouvre le fichier afin den rechercher les diffrentes parties, ce qui rduit son temps de rponse.
Domaine
Groupe dordinateurs faisant partie dun rseau et partageant une mme base de donnes dannuaire. Un domaine est administr comme une unit rgie par des rgles et des procdures communes. Chaque domaine possde un nom unique. Un domaine Active Directory est constitu dun ensemble dordinateurs dfinis par ladministrateur dun rseau Windows. Ces ordinateurs partagent une base de donnes dannuaires commune, des stratgies de scurit et des relations de scurit avec dautres domaines. Un domaine Active Directory fournit laccs aux comptes de groupe et aux comptes dutilisateurs centraliss qui sont grs par ladministrateur du domaine. Une fort Active Directory se compose dun ou de plusieurs domaines, qui peuvent stendre sur plusieurs emplacements physiques. Un domaine DNS est une arborescence au sein de lespace de noms DNS. Bien que les noms des domaines DNS correspondent souvent aux domaines Active Directory, les domaines DNS ne doivent pas tre confondus avec les domaines Active Directory.
Dossier
Dans une interface utilisateur graphique, conteneur de programmes et de fichiers symbolis par une icne de dossier. Un dossier est un outil permettant de classer les programmes et les documents sur un disque et capable de contenir la fois des fichiers et des sous-dossiers.
Dossier de base
Dossier (gnralement sur un serveur de fichiers) que les administrateurs peuvent attribuer des utilisateurs ou des groupes individuels. Les administrateurs utilisent des dossiers de base pour consolider les fichiers utilisateurs sur des serveurs de fichiers spcifiques afin den faciliter la sauvegarde. Certains programmes utilisent les dossiers 976
de base comme dossiers par dfaut pour les botes de dialogue Ouvrir et Enregistrer sous. Les dossiers de base sont parfois appels "rpertoires de base".
Droits dutilisateur
Ensemble des autorisations dun utilisateur, sur un ordinateur ou un domaine, et lui permettant daccder un certain nombre de tches dfinies. Il existe deux types de droits dutilisateur : les privilges et les droits douverture de session. Le droit de fermer le systme est un exemple de privilge. Le droit douvrir une session sur un ordinateur localement est un exemple de droit douverture de session. Les privilges et les droits sont attribus par les administrateurs des utilisateurs ou des groupes particuliers dans le cadre de la configuration des paramtres de scurit de lordinateur.
Dual core
Physiquement, le processeur dual core ressemble fort un processeur classique, cela prs quil est surmont de deux dies au lieu dun seul. Le die tant parfois recouvert dune plaque protectrice, il ne sera pas toujours possible de distinguer au premier coup dil un processeur dual core dun processeur classique. Pour autant, il est impossible dutiliser un processeur dual core sur une carte mre actuelle, mme si le socket est identique. Il faut que le chipset de la carte mre soit adapt la gestion du dual core.
Dure de vie
Valeur incluse dans les paquets envoys sur des rseaux TCP/IP qui indiquent aux destinataires la dure pendant laquelle le paquet ou les donnes quil contient peuvent tre conservs ou utiliss. Les valeurs de dure de vie sont utilises dans les enregistrements de ressources au sein dune zone pour dterminer la dure pendant laquelle les clients demandeurs mettent en cache et utilisent ces informations lorsquelles apparaissent dans la rponse dun serveur DNS une requte pour cette zone. Anglais : TTL (Time to Live).
En ligne
Lorsquun utilisateur a tabli une connexion un rseau, on dit quil est en ligne. Dsigne galement un mode daccs direct des crans daide, par exemple. 977
Chapitre 29
Ethernet
Standard IEEE 802.3 pour les rseaux en litige. Ethernet utilise une topologie en bus ou en toile et repose sur une forme daccs appele "CSMA/DC" (Carrier Sense Multiple Access with Collision Detection) pour rguler le trafic des communications sur la ligne. Les nuds des rseaux sont relis par du cble coaxial, de la fibre optique ou une paire de cbles torsads. Les donnes sont transmises dans des trames de longueur variable qui contiennent des informations de contrle et de remise, et jusqu 1500 octets de donnes. Le standard Ethernet fournit une transmission en bande de base la vitesse de 10 Mbps (10 millions de bits par seconde).
vnement
Tout fait important se produisant dans le systme ou dans une application et devant tre signal aux utilisateurs ou consign dans un journal.
Fentre
Portion de lcran dans laquelle les programmes et les processus peuvent tre excuts. Vous pouvez ouvrir plusieurs fentres la fois. Par exemple, vous pouvez consulter vos messages lectroniques dans une fentre, travailler sur un budget dans une feuille de calcul ouverte dans une autre fentre, tlcharger des images de votre Camscope dans une autre fentre et faire vos courses en ligne dans une autre fentre. Les fentres peuvent tre fermes, redimensionnes, dplaces, rduites en bouton dans la barre des tches ou affiches en plein cran.
Fichier journal
Fichier dans lequel sont stocks les messages gnrs par une application, un service ou le systme dexploitation. Ces messages permettent de suivre lexcution des oprations. Les serveurs web, par exemple, grent des fichiers journaux qui rpertorient toutes les requtes adresses au serveur. Les fichiers journaux sont gnralement des fichiers en texte clair (ASCII) qui possdent souvent lextension .log. 978
Dans lutilitaire de sauvegarde, il sagit dun fichier qui contient un enregistrement de la date de cration des bandes ainsi que le nom des fichiers et des rpertoires qui ont t sauvegards et restaurs. Le service Journaux et alertes de performances cre galement des fichiers journaux.
Fichier systme
Fichiers utiliss par Windows pour charger, configurer et excuter le systme dexploitation. En gnral, les fichiers systme ne doivent jamais tre supprims ou dplacs.
Firewall
Voir Pare-feu.
Fort
Ensemble dun ou de plusieurs domaines Windows partageant un schma, une configuration et un catalogue global communs et lis par des relations dapprobation transitives bidirectionnelles.
Fournisseur daccs
Voir FAI.
Gestion de lordinateur
Composant qui permet dafficher et de contrler de nombreux aspects de la configuration dun ordinateur. La Gestion de lordinateur associe plusieurs utilitaires dadministration dans larborescence dune seule console, fournissant un accs facile aux proprits et aux outils dadministration des ordinateurs locaux ou distants.
Gestionnaire de priphriques
Outil dadministration qui permet de grer les priphriques dun ordinateur. Grce au Gestionnaire de priphriques, vous pouvez afficher et modifier les proprits des
979
Chapitre 29
priphriques, mettre jour les pilotes de priphrique, configurer les paramtres des priphriques et les dsinstaller.
GPO
Voir Stratgies de groupe.
Groupe
Ensemble dutilisateurs, dordinateurs, de contacts et dautres groupes. Les groupes peuvent tre utiliss comme des ensembles de distribution lectronique ou de scurit. Les groupes de distribution ne sont utiliss que pour la messagerie. Les groupes de scurit sont utiliss la fois pour accorder laccs des ressources et comme listes de distribution lectronique.
Groupe de scurit
Groupe qui peut tre rpertori sur des listes de contrle daccs discrtionnaire (DACL, Discretionary Access Control List ; voir ACL) utilises pour dfinir les autorisations sur les ressources et les objets. Un groupe de scurit peut galement tre utilis comme une entit de courrier lectronique. Lorsque vous envoyez un message de courrier lectronique un groupe, ce message est envoy tous les membres du groupe.
Groupe local
Pour les ordinateurs excutant Windows et les serveurs membres, groupe auquel peuvent tre accords des droits et des autorisations partir de son propre ordinateur et, si ce dernier appartient un domaine, des comptes dutilisateurs et des groupes globaux partir de son propre domaine et de domaines approuvs.
Groupes prdnis
Groupes de scurit installs par dfaut avec le systme dexploitation. Les groupes prdfinis sont dots dune srie de droits et de fonctions prdfinis extrmement utiles. Dans la plupart des cas, les groupes prdfinis confrent un utilisateur donn toutes les possibilits ncessaires. Par exemple, si un compte dutilisateur sur un domaine appartient au groupe prdfini Administrateurs, toute ouverture de session avec ce compte donne lutilisateur des capacits dadministrateur sur le domaine et les serveurs du domaine. Pour attribuer un compte dutilisateur un ensemble de possibilits donnes, assignez-le au groupe prdfini appropri.
