Académique Documents
Professionnel Documents
Culture Documents
Windows 2000 ou
2003 serveur
Ce document fait rfrence Windows 2000. Sauf prcision contraire, tout convient galement pour
Windows 2003.
Type
Client
Serveur
Client
Client
Client
Serveur
Client
Serveur
Partitions utilisables
Fat 16
Fat 16 et NTFS
Fat 16
Fat 16 et Fat 32
Fat 16 et NTFS
Fat 16 et NTFS
Fat 16, Fat 32, NTFS
Fat 16, Fat 32, NTFS
Fat 16, Fat 32, NTFS
Fat 16, Fat 32, NTFS
Fat 16, Fat 32, NTFS
Client
Serveur
Page 1
Fvrier 2004
Andr Sayer
Gestionnaire de priphriques
Dans les "Outils d'administration", ouvrez "Gestion de l'ordinateur". Dans les "Outils systme", vous trouvez
"Gestionnaire de priphriques".
Vous pouvez comme avec Windows 9x, dsinstaller un priphrique, vous pouvez galement le dsactiver,
mettre jour les pilotes...
Vous pouvez galement obtenir des informations trs compltes sur le systme en allant dans les "Outils
systme" et "Information systme".
Soyez prudent, une mauvaise manipulation sur une partition contenant des donnes risque de faire perdre la
partition et donc les donnes qu'elle contient.
Si une partie du disque n'est pas encore alloue, vous pouvez "Crer une partition". Faites un clic droit sur la
partie non alloue et "Crer une partition". Un assistant dmarre...
Page 2
Fvrier 2004
Andr Sayer
Un disque dur peut contenir de 1 4 (ou 5) partitions principales. A la place d'une partition principale, on
peut crer une partition tendue dans laquelle on pourra crer jusqu' 4 lecteurs logiques.
Si par exemple, Windows est install sur une partition de 4 ou 6 Go, on pourra crer une partition principale
avec le reste du disque dur.
Page 3
Fvrier 2004
Andr Sayer
Windows 2000 permet de crer une partition sans lui attribuer de lettre. Une telle partition peut tre "monte"
dans un rpertoire d'une autre partition. Si vous connaissez linux, vous tes dj familiaris avec cette notion.
Si on a cr une partition sans lui attribuer une lettre, on pourra par exemple crer un rpertoire vide
C:\UnRep, et monter cette partition dans C:\UnRep.
Lorsque vous accdez au rpertoire C:\UnRep, vous accdez en ralit la partition. Une recherche dans les
rpertoires et sous-rpertoires de C:\ fera automatiquement une recherche galement dans la partition monte.
Le systme de fichiers utiliser peut tre FAT (c'est dire Fat16) ou FAT32 ou NTFS. Windows NT ne
connat pas la FAT32.
On choisira en gnral NTFS car ce systme de fichiers permet d'ajouter une fonctionnalit trs importante :
les autorisations de scurit sur les rpertoires et les fichiers.
Page 4
Fvrier 2004
Andr Sayer
Si vous avez activ une mauvaise partition, vous n'aurez un problme qu'au prochain dmarrage
de l'ordinateur.
Certains administrateurs ont "vcu heureux" pendant plusieurs mois aprs avoir activ une mauvaise partition.
La mauvaise surprise n'arrive que lorsque le serveur pour une raison ou une autre a besoin d'tre redmarr !
Au dmarrage l'ordinateur cherche le systme d'exploitation sur le disque slectionn au niveau du Bios et,
sur ce disque, utilise la partition active. Si cette partition ne contient pas de systme d'exploitation
l'ordinateur ne peut pas dmarrer. Un message vous indique qu'il n'y a pas de systme d'exploitation.
Que faire ?
Si vous avez activ une mauvaise partition mais que vous n'avez pas encore redmarr l'ordinateur, vous
pouvez simplement activer la bonne partition l'aide du gestionnaire de disques.
Si vous avez redmarr l'ordinateur et obtenu le message indiquant qu'il manque le systme d'exploitation, il
vous reste utiliser une disquette Dos (Par exemple une disquette de dmarrage obtenue avec Windows 98)
et utiliser FDisk pour activer la bonne partition.
Disques en miroir
Appel galement RAID-1.
Il s'agit de deux disques durs, qui sont vus comme un seul disque dur. Les donnes sont enregistres sur les
deux disques en mme temps et au mme endroit. Deux disques de 20 Go ne vous donnent donc qu'une
capacit de 20 Go.
Si un disque tombe en panne, l'autre permet de continuer. Bien sr si un fichier est effac, il l'est sur les deux
disques, si un virus s'installe ou dtruit des donnes, les deux disques sont modifis.
Disques en RAID-5
Il s'agit de plusieurs disques durs (au moins 3) branches sur une carte contrleur spciale. Les donnes sont
rparties sur les disques et un contrle de parit permet de ne pas perdre les donnes lorsqu'un disque est en
panne. Il est mme en gnral possible de remplacer le disque sans arrter l'ordinateur.
Les accs disques sont acclrs car l'criture se fait sur plusieurs disques en mme temps.
Agrgat de partitions
Il est possible de regrouper plusieurs partitions appartenant au mme disque ou plusieurs disques.
L'ensemble de ces partitions est vu comme une partition unique. Lorsqu'une partition est pleine, la partition
suivante est automatiquement utilise.
C'est une solution qui permet d'obtenir une grande capacit mais les risques de panne sont augments. En
effet, si pour une raison quelconque l'une des partitions n'est plus utilisable la totalit de l'agrgat est perdu.
Il est possible d'tendre un agrgat en ajoutant une ou plusieurs partitions sans perdre les donnes.
