Vous êtes sur la page 1sur 493

WINDOWS SERVER 2003

I - INTRODUCTION

Système d'exploitation à vocation professionnelle issu de Windows 2000 (et


antérieurement de Windows NT 4.0, 3.51, 3.5 et 3.1).

Développé par Microsoft Corporation depuis le début des années 90 initialement par une
ancienne équipe de Digital Equipment Corporation (DEC).

Commercialisation de Windows 2003 en 2003!

Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows
2000.

Solution présentée à des attentes telles que:

 robustesse,
 sécurisation,
 fonctionnalités serveur,
 gestion du poste client,
 administration distante,
 technologies d'infrastructure réseau,
 …

Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les
environnements systèmes professionnels. A sa sortie, attaque directe contre Novell
IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les
Unix ouverts de type Linux ou FreeBSD.

Existence de versions dédiées "poste clients" destinées à être utilisées en association aux
systèmes "serveur".

Système serveur

Système poste client

Windows NT 4.0 Serveur

Windows NT 3.51 ou 4.0 Workstation

Windows 2000 ou 2003 Serveur

Windows 2000 ou XP Professionnel

Caractéristiques principales

Présenté comme très largement compatible avec les développements antécédents réalisés
pour Windows.
-> Préservation des investissements en logiciel et en formation (y compris pour les
formations d'administrateurs).
-> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que
Windows 2000 en ressources matérielles (voire même moins pour certains services).
-> Drivers logiciels et matériels identiques à ceux de Windows 2000.

1 Windows Server 2003 Practice


Système d'exploitation réseau.
-> Intégration poussée des fonctionnalités réseau au sein du noyau.

Gestion de la sécurité à deux titres :

 sûreté de fonctionnement (robustesse),


 sécurité vis à vis du contrôle de l'utilisation de la machine (actions, intrusions, ...).

Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus


seulement système d'exploitation départemental (gestion de groupes de travail) ou poste
de travail.

Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel.


Exemples:

 administration centralisée,
 vrai multitâche,
 partage de ressources,
 …

Quelques caractéristiques de Windows 2003 Serveur

Qualités

 Administrabilité
 Sécurité vis à vis des intrusions
 Robustesse
 Maintenance de la part de Microsoft
 Système en version 32 bits et 64 bits
 Système multi-tâche et multi-threadé
 Support des ordinateurs multiprocesseurs
 Support des standards du marché
 Système d'entreprise

Défauts

 Nécessité d'un administrateur désigné


 Incompatibilité de certains logiciels (DOS, Win95, Win98)
 Système non multi-session
 Reboots
 Système entièrement propriété de Microsoft Corporation

Implantation constatée

Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son
prédécesseur immédiat), Linux et Novell IntranetWare.

C'est un produit qui a reçu bon accueil:

 Large implantation sur les petits serveurs de groupes de travail (en concurrence
avec Linux).
 Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et
les systèmes propriétaires).

Plusieurs versions de Windows 2003 Serveur:


2 Windows Server 2003 Practice
En version 32 bits:

 Windows 2003 Server Web Edition

Pas de gestion d'un parc de machines (Domaine).


Serveur Internet
De 1 à 2 processeurs, jusqu'à 2 Go de mémoire.
N'existe pas en version x64.
N'existe pas en version Itanium.

 Windows 2003 Server Standard

Gestion d'un parc de machines (Domaine).


Priorité aux activités liées au réseau par rapport aux activités purement locales.
Serveurs de fichiers et d'imprimantes
Serveur Internet
De 1 à 4 processeurs, jusqu'à 4 Go de mémoire.
Jusqu'à 32 Go de mémoire en version x64.
N'existe pas en version Itanium.

 Windows 2003 Enterprise

Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de


fonctionnement (clustering).
Serveurs Internet et d'applications
De 1 à 16 processeurs, jusqu'à 64 Go de mémoire.
Jusqu'à 1 To de mémoire en version x64 et Itanium.

 Windows 2003 Datacenter

Fonctionnalités de l'Advanced Server.


Serveurs Internet et d'applications
16 ou 32 processeurs, 64 à 128 Go de mémoire.
En version R2 (voir plus loin), jusqu'à 64 processeurs.
Jusqu'à 1 To de mémoire en version x64 et Itanium.

Version "poste client": Windows XP Professionnel

En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP


Professionnel. Il en reprend le noyau et est plus une évolution qu'une révolution.
Microsoft a aussi commercialisé une version "personnelle" de Windows XP : Windows XP
Home Edition. Celle-ci est principalement allégée des possibilités d'administration
centralisée et de sécurisation.

Nouvelle release de Windows 2003 en 2006: Windows 2003 R2

 Mise à jour logicielle


 Ajout de fonctionnalités

Prochaine version serveur: Windows ? en ?

Microsoft annonce un nouveau système professionnel pour 2007: "Vista".

3 Windows Server 2003 Practice


II - ELÉMENTS D'ARCHITECTURE, RÉSEAU INTERNET

Internet : Réseau mondial d'inter-connexion de réseaux.

Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout
autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement
le cas.

Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets.
Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la
machine cible et est émis sur le réseau à destination de cette machine.
Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de
la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la
perte est détectée et le paquet est envoyé de nouveau.

Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par
une infrastructure logicielle.

Infrastructure matérielle

Sous-réseau

Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec
toute autre machine.

Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante
actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des
commutateurs (switchs).

Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes
les machines qui lui sont directement connectées. Une machine cible conservera et
exploitera les paquets qui lui sont destinés et oubliera les autres.
Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur
l'ensemble des machines connectée est la bande passante du concentrateur (généralement
10 ou 100 Mbits/s).
La capacité de transfert est donc partagée entre les machines connectées et est limitée à
celle du concentrateur.

Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à


laquelle il est destiné.
-> Une machine ne reçoit que les seuls paquets qui lui sont destinés.
Chaque machine possède une bande passante potentielle vers les autres machines qui lui
4 Windows Server 2003 Practice
sont connectées égale à celle de son interface réseau (10, 100 ou 1000 Mbits/s).
La bande passante globale du sous-réseau est toutefois limitée par la vitesse de
commutation du fond de panier du commutateur (matrice de commutation).

Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur
lesquels viennent se connecter en étoile les machines.

Inter-connexion des sous-réseaux

Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être
connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets
entre les sous-réseaux qui contiennent les machines source et cible.

Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique
qui après configuration semble agir comme un commutateur.

Dans les cas plus complexes (réseaux d'entreprise, Internet), un seul routeur ne permet
pas l'inter-connexion de l'ensemble des sous-réseaux. Plusieurs routeurs reliés entre eux
consécutivement sont alors utilisés sur le chemin des paquets.

5 Windows Server 2003 Practice


Pour des raisons de pérennité de fonctionnement, le réseau de routeurs, au lieu d'être
construit en étoile, pourra être construit en graphe. Plusieurs chemins pourront exister
pour aller d'un sous-réseau à un autre sous-réseau. Pour un même message, les paquets
pourront transiter par des chemins différents et même arriver dans un ordre différent de
celui de départ. Le matériel actif se contente d'assurer le transfert de l'information. Ce
seront les machines qui reconstitueront la cohérence des messages à l'arrivée.

Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du


réseau fédérateur permettant ainsi de résoudre le problème du choix et de l'optimisation
des liens de transit.

6 Windows Server 2003 Practice


Infrastructure logicielle

L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou


plusieurs protocoles de communication (i.e. langage de communication d'informations
entre ordinateurs).

Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole
de l'Internet et tend à se généraliser.

La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement
"routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sous-
réseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette
caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau
Internet.

L'infrastructure logicielle comprend pour chaque protocole:

 Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels


du réseau (concentrateurs, commutateurs, routeurs, ...) (non abordés ici).
 Les logiciels de configuration, de gestion et d'audit du fonctionnement local des
machines permettant en particulier de donner un nom à chaque machine pour
autoriser les communications machine source <-> machine cible.
 Les services réseau implantés pour utiliser ou faciliter l'utilisation du protocole.

NetBEUI

NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité
est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il
n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage.

Les machines sont désignées par des noms alphanumériques sur 15 caractères.

Toutes les machines placées sur le même concentrateur, sur le même commutateur ou
liées par une suite de concentrateurs commutateur peuvent communiquer directement
entre elles.

Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB
(Server Message Block) et Lan Manager proposent les services:

 de gestion d'utilisateurs,
 de gestion de répertoires partagés,
 de gestion d'imprimantes partagées,
 ...

NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de
Windows et sous Linux (Samba).

Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en
œuvre un processus d'exploration du réseau à la recherche des machines qui y sont
présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable,
chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les
machines de son sous-réseau) destiné à susciter une réponse contenant le nom de la
machine répondant. Si n machines génèrent un broadcast entraînant n réponses, on
7 Windows Server 2003 Practice
obtient de l'ordre de n2 messages échangés régulièrement.
-> à partir d'un certain nombre de machines, une part importante du trafic du réseau
(voire près de 100%) peut être consacrée à ce processus d'exploration.

Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows
NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette
machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine
souhaitant connaître la liste des machines du réseau.

TCP/IP

Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer
les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés
au routage.

Paramètres généraux:

 Adresse IP : Une machine est nommée de manière unique sur son réseau par son
"adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23
 Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et
255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les
adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec
lesquelles elle peut communiquer sans routage).
Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il
est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux
machines et le masque sont égaux alors les deux machines font partie du même
sous-réseau TCP/IP.
Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 =
172.20.128.164 et I2 = 172.20.128.213.
En binaire, le masque devient
M = 11111111.11111111.11111111.10000000
et les adresses
I1 = 10101100.00010100.10000000.10100100
et
I2 = 10101100.00010100.10000000.11010101
Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe
& désigne le "et binaire".
M & I1 = 10101100.00010100.10000000.10000000
M & I2 = 10101100.00010100.10000000.10000000
(M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau.
Elles pourront communiquer directement si elles sont interconnectées par un
concentrateur ou un commutateur.
Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont
construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de
bits à 0. Les masques de sous-réseau classiques sont :
255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers
nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même
sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe
C),
255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et
de 128 à 255),
255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de
64 à 127, de 128 à 191 et de 192 à 255),
255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C),
255.255.255.240 -> 16 adresses (16 sous-réseaux sur une classe C),

8 Windows Server 2003 Practice


255.255.255.248 -> 8 adresses (32 sous-réseaux sur une classe C),
255.255.255.252 -> 4 adresses (64 sous-réseaux sur une classe C).

Définition des différentes classes IP

 Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront


envoyés tous les paquets non destinés à une machine du même sous-réseau que la
machine source. Un routeur ou un ordinateur assurant le routage sera installé à
cette adresse pour les réceptionner et les transmettre.

Paramètres de configuration DNS

La technique de dénomination par adresse IP est pratique pour les ordinateurs car
facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus.

Convention de dénomination supplémentaire:


Désignation de chaque machine par un ou plusieurs noms IP alphanumériques.

Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le
sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs
sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une
organisation arborescente.

Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la
machine, puis les différentes parties du nom de domaine du plus particulier au plus
général.

Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sous-


domaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr).

Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:

 localement sur chaque machine au moyen de "fichiers hosts",


 Globalement sur un ensemble de machines reliées en réseau au moyen d'un serveur
DNS (Domain Name Server) qui gère la liste associée à un domaine et peut être
interrogé via une connexion réseau normalisée. La configuration TCP/IP de la
machine cliente inclut alors une référence à ce serveur.

Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur
l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou
partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y
avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les
machines entre eux, soit au contraire pour répliquer les bases de données de machines et
avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de
charge pour les domaine très consultés.

Un serveur DNS aura les tâches suivantes:

 Gérer sa base de données de noms


 Résoudre un nom pour les machines qui le lui demandent quand il connaît le nom (il
appartient au domaine qu'il gère).
Répondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas défini
dans le domaine qu'il gère).
 Propager la demande de résolution vers le ou les serveurs DNS du sous-domaine
concerné s'il s'agit d'un nom associé à l'un de ses sous-domaines.
9 Windows Server 2003 Practice
Propager la demande de résolution vers le serveur ou les serveurs DNS de son
domaine maître si le nom n'appartient pas à un de ses sous-domaines.

 Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est
donné sur le DNS dont elle dépend.
 Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque
cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine,
les suffixes sont testés les uns après les autres comme domaines implicites.
 DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints
lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP
correspondant au nom IP ou réciproque.

Paramètres de configuration WINS

Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la
convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est
impossible de l'utiliser pour des réseaux comportant un nombre important de machines.
Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du
protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le
routage.
Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI.
Windows Internet Name Service (WINS) est l'une des solutions possibles.
WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de
gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à
même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de
l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions
nom TCP/IP <-> adresse IP.
Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:

 L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent
automatiquement sur ce serveur).
 Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms
d'utilisateurs, des noms de machines, ...
 Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de
données et offrir ainsi des redondances et des possibilités d'administration plus
élaborées.
 ...

 WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion.
 WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée et que le serveur primaire ne donne pas de
réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association
souhaitée.

Filtrage IP

Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du


point de vue des paquets sortants que du point de vue des paquets entrants.
Ces fonctions de filtrage pourront généralement être configurées soit en fonction de
l'adresse IP du client, soit en fonction du port TCP/IP utilisé par l'ordinateur client.

DHCP

10 Windows Server 2003 Practice


Tous ces paramètres nécessaires à l'infrastructure TCP/IP pourront être renseignés soit
directement sur l'ordinateur hôte, soit sur un serveur DHCP (Dynamic Host Configuration
Protocol) qui sera contacté par l'intermédiaire du réseau par l'hôte au moment de son
démarrage.

L'intérêt de l'utilisation de DHCP réside dans les points suivants:

 La configuration des postes clients est centralisée.


 L'affectation des paramètres pourra être réalisée dynamiquement ou statiquement.
Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un
pool restreint d'adresses IP permettant d'accéder à Internet et affecter ces adresses
aux seules machines en fonctionnement.
 ...

De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via
une base de données unique, d'assurer la cohérence des informations transmises. C'est le
cas sous Windows 2000.

Commandes TCP/IP texte

ipconfig

La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes


réseau présentes dans la machine. la syntaxe est
ipconfig pour obtenir un résumé et
ipconfig -all pour obtenir une description complète.

ipconfig

11 Windows Server 2003 Practice


ipconfig -all

ping

La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe
est
ping nom_IP
ou
ping adresse_IP

ping

nslookup

La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP
correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est
nslookup nom_IP
ou
nslookup adresse_IP

12 Windows Server 2003 Practice


nslookup

Tracert

La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés
pour joindre une autre machine.
La syntaxe est
tracert nom_IP
ou
tracert adresse_IP

Tracert

III - CONCEPTS ET PLANIFICATION

La gestion de la sécurité

Windows 2003: Système d'exploitation sécurisé.

Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des


utilisateurs.

13 Windows Server 2003 Practice


Action ou ressource refusée ou accordée en fonction de l'utilisateur.

Possibilités multiples de sécurisation:

 autorisation d'utilisation d'une machine (obtention obligatoire d'un compte


d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir),
 interdiction d'utiliser d'autres applications que celles dûment autorisées,
 interdiction d'installer des applications,
 interdiction de modifier l'environnement de travail,
 restrictions d'accès aux ressources (fichiers, imprimantes, …),
 audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur,
accès à des ressources,...),
 …

Droit ou privilège: Autorisation d'exécuter une action système.

Exemples: Créer des comptes, installer un pilote d'imprimante, partager un répertoire,


arrêter le système, ...

Autorisation: Autorisation d'accès à une ressource.

Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application,
...

Tous les objets du système sont soumis à autorisations via des ACLs.

Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,...

Un utilisateur possède tous les droits : l'"Administrateur".


Il est nommé "root" sous UNIX.

La gestion du réseau

NOS (Network Operating System): Système d'exploitation utilisable pour la connexion


d'ordinateurs en réseau.

-> connexion et communication facile entre ces machines.

Nombre important de normes de câblage connectées aux machines via des cartes
d'interface réseau (NIC, Network Interface Card):

 Ethernet épais, fin et double paires torsadées,


 Phonenet,
 Fibre optique,
 Infrarouge,
 Bluetooth,
 Wifi,
 Modem,
 ...

Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des
éditeurs tiers):

 NetBEUI,
 TCP/IP,
14 Windows Server 2003 Practice
 IPX/SPX,
 DLC,
 Appletalk,
 ATM,
 TokenRing,
 FDDI,
 …

Nombre important de services réseau tant du point de vue serveur que du point de vue
client:

 SMB,
 Lan Manager,
 DNS,
 WWW,
 FTP,
 Telnet,
 SMTP,
 NNTP,
 NTP,
 Proxy,
 DHCP,
 WINS,
 ADS,
 ...

-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau.

Protocole natif de Windows NT: NetBEUI.

Protocole natif de Windows 2003: TCP/IP.

NetBEUI

Avantages

Inconvénients

 Rapide
 Peu gourmand en ressource système

 Pas de routage
 Pas compatible avec Internet
 Protocole assez bavard sur le réseau

TCP/IP

Avantages

Inconvénients

 Rapide
 Peu gourmand en ressource système
 Routage
 Compatible avec Internet
15 Windows Server 2003 Practice
 Possiblement complexe à paramétrer
 Protocole des "pirates"

Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les
conventions de nom de NetBEUI sans même que NetBEUI soit installé.
Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre
encore un nombre important de caractéristiques:

 dénomination des machines,


 explorateur réseau,
 ...

Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces
conventions de nom.

Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP même si la base de


Windows NT et 9x reste NetBEUI.

Sécurité gérée au niveau du réseau.

Le partage de ressources

Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante.

Ressources partageables:

 les répertoires et les fichiers qu'ils contiennent,


 les imprimantes,
 dans une certaine mesure, les applications (Exécution d'une application sur une
machine distante avec transmission du résultat d'exécution sur la machine locale)
(possibilité d'utiliser le service Terminal Server pour configurer un serveur de
terminaux Windows, équivalent fonctionnel à un serveur X).

Sécurité au niveau des ressources partagées.

Active Directory

Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs,
ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines.

AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS.

Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des
fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs
Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à
un fonctionnement pérenne.

Intérêt d'AD:

 Windows 2003 avec AD supporte des domaines de plusieurs millions de comptes


d'utilisateurs alors que, dans la pratique, Windows NT 4.0 était limité à quelques
dizaines de milliers.
 Windows 2003 avec AD supporte des domaines de plusieurs dizaines de milliers de
machines alors que, dans la pratique, Windows NT était limité à quelques centaines.

16 Windows Server 2003 Practice


Unité Organisationnelle

La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est


l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de
contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation
arborescente.

L'extensibilité d'Active Directory

Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux
objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de
nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.

Kerberos

Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les
communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il
rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la
sécurité.

Deux points importants sont à signaler:

 L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors


d'une communication d'informations, de vérifier l'authenticité de leurs identités
respectives pour éviter les usurpations d'identité.

 L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait


confiance à C.
-> En particulier, cette loi est vérifiée pour les approbations entre "Domaines
Windows 2003".

Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour
l'authentification avec des machine sous système d'exploitation de version antérieure ou
des machines indépendantes (hors domaine, voir plus loin).

La notion de domaine Windows 2003

Domaine: Unité d'administration sous Windows 2003.

Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une
machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité
associée.

Active Directory permet une organisation différente de la classique et très rigide


organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0.

Ce sont la souplesse de la gestion par base de données et les possibilités d'extension


héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles
possibilités.

Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows
2003 alors que sous NT, ce sont les domaines.