980
Hritage
Mcanisme qui autorise la copie dune entre de contrle daccs (ACE, Access Control Entry) spcifique du conteneur auquel elle sapplique sur tous les enfants de ce conteneur. Lhritage peut tre associ la dlgation afin daccorder des droits dadministration lintgralit dune arborescence du rpertoire en une seule opration de mise jour.
Hexadcimal
Systme en base 16 reprsent par les chiffres 0 9 ainsi que par les lettres A (quivalant au nombre dcimal 10) F (quivalant au nombre dcimal 15).
Homepage
Voir Page daccueil.
Identicateur de processus
Voir PID.
Identicateur de scurit
Voir SID.
Image disque
Limage dun disque peut se comparer un colis postal. On peut y mettre des choses de nature diverses (correspondance, vtements, nourriture, etc.). En le scellant correctement et tant quil na pas t ouvert, on peut tre certain de son contenu. Cependant, il peut arriver endommag. Ainsi, une image disque garantit la liste des fichiers quelle contient, mais pas leur intgrit. Cest pourquoi elle est parfois associe des systmes de contrle dintgrit des donnes. Pour prendre une comparaison plus prcise, on peut aussi dire que limage disque est semblable la photo prise dun paysage. Celle-ci permet de prendre lensemble des lments du paysage, en le rcrivant sous la forme dun code de couleur. Pour un disque, le logiciel prendra une photo du disque et le rcrira sous la forme dun code
981
Chapitre 29
(compress ou pas) contenant tous les fichiers. Cela donne alors naissance un seul fichier, gnralement volumineux (autant que lespace utilis du disque).
ImageX
Utilitaire de manipulation des images disque Microsoft au format WIM. ImageX permet de crer, dappliquer, douvrir et de fermer ces images.
Infrastructure
Linfrastructure est un ensemble dlments structuraux interconnects qui fournissent le cadre pour supporter la totalit de la structure. Le terme est souvent utilis dune faon trs abstraite. Par exemple, les outils dingnierie informatique sont quelquefois dcrits comme une partie de linfrastructure dun environnement de dveloppement.
Internet
29. Annexe III Glossaire Vaste regroupement de rseaux dordinateurs qui changent de linformation par le biais dune suite de protocoles de rseau appels "TCP/IP". En tant quutilisateur, on peut penser Internet comme une immense bibliothque dont les livres sont des sites web et les pages des livres des pages web. En lisant une page dun livre, on peut sauter dautres pages ou livres.
Intranet
Rseau dune organisation (commerciale, ducative, militaire) qui offre son personnel des services semblables Internet. La plupart des intranets sont raccords Internet. Laccs un intranet est cependant limit aux personnes autorises. Les intranets se dfendent des accs non souhaits par des pare-feu.
IP (Internet Protocol)
Protocole responsable de ladressage et du routage entre les ordinateurs, de lacheminement des paquets de donnes au sein du rseau, de la constitution et du rassemblage des paquets. Les fonctionnalits assures par le protocole IP peuvent se dduire de lexamen de len-tte du paquet. Il identifie entre autres, la source et la destination du paquet et comporte des identificateurs de fragmentation. IP est dfini par la RFC 791.
Java
Langage de programmation de Sun Microsystems.
982
Javascript
Langage plus simple que Java, permettant dinsrer dans des pages HTML de petits programmes excuter par le navigateur.
Jeton
lment textuel non rductible dans les donnes en cours danalyse, par exemple lutilisation dans un programme dun nom variable, dun mot rserv ou dun oprateur. Le stockage des jetons en tant que codes courts rduit la taille des fichiers programme et acclre leur excution. En matire de gestion de rseau, objet de donnes structur unique ou message qui circule continuellement entre les nuds dun anneau jetons (token ring) et qui dcrit ltat actuel du rseau. Avant quun nud puisse envoyer un message sur le rseau, il doit attendre de contrler le jeton.
Jeu de sauvegardes
Ensemble de fichiers, de dossiers et de donnes qui ont t sauvegards et stocks dans un fichier ou encore sur une ou plusieurs bandes. 29. Annexe III Glossaire
Job
En informatique, suite dinstructions ralisant une tche et faisant appel des programmes informatiques agissant sur un ou plusieurs systmes afin dobtenir un rsultat, en particulier une recherche dinformations ; droulement du traitement correspondant lexcution de cette suite dinstructions (tches).
Journal scurit
Journal dvnements contenant des informations sur les vnements de scurit spcifis dans la stratgie daudit.
Liste de diffusion
Liste dadresses e-mail dutilisateurs Internet qui se sont inscrits auprs du gestionnaire correspondant. La liste est gre par une personne ou un service et distribue des informations. Certaines listes sont modres (elles ont un ou plusieurs modrateurs). Il existe des listes de diffusion concernant de nombreux sujets. Certaines sont "ouvertes" (tout abonn la liste peut envoyer un message toute la liste, comme lors dune conversation) et dautres sont "fermes" (seuls certains abonns peuvent crer des messages, mais tous les abonns peuvent les lire). Anglais : mailing list.
983
Chapitre 29
Magasin de certicats
En gnral, dossier de stockage permanent renfermant les certificats, les listes de rvocation de certificats et les listes de certificats de confiance.
Mailing list
Voir Liste de diffusion.
Maintenance
Ensemble des actions de dpannage, de rvision et de vrification priodique des machines, des logiciels et des objets manufacturs produits par lindustrie. Il existe diffrentes faons dorganiser les actions de maintenance :
j
La maintenance est "prventive" lorsquelle est dicte par des exigences de sret de fonctionnement. Cette maintenance prventive est "systmatique" quand elle est effectue selon un chancier tabli partir dun temps dusage ou dun nombre dunits dusage et "conditionnelle" lorsquelle est ralise la suite dune analyse rvlatrice de ltat de dgradation de lquipement. La maintenance est "corrective" lorsquelle est effectue aprs une dfaillance, attitude fataliste consistant attendre la panne pour procder une intervention. Elle est "palliative" lorsque le dpannage de lquipement est provisoire, permettant dassurer tout ou partie dune fonction requise. Ce dpannage doit toutefois tre suivi dune action curative dans les plus brefs dlais. Elle est "curative" pour une remise ltat initial.
Malware
Logiciel ou programme malveillant capable dendommager votre systme.
Masque de sous-rseau
Un masque de sous-rseau permet didentifier un sous-rseau. En IPv4, une adresse IP est code sur 4 octets, soit 32 bits. Un masque de sous-rseau possde lui aussi 4 octets. Lorsque deux adresses IP appartiennent un mme sous-rseau, elles partagent un certain nombre de bits. Si le bit n des deux adresses IP est identique, alors le bit n du masque de sous-rseau vaut 1, sinon il vaut 0.
Mmoire ash
Mmoire petite, plate et semi-conducteur, utilise dans les lecteurs MP3, les appareils photo numriques et les assistants personnels. Elle regroupe les mmoires
984
CompactFlash, SmartMedia et Memory Stick. Si vous calculez le cot au mgaoctet, cette forme de stockage est trs onreuse.
Mmoire virtuelle
Espace du disque dur interne dun ordinateur qui vient seconder la mmoire vive, Elle se concrtise par un fichier dchanges (fichier swap), lequel contient les donnes non sollicites constamment. La mmoire virtuelle, comme son nom lindique, sert augmenter artificiellement la mmoire vive. Elle est aussi moins performante.
Migration
Passage dun tat existant dun systme dinformation ou dune application vers une cible dfinie dans un projet ou un programme.
Mot de passe
Mesure de scurit utilise pour limiter les noms douverture de session sur les comptes dutilisateurs ainsi que les accs aux systmes et aux ressources. Un mot de passe est une chane de caractres qui doit tre fournie pour quune ouverture de session ou un accs soient autoriss. Un mot de passe peut tre compos de lettres, de chiffres ou de symboles. Les minuscules et les majuscules sont diffrencies.
