Examen 70 210 Essentiel 1.1

Microsoft Windows 2000
Implmentation de Windows 2000

Professionnel et Serveur
Essentiel
de prparation
aux certifications
70-210 / 70-215
Par :
NEDJIMI Brahim
THOBOIS Loc
sur une base de O. Boisne et A. Nedjimi
23, rue Chteau Landon

75010 PARIS
http://www.supinfo.com
http://www.laboratoire-microsoft.org
- Ce document est la proprit de Supinfo
Essentiel v1.1
Implmentation de Windows 2000 Professionnel et Serveur
Table des Matires :

Table des Matires :___________________________________________________________________________________2
Module 1 Installation de Windows 2000 ou mise niveau vers Windows 2000_______________________________________6
1
Premier aperu de Windows 2000 ___________________________________________________________________6
2
a)
b)
c)
Installation de Windows 2000 _______________________________________________________________________6

Installation depuis un CD-ROM ____________________________________________________________________ 6
Installation via le rseau___________________________________________________________________________ 7
Installation a distance avec les services RIS ___________________________________________________________ 8
Travailler avec Sysdiff_____________________________________________________________________________9
Utilitaire de prparation de systme Sysprep __________________________________________________________9
Mise jour depuis une version prcdente ____________________________________________________________9
Fichiers et journaux de l'installation _________________________________________________________________9
Module 2 Configuration de lenvironnement de Windows 2000__________________________________________________11

1
Configuration des priphriques ___________________________________________________________________11
2
a)
b)
c)
Signature des pilotes _____________________________________________________________________________11

Configurer la signature des pilotes__________________________________________________________________ 11
Vrification de signature (sigverif.exe) ______________________________________________________________ 11
Utiliser le vrificateur de fichiers systme (sfc.exe) ____________________________________________________ 11
Mise jour des pilotes ____________________________________________________________________________12
Configuration de laffichage _______________________________________________________________________12
Le support du fax________________________________________________________________________________12
Les services daccessibilit ________________________________________________________________________13
Prise en charge des processeurs multiples ____________________________________________________________13
Installer et grer des priphriques rseau ___________________________________________________________13
Processus de dmarrage Windows 2000 _____________________________________________________________13
10
Fonctionnement des chemins ARC________________________________________________________________14
11
Utilisation de la console de rcupration ___________________________________________________________15
12
Les options de dmarrage et paramtres de rcupration _____________________________________________16
13
La disquette de rparation d'urgence _____________________________________________________________16
14
Gestion des applications ________________________________________________________________________16
15
Utilisation de linstallateur de Packages Microsoft___________________________________________________17
16
Profils matriels _______________________________________________________________________________17
17
Profils utilisateurs _____________________________________________________________________________17
18
Support multi-langages et multi-locations __________________________________________________________18
19
Le registre de Windows 2000 ____________________________________________________________________18
20
a)
Support des ordinateurs mobiles _________________________________________________________________19

Utiliser les fichiers Hors Connexion ________________________________________________________________ 19
Module 3 Connexion dordinateurs clients Windows 2000 a des rseaux __________________________________________20

1
a)
b)
2
Gestion des protocoles ____________________________________________________________________________20

Protocole TCP/IP _______________________________________________________________________________ 20
Configuration de TCP/IP _________________________________________________________________________ 20
Outils de dpannage en ligne de Commande__________________________________________________________21
Ce document est la proprit de lEcole Suprieure dInformatique (http://www.supinfo.com)
Essentiel v1.1
a)
Procdure de Dpannage _________________________________________________________________________ 21
a)
Configuration de NWLink (IPX/SPX) et Netware _____________________________________________________21

Installation de NWLink __________________________________________________________________________ 21
a)
b)
Connexion un rseau Microsoft___________________________________________________________________22

Ajout de la station ou du serveur au domaine _________________________________________________________ 22
Connexion une ressource distante _________________________________________________________________ 22
a)
b)
Connexion un rseau Novell Netware ______________________________________________________________22

Clients pour rseau Netware ______________________________________________________________________ 22
Services Passerelle pour Netware __________________________________________________________________ 22
3
4
Autres protocoles ________________________________________________________________________________23
7
a)
b)
c)
Outils de connectivit_____________________________________________________________________________23
Cot Serveur __________________________________________________________________________________ 23
Utilitaires TCP/IP Client _________________________________________________________________________ 23
Services pour Unix v2.0__________________________________________________________________________ 24
Module 4 Gestion de comptes dutilisateurs _________________________________________________________________26

1
Installation des outils dadministration ______________________________________________________________26
Comptes dutilisateurs locaux et de domaine _________________________________________________________26
Convention de nommage __________________________________________________________________________26
4
a)
b)
Gestion des comptes______________________________________________________________________________26

Comptes locaux ________________________________________________________________________________ 26
Comptes de domaine ____________________________________________________________________________ 26
Gestion des dossiers de base _______________________________________________________________________26
Gestion des profils utilisateurs _____________________________________________________________________27
Profil d'utilisateur itinrant _______________________________________________________________________27
Profil d'utilisateur obligatoire _____________________________________________________________________27
Module 5 Gestion de laccs aux ressources laide de groupes _________________________________________________28