Disques en RAID 0
Il est possible de regrouper deux disques de mme taille afin de rpartir les enregistrements sur les deux
disques. Si l'un des disques est plus gros, seule une partie de la mme taille que le petit sera utilise.
L'criture se fait par blocs en gnral de 64 ko sur les deux disques.
Cette solution est souvent propose avec les disques SATA.
Par exemple deux disques de 60 Go donnent une unit de 120 Go et comme l'criture se rpartie sur les deux
disques les accs sont acclrs.
Attention, la panne d'un des disques fait perdre toute l'unit.
Page 5
Fvrier 2004
Andr Sayer
Le fichier Boot.ini
Exemple de fichier Boot.ini :
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Server" /fastdetect
Service Pack
Microsoft fournit des correctifs sous forme de service pack.
Actuellement, le dernier service pack de NT est le 6a et le dernier service pack de 2000 est le Sp4.
Tout service pack contient les correctifs des prcdents.
Lorsque vous avez effectu des modifications qui ont ncessit de mettre le CD de Windows, il est conseill
de "repasser" le service pack.
NT4 sans au moins le service pack 4 n'est pas capable d'utiliser des disques durs de plus de 8 Go.
Les services
Windows NT, 2000, XP et 2003 permettent l'utilisation de services.
Un service est un programme qui n'a pas besoin qu'une session soit ouverte pour tre excut.
Par exemple, il n'est pas ncessaire qu'une session soit ouverte sur le serveur pour qu'il joue pleinement son
rle de serveur.
Exercice 1 :
Ouvrez une fentre dos et tapez
NET SEND * "Hello !"
Page 6
Fvrier 2004
Andr Sayer
Ceci envoie le message 'Hello !" tous les ordinateurs de votre domaine. Seuls les ordinateurs NT, 2000,
2003 ou XP recevront ce message.
Votre ordinateur faisant partie du domaine, reoit galement le message.
Remarques :
- la place de l'toile vous pouvez mettre le nom d'un ordinateur ou d'un utilisateur.
- Avec Windows 9x, excutez Winpopup pour envoyer ou recevoir les messages.
Page 7
Fvrier 2004
Andr Sayer
Avec Windows NT serveur tous les domaines taient au mme niveau. Avec Windows 2000 serveur, il est
possible d'avoir une arborescence de domaines.
Par exemple
Domaine le plus haut : lycee.priv
Un domaine enfant : tertiaire.lycee.priv
Un autre domaine enfant de mme niveau : info.lycee.priv
A partir d'un serveur du domaine tertiaire.lycee.priv, il est possible d'accder en lecture aux proprits des
utilisateurs de lycee.priv.
A partir d'un serveur du domaine lycee.priv, il est possible d'accder avec tous les droits aux proprits des
utilisateurs de tertiaire.lycee.priv ou info.lycee.priv.
En pratique dans un tablissement scolaire, on n'utilisera pas les domaines enfants. On utilisera par exemple
les domaines tertiaire.priv et info.priv. On pourra ensuite si on le souhaite tablir des relations d'approbation
entre ces deux domaines.
Contrleurs de domaine
Dans chaque domaine, un serveur au moins doit tre contrleur de domaine.
Page 8
Fvrier 2004
Andr Sayer
Lorsque vous voulez ajouter un serveur un domaine existant, vous devez le faire en tant connect au
serveur existant et choisir "Contrleur de domaine supplmentaire pour un domaine existant" Lors de
l'installation d'Active Directory, ce serveur rcupre des informations indispensables partir du serveur
existant comme par exemple les identificateurs de scurit (SID).
Attention, il arrive que des commerants pensant bien faire, installent dans leurs ateliers, un serveur en lui
donnant le mme nom de domaine que celui que vous utilisez dj sur votre serveur existant afin de vous
permettre d'avoir un deuxime serveur pour votre domaine. Lorsque ce nouveau serveur est branch dans
votre rseau, il n'est pas capable de s'intgrer correctement votre domaine. Il y a mme des conflits qui
causent des lenteurs et des erreurs. La solution consiste isoler le nouvel ordinateur et dsinstaller Active
Directory. Il vous reste alors mettre ce nouvel ordinateur dans votre rseau et rinstaller Active Directory
en prsence du premier serveur.
Page 9
Fvrier 2004
Andr Sayer
Crez de la mme faon quelques autres utilisateurs (Durand, Dubois, Duchemin, Dujardin...).
Il est important de remarquer que l'utilisateur cr n'a pas le droit de venir travailler sur le serveur. Il n'est pas
autoris ouvrir une session sur le serveur.
L'utilisateur pourra cependant ouvrir une session sur un autre ordinateur et accder par le rseau certaines
ressources situes sur le serveur (rpertoires, fichiers, imprimantes...).
Il est toutefois possible de donner des droits diffrents un utilisateur. Par exemple il suffit de mettre un
utilisateur dans le groupe Administrateurs ou Admin du domaine pour que celui-ci obtienne le droit d'ouvrir
une session sur le serveur ainsi que les droits d'administration au mme titre que le compte Administrateur.
Page 10
Fvrier 2004
Andr Sayer
En pratique :
Comme il est possible de donner des droits un groupe global, on aura souvent tendance ne pas beaucoup
utiliser les groupes locaux dans un rseau dtablissement scolaire.
Lorsque vous crez un utilisateur, il est automatiquement membre d'un groupe, lequel ?
Ordinateurs du domaine
Les versions professionnelles (NT4 Workstation, 2000 Pro, XP pro) des stations peuvent tre inscrites dans
un domaine. Elles apparaissent alors dans l'entre "Computers" de Active Directory.
Page 11
Fvrier 2004
Andr Sayer
Crez un utilisateur. Il sera automatiquement membre du groupe "Utilisateurs" et ce titre aura le droit
d'ouvrir une session sur la station.