985
Chapitre 29
Navigateur
Logiciel qui interprte les balises des fichiers HTML, les transforme en pages web et les affiche dans une fentre. Certains navigateurs permettent aux utilisateurs denvoyer et de recevoir des courriers lectroniques, de consulter des groupes de discussion et de lire des fichiers audio et vido intgrs des documents web. Anglais : browser.
Nom de partage
Nom qui fait rfrence une ressource partage sur un serveur. Tout dossier partag dun serveur possde un nom de partage utilis par les utilisateurs de PC pour faire rfrence au dossier. Les utilisateurs dordinateurs Macintosh utilisent le nom du volume accessible aux Macintosh qui correspond un dossier, et qui peut tre identique au nom de partage.
Newsgroup
Forum de discussions sur Internet, avec des sujets prcis. Les newsgroups sont en gnral modrs (ils ont un ou plusieurs modrateurs). 29. Annexe III Glossaire
NTFS
Systme de fichiers avanc qui offre des performances, une scurit, une fiabilit et des fonctionnalits avances qui ne se retrouvent dans aucune version de FAT. Par exemple, NTFS garantit la cohrence des volumes en utilisant des techniques standards douverture de transaction et de restauration. Si un systme prsente une dfaillance, NTFS utilise son fichier journal et ses informations de points de vrification pour restaurer la cohrence du systme de fichiers. Dans Windows 2000 et Windows XP, NTFS fournit galement des fonctionnalits avances telles que les autorisations sur fichiers et dossiers, le cryptage, les quotas de disque et la compression.
Objet
Entit (par exemple un fichier, un dossier, un dossier partag, une imprimante ou un objet Active Directory) identifie par un jeu nomm et distinct dattributs. Les attributs dun objet fichier, par exemple, couvrent son nom, son emplacement et sa taille, tandis que les attributs dun objet utilisateur Active Directory peuvent comporter le prnom, le nom et ladresse de messagerie de lutilisateur. Pour OLE et ActiveX, un objet peut aussi tre nimporte quel lment dinformation li (incorpor) un autre objet.
986
Octet
Unit de mesure de mmoire informatique (1 octet vaut 8 bits). La place occupe par les fichiers est mesure en octets, en kilo-octets (1 ko vaut 1024 octets), en mgaoctets (Mo) ou en gigaoctets (Go). Anglais : byte.
Ouverture de session
Opration permettant un utilisateur de commencer utiliser le rseau en fournissant un identifiant et un mot de passe.
Page daccueil
Page web de dpart dun site Internet, contenant des informations sur lidentit du propritaire du site, les serveurs fournis, ventuellement un index. Anglais : homepage.
Page web
Les sites Internet contiennent plusieurs pages web. Par exemple, plusieurs personnes peuvent avoir des pages personnelles sur le mme serveur (site Internet). Une page web est un document hypermdia sur le Web.
Pare-feu
Ensemble de matriels et de logiciels constituant un systme de scurit, en rgle gnrale pour empcher les accs non autoriss provenant de lextrieur sur un rseau interne ou un intranet. Un pare-feu empche les communications directes entre les 987
Chapitre 29
ordinateurs du rseau et les ordinateurs externes en faisant passer les communications par un serveur Proxy en dehors du rseau. Ce serveur Proxy dtermine sil nest pas dangereux de laisser passer un fichier sur le rseau. Synonyme : passerelle de scurit. Anglais : firewall.
Partition
Partie dun disque physique qui se comporte comme sil sagissait dun disque physiquement distinct. Lorsque vous crez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des donnes. Sur les disques de base, les partitions sont appeles des "volumes de base" et peuvent tre des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appeles des "volumes dynamiques" et peuvent tre des partitions simples, fractionnes, agrges par bande, en miroir ou RAID-5.
Partition active
Partition partir de laquelle dmarre un ordinateur de type x86. La partition active doit tre une partition principale dun disque de base. Si vous utilisez exclusivement Windows, la partition active peut tre la mme que celle du volume systme.
Partition damorage
Partition qui contient le systme dexploitation Windows et ses fichiers de prise en charge. La partition damorage peut tre la mme que la partition systme.
Partition principale
Type de partition que vous pouvez crer sur les disques de base. Une partition principale est une partie de lespace disque physique qui fonctionne comme un disque physiquement indpendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez crer jusqu quatre partitions principales ou trois partitions principales et une partition tendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez crer jusqu 128 partitions principales. Synonyme : volume.
Partition systme
Partition qui contient des fichiers propres au matriel qui sont indispensables au chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition systme peut tre la mme que la partition damorage.
988
Plugin ou plug-in
De langlais to plug in (brancher). Non autonome, ce petit logiciel se greffe sur un programme principal pour lui confrer de nouvelles fonctionnalits. Le programme principal fixe un standard dchange dinformations auquel les plugins se conforment. Par exemple, certains plugins sinstallent sur un navigateur pour lui apporter des fonctions supplmentaires.
Point de restauration
Reprsentation dun tat stock de votre ordinateur. Le point de restauration est cr par la fonction Restauration systme intervalles rguliers ou lorsque le dbut dun changement sur lordinateur est dtect. Vous pouvez galement crer des points de restauration manuellement.
Pop-up
Qualifie une fentre publicitaire qui saffiche devant la page web consulte. On parle de fentre pop_under lorsque la fentre de publicit apparat derrire la page.
Prvention dintrusion
La Prvention dintrusion analyse tout le trafic entrant et sortant sur votre ordinateur et compare ces informations un ensemble de signatures dattaque. Une signature dattaque est un groupe de donnes organises qui identifie une tentative de piratage visant exploiter une faille connue du systme dexploitation ou dun programme. Si les informations correspondent une signature dattaque, la Prvention dintrusion rejette automatiquement le paquet et interrompt la connexion avec lordinateur lorigine de lenvoi des donnes. Lordinateur est ainsi protg contre la plupart des attaques possibles.
Privilge
Droit dun utilisateur deffectuer une tche spcifique, qui affecte gnralement lensemble du systme informatique plutt quun objet particulier. Les privilges sont attribus par les administrateurs des utilisateurs ou des groupes dutilisateurs particuliers dans le cadre de la configuration des paramtres de scurit de lordinateur. Voir Droits dutilisateur.
989
Chapitre 29
Prol dutilisateur
Fichier qui contient des informations de configuration (comme les paramtres du Bureau, les connexions rseau permanentes et les paramtres des applications) pour un utilisateur spcifique. Les prfrences de chaque utilisateur sont enregistres dans un profil dutilisateur que Windows utilise pour configurer le Bureau chaque fois quun utilisateur ouvre une session.
Programme
Jeu dinstructions complet et autonome qui permet dexcuter une tche donne : traitement de texte, comptabilit ou gestion des donnes, par exemple. Synonyme : application.
Protocoles
Ensemble de rgles et de conventions relatives lenvoi dinformations sur un rseau. Ces rgles rgissent le contenu, le format, la synchronisation, la mise en squence et le contrle des erreurs des messages changs entre les priphriques du rseau. 29. Annexe III Glossaire
Proxy
Ordinateur qui sintercale entre le rseau priv et Internet pour servir de pare-feu ou de cache. Dans ce dernier cas, il enregistre les pages web transfres par les utilisateurs pour les dlivrer sans quil soit ncessaire de se connecter sur le serveur initial.
Raccourci
Lien vers nimporte quel lment accessible sur un ordinateur ou sur un rseau, notamment un programme, un fichier, un dossier, un lecteur de disque, une page web, une imprimante ou un autre ordinateur. Vous pouvez placer des raccourcis diffrents endroits, notamment sur le Bureau, dans le menu Dmarrer ou dans des dossiers dtermins.
Registre
Emplacement de base de donnes destin aux informations relatives la configuration dun ordinateur. Le Registre contient des informations auxquelles Windows se rfre en permanence, notamment : 990
j j j j j
les profils de chacun des utilisateurs ; les programmes installs sur lordinateur et les types de documents que chacun peut crer ; les paramtres des proprits des dossiers et des icnes de programme ; le matriel prsent sur le systme ; les ports en cours dutilisation.
Le Registre est organis de manire hirarchique sous la forme dune arborescence et est constitu de cls et de sous-cls, de ruches et de rubriques values.
