Académique Documents
Professionnel Documents
Culture Documents
Examen 70 210 Essentiel 1.1
Examen 70 210 Essentiel 1.1
Essentiel
de prparation
aux certifications
70-210 / 70-215
Par :
NEDJIMI Brahim
THOBOIS Loc
sur une base de O. Boisne et A. Nedjimi
http://www.laboratoire-microsoft.org
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
2
a)
b)
c)
2
a)
b)
c)
Le support du fax________________________________________________________________________________12
10
11
12
13
14
15
16
17
18
19
20
a)
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
a)
a)
a)
b)
a)
b)
3
4
7
a)
b)
c)
Outils de connectivit_____________________________________________________________________________23
Cot Serveur __________________________________________________________________________________ 23
Utilitaires TCP/IP Client _________________________________________________________________________ 23
Services pour Unix v2.0__________________________________________________________________________ 24
4
a)
b)
2
a)
b)
5
a)
b)
8
a)
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
b)
c)
Les capacits de protection de fichiers de Windows (WFP : Windows File Protection) _______________________35
5
a)
b)
c)
d)
a)
b)
a)
4
a)
IPSec __________________________________________________________________________________________47
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
a)
b)
c)
d)
e)
f)
Le serveur ____________________________________________________________________________________ 50
Le client ______________________________________________________________________________________ 50
Le protocole RDP ______________________________________________________________________________ 50
Installation des services Terminal Server ____________________________________________________________ 50
Les deux modes dinstallation _____________________________________________________________________ 50
Configuration pour laccs client___________________________________________________________________ 50
a)
b)
c)
d)
e)
f)
Rplication de sites_______________________________________________________________________________54
4
a)
b)
5
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 1
Installation de Windows 2000 ou mise niveau vers Windows 2000
1
Parmi les produits de la famille Windows 2000, il existe quatre systmes dexploitation : Windows 2000
Professionnel, Windows 2000 Server, Windows 2000 Advanced Server et Windows 2000 Datacenter. Mis part le
nombre de processeurs support par chacun de ces systmes, peu de choses les diffrencient. Les deux systmes
que nous allons tudier, Windows 2000 Professionnel et Server supportent respectivement jusqu deux et quatre
processeurs (la version Advanced Server en supporte jusqu' huit et la version Datacenter jusqu' trente-deux).
Le tableau suivant indique la configuration minimale requise pour linstallation de chacun de ces deux systmes.
Processeurs
32Mo minimum
64Mo recommands
4Go maximum
Mmoire vive
Disque dur
Avant d'installer Windows 2000, il faut vrifier que l'ensemble du matriel utilis figure dans la Hardware
Compatibility List (HCL) disponible sur www.microsoft.com/hcl.
Prparation des disques et copie les fichiers ncessaires (mode texte). Un redmarrage a ncessairement
lieu la fin de cette tape.
ii.
iii.
Installation du rseau : dtection des cartes rseaux, installation des composants rseau (client pour les
rseaux Microsoft, partage de fichiers et d'imprimantes) et installation du protocole TCP/IP (les autres
protocoles peuvent tre installs par la suite). On a aussi la proposition de jonction un domaine ou un
groupe de travail. A la suite de ces choix, les composants sont configurs, des fichiers additionnels sont
copis et le systme redmarre.
iv.
Fin de l'installation : Mise en place du menu Dmarrer, enregistrement des composants, sauvegarde de la
configuration, suppression des fichiers temporaires et dernier redmarrage.
a)
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
en winnt.sif et de le copier sur une disquette. Insrer la disquette avant de booter sur le cdrom et la procdure
dinstallation ira chercher automatiquement le fichier.
Lorsquil nest pas possible de booter depuis le CDROM, on a recours aux deux autres mthodes suivantes :
Grce aux disquettes dinstallations Windows 2000 : Pour crer les disquettes, il faut excuter makeboot
(on peut prciser le lecteur : makeboot a: ) depuis le rpertoire \i386\bootdisk sur le CD ROM d'installation.
Cela cre un jeu de quatre disquettes.
Avec une disquette de dmarrage Windows 98 (avec le support du CD-ROM) : on excute winnt.exe depuis
le rpertoire i386 sur le CD.
b)
Ce type dinstallation requiert la mise en place dun serveur de fichiers avec un partage contenant les fichiers
dinstallation de Windows 2000 Professionnel.
Les clients pourront lancer linstallation via une disquette de dmarrage et un client rseau (il faudra alors excuter
winnt.exe) ou directement a partir de Windows (9x, Me, NT 3.51/4) sil sagit dune mise jour (lancer
winnt32.exe).
Les postes clients ncessitent environ 685Mo despace disque libre pour les fichiers du systme ainsi que 100
200Mo pour la copie des fichiers temporaires lis la premire phase de linstallation.
Commutateurs pour winnt.exe (en ligne de commande) :
/a
/e[:command]
/r[:folder]
/rx[:folder
/s[:sourcepath]
/t[:tempdrive]
/u[:answer file]
/udf:id [,UDF_file]
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
/cmdcons
/debug[level]
[:file_name]
/m:folder_name
/makelocalsource
/nodownload
/noreboot
/s:source_path
/syspart:drive_letter
/tempdrive:drive_lett
er
/unattend: [number]
[:answer_file]
c)
La fonction d'installation distance de Windows 2000 permet dutiliser les services RIS (Remote Installation
Service) pour effectuer une installation automatise de Windows 2000 Professionnel.
Il faut prendre en considration les points suivants :
Actuellement, seul Windows 2000 Professionnel peut tre install via ce procd
Cette fonctionnalit ncessite un serveur RIS sur le rseau. Les services suivants doivent aussi tre
prsents sur le rseau : Active Directory (pour localiser les serveurs RIS), DNS (requis pour Active
Directory), DHCP (pour que le client puisse obtenir une adresse IP).
RIS doit tre install sur un disque partag, diffrent de celui qui contient Windows 2000 Server, et doit
tre format en NTFS.
Le volume partag doit tre assez grand pour supporter RIS et les diffrentes images disques Windows
2000 Professionnel.
Les images RIPRep peuvent avoir des applications pr-installes. Les identifiants uniques tels que les SID
sont supprims au moment o les images RIPRep sont gnres.
Une fois que RIS est install sur le serveur et quil est fonctionnel, utilisez le Remote Boot Floppy Generator
(RBFG.EXE) afin de crer des disquettes dinstallation bootables. Ces disquettes ne supportent que les cartes rseau
PCI. Cependant, si la machine dispose dune carte rseau PXE ou sil sagit dun NetPC, les disquettes de dmarrage
ne sont pas ncessaires.
Les ordinateurs client peuvent tre constitus de matriel htrogne condition que les composant utilisent la
mme HAL (Hardware Abstraction Layer).
Utilisez riprep.exe pour dmarrer lAssistant RIS.
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Sysdiff est employ pour installer des applications, en utilisation conjointe avec un fichier de rponses
Unattend.txt. Sysdiff vous permet de prendre une photo de ltat original de votre machine, dinstaller des
applications, et de rpertori les changements intervenus dans un seul fichier qui peut tre ensuite appliqu sur
dautres machines.
Faites votre installation de base dans un premier temps. Ensuite, prenez une photo avant dinstaller des
applications. La syntaxe est la suivante : sysdiff /snap fichier_photo
Installez les applications dsires sur la machine. Ensuite gnerez le fichier contenant les diffrences grce :
sysdiff /diff fichier_photo fichier_diffrences
Maintenant, vous pouvez appliquer ces diffrences sur dautres machines de destination avec la commande:
sysdiff /apply \\setupserver\w2k\fichier_differences.
Il sagit dun outil simplifiant le clonage de machines. Il permet le retrait des lments spcifiques au clone (nom de
la machine, numro de srie,). Cela supprime notamment le problme de SID dupliqus de Windows NT 4.
Sysprep se trouve dans le package DEPLOY.CAB localis dans le dossier \support\tools du CD-ROM de Windows
2000.
Sysprep lance un assistant lors du premier redmarrage de la machine qui va permettre de configurer les
informations spcifiques l'ordinateur.
Il est possible de crer un fichier de rponse automatique en utilisant setupmgr.exe, qui se trouve lui aussi dans le
dossier \support\tools du CD ROM d'installation de Windows 2000.
Lancez winnt32.exe depuis le rpertoire i386 du CD-ROM de Windows 2000 pour faire une mise jour depuis une
version prcdente de Windows.
Windows 2000 va mettre jour et prserver les paramtres des systmes d'exploitation suivants : Windows 95, 98
et Me (toutes les versions), Windows NT Workstation 3.51 et 4.0 .
Windows NT 3.1 ou 3.5 doivent subir une mise jour intermdiaire en NT 3.51 ou NT 4.0 avant de pouvoir migrer
en Windows 2000.
A cause des diffrences de registre entre Windows 9x et Windows 2000, des packs (dlls) de mise jour peuvent
tre ncessaires, le logiciel d'installation les recherche dans le dossier \i386\Win9xmig sur le CD-Rom de Windows
2000.
Pour vrifier si une mise jour peut s'oprer dans de bonnes conditions, lancez winnt32 /checkupgradeonly.
Cela va gnrer un rapport qui va souligner les lments potentiellement problmatiques pour votre mise jour.
Vous pouvez aussi utiliser l'outil chkupgrd.exe disponible partir du site Microsoft (
www.microsoft.com/windows2000 ).
$ Si Windows 98 et Windows NT sont installs sur la mme machine, la mise jour ne peut pas seffectuer partir
de Windows 98. Elle doit tre faite depuis Windows NT.
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Le programme d'installation cre les journaux suivants :
Setupact.log
(journal des actions)
Setuperr.log
(journal des erreurs)
Comsetup.log
Setupapi.log
Netsetup.log
Mmdet.log
10
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 2
Configuration de lenvironnement de Windows 2000
1
Elle seffectue via la fentre Systme du panneau de configuration, dans longlet Matriel. La signature des pilotes
permet lutilisateur davoir la garantie de Microsoft du bon fonctionnement des pilotes sous Windows 2000.
En cliquant sur Signature du pilote on obtient les options suivantes:
Ignorer (Ignore) : Installe nimporte quel pilote, peu importe quil soit
sign ou non.
Avertir (Warn) : affiche un message davertissement avant dinstaller un
pilote sans signature
Interdire (Block) : Empche linstallation dun fichier non sign
La case cocher Dfinir les paramtres en tant que paramtres par dfaut
nest disponible que pour les Administrateurs.
b)
Lutilitaire sigverif.exe a pour but de vrifier que les fichiers systme dorigine installs par Windows nont pas t
remplacs par des versions non signes. Il peut aussi vrifier les fichiers non-systme si besoin est. Les rsultats
seront enregistrs dans le fichier Sigverif.txt.
c)
11
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Cet utilitaire vrifie les fichiers systme protgs. Il peut tre lanc avec plusieurs options :
/scannow
/scanonce
/scanboot
/cancel
/quiet
/enable
/purgecache
/cachesize=x
Les pilotes sont mis jour via le Gestionnaire de priphriques. Slectionnez le pilote, faites un clic-droit puis
Proprits et slectionnez Mettre jour le pilote.