Cet utilisateur ne bnficie pas des mmes droits qu'un administrateur. Il ne peut pas par exemple crer des
utilisateurs ou modifier les utilisateurs existants. Certains rpertoires ne peuvent pas tre modifis. Il ne peut
pas changer la scurit sur les rpertoires...
Page 12
Fvrier 2004
Andr Sayer
Comme une station ne peut appartenir qu' un domaine, si on veut qu'elle appartienne un autre domaine, on
commencera pas l'enlever de son domaine avant de pouvoir l'ajouter au nouveau domaine.
Pour faire appartenir la station un domaine, plusieurs mthodes sont possibles. La suite dcrit une mthode.
Paramtrez le serveur
Si votre serveur est un 2000 ou un 2003, tout utilisateur du domaine a le droit d'inscrire des stations dans le
domaine. Cependant un utilisateur ordinaire est limit 10 stations.
Si cette limite est gnante ou si votre serveur est un serveur NT4 alors, il vous reste trois possibilits :
- 1) Utiliser le compte Administrateur du domaine (ce compte n'est pas limit).
- 2) Donner le droit d'inscrire des stations dans le domaine des utilisateurs ou des groupes.
- 3) Sur le serveur, pr-inscrire la station dans le domaine en prcisant ventuellement qui aura le droit
d'effectuer cette inscription.
Si vous choisissez la solution 2, commencez par aller sur le serveur pour donner le droit un utilisateur ou
un groupe d'ajouter des stations au domaine. Je suppose que le compte utilis s'appelle "Chef"
Serveur NT : Ouvrez le gestionnaire des utilisateurs pour les domaines, Dans "Stratgies", "Droits de
l'utilisateur". Slectionnez le droit rseau "Ajouter des stations de travail au domaine". Ajoutez l'utilisateur
ou le groupe (par exemple l'utilisateur Chef).
Serveur 2000 : Dans "Utilisateurs et ordinateurs active directory" et Users, faites un double clic sur
l'utilisateur ou le groupe (par exemple l'utilisateur Chef) et, dans le volet "membre de" ajoutez "Oprateurs
de compte".
Vous disposez maintenant d'au moins un compte capable d'ajouter des stations au domaine. Donnez le nom
et le mot de passe de ce compte aux personnes charges d'ajouter des stations au domaine.
Si vous choisissez la solution 3 avec un serveur 2000 ou 2003, allez dans "Utilisateurs et ordinateurs Active
Directory" et dans "Computers", ajoutez un ordinateur. Indiquez le nom de l'ordinateur et le compte ou le
groupe qui aura le droit d'inscrire cette station.
- Vrifiez que la station et le serveur sont la mme heure ( quelques minutes prs).
NTWS : Pour faire appartenir la station un domaine, ouvrez la session en tant qu'administrateur local et,
dans les proprits rseau, cliquez sur le bouton "Modifier". Indiquez que la station doit tre membre du
domaine. On peut, sans aller sur le serveur, crer un compte d'ordinateur dans le domaine en donnant le nom
et le mot de passe d'un compte autoris ajouter des stations au domaine (le compte Chef).
W2KP : Pour faire appartenir la station un domaine, ouvrez la session en tant qu'administrateur local, dans
le "Panneau de configuration", ouvrez "Systme", dans le volet "Identification rseau" cliquez sur
"Proprits". Indiquez le nom du domaine. Il vous sera demand "le nom et le mot de passe d'un compte
autoris joindre le domaine", donnez le nom dfini prcdemment et le mot de passe correspondant (le
compte Chef).
Page 13
Fvrier 2004
Andr Sayer
XP : Pour faire appartenir la station un domaine, ouvrez la session en tant qu'administrateur local, dans le
"Panneau de configuration", et "Performance et maintenance", ouvrez "Systme", dans le volet "Nom de
l'ordinateur" cliquez sur "Modifier". Indiquez le nom du domaine. Il vous sera demand "le nom et le mot de
passe d'un compte autoris joindre le domaine", donnez le nom dfini prcdemment et le mot de passe
correspondant (le compte Chef).
Lorsque la station est ajoute au domaine, son nom apparat dans "utilisateurs et ordinateurs Active
Directory" dans la partie "Computers" ainsi que dans la partie "Ordinateurs du domaine" situe dans "Users".
Si la station a dj t ajoute puis enleve, il est possible que son nom soit rest dans Active Directory. Dans
ce cas l'ajout de cette station peut chouer. Allez dans Active Directory sur le serveur, supprimez cette station
et recommencez l'ajout.
Il est alors fort probable que l'adresse IP indique comme DNS dans le paramtrage TCP/IP ait besoin d'tre
change.
Page 14
Fvrier 2004
Andr Sayer
Autorisations de partage :
Par dfaut le groupe "Tout le monde" a un "Contrle
total" (NT et 2000) ou "Lecture" (2003). Vous pouvez
modifier ces autorisations en fonction de vos besoins.
Exercice :
Dans les autorisations de partage du rpertoire :
Supprimez la ligne "Tout le monde".
Ajoutez Dupond et Durand
Donnez le droit "Modifier" Dupond.
Donnez le droit "Lecture" Durand.
Pour viter les problmes de droits d'ouverture de session, la suite de l'exercice pourra tre faite sur un client
Windows 9X.
Ouvrez une session sur un autre ordinateur du rseau en tant que Dupond et essayez d'accder par le
voisinage rseau au rpertoire partag du serveur.
Page 15
Fvrier 2004
Andr Sayer
Ouvrez une session sur un autre ordinateur du rseau en tant que Durand et essayez de mme d'accder au
rpertoire partag du serveur.