Rseau
Groupe dordinateurs et de priphriques, comme des imprimantes et des scanneurs, connects entre eux par une liaison de communication permettant tous les priphriques dinteragir. Un rseau peut tre de grande ou de petite taille, connect durablement par des cbles ou temporairement par des lignes tlphoniques ou des transmissions sans fil. Le plus grand rseau est Internet, qui est un groupement de rseaux du monde entier. 29. Annexe III Glossaire
Routeur
Dans un environnement Windows, matriel qui participe linteroprabilit et la connectivit des rseaux locaux et des rseaux tendus. Permet aussi de lier des rseaux locaux rgis par diffrentes topologies rseau (notamment Ethernet et Token Ring). Les routeurs font correspondre les en-ttes de paquets un segment du rseau local et choisissent le meilleur chemin pour le paquet, ce qui optimise les performances du rseau. Dans lenvironnement Macintosh, les routeurs sont indispensables aux communications entre des ordinateurs appartenant des rseaux physiques distincts. Ils conservent une copie de la configuration des rseaux physiques sur un interrseau Macintosh (rseau) et transfrent les donnes reues du rseau physique vers les autres. Les ordinateurs excutant la version serveur de Windows avec lintgration rseau AppleTalk peuvent servir de routeurs, et vous pouvez galement utiliser dautres matriels de routage sur les rseaux avec intgration rseau AppleTalk.
Ruche
Partie du Registre qui apparat en tant que fichier sur votre disque dur. Le sous-arbre du Registre est divis en ruches (en raison de la ressemblance avec la structure cellulaire dune ruche dabeilles). Une ruche correspond un ensemble discret de cls, de sous-cls et de valeurs qui figurent en haut de la hirarchie du Registre. Une ruche est sauvegarde par un fichier unique et un fichier .log qui se trouvent dans le dossier racine_systme\System32\Config ou racine_systme\Profiles\nom_utilisateur. 991
Chapitre 29
La plupart de ces fichiers (par dfaut, SAM, scurit et systme) sont normalement stocks dans le dossier racine_systme\System32\Config. Le dossier racine_systme \Profiles contient le profil dutilisateur de tous les utilisateurs de lordinateur. Puisquune ruche est un fichier, elle peut tre dplace dun systme un autre. Cependant, vous devez utiliser lditeur de Registre pour modifier le fichier.
Spamming
Envoi de courrier indsirable en masse. Les spammeurs envoient des courriers (ou spams) des fins lucratives. Ils utilisent de nombreux moyens pour y parvenir. Ce systme est puni par la loi, en France et dans beaucoup dautres pays.
Sauvegarde
Copie de tous les fichiers slectionns (en dautres termes, lattribut Archive est dsactiv). Pour les sauvegardes normales, vous navez besoin que de la copie la plus rcente du fichier ou de la bande de sauvegarde, afin de restaurer les fichiers. En rgle gnrale, une sauvegarde normale seffectue la premire fois que vous crez un jeu de sauvegardes. 29. Annexe III Glossaire
Script
Type de programme constitu dun jeu dinstructions pour une application ou un programme doutil. Un script exprime gnralement ses instructions en employant les rgles et la syntaxe de lapplication ou de loutil, avec des structures de commande simples telles que des boucles et des expressions (if, then). Dans lenvironnement Windows, programme de traitement par lots. Anglais : batch.
Scurit
Ensemble de mcanismes de contrle empchant lutilisation non autorise de ressources. Un des mcanismes de scurit, que lutilisateur dun ordinateur rencontre souvent, est le mot de passe.
Services
Les services sont utiliss pour effectuer des actions entre un programme install sur un ordinateur et un priphrique Bluetooth distant. Ces paramtres permettent lordinateur et aux priphriques Bluetooth externes de se connecter et deffectuer dautres activits, comme la connexion Internet ou limpression.
992
Shareware
De langlais share (partage). Logiciel distribu librement et dont lutilisation est soumise la condition de le payer si lutilisateur est satisfait et continue lutiliser aprs un certain dlai, en gnral un mois.
Site
Un ou plusieurs sous-rseaux TCP/IP correctement connects (fiables et rapides). Un site permet aux administrateurs de configurer laccs et la topologie de rplication Active Directory rapidement et facilement pour tirer avantage du rseau physique. Lorsque les utilisateurs ouvrent une session, les clients Active Directory recherchent les serveurs Active Directory sur le mme site que lutilisateur. 29. Annexe III Glossaire
Sous-arbre
Nud dun arbre, ainsi que nimporte quelle slection de nuds descendants connects. Dans la structure du Registre, les sous-arborescences sont les nuds principaux qui contiennent les cls, les sous-cls et les valeurs.
Sous-cl
Cl au sein dune cl. Dans la structure du Registre, les sous-cls sont subordonnes aux sous-arbres et aux cls. Les cls et les sous-cls sont semblables len-tte de section des fichiers .ini, bien que les sous-cls puissent aussi excuter des fonctions.
Stratgies de groupe
Les stratgies de groupe sont des paramtres de configuration appliqus aux ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont galement grs dans un environnement Active Directory.
993
Chapitre 29
Ils ont pour objectifs de rduire les besoins en assistance, et dautomatiser certains processus. Une stratgie de groupe peut contrler la base de Registre dun ordinateur, la scurit NTFS, les rgles dcoute et de scurit, linstallation de logiciels, les scripts pour se connecter et se dconnecter, les redirections de rpertoires, et les paramtres dInternet Explorer. Ces rgles sont enregistres dans les stratgies de groupe. Une stratgie de groupe est identifie en interne, par un identifiant unique : un GUID. Chacun peut tre associ plusieurs sites et domaines de travail. De cette manire, il est possible de mettre jour des centaines de machines via un seul changement une stratgie de groupe. Cela rduit les cots de maintenance. Les stratgies de groupe sont analyses et appliques lors du dmarrage dun ordinateur, ainsi que lors de la connexion et la dconnexion dun utilisateur. La machine cliente rafrachit priodiquement la plupart des stratgies de groupe (toutes les 90 120 minutes) bien que cet intervalle soit configurable. Anglais : GPO (Group Policy Object).
TCP/IP
Le composant TCP/IP install dans un systme dexploitation rseau est constitu dune srie de protocoles interconnects appels "protocoles centraux de TCP/IP". Toutes les autres applications et les protocoles de la suite de protocoles TCP/IP sappuient sur les services fondamentaux fournis par les protocoles suivants : IP, ARP, ICMP, IGMP, TCP, UDP.
994
Unit dorganisation
Objet conteneur Active Directory utilis lintrieur des domaines. Les units dorganisation sont des conteneurs logiques dans lesquels vous pouvez placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Elles ne peuvent contenir que des objets de leur domaine parent. Lunit dorganisation est la plus petite tendue laquelle un objet de stratgie de groupe peut tre li, ou sur laquelle une autorit administrative peut tre dlgue. Anglais : OU (Organization Unit).
la configuration dUSMT, pour une situation unique, en utilisant les fichiers (.xml) de rgles de migration pour contrler exactement quels comptes utilisateurs, quels fichiers et quels paramtres sont transfrs, et comment ils le sont ; lautomatisation de la migration laide des deux outils de ligne de commande USMT qui contrlent la collecte et la restauration des fichiers et paramtres utilisateur.
995
Chapitre 29
Utilisateur
Personne qui utilise un ordinateur. Si lordinateur est connect un rseau, un utilisateur peut accder aux programmes et aux fichiers de lordinateur, ainsi quaux programmes et aux fichiers situs sur le rseau (en fonction des restrictions du compte dtermines par ladministrateur rseau).
Variable
En programmation, emplacement de stockage nomm qui peut contenir un type de donnes dtermin, susceptible dtre modifi pendant lexcution du programme. Les variables denvironnement systme sont dfinies par Windows XP et sont les mmes, indpendamment de celui qui se connecte lordinateur. Les membres du groupe Administrateurs peuvent nanmoins ajouter de nouvelles variables ou modifier des valeurs. Les variables denvironnement utilisateur peuvent tre diffrentes pour chaque utilisateur dun ordinateur particulier. Elles comprennent toutes les variables denvironnement que vous souhaitez dfinir ou les variables dfinies par vos applications, comme le chemin daccs de vos fichiers dapplication. 29. Annexe III Glossaire
Variable denvironnement
Chane comportant des informations sur lenvironnement (lecteur, chemin ou nom de fichier), associes un nom symbolique pouvant tre utilis par Windows. Vous dfinissez des variables denvironnement par le lien Systme du Panneau de configuration ou laide de la commande Set dans lInvite de commandes.