$ Il est conseill d'utiliser des pilotes signs afin de garantir une stabilit optimum.
Le fichier driver.cab qui se trouve sur le CD ROM de Windows 2000 contient tous les pilotes livrs avec le systme
d'exploitation. Pour toute mise jour de pilote, Windows 2000 vrifiera ici sil dispose ou non dune version plus
rcente. Ce chemin peut tre modifi via la cl :
HKLM\Software\Windows\CurrentVersion\Setup\DriverCachePath
$ Le vrificateur de pilote peut tre utilis pour retrouver les pilotes non-signs sur un systme. Lancez pour cela
verifier.exe en ligne de commande.
Configuration de laffichage
Le support du fax
Lapplet Fax apparat dans le panneau de configuration uniquement lorsquun priphrique de fax (modem) est
install.
Longlet Options Avances permet de configurer lmission/rception de fax, le nombre de tentatives dmission, le
chemin de stockage des fax reus et envoys, les permissions de scurit des utilisateurs, etc
Si cet onglet nest pas accessible, il faut se dloguer et se reloguer en tant quAdministrateur.
12
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
$ Limprimante Fax dans le dossier des Imprimantes ne peut pas tre partage.
Windows 2000 Professionnel supporte an maximum 2 processeurs, Windows 2000 Server en supporte 4, Advanced
Server peut en grer 8 et Datacenter Server peut prendre en charge jusqu' 32 processeurs.
Pour passer d'un systme mono-processeur un systme multiprocesseurs, il faut mettre jour votre pilote
Windows vers un pilote compatible MPS (Multi-Processor Specification ) via le Gestionnaire de priphriques.
Les priphriques rseau sont installs via Ajout/Suppression de matriel dans le Panneau de configuration.
Chaque carte rseau possde une icne qui apparat automatiquement dans Connexions rseau et accs
distance . Faites un clic-droit sur cette icne pour dfinir ou modifier ses proprits, installer des protocoles,
changer des adresses, etc
Pour modifier l'ordre de liaison des protocoles et des fournisseurs, utilisez le menu Paramtres avancs dans le
menu Avanc de Connexions rseau et accs distance .
Charge l'OS.
Construit le menu de slection.
Charg par Ntldr en vue dune utilisation alterne avec un autre OS.
Recherche le matriel disponible.
Pour lamorage partir d'un disque SCSI dont le bios du contrleur est
dsactiv.
Noyau NT (system32).
13
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
System
Hal.dll
10
14
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
rdisk : reprsente le numro du disque dans le cas ou celui-ci est de type IDE ou SCSI avec BIOS actif (la
numrotation commence 0).
partition : indique le numro de la partition (la numrotation commence 1).
Prenons par exemple les lignes suivantes, extraites dun fichier boot.ini :
multi(0)disk(0)rdisk(1)partition(2)
Cela veut dire que lon va dmarrer partir du systme se trouvant sur le premier contrleur IDE ou SCSI avec BIOS
actif, sur le second disque et sur la troisime partition.
scsi(0)disk(0)rdisk(0)partition(1)
Cela veut dire que lon va dmarrer partir du systme se trouvant sur le premier contrleur SCSI avec BIOS inactif,
sur le premier disque et sur la deuxime partition.
Les paramtres de BOOT.INI
/basevideo
/fastdetect=[comx,y,z]
/maxmem :n
/noguiboot
/sos
/bootlog
/safeboot
11
Vous devez vous connecter en tant qu'Administrateur pour utiliser la console de rcupration.
Les commandes suivantes sont disponibles :
attrib
batch
chdir
chkdsk
cls
copy
delete
dir
disable
diskpart
enable
exit
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
15
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
expand
fixboot
fixmbr
format
help
listsvc
logon
map
mkdir
more
type
rename
rmdir
set
systemroot
12
13
RDISK n'existe plus sous Windows 2000. Vos disquettes de rparation d'urgence se font exclusivement avec
l'utilitaire ntbackup.exe.
La disquette de rparation d'urgence devient maintenant une disquette d'amorage.
Pour en crer une, lancez ntbackup.exe, choisissez Disquette de Rparation d'urgence et insrez une disquette
dans votre lecteur.
Vous aurez aussi la possibilit de copier le registre vers %systemroot%\repair\regback avec ntbackup.
Votre Disquette de Rparation d'urgence contient entre autres les fichiers suivants : autoexec.nt, config.nt et
setup.log.
14
16
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
dutilisation ou par date de dernire utilisation.
Vous pouvez aussi publier les applications dans Active Directory en passant par la console Stratgie de Groupe.
Pour cela, les applications devront tre sous la forme de packages .MSI.
15
16
Profils matriels
Comme sous Windows NT 4, il est possible de crer des profils matriels sous Windows 2000.
Ils sont utiliss pour enregistrer les diffrents lments de configuration afin
de rpondre aux diffrents besoins des utilisateurs. Ils sont souvent
employs pour les ordinateurs portables, afin de dfinir si un ordinateur est
connect sa station daccueil ou non. Sil est connect sa station, il y a
de fortes chances pour que cette dernire soit dj quipe dune carte
rseau, auquel cas, il faudra dsactiver la carte rseau de lordinateur
portable.
Lutilisateur choisi le profil dsir par le biais dun menu affich au
dmarrage de Windows 2000.
Les profils sont crs par le Panneau de Configuration > Systme >
Matriel > Profil matriel. Les priphriques sont activs ou non suivant le
profil par lintermdiaire du Gestionnaire de Priphriques.
17
Profils utilisateurs
Cest une collection de donnes et de rpertoires qui contiennent lenvironnement de travail de lutilisateur, les
rglages des applications ainsi que des donnes personnelles relatives lutilisateur (ex : favoris, bureau, menu
dmarrer, )
17
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Quand un utilisateur ouvre une session pour la premire fois sur une
machine sous Windows 2000 Professionnel, il recevra un
environnement standard issu de la copie du rpertoire de profil
Default User. Toutes les modifications effectues par la suite seront
ensuite enregistres dans le propre rpertoire de profil de
lutilisateur.
Un utilisateur peut changer son profil en modifiant les rglages de
son bureau quand il ferme sa session, Windows 2000 incorpore les
changements son profil.
Rendre le profil obligatoire annule tous les changements effectus
par lutilisateur pendant la session. A la prochaine ouverture de
session, il rcuprera son profil initial. Pour faire cela, il suffit de
renommer dans le rpertoire de profil de lutilisateur le fichier
ntuser.dat en ntuser.man (man = mandatory = obligatoire).
Les
profils
utilisateurs
sont
stocks
dans
le
%systemdrive%\Documents and Settings\%username%.
dossier
$ Dans le cas dune migration partir de Windows NT 4, les profils seront stocks dans le rpertoire
%systemroot%\profiles\%username%.
Les profils itinrants sont utiliss dans les domaines Windows 2000 pour les utilisateurs qui emploient diffrentes
machines et qui souhaitent utiliser un profil commun sur toutes ces machines. Il suffira alors de spcifier
simplement un chemin rseau comme emplacement de stockage du profil.
18
Les modifications de ces options se font par lintermdiaire de licne Options Rgionales
du Panneau de Configuration. Vous pouvez par ce biais ajouter toutes les langues dont
votre systme a besoin pour votre travail.
Dans longlet Gnral de la fentre Options Rgionales, vrifiez dans la partie Votre systme est configur pour
prendre en charge la lecture et lcriture des documents en plusieurs langues quelles sont les langues
actuellement supportes par votre systme ainsi que la langue actuelle qui se trouve dans la partie Paramtres
de lutilisateur actuel .
$ Vous pouvez passer dune langue une autre simplement en tapant SHIFT ALT simultanment.
19
Cette base de donnes enregistre la configuration de Windows 2000 pour tous les
logiciels installs, le matriel et larchitecture hirarchique des utilisateurs. Il y a
plusieurs sous arbres principaux :
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_CURRENT_USER
18
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
HKEY_LOCAL_MACHINE
HKEY_USERS
Lditeur de base de Registre (regedt32.exe) dispose dun mode lecture-seule, dun menu de scurit et supporte
les donnes de type REG_EXPAND_SZ et REG_MULTI_SZ. Lapplication regedit.exe (un autre diteur de base de
registre install par Windows 2000) ne possde pas ces caractristiques mais il permet de faire des recherches sur
plusieurs sous-arbres en mme temps. Lditeur de base de Registre enregistre automatiquement tous les
changements qui sont faits.
20
Windows 2000 dispose dune panoplie doptions particulirement adaptes aux ordinateurs mobiles. Parmi celles-ci,
on a :
Le support des interfaces PCMCIA (PC Card), USB ports, IEEE 1394 (FireWire), et infrarouge.
Le support de la norme Advanced Power Management (APM) et Advanced Configuration and Power Interface
(ACPI).
Un mode hibernation intgr (arrt complet du systme et vidage du contenu de la mmoire dans un fichier).
Le support des fichiers hors connexion
a)
Les fichiers Hors Connexion remplacent le Porte-Document et fonctionnent de manire similaire loption
Visualiser Hors-Connexion dInternet Explorer 5.
Partagez un dossier et activer son cache afin de le rendre disponible hors connexion.
Il existe trois types de mise en cache :
- Cache manuel pour les documents : rglage par dfaut. Les utilisateurs doivent spcifier quels documents ils
souhaitent rendre disponibles hors connexion.
- Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur
son disque dur pour une utilisation hors connexion les versions anciennes du document sur le disque sont
automatiquement remplaces par des versions plus rcentes du partage quand elles existent.
- Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les
fichiers dont les modifications des utilisateurs doivent tre ignor (ex : tarifs, applications, ).
Lorsque vous synchronisez, si vous avez dit un fichier hors connexion et quun autre utilisateur a fait de mme,
alors, il vous sera demand si vous souhaitez :
Garder et renommer votre exemplaire
craser votre exemplaire avec la version disponible sur le rseau
craser la version disponible sur le rseau et perdre les modifications de lautre utilisateur
Lutilitaire de Synchronisation, vous permet de spcifier les fichiers qui seront synchronises, le type de connexions
employe pour cette synchronisation (pour empcher par exemple une synchronisation lorsque lon est connect au
rseau distance via un modem) et le moment o cette synchronisation est effectue (lors dune connexion, dune
dconnexion, lorsque lordinateur est en veille,).
19
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 3
Connexion dordinateurs clients Windows 2000 a des rseaux
1
Windows 2000 installe automatiquement la suite de protocoles TCP/IP. Les autres doivent tre installs
manuellement.
a)
Protocole TCP/IP
Cest une suite de protocoles standardise. Il est routable et est utilisable sur de nombreuses topologies de rseau.
Cest le protocole qui est la base dInternet. Il peut tre utilis pour connecter des systmes htrognes.
Il est install par dfaut dans Windows 2000. Il utilise linterface Microsoft Windows Sockets (Winsock)
Les adresses IP peuvent tre entres manuellement ou assignes automatiquement par un serveur DHCP.
Le serveur DNS est utilis pour rsoudre les noms dordinateur (noms dhtes) en adresses IP.
Le serveur WINS est utilis pour rsoudre les noms NetBIOS en adresses IP.