La notion de domaine au sens Windows NT 4.0 disparaît donc avec Windows 2003 avec un
emploi beaucoup plus souple.
17 Windows Server 2003 Practice
Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du
domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server).

La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account
Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active
Directory et est répliquée automatiquement entre eux.

Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base


d'utilisateurs et de groupes d'utilisateurs.

Contrairement au modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal"


auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un
domaine Windows 2003 contient 1 ou plusieurs contrôleurs de domaine placés au même
niveau hiérarchique.
Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne
l'arrêt de toute possibilité d'administration du domaine: comptes d'utilisateur et machines.
Dans le modèle Windows 2003, ce n'est plus le cas car les tâches d'administration peuvent
être continuées.

Définition possible de plusieurs domaines sur le même réseau.

ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP.
Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et
permettent l'administration centralisée de leurs machines. En revanche, les domaines
TCP/IP n'incluent pas cette notion d'administration système centralisée.

Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines
Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes
d'utilisateurs.

Approbation

Il est possible d'établir des relations d'approbation entre domaines permettant aux
utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine.

Elles pourront être créées:

 implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées
automatiquement,
 explicitement auquel cas elles sont unidirectionnelles et créées explicitement par
l'administrateur.

Arborescence de domaines: Structure de domaines hiérarchisée sur le mode


arborescent par des relations d'approbation implicites. La base est constituée du domaine
racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder
des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que
les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine
racine.

18 Windows Server 2003 Practice


Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt
est la première arborescence à avoir joint la forêt. Tous les domaines racines des
arborescences de la forêt possèdent implicitement une relation d'approbation
bidirectionnelle avec la racine de la forêt.

Eléments interconnectables au sein un domaine

(1) Avec ouverture de session de travail

 Un ou plusieurs contrôleurs de domaine (sous Windows 2003 ou 2000 Server et


Active Directory) sans hiérarchie particulière.
 Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active
Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server,
on parle alors de "Serveur membre".
 Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.

Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au
sein d'AD sur chacun des DC.

Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur
le réseau.

(2) Sans ouverture de session sur l'un des DCs

Etablissement possible de connexions simples avec d'autres machines sous Windows 2003,
2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation
reconnaissant les protocoles installés sur la machine serveur et assurant les services de
connexion des serveurs du domaine.

Fourniture d'un login et d'un mot de passe.

Accès limité aux ressources partagées accessibles à l'utilisateur authentifié.


19 Windows Server 2003 Practice
Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des
ressources:

 domaine\utilisateur pour un nom d'utilisateur,


 \\serveur\ressource pour l'accès à une ressource partagée.

(3) Autres possibilités

Toute machine en accès via un service sans authentification explicite (WWW, FTP
anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...).

Les contrôleurs de domaine

Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs


ainsi que de la politique de sécurité associée.

Authentification des ouvertures de session et des accès aux ressources partagées qu'ils
proposent.

Administration des utilisateurs.

Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs.

Les machines Windows XP ou 2000 Professionnel

Machines clientes simple du domaine.

Pas de stockage d'une copie de la base de données des utilisateurs.

Soumission des ouvertures de session à un DC.

Pas de rôle d'administration.

Les machines Windows 2003 ou 2000 Server en serveurs simples

Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue
de la base de données des utilisateurs mais possédant les capacités de Windows Server du
point de vue des services réseau autres que ceux de gestion des domaines.

Exemples:

 Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de
domaine.
 Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on
ne souhaite pas être contrôleur de domaine.

Les autres systèmes

Toute machine quel que soit son système d'exploitation.

Condition nécessaire pour l'établissement d'une connexion:

 Reconnaître d'un des protocoles du serveur de domaine.


 Être capable d'émettre un nom de login ainsi que le mot de passe associé (Protocole
d'authentification reconnu par les contrôleurs du domaine).
20 Windows Server 2003 Practice
 Être capable de gérer la partie cliente du service auquel l'accès est réalisé.

-> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de
connexion sans avoir pour autant ouvert de session.

DDNS, WINS et DHCP

Une implantation Windows 2003 nécessitera fréquemment le déploiement des services


DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP
(Dynamic Host Configuration Protocol).

Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003
l'utilisent obligatoirement.
L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows
2003 construit (généralement équivalent à un domaine TCP/IP).
Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et
dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet
enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de
cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des
serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution
de noms..

L'utilisation de WINS n'est réellement intéressante que lorsque plusieurs sous-réseaux


TCP/IP différents doivent communiquer entre eux via routage et donc constituer un seul et
même domaine de nom et que, de plus, la convention de nom simplifiée de NetBEUI doit
pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de machines
anciennes, utilisation souhaitée du voisinage réseau, ...) qui n'autorise pas le routage. La
connexion entre ces sous-réseaux est établie physiquement et logiquement au moyen de
routeurs dédiés au protocole TCP/IP.
Le problème se pose alors de faire "se trouver" respectivement les machines lorsque qu'un
ordinateur situé sur un sous-réseau doit "parler" avec une machine d'un autre sous-réseau.
Au sein et sans sortir des différents sous-réseaux, le problème ne se pose pas car il est
géré nativement par l'interface NetBEUI. Pour les communications entre sous-réseaux,
l'information transitera et sera routée au sein de "paquets" TCP/IP. WINS apporte un
service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et
les nom NetBIEU.
Les machines seront configurées pour interroger un serveur WINS si elles ont besoin d'une
résolution de nom. Au démarrage, toute machine configurée pour utiliser éventuellement
un serveur WINS s'enregistre dans sa base de manière à la renseigner.
Sous Windows 2003, tout comme avec DDNS, une base de données WINS est stockée au
sein d'Active Directory si le serveur WINS est contrôleur de domaine et est donc distribuée
sur les contrôleurs.
Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils
échangent leurs bases de données.

L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion
des paramètres TCP/IP des machines d'un domaine.

Les utilisateurs et les groupes d'utilisateurs

Les utilisateurs

Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine
Windows 2003 ou accéder à une ressource partagée par une machine Windows 2003.

21 Windows Server 2003 Practice


Stockage dans la base de donnée des utilisateurs et des groupes d'utilisateurs au sein
d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:

 nom d'utilisateur complet


 nom d'utilisateur principal (UPN, User Principal Name)
 nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)
 mot de passe
 les restrictions apportées aux actions qui lui sont autorisées
 …

Exemple de nom: John Smith comme nom complet, john.smith@w2k3.univ-fcomte.fr


comme nom principal (ATTENTION, le nom principal est formaté comme une adresse
électronique) et w2k3\smith comme nom équivalent NT en convention UNC.

Les groupes

Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de


privilèges et de autorisations.

Un utilisateur peut appartenir à plusieurs groupes.

-> Possibilité de gestion hiérarchisée des comptes des utilisateurs.

-> Facilité de gestion.

Deux types de groupe:

 Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des


autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de
distribution.
 Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à
l'attribution d'autorisations ou de droits.

Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:

 Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des
comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine
ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine
de l'arborescence de domaine ou de la forêt.
 Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des
comptes du domaine dans lequel le groupe est défini et peuvent recevoir des
autorisations dans n'importe quel domaine de la forêt.
 Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes
et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des
autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines
Serveur contrôleur ou membre.

Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du
domaine de définition et des domaines approuvant le domaine de définition.

Un seul type de groupe peut être défini sur une machine Windows XP ou 2000
Professionnal ou 2000 ou 2003 Serveur en serveur simple:

 les groupes locaux.

22 Windows Server 2003 Practice


Sur ces machines, quand elles appartiennent à un domaine, réception des groupes globaux
et universels du domaine d'un des contrôleurs de domaine.

Après l'installation initiale d'un Windows

Deux comptes d’utilisateur locaux:

 un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP
Professionnal, désactivé sous Windows 2000 ou 2003 Serveur
 un compte "administrateur" d'administration local

Différents groupes intégrés locaux:

 Administrateurs
 Invités
 Utilisateurs
 Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration
non relatifs aux domaines)
 Opérateurs de sauvegarde
 Réplicateurs

Différents groupes spéciaux (ne possédant pas de membre):

 Créateur/propriétaire (propriétaires des objets)


 Système (activités liées au système d'exploitation)
 Réseau (activités d'utilisateurs provenant du réseau)
 Anonymous logon (utilisateur non authentifié)
 Utilisateur authentifié (utilisateur authentifié)
 Batch (processus batch)
 Dialup (utilisateur via un accès dial-up)
 Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un
domaine approuvé)
 Interactif (utilisateur qui accède à une ressource en se connectant localement à
l'ordinateur proposant cette ressource)
 Service (un service)

Après l'installation de Windows 2000 ou 2003 Serveur en contrôleur de domaine

Deux comptes d’utilisateur:

 un compte "invité" du domaine


 un compte "administrateur" d'administration du domaine

Groupes intégrés créés au sein d'Active Directory:

 Administrateurs (domaine local)


 Invités (domaine local)
 Utilisateurs (domaine local)
 Opérateurs de compte (domaine local) (gestion des comptes et des groupes
d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration)
 Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs
du réseau)
 Opérateurs d’impression (domaine local) (gestion du bon fonctionnement des
activités liées aux imprimantes)
 Duplicateurs (domaine local) (gestion des activités de réplication de répertoires)
23 Windows Server 2003 Practice
 Admins du domaine (global)
 Invités du domaine (global)
 Utilisa. du domaine (global)
 Ordinateurs du domaine (global)
 Contrôleurs du domaine (global)
 Éditeurs de certificats (global)
 Administrateurs de l'entreprise (universel ou global)
 Administrateurs de stratégie de groupe (universel ou global)
 Administrateurs du schéma (universel ou global)

Sur les Windows membres simples d'un domaine

Groupes et utilisateurs issus du domaine:

 les comptes
o "invité" du domaine
o "administrateur" d'administration du domaine
 les groupes
o Admins du domaine (global)
o Invités du domaine (global)
o Utilisa. du domaine (global)
o ...

Sur ces machines, existence préservée et utilisation possible des comptes et groupes
locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des
comptes et groupes locaux.

Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par


l’administrateur système ou toute personne possédant les privilèges administrateur,
admins du domaine ou opérateur de comptes.

Contenu précis d’un compte d’utilisateur d'un domaine

Informations pouvant être renseignées lors de la création ou bien à tout autre moment
après la création:

 Nom d'utilisateur complet


 Nom d'utilisateur principal (UPN, User Principal Name)
 Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)
 Mot de passe
 Adresse électronique
 Numéros de téléphone
 Horaires d’accès
 Stations de travail autorisées pour l'accès
 Adresse postale
 Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers
personnels ne sont pas détruits)
 Répertoire de base (généralement, le répertoire personnel) (répertoire local ou
réseau)
 Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session,
mais pas lors du simple accès à une ressource partagée)
 Profil (localisation des fichiers de configuration de l'utilisateur)
 Place de l'utilisateur dans son organisation
 Groupes auxquels appartient l'utilisateur
 Informations de configuration Remote Access Service

24 Windows Server 2003 Practice


 Informations de configuration de l'utilisateur pour les services Terminal Server

SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un


groupe d'utilisateurs au sein d'un domaine Windows 2003.

Exemple:
S-1-5-21-3292650235-2243138800-104724495-1005

Tout SID ayant été utilisé ne le sera jamais plus.

Les stratégies de groupes

Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer
de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux
ordinateurs d'un domaine.

Les possibilités offertes par les stratégies de groupes sont très larges:

 gestion de l'interface graphique,


 gestion des applications utilisables par les utilisateurs,
 installation d'applications,
 gestion des mises à jour,
 droits des utilisateurs,
 configuration automatique des applications,
 ...

Les profils

Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du


registre pour le paramètrage des applications) définissant l'environnement de travail d'un
utilisateur.

Par exemple, pour chaque utilisateur:

 son menu démarrer,


 son bureau,
 son dossier "Mes documents",
 son registre (fichier NTUser.dat):
o ses connexions réseaux, ses montages d'imprimante réseau,
o ses variables d'environnement (path, set, ...),
o ses définitions de couleurs, de police de caractères,...
o ses paramétrages logiciels,
o ...
 ...

Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le
répertoire "Documents and Settings", généralement dans un répertoire portant le nom de
l'utilisateur.

"Default User": Profil par défaut géré par le système et attribué par copie à chaque
utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une
machine. Le profil par défaut doit être configuré sur chaque poste client.

"All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées
communes du Menu démarrer, le bureau commun et la partie du registre commune à tous
25 Windows Server 2003 Practice
les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par
l'administrateur.

Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui.

Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout
utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte.

-> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine
(accessible à toutes les machines du domaine).

 Lors de la connexion, téléchargement automatique du profil sur le poste client dans


le répertoire "Documents and settings".
 Utilisation du profil (avec ou sans modification) sur le poste client.
 Lors de la déconnexion, déchargement automatique du profil du poste client vers le
serveur.
 Conservation éventuelle du profil local en cache sur le poste client. Sinon,
effacement.

La sécurité: Les privilèges (droits)

Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur
permettant d'exécuter une action système.

Privilège attribué à un groupe

-> Automatiquement attribué à l’ensemble de ses membres.

A l'installation du système d'exploitation, attribution par le programme d'installation de


privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés.

Via les stratégies de groupes, les administrateurs pourront changer les privilèges des
groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent.

Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.

La sécurité: les autorisations

Autorisation: Autorisation d'accès à une ressource accordée par un administrateur à un


utilisateur ou un groupe d'utilisateurs.

 Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.
 Accès sécurisé pour les imprimantes.
 Accès sécurisé aux ressources réseau (fichiers, imprimantes, ...).
 Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution
d'ACLs..

Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il
possède généralement tous les droits sur cet objet).

Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus


globalement au niveau groupe d'utilisateurs).

Autorisations pouvant être attribuées par l'administrateur (simplifié):

26 Windows Server 2003 Practice


Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers
qu'il contient ou qu'il contiendra lors de leur création):

 Aucun accès
 Lister
 Lire
 Ajouter
 Ajouter et lire
 Modifier
 Contrôle total
 Accès spécial à un répertoire…
 Accès spécial à un fichier…

Pour les fichiers

 Aucun accès
 Lire
 Modifier
 Contrôle total
 Accès spécial

Accès spéciaux:

 Lire
 Écrire
 Exécuter
 Effacer
 Changer les permissions
 Prendre possession

Contrôle total: toutes les permissions précédentes sont attribuées.

NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire
parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses
propres autorisations.

A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du


système d'exploitation aux groupes et utilisateurs intégrés -> sécurité minimale.

Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité


des objets.

Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions
du répertoire dans lequel il est placé (le créateur en est le propriétaire).

Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de


sécurité.

La sécurité: L'audit

Audit: Conservation d'une trace des événements détectés sur une machine.

A chaque événement, enregistrement d'une ligne de description dans l'un des journaux
d'événements.

27 Windows Server 2003 Practice


Evénements pouvant être audités:

 Système (audit des activités du système d'exploitation)


 Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)
 Application (audit des applications et des services)
 Active Directory (spécifique aux DC)
 DNS (spécifique aux serveurs DNS)
 Réplication de fichiers (spécifique aux machines réplicatrices)

-> Autant de journaux différents.

Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les


dysfonctionnements éventuels soit hardware, soit software.

Journal sécurité: Audit des activités des utilisateurs.

Événements pouvant être audités dans le journal sécurité:

 Les ouvertures et fermeture de session


 Les accès aux fichiers et objets
 L'utilisation de ses droits par un utilisateur
 La gestion des utilisateurs et des groupes
 Les modifications de la stratégie de sécurité
 Les démarrages et arrêts du système
 Le suivi de processus

Par défaut, audit activé seulement pour les événements liés aux journaux Système,
Application, Active Directory, DNS et Réplication de fichiers.

La gestion des partitions et des systèmes de fichiers

Introduction du système de fichiers NTFS avec Windows NT 4.0.

Nécessaire à la gestion de la sécurité d'accès aux fichiers, à l'implantation de la


compression à la volée et à l'encryptage des données.

Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques
"dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques
en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité ->
disques RAID).

Gestion du système de fichiers FAT32 (Windows 98).

Gestion du système de fichiers FAT16.

Gestion des noms longs.

IV - INSTALLATION (TYPE SALLE TP)

L'installation de Windows 2003 Serveur débute par l'installation du système d'exploitation


lui-même (avec service pack et updates nécessaires).

Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit
déjà implantés au sein du système et donc directement utilisables après configuration, soit
non installés et donc nécessiteront l'installation de composants systèmes supplémentaires
28 Windows Server 2003 Practice
qui eux aussi devront être configurés.
La configuration d'une machine en contrôleur de domaine est un exemple typique de ce
genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est
pas disponible par ailleurs.

Choix du système de fichier de la partition d'installation

Support de trois systèmes de fichiers reconnus:

 FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité
sur les fichiers, plus gourmand en espace, plus rapide
 FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows
98, pas de sécurité sur les fichiers
 NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers,
moins gourmand en espace, moins rapide

(1) Installation de Windows 2003 Server

Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant
(DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000).

Problème : accès aux fichiers d'installation.

Deux solutions :

 Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur
CD, lecteur réseau) de la machine d'installation fonctionnant sur un système
d'exploitation préexistant.
 Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine
disposant d'un lecteur CD bootable.

Première phase: Lancement du programme d'installation

 WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98


 WINNT32.EXE (32 bits) sous Windows NT ou 2000.
 Lancement direct avec l'utilisation d'un CD bootable

But :

 création (s'elle n'existe pas encore) de la partition d'installation,


 préparation de l'installation par recopie des fichiers d'installation sur le disque dur de
votre machine dans un répertoire temporaire,
 création d'un mini-NT bootable sur la partition d'installation.

Deuxième phase

Redémarrage de l'ordinateur

Travail en mode texte.

Renseignements concernant principalement le matériel présent sur la machine


d'installation.

29 Windows Server 2003 Practice


 Installation de Windows 2003 Server -> ENTRÉE -> Installer Windows maintenant.
 Installation de Windows 2003 Server -> ENTRÉE -> Détection automatique des
périphériques de mémoire de masse.
 Installation de Windows 2003 Server -> ENTRÉE -> Pas d'autre périphérique. En cas
de matériel spécifique, on peut charger des pilotes logiciels spéciaux.
 Examen du contrat de licence puis F8.
 Installation de Windows 2003 Server -> N (s'il existe déjà un système) ou ENTRÉE
(sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilité d'effectuer
une mise à jour si un système préexistait.
 Installation dans la partition désirée. Utilisation d'une partition existante. Possibilité
de créer une partition s'il n'en existe pas.
 Choix du type de système de fichier (NTFS, FAT) pour cette partition à formater ou
non si elle existait déjà..
 Installer dans le répertoire \WINDOWS.
 ENTRÉE pour redémarrer la machine.

Troisième phase

Redémarrage en mode graphique.

Collecte des informations concernant la machine

 Donner vos coordonnées (nom et organisation).


 Indiquer le mode de licence client. Toute connexion avec un utilisateur requière
l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux
modes de licence client (Microsoft considère que les utilisateurs sont honnêtes et ont
acheté un nombre suffisant de licences client) :
o par serveur : On indique le nombre de licences disponibles sur le serveur et
donc le nombre maximum de connexions simultanées sur ce serveur. C'est le
mode de gestion des licences le plus simple, il s'accommode bien d'un site
pourvu d'un seul domaine et d'un seul serveur.
o par siège : Les licences sont associées aux utilisateurs. A chacun d'eux
correspond une licence. Ce mode de gestion de licence est utilisé dans les
environnements poly-serveurs ou poly-domaines.
 Donner le nom de votre machine. 15 caractères alphanumériques au maximum, pas
d'espace, pas d'accent, pas de ponctuation.
 Donner le mot de passe de l'administrateur.