Versions prcdentes
Les versions prcdentes sont des copies de sauvegarde (copies de fichiers et de dossiers) ou des clichs instantans (copies de fichiers et de dossiers enregistres automatiquement par Windows comme lment dun point de restauration). Les clichs instantans peuvent tre des copies de fichiers sur votre ordinateur ou des fichiers partags sur un ordinateur dun rseau. Vous pouvez utiliser des versions prcdentes de fichiers pour restaurer des fichiers que vous avez accidentellement modifis ou supprims, ou qui ont t endommags. Selon le type de fichier ou de dossier, vous pouvez les ouvrir, les enregistrer vers un autre emplacement ou les restaurer une version prcdente.
Virtualisation
En informatique, ensemble des techniques matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes dexploitation et/ou plusieurs applications, sparment les uns des autres, comme sils fonctionnaient sur des machines physiques distinctes. Les outils de virtualisation servent faire fonctionner ce 996
quon appelle communment des "serveurs privs virtuels" (Virtual Private Servers ou VPS) ou encore "environnements virtuels" (Virtual Environments ou VE).
Wi-Fi (Wireless-Fidelity)
Norme 802.11 de rseau sans fil. Un rseau Wi-Fi peut tre utilis pour permettre la connexion un rseau local ou tendu, ou Internet.
WIM
Format des images systmes utilis par Windows Vista, Windows Longhorn Server et SMS.
Windows RE
Environnement de rcupration, de rsolution dincidents de Windows Vista.
Windows PE
Environnement de prinstallation de Windows. Windows PE permet de charger un systme dexploitation minimal partir dun mdia de type CD/DVD au dmarrage dun ordinateur afin dobtenir une plateforme de dploiement ou de maintenance pour le poste de travail. Windows PE est configurable. Windows Vista introduit la version 2 de Windows PE. 29. Annexe III Glossaire
ZIP
Format de compression, utilis notamment par les utilitaires pkzip et WinZip. Lextension correspondante est .zip. Lorsque lon compresse un fichier ou un dossier, le rsultat obtenu est communment appel "fichier ZIP" ou "archive".
997
Index
!
$OEM$, 222 \$OEM$\$$, 222 \$OEM$\$$\Help, 222 \$OEM$\$$\System32, 222 \$OEM$\$1, 222 \$OEM$\$1\pilotesPlug-and-Play, 222 \$OEM$\$1\SysPrep, 222 \$OEM$\$Docs, 222 \$OEM$\$Progs, 222 \$OEM$\$Progs\Internet Explorer, 223 \$OEM$\lettre_lecteur\sous_dossier, 223 \$OEM$\Textmode, 222 installation partir dun fichier de rponses, 651 installation dtaille, 623 installation via le rseau, 649 intgration du DNS, 634 journaux dvnements, 636 NETLOGON, 631 objets crs par dfaut, 641 premier contrleur de domaine, 622, 641 problme li linstallation, 643 problme lors de linstallation, 642 processus dinstallation, 620 restauration des annuaires, 635 scurit, 715 schma, 525, 670 SYSVOL, 631 vrification de linstallation, 630 vrifier la structure de dossiers, 631 vrifier les dossiers partags ncessaires, 631 vue densemble, 615 Active Directory Application Mode (voir ADAM), 69, 735 Active Directory Federation Services (voir ADFS), 754 ActiveX, 970 ADAM configuration requise, 738 cration dune instance, 742 cration dune Unit dOrganisation, 750 grer une instance, 748 installation, 740 instances, 737 maintenance, 750 principe, 735 restauration, 751 sauvegarde, 750 se connecter une instance, 746
A
Abortpxe.com, 332 Accs distance, 969 Access Denied, 847 ACL, 969 Acrobat, 969 ACT, 969 Actif, 969 Active Directory, 522, 969 assistant Installation, 623 base de donnes, 632 calcul de lespace libre, 617 conditions requises pour linstallation, 618 contraintes matrielles, 616 dployer le deuxime contrleur de domaine, 649 dployer le domaine racine, 619 dfinitions communes, 541 fichiers journaux, 632
999
Adamsync
synchroniser les donnes avec Active Directory, 752 Adamsync, 753 ADFS, 754 agent, 759 configuration requise, 757 implmentation des composants, 760 installation du composant agent web, 761 installation du composant Proxy du service de fdration, 761 installation du composant Service de fdration, 760 principales fonctionnalits, 754 proxy de serveur de fdration, 757 proxy du service de fdration, 759 rles des serveurs, 755 serveur de fdration, 756 service de fdration, 758 terminologie, 762 Admin Approval Mode, 846 Administration pare feu, 502 dordinateur, 970 dun serveur, 431 ADPREP, 863 Adressage APIPA (Automatic Private IP Addressing), 113 DHCP, 113 IP dynamique, 113 IP statique, 113 plan dadressage IP, 32, 48 Adresse Internet, 970 IP, 971 ADS (Automated Deployment Services), 70 ADSL, 971 Affinit des clients, 567 Ajout un domaine impliquant le client WDS, 326 un domaine lors du premier dmarrage, 331 de pilotes une image de Windows hors connexion, 289 une image dans une image, 284 Alerte, 468, 971 Amorage (double), 110 Analyse des performances, 451
Annuaire, 513 Antivirus en entreprise, 847 Appartenances de groupe, 431, 971 Applet, 404 Appliquer une image avec ImageX, 265 Approbation, 684 cration, 690 domaine kerberos, 688 fonctionnement, 688 priphriques en attente, 326 Arbre, 526 Architecture gestion dinstallation, 208 ImageX, 252 Assistant Gestion dinstallation, 208 architecture, 208 attribution des fichiers Unattend des images, 218 cration dun fichier de rponses, 212 interface graphique, 211 points importants, 219 volet Fichier de rponses, 212 volet Image systme Windows, 212 volet Messages, 212 volet Partage de distribution, 212 volet Proprits, 212 AT, 864 Attaque du compte Administrateur, 722 ATTRIB, 865 Attribut, 971 Audit, 971 AuditSystem, 205, 213 AuditUser, 205, 213 Authentification, 717, 972 Automated Deployment Services (ADS), 70 Autonomie, 719 Autorisation, 717, 972 accs spciales, 972 hrites, 972 Avantages ImageX, 249
B
Backdoor, 972 Bande passante, 972
1000
CreateProcessAsUser
Barre des tches, 972 Basculement, 574 Base de connaissances, 973 BitLocker, 504 Bluetooth, 973 Bogue, 973 Boot Information Negociation Layer (BINL), 125 Boot.wim, 237 BOOTCFG, 866 Bootmgfw.efi, 332 Bug, 973 Bureau, 973 Bureau distance, 443 configurer les prfrences, 444 se connecter, 445
C
CACLS, 867 Capturer une image avec ImageX, 249 Caractristiques Windows Server 2003, 59 Windows Server 2008, 493 Carte mre, 973 vido, 974 Catalogue global, 532 configurer, 674 dfinir, 543 matre dinfrastructure et catalogue global, 667 serveur, 579 Centralisation des donnes, 523 Certificat, 974 diteurs de certificats, 642 magasin, 426, 984 service, 931 Chemin daccs du pilote, 210 Cheval de Troie, 974 CHKDSK, 869 CHKNTFS, 870 Choix du domaine racine de la fort, 555 CIPHER, 871 Classe dadresses, 974