Le masque de sous-rseau est une valeur qui est utilise pour distinguer la partie identificateur de rseau et la
partie identificateur dhte dune adresse IP.
La passerelle par dfaut est une adresse IP utilise pour indiquer la machine (le plus souvent un routeur) capable
de transmettre les paquets a une machine cible qui ne se trouve pas sur le mme rseau ou sous rseau que la
machine source.
b)
Configuration de TCP/IP
20
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Quand lattribution automatique dadresse IP prive est utilise, seuls les ordinateurs situs sur le mme rseau
local et utilisant le mme type dadresse (169.254.x.y) et le mme masque de sous rseau pourront communiquer
ensemble.
$ La plage dadresses 169.254.0.0 - 169.254.255.255 a t rserve pour cette utilisation par lIANA
(Internet Assigned Numbers Authority). Elle est considre comme une plage dadresse prive.
Ipconfig
Ping
Nbtstat
Netstat
Tracert
a)
Procdure de Dpannage
NWLink (limplmentation Microsoft du protocole IPX/SPX) est le protocole utilis par Windows 2000 pour permettre
aux systmes Netware daccder ses ressources. NWLink est tout ce dont vous avez besoin pour permettre des
clients Windows 2000 de faire fonctionner des applications client/serveur depuis un serveur NetWare. NWLink
supporte les Sockets Windows et Netbios.
La seule prsence de Netware Link va permettre un client Netware d'accder un serveur Windows 2000,
notamment a des applications telles SQL Server par exemple.
On peut facilement installer NWLink sur un serveur Windows 2000 et donc intgrer Windows 2000 dans un
environnement Netware. En revanche, NWLink ne suffit pas pour partager des ressources car Windows 2000 utilise
SMB, non pris en charge par Netware (qui utilise NCP).
a)
Installation de NWLink
21
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Le client rseau Microsoft est install par dfaut lors de la mise en place de Windows 2000. Linstallation des
services clients Microsoft se fait aussi automatiquement.
a)
b)
La connexion une ressource distant peut se faire via une commande NET USE, via l'explorateur Windows en
saisissant un chemin UNC vie linvite de commande Excuter du menu dmarrer (Win R) ou encore, via un clicdroit sur Voisinage Rseau puis Connecter un lecteur rseau. Soulignons que cette dernire mthode de connexion
ainsi que la commande NET USE vont nous permettre de spcifier un utilisateur et un mot de passe pour crer la
connexion.
b)
Les Services Passerelle pour NetWare (Gateway Services for NetWare) peuvent tre implments sur votre serveur
Windows 2000 afin de permettre aux clients Microsoft daccder votre serveur NetWare en utilisant votre serveur
Windows 2000 comme passerelle.
22
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Pour configurer SPNW, il faut activer la passerelle et fournir un compte possdant des privilges de superviseur
pour le serveur Netware en question. C'est la passerelle qui va partager les ressources Netware. Toutefois, elle ne
peut accorder des permissions plus importantes que ne l'autorisent les droits Netware. Le compte de passerelle doit
exister sur le serveur Netware et tre membre du groupe NTGATEWAY.
Les serveurs Netware 3 utilisent Bindery Emulation (Preferred Server dans CSNW). Les serveurs Netware 4.x et
suivants utilisent NDS (arbre et contexte par dfaut).
$ . Il y a deux faons de changer un mot de passe sur un serveur NetWare :- SETPASS.EXE et loption Changer le
Mot de Passe (depuis la bote de dialogue CTRL-ALT-SUPPR). Loption Changer le Mot de Passe nest disponible
que sur les serveurs NetWare 4.x et suivants utilisant NDS.
Autres protocoles
DLC : est un protocole utilisation spciale. Il nest pas routable et est utilis par Windows 2000 pour dialoguer
avec les mainframes IBM, AS400 et les imprimantes Hewlett Packard.
AppleTalk : permet des ordinateurs Windows 2000 Professionnel dutiliser des imprimantes Apple. Ne pas
confondre avec le service Serveur de Fichiers pour Macintosh qui permet aux clients Apple dutiliser les ressources
dun serveur Windows 2000.
NetBEUI : est exclusivement utilis par les systmes Microsoft. Il nest pas routable et est bas sur la diffusion.
Outils de connectivit
a)
Cot Serveur
Serveur Telnet : Windows 2000 inclue un service serveur telnet (net start tlntsvr) qui est limit une interface en
ligne de commande et deux connexions concurrentes. Dfinissez les options de scurit de votre serveur telnet
grce lutilitaire dadministration tlntadmn.
Serveur Web : Windows 2000 Professionnel propose une version allge du serveur Web IIS5 appel Personnal
Web Server. Il est limit 10 connexions simultane. Il doit tre install et le service doit tre lanc avant de
pouvoir partager vos imprimantes en utilisant le serveur Web dimprimantes ou limpression via internet. Il peut tre
gr via le snap-in IIS ou le Personal Web Manager, une version allge du mme snap-in IIS, pour les utilisateurs
novices.
Serveur FTP : Windows 2000 Professionnel propose une version limite du serveur FTP de Internet Information
Server 5 (IIS5), limite 10 connexions mais administre comme la version Serveur en utilisant le snap-in IIS ou le
Personal Web Manager.
Extension Serveur de FrontPage 2000 : Ce composant permet d'tendre les fonctionnalits du serveur Web et
est inclus Windows 2000 Professionnel pour dvelopper et tester les sites web avant des les dployer sur un
serveur de production.
Serveur SMTP : Il na pas de limitation en nombre de connexion. Il possde une intgration avec LDAP et est
utilis pour la rplication dActive Directory.
b)
Client Telnet : peut tre utilis pour ouvrir une session en mode texte sur une console UNIX, Linux et les
systmes Windows 2000 (commande : telnet Nom_ou_IP_serveur).
Client FTP : en ligne de commande, il est simple et puissant (commande ftp Nom_ou_IP_serveur).
Internet Explorer 5 : le navigateur Internet de Microsoft.
23
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Outlook Express 5 : Gestionnaire de courrier lectronique supportant SMTP, POP3, IMAP4, NNTP, HTTP, et LDAP.
c)
Les services pour Unix sont un ensemble de logiciels qui peuvent se greffer sur Windows 2000 afin dapporter une
meilleur intgration des technologies Linux ou UNIX.
Le protocole TCP/IP est requis pour communiquer avec les machines UNIX.
En standard, Windows 2000 intgre les Services dimpression pour UNIX qui permettent la connexion des
imprimantes contrles par des serveurs UNIX (LPR).
UNIX partage ses ressources fichiers sur le rseau grce NFS (Network File System).
Client pour NFS
Cela installe un client compatible Network File System (NFS) qui va sintgrer dans lExplorateur Windows. Il est
disponible sur les versions Windows 2000 Professionnel et Server.
Les utilisateurs peuvent naviguer et mapper des lecteurs vers des volumes NFS, mais aussi, accder des
ressources NFS aux travers du Voisinage Rseau. Microsoft recommande cette mthode plutt que dinstaller un
serveur SAMBA (service de fichier SMB pour les clients Windows).
Les partages NFS peuvent tre atteints en utilisant la syntaxe standard de NFS (nom_de_serveur:/partage) ou en
utilisant la syntaxe UNC (\\nom_ou_IP_serveur\partage).
Si le login et/ou le mot de passe employs pour se connecter a un serveur UNIX diffrent de ceux utiliss pour
ouvrir la session Windows, il faudra cliquer sur Se connecter en utilisant un nom dutilisateur diffrent .
Les utilitaires suivants sont installs quand on ajoute le client pour NFS (liste non complte):
grep
Ps
sed
Sh
tar
Vi
Cherche les fichiers contenant une chane et affiche le rsultat contenant la chane
Liste les processus et leur tat
Copie les noms de fichiers vers une sortie standard
Lance le Korn shell
Utilis pour crer des fichiers archives et pour ajouter/extraire des fichiers une archive
Lance lditeur de texte VI
Lutilitaire en ligne de commande nfsadmin est utilis pour configurer et administrer le client pour NFS. Ses options
sont:
fileaccess
mapsvr
mtype
perf
preferTCP
retry
rsize
timeout
wsize
24
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
25
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 4
Gestion de comptes dutilisateurs
1
Les outils dadministration permettent la gestion des serveurs distance. Ils peuvent tre installs sur nimporte
quelle machine sous Windows 2000 par lintermdiaire de adminpak.msi qui se trouve dans le dossier i386 du CD
ROM dinstallation du systme.
Les outils dadministration sont installs par dfaut sur le contrleur de domaine.
$ . Il peut tre utile, pour des raisons de scurit, dutiliser les outils dadministration en tant logg avec votre
compte de domaine basique et en utilisant la commande Excuter en tant que pour lancer les outils
dadministration.
Les comptes d'utilisateurs locaux rsident sur la machine locale. Les comptes locaux ne peuvent pas accder des
ressources de domaine Windows 2000 et ne devraient pas tre crs sur des machines qui font parties d'un
domaine.
Les comptes d'utilisateurs de domaine rsident dans Active Directory, sur des contrleurs de domaine et peuvent
accder toutes les ressources sur le rseau, condition d'avoir les privilges ncessaires.
Les comptes prdfinis sont : Administrateur et Invit (dsactiv par dfaut).
Convention de nommage
Les noms de compte utilisateur ne peuvent pas dpasser 20 caractres et ne peuvent contenir les caractres
suivants : " / \ [ ] : ; | = , + * ? < >. Ils ne sont pas sensibles la casse.
Les mots de passe peuvent faire jusqu' 128 caractres. Les caractres non autoriss dans les noms de comptes le
sont aussi au niveau des mots de passe.
Comptes locaux
b)
Comptes de domaine
Les comptes de domaines permettent aux utilisateurs de se connecter depuis nimporte quelle station de travail, et
davoir accs toutes les ressources du rseau.
Les comptes de domaines sont grs par la console Utilisateurs et Ordinateurs Active Directory
Les dossiers de base permettent aux utilisateurs de stocker leurs documents. Ces dossiers peuvent se trouver soit
sur un serveur, soit sur lordinateur de lutilisateur.
26
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Profil d'utilisateur par dfaut : il est la base des autres profils utilisateurs qui sont crs partir de ce dernier.
Profil d'utilisateur local : ce profil est cr la premire fois qu'un utilisateur ouvre une session sur un ordinateur. Il
se trouve sur l'ordinateur local. Plusieurs profils utilisateurs peuvent se trouver sur la mme machine.
Il est cr par l'administrateur et est stock sur un serveur. Il est disponible quelle que soit la machine partir de
laquelle l'utilisateur ouvre une session.
Les modifications sont sauvegardes lors de la dconnexion de l'utilisateur.
Le fichier Ntuser.dat contient la portion de Registre qui s'applique au compte d'utilisateur, il contient les paramtres
du profil de l'utilisateur.
Il est lui aussi cre par l'Administrateur, il peut tre local ou itinrant. Il ne permet pas un utilisateur d'enregistrer
ses paramtres.
Pour rendre un profil obligatoire, vous devez renommer le fichier Ntuser.dat en Ntuser.man (man pour mandatory
= obligatoire).