Configuration du réseau

 Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est
capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée,
installer le pilote trouvé sur la disquette ou le CD fourni avec la carte.
 Demander l'installation du seul protocole TCP/IP.

Configuration du protocole réseau TCP/IP

 On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP
allouées de manière définitive.
 Configuration des paramètres du protocole TCP/IP.
o Adresse IP : xxx.xxx.xxx.xxx
o Masque de sous-réseau : yyy.yyy.yyy.yyy
o Gateway : zzz.zzz.zzz.zzz.zzz
o Nom de domaine : abcd.xyz
o Serveur DNS : aaa.aaa.aaa.aaa

30 Windows Server 2003 Practice


Terminer l'installation.

 Fuseau horaire : Paris


 Installer la carte graphique détectée.

Dernière phase de l'installation

Redémarrer la machine

Après démarrage et ouverture de session administrateur, le gestionnaire de serveur est


lancé automatiquement proposant la réalisation des tâches suivant habituellement
l'installation initiale.

Les aspects concernés sont:

 l'installation et la gestion d'Active Directory Service


 la gestion de services de partage de fichiers
 la gestion de services de partage d'imprimantes
 la gestion de services Internet (ou Intranet)
 ...

INSTALLATION ACTIVE DIRECTORY

Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour
la gestion d'annuaires.

Il est utilisé pour toutes les tâches d'administration demandant une forte implantation
réseau et en particulier pour la création de domaines.

De base, ADS n'est pas installé sous Windows 2003. Au cours de son installation, un
domaine devra être défini. La machine d'installation pourra prendre différents rôles:

31 Windows Server 2003 Practice


 premier contrôleur d'un nouveau domaine dans une nouvelle forêt,
 premier contrôleur d'un domaine enfant d'un domaine existant,
 premier contrôleur d'un nouveau domaine dans une forêt existante,
 contrôleur supplémentaire au sein d'un domaine existant.

Deux méthodes sont possibles pour installer Active Directory:

 Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les
questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour
un nouveau domaine dans une nouvelle forêt..
 Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler
tous les aspects de l'installation.

L'assistant "Gérer votre serveur"

Ajouter ou supprimer un rôle

Configuration par défaut pour un premier serveur.


Si "Configuration personnalisée" est choisi, bascule sur dcpromo.
ATTENTION, reboot réalisé automatiquement en cours d'installation.

32 Windows Server 2003 Practice


33 Windows Server 2003 Practice
Choix du nom du nouveau domaine (au format nom TCP/IP)

Choix du nom compatible NetBEUI

34 Windows Server 2003 Practice


Choix d'un éventuel redirecteur DNS

35 Windows Server 2003 Practice


Confirmation
-> Démarrage de l'installation

36 Windows Server 2003 Practice


Reboot automatique
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)

37 Windows Server 2003 Practice


Reprise de l'installation

38 Windows Server 2003 Practice


Fin de l'installation

Contenu du journal "Configuration de votre serveur"

39 Windows Server 2003 Practice


Utilisation de l'utilitaire dcpromo

Quelques définitions importantes

Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de
données Active Directory, participant à la réplication Active Directory et contrôlant l'accès
aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs,
l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire
à partir de n'importe quel contrôleur de domaine de la forêt.

Contrôleur de domaine supplémentaire


Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de
domaine participent de manière égale à la réplication Active Directory mais, par défaut, le
premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des
opérations à maître unique.

Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé
immédiatement sous un autre nom de domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle
aussi de sous-domaine.

Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms
de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques
aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour
le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un
disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique.
Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut
organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des
relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu.
Plusieurs arborescences de domaine peuvent appartenir à la même forêt.

Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et
d'attribut (schéma), les mêmes informations relatives au site et à la réplication
(configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global).
Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.

Installation d'un nouveau domaine dans une nouvelle forêt

40 Windows Server 2003 Practice


Début de l'installation d'Active Directory Service

Choix du type de contrôleur de domaine :


un nouveau contrôleur ou un contrôleur supplémentaire.
Ici, un contrôleur de domaine pour un nouveau domaine

41 Windows Server 2003 Practice


Choix du type de domaine créé:
Nouveau domaine dans une nouvelle forêt.
nouveau domaine enfant dans une arborescence
de domaines existante dans une forêt existante,
nouveau domaine dans une nouvelle arborescence de domaine
au sein d'une forêt existante
Ici, un nouveau domaine dans une nouvelle forêt

Choix du nom du domaine créé (nom complet)

42 Windows Server 2003 Practice


Choix du nom du domaine NetBIOS pour compatibilité
avec les versions antérieures de Windows

Emplacements de stockage des informations ADS

43 Windows Server 2003 Practice


Alerte relative à l'absence d'un serveur DNS compatible
pour ce domaine
-> Installation de la machine en serveur DNS.

44 Windows Server 2003 Practice


Toujours pour compatibilité
avec les anciennes versions de Windows

Définition du mot de passe administrateur


pour le redémarrage en mode restauration ADS

45 Windows Server 2003 Practice


Résumé de l'installation demandée

Début de l'installation

Installation en cours

Début d'installation du service DNS

46 Windows Server 2003 Practice


Fin d'installation de DNS

47 Windows Server 2003 Practice


Fin d'installation d'ADS

Redémarrage de la machine

Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univ-


fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.

Suite : Configuration minimale du service DNS

Installation d'un contrôleur supplémentaire pour un domaine existant

Reprise de dcpromo avec choix d'un serveur supplémentaire

48 Windows Server 2003 Practice


Authentification avec un compte administrateur du domaine d'insertion

Choix du domaine d'insertion

49 Windows Server 2003 Practice


Choix de la localisation des fichiers et répertoires Active Directory

Choix de la localisation du volume Système d'Active Directory

50 Windows Server 2003 Practice


Choix du mot de passe de restauration des services d'annuaire

Résumé de l'installation choisie puis installation

51 Windows Server 2003 Practice


Les maîtres d'opérations

Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même
niveau du point de vue des charges d'administration et donc à l'indifférenciation des
contrôleurs
-> 5 opérations à maître unique:

 Contrôleur du schéma
 Maître d'attribution de noms de domaine
 Maître RID (ID relatives)
 Maître de l'émulateur PDC
 Maître d'infrastructure

Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine
fonctionne correctement.

Ces rôles peuvent être transférés entre contrôleurs.

 Contrôleur du schéma:
Outils d'administration "Schéma Active Directory"
 Maître d'attribution de noms de domaine:
Outils d'administration "Domaines et approbations Active Directory"
 Maître RID:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
 Maître de l'émulateur PDC:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
 Maître d'infrastructure:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"

52 Windows Server 2003 Practice


V - DNS et DDNS

Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour
l'implantation de serveurs DNS.

Après installation d'ADS et de DDNS, un certain nombre de nouveaux outils


d'administration sont disponibles dont l'administrateur DNS.

53 Windows Server 2003 Practice


Le gestionnaire DNS

Les tâches à réaliser via cet outil sont:

 la configuration de la résolution directe nom IP -> adresse IP,


 la configuration de la résolution inverse adresse IP -> nom IP,
 l'intégration au sein du domaine univ-fcomte.fr par référenciation du où des serveurs
DNS de ce domaine qui seront contactés lorsqu'une résolution ne peut être conclue
localement.

En outre, le serveur de domaine telemaque, défini pour le domaine w2k3.univ-fcomte.fr,


devra être déclaré auprès de l'administrateur du domaine univ-fcomte.fr pour délégation
vers lui des requêtes qui concernent ses machines.

Un seul serveur DNS dont le nom est TELEMAQUE


Définition de zones de recherche directes
pour les résolution nom IP -> adresse IP
et de zones de recherche inverses
pour les résolutions adresse IP -> nom IP

54 Windows Server 2003 Practice


Menu contextuel associé au serveur TELEMAQUE

Une zone de recherche directe définie pour le domaine


w2k3.univ-fcomte.fr, mais pas de zone inverse
Zone directe _msdsc.w2k3.univ-fcomte.fr créée
automatiquement et nécessaire pour que ce serveur DNS
soit utilisable pour un domaine Windows 2003
Evénements DNS enregistrés
dans le journal "Observateur d'événements"

55 Windows Server 2003 Practice


Menu contextuel associé aux clefs
"zones de recherche directes" et
"zones de recherche inverses"

Configuration de w2k3.univ-fcomte.fr en zone directe

Menu contextuel associé à un domaine TCP/IP


en zone de recherche directe

Déclaration d'une nouvelle machine (hôte)


avec demande de création automatique du pointeur PTR associé

56 Windows Server 2003 Practice


et autorisation du changement de l'adresse
associée à ce nom par DDNS

Warning car la zone inversée n'existe actuellement pas!

Si la zone inverse existait.

Résultat

57 Windows Server 2003 Practice


Déclaration d'un nouvel alias

Etat après configuration

Configuration de la classe 172.20.128.xxx en zone inverse

58 Windows Server 2003 Practice


Existence actuelle d'aucune zône inversée

Lancement de l'assistant de création de zone inverse

59 Windows Server 2003 Practice


Création d'une zône principale intégrée à Active Directory

Choix de l'étendue de réplication de cette zône

60 Windows Server 2003 Practice


Définition de l'ID réseau de cette zone

Choix du mode de mise à jour dynamique

61 Windows Server 2003 Practice


Fin de l'assistant de création de zone inverse

DNS avec zone de recherche inverse

62 Windows Server 2003 Practice


Menu contextuel associé
à une zone de recherche inverse

Création d'un nouveau pointeur


de zone de recherche inverse

63 Windows Server 2003 Practice


Lors de la création d'un hôte de zone
de recherche directe, création simultanée
du pointeur associé en zone de recherche inverse

Configuration d'un serveur DNS redirecteur

64 Windows Server 2003 Practice


Onglet Redirecteurs dans les propriétés
du serveur DNS TELEMAQUE

Reconfiguration des paramètres TCP/IP

Reconfiguration des paramètres TCP/IP


pour intégrer le 172.20.128.115 comme DNS principal
et w2k3.univ-fcomte.fr comme premier suffixe DNS

Etat du DNS après configuration complète

Zone de recherche directe


65 Windows Server 2003 Practice
Zone de recherche inverse

Tests (nslookup)

S'assurer que TCP/IP est correctement configuré sur la machine de test (voir ci-avant).

Commande nslookup exécutée dans une invite de commande

66 Windows Server 2003 Practice


tests nom IP -> adresse IP réussis pour des noms du domaine

tests nom IP -> adresse IP ratés pour des noms du domaine

test nom IP -> adresse IP réussi pour un alias du domaine

67 Windows Server 2003 Practice


test nom IP -> adresse IP pour un nom quelconque
(noter le message "Reponse ne faisant pas autorite" qui s'explique
par le fait que le notre DNS et son redirecteur ne s'authentifient pas)

tests nom IP -> adresse IP réussis pour des noms complets

tests nom IP -> adresse IP ratés pour des noms complets

tests adresse IP -> nom IP réussis


pour des adresses renseignées dans les zones inversées du serveur

68 Windows Server 2003 Practice


test adresse IP -> nom IP raté
pour des adresses renseignées dans les zones inversées du serveur

test adresse IP -> nom IP réussi pour des adresses quelconques

Éléments d'utilisation

L'ouverture de session

La combinaison de touches Ctrl - Alt - Suppr donne accès à la fenêtre d'ouverture de


session. Le nom d'utilisateur et le mot de passe associé doivent être indiqué. Il est aussi
nécessaire de choisir le domaine de connexion (celui du compte) parmi ceux proposés.

La fermeture de session

Quelle que soit la tâche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accès
à une fenêtre permettant d'initier la procédure de fermeture de session.

Le bureau Windows 2003 et ses composants

Il constitue l'environnement de travail et reprend la métaphore du bureau (type


Macintosh). Il est composé en version de base du logiciel Internet Explorer 6.0 qui assure
les fonctions d'interface utilisateur et de navigateur Internet.

69 Windows Server 2003 Practice


Composants principaux :

 une barre donnant accès au menu démarrer, à des icônes d'applications lançables,
aux icônes des applications lancées réduites ou non, ...,

 des icônes cliquables qui représentent des raccourcis vers des composants du
système (l'utilisateur peut créer sur le bureau ses propres raccourcis donnant accès
à des documents ou des applications),

70 Windows Server 2003 Practice


Menu contextuel associé
au poste de travail

 les fenêtres des applications lancées et non réduites.

Le menu démarrer

Il permet le lancement des applications installées.

71 Windows Server 2003 Practice


Présence d'un groupe d'outils dédiés à l'administration de la machine.

Il peut être configuré par l'utilisateur pour contenir des icônes personnelles (Démarrer ->
Paramètres-> Barre des tâches et menu démarrer).

72 Windows Server 2003 Practice


73 Windows Server 2003 Practice
Description contenue dans le répertoire
D:\Documents and Settings\utilisateur
pour les différents utilisateurs.

74 Windows Server 2003 Practice


Le poste de travail

Il donne accès à une visualisation sous forme d'icônes des unités, des répertoires et des
fichiers présents ou accessibles sur l'ordinateur local. Les unités sont affectées d'une lettre
de lecteur. Elles peuvent être de type :

 lecteur de disquette,
 disque dur,
 lecteur de CD Rom,
 répertoire réseau,
 disque amovible,
 ...

Le poste de travail donne aussi accès au panneau de configuration, aux documents de


l'utilisateur, aux favoris réseau de l'utilisateur et à l'accès réseau à distance.

L'icône "Favoris réseau"

Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses
ressources disponibles sur le réseau proposées par ces machines:

 imprimantes,
 répertoires partagés,
 utilisateurs,
 ...

Elle permet aussi de configurer des raccourcis réseau.

75 Windows Server 2003 Practice


Favoris enregistrés

76 Windows Server 2003 Practice


Tout le réseau

Le réseau Microsoft Windows (deux domaines ou workgroups détectés W2K3 et Odyssee)

Machines du domaine W2K3


77 Windows Server 2003 Practice
La base de données Active Directory disponible sur la machine telemaque.w2k3.univ-
fcomte.fr

Le gestionnaire de tâches

Obtenu à partir de la combinaison de touches Ctrl – Alt – Suppr.

Il est composé de cinq onglets qui décrivent l'état du système du point de vue des tâches
en cours d'exécution.

(1) Description des applications lancées par l'utilisateur en session

78 Windows Server 2003 Practice


Menu contextuel associé à une application
Noter la possibilité d'arrêter (quit) une application
Noter la possibilité de sélectionner le processus correspondant
à une application (voir onglet suivant)

(2) Liste des processus en cours d'exécution (tous les processus)

79 Windows Server 2003 Practice


Menu contextuel associé à un processus
Noter la possibilité de terminer un processus (kill)
si les autorisations le permettent
Noter la possibilité de définir la priorité d'un processus (avec prudence)
Noter la possibilité de définir sur quel processeur un processus s'exécute

(3) Utilisation de la mémoire et du C.P.U.

Noter la présence de deux historiques d'utilisation de processeur


(2 processeurs virtuels sur un pentium IV hyperthreadé)

(4) Utilisation du réseau

80 Windows Server 2003 Practice


(5) Utilisateurs en cours

81 Windows Server 2003 Practice


Menu contextuel associé à un utilisateur
Noter la possibilité de fermer la session d'un utilisateur

Les fichiers système

Système stocké dans les répertoires \Winnt de l'unité system:

 \Winnt\Repair : fichiers de réparation


 \Winnt\System : fichiers système (compatibilité Windows 3.11, 95, 98)
 \Winnt\System32 : fichiers système 32 bits

 \Winnt\System32\config : une partie du registre


 \Winnt\System32\Dhcp : configuration et informations DHCP

 \Winnt\System32\Dns : configuration et informations DNS


 \Winnt\System32\Wins : configuration et informations WINS

Profils des utilisateurs sous \Documents and Settings

Installation des applications sous \Program files

Fichiers publiés sous IIS sous \Inetpub ou éventuellement ailleurs

Contenu des poubelles dans \Recycler sur chaque unité (la poubelle de chaque utilisateur
est le répertoire portant comme nom le SID de l'utilisateur)

Il peut être utile de créer un répertoire temporaire \temp

Registre (Registry) : Base de données décrivant la configuration du système.

Attention aux permissions sur l'ensemble de ces répertoires.


Les programmes d'installation les configurent de manière peut restrictive. Il est
difficile de supprimer quelque chose de véritablement important sans être
administrateur. En revanche, il est possible d'ajouter ou de remplacer.
LIMITER L'ACCES A LA CONSOLE.

82 Windows Server 2003 Practice


VI - ADMINISTRATION

Informations preliminaries

Sites Internets

http://www.microsoft.com : Site Microsoft

http://www.windowsupdate.com : Site Microsoft pour la mise à jour des systèmes


d'exploitation

http://www.microsoftupdate.com : Site Microsoft pour la mise à jour des systèmes


d'exploitation et logiciels applicatifs

Livres

Microsoft Windows 2003 Resource Kit (environ 300€, 6 livres + 1 CD) :

 Planification et déploiement
 Administration des serveurs
 Architecture TCP/IP
 Internet Information Services
 Interopérabilité des réseaux
 Systèmes distribués
 Utilitaires logiciels:
o scopy
o addusers
o pviewer

ADMINISTRATION
(LE PANNEAU DE CONFIGURATION)

Le panneau de configuration

Il permet une partie de la configuration de l’ordinateur. Il est dédié aux paramétrages du


matériel et des logiciels installés localement.

L'affichage

IL réalise la configuration de l'affichage au sens:

 thème du bureau,
 motif ou image d'arrière plan du bureau,
 écran de veille,
 couleurs, iconographie,
 résolution, nombre de couleurs, vitesse de balayage,
 type de carte graphique et configuration de son pilote logiciel.

83 Windows Server 2003 Practice


Thème du bureau

84 Windows Server 2003 Practice


Image ou motif d'arrière plan
Personnalisation du bureau par Active Desktop

Economiseur d'écran

85 Windows Server 2003 Practice


Look pour l'affichage

Résolution, nombre de plan de couleurs

86 Windows Server 2003 Practice


87 Windows Server 2003 Practice
Bouton "Avancé" à partir de l'onglet paramètres:
Configuration plus précise des paramètres d'affichage
(taille des polices utilisées,
résolutions gérées par la carte graphique,
fréquence de rafraichissement du moniteur, ...)

Ajout de matériel

88 Windows Server 2003 Practice


Windows 2003 gère le plug'n'play.
-> Les cartes d'extension et les périphériques matériels sont automatiquement reconnus et
installés (ou retirées).

Problème: Les périphériques trop anciens ou trop récents peuvent ne pas être reconnus.

Problème: L'installation de nouveaux pilotes peut être nécessaire.

Problème: Le plug'n'play peut ne pas fonctionner correctement.

Problème: Un matériel peut ne pas fonctionner correctement.

Le panneau "Ajout/Suppression de matériel" permet de résoudre ces problèmes.

89 Windows Server 2003 Practice


Test de la configuration matérielle de l'ordinateur

90 Windows Server 2003 Practice


Tout est normal

Un pilote logiciel pose problème

91 Windows Server 2003 Practice


Fin de l'assistant et bascule vers l'assistant
de mise à jour du matériel (pilotes)

92 Windows Server 2003 Practice


93 Windows Server 2003 Practice
Pas de solution sans CD de pilote

Ajout/Suppression de programmes

Il permet l'installation et la suppression de logiciels et de composants système sur


l'ordinateur.