dobjets, 524 Cl, 975 Clients (affinits), 567 CLIP, 873 CMD, 873 CMDKEY, 875 CNG, 505 Collision de rplication, 572 Commande synchrone, 211 Communication sans fil, 975 Composant, 210 Compression, 975 Compte Administrateur attaque, 722 Compte dutilisateur, 975 contrle des comptes, 846 Compteurs de performance, 471 Conception de linfrastructure logique Active Directory, 545 Configurer catalogue global, 674 DNS, 633 Conformit LDAP, 519 Connexions web scurises, 975 Contrle des comptes utilisateurs, 846 Contrleurs de domaine, 530 indisponibilit, 645 Cookie, 975 Corbeille, 976 Couche Application, 770, 780 corruption, 781 dfense, 781 Couche Donnes, 770, 782 corruption, 783 dfense, 783 Couche Hte, 770, 778 corruption, 779 dfense, 779 Couche Primtre, 770, 773 corruption, 774 dfense, 774 Couche Physique, 770 corruption, 771 dfense, 771 Couche Rseau interne, 770, 775 corruption, 776 dfense, 777 CreateProcessAsUser, 847
1001
Cration
D
DATE, 877 Dcdiag.exe, 644 DCGPOFIX, 878 Dfense couche application, 781 couche donnes, 783 couche hte, 779 couche primtre, 774 couche physique, 771 couche rseau interne, 777 en profondeur, 769 Dfinir catalogue global, 543 nom unique et nom unique relatif, 544 schma, 542 service dannuaire, 541 stratgie de noms dordinateurs, 329 Dfinitions communes dans un projet Active Directory, 541 DEFRAG, 878 Dfragmentation, 976 DHCP configuration, 312 utilisateurs, 641 Dployer des ordinateurs Windows Vista en entreprise, 185, 247 option dinstallation des services de dploiement, 308 DFS (Distributed File System), 568 DFSCMD, 879 DiskPart, 241, 880 Disques, 474 DNS mcanisme de vieillissement, 653 protection des donnes DNS, 729 protection des serveurs DNS, 728 rsolution de noms rcursive, 640 vieillissement et nettoyage, 653-654
DnsAdmins, 641 DnsUpdateProxy, 642 Domaine, 112, 525, 976 contrleurs, 530 enfant, 655 racine vide, 556 racine de la fort, 555 rgional, 554 unique, 552 Dossier, 976 de base, 976 Double amorage, 110 DRM, 977 Droits dutilisateur, 977 Drvload, 241 Dsadd, 605 DSADD QUOTA, 724 DSGET, 882 DSMOD QUOTA, 725 DSMOVE, 883 DSQUERY, 884 DSQUERY QUOTA, 727 Dual core, 977 Dualboot, 110 Duplicateurs, 641 Dure de vie, 977
E
lment de liste, 210 Emplacement de compte, 326 mulateur contrleur principal de domaine (CDP), 532 PDC, 665 En ligne, 977 En tant quadministrateur, 847 Enregistrements de ressources SRV, 618 tablir des frontires de scurit, 797 tape de configuration, 210 Ethernet, 978 valuation de la scurit, 805 analyse des vulnrabilits, 814 audit de scurit informatique, 816 dfense en profondeur, 810 planification, 808
1002
Image
test de pntration, 815 vnement, 978 EVENTQUERY, 885 Excuter en tant que, 433 raccourcis, 437
F
FAI, 978 FAT32, 978 Feature Packs, 69 Fentre, 978 Fichier catalogue, 210 de rponses, 210-211 journal, 978 systme, 979 File Replication Services (FRS) Monitoring Tools, 70 FINGER, 886 Flexible Single Master of Operation, 663 Fonctionnalit de basculement, 574 Fonctionnement des approbations, 688 Fort, 527, 979 accs restreint, 550 bas sur lorganisation, 548 bas sur les ressources, 549 modes de fort, 680 multidomaine, 616 puzzmania.com, 51 Format commande FORMAT, 887 WIM, 319 Framework.NET, 169 FREEDISK, 888 Frontires de scurit, 797 FRS (File Replication Service), 568 FSMO, 663 FTP, 889
Gestionnaire de packages, 285 de priphriques, 979 des tches, 459 Get-help, 409 Get-Member, 412 GETMAC, 890 GPO, 980 GPRESULT, 890 GPUPDATE, 891 Group Policy Management Console (GPMC), 70 Groupe, 980 dimages, 320 de scurit, 980 de travail (Workgroup), 112 local, 980 local de domaine, 433 local de domaine intgr, 431 prdfinis, 980 universels, 579 Groupes dimages, 320 crer, 321 Install.wim, 320 Res.rwm, 320
H
Hdlscom1.com, 332 Hdlscom1.n12, 332 Hdlscom2.com, 332 Hdlscom2.n12, 333 Hritage, 981 Hexadcimal, 981 Home page, 987, 981 HTTP, 981
I
Identity Integration, 70 Image attribution des fichiers Unattend, 218 CD-Rom (Risetup.exe), 129, 320 de dmarrage, 312, 315
G
Generalize, 204, 213 Gestion de lordinateur, 439, 979
1003
ImageSelection
disque, 981 dinstallation, 312, 319 hrites, 312 Riprep (Riprep.exe), 130, 319 systme Windows, 211 ImageSelection, 220 ImageX, 241, 982 /apply, 241, 255, 265 /capture, 257 /export, 285 /info, 259 /mountrw, 241, 260 /split, 262 /unmount, 263 appliquer une image, 265 architecture, 252 capturer une image, 249 scnarios, 251 Indisponibilit du contrleur, 645 InetOrgPerson, 521 Informatique centralise, 597 dcentralise, 598 externalise, 598 Infrastructure, 982 logique Active Directory, 545 matre dinfrastructure, 532, 666 Install.wim, 320 Installation compatibilit du systme, 108 en mode texte, 113 Framework.NET, 169 interactive, 143 manuelle, 111 mise niveau, 109 MSXML, 170 nouvelle installation, 109 pack de langues dans une image hors connexion, 296 prrequis, 107 Upgrade Advisor, 170 Internet, 982 Internet Explorer, 826 Intranet, 982 Isolation, 719 ISTG (Intersite Topology Generator), 573 IUSR_xxx, 642 IWAM_xxx, 642
J
Java, 982 Javascript, 983 Jeton, 983 Jeu de configuration, 210 de sauvegardes, 983 Job, 983 Journal scurit, 983 Journaux, 462
K
KCC (Knowledge Consistency Checker), 573 Kerberos, 688 centre de distribution de cls, 939 Krbtgt, 642
L
LDAP (Lightweight Directory Access Protocol), 513 LDAP V3, 516 LDIFDE, 893 Licence, 115 CAL, 115 enregistrement de licences, 940 gestion de licences Terminal Server, 953 Windows Vista, 148 Lien de sites, 576 Limites exposition des comptes dadministration des services, 721 ImageX, 251 Sysprep, 232 Win PE, 240 Localisation de services, 569 Login, 220 LPQ, 894 LPR, 895
1004
NETSH
M
Magasin de certificats, 426, 984 Maintenance, 984 Active Directory, 704 ADAM, 750 de limage, 283 des serveurs, 429 stratgies de groupe, 375 Maintenance dActive Directory dfragmentation, 704 dplacement, 705 prendre les rles matres, 707 restauration, 700 restauration autoritaire, 703 restauration non autoritaire, 701 sauvegarde, 697 Matre dattribution de noms de domaine, 531, 664 dID relatifs, 531 dinfrastructure, 532, 666 dinfrastructure et catalogue global, 667 de schma, 531, 586 des ID relatifs, 664 Majuscules et minuscules, 626 Malware, 826, 984 Masque de sous-rseau, 984 Mmoire, 471 flash, 984 virtuelle, 985 Menaces pour la scurit Active Directory, 717 Microsoft Exchange Server et Outlook, 935 Microsoft Security Assessment Tool, 818 Microsoft Solutions Framework, 548 Migration, 985 vers Windows Vista, 151 Migwiz.exe, 157, 164 Minuscules et majuscules, 626 Mise niveau du systme dexploitation, 109 Mise en cache de lappartenance aux groupes universels, 579 Mises jour dynamiques, 619 MMC, 985 Mode de licence par priphrique (ou sige), 116 de licence par serveur, 115 Modle
administration, 851 domaine bas sur les entits de lentreprise, 554 domaine rgional, 554 domaine unique, 552 fort accs restreint, 550 fort bas sur lorganisation, 548 fort bas sur les ressources, 549 informatique centralise, 597 informatique dcentralise, 598 informatique externalise, 598 scurit, 850 scurit Member Server Baseline, 799 structure dunits dorganisation, 598 Modes de fort, 680 Mot de passe, 985 crypt, 985 utilisateur, 985 MOUNTVOL, 895 MSAT, 818 MSF, 548 MSXML, 170 Multiboot, 110