1
Les groupes dans un groupe de travail ______________________________________________________________28
2
a)
b)
Les groupes dans un domaine______________________________________________________________________29

Les types de groupes ____________________________________________________________________________ 29
L'tendue des groupes ___________________________________________________________________________ 29
Module 6 Gestion de donnes laide du systme de fichiers NTFS ______________________________________________31

1
Les autorisations NTFS ___________________________________________________________________________31
Principe d'hritage des autorisations NTFS __________________________________________________________31
Principe de blocage de lhritage ___________________________________________________________________31
Autorisation Refuser _____________________________________________________________________________31
5
a)
b)
Autorisations NTFS spciales ______________________________________________________________________32

Modifier les autorisations ________________________________________________________________________ 32
Appropriation__________________________________________________________________________________ 32
Copie et dplacement de fichiers et de dossiers________________________________________________________32
Compression de fichiers et dossiers _________________________________________________________________33
8
a)
Utilisation des quotas de disques ___________________________________________________________________33

Options de quotas_______________________________________________________________________________ 33
Module 7 Accs aux ressources disques_____________________________________________________________________34

1
a)
Cration de dossiers partags ______________________________________________________________________34

Partages administratifs ___________________________________________________________________________ 34
Essentiel v1.1
b)
c)
Partage dun dossier et permissions _________________________________________________________________ 34

Autorisation sur les dossiers partages _______________________________________________________________ 34
Choisir un systme de fichiers _____________________________________________________________________35
Les capacits de protection de fichiers de Windows (WFP : Windows File Protection) _______________________35
Les volumes sous Windows 2000 ___________________________________________________________________35
5
a)
b)
c)
d)
DFS : Distributed File System _____________________________________________________________________37

Prsentation ___________________________________________________________________________________ 37
Les avantages de DFS ___________________________________________________________________________ 37
Restrictions de DFS _____________________________________________________________________________ 38
Les types de racines DFS_________________________________________________________________________ 38
a)
b)
Tolrance de pannes _____________________________________________________________________________38

Prsentation de la tolrance de pannes sous Windows 2000 ______________________________________________ 38
Procdure de rparation des systmes RAID sous Windows 2000 _________________________________________ 39
a)
Sauvegarde et Rcupration des donnes ____________________________________________________________40

Sauvegarde des donnes sur ltat du systme_________________________________________________________ 40
Module 8 Surveillance et optimisation des performances dans Windows 2000 ______________________________________41

1
Planification des tches ___________________________________________________________________________41
Lanalyseur de Performances ______________________________________________________________________41
Les alertes et le journal de performance _____________________________________________________________42
Surveillance des processus (Gestionnaire des tches) ___________________________________________________42
Journal des vnements___________________________________________________________________________42
Mmoire virtuelle et fichier de pagination ___________________________________________________________43
Module 9 Implmentation de la scurit dans Windows 2000 ___________________________________________________44

1
a)
b)
c)
d)
Stratgie de groupe ______________________________________________________________________________44

Stratgie de scurit et stratgie de groupe ___________________________________________________________ 44
Stratgie de Groupe (enregistre dans Active Directory) ________________________________________________ 45
Config.pol, NTConfig.pol et Registry.pol ____________________________________________________________ 45
Editeur de Stratgies Systme (poledit.exe)___________________________________________________________ 45
Configuration de la scurit _______________________________________________________________________45
Gestion de laudit ________________________________________________________________________________46
4
a)
Systme de cryptage de fichier (EFS : Encrypting File System) __________________________________________46

A propos DEFS________________________________________________________________________________ 46
IPSec __________________________________________________________________________________________47
Le second service de connexion (Excuter en tant que) _________________________________________________47
Module 10 Configuration de limpression ___________________________________________________________________48

1
a)
b)
c)
d)
e)
f)
g)
h)
2
Les priphriques dimpression locaux et en rseau ___________________________________________________48

Terminologie __________________________________________________________________________________ 48
Ajout dune imprimante__________________________________________________________________________ 48
Partage dune imprimante ________________________________________________________________________ 48
Partage et permissions ___________________________________________________________________________ 48
Gestion des priorits ____________________________________________________________________________ 48
Configuration des clients _________________________________________________________________________ 48
Cration dun pool ______________________________________________________________________________ 49
Impression Internet _____________________________________________________________________________ 49
Pour aller plus loin_______________________________________________________________________________49
Module 11 Installation et configuration des services Terminal Server ____________________________________________50

1
Fonctionnement des services de terminaux ___________________________________________________________50
Essentiel v1.1
a)
b)
c)
d)
e)
f)
Le serveur ____________________________________________________________________________________ 50
Le client ______________________________________________________________________________________ 50
Le protocole RDP ______________________________________________________________________________ 50
Installation des services Terminal Server ____________________________________________________________ 50
Les deux modes dinstallation _____________________________________________________________________ 50
Configuration pour laccs client___________________________________________________________________ 50
a)
b)
c)
d)
e)
f)
Connexion sur un serveur de terminaux _____________________________________________________________51