Ouvrez une session sur un autre ordinateur du rseau en tant que Duchemin. Avez-vous le droit d'accder au
rpertoire partag du serveur ?
Rle des coches dans la colonne "Refuser".
Si un compte utilisateur ou un groupe est la fois dans "Autoriser" et dans "Refuser", la ressource lui sera
refuse car "Refuser" l'emporte sur "Autoriser".
Il peut tre pratique d'utiliser "Refuser" pour un ou deux utilisateurs appartenant un groupe alors que le
groupe est autoris. Cela reviendrait au mme mais serait plus fastidieux d'autoriser un par un presque tous
les membres du groupe.
Cas o un utilisateur a plusieurs autorisations
Imaginons que Dupond a un droit "Lecture" alors qu'un groupe auquel appartient Dupond a un droit
"Modifier". Dans ce cas Dupond obtient le droit de modifier.
On peut rsumer ceci en disant que les autorisations s'ajoutent.
Attention si vous refusez un droit une personne alors que cette personne appartient un groupe qui a le
droit, c'est le refus qui l'emporte.
Alors que les autorisations de partage ne concernent que les personnes accdant au rpertoire
partir des autres ordinateurs du rseau, les autorisations de scurit s'appliquent tous (que l'on
soit sur l'ordinateur ou sur un autre ordinateur du rseau).
Page 16
Fvrier 2004
Andr Sayer
Vous pouvez constater que la coche est mise dans la case "Permettre aux autorisations pouvant tre hrites
du parent d'tre propages cet objet".
Cela signifie que les autorisations du rpertoire pre (le rpertoire contenant ce rpertoire) sont
automatiquement appliques ce rpertoire.
Pour supprimer un droit hrit, vous devez commencer par supprimer la coche de l'hritage (si vous oubliez,
un message vous demandera confirmation pour la supprimer).
Attention : Ne changez pas la scurit sur les rpertoires crs par Windows sans savoir
parfaitement ce que vous faites.
Une erreur par exemple consisterait se placer sur C: et modifier les autorisations de scurit. Si en plus
vous utilisez le bouton "Avanc" pour cocher "Rinitialiser les autorisations sur tous les objets enfants..."
vous dtruisez toutes les scurits d'origine sur les diffrents rpertoires de la partition Windows.
Retenez, cette rgle simple : Ne modifiez les autorisations de scurit que sur les rpertoires ou fichiers que
vous avez crs.
Autorisations relles
Lorsqu'un utilisateur accde partir d'une station un rpertoire partag du serveur, il doit "traverser" les
autorisations de partage et s'il y arrive, doit encore "traverser" les autorisations de scurit. L'autorisation
relle applique est donc l'intersection (au sens mathmatique) des deux autorisations.
Lorsqu'un utilisateur accde un rpertoire situ sur son ordinateur, il n'a que les autorisations de scurit
"traverser".
Exercice :
Supposons qu'un rpertoire E:\Documents\Public est partag sous le nom Public.
Supposons que Dupond appartient au groupe terminale_a.
Indiquez dans chaque cas (pour chaque ligne du tableau), les droits rels de Dupond
Autorisations de partage
Autorisations de scurit
Dupond : "Modifier"
terminale_a : "lecture"
terminale_a : "Lecture"
terminale_a : "Modifier"
terminale_a : "Lecture"
Dupond: "Modifer"
Tout le monde :
"Contrle total"
Dupond : "Lecture"
Tout le monde :
"Contrle total"
terminal_a : "Lecture"
Dupond : "Lecture"
terminale_a : "Modifier"
Dupond : "Modifier"
terminale_a : "Modifier"
Tout le monde : "Contrle
total"
Page 17
Fvrier 2004
Andr Sayer
OU : Units Organisationnelles
Une unit organisationnelle permet de regrouper des utilisateurs et
ordinateurs afin de ne pas les traiter comme les autres membres du
groupe Users.
Ce que nous allons faire sur le serveur n'aura un impact que sur
les stations 2000 Pro ou XP Pro.
Si toutes vos stations sont en Windows 9x ou ME ou NT4
Workstation les OU ne vous serviront pas.
Sur le serveur 2000, ouvrez "Utilisateurs et ordinateurs Active
Directory". Placez-vous sur votre domaine et crez une nouvelle
"Organizational Unit". Soit "Techno" le nom donn cette OU.
Placez-vous sur l'OU Techno, allez dans "Proprits" et choisissez "Stratgie de groupe" (GPO).
Crez une nouvelle stratgie de groupe que vous appellerez par exemple "Limitations".
Utilisez le bouton "Modifier"
Modifiez par exemple "Masquer l'cran de veille" que vous trouverez dans "Configuration de l'utilisateur",
"Modles d'administration", "Panneau de configuration" et "Affichage". En activant cette restriction, tout
utilisateur de cette OU doit sa prochaine ouverture de session sur une station du domaine ne plus avoir le
volet "Ecran de veille" dans ses proprits d'affichage.
Que veut dire "Activer" ?
La stratgie sera applique. Si elle est dj prsente sur la station, elle le restera, si elle ne l'est pas encore
elle le deviendra.
Page 18
Fvrier 2004
Andr Sayer
Page 19
Fvrier 2004
Andr Sayer
Profils utilisateurs
Windows 9x ou ME peut fonctionner avec ou sans les profils utilisateurs.
NT Workstation, 2000 Pro ou XP pro ne fonctionne qu'avec les profils utilisateurs activs.
Profils locaux
Le profil de l'utilisateur est stock sur la station dans un rpertoire souvent au nom de l'utilisateur que vous
trouverez dans le rpertoire \Documents and Setting.
On y trouve un certain nombre de fichiers et rpertoires et en particulier le fichier cach ntuser.dat.