27
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 5
Gestion de laccs aux ressources laide de groupes
Sous Windows NT 4, nous avions notre disposition des groupes locaux et des groupes globaux :
Les groupes locaux servaient affecter aux utilisateurs des permissions d'accs une ressource.
Les groupes globaux servaient organiser les comptes d'utilisateurs de domaine.
Groupe Local
affecte aux utilisateurs des permissions ou des droits
peut comporter depuis un domaine quelconque :
- des comptes d'utilisateur
- des groupes globaux
(sous Windows
Groupe Global
organise les comptes d'utilisateur par domaines
ne peut contenir aucun groupe
toujours cr sur le PDC dans le domaine du compte.
comptes d'utilisateur du mme domaine
est ajout un groupe local de n'importe quel
domaine (approbation).
NT 4.0)
Rgles d'adhsion
Un groupe local ne peut contenir que des comptes utilisateurs (locaux).
Un groupe local ne peut pas tre membre d'un autre groupe.
Groupes locaux
Vous pouvez les crer sur des machines sous Windows 2000 Professionnel ou Server. Ils servent contrler l'accs
aux ressources sur l'ordinateur local et raliser des tches dites systmes pour l'ordinateur local.
Groupes locaux intgrs
Ces groupes sont automatiquement crs lors de l'installation de Windows 2000. Vous ne pouvez pas les
supprimer.
Groupe locaux prdfinis
Administrateurs
Oprateurs de
sauvegarde
Invits
Utilisateurs avec
Pouvoirs
Duplicateurs
Utilisateurs
Peuvent effectuer toutes les taches administratives sur le systme local. Le compte prdfini
administrateur est automatiquement membre de ce groupe par dfaut.
Peuvent sauvegarder et restaurer des donnes.
Accs temporaire et limit aux ressources
Peuvent crer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou
installer des pilotes de priphriques.
Grent la rplication sur un domaine.
Les utilisateurs peuvent effectuer des tches pour lesquelles les permissions leur ont t
assignes. Tout nouveau compte cr sur une machine Windows 2000 est ajout ce groupe.
Quand un ordinateur ou un serveur membre disposant dun client rseau Microsoft joint le
domaine, alors, Windows 2000 ajoute les utilisateurs du domaine au groupe local Utilisateurs.
Les groupes identits spciales (groupes spciaux) permettent d'organiser automatiquement les utilisateurs pour
l'utilisation du systme.
Groupes spciaux prdfinis
28
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Tout le monde
Utilisateur authentifi
Crateur propritaire
Rseau
Interactif
Utilisateur Anonyme
Accs Distant
La stratgie de gestion des ressources dans un groupe de travail est ALP : Account - Local group - Permission.
L'on cre le compte, on l'ajoute dans un groupe local, puis ensuite, on positionne les permissions.
Groupe de scurit : Ils permettent de grer les autorisations d'accs une ressource. Ils permettent aussi de
grer des listes de distributions de messagerie. L'on peut imaginer une application comme Microsoft Exchange 2000
qui va utiliser les groupes de scurit Windows 2000 en tant que liste de distribution.
Groupes de distribution : ils ne servent qu'a des fonctions non lies la scurit comme l'envoi de messages.
Vous ne pourrez pas grer d'autorisations avec ces groupes.
b)
29
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
$ Les groupes universels ne sont pas disponibles lors de l'installation de Windows 2000. Vous devez passer en
mode natif pour pouvoir les utiliser.
Les rgles d'adhsion sont les suivantes :
Les groupes universels ont une adhsion illimite. Tous les groupes et comptes d'utilisateur de domaine peuvent en
tre membres. Les groupes universels peuvent tre membres de nimporte quel autre groupe dun domaine (Vous
pouvez ajouter un groupe universel un groupe de domaine local ou universel de tout domaine).
La stratgie de gestion des ressources dans un groupe de travail est A G DL P : Account - Global group - Domain
Local group - Permission. On cre le compte, on l'ajoute dans un groupe global, puis l'on ajoute ce dernier dans un
groupe de domaine local puis ensuite l'on positionne les permissions.
30
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 6
Gestion de donnes laide du systme de fichiers NTFS
1
Sous Windows 2000, les autorisations que vous accordez un dossier parent sont hrites et propages tous les
sous-dossiers, et les fichiers quil contient. Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront
aussi de ces permissions.
Par dfinition, toutes les autorisations NTFS dun dossier cr seront hrites par les dossiers et fichiers quil
contiendra.
Il est possible de bloquer cet hritage (pour des raisons de scurit) afin que les permissions ne soient pas
propages aux dossiers et aux fichiers contenus dans le dossier parent.
Pour bloquer lhritage des permissions, afficher les proprits du dossier, allez dans longlet Scurit, puis
dsactiver la case cocher Permettre aux autorisations pouvant tre hrites du parent dtre propages cet
objet. Dans la nouvelle fentre, cliquer Copier si vous souhaitez garder les autorisations prcdemment hrites
sur cet objet, ou alors cliquer Supprimer afin de supprimer les autorisations hrites et ne conserver que les
autorisations explicitement spcifies.
Autorisation Refuser
Elle est toujours applique au cas par cas pour les utilisateurs ou les groupes. Elle est prioritaire sur toutes les
autres autorisations. Ainsi, un utilisateur qui appartient un groupe dont la permission sur un certain dossier est
Contrle Total et qui fait lobjet dune autorisation Refuser, naura pas daccs au dossier car lautorisation Refuser
annule toutes les autres.
$ . Lautorisation Refuser nest utilise que dans le cas o laccs une ressource doit tre interdit un groupe ou
un compte donne.
31
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
b)
Appropriation
Elle peut seffectuer sur un fichier ou un dossier. Le droit dappropriation permet lutilisateur de pouvoir saccorder
les autorisations sur tous les fichiers dont il est le propritaire mme ceux sur lesquels il na pas lautorisation de le
faire.
Pour prendre possession vous devez tre : soit le crateur propritaire, soit ladministrateur, ou avoir lautorisation
daccs spciale Appropriation dans le cas ou vous tes un utilisateur (ou membre dun groupe ayant cette
permission).
Pour pouvoir accorder lautorisation Appropriation sur une ressource, il faut soit tre le propritaire, soit faire partie
du groupe Administrateurs ou encore avoir lautorisation Contrle total sur la ressource.
Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le dplacement vers la mme
partition permet le maintien des autorisations.
Les fichiers dplacs depuis une partition NTFS vers une partition FAT ne gardent pas leurs attributs et leurs
descripteurs de scurit, mais ils conservent leur nom de fichier long.
Les attributs de fichiers pendant la copie/le dplacement dun fichier lintrieur dune partition ou entre deux
partitions sont grs ainsi:
Copier lintrieur
Cre un nouveau fichier identique au fichier original. Il hrite des permissions du
dune partition
rpertoire de destination..
Dplacer lintrieur Ne cre pas un nouveau fichier. Il y a seulement une mise jour des pointeurs du
dune partition
dossier. Garde les permissions appliques lorigine au fichier.
Dplacer vers une autre Cre un nouveau fichier identique loriginal et dtruit le fichier original. Le nouveau
partition
fichier hrite des permissions du rpertoire de destination.
32
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
$ . Pour faire apparatre un dossier compress dans une autre couleur, utiliser la case cocher Donner une couleur
diffrente aux fichiers et dossiers compresss, dans longlet Affichage du menu Options de dossiers de
lExplorateur.
a)
Options de quotas
33
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 7
Accs aux ressources disques
1
a)
Partages administratifs
b)
c)
Contrle Total
Modifier
Lire
Aucun Accs
Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux autorisations de scurit de partage, ses
permissions effectives sobtiennent en combinant les niveaux maximum des deux types de scurit
indpendamment lune de lautre (en prenant bien en compte quil ny a pas de permission Aucun Accs) et en
prenant la plus restrictive des deux.
34
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
$ . Windows 2000 Professionnel est limit 10 connexions concurrentes pour un partage de fichier ou un partage
dimpression.
NTFS propose un grand niveau de scurit et defficacit grce sa capacit bloquer laccs un fichier ou un
rpertoire pour un seul utilisateur. Les capacits avances telles que la compression de disque, les quotas de
disque et le cryptage font de ce systme un systme recommand en environnement professionnel.
FAT et FAT32 sont utiliss gnralement pour faire du dual boot entre des systmes Windows 2000 et dautres
systmes dexploitation tels que DOS 6.22, Win 3.1 ou Win 95/98.
Les partitions systme de type NTFS NT 4.0 seront mises jour vers le NTFS de Windows 2000 automatiquement.
Si vous voulez faire un dual-boot entre NT4.0 et 2000, vous devez dj installer le SP4 sur la machine NT4.0. Cela
permettra de lire les partitions NTFS mises jour, mais les fonctions avances telles que EFS et les quotas de
disque seront dsactives.
$ . Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS. Les partitions NTFS ne peuvent pas
tre converties vers FAT ou FAT32 la partition doit alors tre efface et recre en tant que FAT ou FAT32.
Nouveaut de Windows 2000, il vite le remplacement de certains fichiers systmes qui sont surveills par le
systme (les DLL importantes et les EXE qui se trouvent dans le dossier %systemroot%\system32).
Ce systme utilise les signatures de fichiers et le codage pour vrifier si les fichiers systmes protgs sont bien des
versions Microsoft.
WFP ne gnre pas de signature.
Les DLL critiques qui ont t modifies sont restaures depuis le dossier %systemroot%\system32\dllcache.
35
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
tendues et des lecteurs logiques. Les disques basiques doivent tre utiliss dans le cas de dual-boot entre
Windows 2000, DOS, Windows 3.x, Windows 9x/Me ainsi que toute version de Windows NT.
En mode dynamique (uniquement sous Windows 2000 et XP) il est possible de crer une seule partition
contenant le disque dur complet. Un disque initialis en mode dynamique est appel Disque dynamique. Les
disques dynamiques sont diviss en volumes qui peuvent inclure un ou plusieurs disques. Ils peuvent tre
redimensionns sans avoir besoin de redmarrer le systme dexploitation. Une partie de lespace ( la fin du
disque) est rserve pour stocker les informations de description du disque dynamique.
Il existe trois types de volumes
Volume simple : contient lespace dun seul disque.
Volume fractionn : contient lespace de plusieurs disques (maximum de 32). Les disques y sont utiliss
successivement (Le premier disque est rempli, puis le deuxime,) de faon transparente pour lutilisateur. Il sagit
en fait dun agrgat de partition. Si un disque ne fonctionne plus, alors, toutes les donnes sont perdues. Les
performances ne sont pas optimises avec ce type de volume car les disques sont lus squentiellement. Il y a deux
mthode pour crer un volume multiple : soit inclure lensemble des disques des la cration du volume, soit tendre
avec un segment de disque vide un volume de base et ceci sans avoir besoin de redmarrer le systme. Cette
seconde mthode ne fonctionne que si le volume simple a t cr lorigine sur un disque dynamique et que
celui-ci nest pas un disque systme.
Volume agrg par bandes : il contient lespace libre de plusieurs disques (maximum de 32) en un seul volume
logique. Cela augmente les performances car les donnes sont lues et crites sur tous les disques la mme
vitesse. Si un disque est perdu, alors, toutes les donnes sont perdues.