Installation du client des services Terminal Server _____________________________________________________ 51
Etablissement dune connexion ____________________________________________________________________ 51
Fin dune session Terminal Server__________________________________________________________________ 51
Gestion des licences_____________________________________________________________________________ 51
Types de licences client __________________________________________________________________________ 51
Gestion des applications _________________________________________________________________________ 52
Module 12 Implmentation de serveurs Windows 2000 ________________________________________________________53

1
Vue densemble dActive Directory _________________________________________________________________53
Structure dActive Directory ______________________________________________________________________53
Rplication de sites_______________________________________________________________________________54
4
a)
b)
5
Concepts de lActive Directory _____________________________________________________________________54

Schma_______________________________________________________________________________________ 54
Catalogue Global _______________________________________________________________________________ 54
Convention de nomenclature dActive Directory ______________________________________________________55
Module 13 Services daccs a distance (RAS Remote Access Services)___________________________________________56

1
Protocoles dauthentification ______________________________________________________________________56
Rseau Priv Virtuel (VPN - Virtual Private Network) _________________________________________________56
Support Multi-lien (Multilink support) ______________________________________________________________57
Configurer la scurit du rappel (Callback) __________________________________________________________57
Accs rseau distance ___________________________________________________________________________57
Essentiel v1.1
Module 1
Installation de Windows 2000 ou mise niveau vers Windows 2000
1
Premier aperu de Windows 2000
Parmi les produits de la famille Windows 2000, il existe quatre systmes dexploitation : Windows 2000
Professionnel, Windows 2000 Server, Windows 2000 Advanced Server et Windows 2000 Datacenter. Mis part le
nombre de processeurs support par chacun de ces systmes, peu de choses les diffrencient. Les deux systmes
que nous allons tudier, Windows 2000 Professionnel et Server supportent respectivement jusqu deux et quatre
processeurs (la version Advanced Server en supporte jusqu' huit et la version Datacenter jusqu' trente-deux).
Le tableau suivant indique la configuration minimale requise pour linstallation de chacun de ces deux systmes.
Processeurs
Windows 2000 Professionnel
Windows 2000 Server
Pentium 133 ou plus

(supporte 2 processeurs au plus)
Pentium 133 ou plus

(supporte 4 processeurs au plus)
32Mo minimum
64Mo recommands
4Go maximum
64Mo minimum (jusqua 5 clients)

128Mo recommands
4Go maximum
Disque de 2Go avec au moins 650Mo

d'espace libre
Disque de 2Go avec au moins 1Go d'espace

libre
Mmoire vive
Disque dur
Avant d'installer Windows 2000, il faut vrifier que l'ensemble du matriel utilis figure dans la Hardware
Compatibility List (HCL) disponible sur www.microsoft.com/hcl.
Installation de Windows 2000
Elle se droule en quatre tapes:

i.
Prparation des disques et copie les fichiers ncessaires (mode texte). Un redmarrage a ncessairement
lieu la fin de cette tape.
ii.
Assistant d'installation (mode graphique) : saisie dinformations additionnelles telles la cl du produit, le

nom de l'organisation, le mot de passe administrateur, les paramtres rgionaux,
iii.
Installation du rseau : dtection des cartes rseaux, installation des composants rseau (client pour les
rseaux Microsoft, partage de fichiers et d'imprimantes) et installation du protocole TCP/IP (les autres
protocoles peuvent tre installs par la suite). On a aussi la proposition de jonction un domaine ou un
groupe de travail. A la suite de ces choix, les composants sont configurs, des fichiers additionnels sont
copis et le systme redmarre.
iv.
Fin de l'installation : Mise en place du menu Dmarrer, enregistrement des composants, sauvegarde de la
configuration, suppression des fichiers temporaires et dernier redmarrage.
a)
Installation depuis un CD-ROM
Linstallation peut se faire directement partir CD-ROM, en bootant sur ce dernier.

Il est possible dautomatiser cette installation partir du cdrom en crant un fichier de rponse automatique
laide de loutil setupmgr.exe (celui-ci se trouve sur le cdrom de Windows 2000, dans le module
\support\tools\deploy.cab). Une fois le fichier de rponse automatique cr (unattend.txt), il suffira de le renommer
Essentiel v1.1
en winnt.sif et de le copier sur une disquette. Insrer la disquette avant de booter sur le cdrom et la procdure
dinstallation ira chercher automatiquement le fichier.
Lorsquil nest pas possible de booter depuis le CDROM, on a recours aux deux autres mthodes suivantes :
Grce aux disquettes dinstallations Windows 2000 : Pour crer les disquettes, il faut excuter makeboot
(on peut prciser le lecteur : makeboot a: ) depuis le rpertoire \i386\bootdisk sur le CD ROM d'installation.
Cela cre un jeu de quatre disquettes.
Avec une disquette de dmarrage Windows 98 (avec le support du CD-ROM) : on excute winnt.exe depuis
le rpertoire i386 sur le CD.
b)
Installation via le rseau
Ce type dinstallation requiert la mise en place dun serveur de fichiers avec un partage contenant les fichiers
dinstallation de Windows 2000 Professionnel.
Les clients pourront lancer linstallation via une disquette de dmarrage et un client rseau (il faudra alors excuter
winnt.exe) ou directement a partir de Windows (9x, Me, NT 3.51/4) sil sagit dune mise jour (lancer
winnt32.exe).
Les postes clients ncessitent environ 685Mo despace disque libre pour les fichiers du systme ainsi que 100
200Mo pour la copie des fichiers temporaires lis la premire phase de linstallation.
Commutateurs pour winnt.exe (en ligne de commande) :
/a
/e[:command]
/r[:folder]
/rx[:folder
/s[:sourcepath]
/t[:tempdrive]
/u[:answer file]
/udf:id [,UDF_file]
Active les options d'accessibilit

Spcifie une commande excuter la dernire tape de l'installation
Spcifie un dossier supplmentaire installer. Ce dossier n'est pas supprim aprs
l'installation
Spcifie un dossier optionnel copier. Ce dossier est supprim aprs l'installation
Spcifie la source des fichiers d'installation (locale ou rseau)
Spcifie le chemin des fichiers temporaires
Spcifie le chemin du fichier rponse (ncessite /s)
Spcifie l'ID pour la personnalisation dun fichier de rponses avec un fichier UDF
(Uniqueness Database File)
Commutateurs pour winnt32.exe (en ligne de commande) :

/checkupgradeonly
/copydir:folder_name
/copysource:folder_n
ame
/cmd: command_line
Ne lance pas linstallation. Il sert vrifier la compatibilit du systme avec Windows

2000 (gnre un rapport)
Cre des rpertoires supplmentaires dans %systemroot% . Conserv aprs
l'installation
Cre des rpertoires supplmentaires dans %systemroot% .Dtruits aprs
l'installation
Excute une commande avant la dernire tape de l'installation
Essentiel v1.1
/cmdcons
/debug[level]
[:file_name]
/m:folder_name
/makelocalsource
/nodownload
/noreboot
/s:source_path
/syspart:drive_letter
/tempdrive:drive_lett
er
/unattend: [number]
[:answer_file]
c)
Installe la console de rcupration

Cre un journal de dboguage contenant les informations suivant les niveaux de
gravit suivants : 0=erreurs graves, 1=erreurs standard, 2=avertissements 3=
informations, 4= informations dtailles pour deboguage. Chaque niveau inclue les
niveaux qui le suivent (le niveau 0 inclue tous les autres,)
Force le processus dinstallation rechercher les fichiers dans un rpertoire donn en
premier lieu. S'il ne les trouve pas, il poursuit dans le chemin par dfaut
Force la copie des fichiers source pour permettre de poursuivre l'installation si ceuxci deviennent indisponibles.
Utilis pour la mise jour de Windows 9x. Il force la copie de winnt32.exe et des
fichiers rattachs localement afin dviter les problmes de congestion du rseau lors
de linstallation.
Empche le redmarrage aprs la premire tape d'installation
Spcifie l'emplacement des sources. Plusieurs chemins peuvent tre utiliss
simultanment.(mais le premier chemin doit tre valide)
Copie tous les fichiers de dmarrage sur le disque et marque le disque comme actif.
On peut dplacer le disque vers un autre ordinateur et celui-ci va redmarrer
automatiquement au second stade de l'installation. (ncessite le switch /tempdrive)
L'installation utilise le chemin spcifi pour les fichiers temporaires. Utile quand
l'espace disque est limit
Spcifie le chemin du fichier rponse (ncessite /s)
Installation a distance avec les services RIS
La fonction d'installation distance de Windows 2000 permet dutiliser les services RIS (Remote Installation
Service) pour effectuer une installation automatise de Windows 2000 Professionnel.
Il faut prendre en considration les points suivants :
Actuellement, seul Windows 2000 Professionnel peut tre install via ce procd
Cette fonctionnalit ncessite un serveur RIS sur le rseau. Les services suivants doivent aussi tre
prsents sur le rseau : Active Directory (pour localiser les serveurs RIS), DNS (requis pour Active
Directory), DHCP (pour que le client puisse obtenir une adresse IP).
RIS doit tre install sur un disque partag, diffrent de celui qui contient Windows 2000 Server, et doit
tre format en NTFS.
Le volume partag doit tre assez grand pour supporter RIS et les diffrentes images disques Windows
2000 Professionnel.
Les images RIPRep peuvent avoir des applications pr-installes. Les identifiants uniques tels que les SID
sont supprims au moment o les images RIPRep sont gnres.
Linstallation utilise des fichiers .SIF, variante des fichiers unattend.txt.
Une fois que RIS est install sur le serveur et quil est fonctionnel, utilisez le Remote Boot Floppy Generator
(RBFG.EXE) afin de crer des disquettes dinstallation bootables. Ces disquettes ne supportent que les cartes rseau
PCI. Cependant, si la machine dispose dune carte rseau PXE ou sil sagit dun NetPC, les disquettes de dmarrage
ne sont pas ncessaires.
Les ordinateurs client peuvent tre constitus de matriel htrogne condition que les composant utilisent la
mme HAL (Hardware Abstraction Layer).
Utilisez riprep.exe pour dmarrer lAssistant RIS.
Essentiel v1.1
Travailler avec Sysdiff
Sysdiff est employ pour installer des applications, en utilisation conjointe avec un fichier de rponses
Unattend.txt. Sysdiff vous permet de prendre une photo de ltat original de votre machine, dinstaller des
applications, et de rpertori les changements intervenus dans un seul fichier qui peut tre ensuite appliqu sur
dautres machines.
Faites votre installation de base dans un premier temps. Ensuite, prenez une photo avant dinstaller des
applications. La syntaxe est la suivante : sysdiff /snap fichier_photo
Installez les applications dsires sur la machine. Ensuite gnerez le fichier contenant les diffrences grce :
sysdiff /diff fichier_photo fichier_diffrences
Maintenant, vous pouvez appliquer ces diffrences sur dautres machines de destination avec la commande:
sysdiff /apply \\setupserver\w2k\fichier_differences.
Utilitaire de prparation de systme Sysprep
Il sagit dun outil simplifiant le clonage de machines. Il permet le retrait des lments spcifiques au clone (nom de
la machine, numro de srie,). Cela supprime notamment le problme de SID dupliqus de Windows NT 4.
Sysprep se trouve dans le package DEPLOY.CAB localis dans le dossier \support\tools du CD-ROM de Windows
2000.
Sysprep lance un assistant lors du premier redmarrage de la machine qui va permettre de configurer les
informations spcifiques l'ordinateur.
Il est possible de crer un fichier de rponse automatique en utilisant setupmgr.exe, qui se trouve lui aussi dans le
dossier \support\tools du CD ROM d'installation de Windows 2000.
Mise jour depuis une version prcdente
Lancez winnt32.exe depuis le rpertoire i386 du CD-ROM de Windows 2000 pour faire une mise jour depuis une
version prcdente de Windows.
Windows 2000 va mettre jour et prserver les paramtres des systmes d'exploitation suivants : Windows 95, 98
et Me (toutes les versions), Windows NT Workstation 3.51 et 4.0 .
Windows NT 3.1 ou 3.5 doivent subir une mise jour intermdiaire en NT 3.51 ou NT 4.0 avant de pouvoir migrer
en Windows 2000.
A cause des diffrences de registre entre Windows 9x et Windows 2000, des packs (dlls) de mise jour peuvent
tre ncessaires, le logiciel d'installation les recherche dans le dossier \i386\Win9xmig sur le CD-Rom de Windows
2000.
Pour vrifier si une mise jour peut s'oprer dans de bonnes conditions, lancez winnt32 /checkupgradeonly.
Cela va gnrer un rapport qui va souligner les lments potentiellement problmatiques pour votre mise jour.
Vous pouvez aussi utiliser l'outil chkupgrd.exe disponible partir du site Microsoft (
www.microsoft.com/windows2000 ).
$ Si Windows 98 et Windows NT sont installs sur la mme machine, la mise jour ne peut pas seffectuer partir
de Windows 98. Elle doit tre faite depuis Windows NT.
Fichiers et journaux de l'installation
Essentiel v1.1
Le programme d'installation cre les journaux suivants :
Setupact.log
(journal des actions)
Setuperr.log
(journal des erreurs)
Comsetup.log
Setupapi.log
Netsetup.log
Mmdet.log
Il enregistre les actions de modification dans un ordre chronologique. Il inclue

les fichiers copis et les entres du Registre, ainsi que les entres faites dans le
fichier error log.
Il enregistre toutes les erreurs qui arrivent durant les installations en incluant le
niveau dimportance des erreurs.
Il est utilis par le Optional Component Manager et les composants COM+.
Il enregistre une ou plusieurs entres chaque fois quune ligne dun fichier
.INF est excute (lors de la mise en place des fichiers .INF).
Il enregistre les activits de jonction un domaine ou un groupe de travail.
Il enregistre la dtection des priphriques multimdias ainsi que certaines
proprits de ces derniers, telles que les adresses d'entre sorties.
10
Essentiel v1.1
Module 2
Configuration de lenvironnement de Windows 2000
1
Configuration des priphriques
Windows 2000 supporte pleinement le Plug-and-Play.