Il est de temps en temps ncessaire de supprimer les profils qui ne servent plus. Cette suppression se fera sur
chaque station en tant qu'administrateur et en utilisant "Panneau de configuration", "Systme" et "Profils
utilisateurs" (pour XP : "Panneau de configuration", "Systme", "Avanc" et dans "Profils utilisateurs"
utilisez "Paramtres").
L'utilitaire DelProf.exe (tlchargeable sur le site de Microsoft) permet de supprimer plusieurs profils
itinrants en une seule opration.
Si le nombre d'utilisateurs est important et si les stations du domaine se ressemblent, on pourra prfrer la
solution des profils utilisateurs itinrants obligatoires.
Exercice
Vous devez commencer par crer un rpertoire sur le serveur et le partager.
Crez par exemple le rpertoire D:\Profils et partagez ce rpertoire avec Profils comme nom de partage.
Mettez comme autorisations de partage :
Page 20
Fvrier 2004
Andr Sayer
Ouvrez une session sur une station 2000 ou XP avec ce compte utilisateur (Dupond). Lorsque vous fermerez
la session, le rpertoire Dupond du serveur sera cr et recevra une copie de votre profil.
Ouvrez une session sur une autre station 2000 ou XP avec ce mme compte utilisateur (Dupond) et vous
retrouverez votre profil car le rpertoire profil du serveur a t recopi en local dans votre rpertoire profil.
Exercice
Sur le serveur, recherchez dans le rpertoire D:\Profils\Dupond le fichier ntuser.dat et renommez-le en
ntuser.man (ntuser.dat ne doit plus exister).
Ne confondez pas avec le fichier texte ntuser.dat.txt ou ntuser.dat.log qui peut ventuellement exister et qu'il est
inutile de renommer.
Ouvrez une session sur une station Windows 2000 ou XP pro en tant que Dupond. Faites des modifications,
fermez la session et ouvrez une session sur une autre station. Est-ce que vous retrouvez les modifications que
vous venez de faire sur la premire station ?
Enregistrez un document dans "Mes documents". Est-ce que vous retrouvez votre document aprs fermeture
et ouverture de session sur cette station ? En ouvrant une session sur une autre station ?
Page 21
Fvrier 2004
Andr Sayer
Ouvrez une session sur cette station avec le compte Administrateur du domaine (depuis l'arrive des XP, il
est prfrable d'utiliser ce compte car le rpertoire qui va tre cr sur le serveur doit avoir Administrateurs
comme propritaire).
Dans le "Panneau de configuration" et "System" utilisez le volet profil utilisateurs. Placez-vous sur le profil
du compte utilis prcdemment et faites "Copier dans...". Indiquez comme chemin
\\ (nom du serveur) \Profils\commun
Avant de valider, on peut constater que ce rpertoire sera autoris seulement vous or nous voulons qu'il soit
utilis galement par d'autres. Utilisez le bouton "Modifier..." pour donner l'autorisation au groupe "Tout le
monde".
Si le rpertoire commun n'existe pas, il sera automatiquement cr.
Lorsque vous validez, le rpertoire commun est cr et le profil est copi dans commun. De plus les
autorisations de scurit permettront tout le monde d'accder ce rpertoire.
Cette mthode prsente cependant un dfaut. En effet nous venons de donner "Tout le monde" le droit de
modifier le contenu de ce rpertoire. En modifiant les autorisations de partage du rpertoire "Profils" avec
Administrateurs en Contrle total et Tout le monde en Lecture, ce problme n'existe plus.
Page 22
Fvrier 2004
Andr Sayer
Relations d'approbation
A quoi a sert ?
Lorsque deux serveurs appartiennent au mme domaine, il est possible d'accder aux comptes utilisateurs
indiffremment partir de chaque serveur. On ne parle pas de relation d'approbation puisqu'en fait, chaque
serveur agit sur la mme base de donnes de l'annuaire.
On ne peut parler de relation d'approbation qu'entre deux domaines.
Lorsqu'une relation d'approbation est tablie entre deux domaines, il est possible d'accder aux comptes
utilisateurs d'un domaine partir de l'autre.
Certaines relations d'approbations sont automatiques. C'est le cas des domaines enfants (info.lycee.priv et
lycee.priv).
Lorsque les domaines sont indpendants (comme info.priv et tertiaire.priv), et qu'aucune relation
d'approbation n'a t tablie entre les deux, un utilisateur d'un domaine n'a pas d'accs l'autre domaine. En
particulier, un administrateur d'un domaine n'a pas accs aux comptes de l'autre domaine. Les stations 2000
ou XP d'un domaine ne permettent pas utilisateur d'un autre domaine d'ouvrir une session.
Les stations 9x permettent de taper le nom du domaine alors que les stations 2000 ou XP ne permettent que le
choix dans une liste. Dans ce cas, la liste est limite au nom de la station et au nom du domaine dans lequel la
station est inscrite.
Vocabulaire :
DomX approuve DomY signifie que DomX accepte que les utilisateurs de DomY utilisent les ressources des
serveurs de DomX.
On pourrait dire aussi que DomX fait confiance aux utilisateurs de DomY.
Page 23
Fvrier 2004
Andr Sayer
Avant de commencer
Avant de pouvoir tablir des relations d'approbation, il est ncessaire que les serveurs soient la mme heure
et de paramtrer le serveur DNS de chaque serveur afin qu'il connaisse l'autre domaine.