Etats dun Volume Dynamique
Erreur
En tat
En tat (avec risque)
Initialisation
Disques Dynamiques
Volume actif
Volume et espace non allou
Volume Simple
Volume Miroir (Server seulement)
Volume Simple
Volume agrg par bandes
Volume RAID-5 (Server seulement)
Volumes Systme et de boot
Volumes tendu
36
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Vous pouvez grer des disques dun ordinateur distant en crant une console dadministration sur mesure pour cet
ordinateur. Pour cela faites :
Dmarrer > Excuter, puis tapez mmc. Dans le menu de la console, cliquer sur Ajouter/Supprimer Snap-in.
Cliquez sur Ajouter. Cliquez sur Grer les Disques, puis cliquez sur Ajouter. Quand la boite de dialogue Choisir
un ordinateur apparat, choisir lordinateur distant.
Les informations de disque sont maintenant enregistres physiquement sur le disque lui-mme, ce qui permet de
dplacer facilement le disque dun systme lautre. Lutilitaire dmtool.exe a t dvelopp afin de faciliter la
gestion de grandes quantits de disques.
Il faut utiliser le snap-in Gestionnaire de disques :
A chaque fois que vous ajoutez un nouveau disque dans un ordinateur, il apparat en tant que Basique.
Ds que vous ajoutez ou que vous enlevez un disque de votre ordinateur, vous devez choisir Re-vrifier les
Disques. Les disques qui ont t enlevs dun autre ordinateur vont apparatre comme trangers . Choisir
Importer disque tranger (un assistant apparat pour vous guider).
Pour des disques multiples enlevs dun autre ordinateur, ils vont apparatre en tant que groupe. Faire un clic-droit
sur lun des disques et choisir Ajouter Disque.
Les disques peuvent tre mis jour depuis le niveau basique vers un niveau dynamique nimporte quel moment,
pourvu quil y ait un Mo despace non-allou sur le disque.
DFS (Distributed File System) fournit aux utilisateurs un moyen simple d'accder des donnes reparties et
distribues sur un rseau. Un dossier partag DFS sert de point d'accs d'autres dossiers sur le rseau.
a)
Prsentation
DFS est un systme de fichier logique et hirarchique. Il organise des ressources partages sur plusieurs
ordinateurs pour fournir une arborescence logique.
Notre dossier (Laboratoire) va tre le point d'entre unique vers les ressources partages sur les trois serveurs
(Lab1, Lab2, Lab3). Les utilisateurs accdent ces ressources sans avoir se soucier de connatre le serveur sur
lequel se trouve la ressource.
Un partage DFS utilise une structure arborescente qui contient une racine et des liens DFS. Pour crer un partage
DFS, il faut en premier lieu crer une racine DFS. Chaque racine peut avoir de multiples liens DFS qui pointent
chacun vers un dossier partag sur le rseau. Les liens DFS de la racine reprsentent des dossiers partags sur
d'autres serveurs.
b)
Le client DFS est intgr Windows NT4 et Windows 2000 et permet de simplifier l'administration. Si un serveur
n'est plus disponible, vous pouvez dplacer le lien DFS vers un autre dossier, les utilisateurs ne verront pas de
37
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
diffrence puisque le nom de partage (racine DFS) restera inchang malgr cette redirection. Il permet aussi de
mettre en uvre de l'quilibrage de charge et de la tolrance de panne puisqu'il est possible de crer des liens
redondants partir de serveurs multiples.
c)
Restrictions de DFS
d)
Deux racines DFS peuvent tre configures sous Windows 2000 : autonome et de domaine (ou racine tolrance
de panne).
Racine DFS autonome : Les racines DFS autonomes sont stockes dans le registre. Les racines DFS autour
peuvent tre localises sur tous les systmes de fichiers (FAT 16, FAT 32, NTFS). Elles n'offrent pas de processus
de rplication.
Racine DFS de domaine : Une racine DFS de domaine utilise Active Directory pour stocker la topologie de
l'arborescence. Les changements dans un arbre DFS sont automatiquement synchroniss avec Active Directory.
Il est possible de crer des liens alterns avec les racines DFS de domaine afin de fournir une tolrance de panne
l'ensemble. Pour tre fonctionnelles, les racines DFS tolrance de panne doivent se situer sur des partitions NTFS.
Tolrance de pannes
a)
La tolrance de panne est la capacit du systme trouver une compensation en cas de dfaillance d'un dispositif
matriel (en l'occurrence, un disque dur). Le standard en matire de tolrance de panne pour les disques durs est
connu sous le nom de RAID (Redundant Array of Inexpensive Disks). RAID est form de plusieurs niveaux de
protection.
Il est possible dimplmenter un RAID de manire logiciel (Windows 2000, Windows NT 4, Linux, ) ou de manir
matriel avec des contrleurs de disques (souvent SCSI) qui rendront lutilisation du RAID compltement
transparente pour le systme.
Windows 2000 Server permet la mise en uvre des niveaux 1 (mirroring/duplexing) et 5 (agrgat par bandes avec
parit). Cette implmentation nest possible que sur des disques dynamiques.
$ Il ny a pas de tolrance de panne avec Windows 2000 Professionnel. La tolrance de panne (RAID 1 et 5) est
disponible seulement dans la famille Windows 2000 Server.
Avec l'agrgat par bandes avec parit, Windows 2000 Server crit les donnes sur une srie de disques dynamiques
(de 3 32). Les donnes ne sont pas dupliques sur le disque, mais Windows 2000 Server enregistre des
informations de parit qu'il peut ensuite utiliser pour rgnrer les donnes manquantes si un disque tombe en
panne.
Si l'on utilise la mise en miroir, Windows 2000 Server crira les mmes donnes sur deux disques. Si l'un des deux
tombe en panne, les donnes sont toujours disponibles sur l'autre.
38
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
$ Il existe un autre type de tolrance de pannes qui est implicitement pris en charge par Windows 2000 qui est le
duplexing. Le duplexing est un driv du RAID-1 (Mise en miroir) mais avec pour particularit que chacun des
disques composant le miroir sera connect un contrleur de disque diffrents assurant de la mme une
tolrance de panne au niveau des contrleur.
L'intrt du RAID niveau 5 rside dans la disponibilit de plus d'espace disque. En effet, l'utilisation d'un miroir
ncessite 50% de l'espace total (pour rpliquer les donnes).Dans le cas du RAID niveau 5, lorsquil est compos
de 3 disques on ne perd que 33%, lorsquil est compos de 4 disques on ne perd que 25%, et ainsi plus on va
ajouter de disques un RAID 5 moins il y a aura despace perdu.
En terme de performances, le RAID 5 est plus rapide en lecture car il peut lire les donnes partir de plusieurs
disques simultanment. Par contre en criture, il se rvle moins performant que le RAID 1, car il est ncessaire de
raliser des calculs de parit pour crire les donnes sur les disques.
Pour mettre en place la tolrance de panne, on utilise le snap-in Gestion de disque. On fait alors un clic droit sur
une zone non alloue dun disque dynamique, on choisit crer un volume. Un assistant apparat alors, permettant
de configurer entre autres la tolrance de panne.
$ Si vous utilisez un systme RAID 5 et que rencontrez un problme de disque, commencez par vrifier leur tat
dans le dans le Gestionnaire de Disques. Si lun dentre eux est marqu comme manquant, tentez tout dabord de
le ractiver avant dentreprendre son remplacement.
Dans un systme en RAID 1 (mirroring), le cheminement lgrement diffrent : si la ractivation ne donne rien, il
faudra dabord casser le miroir avant de remplacer le disque. Ensuite, il faut reformer le miroir.
b)
39
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Loutil de sauvegarde de Windows 2000 est lanc par Dmarrer > Programmes > Accessoires > Outils
systme > Gestion des Sauvegardes ou en lanant directement la commande ntbackup.exe depuis Dmarrer
> Excuter.
Les utilisateurs peuvent Sauvegarder leurs propres fichiers et les fichiers sur lesquels ils ont au moins une des
permissions suivantes : lecture, criture, excution, contrle total.
Les utilisateurs peuvent aussi restaurer les fichiers sur lesquels ils ont au moins une des permissions suivantes :
crire, modifier, contrle total.
Les Administrateurs et les Oprateurs de Sauvegarde peuvent sauvegarder et restaurer nimporte quel fichier en
passant outre leurs permissions.
Les diffrents types de sauvegarde
Normale
Copie
Incrmentielle
Diffrentielle
Journalire
a)
Tous les fichiers et dossiers slectionns sont sauvegards. Lattribut darchive est enlev sil
existe, cela acclre la restauration.
Tous les fichiers et dossiers slectionns sont sauvegards. Lattribut darchive n'est pas
enlev.
Seuls les fichiers dont lattribut Archive a t plac sont enregistrs et leur attribut est
ensuite enlev.
Seuls les fichiers dont lattribut Archive a t plac sont enregistrs mais leur attribut nest
pas enlev.
Tous les fichiers slectionns et les dossiers qui ont chang pendant la journe sont
sauvegards. Les attributs Archive sont ignors durant la sauvegarde et ne sont pas enlevs
aprs.
Loutil de sauvegarde de Windows 2000 permet aussi de sauvegarder des donnes systme qui pourraient
permettre de reconstruire un serveur devenu dfaillant.
Ces donnes sont notamment: le Registre, le service dannuaire Active Directory (uniquement sous 2000 Server en
tant que contrleur de domaine) , le dossier Sysvol (uniquement sous 2000 Server en tant que contrleur de
domaine ), les fichiers systme de dmarrage, etc
Ce document est la proprit de lEcole Suprieure dInformatique (http://www.supinfo.com)
40
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 8
Surveillance et optimisation des performances dans Windows 2000
1
Il est utilis pour automatiser certains vnements tels que les scripts ou les sauvegardes systmes.
Les tches sont enregistres dans le Gestionnaire de Tches planifies du Panneau de Configuration.
Cest le service Planificateur de taches qui va ensuite se charger du lancement de la tache.
$ Il est possible de dfinir le compte utilisateur employer pour excuter une tche.
Lanalyseur de Performances
Il vous permet de vrifier si votre systme ou un systme distant est optimis. Il offre la possibilit de vrifier
lactivit rseau, le processeur, la mmoire ou encore les disques.
Chacune de ces donnes est relative un objet, cest dire un composant principal de la machine. Quand on parle
dinstance, on fait rfrence plusieurs fois le mme objet. Les compteurs captent et analysent lactivit des objets
et de leurs instances, ils peuvent afficher des graphes correspondant ces donnes.
Les objets importants sont cache (utilis pour mettre en cache les donnes physiques du systme), mmoire
(physique et virtuelle/pagine du systme), disque physique (vrifie le disque comme un tout), disque logique
(disques logiques, bandes et volumes), et processeur (vrifie la charge CPU).
Processeur - % Temps Processeur Time : mesure le temps que le processeur met pour effectuer une tche
non cache. Si ce temps est toujours dau moins 80%, il est recommand de mettre un processeur plus puissant.
Processeur Longueur de Queue Processeur : plus de 2 threads dans la queue indique que les performances
systmes sont limites par le processeur (goulet dtranglement).
41
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Processeur - % CPU temps DPC : (deferred procedure call) mesure les interruptions logicielles.