94 Windows Server 2003 Practice


Modification/désinstallation de programmes
Affichage ou non des mises à jour

Installation de nouveaux programmes

95 Windows Server 2003 Practice


Installation/désinstallation
de composants du système d'exploitation

Composants système (services) disponibles

Autres services de fichiers


et d'impression en réseau

96 Windows Server 2003 Practice


Services de mise en réseau

Serveur d'applications

Services Internet disponibles

Options d'alimentation

Il permet la gestion de l'énergie consommée par la machine et la gestion d'un onduleur.

97 Windows Server 2003 Practice


Configuration de paramètres de gestion
et d'économie d'énergie

Configuration de paramètres avancés d'interface

98 Windows Server 2003 Practice


Configuration de la mise en veille prolongée

99 Windows Server 2003 Practice


Configuration de la gestion d'un onduleur
détection des coupures de courant,
arrêt automatique de la machine
en cas de panne de courant prolongée,
envoi d'alertes administratives
Panneau de configuration généralement
rendu inutile par le logiciel
fournit par le fabriquant d'onduleurs.

Options des dossiers

Configuration des options d'affichage et d'utilisation de Internet Expolorer en tant


qu'interface utilisateur.

Paramètres généraux

100 Windows Server 2003 Practice


Paramètres d'affichage

101 Windows Server 2003 Practice


Types de fichier associés aux extensions

102 Windows Server 2003 Practice


Paramètres d'utilisation des fichiers hors connexion

Options Internet

Configuration des paramètres relatifs à l'accès à Internet au moyen de Internet Explorer et


des logiciels qui se configurent sur les paramètres de Internet Explorer.

103 Windows Server 2003 Practice


Page de démarrage, paramètres de cache
et de gestion de l'historique des navigations

Bouton "Paramètres" de l'onglet "Général":


mode de vérification, localisation disque, taille
et contenu pour le cache

104 Windows Server 2003 Practice


Onglet "Connexions": Paramètres de la connexion

Bouton "Paramètres réseau" de l'onglet "Connexion":


Configuration d'un serveur proxy

Bouton "Avancée...":
Configuration port par port et exclusions

105 Windows Server 2003 Practice


Applications associées aux différents services Internet

106 Windows Server 2003 Practice


107 Windows Server 2003 Practice
Paramètres avancés.
Il peuvent être différents d'un système à un autre.

Date/Heure

Configuration de la date, de l'heure de la machine, du passage automatique à l'heure d'été


et du fuseau horaire si la référence horaire GMT est nécessaire.

108 Windows Server 2003 Practice


Imprimantes

Configuration des Imprimantes (voir plus loin)

La gestion des licences sur Windows 2003 Server

Ce panneau permet le choix du mode de gestion des licences d'accès client ainsi que l'ajout
ou la suppression de licences d'accès client dans le mode par serveur.

Par Siège

Le mode de licence "Par siège" est la meilleure option si les clients utilisent fréquemment
plusieurs serveurs sur le réseau. Le mode de licence Par siège permet à tous les
ordinateurs du réseau d'accéder à tous les serveurs d'un réseau. Il n'y a aucune limite
quant au nombre de connexions simultanées, quel que soit le serveur. Par siège est le
mode de licence normal pour un produit serveur installé sur plusieurs serveurs d'un réseau.

Par Serveur

Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par tout au plus un sous-
ensemble des utilisateurs. Les connexions simultanées Par serveur à un serveur spécifique
sont allouées sur une base premier arrivé, premier servi et limitées au nombre de licences
d'accès client allouées au serveur. Cela peut s'avérer économique pour un réseau doté d'un
seul serveur ou pour un produit serveur accessible sur un serveur par un seul département
ou groupe d'une organisation. Une unique conversion en licence Par siège est autorisée.

109 Windows Server 2003 Practice


Mode de gestion des licences pour la machine locale.

Ajour de nouvelles licences "Par serveur"

Suppression de licences "Par serveur"

Mises à jour automatiques

Il permet de choisir le mode de gestion des mises à jour automatiques du système sur le
site http://www.windowsupdate.com.

110 Windows Server 2003 Practice


Trois possibilités d'actions si actif:
rien d'automatique,
téléchargement automatique
mais installation à la demande,
tout automatique

Sons et multimédia

Configuration des sons et des périphériques Multimédia utilisés par le système.

Configuration du volume
111 Windows Server 2003 Practice
Configuration des sons en réponse à des événements

Choix des pilotes audio

112 Windows Server 2003 Practice


Choix des pilotes utilisés pour la gestion de la voix

Pilotes installés

113 Windows Server 2003 Practice


Connexions réseau

Il assure les opérations de configuration des paramètres réseau et/ou d'accès à distance
(modem).

114 Windows Server 2003 Practice


Nouvelle connexion

Connexion au réseau local

115 Windows Server 2003 Practice


Propriétés de la connexion locale:
Composants clients installés
Services installés,
Protocoles installés,...
Possibilité d'avoir un écho de cette fenêtre
dans la barre des tâches.

Installation de nouveaux composants réseau


(clients, services ou protocole)

116 Windows Server 2003 Practice


Clients

Services

117 Windows Server 2003 Practice


Protocoles

Propriétés du protocole TCP/IP:


Adresse IP et paramètres de base

118 Windows Server 2003 Practice


Propriétés du protocole TCP/IP: Paramètres IP complets

Propriétés du protocole TCP/IP: Configuration DNS

119 Windows Server 2003 Practice


Propriétés du protocole TCP/IP: Configuration WINS

Propriétés du protocole TCP/IP: Options de sécurité

120 Windows Server 2003 Practice


Option de sécurité TCP/IP: Filtrage

Possibilité de configurer plusieurs adresses IP


ou passerelles par défaut
sur la même interface

121 Windows Server 2003 Practice


Outils d'administration

Autres outils d'administration locale


mais aussi outils plus particulièrement dédiés
à l'administration des domaines (Voir plus loin)

122 Windows Server 2003 Practice


Propriétés du système

Paramètres généraux
(système d'exploitation,
références de l'installateur,
type de machine)

123 Windows Server 2003 Practice


Identification réseau par un nom de machine
et une appartenance à un domaine
ou un groupe de travail.
Suivant le statut de la machine,
tous les changements sont possibles ou non

Configuration matérielle du système

Configuration avancée

Configuration avancée -> Performances -> Effets visuels

124 Windows Server 2003 Practice


Configuration avancée -> Performances -> Avancé

Configuration avancée -> Performances


-> Avancé -> Mémoire virtuelle

125 Windows Server 2003 Practice


Options de performances

126 Windows Server 2003 Practice


Profils des utilisateurs

Démarrage et récupération

127 Windows Server 2003 Practice


Variables d'environnement

Rapport d'erreurs

128 Windows Server 2003 Practice


Mise à jour automatiques

Utilisation à distance

129 Windows Server 2003 Practice


Tâches planifiées

Programmation de tâches (récurrentes ou non)

Fenêtre tâches planifiées

Création d'une nouvelle tâche

130 Windows Server 2003 Practice


Choix du programme à exécuter

Choix de l'instant d'exécution


Paramètrage des différentes options horaires

131 Windows Server 2003 Practice


Choix de l'utilisateur exécutant le programme

Création de la tâche planifiée

132 Windows Server 2003 Practice


Résultat

Propriétés d'une tâche

Propriétés d'une tâche: Configuration horaire


133 Windows Server 2003 Practice
Propriétés d'une tâche: Modalités de fonctionnement

Propriétés d'une tâche: Sécurité

Propriétés d'une tâche planifiée hebdomadaire

Propriétés avancées d'une tâche planifiée hebdomadaire

134 Windows Server 2003 Practice


Résultat

Menu contextuel associé à une tâche planifiée

Résultat de la désactivation via l'utilisation des propriétés

Compatibilité avec la commande AT

135 Windows Server 2003 Practice


Configuration de l'utilisateur exécutant
les commandes de la commande AT

Via invite de commande,


création et affichage des commandes
de la commande AT

Les commandes de la commande AT


apparaissent dans les tâches planifiées,
mais toute modification les transforme
en une commande classique.

136 Windows Server 2003 Practice


Programmation au moyen de la commande schtasks

Liste des tâches planifiées

Programmation d'une tâche planifiée

Résultat

137 Windows Server 2003 Practice


Noms et mots de passe utilisateurs

Pare-feu Windows

Autres panneaux de configuration

 Clavier
 Souris
 Options de modems
 Options d'accessibilité
 Options de jeu
 Scanneurs et appareils photo
 Options régionales
 Polices
 Panneaux installés par les applications (Java Plug-in, QuickTime, HP JetAdmin,
Symantec LiveUpdate, Recherche Accélérée, ODBC,...)
 ...

Administration
(L'explorateur et ses fonctions)

L’explorateur Windows 2003

L'explorateur Windows 2003 est l'outil de visualisation et de configuration des unités


déclarées sur la machine ("montées"): unités locales et unités réseau.

Les fonctionnalités assurées par l'explorateur sont constamment améliorées par Microsoft
et les éditeurs tiers. Son interface est celle d'Internet Explorer (en version 6 pour Windows
2003 et suivant les mises à jour effectuées après installation initiale).

Il permet la gestion de fichiers classique, mais son rôle va beaucoup plus loin :

 le parcours des répertoires montés sur une machine,


 le montage et démontage de répertoires réseau,
 l'affectation d'autorisations aux utilisateurs pour les unités, les répertoires et les
fichiers locaux et réseau via une opération de montage,
 le partage de répertoires sur le réseau et la configuration de la sécurité pour l'accès
réseau à ces répertoires,
 la configuration de l'audit sur les fichiers, les répertoires et les unités,
 l'appropriation des unités, répertoires et fichiers,
 ...

138 Windows Server 2003 Practice


Ces quatre dernières opérations sont accessibles via l'option propriétés demandée sur un
objet soit par les menus soit par un clic du bouton droit de la souris.

139 Windows Server 2003 Practice


140 Windows Server 2003 Practice
Propriétés d’une unité

Un certain nombre d'onglets qui peuvent varier en fonction du type de système de fichiers
monté sur l'unité.

Général: Caractéristiques générales pour une partition FAT

141 Windows Server 2003 Practice


Général: Caractéristiques générales pour une partition NTFS

142 Windows Server 2003 Practice


Outils: Vérification, sauvegarde et défragmentation

Matériel: Périphériques de stockage présents sur le système

143 Windows Server 2003 Practice


Partage: Partage sur le réseau pour la création
d'une ressource réseau (voir plus loin)

Sécurité: Configuration de la sécurité


(utilisable si l'unité est formatée en NTFS)

144 Windows Server 2003 Practice


Clichés instantanés: Configuration et utilisation

Quota: Configuration de quotas d'espace disque


disponible aux utilisateurs sur cette unité

145 Windows Server 2003 Practice


Exécution automatique pour les lecteurs amovibles

Configuration des autorisations sur une unité

Attribuées aux groupes d'utilisateurs ou aux utilisateurs

 pour les répertoires contenus (récursivement ou non),


 pour les fichiers contenus

pour peu que l'unité soit formattée en NTFS.

146 Windows Server 2003 Practice


Fenêtre générique de gestion de la sécurité

147 Windows Server 2003 Practice


Accès aux options avancées de gestion de la sécurité:
Autorisations (Permissions), Audit, Propriétaire

148 Windows Server 2003 Practice


Choix de un ou plusieurs utilisateurs
ou groupes d'utilisateurs

149 Windows Server 2003 Practice


Fenêtres de recherche avancée
et de choix des types d'objets recherchés

Affectation des autorisations

150 Windows Server 2003 Practice


Portée de l'affectation d'autorisations

Autorisations possibles sur les unités

Audit de l'accès à une unité

151 Windows Server 2003 Practice


Vérous d'audit possibles

Résultat

152 Windows Server 2003 Practice


Propriétaire et appropriation d'une unité

Autorisations effectives sur une unité

Lorsque beaucoup d'autorisations sont placées sur une unité, il peut être difficile de savoir
les autorisations effectives dont disposera un utilisateur ou un groupe d'utilisateurs. En
effet, celui-ci peut appartenir à plusieurs groupes référencés et obtiendra l'autorisation la
plus "permissive" parmi toutes celles qui lui réfèrent.
L'onglet "Autorisations effectives" résoud ce problème car il permet de visualiser les
autorisations qui s'appliquent à une unité pour un utuilisateur ou un groupe d'utilisateurs
partculier.

153 Windows Server 2003 Practice


Propriétés d’un répertoire

154 Windows Server 2003 Practice


Général: Propriétés générales

Partage: Configuration d'un répertoire partagé


pour la création d'une ressource réseau (voir plus loin)

155 Windows Server 2003 Practice


Sécurité: Permissions sur le répertoire
(ici, elles sont héritées du répertoire parent)

Personnaliser: Configuration des paramètres d'affichage

Configuration des permissions sur un répertoire

Possibilités identiques aux permissions sur une unité.

156 Windows Server 2003 Practice


Sécurités avancées

Permissions héritées du répertoire parent

157 Windows Server 2003 Practice


Autorisations possibles sur les répertoires

Configuration de l'audit sur un répertoire

Possibilités identiques à l'audit sur une unité.

Propriétés d’un fichier

Général: Caractéristiques générales

158 Windows Server 2003 Practice


Sécurité: Paramétres de sécurité

159 Windows Server 2003 Practice


Résumé: Résumé du fichier (si disponible)

Résumé -> Avancé: Résumé avancé du fichier (si disponible)

Configuration des autorisations sur un fichier

160 Windows Server 2003 Practice


Sécurités avancées

Affectation d’autorisations
(en grisé car hérité)

Autorisations possibles sur les fichiers

161 Windows Server 2003 Practice


Après affectation de permissions
au groupe Utilisateurs authentifiés

Configuration de l'audit sur un fichier

Possibilités identiques à l'audit sur un répertoire.

Partage d’une unité ou d'un répertoire

Cette opération propose une unité ou un répertoire en accès aux autres machines du
réseau:

 L'administrateur devra choisir un nom de ressource partagée.

162 Windows Server 2003 Practice


En outre, elle permet la configuration de la sécurité d'accès à la ressource par
l'intermédiaire d'autorisations aux utilisateurs ou aux groupes d'utilisateurs:

 L'administrateur devra attribuer ces autorisations d'accès via le réseau.

Ces autorisations "doublonnent" avec celles des fichiers et répertoires auxquelles un


partage donne accés.
La raison de existence de ce doublon est qu'un partage peut être créé sur une unité
formattée en FAT et que les autorisations associées au partage permettront d'apporter la
sécurité à son accés. Il s"agit aussi d'un héritage de LanManager.

Répertoire non partagé

163 Windows Server 2003 Practice


Partage réalisé avec pour nom PartageTest.
La ressource réseau a le nom \\TELEMAQUE\Utilisateurs.
TELEMAQUE est le nom du serveur.
Il peut aussi être désigné par telemaque.w2k3.univ-fcomte.fr

Icones des unités et répertoires partagés

164 Windows Server 2003 Practice


Autorisations pour le partage (accès via le réseau)

165 Windows Server 2003 Practice


Partage par défaut des unités locales
et autorisations sur ce partage

Création d'un nouveau partage


lorsqu'un partage existe déja

Création d'un partage masqué


(son nom se termine par un caractère $,
il est non visualisé sur le réseau)

Montage d’un répertoire réseau

Cette opération déclare sur une machine une nouvelle unité et lui attribue une lettre de
lecteur parmi celles disponibles. Cette unité sera en réalité un répertoire ou une unité d'une
autre machine, partagé par cette machine et utilisé comme une unité locale.

166 Windows Server 2003 Practice


Fenêtre de connexion

Choix de la lettre de lecteur attribuée en local

167 Windows Server 2003 Practice


Choix du chemin d'accès réseau (en convention UNC)
par recherche ou en le tapant directement

168 Windows Server 2003 Practice


Choix de l'utilisateur se connectant (en convention UNC),
et indication de son mot de passe

Convention UNC pour un nom de ressource réseau:

 \\machine_serveur\nom_ressource

Convention UNC pour un nom d'utilisateur:

 nom_utilisateur si on accède à une machine de son domaine de connexion,


 nom_domaine\nom_utilisateur si on accède à une machine d'un autre domaine.

Fenêtre juste avant validation

169 Windows Server 2003 Practice


Poste de travail avec une unité réseau montée

Icones d'une unité réseau

Démontage d’un répertoire réseau

Cette fonction permet de supprimer une unité réseau d'une machine sans, bien entendu, la
détruire sur la machine source (suppression d'une déclaration).

170 Windows Server 2003 Practice


Opérations diverses de l'explorateur

 Recherche multi-critères

Recherche générale

Localisation recherche

171 Windows Server 2003 Practice


Options de recherche

172 Windows Server 2003 Practice


Préférences de recherche

 Formatage (unité, disquette, disque extractible, ...)

Fenêtre de formatage

Systèmes de fichiers connus (partition)

173 Windows Server 2003 Practice


Tailles des unités d'allocation sur le disque

Warning formatage

Formatage en cours

Formatage terminé

 Compression à la volée

174 Windows Server 2003 Practice


Demande de la compression à la volée
via les propriétés d'une unité
(cela marche aussi pour les répertoires ou les fichiers)

Compression récursive ou non

Résultat de la compression d'un fichier


gain de presque 79% sur ce fichier

175 Windows Server 2003 Practice


ADMINISTRATION
(LA MICROSOFT MANAGEMENT CONSOLE, LA MMC)

La Microsoft Management Console (MMC) est le programme via lequel une grande partie
des tâches d'administration de Windows 2003 sont réalisées.

Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC,
permettant de réaliser telle ou telle configuration dédiée à telle ou telle fonctionnalité. Les
divers outils d'administration sont implantés via ces snap-in, procurant une uniformité de
leurs interfaces utilisateur.

L'exécutable correspondant est MMC.EXE. Il est installé au sein du système d'exploitation.


Lancé seul, il ouvre une MMC vide.

Lancement MMC

Une MMC vide

176 Windows Server 2003 Practice


Le snap-in "gestionnaire d'ordinateur"

La zone gauche donne accès à l'arborescence des éléments de configuration du snap-in. La


zone de droite permet de réaliser la configuration souhaitée sur l'élément sélectionné.

Le menu Fichier

177 Windows Server 2003 Practice


Ajout d'un Composant logiciel enfichable (snap-in)

Bouton Ajouter pour choisir le composant souhaité

Choix du type de composant

178 Windows Server 2003 Practice


Liste des composants

179 Windows Server 2003 Practice


Choix de la localisation gérée par le composant
(ici, un ordinateur du domaine)

180 Windows Server 2003 Practice


Autre choix de localisation gérée par le composant
(ici, une parmi les stratégies de sécurité du domaine)

181 Windows Server 2003 Practice


Nouveau contenu de la MMC

182 Windows Server 2003 Practice


Résultats dans la MMC

Une MMC avec plusieurs composants différents


ouverts sur plusieurs localisations

183 Windows Server 2003 Practice


Sauvegarde d'une console

Enregistrer

Résultat dans le poste de travail

184 Windows Server 2003 Practice


ADMINISTRATION
(LA GESTION DES UTILISATEURS, L'APPROBATION ENTRE DOMAINES)

La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du


domaine

Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des
ordinateurs d'un domaine (il leur est attribué un compte):

 création,
 destruction,
 propriétés,
 ...