Synchroniser l'heure. Si les deux serveurs utilisent la mme base de temps alors ils sont dj la mme
heure. Pour les mettre la mme base de temps des serveurs 2000 ou 2003 vous pouvez taper sur les deux
serveurs
net time /setsntp:ntp.unice.fr
ou encore
net time /setsntp:time.windows.com
L'effet n'tant pas immdiat, si vous voulez le rendre effectif immdiatement, arrtez le service W32time et
redmarrez-le :
net stop w32time
net start w32time
Si vous ne voulez plus de cette synchronisation avec un serveur de temps tapez :
net time /setsntp:
Si votre serveur est un 2003, vous pouvez faire la mme chose en allant dans le volet "Temps Internet" que
vous trouverez dans les Proprits de "Date et heure".
Sans utiliser un serveur de temps, on peut seulement vrifier qu' quelques secondes prs les deux serveurs
ont la mme heure.
Modifier les serveurs DNS. Sur l'un des serveurs par exemple SERVA1, allez dans DNS, dans la zone de
recherche directe et allez dans les proprits de votre zone (clic droit sur doma.priv et proprits).
Dans le volet "Transfert de zone" autorisez le transfert de zone.
Sur l'autre serveur (SERVB1) faites un clic droit sur "Zone de recherche directe" et crez une nouvelle zone
secondaire. Donnez comme nom le domaine du premier serveur (doma.priv) et indiquez l'adresse IP du
premier serveur.
La recopie de la zone doma.priv dans la zone secondaire du serveur DNS de SERVB1 peut prendre quelques
minutes faites actualiser ou encore demandez le "Transfert partir du matre".
Faites le mme travail dans l'autre sens. De cette faon chaque serveur DNS possde une copie de la zone de
recherche directe de l'autre serveur DNS.
Page 24
Fvrier 2004
Andr Sayer
Demandez l'administrateur de DomB d'ajouter DomA dans la liste de ses "Domaines autoriss approuver"
ou "Domaines qui approuvent ce domaine" (la partie du bas) et demandez-lui quel mot de passe il a utilis.
Ajoutez alors DomB dans votre liste des "Domaines approuvs" (la partie du haut).
La relation d'approbation est maintenant bidirectionnelle.
Recommencez avec DomA et DomC
Recommencez avec DomB et DomC
Maintenant tout utilisateur peut venir sur n'importe quelle station appartenant l'un des trois domaines.
Si vous ajoutez un domaine dans la liste des "Domaines qui approuvent ce domaine", ne cherchez pas vrifier
la relation d'approbation tout de suite, vous devez faire la partie correspondante dans l'autre domaine avant de
pouvoir effectuer cette vrification.
Page 25
Fvrier 2004
Andr Sayer
Utilisation
Sur le client 98, excutez "Client Terminal Server".
Si vous tes en rseau local, tapez le nom de votre serveur ou son adresse
IP.
Vous serez amen ouvrir une session sur votre serveur. Vous devrez
donc utiliser un compte ayant le droit d'ouvrir une session (Administrateur
par exemple).
ATTENTION : Il est trs important de donner des mots de passe srieux
tous les comptes utilisateurs ayant le droit d'ouvrir une session sur le
serveur, spcialement si vous donnez la possibilit d'accder votre
serveur partir d'Internet.
Passer un routeur
Le client Terminal Server utilise le port 3389 pour atteindre le serveur. Si votre serveur est derrire un
routeur, vous devrez paramtrer votre routeur pour ouvrir le port 3389 et le diriger vers votre serveur.
Page 26
Fvrier 2004
Andr Sayer
Avec Windows 2000 Serveur, allez dans "Ajout/Suppression de programmes", "Ajouter/Supprimer des
composants Windows" et "Service Internet IIS"
Avec Windows 2003 Serveur, allez dans "Grer votre serveur" et ajoutez le rle IIS.
Rappel : Lorsque vous venez d'installer un composant partir du CD de Windows NT ou 2000, pensez
appliquer nouveau le service pack pour que les fichiers installs partir du CD soient remplacs par les
versions rcentes.
IIS permet dutiliser votre serveur en serveur WEB. Par dfaut, un seul site est prvu mais il est possible den
ajouter.
Si votre serveur sappelle serveur, le site principal est accessible partir des navigateurs des stations
ladresse http://serveur
Sous-sites
Crez un rpertoire qui contiendra votre sous-site. Il est recommand de crer ce rpertoire dans InetPub
mais ce n'est pas obligatoire. Soit C:\Inetpub\RepPourEssai ce rpertoire.
Dans les "Outils d'administration", choisissez "Gestionnaire des services Internet".
Placez-vous sur "Site Web par dfaut" et faites "Action", "Nouveau", "Rpertoire virtuel". Un assistant
dmarre...
Mettez un alias. Il s'agit du nom qui sera utilis pour accder ce sous-site. Ceci peut tre compar au nom
de partage d'un rpertoire. Soir Essai cet alias.
Indiquez le rpertoire de votre sous-site (C:\Inetpub\RepPourEssai).
Page 27
Fvrier 2004
Andr Sayer
FTP
Par dfaut le serveur FTP est oprationnel et permet l'accs anonyme en lecture seule.
Le rpertoire pour le FTP (sauf choix diffrent lors de l'installation) est le rpertoire C:\Inetpub\ftproot
Placez un fichier dans C:\Inetpub\ftproot et partir d'un autre ordinateur, tapez dans votre navigateur :
ftp://serveur
Remplacez serveur par le nom rel de votre serveur.
Conseils
Evitez les espaces et les caractres particuliers (accents, cdilles...) dans les noms de rpertoires et de fichiers
dans vos rpertoires Web ou ftp.
Prenez l'habitude de respecter les majuscules et minuscules mme si Windows 2000 ne fait pas la diffrence.
En effet si vous voulez placer vos pages sur un autre serveur sur Internet, il est possible que cet autre serveur
fasse la diffrence (serveur Linux par exemple).