Ainsi, le systme dtecte immdiatement un nouveau
priphrique lorsque celui-ci est connect. Sil le peut,
Windows 2000 installera lui mme les pilotes
correspondants.
Utilisez la loutil Gestion de lordinateur (clic droit sur
Poste de Travail puis Grer) pour afficher les informations
sur la configuration de votre ordinateur. Vous pourrez, par
lintermdiaire de loption Gestionnaire de priphrique
, afficher des informations utiles sur les Conflits/Partages,
DMA, IRQ, E/S ou encore la mmoire.
Le matriel peut tre ajout ou retir en utilisant licne Ajouter/Suppression de Matriel du Panneau de
configuration.
Lensemble des priphriques de votre ordinateur peut tre configur via le Gestionnaire de priphriques
(accessible via loutil dadministration Gestion de lordinateur).
En cas de problme, vous pouvez utiliser loutil de rsolution de problmes disponible dans longlet Gnral des
proprits du priphrique en question.
Signature des pilotes

a)
Configurer la signature des pilotes
Elle seffectue via la fentre Systme du panneau de configuration, dans longlet Matriel. La signature des pilotes
permet lutilisateur davoir la garantie de Microsoft du bon fonctionnement des pilotes sous Windows 2000.
En cliquant sur Signature du pilote on obtient les options suivantes:
Ignorer (Ignore) : Installe nimporte quel pilote, peu importe quil soit
sign ou non.
Avertir (Warn) : affiche un message davertissement avant dinstaller un
pilote sans signature
Interdire (Block) : Empche linstallation dun fichier non sign
La case cocher Dfinir les paramtres en tant que paramtres par dfaut
nest disponible que pour les Administrateurs.
b)
Vrification de signature (sigverif.exe)
Lutilitaire sigverif.exe a pour but de vrifier que les fichiers systme dorigine installs par Windows nont pas t
remplacs par des versions non signes. Il peut aussi vrifier les fichiers non-systme si besoin est. Les rsultats
seront enregistrs dans le fichier Sigverif.txt.
c)
Utiliser le vrificateur de fichiers systme (sfc.exe)
11
Essentiel v1.1
Cet utilitaire vrifie les fichiers systme protgs. Il peut tre lanc avec plusieurs options :
/scannow
/scanonce
/scanboot
/cancel
/quiet
/enable
/purgecache
/cachesize=x
Vrifie immdiatement tous les fichiers systmes protgs

Vrifie tous les fichiers systmes protgs au prochain redmarrage
Vrifie tous les fichiers systmes protgs chaque dmarrage
Annule toutes les vrifications en attente
Remplace les fichiers incorrects sans demander de confirmation
Active la protection des fichiers de Windows par dfaut
Purge les fichiers de cache et demande uen vrification immdiate
Fixe la taille du cache fichiers
Mise jour des pilotes
Les pilotes sont mis jour via le Gestionnaire de priphriques. Slectionnez le pilote, faites un clic-droit puis
Proprits et slectionnez Mettre jour le pilote.
$ Il est conseill d'utiliser des pilotes signs afin de garantir une stabilit optimum.
Le fichier driver.cab qui se trouve sur le CD ROM de Windows 2000 contient tous les pilotes livrs avec le systme
d'exploitation. Pour toute mise jour de pilote, Windows 2000 vrifiera ici sil dispose ou non dune version plus
rcente. Ce chemin peut tre modifi via la cl :
HKLM\Software\Windows\CurrentVersion\Setup\DriverCachePath
$ Le vrificateur de pilote peut tre utilis pour retrouver les pilotes non-signs sur un systme. Lancez pour cela
verifier.exe en ligne de commande.
Configuration de laffichage
Les priphriques d'affichage sont installs, retirs ou mis jour (pilote) au

niveau de "Carte graphique" dans le Gestionnaire de Priphriques. Ils sont
configurs via longlet Paramtres de la fentre Proprits de lAffichage (taille
de la zone dcran, profondeur des couleurs, etc.).
Lutilisateur peut aussi changer lapparence de son bureau, comme par exemple
larrire plan ou lconomiseur dcran.
Windows 2000 propose un support multi-moniteurs ncessitant plusieurs cartes
graphiques PCI ou AGP pour fonctionner. Ainsi, il vous est possible dtendre
votre environnement de travail sur 10 moniteurs dont vous choisirez la
disposition grce longlet Paramtres de la fentre Proprits de lAffichage.
Une fois le moniteur supplmentaire branch et ses pilotes installs, il vous suffit de le slectionner dans cet onglet
et de cocher la case Etendre le Bureau Windows ce moniteur. Vous pouvez laligner horizontalement ou
verticalement par rapport votre cran principal actuel en dplaant tout simplement son icne. Vous pouvez aussi
dfinir ce nouveau moniteur comme votre moniteur principal en cochant la case correspondante.
Le support du fax
Lapplet Fax apparat dans le panneau de configuration uniquement lorsquun priphrique de fax (modem) est
install.
Longlet Options Avances permet de configurer lmission/rception de fax, le nombre de tentatives dmission, le
chemin de stockage des fax reus et envoys, les permissions de scurit des utilisateurs, etc
Si cet onglet nest pas accessible, il faut se dloguer et se reloguer en tant quAdministrateur.
12
Essentiel v1.1
$ Limprimante Fax dans le dossier des Imprimantes ne peut pas tre partage.
Les services daccessibilit
Touches rmanentes (StickyKeys) : elles permettent de faire des

combinaisons de touches (par exemple CTRL-ALT-SUPPR) en ne
pressant quune seule touche la fois.
Touches filtres (FilterKeys) : permettent dignorer les rptitions
brves des touches.
Son texte (SoundSentry) : affiche un avertissement visuel lorsque
votre ordinateur met un son (pour les malentendants).
Sons visuels (ShowSounds) : permet de faire clignoter une zone de
lcran a chaque fois quun son systme est mis.
Touche souris (MouseKeys) : vous permet de contrler la souris
grce au pav numrique.
Loupe (Magnifier) : agrandit une partie du bureau (pour les
malvoyants).
Narrateur (Narrator) : vous lit les menus doption, grce la
synthse vocale (pour les malvoyants).
Prise en charge des processeurs multiples
Windows 2000 Professionnel supporte an maximum 2 processeurs, Windows 2000 Server en supporte 4, Advanced
Server peut en grer 8 et Datacenter Server peut prendre en charge jusqu' 32 processeurs.
Pour passer d'un systme mono-processeur un systme multiprocesseurs, il faut mettre jour votre pilote
Windows vers un pilote compatible MPS (Multi-Processor Specification ) via le Gestionnaire de priphriques.
Installer et grer des priphriques rseau
Les priphriques rseau sont installs via Ajout/Suppression de matriel dans le Panneau de configuration.
Chaque carte rseau possde une icne qui apparat automatiquement dans Connexions rseau et accs
distance . Faites un clic-droit sur cette icne pour dfinir ou modifier ses proprits, installer des protocoles,
changer des adresses, etc
Pour modifier l'ordre de liaison des protocoles et des fournisseurs, utilisez le menu Paramtres avancs dans le
menu Avanc de Connexions rseau et accs distance .
Processus de dmarrage Windows 2000
Le processus de dmarrage de Windows 2000 est similaire celui de Windows NT 4.

Les fichiers mis en oeuvre restent identiques quelle que soit la version :
Ntldr
Boot.ini
Bootsect.dos
Ntdetect.com
Ntbootdd.sys
Ntoskrnl.exe
Charge l'OS.
Construit le menu de slection.
Charg par Ntldr en vue dune utilisation alterne avec un autre OS.
Recherche le matriel disponible.
Pour lamorage partir d'un disque SCSI dont le bios du contrleur est
dsactiv.
Noyau NT (system32).
13
Essentiel v1.1
System
Hal.dll
Paramtres de configuration (system32\configuration).

Couche HAL. Rend Ntoskrnl indpendant de la plate-forme sur laquelle il va
fonctionner.
Etape 1 - La squence POST - Power On Self Test

Test de la mise sous tension, de la quantit de mmoire, des composants matriels.
Chargement en mmoire de l'enregistrement d'amorage principal (MBR).
Analyse de la table de partition.
Chargement et initialisation de Ntldr (bootstrap loader).
Etape 2 - Slection du systme d'exploitation
Ntldr fait passer le processeur du mode rel au mode mmoire linaire 32 bits.
Ntldr dmarre les pilotes de systme de fichiers appropris (FAT ou NTFS).
Ntldr lit Boot.ini et affiche les slections.
Ntldr charge l'OS slectionn.
Si Windows 2000 est slectionn, Ntldr charge Ntdetect.com (sinon, Bootsect.dos).
Ntldr charge Ntoskrnl.exe, Hal.dll et la ruche "system".
Etape 3 - Chargement du noyau (Kernel)
Cette phase commence par le chargement de ntoskrnl.exe et du fichier Hal.dll. NTLDR va lire la ruche SYSTEM du
registre et la mettre en mmoire puis va slectionner la configuration matrielle et le control set qui seront utiliss
pour ce dmarrage. Si vous avez plus d'un profil matriel, vous pourrez faire la slection ce niveau. NTLDR va aussi
charger tous les pilotes de priphriques dont la valeur de dmarrage (dans le Registre :
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services) est 0x0.
Si vous ajoutez le switch /SOS dans le boot.ini, il vous sera possible de voir les pilotes chargs.
Etape 4 Initialisation du noyau
Ds l'initialisation de ntoskrnl.exe, ce dernier cre le Clone control set en copiant le Control Set courant. Il va aussi
crer la ruche HARDWARE dans le Registre en utilisant les informations collectes prcdemment par ntdetect.com.
Ntoskrnl.exe va ensuite initialiser les pilotes de priphriques chargs prcdemment, puis va scruter le registre pour
les pilotes de priphriques qui ont une valeur de chargement de 0x1.
Etape 5 - Chargement des Services
Cette tape commence avec le chargement du processus Session Manager (smss.exe). Il va lancer les programmes
prsents dans l'entre BootExecute du Registre ainsi que les sous-systmes requis. Le sous-systme Win32 va
ensuite charger Winlogon.exe qui va lancer la LSA : Local Security Administration (Lsass.exe). La fentre Winlogon
sera alors visible.
Le contrleur de services (screg.exe) va ensuite scruter le Registre la recherche de services qui ont une valeur de
dmarrage de 0x2 et va les charger. Les services doivent tre lancs dans un certain ordre, en fonction de leurs
dpendances vis vis d'autres services.
Les services marqus en 0x3 sont dmarrs manuellement. Les services en 0x4 sont dsactivs.
10
Fonctionnement des chemins ARC
Les chemins ARC se prsentent sous la forme multi(0)disk(0)rdisk(1)partition(2) ou scsi(0)disk(0)rdisk(1)partition(2)