Interface générale

Groupes créés à l'installation

185 Windows Server 2003 Practice


Utilisateurs et groupes d'utilisateurs du domaine

Contrôleurs de domaine du domaine


(PENELOPE a été ajouté en contrôleur supplémentaire)

Ordinateurs du domaine

Menus contextuels associés aux clés ADS

Utilisateurs
et Ordinateurs
Active Directory
186 Windows Server 2003 Practice
Domaine

Builtin

Users

187 Windows Server 2003 Practice


Création d’un nouvel utilisateur

Défini par son nom (unique).

Choix des paramètres de création:


nom de login Windows 2000 (obligatoire),
nom de login de compatibilité NetBIOS,
nom détaillé

Choix des paramètres de création:


mot de passe (obligatoire),
188 Windows Server 2003 Practice
obligation ou non de changer le mot de passe
à la prochaine ouverture de session,
interdiction ou non de changement de mot de passe,
pas d'expiration du mot de passe
même en cas de limite de validité temporelle,
compte désactivé ou non

Menu contextuel associé à un utilisateur

Changement du mot de passe d'un utilisateur

Réinitialisation du mot de passe

Propriétés d’un utilisateur

189 Windows Server 2003 Practice


Paramètres généraux

Adresse postale

190 Windows Server 2003 Practice


Principales propriétés du compte

Options configurables

191 Windows Server 2003 Practice


Horaire d'accès

Stations d'accès

192 Windows Server 2003 Practice


Configuration du profil

193 Windows Server 2003 Practice


Numéros téléphoniques de l'utilisateur

Implantation hiérarchique de l'utilisateur


dans son entreprise

Groupes d'appartenance de l'utilisateur

194 Windows Server 2003 Practice


Contrôle à distance des paramètres Terminal Server

195 Windows Server 2003 Practice


Profil utilisateur en cas d'utilisation
de Terminal Server

Paramètres d'accès entrant RAS ou VPN

196 Windows Server 2003 Practice


Démarrage des services Terminal Server

Time out Terminal Server

Création d’un groupe

197 Windows Server 2003 Practice


Création d'un nouveau groupe:
défini par son nom (unique),
défini sur le domaine local ou globalement,
groupe de sécurité ou de distribution

Résultat

Menu contextuel associé à un groupe

198 Windows Server 2003 Practice


Propriétés générales d'un groupe

Propriétés d'un groupe: Membres

199 Windows Server 2003 Practice


Propriétés d'un groupe:
Groupes dont il est membre

200 Windows Server 2003 Practice


Propriétés d'un groupe:
Utilisateur gestionnaire

Ajout de l'utilisateur "Einstein" dans le groupe "Physiciens"

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur

201 Windows Server 2003 Practice


Création d'un répertoire destiné à héberger
les répertoires de base et les profils itinérants

202 Windows Server 2003 Practice


203 Windows Server 2003 Practice
Partage de ce répertoire (sous le nom Users) et configuration
des autorisations sur le répertoire et sur le partage

Résultat du partage

Configuration de l'utilisateur concerné


dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs

204 Windows Server 2003 Practice


Possibilité d'utiliser la variable d'environnement
%USERNAME% pour désigner un utilisateur

Le gestionnaire des utilisateurs


crée lui-même le répertoire de base
et lui affecte les permissions en limitant
l'accès au seul administrateur et à l'utilisateur

205 Windows Server 2003 Practice


Montage automatique du répertoire de base en unité Z:

Configuration de l'unité Z:
en unité implicite pour les programmes

Après la première ouverture puis fermeture de session,


le profil de l'utilisateur est sauvegardé
dans le répertoire profils.

206 Windows Server 2003 Practice


Le profil est obtenu par copie du profil
"Default User" de la première machine cliente.

Accès restreint au seul utilisateur

Après fermeture de session, maintient "en cache"


de l'ancien profil dans le répertoire
"Documents and Settings" du poste client

Affectation d'un script d'ouverture de session

207 Windows Server 2003 Practice


Configuration de l'utilisateur concerné
dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs

Localisation des scripts dans le répertoire


\WINNT\SYSVOL\domain\scripts

Contenu du script Begin.cmd


208 Windows Server 2003 Practice
Résultat à l'ouverture de session de l'utilisateur

Création d’un nouvel ordinateur

Défini par son nom (unique).

209 Windows Server 2003 Practice


Création de l'ordinateur
Possibilité de le déclarer en tant que machine
à système prè Windows 2000 ou non
Possibilité de le déclarer en tant que controleur supplémentaire
ou en tant que membre simple

210 Windows Server 2003 Practice


Résultat

Création d’un groupe d'ordinateurs

Création d'un nouveau groupe "classique"

Ajout des ordinateurs ARGOS et ULYSSE

211 Windows Server 2003 Practice


Résultat

Maitres d'opérations (opérations à maître unique)

Via l'option "Maîtres d'opérations" sur une clé de domaine

Configuration du maître des ID relatives

Configuration du maître d'émulation PDC

212 Windows Server 2003 Practice


Configuration du maître d'infrastructure

L’approbation entre domaines

Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du


domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra
utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre
l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela
peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les
machines du domaine B comme s'il était connecté sur une machine de son propre domaine
(connexions automatiques, profil itinérant, ...).

L'établissement d'une relation d'approbation met en jeu la participation des administrateurs


du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra
approuver A.

L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et


transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec
domaine d'une autre forêt) ne sont ni commutatives, ni transitives.

213 Windows Server 2003 Practice


Menu contextuel associé à la clé
"Domaines et approbations Active Directory"

Menu contextuel associé à un domaine référencé

Propriétés d'un domaine référencé

214 Windows Server 2003 Practice


Après installation initiale, un domaine Windows 2000
est configuré en mode mixte,
i.e. il interopère avec les domaines
des versions antérieures de Windows

Autres domaines approuvés


Autres domaines qui vous approucvent
Pour l'instant, rien nul part

215 Windows Server 2003 Practice


Utilisateur gestionnaire

Création d'une relation d'approbation

Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient
autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).

 S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés
pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de
communication correctement configuré, résolution de noms fonctionnelle).
 Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO,
configurer une autorisation d'approbation (attribution d'un mot de passe) pour le
domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).

216 Windows Server 2003 Practice


Approbation préparée du coté Windows NT 4.0

 Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univ-


fcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication
du mot de passe créé à cette intention).

217 Windows Server 2003 Practice


Aucune relation d'approbation établie

Lancement de l'assistant de création d'une nouvelle approbation

Indication du domaine cible

218 Windows Server 2003 Practice


Sens de l'approbation (bidirectionnelle, entrante ou sortante)

Niveau d'authentification

219 Windows Server 2003 Practice


Indication du mot de passe de la relation d'approbation

Confirmation de la création de la relation d'approbation

220 Windows Server 2003 Practice


Relation d'approbation créée -> Configuration

Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation


de l'approbation fonctionne.

Confirmation de l'approbation sortante

221 Windows Server 2003 Practice


Confirmation de l'approbation entrante

Approbation configurée et fonctionnelle dans les deux sens

222 Windows Server 2003 Practice


Information

Nouvel état des relations d'approbation

Propriétés et validation d'une relation d'approbation

Propriétés générales

223 Windows Server 2003 Practice


Demande de validation

Validation effectuée

Authentification

224 Windows Server 2003 Practice


Utilisations d'une relation d'approbation

 Ouverture de session de travail sur des machines d'autres domaines comme si


ces machines appartenaient au domaine natif du compte

 Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres


domaines

Affectation d'autorisations sur un répertoire

Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs

225 Windows Server 2003 Practice


Deux domaines reconnus comme emplacement

Recherche dans le domaine IUP_INFO

226 Windows Server 2003 Practice


Utilisation du bouton "Avancé..." pour visualiser
les utilisateurs eu groupes d'utilisateurs possibles

Choix de l'administrateur du domaine IUP_INFO


227 Windows Server 2003 Practice
IUP_INFO\Administrateur dans la liste des autorisations

Maitre d'opérations (Opération à maître unique)

Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"

Configuration du maître d'attribution des noms de domaine

228 Windows Server 2003 Practice


Administration
(Les stratégies de groupe)

Les stratégies de groupe

Une stratégie de groupe est un ensemble d'éléments de configuration de Windows (sous


différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des
utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines
actions ou de configurer des paramètres d'utilisation.
Les stratégies sont organisées:
- avec une gestion de priorité,
- avec la possibilité de ne pas définir tel ou tel élément pour que cet élément soit pris en
compte dans une stratégie moins prioritaire.

Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000,
2003 ou XP non contrôleur de domaine.
Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie
concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine.
Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine
concernant toutes les machines Windows 2000, 2003 ou XP Professionnel.
Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus
prioritaire.

Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs,


d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les
stratégies par défaut.

Toutes les modifications réalisées sont automatiquement déployées sur le domaine en


temps réel.

Les outils d'administration proposent un raccourcis vers un sous-ensemble de chacune des


stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés
"stratégie de sécurité".

Les trois stratégies de sécurité du domaine

Stratégie de sécurité locale

Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un
sous-ensemble de la stratégie de groupe locale.
Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du
compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des
droits utilisateur, les agents de récupération pour les données cryptées et d'autres options
de sécurité.
La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows
2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est
229 Windows Server 2003 Practice
membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du
domaine.

La colonne paramétres de sécurité indique la valeur appliquée sur la machine. L'icone


indique que cette valeur est issue de la stratégie locale et est donc modifiable localement.
L'icone indique une valeur issue d'une stratégie déployée sur le domaine et n'est donc
pas modifiable localement car les stratégies de domaine sont prioritaires.

Stratégie de mot de passe


Définition des paramètres de validité des comptes d'utilisateur:
gestion d'un historique des mots de passe pour empêcher la frappe
du même mot de passe à chaque changement,
durée maximale d'un mot de passe avant changement obligatoire,
durée minimale du mot de passe,
complexité du mot de passe,
longueur minimale des mots de passe,
cryptage

230 Windows Server 2003 Practice


Historique de mémorisation des mots de passe
(non modifiable localement)

Durée maximale d'un mot de passe


(non modifiable localement)

231 Windows Server 2003 Practice


Complexité des mot de passe
(non modifiable localement)

Longueur minimale du mot de passe


(non modifiable localement)

Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses

232 Windows Server 2003 Practice


Stratégie d'audit
Lancement de l'audit sur certains événements:
la gestion des utilisateurs et des groupes,
l'ouverture et la fermeture de session,
l'accès aux fichiers et objets,
l'ouverture et la fermeture de session,
l'utilisation de ses droits par un utilisateur,
les arrêt et démarrage du système,
l'utilisation de ses droits par un utilisateur,
...

233 Windows Server 2003 Practice


Stratégie locale après modification

Droits des utilisateurs


Après l'installation du système,
droits par défaut attribués aux groupes d'utilisateurs prédéfinis,

234 Windows Server 2003 Practice


leurs autorisant tel ou tel privilège.
Extension ou restriction possible de ces droits

Utilisateurs autorisés à arrêter le système

235 Windows Server 2003 Practice


Changement de la liste des utilisateurs autorisés
à ouvrir une session localement sur cette machine

236 Windows Server 2003 Practice


237 Windows Server 2003 Practice
Options de sécurité

Ne pas afficher le nom du dernier utilisateur


ayant ouvert une session de travail

Stratégie de sécurité des contrôleurs de domaine

Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il
s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.

Contenu de la stratégie des contrôleurs de domaine

238 Windows Server 2003 Practice


Stratégie Kerberos

Stratégie de sécurité du domaine

Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sous-
ensemble de la stratégie de groupe du domaine par défaut.

Contenu de la stratégie du domaine

Stratégie Kerberos

Accès aux stratégies de groupe du domaine

Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée
et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.

239 Windows Server 2003 Practice


Aucun composant présent. Demander ajouter

Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable.


Choisir un composant de type "Editeur d'objets de stratégie de groupe"

240 Windows Server 2003 Practice


Demander Parcourir

241 Windows Server 2003 Practice


Ajout des deux stratégies par défaut du domaine

Pas de stratégie site

242 Windows Server 2003 Practice


Ajout de la stratégie locale

243 Windows Server 2003 Practice


Ajout des stratégies locales
des autres machines du domaine penelope et ulysse

Onglet "Tous" pour un accès directe à toutes les stratégies accessibles

244 Windows Server 2003 Practice


Résultat des sélections

245 Windows Server 2003 Practice


Résultat dans la MMC

Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine

Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"

Accès aux propriétés de l'entrée


portant le nom d'un domaine

246 Windows Server 2003 Practice


Etat initial

247 Windows Server 2003 Practice


Création d'une stratégie

Etat après création de la stratégie "Test Policy".


Stratégie la moins prioritaire

248 Windows Server 2003 Practice


Nouvel ordre des stratégies de groupe obtenu après configuration
de la nouvelle stratégie en stratégie la plus prioritaire

Options de cette stratégie

Menu contextuel associé à une stratégie

249 Windows Server 2003 Practice


Propriétés générales d'une stratégie
Désactivation possible des parties Ordinateur et/ou Utilisateur
de cette stratégie

Liaisons sur cette stratégie entre sites,


domaines et unité organisationnelles

250 Windows Server 2003 Practice


Sécurité de cette stratégie (valeurs initiales)

Filtre WMI de cette stratégie

Pour qu'une stratégie s'applique à un utilisateur, un groupe d'utilisateurs ou un ordinateur,


les sécurités doivent être placées en "Lire" et en "Appliquer la stratégie de groupe" sur ces
entités et uniquement sur elles.

251 Windows Server 2003 Practice


252 Windows Server 2003 Practice
Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des utilisateurs Einstein et Bohr

253 Windows Server 2003 Practice


Préférable de travailler avec des groupes d'utilisateurs

254 Windows Server 2003 Practice


Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des ordinateurs ARGOS et ULYSSE

255 Windows Server 2003 Practice


Préférable de travailler avec des groupes d'ordinateurs

Ouverture de la stratégie dans la MMC


via un double-clic

Quelques manipulations utiles

 Création d'une stratégie de groupe pour l'administrateur du domaine lui autorisant


toutes les actions
 Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les
machines Windows 2000 ou 2003 Server
 Limitation de la taille du profil des utilisateurs
 Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage
 Paramétrage de la stratégie de gestion des mots de passe

256 Windows Server 2003 Practice


Administration
(La gestion des imprimantes)

La gestion des imprimantes ,

Installation d’une imprimante

Panneau de configuration Imprimantes

257 Windows Server 2003 Practice


258 Windows Server 2003 Practice
Propriétés du serveur

A la suite d’"Ajout d’imprimantes"

259 Windows Server 2003 Practice


Choix du type de connexion
(directe via cable, réseau, ...
ou sur un serveur d'impression)

260 Windows Server 2003 Practice


Désignation du port de connexion
(physique (local), réseau, ...)

Choix du type d'imprimante


(connu ou driver fourni sur disquette ou CD).

261 Windows Server 2003 Practice


Choix du nom local de l'imprimante.

Choix entre une imprimante partagée ou non partagée.

Demande de l'impression d'une page de test.

262 Windows Server 2003 Practice


Fin de l'installation

Installation d’une imprimante avec pilote sur support

263 Windows Server 2003 Practice


Choix d'un pilote sur disque fourni

Choix du pilote HP1200 Postscript

264 Windows Server 2003 Practice


Choix d'une imprimante Apple

Deux imprimantes installées

Installation d’une imprimante sur port TCP/IP

265 Windows Server 2003 Practice


Dans la fenêtre de choix du port

266 Windows Server 2003 Practice


Désignation de l'imprimante par son adresse IP

267 Windows Server 2003 Practice


...

Panneau Imprimantes après installation

Etat d'une imprimante

7 colonnes: Nom du document, état du document, propriétaire, nombre de pages, tailles


traitée et totale, heure et date de soumission, port de connexion.
268 Windows Server 2003 Practice
Partage d'une imprimante

Menu contextuel associé à une imprimante

Après sélection de l'imprimante concernée, on demande l'entrée "Partager".

Choix d'un nom de partage et référence


de ce partage dans Active Directory

L'imprimante est disponible en accès réseau.

 Choix du nom de l'imprimante sur le réseau.


 Les pilotes sont automatiquement téléchargés du serveur vers les clients quand
ceux-ci y accèdent. Si le client n'est pas une machine Windows 2000, l'installation
269 Windows Server 2003 Practice
préalable sur le serveur des pilotes adaptés au système client est nécessaire (bouton
"Pilotes supplémentaires...") (disquette de pilote ou CD d'installation du système
cible souvent nécessaire).

Avant et après installation


270 Windows Server 2003 Practice
Panneau Imprimantes après partage

Connexion à une imprimante distante partagée

Choix d'une imprimante réseau


lors de l'installation d'une nouvelle imprimante.

271 Windows Server 2003 Practice


Recherche de l'imprimante

Recherche de l'imprimante dans Active Directory

272 Windows Server 2003 Practice


Indication directe du nom de l'imprimante

Laisser le champ vide et cliquer sur suivant

Browsing sur le réseau

273 Windows Server 2003 Practice


Via le vosinage réseau

Imprimante réseau montée

Propriétés d'une imprimante

274 Windows Server 2003 Practice


Propriétés générales

Partage

275 Windows Server 2003 Practice


Port de connexion

276 Windows Server 2003 Practice


Propriétés avancées

Sécurité

Sécurité avancée

277 Windows Server 2003 Practice


Autorisations possibles

278 Windows Server 2003 Practice


279 Windows Server 2003 Practice
Audit

Propriétaire

Paramètres du périphérique

280 Windows Server 2003 Practice


ADMINISTRATION
(LA GESTION DE L'ORDINATEUR, LES SERVICES, L'OBSERVATEUR
D'ÉVÉNEMENTS)

La gestion de l'ordinateur

Le gestionnaire d'ordinateur prend en charge un certain nombre des options de


configuration locales de l'ordinateur.

Trois entrées principales:


Outils sytème, stockage et services et applications

281 Windows Server 2003 Practice


Observateur d'événements:
Equivalent à l'outil de configuration
"Observateur d'événements"

Dossiers partagés de l'ordinateur,


leur utilisateurs et les fichiers ouverts

Gestion des périphériques matériels


et des pilotes logiciels associés

282 Windows Server 2003 Practice


La défragmentation des unités

Gestion des disques

283 Windows Server 2003 Practice


Services

Configuration du service d'indexation

284 Windows Server 2003 Practice


Configuration des services Internet

285 Windows Server 2003 Practice


Configuration du service DNS

Les services

Cet outil permet d'administrer les services (tâches de fond) fonctionnant localement sur
l'ordinateur.

Fenêtre générale

Description de chaque service

286 Windows Server 2003 Practice


Etat de chaque service:
état, type de démarrage, compte d'exécution

Menu contextuel associé à un service


Option grisée si l'opération est impossible

Propriétés générales d'un service:


Description, exécutable (avec chemin d'accès),
type de démarrage, état de fonctionnement

287 Windows Server 2003 Practice


Propriété d'un service:
Compte de démarrage
288 Windows Server 2003 Practice
Propriété d'un service:
Action de récupération en cas de problème

289 Windows Server 2003 Practice


Propriété d'un service:
Services dont il dépend,
services qui dépendent de lui

L'observateur d'événements

Il collecte les événements intervenant sur une machine:

 application,
 sécurité,
 système,
 Directory Service (si contrôleur),
 DNS Server (si serveur DNS),
 réplication de fichiers (si contrôleur)

Trois classes d'événements:

 les informations (icône bleue),


 les avertissements (icône jaune),
 les erreurs (icône rouge).

290 Windows Server 2003 Practice


Menu contextuel associé à l'observateur d'événements

291 Windows Server 2003 Practice


Menu contextuel associé à un journal

Menu contextuel associé à un événement

Journal application

292 Windows Server 2003 Practice


Journal sécurité

Journal système

Journal Diectory Service

293 Windows Server 2003 Practice


Journal DNS Server

Journal Service de réplication de fichiers

Certains événements sont audités par défaut. Pour d'autres, il faut demander explicitement
la détection

294 Windows Server 2003 Practice


Un événement Information du journal Application

Un événement Erreur du journal Système

295 Windows Server 2003 Practice


Propriété d'un journal:
Taille maximale du journal,
mode opératoire quand la taille maximale est atteinte

Propriété d'un journal:


Filtrage de l'affichage sur le type, la source,
la catégorie, l'ID, l'utilisateur, l'ordinateur, l'heure, ...

296 Windows Server 2003 Practice


Outils de gestion des disques

Propriétés d'une unité

L'onglet "Outils" donne accès


à trois outils de gestion des disques

Vérification

C'est cet outil qui réalisera l'opération CHKDSK (Check disk) pour vérifier la cohérence de
la table d'allocation des fichiers sur une unité et éventuellement rechercher les secteurs
défectueux.

L'unité doit être disponible pour un usage exclusif faute de quoi la vérification devra être
programmée pour une exécution au prochain démarrage du système.

297 Windows Server 2003 Practice


Sauvegarde et restauration

Cet outil permet d'effectuer soit une sauvegarde, soit une restauration de tout ou partie
d'une ou de plusieurs unités, soit encore de sauvegarder un système entier en vue d'en
permettre la restauration à l'identique.

298 Windows Server 2003 Practice


Menu tâches
Menu Outils

La sauvegarde

Interface de l'assistant de sauvegarde


Sélection de l'ensemble des informations à sauvegarder
Sélection du média de stockage
(ici pas de média à bande installé -> uniquement fichier)

299 Windows Server 2003 Practice


Choix d'une sauvegarde complète de l'unité système

300 Windows Server 2003 Practice


Au démarrage de la sauvegarde,
choix des options de sauvegarde

Après confirmation,
examen de la bande présente dans le lecteur.

Calcul du nombre de fichiers et de leur taille totale


301 Windows Server 2003 Practice
Début sauvegarde

Sauvegarde en cours

302 Windows Server 2003 Practice


Sauvegarde de l'état du système

Sauvegarde terminée

303 Windows Server 2003 Practice


Rapport de sauvegarde

La restauration

304 Windows Server 2003 Practice


Interface de l'assistant de restauration
Visualisation et catalogue des bandes (aucune ici)
et fichiers backup connus

Possibilité de charger d'autres bandes ou d'autres fichiers


et d'en dresser le catalogue

305 Windows Server 2003 Practice


Choix des répertoires et/ou fichiers à restaurer
(restauration partielle)

306 Windows Server 2003 Practice


Choix des répertoires et/ou fichiers à restaurer
(restauration total y compris l'état du système)

Fenêtre de lancement de la restauration

Fenêtre de définition des options avancées


de la restauration

307 Windows Server 2003 Practice


Début de la restauration

Restauration en cours

Restauration terminée

308 Windows Server 2003 Practice


Rapport de restauration

Trois options pour la localisation des fichiers restaurés

A l'emplacement d'origine
avec la même arborescence de répertoires

A un autre emplacement
avec la même arborescence de répertoires

309 Windows Server 2003 Practice


A plat à un autre emplacement

Planification

Planification d'une opération de sauvegarde


310 Windows Server 2003 Practice
Création d'une opération sous la forme d'une tâche planifiée

Choix de ce qui est sauvegardé

311 Windows Server 2003 Practice


Choix de l'emplacement de la sauvegarde

Choix du type de sauvegarde

312 Windows Server 2003 Practice


Options de sauvegarde

Options de sauvegarde

313 Windows Server 2003 Practice


314 Windows Server 2003 Practice
Planification

Acquittement final
315 Windows Server 2003 Practice
Résultat de la création de la tâche de sauvegarde planifiée

Résultat de la création de la tâche de sauvegarde


dans le panneau "Tâches planifiées"

316 Windows Server 2003 Practice


Propriétés de cette tâche

J:\WINDOWS\system32\ntbackup.exe backup "@J:\Documents and


Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows
NT\NTBackup\data\Sauvegarde.bks" /a /d "Jeu créé le 31/07/2006 à 17:09"
/v:no /r:no /rs:no /hc:off /m normal /j "Sauvegarde" /l:s /f "D:\Backup01.bkf"

Ligne de commande réellement exécutée

Sauvegarde et restauration sur bande

317 Windows Server 2003 Practice


Installation à chaud d'un lecteur de bande 4mm DAT
sur carte SCSI (ajout et retrait possible)

Apparition d'une entrée 4mm DDS dans l'interface de NTBackup

318 Windows Server 2003 Practice


Détection automatique des bandes introduites

Une bande importée contenant déjà des jeux de sauvegarde

Menu contextuel associé à une bande

319 Windows Server 2003 Practice


Catalogage de la bande

Bande cataloguée utilisable pour une restauration

320 Windows Server 2003 Practice


Effacement de la bande

Sélection pour une sauvegarde

Sauvegarde amorcée

321 Windows Server 2003 Practice


Sauvegarde en cours

322 Windows Server 2003 Practice


Sauvegarde terminée

Défragmentation

Cet outil permet d'effectuer une défragmentation d'une unité de manière à réorganiser les
fichiers pour en rendre l'exploitation plus rapide.

323 Windows Server 2003 Practice


État initial

Phase d'analyse

324 Windows Server 2003 Practice


J: (partition système) est à défragmenter

325 Windows Server 2003 Practice


Défragmentation en cours

326 Windows Server 2003 Practice


327 Windows Server 2003 Practice
Défragmentation terminée avec affichage d'un rapport

L'administration des disques

L'administration des disques durs, lecteurs de CDRom et des disques amovibles (clés USB,
ZIP, JAZZ, ...) de la machine locale recouvre les opérations suivantes:

 gestion des disques, partitions et volumes,


 formatage,
 déclaration d’unités,
 …

Disque de base

Disque physique auquel peuvent accéder MS-DOS et tous les systèmes d'exploitation
Windows. Les disques de base peuvent contenir jusqu'à quatre partitions principales, ou
trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Si vous
souhaitez créer des partitions fractionnées sur plusieurs disques, vous devez d'abord
convertir le disque de base en disque dynamique grâce au composant Gestion des disques
ou à l'utilitaire de ligne de commande Diskpart.exe.

Disque dynamique

Disque physique auquel seuls Windows 2000 et Windows XP. peuvent accéder. Les disques
dynamiques fournissent des fonctionnalités que les disques de base n'offrent pas, telle que
la prise en charge des volumes fractionnés sur plusieurs disques. Les disques dynamiques
utilisent une base de données cachée pour conserver les informations relatives aux
volumes dynamiques sur le disque et aux autres disques dynamiques de l'ordinateur. Vous
pouvez convertir des disques de base en disques dynamiques grâce au composant Gestion
de disques ou à l'utilitaire de ligne de commande DiskPart. Lors de la conversion d'un
disque de base en disque dynamique, tous les volumes de base existants deviennent des
volumes dynamiques.

Partition

Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque
physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui
assigner une lettre de lecteur avant de pouvoir y stocker des données.

Sur les disques de base, les partitions sont appelées des volumes de base, qui peuvent être
des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les
partitions sont appelées des volumes dynamiques qui peuvent être simples, fractionnés,
agrégés par bande, en miroir ou RAID-5.

Partition principale

Type de partition que vous pouvez créer sur les disques de base. Une partition principale
est une partie de l'espace disque physique qui fonctionne comme un disque physiquement
indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer
jusqu'à quatre partitions principales ou trois partitions principales et une partition étendue
avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu'à
128 partitions principales. Les partitions principales sont également appelées volumes.

328 Windows Server 2003 Practice


Partition étendue

Type de partition que vous pouvez uniquement créer sur les disques d'enregistrement de
démarrage principal (MBR, Master Boot Record) de base. Utilisez une partition étendue si
vous souhaitez disposer de plus de quatre volumes sur votre disque MBR de base.
Contrairement aux partitions principales, vous ne formatez pas une partition étendue avec
un système de fichiers en lui attribuant ensuite une lettre de lecteur. Il faut à la place créer
un ou plusieurs lecteurs logiques au sein de la partition étendue. Après avoir créé un
lecteur logique, vous le formatez et lui assignez une lettre de lecteur. Les disques MBR de
base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et
une partition étendue avec plusieurs lecteurs logiques.

Partition active

Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit
être une partition principale d'un disque de base. Si vous utilisez exclusivement Windows,
la partition active peut être la même que celle du volume système.

Partition système

Partition qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
La partition système peut être la même que la partition d'amorçage, mais pas
nécessairement.

Partition d'amorçage

Partition qui contient des fichiers propres au matériel qui sont indispensables au
chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition
d'amorçage peut être la même que la partition système, mais pas nécessairement.

Volume

Zone de stockage d'un disque dur. Un volume est formaté conformément à un système de
fichiers (notamment FAT ou NTFS) et se voit attribuer une lettre de lecteur. Vous pouvez
aussi afficher le contenu d'un volume en cliquant sur son icône dans l'Explorateur Windows
ou Poste de travail. Un disque dur peut comporter plusieurs volumes et les volumes
peuvent s'étendre de manière fractionnée sur plusieurs disques.

Volume de base

Partition principale ou lecteur logique résidant sur un disque de base.

Volume dynamique

Volume qui réside sur un disque dynamique. Windows prend en charge cinq types de
volumes dynamiques : simple, fractionné, agrégé par bandes, en miroir, et RAID-5. Un
volume dynamique est formaté en utilisant un système de fichiers, tel que FAT ou NTFS.
Une lettre de lecteur lui est attribuée.

Volume actif

Volume de démarrage de l'ordinateur. Le volume actif doit être un volume simple d'un
disque dynamique. Vous ne pouvez pas activer un volume dynamique existant mais vous
parvenez par compte à activer un disque de base contenant la partition active. Une fois le
disque activé et devenu dynamique, la partition devient un volume simple actif.
329 Windows Server 2003 Practice
Volume système

Volume qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
Le volume système peut être le même que le volume d'amorçage (mais pas
nécessairement).

Volume d'amorçage

Volume contenant les fichiers spécifiques à la plate-forme matérielle qui sont requis pour
charger Windows sur des ordinateurs de type x86 dotés d'un BIOS. Le volume d'amorçage
peut être le même que le volume système (mais pas nécessairement).

Volume simple

Volume dynamique constitué de l'espace disque d'un seul disque dynamique. Un volume
simple peut être constitué d'une seule région d'un disque ou de plusieurs régions du même
disque, liées entre elles. Vous pouvez étendre un volume simple au sein du même disque
ou sur des disques supplémentaires. Si vous étendez un volume simple sur plusieurs
disques, il devient un volume fractionné. Vous pouvez créer des volumes simples
uniquement sur des disques dynamiques. Les volumes simples ne sont pas tolérants aux
pannes, mais vous pouvez les configurer de manière à créer des volumes en miroir.

Volume fractionné

Volume dynamique constitué d'espace disque réparti sur plusieurs disques physiques. Vous
pouvez augmenter la taille d'un volume fractionné en l'étendant sur des disques
dynamiques supplémentaires. Vous pouvez créer des volumes fractionnés uniquement sur
des disques dynamiques. Les volumes fractionnés ne sont pas tolérants aux pannes et ne
peuvent pas être mis en miroir.

Volume en miroir

Volume à tolérance de pannes qui duplique les données sur deux disques physiques. Un
volume en miroir assure la redondance des données à l'aide de deux volumes identiques,
qui sont appelés miroirs, pour dupliquer les informations contenues dans le volume. Le
miroir se trouve toujours sur un disque différent. En cas de défaillance d'un des disques
physiques, les données qu'il contient ne sont plus disponibles, mais le système continue de
fonctionner sur le miroir du disque restant. Vous pouvez créer des volumes miroir
uniquement sur des disques dynamiques.

Volume agrégé par bandes

Volume dont les données sont agrégées par bandes de façon intermittente sur deux
disques physiques ou davantage. Vous ne pouvez créer des volumes agrégés par bandes
que sur des disques dynamiques. Il n'est pas possible de créer des volumes agrégés par
bandes étendus ou en miroir.

Volume RAID-5

Volume à tolérance de pannes dont les données et la parité sont agrégées par bandes de
façon intermittente sur trois disques physiques ou davantage. La parité est une valeur
calculée qui permet de reconstituer des données après une défaillance. Si une partie d'un
disque physique présente une défaillance, Windows restaure les données de la partie
endommagée grâce aux données restantes et au contrôle de parité. Vous ne pouvez créer

330 Windows Server 2003 Practice


des volumes RAID-5 que sur des disques dynamiques et il n'est pas possible de créer des
volumes RAID-5 étendus ou en miroir.

La gestion des disques est assurée via la clef "Gestion des disques" de l'outil "Gestion de
l'ordinateur".

Ici, les quatre disques durs sont des disques de base.


C: est la partition d'amorçage et la partition système.
La petite partition de 39 Mo contient les paramètres
de configuration EISA (non accessibles) créée par le programme
d'installation Compaq sur ce serveur de type ML330G2.
W: est la lettre d'unité attribuée au lecteur de CD.

331 Windows Server 2003 Practice


Menus contextuels sur la clef Gestion des Disques
"Analyser les disques de nouveau": Prise en compte
toute modification hexogène apportée aux disques
(mise en place ou retrait d'un disque hot-plug,
cessation de fonctionnement, ...)

Graphique
332 Windows Server 2003 Practice
Volumes

Disques

Affichages possibles
Noter les codes couleurs pour les types de volume
Noter les colonnes dans l'affichage des volume:
lettre d'unité, type de partition, type de disque,
système de fichiers, état,
capacité totale, capacité restante, % libre,
tolérant aux pannes?, % d'espace perdu
Noter les colonnes dans l'affichage des disques:
quel disque?, type de disque,
capacité totale, capacité restante,
disponibilité, type d'interface, type de partition

Création d'une partition principale sur un disque de base

Sélectionner une zone libre sur un disque de base (C:).

333 Windows Server 2003 Practice


Choix du type de partition

334 Windows Server 2003 Practice


Définition de la taille de la partition

Attribution d'une lettre


pour création d'une nouvelle unité

335 Windows Server 2003 Practice


Formatage

Confirmation
336 Windows Server 2003 Practice
Formatage en cours

Résultat final

Création d'une partition étendue sur un disque de base

337 Windows Server 2003 Practice


Choix du type de partition

Définition de la taille de la partition

Confirmation

338 Windows Server 2003 Practice


Résultat final

Création d'un lecteur logique dans une partition étendue

Menu contextuel

339 Windows Server 2003 Practice


Choix du type de partition

Définition de la taille du lecteur logique

340 Windows Server 2003 Practice


Attribution d'une lettre
pour création d'une nouvelle unité

Formatage

341 Windows Server 2003 Practice


Confirmation

342 Windows Server 2003 Practice


Résultat final

Conversion disque de base -> disque dynamique

Sélection des trois disques

Menu contextuel obtenu


par clic droit sur un disque de base

Conversion préalable des 3 disques SCSI vides


(pas de confirmation)

Après conversion, ces disques sont toujours vides. La mise à niveau inverse vers le type
"disque de base" est possible.

343 Windows Server 2003 Practice


Conversion du disque qui contient le système d'exploitation
et d'autres partitions vides

Informations sur le disque mis à niveau

Warning

Warning
344 Windows Server 2003 Practice
Reboot obligatoire car la partition système à été convertie

345 Windows Server 2003 Practice


Résultat final
Partitions principales et lecteurs logiques
transformées en volumes simples
Systèmes de fichiers inchangés
Pas de modification quant au poste de travail

La mise à niveau inverse de disque dynamique vers disque de base n'est pas possible pour
les disques non vides.

Menu contextuel sur un disque dynamique


Bug d'affichage?!, "Nouveau nom..." crée un nouveau volume
Importation: Montage de disques provenant d'autres ordinateurs
non montées automatiquement
Réactivation: Remise en état de volumes redondant
ayant été détectés comme présentant des problèmes

Menu contextuel sur une zone vide d'un disque dynamique


Bug d'affichage?!, Nouveau nom... crée un nouveau volume

Extension de volumes simples et fractionnés

346 Windows Server 2003 Practice


Extension impossible du volume système

Extension du volume D: sur un autre disque

Définition du disque et de la taille d'extension

347 Windows Server 2003 Practice


Confirmation

Résultat final
Volume simple transformé en volume fractionné
348 Windows Server 2003 Practice
Résultat final après une nouvelle extension sur le disque originel

Création d'un volume simple

349 Windows Server 2003 Practice


Choix du disque et de la taille du volume

350 Windows Server 2003 Practice


Choix de la lettre d'unité affectée

Formatage

351 Windows Server 2003 Practice


Confirmation

Formatage en cours

352 Windows Server 2003 Practice


Résultat final

Création directe d'un volume fractionné

353 Windows Server 2003 Practice


Sélection des disques concernés
et de la taille affectée sur chaque disque

Choix de la lettre d'unité affectée

354 Windows Server 2003 Practice


Formatage

Confirmation

355 Windows Server 2003 Practice


Formatage en cours

Résultat final

356 Windows Server 2003 Practice


Résultat final dans l'explorateur

Mise en miroir d'un volume simple

Choix de l'autre disque sur lequel effectuer


la mise en miroir du volume E:

357 Windows Server 2003 Practice


Synchronisation en cours du miroir

Résultat final

Création directe d'un volume en miroir

358 Windows Server 2003 Practice


Choix des deux disques concernés et de la taille du miroir

Choix de la lettre d'unité affectée

359 Windows Server 2003 Practice


Formatage

Confirmation

360 Windows Server 2003 Practice


Synchronisation en cours du miroir

Résultat final

361 Windows Server 2003 Practice


Création d'un volume agrégé par bandes

Choix des disques (deux minimums) concernés


et de la taille affectée (identique) sur chacun d'eux

362 Windows Server 2003 Practice


Choix de la lettre d'unité affectée

Formatage

363 Windows Server 2003 Practice


Confirmation

Formatage en cours

364 Windows Server 2003 Practice


Résultat final

365 Windows Server 2003 Practice


Résultat final dans l'explorateur

Création d'un volume RAID-5 sur 3 disques

Choix des disques (trois minimum) concernés


et de la taille affectée (identique) sur chacun d'eux
Noter la taille totale du volume généré: 1/3 de perte d'espace

366 Windows Server 2003 Practice


Choix de la lettre d'unité affectée

Formatage

367 Windows Server 2003 Practice


Confirmation

Formatage en cours

368 Windows Server 2003 Practice


Résultat final

Création d'un volume RAID-5 sur 4 disques

Choix des quatre disques concernés


et de la taille affectée (identique) sur chacun d'eux
Noter la taille totale du volume généré: 1/4 de perte d'espace

369 Windows Server 2003 Practice


Choix de la lettre d'unité affectée

Formatage

370 Windows Server 2003 Practice


Confirmation

371 Windows Server 2003 Practice


Résultat final

Résultat final dans l'explorateur

Tolérance aux pannes (retrait et remise en ligne d'un disque)

Le disque 3 est retiré serveur éteint puis la machine est remise en route.