Processeur - % Temps dinterruption : mesure les interruptions matrielles. Si le temps processeur excde
90% et que le temps dinterruptions/secondes est de plus de 15%, on a peut tre affaire un driver mal crit (de
mauvais drivers peuvent gnrer des interruptions excessives) ou bien, il faut prendre un processeur plus puissant.
Disque Logique Longueur de Queue de Disque : si la moyenne est suprieure 2, laccs au lecteur est
brid. Remplacez votre disque par un modle plus performant, utilisez un meilleur contrleur de disque, ou
implmentez un jeu de bandes (stripe set).
Disque Physique - Longueur de Queue de Disque : idem Disque Logique Longueur de Queue de Disque.
Disque Physique - % Temps Disque : si le temps est suprieur 90%, dplacez les donnes ou le pagefile vers
un autre disque, ou remplacez votre disque par un modle plus performant.
Mmoire - Pages/sec : plus de 20 pages par seconde reprsente un fort taux de mise en pagefile ajoutez de la
RAM.
$ . La commande diskperf active les compteurs de disque physique sur le systme.
Les Journaux dalerte sont comme les journaux dvnement, mais ils ne font que tracer un vnement, envoyer un
message ou lancer un programme quand une limite dfinie vient dtre dpasse.
Le journal de compteur enregistre les donnes depuis le systme local ou un systme distant sur lutilisation
matrielle et lactivit des services systme.
Les journaux de trace permettent danalyser des donnes telles que les E/S et fautes de pagination.
Par dfaut, les fichiers de log (ou de journal) sont enregistrs dans le dossier \Perflogs sur la partition de boot.
Les logs sont enregistrs au format CSV (Comma Separated Value) ou TSV (Tab Separated Value) pour quils
puissent tre imports par des programmes tels Excel.
CSV et TSV doivent tre crits en une seule fois. Ils ne supportent pas que lcriture soit arrte puis reprise.
Utiliser plutt des fichiers binaires pour enregistrer des vnements crits par intermittence.
Il gre lhistorique des vnements survenus sur la machine, au niveau matriel, logiciel et ayant trait la scurit
et au systme. Il contient trois journaux diffrents :
42
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Le journal systme : qui contient les vnements en
provenance des composants systme (chec de chargement du
pilote de carte graphique, etc).
Le journal application : contient les vnements gnrs pas
les applications (ex : Exchange 2000, SQL Server, ).
Le journal scurit : rassemble les vnements lis aux audits
du systme tels que la suppression dun fichier ou lchec
douverture dune session.
Chaque vnement est soit une information (par exemple, le service Serveur DHCP a dmarr avec succs), un
avertissement (un problme est survenu, mais il nest pas critique, par exemple lorsque lespace disque disponible
est trs faible), ou une erreur (problme important li au systme, par exemple quand le service Serveur ne peu
pas dmarrer).
On trouve le journal des vnements dans : Menu dmarrer > Programmes > Outils dadministration >
Observateur dvnements.
La taille du fichier de journal peut tre limite et les donnes peuvent tre enregistres afin de faire un suivi des
performances du systme.
43
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 9
Implmentation de la scurit dans Windows 2000
1
Stratgie de groupe
Les stratgies de groupe sont une collection de variables denvironnement utilisateur qui sont imposes par le
systme dexploitation et non modifiables par lutilisateur.
Le snap-in Stratgie de Groupe (gpedit.msc)
Il est exclusif Windows 2000 et succde lEditeur de Stratgies Systme (poledit.exe). Il utilise des modles de
scurit incrmentiels. Cest dire que chaque modle de scurit est plus scuris que le prcdent.
Il ne peut tre appliqu que sur un systme install initialement sur une partition NTFS. Pour les partitions NTFS
dont les systmes ont t mises jour depuis Windows NT 4 ou antrieur, seuls les modles de scurit de base
seront appliqus.
Les rglages peuvent tre enregistrs localement (ou dans Active Directory). Ils sont scuriss et ne peuvent tre
modifis que par les membres du groupe Administrateurs.
Il est plus flexible que lEditeur de Stratgies Systme car les rglages peuvent tre filtrs en utilisant Active
Directory.
Les rglages sont imports en utilisant des fichiers .INF. Le snap-in Stratgie de Groupe peut tre employ pour
une machine locale ou distante.
Modles de scurit prdfinis de Windows 2000
Modle
De base
Compatible
Scuris
Hautement
scuris
Fichier
Description
basicwk.inf Configure la station avec un niveau de scurit basique
ou basicsv.inf
ou basicdc.inf
Offre un contexte de scurit trs proche de celui de Windows NT 4 ce qui permet
compatws.inf
dassurer une compatibilit accrue pour les applications conu pour lancien systme.
Il amliore les variables de scurit pour les Stratgies de Compte et dAudit. Enlve
securews.inf
tous les membres du groupe Utilisateur avec Pouvoir. Les ACL ne sont pas modifies.
ou
Il ne peut garantir le bon fonctionnement de toutes les applications (et leurs
securedc.inf
fonctionnalits).
Modle le plus sr mis disposition des machines qui utilisent Windows 2000 en
mode natif seulement. Il demande ce que toutes les connexions rseau soient
hisecws.inf ou
signes et cryptes de manire digitale (implmentation de IPSec). Il ne permet pas
hisecdc.inf
la communication avec des machines employant des modles plus anciens de clients
Windows. Il ne se soucie pas du bon fonctionnement des applications.
Si aucun des modles de scurit ne convient vos besoins, vous pouvez en crer sur mesure en partant dun
modle existant.
a)
Il existe deux types dobjet Stratgie: les stratgies de scurit (aussi appele stratgie local) et les stratgies de
groupe. Chaque systme Windows 2000 ne peut avoir quun seul objet stratgie de scurit.
Lordre dapplication des stratgies est : locale, site, domaine et enfin unit organisationnelle. Les stratgies locales
ont la prfrence la moins grande alors que lunit organisationnelle la plus grande.
44
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
b)
Elle peut tre lie un site grce loutil Sites & services Active Directory afin dtre applique tous les domaines
du site.
Quand elle est applique un domaine ou une unit dorganisation, cela affecte tous les utilisateurs et les
ordinateurs du domaine et (par hritage) tous les utilisateurs et ordinateurs de lunit dorganisation.
c)
Windows 2000 utilise le format registry.pol. Deux fichiers sont crs : un pour la configuration de la machine
(enregistr dans le sous-rpertoire \Machine) et un pour la configuration de lutilisateur (enregistr dans le sousrpertoire \User).
Le fichier registry.pol peut tre utilis avec Windows 95/98, Windows NT 4.0 et Windows 2000. NTConfig.pol
concerne les systmes sous Windows NT 4 alors que config.pol concerne Windows 9x/Me.
Les fichiers .POL peuvent tre lus grce lutilitaire regview.exe du Ressource Kit de Windows 2000.
d)
Configuration de la scurit
Afin d'assurer la cohrence du systme au niveau de la scurit, on utilise le snap-in Configuration et analyse
de la scurit (accessible uniquement par la cration d'une nouvelle mmc). Il permet de configurer et d'analyser
la scurit de Windows 2000. Il est bas sur le contenu d'un modle de scurit cr en utilisant le snap-in Modle
de Scurit.
$ Il existe une version en ligne de commande de cet outil: secedit.exe. Cette commande est dautant plus
intressante car elle permet via loption /refreshpolicy machine_policy ou /refreshpolicy user_policy dappliquer
instantanment les modifications de lapplication dune stratgie de groupe sans avoir besoin de redmarrer.
Par dfaut, Windows 2000 Professionnel ne demande pas lutilisateur lappui de CTRL-ALT-SUPPR pour se
connecter. Pour renforcer la scurit, on peut dsactiver cette fonction et forcer lutilisateur appuyer CTRL-ALTSUPPR (fixer ce paramtre en utilisant le snap-in Stratgie de Groupe).
Pour dsactiver laccs une station de travail, mais permettre aux programmes de continuer tourner, utiliser
loption Verrouiller la Station (depuis la boite de dialogue CTRL-ALT-SUPPR).
Pour dsactiver laccs une station de travail et ne pas permettre aux applications de continuer tourner, utiliser
loption Se Dconnecter (depuis la boite de dialogue CTRL-ALT-SUPPR).
Pour verrouiller une station aprs une certaine priode dinactivit, il est conseill dutiliser un mot de passe pour
lconomiseur dcran.
La suppression du fichier pagefile.sys lorsque lordinateur sarrte nest pas active par dfaut. On peut la
paramtrer via lEditeur de Stratgie Locale, ce qui empchera une personne malveillante dextraire des
informations depuis le pagefile.sys de votre machine.
Pour viter que le nom du dernier utilisateur soit affich la demande de logon (comme le fait Windows 2000
Professionnel par dfaut), il faut utiliser le snap-in Stratgie de Groupe, Stratgie de lOrdinateur local.
45
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Lorsque vous utilisez lObservateur dEvnements, seuls les Administrateurs locaux peuvent voir le journal de
scurit, mais Tout le Monde (par dfaut) peut voir les deux autres journaux.
Gestion de laudit
Laudit peut-tre activ par Dmarrer > Programmes > Outils dAdministration > Stratgie de Scurit
Locale. Double-cliquez sur Stratgies Locales puis cliquer sur Stratgies daudit. Slectionnez lvnement que vous
voulez auditer et dans le menu Action, cliquer Scurit. Dfinir les proprits pour chaque objet et redmarrer
lordinateur pour que la nouvelle stratgie prenne effet.
Lorsque vous souhaitez auditer laccs aux fichiers, aux dossiers et aux imprimantes, il est ncessaire dactiver
laudit Accs aux objets qui va permettre lenregistrement de la SACL (Security Access Control List).
A propos DEFS
Le systme de cryptage EFS fonctionne uniquement sous Windows 2000 et requiert des partitions NTFS v.5 ou
ultrieur. Il est transparent pour l'utilisateur.
Il utilise un algorithme de cryptage asynchrone (cl prive/cl publique) pour l'encodage des cls de cryptage
synchrones qui servent encoder les fichiers. Cela offre une scurit maximale pour les fichiers.
Un agent de rcupration doit tre configur afin de pouvoir rcuprer les fichiers crypts dans le cas, par exemple,
du dpart d'un employ ou de la perte de sa cl prive.
EFS est prsent dans le noyau de Windows et utilise un pool de mmoire non pagine pour enregistrer les clefs de
cryptage. Cela signifie que personne ne pourra les extraire de votre fichier de pagination.
Les fichiers crypts peuvent tre sauvegards en utilisant le programme Utilitaire de Sauvegarde, ils prserveront
leur tat de cryptage tant que les permissions daccs sont prserves.
Pour crypter un dossier : dans la boite de dialogue Proprits pour le dossier, cliquer sur longlet Gnral, ensuite,
cliquer sur le bouton Avanc et slectionner la case cocher Crypter le contenu pour scuriser les donnes . Le
dossier nest pas crypt, mais les fichiers qui y seront placs seront crypts. Dcocher la case si vous souhaitez que
les fichiers ne soient plus crypts.