N
NAP, 503 NET, 896 NET CONFIG, 897 NET CONFIG SERVER, 897 NET CONFIG WORKSTATION, 897 NET GROUP, 898 NET HELPMSG, 898 NET LOCALGROUP, 898 NET PRINT, 899 NET SEND, 900 NET SESSION, 901 NET SHARE, 901 NET START, 902 NET STOP, 902 NET TIME, 902 NET USE, 903 NET USER, 904 Netdiag.exe, 643 NETSH, 904 contexte global, 905
1005
Newsgroup
Newsgroup, 986 Nom de partage, 986 Nouvelle installation, 109 NSLOOKUP, 906 Ntdsutil, 644 suppression dun contrleur de domaine, 647 NTFS (New Technology File System), 114, 986 Numro squence de mise jour (USN), 571 version de proprit (PVN), 572
OfflineServicing, 203, 213 Oobe.xml, 267, 270, 282 personnalisation, 190 OobeSystem, 206, 213 Option dinstallation des services de dploiement Windows, 308 Organisation unique, 47 OSCDImg, 241 OSChooser, 309 OSI, 987 Outils systme, 440 Ouverture de session, 987 interactive, 987
O
Objet, 524, 986 connexion, 572 enfant, 987 serveur, 622 Objets Active Directory Administrateur, 642 Administrateurs, 641 Administrateurs de lentreprise, 642 Administrateurs du schma, 642 Admins du domaine, 642 Builtin, 641 Computers, 641 Contrleur de domaine, 641 Contrleurs de domaine, 642 DnsAdmins, 641 DnsUpdateProxy, 642 Duplicateurs, 641 diteurs de certificats, 642 Invit, 642 Invits, 641 Invits du domaine, 642 IUSR_xxx, 642 IWAM_xxx, 642 Krbtgt, 642 Oprateurs, 641 Serveurs RAS et IAS, 642 Users, 641 Utilisateurs, 641 Utilisateurs DHCP, 641 Utilisateurs WINS, 642 Octet, 987
P
Pack de langues, 296 Package, 210 Page web, 987 home page, 987, 981 Paramtre, 211 scurit des stratgies de groupe, 852 Pare-feu, 987 action, 502 administration distance, 502 avanc, 839 configuration, 502 critres de rgles, 502 filtres de paquets, 502 GPO, 502 option Activ, 836 option Bloquer toutes les connexions, 838 option Dsactiv, 837 personnel, 835 rglage par dfaut, 502 sens, 502 Partage de distribution, 210, 221 nom de partage, 986 Partition, 988 active, 988 base de donnes Active Directory, 528 damorage, 988 dannuaire, 569 dapplication, 570 de domaine, 570
1006
Redmarrer Managers
de la configuration, 570 de schma, 570 principale, 988 systme, 988 Passes de configuration, 201 PEImg, 241 Performances analyse, 451 compteurs, 471 Priphriques en attente, 312 Personnalisation de limage, 267 accueil de premier dmarrage Windows, 273 accueil Windows, 279 conditions dans Oobe.xml, 282 fonctionnement dOobe.xml, 270 implmentation dOobe.xml, 271 Oobe.xml, 267 PID, 989 Pilote chemin daccs, 210 Pkgmgr, 287 PKI, 504 Plan dadressage IP, 32, 48 de nommage, 50 de nommage commun, 48 Planification projet Active Directory, 535 Plugin, 989 Point de restauration, 989 Pont de liaison de sites, 577 Pop-up, 989 Port 67, 314 configuration, 314 Prsentation dImageX, 249 Prvention dintrusion, 989 Privilge, 989 PRNCNFG, 906 PRNDRVR, 907 PRNJOBS, 909 PRNMNGR, 910 PRNQCTL, 912 Processeur, 474 Processus approbation des priphriques en attente, 326 installation de Windows Vista, 187
Processus dinstallation de Windows Vista, 187 AuditSystem, 205 AuditUser, 205 tat dinstallation, 190 Generalize, 204 installation interactive, 197 installation sans assistance, 197 journaux dtat dinstallation, 193 mthodes conseilles, 206 mode Audit, 189 OfflineServicing, 203 OobeSystem, 206 passes de configuration, 201 personnalisation Oobe.xml, 190 setup.exe, 193 Specialize, 204 WindowsPE, 203 Profil dutilisateur, 990 Programme, 990 de dmarrage par dfaut, 332 Protection des donnes DNS, 729 des serveurs DNS, 728 des serveurs membres, 799 des serveurs pour des rles spcifiques, 800 Protocole, 990 IP, 982 TCP, 994 TFTP, 126 UDP, 994 Proxy, 990 Puzzmania (systme dinformation de), 32 PVN (Property Version Number), 572 PXE Server Setting, 312 Pxeboot.com, 333 Pxeboot.n12, 333
R
Raccourci, 990 excuter en tant que, 437 RAM, 990 RCP, 913 RECOVER, 914 Redmarrer Managers, 832
1007
Rduction
Rduction cots, 45 trafic, 677 Registre, 990 Renforcer protection des serveurs dimpression, 801 protection des serveurs dinfrastructure, 800 protection des serveurs de fichiers, 801 protection des serveurs IIS, 801 stratgie de domaine, 798 Renommer un contrleur de domaine, 645 Rplication, 533 collision de rplication, 572 routage, 566 Sysvol, 568 Res.rwm, 320 Rseau, 475, 991 Restauration point, 989 Rsolution de noms rcursive, 640 Ressources de service, 568 SRV, 618 Rtrograder un contrleur de domaine principal, 646 REXEC, 914 RFC RFC 768, 994 RFC 791, 982 RFC 793, 994 RFC 1034, 626 RFC 1823, 516 RFC 2247, 516 RFC 2251, 516 RFC 2252, 516 RFC 2253, 517 RFC 2254, 517 RFC 2255, 517 RFC 2256, 517 RFC 2307, 517 RFC 2587, 517 RFC 2589, 517 RFC 2596, 518 RFC 2649, 518 RFC 2696, 518 RFC 2713, 518 RFC 2714, 518 RIPREP, 309 Riprep (Riprep.exe), 130, 319
RIS (Remote Installation Service), 123 RISETUP, 309 RODC, 505 Rles matres dopration, 531, 663 RootDSE, 515 Routage de la rplication, 566 Routeur, 991 Ruche, 991 RUNAS, 915
S
Sauvegarde, 992 Scnarios ImageX, 251 Schma Active Directory, 525, 670 SCHTASKS, 916 Script, 992 Scurit, 767, 784, 805, 850, 992 Active Directory, 715 analyse des vulnrabilits, 814 attaque du compte Administrateur, 722 audit de scurit informatique, 816 cheval de Troie, 974 comptes dadministration des services, 720 dfense en profondeur, 810 dfinir des solutions, 785 valuer les risques, 785 Member Server Baseline, 799 mettre en place des solutions, 785 mthodes dadministration des donnes, 723 notions fondamentales, 784 planification, 808 physique, 771 postes de travail, 823 postes de travail laide dActive Directory, 849 relations interforts, 731 serveurs, 789 test de pntration, 815 valider des solutions, 785 Windows Vista, 826 Scurit des serveurs, 789 Active Directory, 795 base des serveurs, 793
1008
Service
conception de la scurit, 789 concessions, 792 consquences juridiques, 792 cot, 793 frontires de scurit, 797 menace interne, 791 modle de scurit Member Server Baseline, 799 possibilits daccs physique, 792 problmatiques de base, 791 recommandations, 794 serveurs assurant plusieurs rles, 791 serveurs dimpression, 801 serveurs dinfrastructure, 800 serveurs de fichiers, 801 serveurs IIS, 801 serveurs membres, 799 serveurs pour des rles spcifiques, 800 stratgie de domaine, 798 systmes anciens, 792 Server Core, 480, 484 Serveur activation de NTPServer, 639 catalogue global, 579 changement du type de serveur en NTP, 638 configuration du service, 637 de temps, 637 horloge matrielle, 638 intervalle dinterrogation, 639 paramtres de correction, 639 RAS et IAS, 642 web, 757 Service, 992 affichage des messages, 941 agent de contrle distance SMS, 949 annuaire de session des services Terminal Server, 953 appel de procdure distante, 945 autorit de scurit locale, 929 centre de distribution de cls Kerberos, 939 certificats, 931 clients Microsoft Exchange Server et Outlook, 935 cluster, 931 coordinateur de transactions distribues, 934 dannuaire, 737 dauthentification Internet, 938