En installant PHP.EXE sur votre serveur, vous pourrez profiter de la puissance du langage PHP dans la
cration de vos pages Web. Vous pouvez trouver la version win32 de PHP sur le site http://www.php.net
Liens divers
Ces liens sont actuellement oprationnels mais ils risquent de ne plus l'tre dans l'avenir.
Gestion des disques :
http://raphaello.univ-fcomte.fr/W2K/06-Administration/OutilsDisque.htm
Historique des diffrentes versions de Windows
http://www.ac-nancy-metz.fr/services/tec/les_os.htm
Page 28
Fvrier 2004
Andr Sayer
Page 29
Fvrier 2004
Andr Sayer
Utilisation de ntdsutil
Utilisation de ntdsutil pour changer le rle "Schma Active Directory" :
Dans une fentre dos taper : ntdsutil
A toutes les tapes vous pouvez taper help pour obtenir de l'aide
tapez : roles
tapez : connections
tapez : connect to server XXX (o XXX est le nom du serveur)
tapez : quit
tapez : transfer schema master
tapez : quit
tapez : quit
Page 30
Fvrier 2004
Andr Sayer
Scnario
Vous avez un rpertoire important et souvent utilis qui doit toujours rester disponible pour les utilisateurs.
Ce rpertoire est sur SERV et s'appelle REPA.
Vous voulez que le deuxime serveur possde une copie de ce rpertoire et que, en cas d'arrt de SERV, les
utilisateurs puissent accder la copie sans s'en rendre compte.
Principe
Utiliser DFS sur un serveur pour effectuer une rplication de REPA situ sur SERV vers un rpertoire
partag (que l'on peut nommer galement REPA) sur SERV2003.
Toute modification de \\serv\repa sera rpliqu automatiquement dans \\serv2003\repa
Toute modification de \\serv2003\repa sera rpliqu automatiquement dans \\serv\repa
Les modifications sur la scurit des rpertoires ou fichiers de l'un des rpertoires se rpercute galement sur
l'autre.
Les utilisateurs pourront donc indiffremment accder \\serv\repa ou \\serv2003\repa
Mieux, les utilisateurs pourront accder \\d2003.priv\repa et ce sera le serveur disponible qui sera
effectivement utilis. La rplication vers l'autre serveur tant automatique.
Avantages, inconvnients
Avantages
Les donnes sont disponibles mme si l'un des serveurs est en panne.
Le trafic rseau se rpartit automatiquement entre les stations et les deux serveurs.
Inconvnients
Un trafic rseau supplmentaire est gnr entre les deux serveurs pour la rplication des rpertoires.
Des lenteurs peuvent se produire si l'un des serveurs n'est pas prsent.
Page 31
Fvrier 2004
Andr Sayer
Page 32
Fvrier 2004
Andr Sayer
Rsultat obtenu
Page 33
Fvrier 2004
Andr Sayer
Rsultat obtenu.
Page 34
Fvrier 2004
Andr Sayer
Rplication automatique
La rplication va permettre au systme DFS de rpercuter automatiquement les modifications faites dans un
rpertoire vers l'autre rpertoire.
Si l'assistant de configuration de la rplication n'est pas dmarr, faite un clic droit sur le lien et "rplication"
Rsultat obtenu.
Vous pouvez maintenant observer le
rpertoire RepA situ sur SERV2003, il va
d'ici quelques minutes automatiquement
devenir identique au rpertoire RepA de
SERV.
Page 35
Fvrier 2004
Andr Sayer
Il est maintenant possible partir d'une station d'accder cette ressource, avec un chemin
\\ (nom du domaine) \ (nom de la racine) \ nom du lien DFS \ ...
Pour accder la ressource, vous pouvez donc indiffremment utiliser un des chemins suivants :
\\Serv\Racine\RepA
\\Ser2003\Racine\RepA
\\d2003\Racine\RepA
\\d2003.priv\Racine\RepA
Page 36
Fvrier 2004
Andr Sayer
Exemple concret
L'installation du programme GIMP (logiciel gratuit de dessin venant du monde linux) suppose que vous avez
dj install "gtk+" avant de pouvoir installer "gimp". Je vous propose de crer un fichier msi effectuant ces
deux installations en une seule.
Prparez sur le serveur un rpertoire en lecture seule pour tout le monde mais avec le droit de modification
pour vous.
Dans la suite je suppose que le rpertoire est partag sous le nom "logiciels".
Page 37
Fvrier 2004
Andr Sayer
\\serveur\logiciels
Si votre station comporte plusieurs partitions, l'tape suivante consiste choisir la partition ayant le plus de
place libre utiliser en tant qu'espace de travail temporaire pour Discover
L'cran suivant vous permettrait d'ignorer certains fichiers ou rpertoires. Laissez le choix propos ou mieux
ajoutez dans la liste d'exclusion le rpertoire C:\Windows\Prefetch.
Page 38
Fvrier 2004
Andr Sayer
Lorsque le fichier MSI est cr, vous pouvez le corriger en utilisant WERITAS Software Console
En particulier tout ce qui a t cr dans "Documents and Setting" et dans "Prefetch" peut tre supprim.
Si vous utilisez des profils itinrants, il sera souhaitable de faire une copie du profil car un rpertoire ".gimp2.2" a t cr dans le profil et sera utile pour les autres utilisateurs.
Quelques liens :
http://www.laboratoire-microsoft.org/articles/network/creation_msi/
http://www.ens-lyon.fr/Bibli/TSE/installations/msi.htm
GTK et Gimp
http://sourceforge.net
ou en lien direct (sous rserve qu'il existe encore)
http://sourceforge.net/project/showfiles.php?group_id=121075
Page 39
Fvrier 2004
Andr Sayer
Faites un clic droit sur PCXP, allez dans les proprits et choisissez le volet "Stratgie de groupe".