Il est noter que le cryptage par dfaut est sur 56 bits. Dans les tats lautorisant, il est possible de pousser le
cryptage 128 bits. De plus, les fichiers compresss ne sont pas crypts et vice versa.
$ Vous ne pouvez pas partager des fichiers crypts.
Il existe deux programmes utiles qui concernent le cryptage des donnes : la commande cipher.exe qui permet de
crypter des fichiers et lutilitaire efsinfo.exe qui se trouve dans le Ressource Kit de Windows 2000 qui permet
ladministrateur dobtenir des informations sur les fichiers crypts.
Utiliser la commande CIPHER
/a
/d
/e
/f
/h
/i
/k
Applique les oprations spcifies aussi bien sur les dossiers que sur les fichiers
Dcrypte les dossiers spcifis et les marque pour que les fichiers qui y seront ajouts ne soient pas crypts
Crypte les dossiers spcifis et les marque pour que les fichiers qui y seront ajouts soient crypts
Force le cryptage des fichiers spcifis, mme ceux qui le sont dj
Affiche les fichiers avec les attributs systme/cachs qui ne sont pas visibles par dfaut
Lopration spcifie continue mme si des erreurs surviennent durant lopration
Cre une nouvelle cl de cryptage pour les utilisateurs qui lancent la commande Cipher ne peut pas tre
utilis conjointement avec dautres options
46
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
/q
/s
IPSec
Le protocole IPSec (Internet Protocol Security) permet dassurer la protection des paquets IP. Il utilise un modle
de scurit de bout en bout, ce qui signifie que seuls lmetteur et le rcepteur doivent avoir connaissance de la
protection IPSec. Cela permet aux routeurs de ne pas avoir implmenter ce protocole.
IPSec peut tre implment dans un domaine Windows 2000 utilisant Active Directory ou sur une machine
Windows 2000 au travers de ses rglages de Scurit Locale. Il nest pas disponible pour Windows 95/98 ou
Windows NT 4.
IPSec est constitu de quatre protocoles. Les deux principaux sont :
Cette commande est utilise pour tester des rglages avec un compte particulier alors que vous tes logg avec un
compte diffrent (relativement similaire la commande su sous UNIX).
Slectionner licne de lapplication faisant un simple clic gauche. Ensuite, enfoncer la touche Shift et faire un clic
droit sur licne. Quand le menu contextuel apparat, slectionner Excuter en tant que. Cela fait apparatre une
fentre qui a pour nom Excuter lapplication en tant quun autre utilisateur entrer login/mot de passe et cliquer
sur OK.
47
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 10
Configuration de limpression
1
Terminologie
Un priphrique dimpression est ce que lon appelle en gnral une imprimante, cest dire un matriel qui permet
dditer des documents, de les imprimer.
Une imprimante est linterface logicielle quil y a entre le priphrique dimpression et Windows. Concrtement, le
file dattente du priphrique dimpression.
Le serveur dimpression contient le pilote dimprimante propre chacun des priphriques dimpression connects.
Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur pour demander des travaux
dimpression (Windows 95, 98, NT, 2000).
b)
Vous devez avoir les privilges dAdministrateur afin dajouter une imprimante votre serveur. Lassistant dAjout
dimprimante vous guide pendant tout le processus qui vous permettra de dfinir quel priphrique dimpression est
disponible, sur quel port physique le priphrique dimpression est branch, quel pilote utiliser, ainsi que le nom du
priphrique dimpression sous lequel il sera connu sur le rseau.
c)
Le partage dune imprimante se fait dans les mmes conditions que lajout dune imprimante, cest dire quil faut
tre Administrateur. Un clic droit sur limprimante, puis Proprits, l il faut choisir longlet Partage. Choisir le nom
de partage de limprimante sur le rseau, et ensuite ajouter tous les pilotes ncessaires aux clients qui vont utiliser
cette imprimante (en cliquant sur Pilotes supplmentaires).
$ Une imprimante partage sous Windows 2000 se retrouve automatiquement publie dans Active Directory. Si
Active Directory nest pas implment sur le domaine, alors les utilisateurs devront parcourir le rseau pour
trouver limprimante partage.
d)
Partage et permissions
Une fois limprimante partage, il est utile daffecter aux bons utilisateurs les bonnes permissions. Pour cela, on
se rend dans longlet Scurit, puis on commence par supprimer le groupe Tout le Monde. Ensuite, on clique sur
Ajouter, on choisit les utilisateurs et/ou les groupes voulus puis on leur affecte les permissions requises.
e)
Les priorits dimpression sont fixes en crant plusieurs imprimantes logiques qui pointent vers le mme
priphrique dimpression et en leur assignant individuellement des priorits. Lchelle des priorits va de 1 (la plus
faible, par dfaut) 99, la plus forte. Il faut ensuite limiter via longlet scurit lutilisation de chacune des
imprimantes aux bons utilisateurs.
Pour mettre en place les priorits dune imprimante, il suffit de se rendre dans longlet Avanc, puis de remplir la
zone Priorit avec la valeur voulue.
f)
Windows 2000 Server offre le tlchargement automatique des pilotes pour les clients qui tournent sous Windows
2000, Windows NT 4, Windows NT 3.51 et Windows 95/98.
48
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
g)
Vous avez aussi la possibilit dutiliser un ou plusieurs priphriques dimpression identiques pour ne faire quune
imprimante logique. Cest le Print Pooling (Pool dimpression). Le pool dimpression ne comporte pas
ncessairement que des priphriques dimpression locaux, il peut aussi comporter des priphriques dimpression
munis de carte (interface) rseau.
Quand un travail dimpression sera rceptionn par le serveur, alors, il sera envoy au premier priphrique
dimpression qui sera disponible.
Pour crer un pool dimpression, il faut cette fois-ci se rendre dans longlet Port, puis cliquer la case Activer le pool
dimprimante et enfin il ne reste plus qu choisir sur quels ports sont connects les priphriques dimpression.
h)
Impression Internet
Limpression Internet est une nouveaut de Windows 2000. Vous pouvez utiliser une URL pour votre imprimante.
Le serveur dimpression doit tre sous Windows 2000 Server disposant dInternet Information Server ou sous
Windows 2000 Professionnel disposant de Personal Web Server.
Toutes les imprimantes partages peuvent tre grer sur http://nom_de_serveur/printers.
Windows 2000 Professionnel supporte les ports dimpression suivants : Line Printer (LPT), COM, USB, IEEE 1394, et
les priphriques rseaux attachs.
Windows 2000 Professionnel ne peut fournir des services dimpression qu des clients Windows et UNIX. Windows
2000 Server est requis pour supporter les clients Apple et Novell.
Vous pouvez utiliser des pages de sparation pour sparer les travaux dimpression dune imprimante partage. Un
modle de page de sparation peut tre cr et enregistr dans le dossier %systemroot%\system32 avec une
extension .SEP.
Vous pouvez utiliser Recommencer dans le menu de limprimante pour rimprimer un document. Cela peut se
rvler utile lorsque limprimante se bloque en cours dimpression. Loption Continuer peut tre slectionne pour
reprendre le travail l o vous lavez arrt.
Vous pouvez changer le dossier o se trouve le spooler dimpression dans les proprits avances de limprimante.
Pour rparer un spooler, vous devez arrter puis redmarrer le service spooler dans le snap-in Services des Outils
dAdministration du Panneau de configuration.
Utiliser lutilitaire en ligne de commande fixprnsv.exe pour rsoudre les problmes de compatibilit dimprimante.
Lactivation de loption disponibilit permet lAdministrateur de spcifier quelle heure limprimante est
disponible.
49
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 11
Installation et configuration des services Terminal Server
1
Le serveur
Il permet de grer les ressources lies la session de chaque utilisateur. Ce dernier reoit les frappes au clavier et
les clics de souris et achemine le rsultat visuel du systme d'exploitation au client appropri.
b)
Le client
c)
Le protocole RDP
Le protocole Remote Desktop Protocol prend en charge la communication entre l'ordinateur client et le serveur. Il
est optimis pour l'affichage des lments de l'interface graphique sur l'ordinateur client. Il s'agit d'un protocole de
la couche application qui utilise TCP/IP pour effectuer le transfert des donnes sur le rseau. Le protocole RDP
repose sur le standard ITU T 120.
d)
Deux mthodes permettent d'installer les services Terminal Server : au cours de l'installation de Windows 2000 ou
aprs l'installation en utilisant le groupe Ajout/Suppression de programmes du Panneau de configuration.
e)
administration distance : il va vous permettre de vous connecter sur votre serveur pour en assurer
l'administration. Windows 2000 va limiter 2 le nombre maximal de connexions.
serveur d'application : il s'agit du mode de fonctionnement normal des services de terminaux. Ce mode
va permettre vos utilisateurs de se connecter avec pour seule limitation le nombre de licences Terminal
Server (TS CAL) dont vous disposez.
f)
Pour pouvoir ouvrir une session Terminal Server, les comptes de vos utilisateurs doivent tre modifis.
Dans les proprits de comptes, onglet Profil des services Terminal Server, cochez la case Autoriser l'ouverture
de session Terminal Server puis Appliquez.
Vous pouvez aussi spcifier des dossiers de base et des profils pour les utilisateurs. Vous pouvez affecter un profil
un utilisateur qui s'applique uniquement aux sessions Terminal Server. Cette procdure vous permet de crer des
profils utilisateur pour l'environnement des services Terminal Server.
50
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
b)
Lorsqu'un utilisateur se connecte, la boite de dialogue Client des services Terminal Server s'affiche. Vous pourrez y
configurer la zone d'cran qui correspondra une rsolution d'affichage. Vous pouvez aussi dcider d'tablir une
connexion basse vitesse si vous utilisez un modem ou si le rseau est lent. Il est possible d'acclrer la vitesse de
rponse en mettant en cache les bitmaps, dans ce cas, votre client va enregistrer les lments d'affichage du
bureau dans un cache local.
c)
Les services Terminal Server permettent aux utilisateurs de mettre fin une session Terminal Server l'aide des
deux mthodes suivantes :
Dconnexion : vos applications vont continuer s'excuter sur le serveur. L'utilisateur peut se reconnecter au
serveur et reprendre la session.
Fermeture d'une session : La fermeture d'une session met fin son excution sur le serveur. Les applications
excutes au cours de la session sont fermes.
d)
Un serveur de licences stocke toutes les licences des services Terminal Serveur qui sont installes pour un groupe
de serveur Terminal Server.
Un domaine ou un site hbergeant des serveurs Terminal Server doit galement hberger un serveur de licences.
e)
51
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Licences Internet connector pour les services Terminal Server. Cette licence permet aux internautes d'utiliser de
faons simultane et anonyme un serveur Terminal Server.
Licences intgres. Les ordinateurs clients qui excutent Windows 2000 sont automatiquement licencis en tant
que clients des services Terminal Server.
Licences provisoires. Lorsqu'un serveur Terminal Server demande une licence et que le serveur de licences n'en a
aucune donner, une licence provisoire lui est dlivre. Le serveur de licences effectue le suivi de la dlivrance et
de l'expiration des licences provisoires.
f)
Permet lexcution dune application par plusieurs utilisateurs. Son programme d'installation doit copier les fichiers
vers une localisation centrale.
Vous disposez de deux mthodes pour l'installation :
Ajout/Suppression de programmes du panneau de configuration ou la commande change user l'invite : aprs
avoir ouvert une session en tant qu'administrateur, tapez change user /install , installez l'application puis ensuite
l'invite tapez change user /execute.
52
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 12
Implmentation de serveurs Windows 2000
1
Le service Active Directory (Active Directory) permet une gestion centralise. Cela vous donne la possibilit dajouter,
de retirer et de localiser les ressources facilement. Il offre une avance significative au-del des limitations du modle
de scurit du domaine Windows NT.
Ainsi, nous avons :
Une administration simplifie: Active Directory offre une administration de toutes les ressources du
rseau dun point unique. Un administrateur peut se loguer sur nimporte quel ordinateur pour grer les
ressources de tout ordinateur du rseau.
Une mise lchelle: les domaines NT 4 ont une limitation pratique de 40 000 objets. Active Directory
repousse cette limite plusieurs millions si cela est ncessaire.
Un support standard ouvert: Active Directory utilise DNS pour nommer et de localiser des ressources,
ainsi les noms de domaine Windows 2000 sont aussi des noms de domaine DNS. Active Directory fonctionne
avec des services de clients diffrents tels que NDS de Novell. Active Directory supporte le http. Cela signifie
quil peut chercher les ressources au travers dune fentre dun browser web. De plus, le support de Kerberos
5 apporte la compatibilit avec les autres produits qui utilisent le mme mcanisme dauthentification.
Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur ou un compte
utilisateur.
Classe : groupement logique dobjet tels les comptes dutilisateurs, ordinateurs, domaines, ou units
organisationnelles.
Unit organisationnelle (OU) : container utilis pour organiser les objets dun domaine lintrieur de
groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes dutilisateurs, les fichiers
partags, les applications et mme dautres units organisationnelles.
Domaine : chacun des objets dun rseau existe dans un domaine et chaque domaine contient les
informations des objets quil contient. Un domaine est scuris, cest dire que laccs aux objets est limit
par des ACL (Access Control List). Les ACL contiennent les permissions, associes aux objets, qui dterminent
quels utilisateurs ou quels types dutilisateurs peuvent y accder. Dans Windows 2000, toutes les stratgies
de scurit et les configurations (telles les droits administratifs) ne se transmettent pas dun domaine
lautre. Ladministrateur de domaine peut dterminer les stratgies uniquement lintrieur de son propre
domaine.
Arbre : cest un groupement ou un arrangement hirarchique dun ou plusieurs domaines Windows 2000 qui
partagent des espaces de noms contigus (par exemple : administration.supinfo.com,
comptabilit.supinfo.com, et training.supinfo.com). Tous les domaines dun mme arbre partagent le mme
schma commun (la dfinition formelle de tous les objets qui peuvent tre enregistrs dans une architecture
dActive Directory) et partagent un catalogue commun.
Fort : cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres qui ont des noms
disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les arbres dune fort partagent le
mme schma commun et le mme catalogue, mais ont des structures de noms diffrentes. Les domaines
53
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
dune fort fonctionnent indpendamment les uns des autres, mais les forts permettent la communication
dun domaine lautre.
Sites : combinaison dune ou plusieurs IP de sous rseau connects par des liens hauts dbits. Ils ne font
pas partie dun espace de nommage dActive Directory, et ils contiennent seulement les ordinateurs, les
objets et les connexions ncessaires pour configurer la rplication entre sites.
Rplication de sites
Un contrleur de domaine est un ordinateur sous Windows 2000 Server qui contient une rplique de larborescence
du domaine (ce nest pas le cas des serveurs membres). Active Directory utilise une rplication multimatres, cest-dire quaucun contrleur de domaine nest contrleur principal de domaine, tous les contrleurs de domaine sont
au mme niveau.
Disposer de plus dun contrleur de domaine dans un domaine permet la tolrance de panne. Si un contrleur de
domaine tombe en panne, un autre est capable de continuer authentifier les demandes de connexion et dassurer
les services demands grce sa copie de lActive Directory.
Les informations de lActive Directory sont rpliques entre les contrleurs de domaines (DC) et assurent que les
changements effectus sur un contrleur seront rpliqus sur les autres contrleurs du domaine. Le contrleur de
domaine garde une copie de toutes les informations contenues dans lannuaire Active Directory de son domaine. Il
gre les changements et se charge aussi de rpliquer ces changements aux autres contrleurs du mme domaine.
Les contrleurs de domaine dupliquent eux-mme tous les objets du domaine vers les autres contrleurs du mme
domaine. Quand vous modifiez des informations dans Active Directory, vous effectuez ces changements sur un seul
des contrleurs de domaine.
La rplication est automatique et utilise une topologie en anneau pour seffectuer dans un mme domaine et un
mme site. Lanneau assure que si un contrleur de domaine est en panne, il y aura quand mme une possibilit de
rpliquer ses informations vers les autres contrleurs de domaine.
Les administrateurs peuvent spcifier le nombre de rplications faites, lheure a laquelle elles seffectuent ainsi que
la quantit dinformation pouvant tre transmise.
Les contrleurs de domaine rpliquent immdiatement les changements tels que la dsactivation dun compte
utilisateur.
Schma
Il contient une dfinition formelle du contenu et de la structure de Active Directory tel que les attributs, les classes
et les classes de proprits. Pour une classe dobjet, le schma est : quels attributs linstance dune classe doit
possder, quels attributs additionnels sont autoriss et quelle classe dobjet peut tre son parent.
Installer Active Directory sur le premier ordinateur dun rseau cre le domaine et le schma par dfaut contiendra
les objets frquemment utiliss. Des extensions peuvent tre ajoutes au schma lorsque cela est ncessaire. Par
dfaut, laccs en criture au schma est limit aux membres du groupe Administrateurs.
b)
Catalogue Global
Cest l que sont stockes les informations lies aux objets dun arbre ou dune fort. Active Directory cre
automatiquement un catalogue global partir des domaines qui composent lActive Directory par le processus de
rplication. Les attributs stocks dans le catalogue global sont ceux qui font le plus souvent lobjet de requte dans
les oprations de recherche (tels que les noms dutilisateurs, les noms de login, etc.) et sont utiliss pour localiser
une rplique exacte de lobjet. Pour ces raisons, le catalogue global peut tre utilis pour trouver des objets partout
sur le rseau sans besoin de rplication entre les contrleurs de domaine.
54
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Nom Distinct (DN) : chacun des objets dActive Directory dispose du sien. Il identifie de manire unique
un objet et contient assez dinformation pour quun client de lActive Directory puisse le retrouver dans
lActive Directory. Il inclue le nom de domaine qui contient lobjet ainsi que le chemin complet pour se
rendre jusqu lui. Les noms distincts doivent tre UNIQUES, Active Directory nacceptera pas de doublons.
Nom Relatif Distinct (RDN - Relative Distingushed Name) : si le nom distinct est inconnu, vous
pouvez chercher un objet par ses attributs. Le nom relatif distinct est une partie du nom qui est un attribut
de lobjet lui-mme (par exemple, Michel Dupont pourrait avoir CN = Michel Dupont comme RDN).
Identifiant Global Unique (GUID - Globally Unique Identifier) : cest un nombre de 128 bits unique
assign lobjet lorsquil est cr. Cette valeur ne change JAMAIS mme si lobjet est renomm ou dplac.
Ce numro peut tre utilis pour localiser lobjet.
Nom Principal dUtilisateur (UPN - User Principal Name) : cest le nom donn un compte
utilisateur (par exemple labo-microsoft@supinfo.com).
55
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Module 13
Services daccs a distance (RAS Remote Access Services)
Les services d'accs distance de Windows 2000 intgrent les fonctionnalits d'accs distant ainsi que des
fonctionnalits de routage.
Protocoles dauthentification
EAP (Extensible Authentication Protocol) : il sagit dun complment du protocole PPP permettent ce dernier la
prise en charge de nouvelles mthodes dauthentification (cartes puces par exemple). MD5-CHAP et EAP-TLS sont
deux exemples d EAP.
EAP-TLS (Transport Level Security) : utilis en particulier pour les certificats digitaux. Avec EAP-TLS, le serveur et
le client doivent sauthentifier mutuellement.
MD5-CHAP (Message Digest 5 Challenge Handshake Authentication Protocol): crypte les logins et les mots de
passe avec un algorithme MD5.
RADIUS (Remote Authentication Dial-in User Service): spcification pour lauthentification distante de
constructeurs indpendants. Windows 2000 Professional ne peut tre QUE client RADIUS.
MS-CHAP v1 et v2 (Microsoft Challenge Handshake Authentication Protocol): crypte la session complte,
contrairement a MD5-CHAP. La version 2 est supporte par Windows 9x/Me, NT4 et 2000 pour les connexions VPN.
MS-CHAP ne peut pas tre utilis par des clients non-Microsoft.
SPAP (Shiva Password Authentication Protocol) : utilis par les clients Shiva LAN Rover. Il crypte le mot de passe,
mais pas les donnes.
CHAP (Challenge Handshake Authentication Protocol) :crypte le login, le mot de passe mais pas les donnes. Il
peut fonctionner avec les clients non-Microsoft.
PAP (Password Authentication Protocol) : il envoie le login et le mot de passe en clair.
PPTP
Non
Non
Oui
Oui
L2TP
Oui
Oui
Non
Oui
Non
Oui
56
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
BAP (Bandwidth Allocation Protocol) et BACP (Bandwidth Allocation Control Protocol) amliorent le multilinking en
augmentant et diminuant de manire dynamique la bande passante. Les caractristiques sont configures au
travers des stratgies du RAS.
Il est activ depuis longlet PPP de la bote de dialogue Proprits du serveur RAS.
Lutilisation du rappel permet la prise en charge des frais tlphoniques de lutilisateur qui se connecte a distance
par la socit. Cest aussi un moyen daccrotre la scurit (rappel a un numro prdfini).
Pour faciliter lutilisation de laccs a distance par des itinrants (tels les VRP),il faudra pourtant choisir loption
Permettre lappelant de fixer le numro de rappel (scurit moindre).
La documentation technique de Microsoft se rfre en gnral Accs Rseau Distance lorsque lon parle de
connexion vers lextrieur. Les connexions entrantes sont connues sous le nom de Remote Access Services (RAS).
Toutes les nouvelles connexions sont ajoutes via lassistant Nouvelle connexion .
Pour crer une connexion VPN, choisir Numroter vers un rseau priv, spcifier si vous devez tablir une liaison
par un provider avant, entrer le nom dhte ou ladresse IP de lordinateur/du rseau auquel vous voulez vous
connecter, et enfin spcifier si la connexion est pour votre profil uniquement ou pour tout le monde.
Ces entres peuvent tre cres pour des connexions modem, LAN, lien direct par cble, et infrarouge.
PPP est choisi en gnral parce quil supporte de nombreux protocoles, cryptages et lattribution dynamique
dadresse IP. SLIP est un protocole plus ancien qui ne supporte que TCP/IP.
Toutes les connexions rseau, entrantes et sortantes, sont reprsentes par des icnes spares et toutes les
options peuvent tre configures de manire individuelle.
57
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Notes :
58
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Notes :
59
60