de tlcopie, 936 dcouvertes SSDP, 951 enregistrement de licences, 940 tat ASP.NET, 931 explorateur dordinateurs, 932 gestion de licences Terminal Server, 953 hte priphrique Plug-and-Play universel, 954 HTTP SSL, 938 installation distance, 945 interruption SNMP, 950 journal des vnements, 934 journaux et alertes de performance, 944 localisation de services, 569 localisateur dappels de procdure distante, 946 Message Queuing, 940 MSSQL$UDDI, 943 MSSQLSERVER, 942 Network News Transfer Protocol, 944 notification de stockage tendu, 946 ouverture de session rseau, 943 pare-feu de connexion Internet, 939 partage de Bureau distance NetMeeting, 943 partage de connexion Internet, 939 passerelle de la couche Application, 930 piles MTA Microsoft Exchange, 941 POP3 Microsoft, 942 publication FTP, 937 publication World Wide Web, 956 rplication de fichiers, 568, 937 routage et accs distant, 946 serveur, 947 serveur dimpression TCP/IP, 952 serveur de fichiers pour Macintosh, 937 serveur de stockage tendu, 946 serveur de suivi de lien distribu, 933 serveur DHCP, 932 serveur DNS, 934 SharePoint Portal Server, 948 Simple Mail Transfer Protocol, 948 SNMP, 949 installation distance (Remote Installation Service), 123 spouleur dimpression, 944 SQL Analysis Server, 950 systme de fichiers distribus, 933 Systems Management Server 2.0, 951
1009
Service Pack 1
TCP/IP simples, 948 Telnet, 952 temps Windows, 956 Terminal Server, 952 Trivial FTP, 954 Windows Internet Name Service (WINS), 955 Windows Media, 955 Service Pack 1, 71, 89 Service Pack 2, 73, 91 Services de dploiement Windows configuration, 310 configuration de DHCP, 312 fonctionnement, 303 installation, 305 mode hrit, 309 mode mixte, 309 mode natif, 309 modes de fonctionnement des services, 309 option DHCP 60, 313 Services et applications, 441 Services for Unix (SFU), 71 SET, 917 Shareware, 993 SHUTDOWN, 919 SID, 993 Single Instant Store (SIS), 126 technologie SIS, 319 Sites, 529, 575, 993 Sous-arbre, 993 Sous-cl, 993 Sous-rseau, 574 masque, 984 Spamming, 992 Specialize, 204, 213 Spywares, 826 SSL, 993 Standard LDAP V3, 516 Stockage, 440 dinstance simple (SIS), 126 Stratgie de noms de clients, 326 Structure Active Directory scurise, 720 physique dActive Directory, 529 Suppression dun contrleur de domaine, 646 Sysprep, 131, 223 action de nettoyage du systme, 225 fichiers journaux, 232
implmentation, 224 limitations, 232 options dextinction, 226 processus, 227 rinitialisation de lactivation, 227 utilisation de fichiers de rponses, 229 Systme dinformation de Puzzmania, 32 SYSTEMINFO, 921
T
TAKEOWN, 922 TASKKILL, 923 TASKLIST, 923 TCP, 994 TCP/IP, 994 Technologie SIS, 319 Tlcopie, 936 TELNET, 924 Terminal Server annuaire de session des services, 953 TFTP, 925 TIME, 926 Topologie des sites, 565 Trafic de rplications, 677 Transfert des fichiers et paramtres laide dun support amovible, 164 CD ou DVD, 165 poste cible, 153 poste source, 157 rseau, 152 Transfert de zones incrmentiels, 619 des rles, 667 Transitivit des liens de sites, 578 Trivial File Transfer Protocol TFTPD, 126 TTL, 977
U
UDP, 994 Unattend.xml, 220 Units dorganisation, 527, 593
1010
conception, 598 implmentation, 601 modle hybride, 600 modle bas sur lemplacement, 598 modle bas sur lorganisation, 599 modle bas sur la fonction, 599 planification de la structure administrative, 595 Update Sequence Number (USN), 571 Upgrade Advisor, 170 URL, 995 USB, 995 USMT, 995 USN (Update Sequence Number), 571 Utilisateurs, 996 administrateurs, 431 oprateurs dimpression, 432 oprateurs de compte, 432 oprateurs de sauvegarde, 432 oprateurs de serveur, 432 Utiliser Upgrade Advisor, 173
V
Valeur dimage, 210 Variable, 996 denvironnement, 996 Vrificateur de cohsion de connaissances, 573 Versions, 137 prcdentes, 996 Virtualisation, 996
W
WAIK, 234 WDS stratgie de noms de clients, 326 unit dorganisation lors de lapprobation, 326 Wdsnbp.com, 333 WDSUTIL, 310, 333-335 ajouter une image de dmarrage, 336 arrter le serveur, 347
configuration de loption 60, 335 configuration du port 67, 336 dmarrer le serveur, 346 obtenir des informations, 337 supprimer une image de dmarrage, 337 Web serveur web, 757 connexions web scurises, 975 Wi-Fi, 997 WIM, 997 Win PE ajouter des packages, 242 ajouter des pilotes, 243 limitations, 240 lister les packages, 242 mode Non prpar, 237, 241 mode Prpar, 237 outils, 241 personnaliser, 241 prparer une image, 244 repackager une image, 245 utilisation, 240 version 2.0, 235 Windows 2000, 168 Windows Automated Installation Kit, 234 Windows Backup, 179 Windows Defender, 826, 828 historique, 831 Windows Filtering Platform, 501 Windows PE, 997 Windows PE 2.0, 233-234 Windows PowerShell, 399 aide, 415 alias, 420 applets de commande, 404 excution, 403 installation, 402 interaction et scripts, 413 mise en forme de la sortie des commandes, 419 navigation, 424 pipelines dobjets, 412 prsentation, 401 stratgie dexcution, 414 traitement dobjets, 410 Windows Preinstallation Environment, 239 Windows RE, 997 Windows Rights Management Services, 71 Windows Server 2003
1011
Datacenter Edition, 58 Enterprise Edition, 58 R2, 71, 89 Standard Edition, 57 Web Edition, 58 Windows Server 2008, 477 BitLocker, 504 CNG, 505 fonctionnalits, 493 gestion du serveur, 489 gestionnaire de serveur, 490 groupes et utilisateurs, 486 installation, 481 installer, 479 isolement de serveur et de domaine, 506 NAP, 503 pare-feu, 501 PKI, 504 prrequis, 479 RODC, 505 rles, 493 scurit, 500 Server Core, 480 services, 487 tches de configuration initiales, 489 Windows Server Update Services, 832 Windows SharePoint Services, 70 Windows Vista activation, 148 dition Familiale Basique, 139 dition Familiale Premium, 139 dition Intgrale, 141 Entreprise, 141 licence, 148 Professionnel, 140 Starter Edition, 138 Windows Vista et Active Directory changement rapide dutilisateur, 361
fichiers ADML, 365 fichiers ADMX, 363 gestion de Bitlocker, 391 gestion des rseaux filaires IEEE 802.3, 383 gestion des rseaux sans fil IEEE 802.11, 387 intgration dans le domaine, 353 maintenance des stratgies de groupe, 375 rpertoire de stockage central au domaine, 371 stratgies de groupe, 362 stratgies de groupe locales multiples, 379 Windows XP Familial, 167 Media Center, 167 Professional, 167 Professional x64, 168 Tablet PC, 168 WindowsPE, 213 WINPE, 234 Winpe.wim, 237 WINS utilisateurs, 642 WUA, 832
X
X.500, 514 XML, 997
Z
ZIP, 997
1012
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes