Windows Server 2003

WINDOWS SERVER 2003
I - INTRODUCTION
Système d'exploitation à vocation professionnelle issu de Windows 2000 (et

antérieurement de Windows NT 4.0, 3.51, 3.5 et 3.1).
Développé par Microsoft Corporation depuis le début des années 90 initialement par une
ancienne équipe de Digital Equipment Corporation (DEC).
Commercialisation de Windows 2003 en 2003!
Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows
2000.
Solution présentée à des attentes telles que:
 robustesse,
 sécurisation,
 fonctionnalités serveur,
 gestion du poste client,
 administration distante,
 technologies d'infrastructure réseau,
 …
Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les
environnements systèmes professionnels. A sa sortie, attaque directe contre Novell
IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les
Unix ouverts de type Linux ou FreeBSD.
Existence de versions dédiées "poste clients" destinées à être utilisées en association aux
systèmes "serveur".
Système serveur
Système poste client
Windows NT 4.0 Serveur
Windows NT 3.51 ou 4.0 Workstation
Windows 2000 ou 2003 Serveur
Windows 2000 ou XP Professionnel
Caractéristiques principales
Présenté comme très largement compatible avec les développements antécédents réalisés
pour Windows.
-> Préservation des investissements en logiciel et en formation (y compris pour les
formations d'administrateurs).
-> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que
Windows 2000 en ressources matérielles (voire même moins pour certains services).
-> Drivers logiciels et matériels identiques à ceux de Windows 2000.
1 Windows Server 2003 Practice

Système d'exploitation réseau.
-> Intégration poussée des fonctionnalités réseau au sein du noyau.
Gestion de la sécurité à deux titres :
 sûreté de fonctionnement (robustesse),

 sécurité vis à vis du contrôle de l'utilisation de la machine (actions, intrusions, ...).
Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus

seulement système d'exploitation départemental (gestion de groupes de travail) ou poste
de travail.
Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel.

Exemples:
 administration centralisée,
 vrai multitâche,
 partage de ressources,
 …
Quelques caractéristiques de Windows 2003 Serveur
Qualités
 Administrabilité
 Sécurité vis à vis des intrusions
 Robustesse
 Maintenance de la part de Microsoft
 Système en version 32 bits et 64 bits
 Système multi-tâche et multi-threadé
 Support des ordinateurs multiprocesseurs
 Support des standards du marché
 Système d'entreprise
Défauts
 Nécessité d'un administrateur désigné

 Incompatibilité de certains logiciels (DOS, Win95, Win98)
 Système non multi-session
 Reboots
 Système entièrement propriété de Microsoft Corporation
Implantation constatée
Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son
prédécesseur immédiat), Linux et Novell IntranetWare.
C'est un produit qui a reçu bon accueil:
 Large implantation sur les petits serveurs de groupes de travail (en concurrence
avec Linux).
 Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et
les systèmes propriétaires).
Plusieurs versions de Windows 2003 Serveur:

En version 32 bits:
 Windows 2003 Server Web Edition
Pas de gestion d'un parc de machines (Domaine).

Serveur Internet
De 1 à 2 processeurs, jusqu'à 2 Go de mémoire.
N'existe pas en version x64.
N'existe pas en version Itanium.
 Windows 2003 Server Standard
Gestion d'un parc de machines (Domaine).

Priorité aux activités liées au réseau par rapport aux activités purement locales.
Serveurs de fichiers et d'imprimantes
Serveur Internet
Jusqu'à 32 Go de mémoire en version x64.
N'existe pas en version Itanium.
 Windows 2003 Enterprise
Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de

fonctionnement (clustering).
Serveurs Internet et d'applications
Jusqu'à 1 To de mémoire en version x64 et Itanium.
 Windows 2003 Datacenter
Fonctionnalités de l'Advanced Server.

Serveurs Internet et d'applications
16 ou 32 processeurs, 64 à 128 Go de mémoire.
En version R2 (voir plus loin), jusqu'à 64 processeurs.
Jusqu'à 1 To de mémoire en version x64 et Itanium.
Version "poste client": Windows XP Professionnel
En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP

Professionnel. Il en reprend le noyau et est plus une évolution qu'une révolution.
Microsoft a aussi commercialisé une version "personnelle" de Windows XP : Windows XP
Home Edition. Celle-ci est principalement allégée des possibilités d'administration
centralisée et de sécurisation.
Nouvelle release de Windows 2003 en 2006: Windows 2003 R2
 Mise à jour logicielle

 Ajout de fonctionnalités
Prochaine version serveur: Windows ? en ?
Microsoft annonce un nouveau système professionnel pour 2007: "Vista".

II - ELÉMENTS D'ARCHITECTURE, RÉSEAU INTERNET
Internet : Réseau mondial d'inter-connexion de réseaux.
Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout
autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement
le cas.
Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets.
Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la
machine cible et est émis sur le réseau à destination de cette machine.
Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de
la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la
perte est détectée et le paquet est envoyé de nouveau.
Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par
une infrastructure logicielle.
Infrastructure matérielle
Sous-réseau
Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec
toute autre machine.
Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante
actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des
commutateurs (switchs).
Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes
les machines qui lui sont directement connectées. Une machine cible conservera et
exploitera les paquets qui lui sont destinés et oubliera les autres.
Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur
l'ensemble des machines connectée est la bande passante du concentrateur (généralement
10 ou 100 Mbits/s).
La capacité de transfert est donc partagée entre les machines connectées et est limitée à
celle du concentrateur.
Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à

laquelle il est destiné.
-> Une machine ne reçoit que les seuls paquets qui lui sont destinés.
Chaque machine possède une bande passante potentielle vers les autres machines qui lui
sont connectées égale à celle de son interface réseau (10, 100 ou 1000 Mbits/s).
La bande passante globale du sous-réseau est toutefois limitée par la vitesse de
commutation du fond de panier du commutateur (matrice de commutation).
Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur
lesquels viennent se connecter en étoile les machines.
Inter-connexion des sous-réseaux
Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être
connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets
entre les sous-réseaux qui contiennent les machines source et cible.
Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique
qui après configuration semble agir comme un commutateur.
Dans les cas plus complexes (réseaux d'entreprise, Internet), un seul routeur ne permet
pas l'inter-connexion de l'ensemble des sous-réseaux. Plusieurs routeurs reliés entre eux
consécutivement sont alors utilisés sur le chemin des paquets.

Pour des raisons de pérennité de fonctionnement, le réseau de routeurs, au lieu d'être
construit en étoile, pourra être construit en graphe. Plusieurs chemins pourront exister
pour aller d'un sous-réseau à un autre sous-réseau. Pour un même message, les paquets
pourront transiter par des chemins différents et même arriver dans un ordre différent de
celui de départ. Le matériel actif se contente d'assurer le transfert de l'information. Ce
seront les machines qui reconstitueront la cohérence des messages à l'arrivée.
Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du

réseau fédérateur permettant ainsi de résoudre le problème du choix et de l'optimisation
des liens de transit.

Infrastructure logicielle
L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou

plusieurs protocoles de communication (i.e. langage de communication d'informations
entre ordinateurs).
Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole
de l'Internet et tend à se généraliser.
La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement
"routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sous-
réseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette
caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau
Internet.
L'infrastructure logicielle comprend pour chaque protocole:
 Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels

du réseau (concentrateurs, commutateurs, routeurs, ...) (non abordés ici).
 Les logiciels de configuration, de gestion et d'audit du fonctionnement local des
machines permettant en particulier de donner un nom à chaque machine pour
autoriser les communications machine source <-> machine cible.
 Les services réseau implantés pour utiliser ou faciliter l'utilisation du protocole.
NetBEUI
NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité
est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il
n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage.
Les machines sont désignées par des noms alphanumériques sur 15 caractères.
Toutes les machines placées sur le même concentrateur, sur le même commutateur ou
liées par une suite de concentrateurs commutateur peuvent communiquer directement
entre elles.
Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB
(Server Message Block) et Lan Manager proposent les services:
 de gestion d'utilisateurs,
 de gestion de répertoires partagés,
 de gestion d'imprimantes partagées,
 ...
NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de
Windows et sous Linux (Samba).
Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en
œuvre un processus d'exploration du réseau à la recherche des machines qui y sont
présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable,
chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les
machines de son sous-réseau) destiné à susciter une réponse contenant le nom de la
machine répondant. Si n machines génèrent un broadcast entraînant n réponses, on
obtient de l'ordre de n2 messages échangés régulièrement.
-> à partir d'un certain nombre de machines, une part importante du trafic du réseau
(voire près de 100%) peut être consacrée à ce processus d'exploration.
Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows
NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette
machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine
souhaitant connaître la liste des machines du réseau.
TCP/IP
Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer
les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés
au routage.
Paramètres généraux:
 Adresse IP : Une machine est nommée de manière unique sur son réseau par son
"adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23
 Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et
255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les
adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec
lesquelles elle peut communiquer sans routage).
Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il
est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux
machines et le masque sont égaux alors les deux machines font partie du même
sous-réseau TCP/IP.
Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 =
172.20.128.164 et I2 = 172.20.128.213.
En binaire, le masque devient
M = 11111111.11111111.11111111.10000000
et les adresses
I1 = 10101100.00010100.10000000.10100100
et
I2 = 10101100.00010100.10000000.11010101
Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe
& désigne le "et binaire".
M & I1 = 10101100.00010100.10000000.10000000
M & I2 = 10101100.00010100.10000000.10000000
(M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau.
Elles pourront communiquer directement si elles sont interconnectées par un
concentrateur ou un commutateur.
Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont
construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de
bits à 0. Les masques de sous-réseau classiques sont :
255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers
nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même
sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe
C),
255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et
de 128 à 255),
255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de
64 à 127, de 128 à 191 et de 192 à 255),
255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C),

255.255.255.252 -> 4 adresses (64 sous-réseaux sur une classe C).
Définition des différentes classes IP
 Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront

envoyés tous les paquets non destinés à une machine du même sous-réseau que la
machine source. Un routeur ou un ordinateur assurant le routage sera installé à
cette adresse pour les réceptionner et les transmettre.
Paramètres de configuration DNS
La technique de dénomination par adresse IP est pratique pour les ordinateurs car
facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus.
Convention de dénomination supplémentaire:

Désignation de chaque machine par un ou plusieurs noms IP alphanumériques.
Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le
sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs
sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une
organisation arborescente.
Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la
machine, puis les différentes parties du nom de domaine du plus particulier au plus
général.
Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sous-

domaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr).
Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:
 localement sur chaque machine au moyen de "fichiers hosts",

 Globalement sur un ensemble de machines reliées en réseau au moyen d'un serveur
DNS (Domain Name Server) qui gère la liste associée à un domaine et peut être
interrogé via une connexion réseau normalisée. La configuration TCP/IP de la
machine cliente inclut alors une référence à ce serveur.
Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur
l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou
partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y
avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les
machines entre eux, soit au contraire pour répliquer les bases de données de machines et
avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de
charge pour les domaine très consultés.
Un serveur DNS aura les tâches suivantes:
 Gérer sa base de données de noms

 Résoudre un nom pour les machines qui le lui demandent quand il connaît le nom (il
appartient au domaine qu'il gère).
Répondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas défini
dans le domaine qu'il gère).
 Propager la demande de résolution vers le ou les serveurs DNS du sous-domaine
concerné s'il s'agit d'un nom associé à l'un de ses sous-domaines.
Propager la demande de résolution vers le serveur ou les serveurs DNS de son
domaine maître si le nom n'appartient pas à un de ses sous-domaines.
 Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est
donné sur le DNS dont elle dépend.
 Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque
cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine,
les suffixes sont testés les uns après les autres comme domaines implicites.
 DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints
lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP
correspondant au nom IP ou réciproque.
Paramètres de configuration WINS
Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la
convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est
impossible de l'utiliser pour des réseaux comportant un nombre important de machines.
Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du
protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le
routage.
Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI.
Windows Internet Name Service (WINS) est l'une des solutions possibles.
WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de
gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à
même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de
l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions
nom TCP/IP <-> adresse IP.
Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:
 L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent
automatiquement sur ce serveur).
 Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms
d'utilisateurs, des noms de machines, ...
 Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de
données et offrir ainsi des redondances et des possibilités d'administration plus
élaborées.
 ...
 WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion.
 WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée et que le serveur primaire ne donne pas de
réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association
souhaitée.
Filtrage IP
Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du

point de vue des paquets sortants que du point de vue des paquets entrants.
Ces fonctions de filtrage pourront généralement être configurées soit en fonction de
l'adresse IP du client, soit en fonction du port TCP/IP utilisé par l'ordinateur client.
DHCP

Tous ces paramètres nécessaires à l'infrastructure TCP/IP pourront être renseignés soit
directement sur l'ordinateur hôte, soit sur un serveur DHCP (Dynamic Host Configuration
Protocol) qui sera contacté par l'intermédiaire du réseau par l'hôte au moment de son
démarrage.
L'intérêt de l'utilisation de DHCP réside dans les points suivants:
 La configuration des postes clients est centralisée.

 L'affectation des paramètres pourra être réalisée dynamiquement ou statiquement.
Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un
pool restreint d'adresses IP permettant d'accéder à Internet et affecter ces adresses
aux seules machines en fonctionnement.
 ...
De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via
une base de données unique, d'assurer la cohérence des informations transmises. C'est le
cas sous Windows 2000.
Commandes TCP/IP texte
ipconfig
La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes

réseau présentes dans la machine. la syntaxe est
ipconfig pour obtenir un résumé et
ipconfig -all pour obtenir une description complète.
ipconfig

ipconfig -all
ping
La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe
est
ping nom_IP
ou
ping adresse_IP
ping
nslookup
La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP
correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est
nslookup nom_IP
ou
nslookup adresse_IP

nslookup
Tracert
La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés
pour joindre une autre machine.
La syntaxe est
tracert nom_IP
ou
tracert adresse_IP
Tracert
III - CONCEPTS ET PLANIFICATION
La gestion de la sécurité
Windows 2003: Système d'exploitation sécurisé.
Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des

utilisateurs.

Action ou ressource refusée ou accordée en fonction de l'utilisateur.
Possibilités multiples de sécurisation:
 autorisation d'utilisation d'une machine (obtention obligatoire d'un compte

d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir),
 interdiction d'utiliser d'autres applications que celles dûment autorisées,
 interdiction d'installer des applications,
 interdiction de modifier l'environnement de travail,
 restrictions d'accès aux ressources (fichiers, imprimantes, …),
 audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur,
accès à des ressources,...),
 …
Droit ou privilège: Autorisation d'exécuter une action système.
Exemples: Créer des comptes, installer un pilote d'imprimante, partager un répertoire,

arrêter le système, ...
Autorisation: Autorisation d'accès à une ressource.
Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application,
...
Tous les objets du système sont soumis à autorisations via des ACLs.
Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,...
Un utilisateur possède tous les droits : l'"Administrateur".

Il est nommé "root" sous UNIX.
La gestion du réseau
NOS (Network Operating System): Système d'exploitation utilisable pour la connexion

d'ordinateurs en réseau.
-> connexion et communication facile entre ces machines.
Nombre important de normes de câblage connectées aux machines via des cartes
d'interface réseau (NIC, Network Interface Card):
 Ethernet épais, fin et double paires torsadées,

 Phonenet,
 Fibre optique,
 Infrarouge,
 Bluetooth,
 Wifi,
 Modem,
 ...
Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des
éditeurs tiers):
 NetBEUI,
 TCP/IP,
 IPX/SPX,
 DLC,
 Appletalk,
 ATM,
 TokenRing,
 FDDI,
 …
Nombre important de services réseau tant du point de vue serveur que du point de vue
client:
 SMB,
 Lan Manager,
 DNS,
 WWW,
 FTP,
 Telnet,
 SMTP,
 NNTP,
 NTP,
 Proxy,
 DHCP,
 WINS,
 ADS,
 ...
-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau.
Protocole natif de Windows NT: NetBEUI.
Protocole natif de Windows 2003: TCP/IP.
NetBEUI
Avantages
Inconvénients
 Rapide
 Peu gourmand en ressource système
 Pas de routage
 Pas compatible avec Internet
 Protocole assez bavard sur le réseau
TCP/IP
Avantages
Inconvénients
 Rapide
 Peu gourmand en ressource système
 Routage
 Compatible avec Internet
 Possiblement complexe à paramétrer
 Protocole des "pirates"
Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les
conventions de nom de NetBEUI sans même que NetBEUI soit installé.
Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre
encore un nombre important de caractéristiques:
 dénomination des machines,

 explorateur réseau,
 ...
Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces
conventions de nom.
Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP même si la base de

Windows NT et 9x reste NetBEUI.
Sécurité gérée au niveau du réseau.
Le partage de ressources
Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante.
Ressources partageables:
 les répertoires et les fichiers qu'ils contiennent,

 les imprimantes,
 dans une certaine mesure, les applications (Exécution d'une application sur une
machine distante avec transmission du résultat d'exécution sur la machine locale)
(possibilité d'utiliser le service Terminal Server pour configurer un serveur de
terminaux Windows, équivalent fonctionnel à un serveur X).
Sécurité au niveau des ressources partagées.
Active Directory
Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs,
ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines.
AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS.
Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des
fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs
Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à
un fonctionnement pérenne.
Intérêt d'AD:
 Windows 2003 avec AD supporte des domaines de plusieurs millions de comptes

d'utilisateurs alors que, dans la pratique, Windows NT 4.0 était limité à quelques
dizaines de milliers.
 Windows 2003 avec AD supporte des domaines de plusieurs dizaines de milliers de
machines alors que, dans la pratique, Windows NT était limité à quelques centaines.

Unité Organisationnelle
La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est

l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de
contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation
arborescente.
L'extensibilité d'Active Directory
Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux
objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de
nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.
Kerberos
Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les
communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il
rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la
sécurité.
Deux points importants sont à signaler:
 L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors

d'une communication d'informations, de vérifier l'authenticité de leurs identités
respectives pour éviter les usurpations d'identité.
 L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait

confiance à C.
-> En particulier, cette loi est vérifiée pour les approbations entre "Domaines
Windows 2003".
Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour
l'authentification avec des machine sous système d'exploitation de version antérieure ou
des machines indépendantes (hors domaine, voir plus loin).
La notion de domaine Windows 2003
Domaine: Unité d'administration sous Windows 2003.
Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une
machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité
associée.
Active Directory permet une organisation différente de la classique et très rigide

organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0.
Ce sont la souplesse de la gestion par base de données et les possibilités d'extension

héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles
possibilités.
Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows
2003 alors que sous NT, ce sont les domaines.
La notion de domaine au sens Windows NT 4.0 disparaît donc avec Windows 2003 avec un
emploi beaucoup plus souple.
Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du
domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server).
La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account
Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active
Directory et est répliquée automatiquement entre eux.
Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base

d'utilisateurs et de groupes d'utilisateurs.
Contrairement au modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal"

auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un
domaine Windows 2003 contient 1 ou plusieurs contrôleurs de domaine placés au même
niveau hiérarchique.
Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne
l'arrêt de toute possibilité d'administration du domaine: comptes d'utilisateur et machines.
Dans le modèle Windows 2003, ce n'est plus le cas car les tâches d'administration peuvent
être continuées.
Définition possible de plusieurs domaines sur le même réseau.
ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP.
Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et
permettent l'administration centralisée de leurs machines. En revanche, les domaines
TCP/IP n'incluent pas cette notion d'administration système centralisée.
Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines
Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes
d'utilisateurs.
Approbation
Il est possible d'établir des relations d'approbation entre domaines permettant aux
utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine.
Elles pourront être créées:
 implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées
automatiquement,
 explicitement auquel cas elles sont unidirectionnelles et créées explicitement par
l'administrateur.
Arborescence de domaines: Structure de domaines hiérarchisée sur le mode

arborescent par des relations d'approbation implicites. La base est constituée du domaine
racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder
des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que
les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine
racine.

Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt
est la première arborescence à avoir joint la forêt. Tous les domaines racines des
arborescences de la forêt possèdent implicitement une relation d'approbation
bidirectionnelle avec la racine de la forêt.
Eléments interconnectables au sein un domaine
(1) Avec ouverture de session de travail
 Un ou plusieurs contrôleurs de domaine (sous Windows 2003 ou 2000 Server et

Active Directory) sans hiérarchie particulière.
 Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active
Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server,
on parle alors de "Serveur membre".
 Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.
Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au
sein d'AD sur chacun des DC.
Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur
le réseau.
(2) Sans ouverture de session sur l'un des DCs
Etablissement possible de connexions simples avec d'autres machines sous Windows 2003,
2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation
reconnaissant les protocoles installés sur la machine serveur et assurant les services de
connexion des serveurs du domaine.
Fourniture d'un login et d'un mot de passe.
Accès limité aux ressources partagées accessibles à l'utilisateur authentifié.

Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des
ressources:
 domaine\utilisateur pour un nom d'utilisateur,

 \\serveur\ressource pour l'accès à une ressource partagée.
(3) Autres possibilités
Toute machine en accès via un service sans authentification explicite (WWW, FTP
anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...).
Les contrôleurs de domaine
Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs

ainsi que de la politique de sécurité associée.
Authentification des ouvertures de session et des accès aux ressources partagées qu'ils
proposent.
Administration des utilisateurs.
Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs.
Les machines Windows XP ou 2000 Professionnel
Machines clientes simple du domaine.
Pas de stockage d'une copie de la base de données des utilisateurs.
Soumission des ouvertures de session à un DC.
Pas de rôle d'administration.
Les machines Windows 2003 ou 2000 Server en serveurs simples
Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue
de la base de données des utilisateurs mais possédant les capacités de Windows Server du
point de vue des services réseau autres que ceux de gestion des domaines.
Exemples:
 Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de
domaine.
 Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on
ne souhaite pas être contrôleur de domaine.
Les autres systèmes
Toute machine quel que soit son système d'exploitation.
Condition nécessaire pour l'établissement d'une connexion:
 Reconnaître d'un des protocoles du serveur de domaine.

 Être capable d'émettre un nom de login ainsi que le mot de passe associé (Protocole
d'authentification reconnu par les contrôleurs du domaine).
 Être capable de gérer la partie cliente du service auquel l'accès est réalisé.
-> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de
connexion sans avoir pour autant ouvert de session.
DDNS, WINS et DHCP
Une implantation Windows 2003 nécessitera fréquemment le déploiement des services

DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP
(Dynamic Host Configuration Protocol).
Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003
l'utilisent obligatoirement.
L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows
2003 construit (généralement équivalent à un domaine TCP/IP).
Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et
dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet
enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de
cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des
serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution
de noms..
L'utilisation de WINS n'est réellement intéressante que lorsque plusieurs sous-réseaux

TCP/IP différents doivent communiquer entre eux via routage et donc constituer un seul et
même domaine de nom et que, de plus, la convention de nom simplifiée de NetBEUI doit
pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de machines
anciennes, utilisation souhaitée du voisinage réseau, ...) qui n'autorise pas le routage. La
connexion entre ces sous-réseaux est établie physiquement et logiquement au moyen de
routeurs dédiés au protocole TCP/IP.
Le problème se pose alors de faire "se trouver" respectivement les machines lorsque qu'un
ordinateur situé sur un sous-réseau doit "parler" avec une machine d'un autre sous-réseau.
Au sein et sans sortir des différents sous-réseaux, le problème ne se pose pas car il est
géré nativement par l'interface NetBEUI. Pour les communications entre sous-réseaux,
l'information transitera et sera routée au sein de "paquets" TCP/IP. WINS apporte un
service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et
les nom NetBIEU.
Les machines seront configurées pour interroger un serveur WINS si elles ont besoin d'une
résolution de nom. Au démarrage, toute machine configurée pour utiliser éventuellement
un serveur WINS s'enregistre dans sa base de manière à la renseigner.
Sous Windows 2003, tout comme avec DDNS, une base de données WINS est stockée au
sein d'Active Directory si le serveur WINS est contrôleur de domaine et est donc distribuée
sur les contrôleurs.
Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils
échangent leurs bases de données.
L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion
des paramètres TCP/IP des machines d'un domaine.
Les utilisateurs et les groupes d'utilisateurs
Les utilisateurs
Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine
Windows 2003 ou accéder à une ressource partagée par une machine Windows 2003.

Stockage dans la base de donnée des utilisateurs et des groupes d'utilisateurs au sein
d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:
 nom d'utilisateur complet

 nom d'utilisateur principal (UPN, User Principal Name)
 nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)
 mot de passe
 les restrictions apportées aux actions qui lui sont autorisées
 …
Exemple de nom: John Smith comme nom complet, john.smith@w2k3.univ-fcomte.fr

comme nom principal (ATTENTION, le nom principal est formaté comme une adresse
électronique) et w2k3\smith comme nom équivalent NT en convention UNC.
Les groupes
Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de

privilèges et de autorisations.
Un utilisateur peut appartenir à plusieurs groupes.
-> Possibilité de gestion hiérarchisée des comptes des utilisateurs.
-> Facilité de gestion.
Deux types de groupe:
 Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des

autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de
distribution.
 Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à
l'attribution d'autorisations ou de droits.
Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:
 Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des
comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine
ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine
de l'arborescence de domaine ou de la forêt.
 Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des
comptes du domaine dans lequel le groupe est défini et peuvent recevoir des
autorisations dans n'importe quel domaine de la forêt.
 Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes
et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des
autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines
Serveur contrôleur ou membre.
Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du
domaine de définition et des domaines approuvant le domaine de définition.
Un seul type de groupe peut être défini sur une machine Windows XP ou 2000
Professionnal ou 2000 ou 2003 Serveur en serveur simple:
 les groupes locaux.

Sur ces machines, quand elles appartiennent à un domaine, réception des groupes globaux
et universels du domaine d'un des contrôleurs de domaine.
Après l'installation initiale d'un Windows
Deux comptes d’utilisateur locaux:
 un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP
Professionnal, désactivé sous Windows 2000 ou 2003 Serveur
 un compte "administrateur" d'administration local
Différents groupes intégrés locaux:
 Administrateurs
 Invités
 Utilisateurs
 Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration
non relatifs aux domaines)
 Opérateurs de sauvegarde
 Réplicateurs
Différents groupes spéciaux (ne possédant pas de membre):
 Créateur/propriétaire (propriétaires des objets)

 Système (activités liées au système d'exploitation)
 Réseau (activités d'utilisateurs provenant du réseau)
 Anonymous logon (utilisateur non authentifié)
 Utilisateur authentifié (utilisateur authentifié)
 Batch (processus batch)
 Dialup (utilisateur via un accès dial-up)
 Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un
domaine approuvé)
 Interactif (utilisateur qui accède à une ressource en se connectant localement à
l'ordinateur proposant cette ressource)
 Service (un service)
Après l'installation de Windows 2000 ou 2003 Serveur en contrôleur de domaine
Deux comptes d’utilisateur:
 un compte "invité" du domaine

 un compte "administrateur" d'administration du domaine
Groupes intégrés créés au sein d'Active Directory:
 Administrateurs (domaine local)

 Invités (domaine local)
 Utilisateurs (domaine local)
 Opérateurs de compte (domaine local) (gestion des comptes et des groupes
d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration)
 Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs
du réseau)
 Opérateurs d’impression (domaine local) (gestion du bon fonctionnement des
activités liées aux imprimantes)
 Duplicateurs (domaine local) (gestion des activités de réplication de répertoires)
 Admins du domaine (global)
 Invités du domaine (global)
 Utilisa. du domaine (global)
 Ordinateurs du domaine (global)
 Contrôleurs du domaine (global)
 Éditeurs de certificats (global)
 Administrateurs de l'entreprise (universel ou global)
 Administrateurs de stratégie de groupe (universel ou global)
 Administrateurs du schéma (universel ou global)
Sur les Windows membres simples d'un domaine
Groupes et utilisateurs issus du domaine:
 les comptes
o "invité" du domaine
o "administrateur" d'administration du domaine
 les groupes
o Admins du domaine (global)
o Invités du domaine (global)
o Utilisa. du domaine (global)
o ...
Sur ces machines, existence préservée et utilisation possible des comptes et groupes
locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des
comptes et groupes locaux.
Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par

l’administrateur système ou toute personne possédant les privilèges administrateur,
admins du domaine ou opérateur de comptes.
Contenu précis d’un compte d’utilisateur d'un domaine
Informations pouvant être renseignées lors de la création ou bien à tout autre moment
après la création:
 Nom d'utilisateur complet

 Nom d'utilisateur principal (UPN, User Principal Name)
 Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)
 Mot de passe
 Adresse électronique
 Numéros de téléphone
 Horaires d’accès
 Stations de travail autorisées pour l'accès
 Adresse postale
 Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers
personnels ne sont pas détruits)
 Répertoire de base (généralement, le répertoire personnel) (répertoire local ou
réseau)
 Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session,
mais pas lors du simple accès à une ressource partagée)
 Profil (localisation des fichiers de configuration de l'utilisateur)
 Place de l'utilisateur dans son organisation
 Groupes auxquels appartient l'utilisateur
 Informations de configuration Remote Access Service

 Informations de configuration de l'utilisateur pour les services Terminal Server
SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un

groupe d'utilisateurs au sein d'un domaine Windows 2003.
Exemple:
S-1-5-21-3292650235-2243138800-104724495-1005
Tout SID ayant été utilisé ne le sera jamais plus.
Les stratégies de groupes
Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer
de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux
ordinateurs d'un domaine.
Les possibilités offertes par les stratégies de groupes sont très larges:
 gestion de l'interface graphique,

 gestion des applications utilisables par les utilisateurs,
 installation d'applications,
 gestion des mises à jour,
 droits des utilisateurs,
 configuration automatique des applications,
 ...
Les profils
Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du

registre pour le paramètrage des applications) définissant l'environnement de travail d'un
utilisateur.
Par exemple, pour chaque utilisateur:
 son menu démarrer,

 son bureau,
 son dossier "Mes documents",
 son registre (fichier NTUser.dat):
o ses connexions réseaux, ses montages d'imprimante réseau,
o ses variables d'environnement (path, set, ...),
o ses définitions de couleurs, de police de caractères,...
o ses paramétrages logiciels,
o ...
 ...
Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le
répertoire "Documents and Settings", généralement dans un répertoire portant le nom de
l'utilisateur.
"Default User": Profil par défaut géré par le système et attribué par copie à chaque
utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une
machine. Le profil par défaut doit être configuré sur chaque poste client.
"All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées
communes du Menu démarrer, le bureau commun et la partie du registre commune à tous
les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par
l'administrateur.
Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui.
Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout
utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte.
-> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine
(accessible à toutes les machines du domaine).
 Lors de la connexion, téléchargement automatique du profil sur le poste client dans

le répertoire "Documents and settings".
 Utilisation du profil (avec ou sans modification) sur le poste client.
 Lors de la déconnexion, déchargement automatique du profil du poste client vers le
serveur.
 Conservation éventuelle du profil local en cache sur le poste client. Sinon,
effacement.
La sécurité: Les privilèges (droits)
Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur
permettant d'exécuter une action système.
Privilège attribué à un groupe
-> Automatiquement attribué à l’ensemble de ses membres.
A l'installation du système d'exploitation, attribution par le programme d'installation de

privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés.
Via les stratégies de groupes, les administrateurs pourront changer les privilèges des
groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent.
Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.
La sécurité: les autorisations
Autorisation: Autorisation d'accès à une ressource accordée par un administrateur à un

utilisateur ou un groupe d'utilisateurs.
 Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.
 Accès sécurisé pour les imprimantes.
 Accès sécurisé aux ressources réseau (fichiers, imprimantes, ...).
 Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution
d'ACLs..
Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il
possède généralement tous les droits sur cet objet).
Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus

globalement au niveau groupe d'utilisateurs).
Autorisations pouvant être attribuées par l'administrateur (simplifié):

Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers
qu'il contient ou qu'il contiendra lors de leur création):
 Aucun accès
 Lister
 Lire
 Ajouter
 Ajouter et lire
 Modifier
 Contrôle total
 Accès spécial à un répertoire…
 Accès spécial à un fichier…
Pour les fichiers
 Aucun accès
 Lire
 Modifier
 Contrôle total
 Accès spécial
Accès spéciaux:
 Lire
 Écrire
 Exécuter
 Effacer
 Changer les permissions
 Prendre possession
Contrôle total: toutes les permissions précédentes sont attribuées.
NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire
parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses
propres autorisations.
A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du

système d'exploitation aux groupes et utilisateurs intégrés -> sécurité minimale.
Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité

des objets.
Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions
du répertoire dans lequel il est placé (le créateur en est le propriétaire).
Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de

sécurité.
La sécurité: L'audit
Audit: Conservation d'une trace des événements détectés sur une machine.
A chaque événement, enregistrement d'une ligne de description dans l'un des journaux
d'événements.

Evénements pouvant être audités:
 Système (audit des activités du système d'exploitation)

 Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)
 Application (audit des applications et des services)
 Active Directory (spécifique aux DC)
 DNS (spécifique aux serveurs DNS)
 Réplication de fichiers (spécifique aux machines réplicatrices)
-> Autant de journaux différents.
Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les

dysfonctionnements éventuels soit hardware, soit software.
Journal sécurité: Audit des activités des utilisateurs.
Événements pouvant être audités dans le journal sécurité:
 Les ouvertures et fermeture de session

 Les accès aux fichiers et objets
 L'utilisation de ses droits par un utilisateur
 La gestion des utilisateurs et des groupes
 Les modifications de la stratégie de sécurité
 Les démarrages et arrêts du système
 Le suivi de processus
Par défaut, audit activé seulement pour les événements liés aux journaux Système,
Application, Active Directory, DNS et Réplication de fichiers.
La gestion des partitions et des systèmes de fichiers
Introduction du système de fichiers NTFS avec Windows NT 4.0.
Nécessaire à la gestion de la sécurité d'accès aux fichiers, à l'implantation de la

compression à la volée et à l'encryptage des données.
Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques
"dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques
en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité ->
disques RAID).
Gestion du système de fichiers FAT32 (Windows 98).
Gestion du système de fichiers FAT16.
Gestion des noms longs.
IV - INSTALLATION (TYPE SALLE TP)
L'installation de Windows 2003 Serveur débute par l'installation du système d'exploitation

lui-même (avec service pack et updates nécessaires).
Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit
déjà implantés au sein du système et donc directement utilisables après configuration, soit
non installés et donc nécessiteront l'installation de composants systèmes supplémentaires
qui eux aussi devront être configurés.
La configuration d'une machine en contrôleur de domaine est un exemple typique de ce
genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est
pas disponible par ailleurs.
Choix du système de fichier de la partition d'installation
Support de trois systèmes de fichiers reconnus:
 FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité
sur les fichiers, plus gourmand en espace, plus rapide
 FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows
98, pas de sécurité sur les fichiers
 NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers,
moins gourmand en espace, moins rapide
(1) Installation de Windows 2003 Server
Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant
(DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000).
Problème : accès aux fichiers d'installation.
Deux solutions :
 Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur
CD, lecteur réseau) de la machine d'installation fonctionnant sur un système
d'exploitation préexistant.
 Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine
disposant d'un lecteur CD bootable.
Première phase: Lancement du programme d'installation
 WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98

 WINNT32.EXE (32 bits) sous Windows NT ou 2000.
 Lancement direct avec l'utilisation d'un CD bootable
But :
 création (s'elle n'existe pas encore) de la partition d'installation,

 préparation de l'installation par recopie des fichiers d'installation sur le disque dur de
votre machine dans un répertoire temporaire,
 création d'un mini-NT bootable sur la partition d'installation.
Deuxième phase
Redémarrage de l'ordinateur
Travail en mode texte.
Renseignements concernant principalement le matériel présent sur la machine

d'installation.

 Installation de Windows 2003 Server -> ENTRÉE -> Installer Windows maintenant.
 Installation de Windows 2003 Server -> ENTRÉE -> Détection automatique des
périphériques de mémoire de masse.
 Installation de Windows 2003 Server -> ENTRÉE -> Pas d'autre périphérique. En cas
de matériel spécifique, on peut charger des pilotes logiciels spéciaux.
 Examen du contrat de licence puis F8.
 Installation de Windows 2003 Server -> N (s'il existe déjà un système) ou ENTRÉE
(sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilité d'effectuer
une mise à jour si un système préexistait.
 Installation dans la partition désirée. Utilisation d'une partition existante. Possibilité
de créer une partition s'il n'en existe pas.
 Choix du type de système de fichier (NTFS, FAT) pour cette partition à formater ou
non si elle existait déjà..
 Installer dans le répertoire \WINDOWS.
 ENTRÉE pour redémarrer la machine.
Troisième phase
Redémarrage en mode graphique.
Collecte des informations concernant la machine
 Donner vos coordonnées (nom et organisation).

 Indiquer le mode de licence client. Toute connexion avec un utilisateur requière
l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux
modes de licence client (Microsoft considère que les utilisateurs sont honnêtes et ont
acheté un nombre suffisant de licences client) :
o par serveur : On indique le nombre de licences disponibles sur le serveur et
donc le nombre maximum de connexions simultanées sur ce serveur. C'est le
mode de gestion des licences le plus simple, il s'accommode bien d'un site
pourvu d'un seul domaine et d'un seul serveur.
o par siège : Les licences sont associées aux utilisateurs. A chacun d'eux
correspond une licence. Ce mode de gestion de licence est utilisé dans les
environnements poly-serveurs ou poly-domaines.
 Donner le nom de votre machine. 15 caractères alphanumériques au maximum, pas
d'espace, pas d'accent, pas de ponctuation.
 Donner le mot de passe de l'administrateur.
Configuration du réseau
 Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est
capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée,
installer le pilote trouvé sur la disquette ou le CD fourni avec la carte.
 Demander l'installation du seul protocole TCP/IP.
Configuration du protocole réseau TCP/IP
 On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP
allouées de manière définitive.
 Configuration des paramètres du protocole TCP/IP.
o Adresse IP : xxx.xxx.xxx.xxx
o Masque de sous-réseau : yyy.yyy.yyy.yyy
o Gateway : zzz.zzz.zzz.zzz.zzz
o Nom de domaine : abcd.xyz
o Serveur DNS : aaa.aaa.aaa.aaa

Terminer l'installation.
 Fuseau horaire : Paris

 Installer la carte graphique détectée.
Dernière phase de l'installation
Redémarrer la machine
Après démarrage et ouverture de session administrateur, le gestionnaire de serveur est

lancé automatiquement proposant la réalisation des tâches suivant habituellement
l'installation initiale.
Les aspects concernés sont:
 l'installation et la gestion d'Active Directory Service

 la gestion de services de partage de fichiers
 la gestion de services de partage d'imprimantes
 la gestion de services Internet (ou Intranet)
 ...
INSTALLATION ACTIVE DIRECTORY
Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour
la gestion d'annuaires.
Il est utilisé pour toutes les tâches d'administration demandant une forte implantation
réseau et en particulier pour la création de domaines.
De base, ADS n'est pas installé sous Windows 2003. Au cours de son installation, un
domaine devra être défini. La machine d'installation pourra prendre différents rôles:

 premier contrôleur d'un nouveau domaine dans une nouvelle forêt,
 premier contrôleur d'un domaine enfant d'un domaine existant,
 premier contrôleur d'un nouveau domaine dans une forêt existante,
 contrôleur supplémentaire au sein d'un domaine existant.
Deux méthodes sont possibles pour installer Active Directory:
 Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les
questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour
un nouveau domaine dans une nouvelle forêt..
 Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler
tous les aspects de l'installation.
L'assistant "Gérer votre serveur"
Ajouter ou supprimer un rôle
Configuration par défaut pour un premier serveur.

Si "Configuration personnalisée" est choisi, bascule sur dcpromo.
ATTENTION, reboot réalisé automatiquement en cours d'installation.

Choix du nom du nouveau domaine (au format nom TCP/IP)
Choix du nom compatible NetBEUI

Choix d'un éventuel redirecteur DNS

Confirmation
-> Démarrage de l'installation

Reboot automatique
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)

Reprise de l'installation

Fin de l'installation
Contenu du journal "Configuration de votre serveur"

Utilisation de l'utilitaire dcpromo
Quelques définitions importantes
Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de
données Active Directory, participant à la réplication Active Directory et contrôlant l'accès
aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs,
l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire
à partir de n'importe quel contrôleur de domaine de la forêt.
Contrôleur de domaine supplémentaire

Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de
domaine participent de manière égale à la réplication Active Directory mais, par défaut, le
premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des
opérations à maître unique.
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé
immédiatement sous un autre nom de domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle
aussi de sous-domaine.
Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms
de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques
aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour
le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un
disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique.
Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut
organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des
relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu.
Plusieurs arborescences de domaine peuvent appartenir à la même forêt.
Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et
d'attribut (schéma), les mêmes informations relatives au site et à la réplication
(configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global).
Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.
Installation d'un nouveau domaine dans une nouvelle forêt

Début de l'installation d'Active Directory Service
Choix du type de contrôleur de domaine :

un nouveau contrôleur ou un contrôleur supplémentaire.
Ici, un contrôleur de domaine pour un nouveau domaine

Choix du type de domaine créé:
Nouveau domaine dans une nouvelle forêt.
nouveau domaine enfant dans une arborescence
de domaines existante dans une forêt existante,
nouveau domaine dans une nouvelle arborescence de domaine
au sein d'une forêt existante
Ici, un nouveau domaine dans une nouvelle forêt
Choix du nom du domaine créé (nom complet)

Choix du nom du domaine NetBIOS pour compatibilité
avec les versions antérieures de Windows
Emplacements de stockage des informations ADS

Alerte relative à l'absence d'un serveur DNS compatible
pour ce domaine
-> Installation de la machine en serveur DNS.

Toujours pour compatibilité
avec les anciennes versions de Windows
Définition du mot de passe administrateur

pour le redémarrage en mode restauration ADS

Résumé de l'installation demandée
Début de l'installation
Installation en cours
Début d'installation du service DNS

Fin d'installation de DNS

Fin d'installation d'ADS
Redémarrage de la machine
Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univ-

fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.
Suite : Configuration minimale du service DNS
Installation d'un contrôleur supplémentaire pour un domaine existant
Reprise de dcpromo avec choix d'un serveur supplémentaire

Authentification avec un compte administrateur du domaine d'insertion
Choix du domaine d'insertion

Choix de la localisation des fichiers et répertoires Active Directory
Choix de la localisation du volume Système d'Active Directory

Choix du mot de passe de restauration des services d'annuaire
Résumé de l'installation choisie puis installation

Les maîtres d'opérations
Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même
niveau du point de vue des charges d'administration et donc à l'indifférenciation des
contrôleurs
-> 5 opérations à maître unique:
 Contrôleur du schéma
 Maître d'attribution de noms de domaine
 Maître RID (ID relatives)
 Maître de l'émulateur PDC
 Maître d'infrastructure
Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine
fonctionne correctement.
Ces rôles peuvent être transférés entre contrôleurs.
 Contrôleur du schéma:
Outils d'administration "Schéma Active Directory"
 Maître d'attribution de noms de domaine:
Outils d'administration "Domaines et approbations Active Directory"
 Maître RID:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
 Maître de l'émulateur PDC:
 Maître d'infrastructure:

V - DNS et DDNS
Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour
l'implantation de serveurs DNS.
Après installation d'ADS et de DDNS, un certain nombre de nouveaux outils

d'administration sont disponibles dont l'administrateur DNS.

Le gestionnaire DNS
Les tâches à réaliser via cet outil sont:
 la configuration de la résolution directe nom IP -> adresse IP,

 la configuration de la résolution inverse adresse IP -> nom IP,
 l'intégration au sein du domaine univ-fcomte.fr par référenciation du où des serveurs
DNS de ce domaine qui seront contactés lorsqu'une résolution ne peut être conclue
localement.
En outre, le serveur de domaine telemaque, défini pour le domaine w2k3.univ-fcomte.fr,

devra être déclaré auprès de l'administrateur du domaine univ-fcomte.fr pour délégation
vers lui des requêtes qui concernent ses machines.
Un seul serveur DNS dont le nom est TELEMAQUE

Définition de zones de recherche directes
pour les résolution nom IP -> adresse IP
et de zones de recherche inverses
pour les résolutions adresse IP -> nom IP

Menu contextuel associé au serveur TELEMAQUE
Une zone de recherche directe définie pour le domaine

w2k3.univ-fcomte.fr, mais pas de zone inverse
Zone directe _msdsc.w2k3.univ-fcomte.fr créée
automatiquement et nécessaire pour que ce serveur DNS
soit utilisable pour un domaine Windows 2003
Evénements DNS enregistrés
dans le journal "Observateur d'événements"

Menu contextuel associé aux clefs
"zones de recherche directes" et
"zones de recherche inverses"
Configuration de w2k3.univ-fcomte.fr en zone directe
Menu contextuel associé à un domaine TCP/IP

en zone de recherche directe
Déclaration d'une nouvelle machine (hôte)

avec demande de création automatique du pointeur PTR associé

et autorisation du changement de l'adresse
associée à ce nom par DDNS
Warning car la zone inversée n'existe actuellement pas!
Si la zone inverse existait.
Résultat

Déclaration d'un nouvel alias
Etat après configuration
Configuration de la classe 172.20.128.xxx en zone inverse

Existence actuelle d'aucune zône inversée
Lancement de l'assistant de création de zone inverse

Création d'une zône principale intégrée à Active Directory
Choix de l'étendue de réplication de cette zône

Définition de l'ID réseau de cette zone
Choix du mode de mise à jour dynamique

Fin de l'assistant de création de zone inverse
DNS avec zone de recherche inverse

Menu contextuel associé
à une zone de recherche inverse
Création d'un nouveau pointeur

de zone de recherche inverse

Lors de la création d'un hôte de zone
de recherche directe, création simultanée
du pointeur associé en zone de recherche inverse
Configuration d'un serveur DNS redirecteur

Onglet Redirecteurs dans les propriétés
du serveur DNS TELEMAQUE
Reconfiguration des paramètres TCP/IP
Reconfiguration des paramètres TCP/IP

pour intégrer le 172.20.128.115 comme DNS principal
et w2k3.univ-fcomte.fr comme premier suffixe DNS
Etat du DNS après configuration complète
Zone de recherche directe

Zone de recherche inverse
Tests (nslookup)
S'assurer que TCP/IP est correctement configuré sur la machine de test (voir ci-avant).
Commande nslookup exécutée dans une invite de commande

tests nom IP -> adresse IP réussis pour des noms du domaine
tests nom IP -> adresse IP ratés pour des noms du domaine
test nom IP -> adresse IP réussi pour un alias du domaine

test nom IP -> adresse IP pour un nom quelconque
(noter le message "Reponse ne faisant pas autorite" qui s'explique
par le fait que le notre DNS et son redirecteur ne s'authentifient pas)
tests nom IP -> adresse IP réussis pour des noms complets
tests nom IP -> adresse IP ratés pour des noms complets
tests adresse IP -> nom IP réussis

pour des adresses renseignées dans les zones inversées du serveur

test adresse IP -> nom IP raté
pour des adresses renseignées dans les zones inversées du serveur
test adresse IP -> nom IP réussi pour des adresses quelconques
Éléments d'utilisation
L'ouverture de session
La combinaison de touches Ctrl - Alt - Suppr donne accès à la fenêtre d'ouverture de

session. Le nom d'utilisateur et le mot de passe associé doivent être indiqué. Il est aussi
nécessaire de choisir le domaine de connexion (celui du compte) parmi ceux proposés.
La fermeture de session
Quelle que soit la tâche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accès
à une fenêtre permettant d'initier la procédure de fermeture de session.
Le bureau Windows 2003 et ses composants
Il constitue l'environnement de travail et reprend la métaphore du bureau (type

Macintosh). Il est composé en version de base du logiciel Internet Explorer 6.0 qui assure
les fonctions d'interface utilisateur et de navigateur Internet.

Composants principaux :
 une barre donnant accès au menu démarrer, à des icônes d'applications lançables,
aux icônes des applications lancées réduites ou non, ...,
 des icônes cliquables qui représentent des raccourcis vers des composants du
système (l'utilisateur peut créer sur le bureau ses propres raccourcis donnant accès
à des documents ou des applications),

au poste de travail
 les fenêtres des applications lancées et non réduites.
Le menu démarrer
Il permet le lancement des applications installées.

Présence d'un groupe d'outils dédiés à l'administration de la machine.
Il peut être configuré par l'utilisateur pour contenir des icônes personnelles (Démarrer ->
Paramètres-> Barre des tâches et menu démarrer).

Description contenue dans le répertoire
D:\Documents and Settings\utilisateur
pour les différents utilisateurs.

Le poste de travail
Il donne accès à une visualisation sous forme d'icônes des unités, des répertoires et des
fichiers présents ou accessibles sur l'ordinateur local. Les unités sont affectées d'une lettre
de lecteur. Elles peuvent être de type :
 lecteur de disquette,
 disque dur,
 lecteur de CD Rom,
 répertoire réseau,
 disque amovible,
 ...
Le poste de travail donne aussi accès au panneau de configuration, aux documents de

l'utilisateur, aux favoris réseau de l'utilisateur et à l'accès réseau à distance.
L'icône "Favoris réseau"
Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses
ressources disponibles sur le réseau proposées par ces machines:
 imprimantes,
 répertoires partagés,
 utilisateurs,
 ...
Elle permet aussi de configurer des raccourcis réseau.

Favoris enregistrés

Tout le réseau
Le réseau Microsoft Windows (deux domaines ou workgroups détectés W2K3 et Odyssee)
Machines du domaine W2K3

La base de données Active Directory disponible sur la machine telemaque.w2k3.univ-
fcomte.fr
Le gestionnaire de tâches
Obtenu à partir de la combinaison de touches Ctrl – Alt – Suppr.
Il est composé de cinq onglets qui décrivent l'état du système du point de vue des tâches
en cours d'exécution.
(1) Description des applications lancées par l'utilisateur en session

Menu contextuel associé à une application
Noter la possibilité d'arrêter (quit) une application
Noter la possibilité de sélectionner le processus correspondant
à une application (voir onglet suivant)
(2) Liste des processus en cours d'exécution (tous les processus)

Menu contextuel associé à un processus
Noter la possibilité de terminer un processus (kill)
si les autorisations le permettent
Noter la possibilité de définir la priorité d'un processus (avec prudence)
Noter la possibilité de définir sur quel processeur un processus s'exécute
(3) Utilisation de la mémoire et du C.P.U.
Noter la présence de deux historiques d'utilisation de processeur

(2 processeurs virtuels sur un pentium IV hyperthreadé)
(4) Utilisation du réseau

(5) Utilisateurs en cours

Menu contextuel associé à un utilisateur
Noter la possibilité de fermer la session d'un utilisateur
Les fichiers système
Système stocké dans les répertoires \Winnt de l'unité system:
 \Winnt\Repair : fichiers de réparation

 \Winnt\System : fichiers système (compatibilité Windows 3.11, 95, 98)
 \Winnt\System32 : fichiers système 32 bits
 \Winnt\System32\config : une partie du registre

 \Winnt\System32\Dhcp : configuration et informations DHCP
 \Winnt\System32\Dns : configuration et informations DNS

 \Winnt\System32\Wins : configuration et informations WINS
Profils des utilisateurs sous \Documents and Settings
Installation des applications sous \Program files
Fichiers publiés sous IIS sous \Inetpub ou éventuellement ailleurs
Contenu des poubelles dans \Recycler sur chaque unité (la poubelle de chaque utilisateur
est le répertoire portant comme nom le SID de l'utilisateur)
Il peut être utile de créer un répertoire temporaire \temp
Registre (Registry) : Base de données décrivant la configuration du système.
Attention aux permissions sur l'ensemble de ces répertoires.

Les programmes d'installation les configurent de manière peut restrictive. Il est
difficile de supprimer quelque chose de véritablement important sans être
administrateur. En revanche, il est possible d'ajouter ou de remplacer.
LIMITER L'ACCES A LA CONSOLE.

VI - ADMINISTRATION
Informations preliminaries
Sites Internets
http://www.microsoft.com : Site Microsoft
http://www.windowsupdate.com : Site Microsoft pour la mise à jour des systèmes

d'exploitation
http://www.microsoftupdate.com : Site Microsoft pour la mise à jour des systèmes

d'exploitation et logiciels applicatifs
Livres
Microsoft Windows 2003 Resource Kit (environ 300€, 6 livres + 1 CD) :
 Planification et déploiement
 Administration des serveurs
 Architecture TCP/IP
 Internet Information Services
 Interopérabilité des réseaux
 Systèmes distribués
 Utilitaires logiciels:
o scopy
o addusers
o pviewer
ADMINISTRATION
(LE PANNEAU DE CONFIGURATION)
Le panneau de configuration
Il permet une partie de la configuration de l’ordinateur. Il est dédié aux paramétrages du

matériel et des logiciels installés localement.
L'affichage
IL réalise la configuration de l'affichage au sens:
 thème du bureau,
 motif ou image d'arrière plan du bureau,
 écran de veille,
 couleurs, iconographie,
 résolution, nombre de couleurs, vitesse de balayage,
 type de carte graphique et configuration de son pilote logiciel.

Thème du bureau

Image ou motif d'arrière plan
Personnalisation du bureau par Active Desktop
Economiseur d'écran

Look pour l'affichage
Résolution, nombre de plan de couleurs

Bouton "Avancé" à partir de l'onglet paramètres:
Configuration plus précise des paramètres d'affichage
(taille des polices utilisées,
résolutions gérées par la carte graphique,
fréquence de rafraichissement du moniteur, ...)
Ajout de matériel

Windows 2003 gère le plug'n'play.
-> Les cartes d'extension et les périphériques matériels sont automatiquement reconnus et
installés (ou retirées).
Problème: Les périphériques trop anciens ou trop récents peuvent ne pas être reconnus.
Problème: L'installation de nouveaux pilotes peut être nécessaire.
Problème: Le plug'n'play peut ne pas fonctionner correctement.
Problème: Un matériel peut ne pas fonctionner correctement.
Le panneau "Ajout/Suppression de matériel" permet de résoudre ces problèmes.

Test de la configuration matérielle de l'ordinateur

Tout est normal
Un pilote logiciel pose problème

Fin de l'assistant et bascule vers l'assistant
de mise à jour du matériel (pilotes)

Pas de solution sans CD de pilote
Ajout/Suppression de programmes
Il permet l'installation et la suppression de logiciels et de composants système sur

l'ordinateur.

Modification/désinstallation de programmes
Affichage ou non des mises à jour
Installation de nouveaux programmes

Installation/désinstallation
de composants du système d'exploitation
Composants système (services) disponibles
Autres services de fichiers

et d'impression en réseau

Services de mise en réseau
Serveur d'applications
Services Internet disponibles
Options d'alimentation
Il permet la gestion de l'énergie consommée par la machine et la gestion d'un onduleur.

Configuration de paramètres de gestion
et d'économie d'énergie
Configuration de paramètres avancés d'interface

Configuration de la mise en veille prolongée

Configuration de la gestion d'un onduleur
détection des coupures de courant,
arrêt automatique de la machine
en cas de panne de courant prolongée,
envoi d'alertes administratives
Panneau de configuration généralement
rendu inutile par le logiciel
fournit par le fabriquant d'onduleurs.
Options des dossiers
Configuration des options d'affichage et d'utilisation de Internet Expolorer en tant

qu'interface utilisateur.
Paramètres généraux

Paramètres d'affichage

Types de fichier associés aux extensions

Paramètres d'utilisation des fichiers hors connexion
Options Internet
Configuration des paramètres relatifs à l'accès à Internet au moyen de Internet Explorer et

des logiciels qui se configurent sur les paramètres de Internet Explorer.

Page de démarrage, paramètres de cache
et de gestion de l'historique des navigations
Bouton "Paramètres" de l'onglet "Général":

mode de vérification, localisation disque, taille
et contenu pour le cache

Onglet "Connexions": Paramètres de la connexion
Bouton "Paramètres réseau" de l'onglet "Connexion":

Configuration d'un serveur proxy
Bouton "Avancée...":
Configuration port par port et exclusions

Applications associées aux différents services Internet

Paramètres avancés.
Il peuvent être différents d'un système à un autre.
Date/Heure
Configuration de la date, de l'heure de la machine, du passage automatique à l'heure d'été

et du fuseau horaire si la référence horaire GMT est nécessaire.

Imprimantes
Configuration des Imprimantes (voir plus loin)
La gestion des licences sur Windows 2003 Server
Ce panneau permet le choix du mode de gestion des licences d'accès client ainsi que l'ajout
ou la suppression de licences d'accès client dans le mode par serveur.
Par Siège
Le mode de licence "Par siège" est la meilleure option si les clients utilisent fréquemment
plusieurs serveurs sur le réseau. Le mode de licence Par siège permet à tous les
ordinateurs du réseau d'accéder à tous les serveurs d'un réseau. Il n'y a aucune limite
quant au nombre de connexions simultanées, quel que soit le serveur. Par siège est le
mode de licence normal pour un produit serveur installé sur plusieurs serveurs d'un réseau.
Par Serveur
Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par tout au plus un sous-
ensemble des utilisateurs. Les connexions simultanées Par serveur à un serveur spécifique
sont allouées sur une base premier arrivé, premier servi et limitées au nombre de licences
d'accès client allouées au serveur. Cela peut s'avérer économique pour un réseau doté d'un
seul serveur ou pour un produit serveur accessible sur un serveur par un seul département
ou groupe d'une organisation. Une unique conversion en licence Par siège est autorisée.

Mode de gestion des licences pour la machine locale.
Ajour de nouvelles licences "Par serveur"
Suppression de licences "Par serveur"
Mises à jour automatiques
Il permet de choisir le mode de gestion des mises à jour automatiques du système sur le
site http://www.windowsupdate.com.

Trois possibilités d'actions si actif:
rien d'automatique,
téléchargement automatique
mais installation à la demande,
tout automatique
Sons et multimédia
Configuration des sons et des périphériques Multimédia utilisés par le système.
Configuration du volume
Configuration des sons en réponse à des événements
Choix des pilotes audio

Choix des pilotes utilisés pour la gestion de la voix
Pilotes installés

Connexions réseau
Il assure les opérations de configuration des paramètres réseau et/ou d'accès à distance
(modem).

Nouvelle connexion
Connexion au réseau local

Propriétés de la connexion locale:
Composants clients installés
Services installés,
Protocoles installés,...
Possibilité d'avoir un écho de cette fenêtre
dans la barre des tâches.
Installation de nouveaux composants réseau

(clients, services ou protocole)

Clients
Services

Protocoles
Propriétés du protocole TCP/IP:

Adresse IP et paramètres de base

Propriétés du protocole TCP/IP: Paramètres IP complets
Propriétés du protocole TCP/IP: Configuration DNS

Propriétés du protocole TCP/IP: Configuration WINS
Propriétés du protocole TCP/IP: Options de sécurité

Option de sécurité TCP/IP: Filtrage
Possibilité de configurer plusieurs adresses IP

ou passerelles par défaut
sur la même interface

Outils d'administration
Autres outils d'administration locale

mais aussi outils plus particulièrement dédiés
à l'administration des domaines (Voir plus loin)

Propriétés du système
(système d'exploitation,
références de l'installateur,
type de machine)

Identification réseau par un nom de machine
et une appartenance à un domaine
ou un groupe de travail.
Suivant le statut de la machine,
tous les changements sont possibles ou non
Configuration matérielle du système
Configuration avancée
Configuration avancée -> Performances -> Effets visuels

Configuration avancée -> Performances -> Avancé
Configuration avancée -> Performances

-> Avancé -> Mémoire virtuelle

Options de performances

Profils des utilisateurs
Démarrage et récupération

Variables d'environnement
Rapport d'erreurs

Mise à jour automatiques
Utilisation à distance

Tâches planifiées
Programmation de tâches (récurrentes ou non)
Fenêtre tâches planifiées
Création d'une nouvelle tâche

Choix du programme à exécuter
Choix de l'instant d'exécution

Paramètrage des différentes options horaires

Choix de l'utilisateur exécutant le programme
Création de la tâche planifiée

Résultat
Propriétés d'une tâche
Propriétés d'une tâche: Configuration horaire

Propriétés d'une tâche: Modalités de fonctionnement
Propriétés d'une tâche: Sécurité
Propriétés d'une tâche planifiée hebdomadaire
Propriétés avancées d'une tâche planifiée hebdomadaire

Résultat
Menu contextuel associé à une tâche planifiée
Résultat de la désactivation via l'utilisation des propriétés
Compatibilité avec la commande AT

Configuration de l'utilisateur exécutant
les commandes de la commande AT
Via invite de commande,

création et affichage des commandes
de la commande AT
Les commandes de la commande AT

apparaissent dans les tâches planifiées,
mais toute modification les transforme
en une commande classique.

Programmation au moyen de la commande schtasks
Liste des tâches planifiées
Programmation d'une tâche planifiée
Résultat

Noms et mots de passe utilisateurs
Pare-feu Windows
Autres panneaux de configuration
 Clavier
 Souris
 Options de modems
 Options d'accessibilité
 Options de jeu
 Scanneurs et appareils photo
 Options régionales
 Polices
 Panneaux installés par les applications (Java Plug-in, QuickTime, HP JetAdmin,
Symantec LiveUpdate, Recherche Accélérée, ODBC,...)
 ...
Administration
(L'explorateur et ses fonctions)
L’explorateur Windows 2003
L'explorateur Windows 2003 est l'outil de visualisation et de configuration des unités

déclarées sur la machine ("montées"): unités locales et unités réseau.
Les fonctionnalités assurées par l'explorateur sont constamment améliorées par Microsoft
et les éditeurs tiers. Son interface est celle d'Internet Explorer (en version 6 pour Windows
2003 et suivant les mises à jour effectuées après installation initiale).
Il permet la gestion de fichiers classique, mais son rôle va beaucoup plus loin :
 le parcours des répertoires montés sur une machine,

 le montage et démontage de répertoires réseau,
 l'affectation d'autorisations aux utilisateurs pour les unités, les répertoires et les
fichiers locaux et réseau via une opération de montage,
 le partage de répertoires sur le réseau et la configuration de la sécurité pour l'accès
réseau à ces répertoires,
 la configuration de l'audit sur les fichiers, les répertoires et les unités,
 l'appropriation des unités, répertoires et fichiers,
 ...

Ces quatre dernières opérations sont accessibles via l'option propriétés demandée sur un
objet soit par les menus soit par un clic du bouton droit de la souris.

Propriétés d’une unité
Un certain nombre d'onglets qui peuvent varier en fonction du type de système de fichiers
monté sur l'unité.
Général: Caractéristiques générales pour une partition FAT

Général: Caractéristiques générales pour une partition NTFS

Outils: Vérification, sauvegarde et défragmentation
Matériel: Périphériques de stockage présents sur le système

Partage: Partage sur le réseau pour la création
d'une ressource réseau (voir plus loin)
Sécurité: Configuration de la sécurité

(utilisable si l'unité est formatée en NTFS)

Clichés instantanés: Configuration et utilisation
Quota: Configuration de quotas d'espace disque

disponible aux utilisateurs sur cette unité

Exécution automatique pour les lecteurs amovibles
Configuration des autorisations sur une unité
Attribuées aux groupes d'utilisateurs ou aux utilisateurs
 pour les répertoires contenus (récursivement ou non),

 pour les fichiers contenus
pour peu que l'unité soit formattée en NTFS.

Fenêtre générique de gestion de la sécurité

Accès aux options avancées de gestion de la sécurité:
Autorisations (Permissions), Audit, Propriétaire

Choix de un ou plusieurs utilisateurs
ou groupes d'utilisateurs

Fenêtres de recherche avancée
et de choix des types d'objets recherchés
Affectation des autorisations

Portée de l'affectation d'autorisations
Autorisations possibles sur les unités
Audit de l'accès à une unité

Vérous d'audit possibles
Résultat

Propriétaire et appropriation d'une unité
Autorisations effectives sur une unité
Lorsque beaucoup d'autorisations sont placées sur une unité, il peut être difficile de savoir
les autorisations effectives dont disposera un utilisateur ou un groupe d'utilisateurs. En
effet, celui-ci peut appartenir à plusieurs groupes référencés et obtiendra l'autorisation la
plus "permissive" parmi toutes celles qui lui réfèrent.
L'onglet "Autorisations effectives" résoud ce problème car il permet de visualiser les
autorisations qui s'appliquent à une unité pour un utuilisateur ou un groupe d'utilisateurs
partculier.

Propriétés d’un répertoire

Général: Propriétés générales
Partage: Configuration d'un répertoire partagé

pour la création d'une ressource réseau (voir plus loin)

Sécurité: Permissions sur le répertoire
(ici, elles sont héritées du répertoire parent)
Personnaliser: Configuration des paramètres d'affichage
Configuration des permissions sur un répertoire
Possibilités identiques aux permissions sur une unité.

Sécurités avancées
Permissions héritées du répertoire parent

Autorisations possibles sur les répertoires
Configuration de l'audit sur un répertoire
Possibilités identiques à l'audit sur une unité.
Propriétés d’un fichier
Général: Caractéristiques générales

Sécurité: Paramétres de sécurité

Résumé: Résumé du fichier (si disponible)
Résumé -> Avancé: Résumé avancé du fichier (si disponible)
Configuration des autorisations sur un fichier

Sécurités avancées
Affectation d’autorisations
(en grisé car hérité)
Autorisations possibles sur les fichiers

Après affectation de permissions
au groupe Utilisateurs authentifiés
Configuration de l'audit sur un fichier
Possibilités identiques à l'audit sur un répertoire.
Partage d’une unité ou d'un répertoire
Cette opération propose une unité ou un répertoire en accès aux autres machines du
réseau:
 L'administrateur devra choisir un nom de ressource partagée.

En outre, elle permet la configuration de la sécurité d'accès à la ressource par
l'intermédiaire d'autorisations aux utilisateurs ou aux groupes d'utilisateurs:
 L'administrateur devra attribuer ces autorisations d'accès via le réseau.
Ces autorisations "doublonnent" avec celles des fichiers et répertoires auxquelles un

partage donne accés.
La raison de existence de ce doublon est qu'un partage peut être créé sur une unité
formattée en FAT et que les autorisations associées au partage permettront d'apporter la
sécurité à son accés. Il s"agit aussi d'un héritage de LanManager.
Répertoire non partagé

Partage réalisé avec pour nom PartageTest.
La ressource réseau a le nom \\TELEMAQUE\Utilisateurs.
TELEMAQUE est le nom du serveur.
Il peut aussi être désigné par telemaque.w2k3.univ-fcomte.fr
Icones des unités et répertoires partagés

Autorisations pour le partage (accès via le réseau)

Partage par défaut des unités locales
et autorisations sur ce partage
Création d'un nouveau partage

lorsqu'un partage existe déja
Création d'un partage masqué

(son nom se termine par un caractère $,
il est non visualisé sur le réseau)
Montage d’un répertoire réseau
Cette opération déclare sur une machine une nouvelle unité et lui attribue une lettre de
lecteur parmi celles disponibles. Cette unité sera en réalité un répertoire ou une unité d'une
autre machine, partagé par cette machine et utilisé comme une unité locale.

Fenêtre de connexion
Choix de la lettre de lecteur attribuée en local

Choix du chemin d'accès réseau (en convention UNC)
par recherche ou en le tapant directement

Choix de l'utilisateur se connectant (en convention UNC),
et indication de son mot de passe
Convention UNC pour un nom de ressource réseau:
 \\machine_serveur\nom_ressource
Convention UNC pour un nom d'utilisateur:
 nom_utilisateur si on accède à une machine de son domaine de connexion,

 nom_domaine\nom_utilisateur si on accède à une machine d'un autre domaine.
Fenêtre juste avant validation

Poste de travail avec une unité réseau montée
Icones d'une unité réseau
Démontage d’un répertoire réseau
Cette fonction permet de supprimer une unité réseau d'une machine sans, bien entendu, la
détruire sur la machine source (suppression d'une déclaration).

Opérations diverses de l'explorateur
 Recherche multi-critères
Recherche générale
Localisation recherche

Options de recherche

Préférences de recherche
 Formatage (unité, disquette, disque extractible, ...)
Fenêtre de formatage
Systèmes de fichiers connus (partition)

Tailles des unités d'allocation sur le disque
Warning formatage
Formatage en cours
Formatage terminé
 Compression à la volée

Demande de la compression à la volée
via les propriétés d'une unité
(cela marche aussi pour les répertoires ou les fichiers)
Compression récursive ou non
Résultat de la compression d'un fichier

gain de presque 79% sur ce fichier

ADMINISTRATION
(LA MICROSOFT MANAGEMENT CONSOLE, LA MMC)
La Microsoft Management Console (MMC) est le programme via lequel une grande partie
des tâches d'administration de Windows 2003 sont réalisées.
Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC,
permettant de réaliser telle ou telle configuration dédiée à telle ou telle fonctionnalité. Les
divers outils d'administration sont implantés via ces snap-in, procurant une uniformité de
leurs interfaces utilisateur.
L'exécutable correspondant est MMC.EXE. Il est installé au sein du système d'exploitation.

Lancé seul, il ouvre une MMC vide.
Lancement MMC
Une MMC vide

Le snap-in "gestionnaire d'ordinateur"
La zone gauche donne accès à l'arborescence des éléments de configuration du snap-in. La

zone de droite permet de réaliser la configuration souhaitée sur l'élément sélectionné.
Le menu Fichier

Ajout d'un Composant logiciel enfichable (snap-in)
Bouton Ajouter pour choisir le composant souhaité
Choix du type de composant

Liste des composants

Choix de la localisation gérée par le composant
(ici, un ordinateur du domaine)

Autre choix de localisation gérée par le composant
(ici, une parmi les stratégies de sécurité du domaine)

Nouveau contenu de la MMC

Résultats dans la MMC
Une MMC avec plusieurs composants différents

ouverts sur plusieurs localisations

Sauvegarde d'une console
Enregistrer
Résultat dans le poste de travail

ADMINISTRATION
(LA GESTION DES UTILISATEURS, L'APPROBATION ENTRE DOMAINES)
La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du

domaine
Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des
ordinateurs d'un domaine (il leur est attribué un compte):
 création,
 destruction,
 propriétés,
 ...
Interface générale
Groupes créés à l'installation

Utilisateurs et groupes d'utilisateurs du domaine
Contrôleurs de domaine du domaine

(PENELOPE a été ajouté en contrôleur supplémentaire)
Ordinateurs du domaine
Menus contextuels associés aux clés ADS
Utilisateurs
et Ordinateurs
Active Directory
Domaine
Builtin
Users

Création d’un nouvel utilisateur
Défini par son nom (unique).
Choix des paramètres de création:

nom de login Windows 2000 (obligatoire),
nom de login de compatibilité NetBIOS,
nom détaillé
Choix des paramètres de création:

mot de passe (obligatoire),
obligation ou non de changer le mot de passe
à la prochaine ouverture de session,
interdiction ou non de changement de mot de passe,
pas d'expiration du mot de passe
même en cas de limite de validité temporelle,
compte désactivé ou non
Menu contextuel associé à un utilisateur
Changement du mot de passe d'un utilisateur
Réinitialisation du mot de passe
Propriétés d’un utilisateur

Adresse postale

Principales propriétés du compte
Options configurables

Horaire d'accès
Stations d'accès

Configuration du profil

Numéros téléphoniques de l'utilisateur
Implantation hiérarchique de l'utilisateur

dans son entreprise
Groupes d'appartenance de l'utilisateur

Contrôle à distance des paramètres Terminal Server

Profil utilisateur en cas d'utilisation
de Terminal Server
Paramètres d'accès entrant RAS ou VPN

Démarrage des services Terminal Server
Time out Terminal Server
Création d’un groupe

Création d'un nouveau groupe:
défini par son nom (unique),
défini sur le domaine local ou globalement,
groupe de sécurité ou de distribution
Résultat
Menu contextuel associé à un groupe

Propriétés générales d'un groupe
Propriétés d'un groupe: Membres

Propriétés d'un groupe:
Groupes dont il est membre

Propriétés d'un groupe:
Utilisateur gestionnaire
Ajout de l'utilisateur "Einstein" dans le groupe "Physiciens"
Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur

Création d'un répertoire destiné à héberger
les répertoires de base et les profils itinérants

Partage de ce répertoire (sous le nom Users) et configuration
des autorisations sur le répertoire et sur le partage
Résultat du partage
Configuration de l'utilisateur concerné

dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs

Possibilité d'utiliser la variable d'environnement
%USERNAME% pour désigner un utilisateur
Le gestionnaire des utilisateurs

crée lui-même le répertoire de base
et lui affecte les permissions en limitant
l'accès au seul administrateur et à l'utilisateur

Montage automatique du répertoire de base en unité Z:
Configuration de l'unité Z:
en unité implicite pour les programmes
Après la première ouverture puis fermeture de session,

le profil de l'utilisateur est sauvegardé
dans le répertoire profils.

Le profil est obtenu par copie du profil
"Default User" de la première machine cliente.
Accès restreint au seul utilisateur
Après fermeture de session, maintient "en cache"

de l'ancien profil dans le répertoire
"Documents and Settings" du poste client
Affectation d'un script d'ouverture de session

Configuration de l'utilisateur concerné
dans l'onglet profil de ses propriétés
au sein du gestionnaire des utilisateurs
Localisation des scripts dans le répertoire

\WINNT\SYSVOL\domain\scripts
Contenu du script Begin.cmd

Résultat à l'ouverture de session de l'utilisateur
Création d’un nouvel ordinateur
Défini par son nom (unique).

Création de l'ordinateur
Possibilité de le déclarer en tant que machine
à système prè Windows 2000 ou non
Possibilité de le déclarer en tant que controleur supplémentaire
ou en tant que membre simple

Résultat
Création d’un groupe d'ordinateurs
Création d'un nouveau groupe "classique"
Ajout des ordinateurs ARGOS et ULYSSE

Résultat
Maitres d'opérations (opérations à maître unique)
Via l'option "Maîtres d'opérations" sur une clé de domaine
Configuration du maître des ID relatives
Configuration du maître d'émulation PDC

Configuration du maître d'infrastructure
L’approbation entre domaines
Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du

domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra
utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre
l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela
peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les
machines du domaine B comme s'il était connecté sur une machine de son propre domaine
(connexions automatiques, profil itinérant, ...).
L'établissement d'une relation d'approbation met en jeu la participation des administrateurs

du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra
approuver A.
L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et

transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec
domaine d'une autre forêt) ne sont ni commutatives, ni transitives.

Menu contextuel associé à la clé
"Domaines et approbations Active Directory"
Menu contextuel associé à un domaine référencé
Propriétés d'un domaine référencé

Après installation initiale, un domaine Windows 2000
est configuré en mode mixte,
i.e. il interopère avec les domaines
des versions antérieures de Windows
Autres domaines approuvés

Autres domaines qui vous approucvent
Pour l'instant, rien nul part

Création d'une relation d'approbation
Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient
autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).
 S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés
pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de
communication correctement configuré, résolution de noms fonctionnelle).
 Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO,
configurer une autorisation d'approbation (attribution d'un mot de passe) pour le
domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).

Approbation préparée du coté Windows NT 4.0
 Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univ-

fcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication
du mot de passe créé à cette intention).

Aucune relation d'approbation établie
Lancement de l'assistant de création d'une nouvelle approbation
Indication du domaine cible

Sens de l'approbation (bidirectionnelle, entrante ou sortante)
Niveau d'authentification

Indication du mot de passe de la relation d'approbation
Confirmation de la création de la relation d'approbation

Relation d'approbation créée -> Configuration
Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation

de l'approbation fonctionne.
Confirmation de l'approbation sortante

Confirmation de l'approbation entrante
Approbation configurée et fonctionnelle dans les deux sens

Information
Nouvel état des relations d'approbation
Propriétés et validation d'une relation d'approbation
Propriétés générales

Demande de validation
Validation effectuée
Authentification

Utilisations d'une relation d'approbation
 Ouverture de session de travail sur des machines d'autres domaines comme si

ces machines appartenaient au domaine natif du compte
 Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres

domaines
Affectation d'autorisations sur un répertoire
Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs

Deux domaines reconnus comme emplacement
Recherche dans le domaine IUP_INFO

Utilisation du bouton "Avancé..." pour visualiser
les utilisateurs eu groupes d'utilisateurs possibles
Choix de l'administrateur du domaine IUP_INFO

IUP_INFO\Administrateur dans la liste des autorisations
Maitre d'opérations (Opération à maître unique)
Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
Configuration du maître d'attribution des noms de domaine

Administration
(Les stratégies de groupe)
Les stratégies de groupe
Une stratégie de groupe est un ensemble d'éléments de configuration de Windows (sous

différentes versions et service pack) et de logiciels s'appliquant à des ordinateurs, des
utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines
actions ou de configurer des paramètres d'utilisation.
Les stratégies sont organisées:
- avec une gestion de priorité,
- avec la possibilité de ne pas définir tel ou tel élément pour que cet élément soit pris en
compte dans une stratégie moins prioritaire.
Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000,
2003 ou XP non contrôleur de domaine.
Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie
concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine.
Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine
concernant toutes les machines Windows 2000, 2003 ou XP Professionnel.
Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus
prioritaire.
Un administrateur pourra créer des stratégies de groupe à destination d'ordinateurs,

d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les
stratégies par défaut.
Toutes les modifications réalisées sont automatiquement déployées sur le domaine en

temps réel.
Les outils d'administration proposent un raccourcis vers un sous-ensemble de chacune des

stratégies du domaine dédié à la gestion de la sécurité. Ces sous-ensemble sont appelés
"stratégie de sécurité".
Les trois stratégies de sécurité du domaine
Stratégie de sécurité locale
Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un
sous-ensemble de la stratégie de groupe locale.
Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du
compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des
droits utilisateur, les agents de récupération pour les données cryptées et d'autres options
de sécurité.
La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows
2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est
membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du
domaine.
La colonne paramétres de sécurité indique la valeur appliquée sur la machine. L'icone

indique que cette valeur est issue de la stratégie locale et est donc modifiable localement.
L'icone indique une valeur issue d'une stratégie déployée sur le domaine et n'est donc
pas modifiable localement car les stratégies de domaine sont prioritaires.
Stratégie de mot de passe

Définition des paramètres de validité des comptes d'utilisateur:
gestion d'un historique des mots de passe pour empêcher la frappe
du même mot de passe à chaque changement,
durée maximale d'un mot de passe avant changement obligatoire,
durée minimale du mot de passe,
complexité du mot de passe,
longueur minimale des mots de passe,
cryptage

Historique de mémorisation des mots de passe
(non modifiable localement)
Durée maximale d'un mot de passe


Complexité des mot de passe
Longueur minimale du mot de passe

Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses

Stratégie d'audit
Lancement de l'audit sur certains événements:
la gestion des utilisateurs et des groupes,
l'ouverture et la fermeture de session,
l'accès aux fichiers et objets,
l'ouverture et la fermeture de session,
l'utilisation de ses droits par un utilisateur,
les arrêt et démarrage du système,
l'utilisation de ses droits par un utilisateur,
...

Stratégie locale après modification
Droits des utilisateurs

Après l'installation du système,
droits par défaut attribués aux groupes d'utilisateurs prédéfinis,

leurs autorisant tel ou tel privilège.
Extension ou restriction possible de ces droits
Utilisateurs autorisés à arrêter le système

Changement de la liste des utilisateurs autorisés
à ouvrir une session localement sur cette machine

Options de sécurité
Ne pas afficher le nom du dernier utilisateur

ayant ouvert une session de travail
Stratégie de sécurité des contrôleurs de domaine
Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il
s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.
Contenu de la stratégie des contrôleurs de domaine

Stratégie Kerberos
Stratégie de sécurité du domaine
Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sous-
ensemble de la stratégie de groupe du domaine par défaut.
Contenu de la stratégie du domaine
Stratégie Kerberos
Accès aux stratégies de groupe du domaine
Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée
et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.

Aucun composant présent. Demander ajouter
Dans l'outil MMC demander l'ajout d'un composant logiciel enfichable.

Choisir un composant de type "Editeur d'objets de stratégie de groupe"

Demander Parcourir

Ajout des deux stratégies par défaut du domaine
Pas de stratégie site

Ajout de la stratégie locale

Ajout des stratégies locales
des autres machines du domaine penelope et ulysse
Onglet "Tous" pour un accès directe à toutes les stratégies accessibles

Résultat des sélections

Résultat dans la MMC
Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine
Lancement de l'outil d'administration "Utilisateurs et ordinateurs Active Directory"
Accès aux propriétés de l'entrée

portant le nom d'un domaine

Etat initial

Création d'une stratégie
Etat après création de la stratégie "Test Policy".

Stratégie la moins prioritaire

Nouvel ordre des stratégies de groupe obtenu après configuration
de la nouvelle stratégie en stratégie la plus prioritaire
Options de cette stratégie
Menu contextuel associé à une stratégie

Propriétés générales d'une stratégie
Désactivation possible des parties Ordinateur et/ou Utilisateur
de cette stratégie
Liaisons sur cette stratégie entre sites,

domaines et unité organisationnelles

Sécurité de cette stratégie (valeurs initiales)
Filtre WMI de cette stratégie
Pour qu'une stratégie s'applique à un utilisateur, un groupe d'utilisateurs ou un ordinateur,

les sécurités doivent être placées en "Lire" et en "Appliquer la stratégie de groupe" sur ces
entités et uniquement sur elles.

Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des utilisateurs Einstein et Bohr

Préférable de travailler avec des groupes d'utilisateurs

Suppression de l'entrée "Utilisateurs authentifiés"
Ajout des ordinateurs ARGOS et ULYSSE

Préférable de travailler avec des groupes d'ordinateurs
Ouverture de la stratégie dans la MMC

via un double-clic
Quelques manipulations utiles
 Création d'une stratégie de groupe pour l'administrateur du domaine lui autorisant

toutes les actions
 Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les
machines Windows 2000 ou 2003 Server
 Limitation de la taille du profil des utilisateurs
 Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage
 Paramétrage de la stratégie de gestion des mots de passe

Administration
(La gestion des imprimantes)
La gestion des imprimantes ,
Installation d’une imprimante
Panneau de configuration Imprimantes

Propriétés du serveur
A la suite d’"Ajout d’imprimantes"

Choix du type de connexion
(directe via cable, réseau, ...
ou sur un serveur d'impression)

Désignation du port de connexion
(physique (local), réseau, ...)
Choix du type d'imprimante

(connu ou driver fourni sur disquette ou CD).

Choix du nom local de l'imprimante.
Choix entre une imprimante partagée ou non partagée.
Demande de l'impression d'une page de test.

Fin de l'installation
Installation d’une imprimante avec pilote sur support

Choix d'un pilote sur disque fourni
Choix du pilote HP1200 Postscript

Choix d'une imprimante Apple
Deux imprimantes installées
Installation d’une imprimante sur port TCP/IP

Dans la fenêtre de choix du port

Désignation de l'imprimante par son adresse IP

...
Panneau Imprimantes après installation
Etat d'une imprimante
7 colonnes: Nom du document, état du document, propriétaire, nombre de pages, tailles

traitée et totale, heure et date de soumission, port de connexion.
Partage d'une imprimante
Menu contextuel associé à une imprimante
Après sélection de l'imprimante concernée, on demande l'entrée "Partager".
Choix d'un nom de partage et référence

de ce partage dans Active Directory
L'imprimante est disponible en accès réseau.
 Choix du nom de l'imprimante sur le réseau.

 Les pilotes sont automatiquement téléchargés du serveur vers les clients quand
ceux-ci y accèdent. Si le client n'est pas une machine Windows 2000, l'installation
préalable sur le serveur des pilotes adaptés au système client est nécessaire (bouton
"Pilotes supplémentaires...") (disquette de pilote ou CD d'installation du système
cible souvent nécessaire).
Avant et après installation

Panneau Imprimantes après partage
Connexion à une imprimante distante partagée
Choix d'une imprimante réseau

lors de l'installation d'une nouvelle imprimante.

Recherche de l'imprimante
Recherche de l'imprimante dans Active Directory

Indication directe du nom de l'imprimante
Laisser le champ vide et cliquer sur suivant
Browsing sur le réseau

Via le vosinage réseau
Imprimante réseau montée
Propriétés d'une imprimante

Propriétés générales
Partage

Port de connexion

Propriétés avancées
Sécurité
Sécurité avancée

Autorisations possibles

Audit
Propriétaire
Paramètres du périphérique

ADMINISTRATION
(LA GESTION DE L'ORDINATEUR, LES SERVICES, L'OBSERVATEUR
D'ÉVÉNEMENTS)
La gestion de l'ordinateur
Le gestionnaire d'ordinateur prend en charge un certain nombre des options de

configuration locales de l'ordinateur.
Trois entrées principales:

Outils sytème, stockage et services et applications

Observateur d'événements:
Equivalent à l'outil de configuration
"Observateur d'événements"
Dossiers partagés de l'ordinateur,

leur utilisateurs et les fichiers ouverts
Gestion des périphériques matériels

et des pilotes logiciels associés

La défragmentation des unités
Gestion des disques

Services
Configuration du service d'indexation

Configuration des services Internet

Configuration du service DNS
Les services
Cet outil permet d'administrer les services (tâches de fond) fonctionnant localement sur
l'ordinateur.
Fenêtre générale
Description de chaque service

Etat de chaque service:
état, type de démarrage, compte d'exécution
Menu contextuel associé à un service

Option grisée si l'opération est impossible
Propriétés générales d'un service:

Description, exécutable (avec chemin d'accès),
type de démarrage, état de fonctionnement

Propriété d'un service:
Compte de démarrage
Action de récupération en cas de problème

Services dont il dépend,
services qui dépendent de lui
L'observateur d'événements
Il collecte les événements intervenant sur une machine:
 application,
 sécurité,
 système,
 Directory Service (si contrôleur),
 DNS Server (si serveur DNS),
 réplication de fichiers (si contrôleur)
Trois classes d'événements:
 les informations (icône bleue),

 les avertissements (icône jaune),
 les erreurs (icône rouge).

Menu contextuel associé à l'observateur d'événements

Menu contextuel associé à un journal
Menu contextuel associé à un événement
Journal application

Journal sécurité
Journal système
Journal Diectory Service

Journal DNS Server
Journal Service de réplication de fichiers
Certains événements sont audités par défaut. Pour d'autres, il faut demander explicitement
la détection

Un événement Information du journal Application
Un événement Erreur du journal Système

Propriété d'un journal:
Taille maximale du journal,
mode opératoire quand la taille maximale est atteinte
Propriété d'un journal:

Filtrage de l'affichage sur le type, la source,
la catégorie, l'ID, l'utilisateur, l'ordinateur, l'heure, ...

Outils de gestion des disques
Propriétés d'une unité
L'onglet "Outils" donne accès

à trois outils de gestion des disques
Vérification
C'est cet outil qui réalisera l'opération CHKDSK (Check disk) pour vérifier la cohérence de
la table d'allocation des fichiers sur une unité et éventuellement rechercher les secteurs
défectueux.
L'unité doit être disponible pour un usage exclusif faute de quoi la vérification devra être
programmée pour une exécution au prochain démarrage du système.

Sauvegarde et restauration
Cet outil permet d'effectuer soit une sauvegarde, soit une restauration de tout ou partie
d'une ou de plusieurs unités, soit encore de sauvegarder un système entier en vue d'en
permettre la restauration à l'identique.

Menu tâches
Menu Outils
La sauvegarde
Interface de l'assistant de sauvegarde

Sélection de l'ensemble des informations à sauvegarder
Sélection du média de stockage
(ici pas de média à bande installé -> uniquement fichier)

Choix d'une sauvegarde complète de l'unité système

Au démarrage de la sauvegarde,
choix des options de sauvegarde
Après confirmation,
examen de la bande présente dans le lecteur.
Calcul du nombre de fichiers et de leur taille totale

Début sauvegarde
Sauvegarde en cours

Sauvegarde de l'état du système
Sauvegarde terminée

Rapport de sauvegarde
La restauration

Interface de l'assistant de restauration
Visualisation et catalogue des bandes (aucune ici)
et fichiers backup connus
Possibilité de charger d'autres bandes ou d'autres fichiers

et d'en dresser le catalogue

Choix des répertoires et/ou fichiers à restaurer
(restauration partielle)

Choix des répertoires et/ou fichiers à restaurer
(restauration total y compris l'état du système)
Fenêtre de lancement de la restauration
Fenêtre de définition des options avancées

de la restauration

Début de la restauration
Restauration en cours
Restauration terminée

Rapport de restauration
Trois options pour la localisation des fichiers restaurés
A l'emplacement d'origine
avec la même arborescence de répertoires
A un autre emplacement
avec la même arborescence de répertoires

A plat à un autre emplacement
Planification
Planification d'une opération de sauvegarde

Création d'une opération sous la forme d'une tâche planifiée
Choix de ce qui est sauvegardé

Choix de l'emplacement de la sauvegarde
Choix du type de sauvegarde

Options de sauvegarde
Options de sauvegarde

Planification
Acquittement final
Résultat de la création de la tâche de sauvegarde planifiée
Résultat de la création de la tâche de sauvegarde

dans le panneau "Tâches planifiées"

Propriétés de cette tâche
J:\WINDOWS\system32\ntbackup.exe backup "@J:\Documents and

Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows
NT\NTBackup\data\Sauvegarde.bks" /a /d "Jeu créé le 31/07/2006 à 17:09"
/v:no /r:no /rs:no /hc:off /m normal /j "Sauvegarde" /l:s /f "D:\Backup01.bkf"
Ligne de commande réellement exécutée
Sauvegarde et restauration sur bande

Installation à chaud d'un lecteur de bande 4mm DAT
sur carte SCSI (ajout et retrait possible)
Apparition d'une entrée 4mm DDS dans l'interface de NTBackup

Détection automatique des bandes introduites
Une bande importée contenant déjà des jeux de sauvegarde
Menu contextuel associé à une bande

Catalogage de la bande
Bande cataloguée utilisable pour une restauration

Effacement de la bande
Sélection pour une sauvegarde
Sauvegarde amorcée

Sauvegarde en cours

Sauvegarde terminée
Défragmentation
Cet outil permet d'effectuer une défragmentation d'une unité de manière à réorganiser les
fichiers pour en rendre l'exploitation plus rapide.

État initial
Phase d'analyse

J: (partition système) est à défragmenter

Défragmentation en cours

Défragmentation terminée avec affichage d'un rapport
L'administration des disques
L'administration des disques durs, lecteurs de CDRom et des disques amovibles (clés USB,
ZIP, JAZZ, ...) de la machine locale recouvre les opérations suivantes:
 gestion des disques, partitions et volumes,

 formatage,
 déclaration d’unités,
 …
Disque de base
Disque physique auquel peuvent accéder MS-DOS et tous les systèmes d'exploitation
Windows. Les disques de base peuvent contenir jusqu'à quatre partitions principales, ou
trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Si vous
souhaitez créer des partitions fractionnées sur plusieurs disques, vous devez d'abord
convertir le disque de base en disque dynamique grâce au composant Gestion des disques
ou à l'utilitaire de ligne de commande Diskpart.exe.
Disque dynamique
Disque physique auquel seuls Windows 2000 et Windows XP. peuvent accéder. Les disques
dynamiques fournissent des fonctionnalités que les disques de base n'offrent pas, telle que
la prise en charge des volumes fractionnés sur plusieurs disques. Les disques dynamiques
utilisent une base de données cachée pour conserver les informations relatives aux
volumes dynamiques sur le disque et aux autres disques dynamiques de l'ordinateur. Vous
pouvez convertir des disques de base en disques dynamiques grâce au composant Gestion
de disques ou à l'utilitaire de ligne de commande DiskPart. Lors de la conversion d'un
disque de base en disque dynamique, tous les volumes de base existants deviennent des
volumes dynamiques.
Partition
Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque
physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui
assigner une lettre de lecteur avant de pouvoir y stocker des données.
Sur les disques de base, les partitions sont appelées des volumes de base, qui peuvent être
des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les
partitions sont appelées des volumes dynamiques qui peuvent être simples, fractionnés,
agrégés par bande, en miroir ou RAID-5.
Partition principale
Type de partition que vous pouvez créer sur les disques de base. Une partition principale
est une partie de l'espace disque physique qui fonctionne comme un disque physiquement
indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer
jusqu'à quatre partitions principales ou trois partitions principales et une partition étendue
avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu'à
128 partitions principales. Les partitions principales sont également appelées volumes.

Partition étendue
Type de partition que vous pouvez uniquement créer sur les disques d'enregistrement de
démarrage principal (MBR, Master Boot Record) de base. Utilisez une partition étendue si
vous souhaitez disposer de plus de quatre volumes sur votre disque MBR de base.
Contrairement aux partitions principales, vous ne formatez pas une partition étendue avec
un système de fichiers en lui attribuant ensuite une lettre de lecteur. Il faut à la place créer
un ou plusieurs lecteurs logiques au sein de la partition étendue. Après avoir créé un
lecteur logique, vous le formatez et lui assignez une lettre de lecteur. Les disques MBR de
base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et
une partition étendue avec plusieurs lecteurs logiques.
Partition active
Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit
être une partition principale d'un disque de base. Si vous utilisez exclusivement Windows,
la partition active peut être la même que celle du volume système.
Partition système
Partition qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
La partition système peut être la même que la partition d'amorçage, mais pas
nécessairement.
Partition d'amorçage
Partition qui contient des fichiers propres au matériel qui sont indispensables au
chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition
d'amorçage peut être la même que la partition système, mais pas nécessairement.
Volume
Zone de stockage d'un disque dur. Un volume est formaté conformément à un système de
fichiers (notamment FAT ou NTFS) et se voit attribuer une lettre de lecteur. Vous pouvez
aussi afficher le contenu d'un volume en cliquant sur son icône dans l'Explorateur Windows
ou Poste de travail. Un disque dur peut comporter plusieurs volumes et les volumes
peuvent s'étendre de manière fractionnée sur plusieurs disques.
Volume de base
Partition principale ou lecteur logique résidant sur un disque de base.
Volume dynamique
Volume qui réside sur un disque dynamique. Windows prend en charge cinq types de
volumes dynamiques : simple, fractionné, agrégé par bandes, en miroir, et RAID-5. Un
volume dynamique est formaté en utilisant un système de fichiers, tel que FAT ou NTFS.
Une lettre de lecteur lui est attribuée.
Volume actif
Volume de démarrage de l'ordinateur. Le volume actif doit être un volume simple d'un
disque dynamique. Vous ne pouvez pas activer un volume dynamique existant mais vous
parvenez par compte à activer un disque de base contenant la partition active. Une fois le
disque activé et devenu dynamique, la partition devient un volume simple actif.
Volume système
Volume qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
Le volume système peut être le même que le volume d'amorçage (mais pas
nécessairement).
Volume d'amorçage
Volume contenant les fichiers spécifiques à la plate-forme matérielle qui sont requis pour
charger Windows sur des ordinateurs de type x86 dotés d'un BIOS. Le volume d'amorçage
peut être le même que le volume système (mais pas nécessairement).
Volume simple
Volume dynamique constitué de l'espace disque d'un seul disque dynamique. Un volume
simple peut être constitué d'une seule région d'un disque ou de plusieurs régions du même
disque, liées entre elles. Vous pouvez étendre un volume simple au sein du même disque
ou sur des disques supplémentaires. Si vous étendez un volume simple sur plusieurs
disques, il devient un volume fractionné. Vous pouvez créer des volumes simples
uniquement sur des disques dynamiques. Les volumes simples ne sont pas tolérants aux
pannes, mais vous pouvez les configurer de manière à créer des volumes en miroir.
Volume fractionné
Volume dynamique constitué d'espace disque réparti sur plusieurs disques physiques. Vous
pouvez augmenter la taille d'un volume fractionné en l'étendant sur des disques
dynamiques supplémentaires. Vous pouvez créer des volumes fractionnés uniquement sur
des disques dynamiques. Les volumes fractionnés ne sont pas tolérants aux pannes et ne
peuvent pas être mis en miroir.
Volume en miroir
Volume à tolérance de pannes qui duplique les données sur deux disques physiques. Un
volume en miroir assure la redondance des données à l'aide de deux volumes identiques,
qui sont appelés miroirs, pour dupliquer les informations contenues dans le volume. Le
miroir se trouve toujours sur un disque différent. En cas de défaillance d'un des disques
physiques, les données qu'il contient ne sont plus disponibles, mais le système continue de
fonctionner sur le miroir du disque restant. Vous pouvez créer des volumes miroir
uniquement sur des disques dynamiques.
Volume agrégé par bandes
Volume dont les données sont agrégées par bandes de façon intermittente sur deux
disques physiques ou davantage. Vous ne pouvez créer des volumes agrégés par bandes
que sur des disques dynamiques. Il n'est pas possible de créer des volumes agrégés par
bandes étendus ou en miroir.
Volume RAID-5
Volume à tolérance de pannes dont les données et la parité sont agrégées par bandes de
façon intermittente sur trois disques physiques ou davantage. La parité est une valeur
calculée qui permet de reconstituer des données après une défaillance. Si une partie d'un
disque physique présente une défaillance, Windows restaure les données de la partie
endommagée grâce aux données restantes et au contrôle de parité. Vous ne pouvez créer

des volumes RAID-5 que sur des disques dynamiques et il n'est pas possible de créer des
volumes RAID-5 étendus ou en miroir.
La gestion des disques est assurée via la clef "Gestion des disques" de l'outil "Gestion de
l'ordinateur".
Ici, les quatre disques durs sont des disques de base.

C: est la partition d'amorçage et la partition système.
La petite partition de 39 Mo contient les paramètres
de configuration EISA (non accessibles) créée par le programme
d'installation Compaq sur ce serveur de type ML330G2.
W: est la lettre d'unité attribuée au lecteur de CD.

Menus contextuels sur la clef Gestion des Disques
"Analyser les disques de nouveau": Prise en compte
toute modification hexogène apportée aux disques
(mise en place ou retrait d'un disque hot-plug,
cessation de fonctionnement, ...)
Graphique
Volumes
Disques
Affichages possibles
Noter les codes couleurs pour les types de volume
Noter les colonnes dans l'affichage des volume:
lettre d'unité, type de partition, type de disque,
système de fichiers, état,
capacité totale, capacité restante, % libre,
tolérant aux pannes?, % d'espace perdu
Noter les colonnes dans l'affichage des disques:
quel disque?, type de disque,
capacité totale, capacité restante,
disponibilité, type d'interface, type de partition
Création d'une partition principale sur un disque de base
Sélectionner une zone libre sur un disque de base (C:).

Choix du type de partition

Définition de la taille de la partition
Attribution d'une lettre

pour création d'une nouvelle unité

Formatage
Confirmation
Formatage en cours
Résultat final
Création d'une partition étendue sur un disque de base

Définition de la taille de la partition
Confirmation

Résultat final
Création d'un lecteur logique dans une partition étendue
Menu contextuel

Définition de la taille du lecteur logique

Attribution d'une lettre
pour création d'une nouvelle unité
Formatage

Confirmation

Résultat final
Conversion disque de base -> disque dynamique
Sélection des trois disques
Menu contextuel obtenu

par clic droit sur un disque de base
Conversion préalable des 3 disques SCSI vides

(pas de confirmation)
Après conversion, ces disques sont toujours vides. La mise à niveau inverse vers le type
"disque de base" est possible.

Conversion du disque qui contient le système d'exploitation
et d'autres partitions vides
Informations sur le disque mis à niveau
Warning
Warning
Reboot obligatoire car la partition système à été convertie

Résultat final
Partitions principales et lecteurs logiques
transformées en volumes simples
Systèmes de fichiers inchangés
Pas de modification quant au poste de travail
La mise à niveau inverse de disque dynamique vers disque de base n'est pas possible pour
les disques non vides.
Menu contextuel sur un disque dynamique

Bug d'affichage?!, "Nouveau nom..." crée un nouveau volume
Importation: Montage de disques provenant d'autres ordinateurs
non montées automatiquement
Réactivation: Remise en état de volumes redondant
ayant été détectés comme présentant des problèmes
Menu contextuel sur une zone vide d'un disque dynamique

Bug d'affichage?!, Nouveau nom... crée un nouveau volume
Extension de volumes simples et fractionnés

Extension impossible du volume système
Extension du volume D: sur un autre disque
Définition du disque et de la taille d'extension

Confirmation
Résultat final
Volume simple transformé en volume fractionné
Résultat final après une nouvelle extension sur le disque originel
Création d'un volume simple

Choix du disque et de la taille du volume

Choix de la lettre d'unité affectée
Formatage

Confirmation
Formatage en cours

Résultat final
Création directe d'un volume fractionné

Sélection des disques concernés
et de la taille affectée sur chaque disque

Formatage
Confirmation

Formatage en cours
Résultat final

Résultat final dans l'explorateur
Mise en miroir d'un volume simple
Choix de l'autre disque sur lequel effectuer

la mise en miroir du volume E:

Synchronisation en cours du miroir
Résultat final
Création directe d'un volume en miroir

Choix des deux disques concernés et de la taille du miroir

Formatage
Confirmation

Synchronisation en cours du miroir
Résultat final

Création d'un volume agrégé par bandes
Choix des disques (deux minimums) concernés

et de la taille affectée (identique) sur chacun d'eux

Formatage

Confirmation
Formatage en cours

Résultat final

Création d'un volume RAID-5 sur 3 disques
Choix des disques (trois minimum) concernés

Noter la taille totale du volume généré: 1/3 de perte d'espace

Formatage

Confirmation
Formatage en cours

Résultat final
Création d'un volume RAID-5 sur 4 disques
Choix des quatre disques concernés

Noter la taille totale du volume généré: 1/4 de perte d'espace

Formatage

Confirmation

Résultat final
Tolérance aux pannes (retrait et remise en ligne d'un disque)
Le disque 3 est retiré serveur éteint puis la machine est remise en route.
Disparition du disque I:
Maintient en utilisation de tous les autres disques
Un événement "Erreur" et trois événements "Avertissement"
dans le journal "Système"
Une erreur liée à l'impossibilité de démarrer le volume I:

Trois avertissements liés à la disparition de la redondance
sur les volumes H:, J: et K: tout en en laissant le contenu
accessible
Disque 3 manquant
Le volume en miroir et les deux volumes RAID-5
en échec de redondance mais utilisables

Le disque 3 d'origine est replacé dans le serveur éteint puis la machine est remise en
route.
Disque reconnu, agrégat par bandes remonté,

mais volumes redondant non correctement réinstallés
quoique encore utilisables
-> Réactivation des disques

Resynchronisation des volumes redondants

Résultat final

Événements enregistrés dans le journal Système
Début de resynchronisation

Fin de resynchronisation
Propriétés d'un disque
Propriétés d'ordre général

Gestion du cache d'écriture associé au disque
Volumes présents sur ce disque exclusivement ou non

Pilote associé au disque
Menus contextuels associés aux volumes sur disque dynamique
Volume système

Volume simple
Volume fractionné
Volume en miroir

Volume agrégé par bandes
Volume RAID-5
Formatage d'une partition principale, d'un lecteur logique ou d'un volume
Formatage FAT, FAT32 ou NTFS
Systèmes de fichiers

Tailles d'unité
d'allocation
Affectation d'une lettre de lecteur
Menu contextuel sur un volume quelconque
L'administrateur peut choisir la lettre de lecteur affectée à une unité.
Affectation d'une autre lettre d'unité

Lettres
possibles
Avant
Après
Suppression d'une lettre de lecteur
Une unité formatée pourra ne pas avoir de lettre de lecteur sans pour cela perdre son
contenu. Celui-ci n'est visible ni par les utilisateurs, ni même par l'administrateur.

Warning avant suppression
Résultat dans l'explorateur
Résultat dans le gestionnaire de disque

Montage d'un volume en tant que répertoire
Un volume peut être monté pour voir sa racine remplacer un répertoire particulier.
Création du répertoire cible
Ajout d'un chemin d'accès pour l'unité F:

Résultat
Dans l'explorateur
Montage multiple
Un volume peut être monté plusieurs fois soit comme unité, soit comme répertoire au sein
d'une arborescence de répertoires.

Une lettre d'unité et deux montages dans un répertoire
Résultat
Deux accès dans l'explorateur

Administration
(La gestion des profils d'utilisateurs, le gestionnaire de licence,
l'éditeur du registre)
La gestion des profils d'utilisateurs
Profil de l'utilisateur en cours de session stocké sous \Documents and Settings.
Outre ce profil, on trouve dans ce répertoire tous les profils d'autres utilisateurs qui
n'auraient pas été supprimés, ainsi que les profils All Users et Default User.
Profil d'un utilisateur composé de deux parties :
 une partie commune à tous les utilisateurs (non modifiable) stockée dans le
répertoire \Documents and Settings\All Users,
 une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un
répertoire portant le non de l'utilisateur sous \Documents and Settings.
Existence d'un profil prédéfini à l'installation:
 "Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en
possédant encore aucun (Attribution réalisée par création d'une copie)
Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient.
Profil errant (ou itinérant):
1. téléchargé sur le réseau vers le poste client depuis un serveur lors de l'ouverture de
session d'un utilisateur,
2. installé sur le poste client,
3. utilisé sur le poste client (éventuellement modifié si l'utilisateur en possède le droit),
4. déchargé depuis le poste client vers le serveur à la fermeture de session.
Profil local: Profil stocké uniquement localement
Profil en cache: Profil errant resté sur un poste client après fermeture de session
(éventuellement réutilisable sur ce même poste). Configuration possible d'une commande
d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en
cache.
Attribution d'un profil personnel errant à un utilisateur U travaillant sur plusieurs machines:

 Partager un répertoire du serveur en contrôle total pour U.
 Indiquer explicitement au moyen du gestionnaire d'utilisateurs que U possède un
profil situé sur cette ressource.
 Créer dans le répertoire partagé pour U un profil par copie d'un autre profil. Si cette
copie n'est pas faite, lors de sa première ouverture de session, U se vera attribué
par copie le profil Default User du poste client de connexion.
Sur une machine possèdant un administrateur local et héritant d'un administrateur de

domaine, existence de deux profils Administrateur:
 un pour l'administrateur du domaine,

 l'autre pour l'administrateur de la station.
Le profil d'un utilisateur
Profil de l'administrateur
Bureau: Contenu du bureau
Cookies: cookies de l'administrateur
Favoris: favoris de l'administrateur
Menu Démarrer: menu démarrer de l'administrateur
NTUSER.dat: partie de registre de l'administrateur
...

!!! Bureau d'un utilisateur contenu dans son profil
Le profil All Users
Un bureau, des documents, des favoris,

un menu démarrer, ..., mais il manque certains
fichiers personnels (NTUser.dat)
Les utilisateurs recoivent l'union de leur profil personnel et du profil "All Users". Ceci
concerne en particulier le bureau, les documents, les favoris et le menu démarrer.

Menu démarrer attribué
à tous les utilisateurs
Menu démarrer spécifique à l'administrateur
Résultat
Outils d'administration spécifiques à l'administrateur

Outils d'administration de "All users"

via menu démarrer "Programmes",
intégration des racourcis
de l'administrateur
via panneau de configuration
Le profil Default User
Un profil complet

Le gestionnaire de licences
Définitions (Documentation Microsoft)
Mode de licence "Par périphérique ou Par utilisateur ": Mode de licence qui requiert
une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque
périphérique ou utilisateur qui a accès à un serveur exécutant Windows Server 2003, quel
que soit le nombre de connexions simultanées.
Le mode de licence "Par périphérique ou Par utilisateur" est la meilleure option si vos
clients utilisent fréquemment plusieurs serveurs sur le réseau.
Mode de licence "Par serveur": Mode de licence qui requiert une licence d'accès client
d'utilisateur ou de périphérique distincte pour chaque connexion simultanée qui a accès à
un serveur exécutant Windows Server 2003.
Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par pas plus d'un sous-
ensemble de vos utilisateurs.
Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau
de configuration "Licences":
 gestion des licences centralisée pour l'ensemble d'un domaine:

o création,
o destruction,
o historique des actions,
o ...,
 gestion d'autres licences que les seules licences d'accès client Windows Serveur
(produits Microsoft),
 obtention de statistiques d'utilisation,
 ...
Menus

Historique des achats sur le domaine
Licences achetées et allouées au cours du temps

sur ce domaine dans les deux modes de gestion

Clients répertoriés sur le domaine
Explorateur de serveur pour accéder

aux configurations particulières
des serveurs de licences
Propriétés demandées sur une licence logicielle gérée

Clients répertoriés en mode de licence
"Par périphérique ou Par utilisateur"
sur cette machine pour les licences d'accès client
Historique des achats sur cette machine

pour les licences d'accès client
Nombres de licences accès client

achetées sur l'ensemble des machines du domaine
et accès à ces machines

Installation de nouvelles licences
Fenêtre de déclaration de nouvelles licences
Fenêtre de Warning associée à la déclaration

de nouvelles licences
Résultat

Suppression de licences
Choix du mode de licence sur un serveur
Un serveur de licence est sélectionné.

Le changement est possible uniquement dans le sens
mode par siège vers mode par serveur
Révocation d'un utilisateur dans le cas du mode de licence par siège
Dépassement du nombre de licences autorisées

Dans l'onglet "Clients par siège"
des propriétés du type de licence concerné,
utilisation du bouton révocation
pour récupérer la licence d'accès client
Acquitement

Résultat
L'éditeur du registre
L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée
appelé "Registre".
Les programmes Regedit.exe et Regedt32.exe sont les mêmes. Ils donnent un accès direct
à ces données.
ATTENTION: Ces applications sont à utiliser de manière extrêmement prudente car les
actions réalisées sont irréversibles.

ATTENTION: Faute d'une configuration contraire, l'utilisation de ces outils est autorisée
aux utilisateurs (dans la limite des autorisations placées sur les informations renseignées).
Pour une machine, organisation arborescente de l'information dans 5 arbres:
 HKEY_LOCAL_MACHINE: Configuration globale de la machine

 HKEY_CURRENT_CONFIG: Configuration du profil matériel actuellement utilisé
 HKEY_USERS: Configuration des utilisateurs possédant un profil local
 HKEY_CURRENT_USER: Configuration de l'utilisateur en cours de session
 HKEY_CLASSES_ROOT: Configuration de l'environnement d'utilisation de la machine
(associations extensions-applications, ...)
Il existe 5 types de valeur:
 REG_BINARY: Donnée "champ d'octets"

 REG_DWORD: Donnée numérique sur 4 octets
 REG_EXPAND_SZ: Chaîne de longueur variable
 REG_MULTI_SZ: Chaîne multiple
 REG_SZ: Chaîne de longueur fixe
Les clés des arborescences sont affichées à gauche, les valeurs à droite. Les menus sont
contextuels, variant en fonction des clefs ou valeurs sélectionnées.
Les clés et valeurs peuvent être renommées. Les valeurs peuvent être modifiées (en
particulier après création).

Menu "Fichier":
Ouverture/Fermeture du registre d'un ordinateur distant,
sauvegarde de clefs ou de sous-arbres,
restauration à partir de sauvegarde
Menu édition:
ajout ou suppression de clés ou de valeurs,
autorisations, recherches, ...
Menu contextuel associé à l'une des 5 clés majeures

Menu contextuel associé à une clé
Menu contextuel associé à une valeur
Modification d'une clé
Modification d'une clé de type chaine de caractères

Modification d'une clé de type valeur binaire
Modification d'une clé de type valeur DWORD
Modification d'une clé de type chaines multiples

Modification d'une clé de type chaine extensible
Sauvegarde/Restauration des clefs
Regedit autorise la sauvegarde/restauration (exportation/importation) des clés du registre

et des valeurs qu'elles contiennent dans des fichiers .reg.
Exportation d'une clé

Fichier résultat
Avant restauration
Restauration

Après restauration
Fichier .reg
Les autorisations, l'audit, l'appropriation sur les clés
Ne s'applique qu'aux clés et aux valeurs qu'elles contiennent et pas directement aux
valeurs.
Autorisations sur une clé

Autorisations avancées:
Autorisations, audit, propriétaire
Autorisations possibles

Audit
Vérous d'audit possibles

Propriétaire

Administration
(L'administration à distance, l'administration Active Directory)
L'administration à distance
Joindre un ordinateur à un domaine
L'administration distante nécessite le regroupement des ordinateurs en domaine.
Les machines Windows XP Pro, 2000 Pro ne pourront intégrer un domaine qu'en tant que
membre simple. Les opérations d'authentification qu'elles réaliseront seront sous-traitées à
un contrôleur du domaine.
Une machine Windows 2000 Server ou 2003 Serveur pourra être intégrée dans un domaine
de deux manières:
 En tant que serveur simple, elle est gérée comme une machine Windows membre
simple mais peut posséder un certain nombre des fonctionnalités de Windows 2000
ou 2003 Serveur (IIS par exemple).
 En tant que contrôleur de domaine supplémentaire, elle fait fonctionner Active
Directory Service pour stocker une copie de la base de donnée de gestion du
domaine et est capable de réaliser des authentifications et toutes les tâches d'un
contrôleur.
Joindre une machine membre simple à un domaine
Onglet "Identification" ou "Nom de l'ordinateur"

du panneau de configuration "Système"
Ulysse membre du Workgroup WK

Modification.
Intégration de l'ordinateur ulysse

au domaine Windows 2003 w2k3.univ-fcomte.fr

Authentification de l'adjonction
par un administrateur du domaine
Acquittement
Redémarrage

Résultat dans le gestionnaire des Utilisateurs
et Ordinateurs Active Directory:
Computers contient une machine de plus.
Menu contextuel associé au membre simple ulysse
Propriétés d'un membre simple:


Système d'exploitation

Rôle au sein du domaine

Emplacement

Appel entrant
Joindre un contrôleur supplémentaire à un domaine
Voir le chapitre idoine dans la page WEB configuration Active Directory
Résultat dans le gestionnaire des Utilisateurs

et Ordinateurs Active Directory:
Domain Controllers contient une machine de plus.

au controleur supplémentaire
Propriétés du controleur supplémentaire:


Système d'exploitation

Rôle au sein du domaine

Emplacement


Appel entrant

Administration à distance via la MMC
Windows 2003 permet l'administration à distance sur les machines d'un domaine.
Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité
qu'offrent fréquemment les composants logiciels enfichables de la MMC de se connecter sur
une machine distante pour l'administrer totalement ou partiellement comme s'il s'agissait
de la machine locale.
Choix du composant logiciel enfichable à joindre
Composant "Dossiers partagés"

Composant "Services"
Composant "Gestion des disques"
Choix de l'hôte à joindre pour le composant

Résultat dans la MMC
Accès à distance aux partages

de penelope.w2k3.univ-fcomte.fr

Accès à distance à la gestion des disques
de ulysse.w2k3.univ-fcomte.fr
Accès à distance aux services

de telemaque.w2k3.univ-fcomte.fr
(présenté comme local car exécuté sur telemaque)

Possibilité de créer des fichiers MSC
pour accéder de nouveau aux composants cibles
Fichiers MSC déplaçables

Snap In.msc exécuté depuis penelope
("Dossiers partagés" devenu local,
"Services" devenu affecté à telemaque)

Mêmes les machines non contrôleur de domaine peuvent être utilisées pour l'administration
à distance pour peu que les composants logiciels enfichables nécessaires soient installés et
que le compte utilisé possède les droits adéquats. L'installation de ces composants est
réalisée via le programme adminpak.exe (et sa mise à jour WindowsServer2003-
KB304718-AdministrationToolsPack.exe) compatible Windows 2003, Windows 2000 et
Windows XP (avec services pack).
Liste des composants logiciels enfichables

Administration à distance via la ligne de commandes
L'administration Active Directory
La délégation de contrôle
Les objets Active Directory peuvent voir leur contrôle délégué.

Administration
(Les commandes au clavier)
Commandes de gestion des fichiers
 attrib Gestion des attributs lecture seule, archive, système et masqué assignés aux
fichiers ou aux répertoires
 cd (chdir) Gestion du dossier en cours
 comp Comparaison octet par octet du contenu de deux fichiers ou de groupes de

fichiers
 copy Copie d'un ou plusieurs fichiers à partir d'un répertoire dans un autre
 del (erase) Suppression de fichiers
 dir Affichage de la liste des fichiers et des sous-répertoires d'un répertoire
 fc Comparaison de deux fichiers et affichage leurs différences
 find Recherche d'une chaîne de texte déterminée dans un ou plusieurs fichiers
 findstr Recherche de structures de texte dans des fichiers à l'aide d'expressions

régulières
 md (mkdir) Création d'un répertoire ou sous-répertoire

 more Affichage un écran de sortie à la fois
 move Transfert d'un ou plusieurs fichiers d'un répertoire vers un autre
 rd (rmdir) Suppression d'un répertoire
 ren (rename) Modification du nom d'un fichier ou d'un groupe de fichiers
 replace Remplacement des fichiers du répertoire de destination par les fichiers du

répertoire source portant le même nom
 tree Affichage graphique de l'arborescence des répertoires d'un chemin d'accès ou

du disque placé dans un lecteur
 type Affichage du contenu d'un fichier texte
 where Recherche et affichage de tous les fichiers correspondant au paramètre donné

(recherche effectuée dans le répertoire actif et dans la variable d'environnement
PATH)
 xcopy Copie de fichiers et de répertoires, sous-répertoires compris
Commandes de gestion des partitions
 chkdsk Création et affichage d'un rapport sur l'état d'un disque donné en fonction du
système de fichiers
 chkntfs Affichage ou spécification de si la vérification automatique du système est

programmée pour être exécutée sur un volume FAT, FAT32 ou NTFS au prochain
démarrage de l'ordinateur
 compact Affichage et modification de la compression des fichiers ou des répertoires

dans les partitions NTFS
 convert Convertion des volumes FAT et FAT32 en NTFS en conservant les fichiers et
les dossiers existants intacts (conversion inverse impossible)
 defrag Localisation et regroupement des dossiers, des fichiers de données et des

fichiers de démarrage fragmentés sur des volumes locaux
 diskpart Gestion des disques, partitions ou volumes (fonctionnement en interpréteur

de commandes)
 format Formatage du disque du volume spécifié afin qu'il puisse recevoir des fichiers
 label Création, changement ou suppression du nom de volume d'un disque
Commandes de gestion des autorisations et de l'appropriation
 cacls Affichage ou modification des listes DACL (Discretionary Access Control List)
pour des fichiers spécifiés
 takeown Permet à un administrateur de s'autoriser l'accès à un fichier qui lui était

précédemment refusé en s'en faisant le propriétaire

La commande net
 net accounts Mise à jour la base de données des comptes d'utilisateurs
 net computer Ajout ou suppression d'ordinateurs dans une base de données de

domaine
 net file Affichage du noms de tous les fichiers partagés ouverts sur un serveur et, le
cas échéant, du nombre de verrous sur chaque fichier.
Fermeture des fichiers partagés individuels et suppression des verrous de fichier
 net group Ajout, affichage ou modification des groupes globaux dans des domaines
 net help Affichage de l'aide de la commande net
 net helpmsg Explication de la raison pour laquelle une erreur s'est produite et
fourniture des informations pour la résolution du problème
 net localgroup Ajout, affichage ou modification des groupes locaux
 net print Affichage des informations sur une file d'attente d'impression ou une tâche
d'impression spécifique, ou contrôle d'une tâche d'impression donnée
 net send Envoi de messages à d'autres utilisateurs, ordinateurs ou noms de

messagerie sur le réseau
 net session Gestion des connexions à un serveur
 net share Gestion des ressources partagées
 net statistics Affichage du journal des statistiques des services "Station de travail" ou
"Serveur" locaux ou bien des services en cours d'exécution pour lesquels des
statistiques sont disponibles
 net time Synchronisation de l'horloge de l'ordinateur avec celle d'un autre ordinateur
ou d'un domaine
 net use Connexion ou déconnexion d'un ordinateur à une ressource partagée, ou

affichage des informations relatives aux connexions de l'ordinateur
 net user Ajout ou modification des comptes d'utilisateurs ou affichage des

informations relatives aux comptes d'utilisateurs
 net view Affichage de la liste des domaines, des ordinateurs ou des ressources
partagées par l'ordinateur spécifié
Les commandes at et schtasks
 at Programmation de l'exécution de commandes et de programmes sur un

ordinateur aux date et heure spécifiées (utilisation possible de la commande at si le
service "Planning" est en cours d'exécution)
 schtasks Planification de l'exécution périodique ou à heure spécifique des

commandes et des programmes
Ajout et suppression des tâches de la planification
Démarrage et interruption des tâches à la demande
Affichage et de modification des tâches planifiées
at : commande de planification des versions antérieures de Windows

schtasks : remplacement de at et amélioration en particulier par la gestion des
autorisations
La commande sc
Commandes de gestion des processus
 runas Exécution des outils et des programmes avec des autorisations différentes de
celles attribuées à l'ouverture de session
 shutdown Arrêt ou de redémarrage local ou à distance
 taskkill Suppression d'un ou plusieurs processus ou tâches
 tasklist Affichage de la liste des processus en cours d'exécution sur un ordinateur

local ou distant
La commande ntbackup
Sauvegarde de fichiers, répertoires, unités et systèmes

Pas de restauration possible en ligne de commande
La commande ntdsutil
Outil de ligne de commande de gestion des domaines pour Active Directory:
 maintenance de la base de données Active Directory,

 gestion et contrôle des opérations à maître unique,
 gestion et contrôle des SID,
 suppression des métadonnées provenant de contrôleurs de domaine ayant été
supprimés du réseau sans procédure de désinstallation appropriée,
 ...
Utilisation réservée aux administrateurs expérimentés.
La commande whoami
Renvoi du nom de domaine, du nom d'ordinateur, du nom d'utilisateur, des noms de

groupes, de l'identificateur d'ouverture de session et des privilèges de l'utilisateur
actuellement connecté

Résultat d'exécution de "whoami /all"
Commandes de gestion du service d'annuaire
 dsadd Ajout d'objets à l'annuaire
 dsget Affichage des propriétés des objets de l'annuaire
 dsmod Modification des attributs spécifiques d'un objet de l'annuaire
 dsquery Recherche d'objets dans l'annuaire correspondant à un critère de recherche
 dsmove Déplacement d'un objet de son emplacement actuel vers un nouvel

emplacement parent
 dsrm Suppression d'un objet, de toute la sous-arborescence d'un objet de l'annuaire

ou des deux
La commande systeminfo
Affichage des informations relatives au système matériel et logiciel
Commandes TCP/IP
 arp Affichage et modification des entrées du cache ARP (Address Resolution

Protocol), qui contient une ou plusieurs tables permettant de stocker les adresses IP
et leurs adresses physiques Ethernet ou Token Ring résolues

 finger Affichage d'informations sur un ou plusieurs utilisateurs sur un ordinateur
distant spécifié (généralement un ordinateur sous UNIX)
 ftp Transfert de fichiers vers et depuis un ordinateur exécutant un service de serveur

FTP (File Transfer Protocol)
 hostname Affichage du nom d'hôte inclus dans le nom complet de l'ordinateur
 ipconfig Affichage de toutes les valeurs actuelles de la configuration TCP/IP
 lpq Affichage de l'état d'une file d'attente d'impression sur un ordinateur exécutant
LPD (Line Printer Daemon)
 lpr Envoi d'un fichier vers un ordinateur exécutant LPD (Line Printer Daemon) en vue
de son impression
 nbtstat Affichage des statistiques du protocole NetBIOS sur TCP/IP (NetBT), des
tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants
ainsi que du cache de noms NetBIOS
 netstat Affichage des connexions TCP actives, des ports sur lesquels l'ordinateur
procède à l'écoute, de la table de routage IP ainsi que des statistiques Ethernet, IPv4
(pour les protocoles IP, ICMP, TCP et UDP) et IPv6 (pour les protocoles IPv6,
ICMPv6, TCP sur IPv6 et UDP sur IPv6)
 nslookup Réalisation de résolutions de noms et affichage d'informations permettant

d'établir un diagnostic de l'infrastructure DNS (Domain Name System).
 ping Vérification de la connectivité de niveau IP avec un autre ordinateur TCP/IP par

envoi de messages ICMP (Internet Control Message Protocol) de requête d'écho
 rcp Copie de fichiers depuis et vers un système exécutant rshd (service de shell
distant) (pas d'implémentation de rshd sous les systèmes d'exploitation Windows)
 rexec Exécution de commandes sur un ordinateur distant non Windows fournissant le

service (démon) Rexec
 route Affichage et modification des entrées dans la table de routage IP locale
 rsh Exécution de commandes sur des ordinateurs distants utilisant le service ou

démon RSH
 tftp Transfert de fichiers depuis et vers un ordinateur distant (en général sous UNIX)
exécutant le service ou le démon TFTP (Trivial File Transfer Protocol)
 tracert Détermination de l'itinéraire menant à une destination par la transmission de

messages ICMP (Internet Control Message Protocol) ou ICMPv6 à la destination en
augmentant de façon incrémentielle les valeurs des champs "Durée de vie"
Affichage de la série d'interfaces de routeurs les plus proches des routeurs sur
l'itinéraire situé entre un hôte source et une destination

Fonctionnalités avancées
RIS : Remote Installation Service
RIS permet l'installation à distance de machines Windows 2003 Professionnel. C'est un

moyen dédié à l'installation de parcs d'ordinateurs.
DFS : Distributed File System
DFS permet la construction d'un système de fichiers partagé lui-même constitué de

répertoires partagés.
EFS : Encrypted File System
EFS propose l'encryptage à la volé des fichiers. Seuls les propriétaires auront accès au
contenu du fichier. Celui-ci restera encrypté même après une copie.
FRS : File Replication System
FRS est le système de réplication de fichiers de Windows 2000 Server. Il permet de gérer
automatiquement un répertoire répliqué sur plusieurs hôtes.
TSS : Terminal Server Service
TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur
de terminal Windows (i.e. les postes clients exécutent un programme de connexion sur le
serveur en mode terminal).

Internet Information Server
(IIS 6.0)
Introduction
IIS est un ensemble de services TCP/IP dédiés à l'Internet.
Il comprend les services suivants:
 Web,
 FTP,
 SMTP,
 NNTP,
et les outils d'administration associés.
La version 6.0 de IIS est installée avec Windows 2003 Serveur (version 5.0 avec Windows
2000, version 4.0 avec Windows NT 4.0).
Modification de Windows 2003 Server après l'installation de IIS 6.0
 Création d'un répertoire \Inetpub dans lequel seront stockés dans différents
répertoires (wwwroot pour le WEB, ftproot pour le FTP, mailroot pour le mail, ...) les
fichiers des différents services gérés.
Configuration des permissions sur ces répertoires.
 Création de deux comptes. Le compte IUSR_NomMachine est le compte qui sera
utilisé pour désigner l'utilisateur anonymous et permettre la gestion des permissions
pour ses accès.
 Installation de différents services et démarrage de ces services:
o Service de publication World Wide Web: démon Web,
o Service de publication FTP: démon FTP,
o Simple Mail Transfer Protocol (SMTP): démon SMTP
o Service d'administration IIS: Service nécessaire à l'administration de IIS y
compris via le réseau,
o ...
 Installation des outils d'administration de IIS et création des raccourcis
correspondants dans les outils d'administration et au sein du gestionnaire
d'ordinateur.
Configuration de IIS 6.0
L'administration de IIS 6.0 est réalisée via le Gestionnaire des services Internet, c'est à
dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,

Fenêtre du Gestionnaire des Services Internet
Menu contextuel du Gestionnaire

des Services Internet
Menu contextuel associé à un serveur
Menu contextuel associé à la clé "sites FTP" d'un serveur

Menu contextuel associé à la clé "sites Web" d'un serveur
Menu contextuel associé à un site FTP
Menu contextuel associé à un site Web

doté des extensions Frontpage

Les sites installés par défaut sont:
 le site FTP par défaut si le service FTP est installé,

 le site WEB par défaut si le service Web est installé,
 le site WEB d'"Administration de Microsoft SharePoint" si les extensions Frontpage
sont installées,
 le site WEB d'"Administration" si le site web d'administration à distance est installé.
D'autres sites pourront être installés.
Site FTP par défaut: Vide (ici arrêté)
Site Web par défaut: Site FrontPage (ici arrêté)

Les services FTP
Après sélection des propriétés d'un site FTP.
Attribution de l'adresse IP à laquelle sera associé

le site FTP parmi toutes celles définies sur l'hôte
et le port TCP sur lequel le site FTP est installé
(port FTP standard: 21).
Configuration du nombre de connexions simultanées
pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité

Configuration de la gestion (intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
dans le journal de log du site FTP sous
..\WINDOWS\system32\LogFiles\MSFTPSVC1\exjjmmaa.log
Sessions en cours sur le site FTP et cloture éventuelle
Comptes de connexion anonyme et d'administration

Messages de connexion et de déconnexion

Répertoire de base: Soit un répertoire local,
soit un répertoire réseau.
Lecture seule ou lecture/écriture

Sécurité d'accés implantée sur un répertoire
en fonction de l'adresse ou d'une classe d'adresses
Les services WEB
Attribution de l'adresse IP à laquelle sera associé le site Web parmi toutes celles définies
sur l'hôteet le port TCP sur lequel le site Web est installé (port Web standard: 80).
Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité

Configuration de la gestion (intervalles de temps, localisation)
et des informations enregistrées
(clients, fichiers téléchargés, quantités d'informations, ...)
dans le journal de log du site Web sous
..\WINDOWS\system32\LogFiles\W3SVC1\exjjmmaa.log

Configuration avancée du site
Performances du site

Filtres ISAPI

Répertoire de base: Soit un répertoire local,
soit un répertoire réseau,
soit une URL.
Accès en lecture seule ou lecture/écriture.
Journalisation et/ou indexation.
Exploration
Documents de base lorsqu'aucun fichier explicite

Messages d'erreur
Extensions serveur
Paramètres de contrôle d'accès
et types mime
Contrôle d'accès

Les types MIME

Sécurités d'accès au répertoire

Filtrage IP sur des adresses, des classes d'adresse
ou des noms de domaine
Authentification
Extension du serveur BITS
Création d'un nouveau site FTP
Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre
les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP
et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même
carte en possède plusieurs), soit par le port TCP sur lequel le site répond.
Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port
n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être
utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par
un autre service sur le serveur.

Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site

(parmi celles disponibles sur l'hôte)
et du port TCP associé au site
(Port FTP standard : 21)

Chemin d'accès au répertoire local associé au site
Choix du mode d'isolation (ici, pas d'isolation, voir plus loin)

Contrôle d'accès
Fin de la création
L'isolation
IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de
l'ouverture d'une session FTP par un utilisateur.
Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire, ses sous-répertoires
réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.

1. Répertoire de base: La racine du site.
2. Répertoire de base: Un répertoire particulier sous la racine du site.
3. Répertoire de base: Le répertoire de base tel que configuré dans Active Directory.
Création d'un site avec isolation des utilisateurs

Oblibgation de créer l'arborescence de répertoires
sur le shéma suivant:
"Répertoire de base"\LocalUser\Public
pour les connexions anonymous
"Répertoire de base"\UserDomain\UserName
pour les connexions non anonymous

Création d'un site avec isolation des utilisateurs
en utilisant Active Directory

Pour chaque utilisateur définition dans Active Directory
des deux propriétés FTPRoot et FTPDir qui sont utilisées
pour indiquer le répertoire de base de l'utilisateur.
Deux instructions en ligne de commandes:
iisftp /SetADProp Einstein FTPRoot I:\Utilisateurs\

iisftp /SetADProp Einstein FTPDir Einstein

Dans les propriétés d'un tel site,
disparition de l'onglet "Comptes de sécurité"
car il n'y a plus de connexion anonyme
et "Répertoire de base" car ces informations
sont extraites de Active Directory
Création d'un site sur une autre adresse IP

Résultat des créations
Connection sur ces sites au moyen de Internet Explorer
Connection au site par défaut

Connection au site sur le port 2121
Anonymous

Authentifié
Connections anonymous et authentifiée au site sur le port 2122
Connection authentifiée au site sur le port 2123

Connection au site sur l'adresse 172.20.129.116 (achille)
Création d'un répertoire virtuel FTP
Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur FTP au sein
de l'arborescence des répertoires du site FTP. Le repertoire virtuel ne correspond pas à un
répertoire existant physiquement à cette endroit dans l'arborescence de répertoires du
répertoire de base du site et n'apparaitra pas dans un client FTP.
Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire
partagé d'un autre ordinateur.
Nom du répertoire virtuel sur le site FTP

Répertoire local correspondant

Contrôle d'accès
Création d'un répertoire virtuel (alias) FTP
Résultat dans le Gestionnaire des Services Internet

Propriétés d'un répertoire virtuel FTP
(noter la possibilité de configurer
des restrictions d'accès spécifiques)

Résultat dans Internet Explorer
Création d'un répertoire physique vide portant le même nom

que le répertoire virtuel à la même place
pour rendre visible son existence dans un client FTP
(Le démon FTP bascule sur le répertoire virtuel
et pas sur le répertoire vide)

Création d'un nouveau site WEB
Plusieurs sites WEB peuvent être ébergés sur le même serveur FTP.
La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est
installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau
sont installées ou qu'une carte possède plusieurs adresses IP), soit par le nom d'entête
utilisé par le client WEB, soit par le port TCP sur lequel le site répond. Le port standard du
WEB est le port 80. C'est celui qui est utilisé implicitement si aucun port n'est indiqué
explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les
ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre
service sur le serveur.

Nom du site dans le Gestionnaire des Services Internet
Choix de l'adresse IP associé au site

(parmi celles disponibles sur l'hôte)
du port TCP associé au site
(Port Web standard : 80 déjà utilisé pour le site par défaut,
choix du port 8080)
et du nom d'entête auquel répondra le site
Chemin d'accès au répertoire local associé au site

Contrôle d'accès
Fin de la création
Résultat de la création

Propriétés avancées du site Web créé
Message d'erreur en cas d'accès depuis Internet Explorer

car l'exploration de répertoire est interdite
et il n'y a pas de fichier par défaut à la racine

Configuration de l'autorisation d'exploration
Résultat dans Internet Explorer

Résultat dans Internet Explorer avec un fichier
nommé Default.htm à la racine du répertoire de base
Création de plusieurs serveurs Web virtuels sur un même serveur
Création d'un site sur une adresse IP

Création d'un site associé à un nom d'entête

Configuration complémentaire dans les propriétés avancées
d'identification du site
Résultat dans le gestionnaire IIS
Site par défaut

Site sur le port 8080
Site sur l'adresse 172.20.129.116 (achille dans le DNS)
Site sur l'entête diogene ou diogene.w2k3.univ-fcomte.fr

(nom référencé dans le DNS)
Résultats dans Internet Explorer
réation d'un répertoire virtuel Web
Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur WEB au
sein de l'arborescence des répertoires physiques existant dans le répertoire de base. Cet
"alias" peut correspondre à un répertoire de la machine locale, à un répertoire partagé sur
un autre ordinateur ou une redirection vers un autre site WEB.

Nom du répertoire virtuel sur le site Web

Répertoire local correspondant
Contrôle d'accès

Création d'un répertoire virtuel (alias) Web
Résultat dans le Gestionnaire des Services Internet
Résultat dans Internet Explorer avec un fichier Default.htm

Les types MIME
Sauvegarde d'un serveur
Gestion de plusieurs sauvegardes

Warning de restauration
Redémarrage d'un serveur
Demande de redémarrage
Redémarrage en cours

Windows Server 2003

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2003

Transféré par

Droits d'auteur :

Formats disponibles

WINDOWS SERVER 2003

Système d'exploitation à vocation professionnelle issu de Windows 2000 (et

Commercialisation de Windows 2003 en 2003!

Solution présentée à des attentes telles que:

Système poste client

Windows NT 4.0 Serveur

Windows NT 3.51 ou 4.0 Workstation

Windows 2000 ou 2003 Serveur

Windows 2000 ou XP Professionnel

1 Windows Server 2003 Practice

Gestion de la sécurité à deux titres :

 sûreté de fonctionnement (robustesse),

Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus

Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel.

Quelques caractéristiques de Windows 2003 Serveur

 Nécessité d'un administrateur désigné

C'est un produit qui a reçu bon accueil:

Plusieurs versions de Windows 2003 Serveur:

 Windows 2003 Server Web Edition

Pas de gestion d'un parc de machines (Domaine).

 Windows 2003 Server Standard

Gestion d'un parc de machines (Domaine).

 Windows 2003 Enterprise

Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de

 Windows 2003 Datacenter

Fonctionnalités de l'Advanced Server.

Version "poste client": Windows XP Professionnel

En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP

Nouvelle release de Windows 2003 en 2006: Windows 2003 R2

 Mise à jour logicielle

Prochaine version serveur: Windows ? en ?

Microsoft annonce un nouveau système professionnel pour 2007: "Vista".

3 Windows Server 2003 Practice

Internet : Réseau mondial d'inter-connexion de réseaux.

Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à

Inter-connexion des sous-réseaux

5 Windows Server 2003 Practice

Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du

6 Windows Server 2003 Practice

L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou

L'infrastructure logicielle comprend pour chaque protocole:

 Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels

8 Windows Server 2003 Practice

Définition des différentes classes IP

 Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront

Paramètres de configuration DNS

Convention de dénomination supplémentaire:

Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sous-

 localement sur chaque machine au moyen de "fichiers hosts",

Un serveur DNS aura les tâches suivantes:

 Gérer sa base de données de noms

Paramètres de configuration WINS

Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du

10 Windows Server 2003 Practice

L'intérêt de l'utilisation de DHCP réside dans les points suivants:

 La configuration des postes clients est centralisée.

Commandes TCP/IP texte

La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes

11 Windows Server 2003 Practice

12 Windows Server 2003 Practice

III - CONCEPTS ET PLANIFICATION

Windows 2003: Système d'exploitation sécurisé.

Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des

13 Windows Server 2003 Practice