A l'aide du bouton "Nouveau" crez une nouvelle stratgie. Son nom n'a pas d'importance.
Page 40
Fvrier 2004
Andr Sayer
Le fichier MSI doit se trouver dans un rpertoire partag avec au moins les droits de lecture et excution.
Dmarrez une station faisant partie de l'OU. L'installation devrait se faire mais on pourra remarquer que
l'installation ne russit pas toujours au premier dmarrage. Refaites un redmarrage de l'ordinateur si
ncessaire.
Une ouverture de session ne suffit pas car l'installation est faite au niveau ordinateur.
Sur la station, juste avant l'ouverture de session, vous verrez successivement
"Prparation des connexions rseau"
"Activation des paramtres de scurit"
"Installation du logiciel pris en charge gtk_et_gimp"
L'ouverture de session n'tant pas encore faite, le programme d'installation n'est pas capable d'crire dans
HKEY_CURRENT_USER ou dans le rpertoire profil de l'utilisateur.
Souvent le logiciel effectue ces critures lors de son premier dmarrage.
Dans le cas de gimp, le rpertoire ".gimp 2.2" ne sera pas install pour l'utilisateur. Au premier dmarrage de
gimp ce rpertoire sera cr. On peut remdier ce problme en faisant en sorte de ce rpertoire soit prsent
dans le profil et en utilisant les profils itinrants.
Dsinstallation
Le programme peut au choix tre dsinstall sur chaque station en passant par "Ajout et suppression de
programmes" ou en supprimant le package dans les stratgies de groupe ou encore en dplaant la station
pour la mettre dans une autre OU o ce package n'est pas install.
Page 41
Fvrier 2004
Andr Sayer
Sauvegardes
Sauvegarder la partition systme du serveur
Plusieurs solutions existent. Personnellement pour sauvegarder la partition systme, j'utilise Ghost (produit
de chez Symantec) ou ventuellement NTBackup (inclus dans Windows).
La sauvegarde sur lecteur de bandes est une solution assez chre qui, personnellement ne me donne pas
satisfaction.
Il est possible d'installer Ghost sur le serveur ou seulement utiliser le programme Ghost.exe en
environnement DOS. C'est cette deuxime solution que j'utilise habituellement.
Vous devez avoir au moins une partition suffisamment grande en plus de la partition systme. Cette partition
peut tre en Fat ou en NTFS. S'il existe une ou plusieurs partitions FAT, seules celles-ci seront les seules
propose pour stocker le fichier de sauvegarde. Si toutes les partitions sont en NTFS vous pourrez choisir.
Dmarrez le serveur avec une disquette DOS ou un CD bootable en DOS.
Appelez le programme Ghost.exe
"Local", "Partition", "Vers image".
Choisissez le lecteur (donc le disque dur) contenant la partition sauvegarder.
Choisissez la partition sauvegarde (en gnral la premire).
Choisissez la partition o sera enregistr le fichier de sauvegarde et indiquez le nom du fichier.
Pour conomiser la place, vous pouvez choisir une compression leve. La sauvegarde prendra un peu plus
de temps.
La "Cration de l'image de la partition" peut alors commencer.
Si votre intention est de crer des CD contenant le fichier de sauvegarde, il sera certainement ncessaire de
fractionner ce fichier.
Personnellement j'utilise un fichier BAT contenant l'une des deux lignes :
ghost
ghost
src=1:1 signifie qu'il faut sauvegarder la premire partition du premier disque dur.
src=2:1 voudrait dire la premire partition du deuxime disque dur.
S'il existe au moins une partition FAT :
dst=C:\SAV correspond au nom du fichier qui sera cr. Vous pouvez choisir un autre nom que SAV mais il
est conseill de choisir un nom sans espace et court.
dst=SAV si le lecteur courant est celui qui doit tre utilis pour stocker le fichier de sauvegarde.
Si toutes les partitions sont en NTFS :
dst=1:2\SAV
1:2 signifie deuxime partition du premier disque. et SAV donne le nom du fichier.
-SPLIT=680 permet le dcoupage en fichiers ayant une taille correcte pour tre gravs sur CD
-AUTO la cration des noms de fichiers sera faite automatiquement.
SAV.GHO pour le premier, SAV00001.GHS pour le second, SAV00002.GHS pour le troisime. Etc.
-Z9 impose une compression maximum.
Page 42
Fvrier 2004
Andr Sayer
Restaurer le serveur
Dmarrez le serveur avec une disquette DOS ou un CD bootable en DOS.
Appelez le programme Ghost.exe
"Local", "Partition", "Depuis image".
Indiquez le fichier contenant la sauvegarde (le premier fichier si la sauvegarde est morcele).
Il vous est alors demand "Slectionnez la partition source depuis le fichier image". Le fichier image ne
contenant qu'une partition, tapez simplement sur entre.
A la question "Slectionnez un lecteur de destination local en cliquent sur le numro correspondant"
choisissez le disque contenant la partition restaurer.
A la question "Slectionner la partition destination sur le lecteur Basique x", ce sera certainement 1 qu'il
faudra rpondre (si c'est la partition 1 que vous aviez sauvegarde).
Il est possible de restaurer dans une partition de taille diffrente.
NTBackup
Dans les accessoires, et "Outils systme", utilisez "Gestion des sauvegardes".
Choisissez le volet "Sauvegarder". Cochez ce que vous voulez sauvegarder.
En utilisant le bouton "Dmarrer", vous avez accs la planification vous permettant de dfinir la tche et les
jours et heures.
Page 43
Fvrier 2004
Andr Sayer