Disparition du disque I:
Maintient en utilisation de tous les autres disques
372 Windows Server 2003 Practice
Un événement "Erreur" et trois événements "Avertissement"
dans le journal "Système"

Une erreur liée à l'impossibilité de démarrer le volume I:

373 Windows Server 2003 Practice


Trois avertissements liés à la disparition de la redondance
sur les volumes H:, J: et K: tout en en laissant le contenu
accessible

Disque 3 manquant
Le volume en miroir et les deux volumes RAID-5
en échec de redondance mais utilisables

374 Windows Server 2003 Practice


Le disque 3 d'origine est replacé dans le serveur éteint puis la machine est remise en
route.

Disque reconnu, agrégat par bandes remonté,


mais volumes redondant non correctement réinstallés
quoique encore utilisables
-> Réactivation des disques

375 Windows Server 2003 Practice


Resynchronisation des volumes redondants

376 Windows Server 2003 Practice


Résultat final

377 Windows Server 2003 Practice


Événements enregistrés dans le journal Système

Début de resynchronisation

378 Windows Server 2003 Practice


Fin de resynchronisation

Propriétés d'un disque

Propriétés d'ordre général

379 Windows Server 2003 Practice


Gestion du cache d'écriture associé au disque

Volumes présents sur ce disque exclusivement ou non

380 Windows Server 2003 Practice


Pilote associé au disque

Menus contextuels associés aux volumes sur disque dynamique

Volume système

381 Windows Server 2003 Practice


Volume simple

Volume fractionné

Volume en miroir

382 Windows Server 2003 Practice


Volume agrégé par bandes

Volume RAID-5

Formatage d'une partition principale, d'un lecteur logique ou d'un volume

Formatage FAT, FAT32 ou NTFS

Systèmes de fichiers

383 Windows Server 2003 Practice


Tailles d'unité
d'allocation

Affectation d'une lettre de lecteur

Menu contextuel sur un volume quelconque

L'administrateur peut choisir la lettre de lecteur affectée à une unité.

Affectation d'une autre lettre d'unité

384 Windows Server 2003 Practice


Lettres
possibles

Avant

Après

Suppression d'une lettre de lecteur

Une unité formatée pourra ne pas avoir de lettre de lecteur sans pour cela perdre son
contenu. Celui-ci n'est visible ni par les utilisateurs, ni même par l'administrateur.

385 Windows Server 2003 Practice


Warning avant suppression

Résultat dans l'explorateur

Résultat dans le gestionnaire de disque

386 Windows Server 2003 Practice


Montage d'un volume en tant que répertoire

Un volume peut être monté pour voir sa racine remplacer un répertoire particulier.

Création du répertoire cible

Ajout d'un chemin d'accès pour l'unité F:

387 Windows Server 2003 Practice


Résultat

Dans l'explorateur

Montage multiple

Un volume peut être monté plusieurs fois soit comme unité, soit comme répertoire au sein
d'une arborescence de répertoires.

388 Windows Server 2003 Practice


Une lettre d'unité et deux montages dans un répertoire

Résultat

Deux accès dans l'explorateur

389 Windows Server 2003 Practice


Administration
(La gestion des profils d'utilisateurs, le gestionnaire de licence,
l'éditeur du registre)

La gestion des profils d'utilisateurs

Profil de l'utilisateur en cours de session stocké sous \Documents and Settings.

Outre ce profil, on trouve dans ce répertoire tous les profils d'autres utilisateurs qui
n'auraient pas été supprimés, ainsi que les profils All Users et Default User.

Profil d'un utilisateur composé de deux parties :

 une partie commune à tous les utilisateurs (non modifiable) stockée dans le
répertoire \Documents and Settings\All Users,
 une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un
répertoire portant le non de l'utilisateur sous \Documents and Settings.

Existence d'un profil prédéfini à l'installation:

 "Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en
possédant encore aucun (Attribution réalisée par création d'une copie)

Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient.

Profil errant (ou itinérant):

1. téléchargé sur le réseau vers le poste client depuis un serveur lors de l'ouverture de
session d'un utilisateur,
2. installé sur le poste client,
3. utilisé sur le poste client (éventuellement modifié si l'utilisateur en possède le droit),
4. déchargé depuis le poste client vers le serveur à la fermeture de session.

Profil local: Profil stocké uniquement localement

Profil en cache: Profil errant resté sur un poste client après fermeture de session
(éventuellement réutilisable sur ce même poste). Configuration possible d'une commande
d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en
cache.

Attribution d'un profil personnel errant à un utilisateur U travaillant sur plusieurs machines:

390 Windows Server 2003 Practice


 Partager un répertoire du serveur en contrôle total pour U.
 Indiquer explicitement au moyen du gestionnaire d'utilisateurs que U possède un
profil situé sur cette ressource.
 Créer dans le répertoire partagé pour U un profil par copie d'un autre profil. Si cette
copie n'est pas faite, lors de sa première ouverture de session, U se vera attribué
par copie le profil Default User du poste client de connexion.

Sur une machine possèdant un administrateur local et héritant d'un administrateur de


domaine, existence de deux profils Administrateur:

 un pour l'administrateur du domaine,


 l'autre pour l'administrateur de la station.

Le profil d'un utilisateur

Profil de l'administrateur
Bureau: Contenu du bureau
Cookies: cookies de l'administrateur
Favoris: favoris de l'administrateur
Menu Démarrer: menu démarrer de l'administrateur
NTUSER.dat: partie de registre de l'administrateur
...

391 Windows Server 2003 Practice


!!! Bureau d'un utilisateur contenu dans son profil

Le profil All Users

Un bureau, des documents, des favoris,


un menu démarrer, ..., mais il manque certains
fichiers personnels (NTUser.dat)

Les utilisateurs recoivent l'union de leur profil personnel et du profil "All Users". Ceci
concerne en particulier le bureau, les documents, les favoris et le menu démarrer.

392 Windows Server 2003 Practice


Menu démarrer attribué
à tous les utilisateurs

Menu démarrer spécifique à l'administrateur

Résultat

Outils d'administration spécifiques à l'administrateur

393 Windows Server 2003 Practice


Outils d'administration de "All users"

394 Windows Server 2003 Practice


395 Windows Server 2003 Practice
Outils d'administration
via menu démarrer "Programmes",
intégration des racourcis
de l'administrateur
Outils d'administration
via panneau de configuration

Le profil Default User

Un profil complet

396 Windows Server 2003 Practice


Le gestionnaire de licences

Définitions (Documentation Microsoft)

Mode de licence "Par périphérique ou Par utilisateur ": Mode de licence qui requiert
une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque
périphérique ou utilisateur qui a accès à un serveur exécutant Windows Server 2003, quel
que soit le nombre de connexions simultanées.
Le mode de licence "Par périphérique ou Par utilisateur" est la meilleure option si vos
clients utilisent fréquemment plusieurs serveurs sur le réseau.

Mode de licence "Par serveur": Mode de licence qui requiert une licence d'accès client
d'utilisateur ou de périphérique distincte pour chaque connexion simultanée qui a accès à
un serveur exécutant Windows Server 2003.
Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par pas plus d'un sous-
ensemble de vos utilisateurs.

Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau
de configuration "Licences":

 gestion des licences centralisée pour l'ensemble d'un domaine:


o création,
o destruction,
o historique des actions,
o ...,
 gestion d'autres licences que les seules licences d'accès client Windows Serveur
(produits Microsoft),
 obtention de statistiques d'utilisation,
 ...

Menus

397 Windows Server 2003 Practice


Historique des achats sur le domaine

Licences achetées et allouées au cours du temps


sur ce domaine dans les deux modes de gestion

398 Windows Server 2003 Practice


Clients répertoriés sur le domaine

Explorateur de serveur pour accéder


aux configurations particulières
des serveurs de licences

Propriétés demandées sur une licence logicielle gérée

399 Windows Server 2003 Practice


Clients répertoriés en mode de licence
"Par périphérique ou Par utilisateur"
sur cette machine pour les licences d'accès client

Historique des achats sur cette machine


pour les licences d'accès client

Nombres de licences accès client


achetées sur l'ensemble des machines du domaine
et accès à ces machines

400 Windows Server 2003 Practice


Installation de nouvelles licences

Fenêtre de déclaration de nouvelles licences

Fenêtre de Warning associée à la déclaration


de nouvelles licences

Résultat

401 Windows Server 2003 Practice


Suppression de licences

Choix du mode de licence sur un serveur

Un serveur de licence est sélectionné.

402 Windows Server 2003 Practice


Le changement est possible uniquement dans le sens
mode par siège vers mode par serveur

Révocation d'un utilisateur dans le cas du mode de licence par siège

Dépassement du nombre de licences autorisées

403 Windows Server 2003 Practice


Dans l'onglet "Clients par siège"
des propriétés du type de licence concerné,
utilisation du bouton révocation
pour récupérer la licence d'accès client

Acquitement

404 Windows Server 2003 Practice


Résultat

L'éditeur du registre

L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée
appelé "Registre".

Les programmes Regedit.exe et Regedt32.exe sont les mêmes. Ils donnent un accès direct
à ces données.

ATTENTION: Ces applications sont à utiliser de manière extrêmement prudente car les
actions réalisées sont irréversibles.

405 Windows Server 2003 Practice


ATTENTION: Faute d'une configuration contraire, l'utilisation de ces outils est autorisée
aux utilisateurs (dans la limite des autorisations placées sur les informations renseignées).

Pour une machine, organisation arborescente de l'information dans 5 arbres:

 HKEY_LOCAL_MACHINE: Configuration globale de la machine


 HKEY_CURRENT_CONFIG: Configuration du profil matériel actuellement utilisé
 HKEY_USERS: Configuration des utilisateurs possédant un profil local
 HKEY_CURRENT_USER: Configuration de l'utilisateur en cours de session
 HKEY_CLASSES_ROOT: Configuration de l'environnement d'utilisation de la machine
(associations extensions-applications, ...)

Il existe 5 types de valeur:

 REG_BINARY: Donnée "champ d'octets"


 REG_DWORD: Donnée numérique sur 4 octets
 REG_EXPAND_SZ: Chaîne de longueur variable
 REG_MULTI_SZ: Chaîne multiple
 REG_SZ: Chaîne de longueur fixe

Les clés des arborescences sont affichées à gauche, les valeurs à droite. Les menus sont
contextuels, variant en fonction des clefs ou valeurs sélectionnées.

Les clés et valeurs peuvent être renommées. Les valeurs peuvent être modifiées (en
particulier après création).

406 Windows Server 2003 Practice


Menu "Fichier":
Ouverture/Fermeture du registre d'un ordinateur distant,
sauvegarde de clefs ou de sous-arbres,
restauration à partir de sauvegarde

Menu édition:
ajout ou suppression de clés ou de valeurs,
autorisations, recherches, ...

Menu contextuel associé à l'une des 5 clés majeures

407 Windows Server 2003 Practice


Menu contextuel associé à une clé

Menu contextuel associé à une valeur

Modification d'une clé

Modification d'une clé de type chaine de caractères

408 Windows Server 2003 Practice


Modification d'une clé de type valeur binaire

Modification d'une clé de type valeur DWORD

Modification d'une clé de type chaines multiples

409 Windows Server 2003 Practice


Modification d'une clé de type chaine extensible

Sauvegarde/Restauration des clefs

Regedit autorise la sauvegarde/restauration (exportation/importation) des clés du registre


et des valeurs qu'elles contiennent dans des fichiers .reg.

Exportation d'une clé


410 Windows Server 2003 Practice
Fichier résultat

Avant restauration

Restauration

411 Windows Server 2003 Practice


Après restauration

Fichier .reg

Les autorisations, l'audit, l'appropriation sur les clés

Ne s'applique qu'aux clés et aux valeurs qu'elles contiennent et pas directement aux
valeurs.

Autorisations sur une clé


412 Windows Server 2003 Practice
Autorisations avancées:
Autorisations, audit, propriétaire

Autorisations possibles

413 Windows Server 2003 Practice


Audit

Vérous d'audit possibles

414 Windows Server 2003 Practice


Propriétaire

415 Windows Server 2003 Practice


Administration
(L'administration à distance, l'administration Active Directory)

L'administration à distance

Joindre un ordinateur à un domaine

L'administration distante nécessite le regroupement des ordinateurs en domaine.

Les machines Windows XP Pro, 2000 Pro ne pourront intégrer un domaine qu'en tant que
membre simple. Les opérations d'authentification qu'elles réaliseront seront sous-traitées à
un contrôleur du domaine.

Une machine Windows 2000 Server ou 2003 Serveur pourra être intégrée dans un domaine
de deux manières:

 En tant que serveur simple, elle est gérée comme une machine Windows membre
simple mais peut posséder un certain nombre des fonctionnalités de Windows 2000
ou 2003 Serveur (IIS par exemple).
 En tant que contrôleur de domaine supplémentaire, elle fait fonctionner Active
Directory Service pour stocker une copie de la base de donnée de gestion du
domaine et est capable de réaliser des authentifications et toutes les tâches d'un
contrôleur.

Joindre une machine membre simple à un domaine

Onglet "Identification" ou "Nom de l'ordinateur"


du panneau de configuration "Système"
Ulysse membre du Workgroup WK

416 Windows Server 2003 Practice


Modification.

Intégration de l'ordinateur ulysse


au domaine Windows 2003 w2k3.univ-fcomte.fr

417 Windows Server 2003 Practice


Authentification de l'adjonction
par un administrateur du domaine

Acquittement

Redémarrage

418 Windows Server 2003 Practice


Résultat dans le gestionnaire des Utilisateurs
et Ordinateurs Active Directory:
Computers contient une machine de plus.

Menu contextuel associé au membre simple ulysse

Propriétés d'un membre simple:


Paramètres généraux

419 Windows Server 2003 Practice


Propriétés d'un membre simple:
Système d'exploitation

Propriétés d'un membre simple:


Rôle au sein du domaine

420 Windows Server 2003 Practice


Propriétés d'un membre simple:
Emplacement

Propriétés d'un membre simple:


Utilisateur gestionnaire
421 Windows Server 2003 Practice
Propriétés d'un membre simple:
Appel entrant

Joindre un contrôleur supplémentaire à un domaine

Voir le chapitre idoine dans la page WEB configuration Active Directory

Résultat dans le gestionnaire des Utilisateurs


et Ordinateurs Active Directory:
Domain Controllers contient une machine de plus.

422 Windows Server 2003 Practice


Menu contextuel associé
au controleur supplémentaire

Propriétés du controleur supplémentaire:


Paramètres généraux

Propriétés du controleur supplémentaire:


Système d'exploitation

423 Windows Server 2003 Practice


Propriétés du controleur supplémentaire:
Rôle au sein du domaine

Propriétés du controleur supplémentaire:


Emplacement

424 Windows Server 2003 Practice


Propriétés du controleur supplémentaire:
Utilisateur gestionnaire

Propriétés du controleur supplémentaire:


Appel entrant

425 Windows Server 2003 Practice


Administration à distance via la MMC

Windows 2003 permet l'administration à distance sur les machines d'un domaine.
Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité
qu'offrent fréquemment les composants logiciels enfichables de la MMC de se connecter sur
une machine distante pour l'administrer totalement ou partiellement comme s'il s'agissait
de la machine locale.

Choix du composant logiciel enfichable à joindre

Composant "Dossiers partagés"

426 Windows Server 2003 Practice


Composant "Services"

Composant "Gestion des disques"

Choix de l'hôte à joindre pour le composant

427 Windows Server 2003 Practice


Résultat dans la MMC

Accès à distance aux partages


de penelope.w2k3.univ-fcomte.fr

428 Windows Server 2003 Practice


Accès à distance à la gestion des disques
de ulysse.w2k3.univ-fcomte.fr

Accès à distance aux services


de telemaque.w2k3.univ-fcomte.fr
(présenté comme local car exécuté sur telemaque)

429 Windows Server 2003 Practice


Possibilité de créer des fichiers MSC
pour accéder de nouveau aux composants cibles

Fichiers MSC déplaçables


Snap In.msc exécuté depuis penelope
("Dossiers partagés" devenu local,
"Services" devenu affecté à telemaque)

430 Windows Server 2003 Practice


Mêmes les machines non contrôleur de domaine peuvent être utilisées pour l'administration
à distance pour peu que les composants logiciels enfichables nécessaires soient installés et
que le compte utilisé possède les droits adéquats. L'installation de ces composants est
réalisée via le programme adminpak.exe (et sa mise à jour WindowsServer2003-
KB304718-AdministrationToolsPack.exe) compatible Windows 2003, Windows 2000 et
Windows XP (avec services pack).

Liste des composants logiciels enfichables

431 Windows Server 2003 Practice


Administration à distance via la ligne de commandes

L'administration Active Directory

La délégation de contrôle

Les objets Active Directory peuvent voir leur contrôle délégué.

432 Windows Server 2003 Practice


433 Windows Server 2003 Practice
Administration
(Les commandes au clavier)

Commandes de gestion des fichiers

 attrib Gestion des attributs lecture seule, archive, système et masqué assignés aux
fichiers ou aux répertoires

 cd (chdir) Gestion du dossier en cours

 comp Comparaison octet par octet du contenu de deux fichiers ou de groupes de


fichiers

 copy Copie d'un ou plusieurs fichiers à partir d'un répertoire dans un autre

 del (erase) Suppression de fichiers

 dir Affichage de la liste des fichiers et des sous-répertoires d'un répertoire

 fc Comparaison de deux fichiers et affichage leurs différences

 find Recherche d'une chaîne de texte déterminée dans un ou plusieurs fichiers

 findstr Recherche de structures de texte dans des fichiers à l'aide d'expressions


régulières

 md (mkdir) Création d'un répertoire ou sous-répertoire

434 Windows Server 2003 Practice


 more Affichage un écran de sortie à la fois

 move Transfert d'un ou plusieurs fichiers d'un répertoire vers un autre

 rd (rmdir) Suppression d'un répertoire

 ren (rename) Modification du nom d'un fichier ou d'un groupe de fichiers

 replace Remplacement des fichiers du répertoire de destination par les fichiers du


répertoire source portant le même nom

 tree Affichage graphique de l'arborescence des répertoires d'un chemin d'accès ou


du disque placé dans un lecteur

 type Affichage du contenu d'un fichier texte

 where Recherche et affichage de tous les fichiers correspondant au paramètre donné


(recherche effectuée dans le répertoire actif et dans la variable d'environnement
PATH)

 xcopy Copie de fichiers et de répertoires, sous-répertoires compris

Commandes de gestion des partitions

 chkdsk Création et affichage d'un rapport sur l'état d'un disque donné en fonction du
système de fichiers

 chkntfs Affichage ou spécification de si la vérification automatique du système est


programmée pour être exécutée sur un volume FAT, FAT32 ou NTFS au prochain
démarrage de l'ordinateur

 compact Affichage et modification de la compression des fichiers ou des répertoires


dans les partitions NTFS

 convert Convertion des volumes FAT et FAT32 en NTFS en conservant les fichiers et
les dossiers existants intacts (conversion inverse impossible)

 defrag Localisation et regroupement des dossiers, des fichiers de données et des


fichiers de démarrage fragmentés sur des volumes locaux

 diskpart Gestion des disques, partitions ou volumes (fonctionnement en interpréteur


de commandes)

 format Formatage du disque du volume spécifié afin qu'il puisse recevoir des fichiers

 label Création, changement ou suppression du nom de volume d'un disque

Commandes de gestion des autorisations et de l'appropriation

 cacls Affichage ou modification des listes DACL (Discretionary Access Control List)
pour des fichiers spécifiés

 takeown Permet à un administrateur de s'autoriser l'accès à un fichier qui lui était


précédemment refusé en s'en faisant le propriétaire

435 Windows Server 2003 Practice


La commande net

 net accounts Mise à jour la base de données des comptes d'utilisateurs

 net computer Ajout ou suppression d'ordinateurs dans une base de données de


domaine

 net file Affichage du noms de tous les fichiers partagés ouverts sur un serveur et, le
cas échéant, du nombre de verrous sur chaque fichier.
Fermeture des fichiers partagés individuels et suppression des verrous de fichier

 net group Ajout, affichage ou modification des groupes globaux dans des domaines

 net help Affichage de l'aide de la commande net

 net helpmsg Explication de la raison pour laquelle une erreur s'est produite et
fourniture des informations pour la résolution du problème

 net localgroup Ajout, affichage ou modification des groupes locaux

 net print Affichage des informations sur une file d'attente d'impression ou une tâche
d'impression spécifique, ou contrôle d'une tâche d'impression donnée

 net send Envoi de messages à d'autres utilisateurs, ordinateurs ou noms de


messagerie sur le réseau

 net session Gestion des connexions à un serveur

 net share Gestion des ressources partagées

 net statistics Affichage du journal des statistiques des services "Station de travail" ou
"Serveur" locaux ou bien des services en cours d'exécution pour lesquels des
statistiques sont disponibles

 net time Synchronisation de l'horloge de l'ordinateur avec celle d'un autre ordinateur
ou d'un domaine

 net use Connexion ou déconnexion d'un ordinateur à une ressource partagée, ou


affichage des informations relatives aux connexions de l'ordinateur

 net user Ajout ou modification des comptes d'utilisateurs ou affichage des


informations relatives aux comptes d'utilisateurs

 net view Affichage de la liste des domaines, des ordinateurs ou des ressources
partagées par l'ordinateur spécifié

Les commandes at et schtasks

 at Programmation de l'exécution de commandes et de programmes sur un


ordinateur aux date et heure spécifiées (utilisation possible de la commande at si le
service "Planning" est en cours d'exécution)

 schtasks Planification de l'exécution périodique ou à heure spécifique des


commandes et des programmes
Ajout et suppression des tâches de la planification
436 Windows Server 2003 Practice
Démarrage et interruption des tâches à la demande
Affichage et de modification des tâches planifiées

at : commande de planification des versions antérieures de Windows


schtasks : remplacement de at et amélioration en particulier par la gestion des
autorisations

La commande sc

Commandes de gestion des processus

 runas Exécution des outils et des programmes avec des autorisations différentes de
celles attribuées à l'ouverture de session

 shutdown Arrêt ou de redémarrage local ou à distance

 taskkill Suppression d'un ou plusieurs processus ou tâches

 tasklist Affichage de la liste des processus en cours d'exécution sur un ordinateur


local ou distant

La commande ntbackup

Sauvegarde de fichiers, répertoires, unités et systèmes


Pas de restauration possible en ligne de commande

La commande ntdsutil

Outil de ligne de commande de gestion des domaines pour Active Directory:

 maintenance de la base de données Active Directory,


 gestion et contrôle des opérations à maître unique,
 gestion et contrôle des SID,
 suppression des métadonnées provenant de contrôleurs de domaine ayant été
supprimés du réseau sans procédure de désinstallation appropriée,
 ...

Utilisation réservée aux administrateurs expérimentés.

La commande whoami

Renvoi du nom de domaine, du nom d'ordinateur, du nom d'utilisateur, des noms de


groupes, de l'identificateur d'ouverture de session et des privilèges de l'utilisateur
actuellement connecté

437 Windows Server 2003 Practice


Résultat d'exécution de "whoami /all"

Commandes de gestion du service d'annuaire

 dsadd Ajout d'objets à l'annuaire

 dsget Affichage des propriétés des objets de l'annuaire

 dsmod Modification des attributs spécifiques d'un objet de l'annuaire

 dsquery Recherche d'objets dans l'annuaire correspondant à un critère de recherche

 dsmove Déplacement d'un objet de son emplacement actuel vers un nouvel


emplacement parent

 dsrm Suppression d'un objet, de toute la sous-arborescence d'un objet de l'annuaire


ou des deux

La commande systeminfo

Affichage des informations relatives au système matériel et logiciel

Commandes TCP/IP

 arp Affichage et modification des entrées du cache ARP (Address Resolution


Protocol), qui contient une ou plusieurs tables permettant de stocker les adresses IP
et leurs adresses physiques Ethernet ou Token Ring résolues

438 Windows Server 2003 Practice


 finger Affichage d'informations sur un ou plusieurs utilisateurs sur un ordinateur
distant spécifié (généralement un ordinateur sous UNIX)

 ftp Transfert de fichiers vers et depuis un ordinateur exécutant un service de serveur


FTP (File Transfer Protocol)

 hostname Affichage du nom d'hôte inclus dans le nom complet de l'ordinateur

 ipconfig Affichage de toutes les valeurs actuelles de la configuration TCP/IP

 lpq Affichage de l'état d'une file d'attente d'impression sur un ordinateur exécutant
LPD (Line Printer Daemon)

 lpr Envoi d'un fichier vers un ordinateur exécutant LPD (Line Printer Daemon) en vue
de son impression

 nbtstat Affichage des statistiques du protocole NetBIOS sur TCP/IP (NetBT), des
tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants
ainsi que du cache de noms NetBIOS

 netstat Affichage des connexions TCP actives, des ports sur lesquels l'ordinateur
procède à l'écoute, de la table de routage IP ainsi que des statistiques Ethernet, IPv4
(pour les protocoles IP, ICMP, TCP et UDP) et IPv6 (pour les protocoles IPv6,
ICMPv6, TCP sur IPv6 et UDP sur IPv6)

 nslookup Réalisation de résolutions de noms et affichage d'informations permettant


d'établir un diagnostic de l'infrastructure DNS (Domain Name System).

 ping Vérification de la connectivité de niveau IP avec un autre ordinateur TCP/IP par


envoi de messages ICMP (Internet Control Message Protocol) de requête d'écho

 rcp Copie de fichiers depuis et vers un système exécutant rshd (service de shell
distant) (pas d'implémentation de rshd sous les systèmes d'exploitation Windows)

 rexec Exécution de commandes sur un ordinateur distant non Windows fournissant le


service (démon) Rexec

 route Affichage et modification des entrées dans la table de routage IP locale

 rsh Exécution de commandes sur des ordinateurs distants utilisant le service ou


démon RSH

 tftp Transfert de fichiers depuis et vers un ordinateur distant (en général sous UNIX)
exécutant le service ou le démon TFTP (Trivial File Transfer Protocol)

 tracert Détermination de l'itinéraire menant à une destination par la transmission de


messages ICMP (Internet Control Message Protocol) ou ICMPv6 à la destination en
augmentant de façon incrémentielle les valeurs des champs "Durée de vie"
Affichage de la série d'interfaces de routeurs les plus proches des routeurs sur
l'itinéraire situé entre un hôte source et une destination

439 Windows Server 2003 Practice


Fonctionnalités avancées

RIS : Remote Installation Service

RIS permet l'installation à distance de machines Windows 2003 Professionnel. C'est un


moyen dédié à l'installation de parcs d'ordinateurs.

DFS : Distributed File System

DFS permet la construction d'un système de fichiers partagé lui-même constitué de


répertoires partagés.

EFS : Encrypted File System

EFS propose l'encryptage à la volé des fichiers. Seuls les propriétaires auront accès au
contenu du fichier. Celui-ci restera encrypté même après une copie.

FRS : File Replication System

FRS est le système de réplication de fichiers de Windows 2000 Server. Il permet de gérer
automatiquement un répertoire répliqué sur plusieurs hôtes.

TSS : Terminal Server Service

TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur
de terminal Windows (i.e. les postes clients exécutent un programme de connexion sur le
serveur en mode terminal).

440 Windows Server 2003 Practice


Internet Information Server
(IIS 6.0)

Introduction

IIS est un ensemble de services TCP/IP dédiés à l'Internet.

Il comprend les services suivants:

 Web,
 FTP,
 SMTP,
 NNTP,

et les outils d'administration associés.

La version 6.0 de IIS est installée avec Windows 2003 Serveur (version 5.0 avec Windows
2000, version 4.0 avec Windows NT 4.0).

Modification de Windows 2003 Server après l'installation de IIS 6.0

 Création d'un répertoire \Inetpub dans lequel seront stockés dans différents
répertoires (wwwroot pour le WEB, ftproot pour le FTP, mailroot pour le mail, ...) les
fichiers des différents services gérés.
Configuration des permissions sur ces répertoires.
 Création de deux comptes. Le compte IUSR_NomMachine est le compte qui sera
utilisé pour désigner l'utilisateur anonymous et permettre la gestion des permissions
pour ses accès.
 Installation de différents services et démarrage de ces services:
o Service de publication World Wide Web: démon Web,
o Service de publication FTP: démon FTP,
o Simple Mail Transfer Protocol (SMTP): démon SMTP
o Service d'administration IIS: Service nécessaire à l'administration de IIS y
compris via le réseau,
o ...
 Installation des outils d'administration de IIS et création des raccourcis
correspondants dans les outils d'administration et au sein du gestionnaire
d'ordinateur.

Configuration de IIS 6.0

L'administration de IIS 6.0 est réalisée via le Gestionnaire des services Internet, c'est à
dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,

441 Windows Server 2003 Practice


Fenêtre du Gestionnaire des Services Internet

Menu contextuel du Gestionnaire


des Services Internet

Menu contextuel associé à un serveur

Menu contextuel associé à la clé "sites FTP" d'un serveur

442 Windows Server 2003 Practice


Menu contextuel associé à la clé "sites Web" d'un serveur

Menu contextuel associé à un site FTP

Menu contextuel associé à un site Web


doté des extensions Frontpage

443 Windows Server 2003 Practice


Les sites installés par défaut sont:

 le site FTP par défaut si le service FTP est installé,


 le site WEB par défaut si le service Web est installé,
 le site WEB d'"Administration de Microsoft SharePoint" si les extensions Frontpage
sont installées,
 le site WEB d'"Administration" si le site web d'administration à distance est installé.

D'autres sites pourront être installés.

Site FTP par défaut: Vide (ici arrêté)

Site Web par défaut: Site FrontPage (ici arrêté)

444 Windows Server 2003 Practice


Les services FTP

Après sélection des propriétés d'un site FTP.

Attribution de l'adresse IP à laquelle sera associé


le site FTP parmi toutes celles définies sur l'hôte
et le port TCP sur lequel le site FTP est installé
(port FTP standard: 21).
Configuration du nombre de connexions simultanées
pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité

445 Windows Server 2003 Practice


446 Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
dans le journal de log du site FTP sous
..\WINDOWS\system32\LogFiles\MSFTPSVC1\exjjmmaa.log

Sessions en cours sur le site FTP et cloture éventuelle

Comptes de connexion anonyme et d'administration


447 Windows Server 2003 Practice
Messages de connexion et de déconnexion

448 Windows Server 2003 Practice


Répertoire de base: Soit un répertoire local,
soit un répertoire réseau.
Lecture seule ou lecture/écriture

449 Windows Server 2003 Practice


Sécurité d'accés implantée sur un répertoire
en fonction de l'adresse ou d'une classe d'adresses

Les services WEB

Attribution de l'adresse IP à laquelle sera associé le site Web parmi toutes celles définies
sur l'hôteet le port TCP sur lequel le site Web est installé (port Web standard: 80).
Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité

450 Windows Server 2003 Practice


451 Windows Server 2003 Practice
Configuration de la gestion (intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
dans le journal de log du site Web sous
..\WINDOWS\system32\LogFiles\W3SVC1\exjjmmaa.log

452 Windows Server 2003 Practice


Configuration avancée du site

Performances du site

453 Windows Server 2003 Practice


Filtres ISAPI

454 Windows Server 2003 Practice


455 Windows Server 2003 Practice
Répertoire de base: Soit un répertoire local,
soit un répertoire réseau,
soit une URL.
Accès en lecture seule ou lecture/écriture.
Journalisation et/ou indexation.
Exploration

Documents de base lorsqu'aucun fichier explicite

456 Windows Server 2003 Practice


Messages d'erreur

Extensions serveur
457 Windows Server 2003 Practice
Paramètres de contrôle d'accès
et types mime

Contrôle d'accès

458 Windows Server 2003 Practice


Les types MIME

459 Windows Server 2003 Practice


Sécurités d'accès au répertoire

460 Windows Server 2003 Practice


Filtrage IP sur des adresses, des classes d'adresse
ou des noms de domaine

Authentification
461 Windows Server 2003 Practice
Extension du serveur BITS

Création d'un nouveau site FTP

Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre
les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP
et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même
carte en possède plusieurs), soit par le port TCP sur lequel le site répond.
Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port
n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être
utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par
un autre service sur le serveur.

462 Windows Server 2003 Practice


Nom du site dans le Gestionnaire des Services Internet

Choix de l'adresse IP associé au site


(parmi celles disponibles sur l'hôte)
et du port TCP associé au site
(Port FTP standard : 21)

463 Windows Server 2003 Practice


Chemin d'accès au répertoire local associé au site

Choix du mode d'isolation (ici, pas d'isolation, voir plus loin)

464 Windows Server 2003 Practice


Contrôle d'accès

Fin de la création

L'isolation

IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de
l'ouverture d'une session FTP par un utilisateur.
Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire, ses sous-répertoires
réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.

465 Windows Server 2003 Practice


1. Répertoire de base: La racine du site.
2. Répertoire de base: Un répertoire particulier sous la racine du site.
3. Répertoire de base: Le répertoire de base tel que configuré dans Active Directory.

Création d'un site avec isolation des utilisateurs

466 Windows Server 2003 Practice


Oblibgation de créer l'arborescence de répertoires
sur le shéma suivant:

"Répertoire de base"\LocalUser\Public
pour les connexions anonymous

"Répertoire de base"\UserDomain\UserName
pour les connexions non anonymous

467 Windows Server 2003 Practice


Création d'un site avec isolation des utilisateurs
en utilisant Active Directory

468 Windows Server 2003 Practice


Pour chaque utilisateur définition dans Active Directory
des deux propriétés FTPRoot et FTPDir qui sont utilisées
pour indiquer le répertoire de base de l'utilisateur.
Deux instructions en ligne de commandes:

iisftp /SetADProp Einstein FTPRoot I:\Utilisateurs\


iisftp /SetADProp Einstein FTPDir Einstein

469 Windows Server 2003 Practice


Dans les propriétés d'un tel site,
disparition de l'onglet "Comptes de sécurité"
car il n'y a plus de connexion anonyme
et "Répertoire de base" car ces informations
sont extraites de Active Directory

Création d'un site sur une autre adresse IP

470 Windows Server 2003 Practice


Résultat des créations

Connection sur ces sites au moyen de Internet Explorer

Connection au site par défaut

471 Windows Server 2003 Practice


Connection au site sur le port 2121

Anonymous

472 Windows Server 2003 Practice


Authentifié

Connections anonymous et authentifiée au site sur le port 2122

Connection authentifiée au site sur le port 2123

473 Windows Server 2003 Practice


Connection au site sur l'adresse 172.20.129.116 (achille)

Création d'un répertoire virtuel FTP

Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur FTP au sein
de l'arborescence des répertoires du site FTP. Le repertoire virtuel ne correspond pas à un
répertoire existant physiquement à cette endroit dans l'arborescence de répertoires du
répertoire de base du site et n'apparaitra pas dans un client FTP.
Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire
partagé d'un autre ordinateur.

Nom du répertoire virtuel sur le site FTP


474 Windows Server 2003 Practice
Répertoire local correspondant

475 Windows Server 2003 Practice


Contrôle d'accès

Création d'un répertoire virtuel (alias) FTP

Résultat dans le Gestionnaire des Services Internet

476 Windows Server 2003 Practice


Propriétés d'un répertoire virtuel FTP
(noter la possibilité de configurer
des restrictions d'accès spécifiques)

477 Windows Server 2003 Practice


Résultat dans Internet Explorer

Création d'un répertoire physique vide portant le même nom


que le répertoire virtuel à la même place
pour rendre visible son existence dans un client FTP
(Le démon FTP bascule sur le répertoire virtuel
et pas sur le répertoire vide)

478 Windows Server 2003 Practice


Création d'un nouveau site WEB

Plusieurs sites WEB peuvent être ébergés sur le même serveur FTP.
La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est
installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau
sont installées ou qu'une carte possède plusieurs adresses IP), soit par le nom d'entête
utilisé par le client WEB, soit par le port TCP sur lequel le site répond. Le port standard du
WEB est le port 80. C'est celui qui est utilisé implicitement si aucun port n'est indiqué
explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les
ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre
service sur le serveur.

479 Windows Server 2003 Practice


Nom du site dans le Gestionnaire des Services Internet

Choix de l'adresse IP associé au site


(parmi celles disponibles sur l'hôte)
du port TCP associé au site
(Port Web standard : 80 déjà utilisé pour le site par défaut,
choix du port 8080)
et du nom d'entête auquel répondra le site

Chemin d'accès au répertoire local associé au site

480 Windows Server 2003 Practice


Contrôle d'accès

Fin de la création

Résultat de la création

481 Windows Server 2003 Practice


Propriétés avancées du site Web créé

Message d'erreur en cas d'accès depuis Internet Explorer


car l'exploration de répertoire est interdite
et il n'y a pas de fichier par défaut à la racine

482 Windows Server 2003 Practice


Configuration de l'autorisation d'exploration

Résultat dans Internet Explorer

483 Windows Server 2003 Practice


Résultat dans Internet Explorer avec un fichier
nommé Default.htm à la racine du répertoire de base

Création de plusieurs serveurs Web virtuels sur un même serveur

Création d'un site sur une adresse IP

484 Windows Server 2003 Practice


Création d'un site associé à un nom d'entête

485 Windows Server 2003 Practice


486 Windows Server 2003 Practice
Configuration complémentaire dans les propriétés avancées
d'identification du site

Résultat dans le gestionnaire IIS

Site par défaut

487 Windows Server 2003 Practice


Site sur le port 8080

Site sur l'adresse 172.20.129.116 (achille dans le DNS)

Site sur l'entête diogene ou diogene.w2k3.univ-fcomte.fr


(nom référencé dans le DNS)

Résultats dans Internet Explorer

réation d'un répertoire virtuel Web

Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur WEB au
sein de l'arborescence des répertoires physiques existant dans le répertoire de base. Cet
"alias" peut correspondre à un répertoire de la machine locale, à un répertoire partagé sur
un autre ordinateur ou une redirection vers un autre site WEB.

488 Windows Server 2003 Practice


Nom du répertoire virtuel sur le site Web

489 Windows Server 2003 Practice


Répertoire local correspondant

Contrôle d'accès

490 Windows Server 2003 Practice


Création d'un répertoire virtuel (alias) Web

Résultat dans le Gestionnaire des Services Internet

Résultat dans Internet Explorer avec un fichier Default.htm

491 Windows Server 2003 Practice


Les types MIME

Sauvegarde d'un serveur

Gestion de plusieurs sauvegardes


492 Windows Server 2003 Practice
Warning de restauration

Redémarrage d'un serveur

Demande de redémarrage

Redémarrage en cours

493 Windows Server 2003 Practice