multi : correspond au numro du contrleur dans le cas ou celui-ci est de type SCSI avec BIOS inactif (la
numrotation commence 0).
scsi : correspond au numro du contrleur dans le cas ou celui-ci est de type SCSI avec BIOS inactif (la numrotation
commence 0).
disk : reprsente le numro du disque dans le cas ou celui-ci est de type SCSI avec BIOS inactif (la numrotation
commence 0).
14
Essentiel v1.1
rdisk : reprsente le numro du disque dans le cas ou celui-ci est de type IDE ou SCSI avec BIOS actif (la
numrotation commence 0).
partition : indique le numro de la partition (la numrotation commence 1).
Prenons par exemple les lignes suivantes, extraites dun fichier boot.ini :
multi(0)disk(0)rdisk(1)partition(2)
Cela veut dire que lon va dmarrer partir du systme se trouvant sur le premier contrleur IDE ou SCSI avec BIOS
actif, sur le second disque et sur la troisime partition.
scsi(0)disk(0)rdisk(0)partition(1)
Cela veut dire que lon va dmarrer partir du systme se trouvant sur le premier contrleur SCSI avec BIOS inactif,
sur le premier disque et sur la deuxime partition.
Les paramtres de BOOT.INI
/basevideo
/fastdetect=[comx,y,z]
/maxmem :n
/noguiboot
/sos
/bootlog
/safeboot
11
Force le systme a utiliser le mode VGA 640x480

Dsactive la dtection de la souris en spcifiant son port
Limite la quantit de mmoire disponible n Mo
N'affiche pas l'image Windows lors du dmarrage
Affiche les noms des pilotes lors du dmarrage
Active l'enregistrement des vnements de dmarrage
Minimal - dmarrage en mode sans chec
Utilisation de la console de rcupration
L'installation de la console de rcupration se fait via la commande winnt32 /cmdcons
Vous devez vous connecter en tant qu'Administrateur pour utiliser la console de rcupration.
Les commandes suivantes sont disponibles :
attrib
batch
chdir
chkdsk
cls
copy
delete
dir
disable
diskpart
enable
exit
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
Permet
de changer les attributs d'un fichier ou d'un dossier

d'excuter les commandes spcifies dans un fichier texte
d'afficher le dossier courant et de naviguer dans l'arborescence
de vrifier le disque et prsente un rapport
d'effacer l'cran
de copier un fichier vers un autre emplacement
de supprimer un ou plusieurs fichiers
d'afficher une liste de fichiers et dossiers
de dsactiver un service systme ou un driver
de grer les partitions sur les disques
de dmarrer un service ou un driver
de quitter la console de rcupration
15
Essentiel v1.1
expand
fixboot
fixmbr
format
help
listsvc
logon
map
mkdir
more
type
rename
rmdir
set
systemroot
12
Permet d'extraire un fichier compress

Permet d'crire un nouveau secteur damorce sur la partition systme
Permet de rparer le MBR du secteur de boot de la partition
Permet de formater un disque
Affiche les commandes disponibles
Permet d'obtenir la liste des services et pilotes disponibles sur l'ordinateur
Permet de se connecter une installation Windows 2000
Affiche les mappings de lecteurs
Permet de crer des dossiers
Permet d'afficher le contenu dun fichier texte
Permet aussi dafficher le contenu dun fichier texte
Permet de renommer un fichier unique
Permet de supprimer un dossier
Affiche et positionne des variables d'environnement
Positionne le dossier courant sur le dossier racine du systme (ex: c:\WINNT)
Les options de dmarrage et paramtres de rcupration
On y accde via le Panneau de Configuration, icne Systme, onglet Avanc et

enfin Dmarrage et Rcupration.
Les dumps (photo instantane du contenu de la mmoire) sont sauvs en
memory.dmp. Une version allge de ce fichier, pouvant faire 64Ko, est enregistre
dans %systemroot%\minidump.
On utilise dumpchk.exe pour examiner le contenu de memory.dmp
Le fichier de pagination doit se trouver sur la partition systme pour que le vidage
mmoire puisse s'effectuer. Il doit aussi faire 12 Mo de plus que la quantit de RAM
installe.
13
La disquette de rparation d'urgence
RDISK n'existe plus sous Windows 2000. Vos disquettes de rparation d'urgence se font exclusivement avec
l'utilitaire ntbackup.exe.
La disquette de rparation d'urgence devient maintenant une disquette d'amorage.
Pour en crer une, lancez ntbackup.exe, choisissez Disquette de Rparation d'urgence et insrez une disquette
dans votre lecteur.
Vous aurez aussi la possibilit de copier le registre vers %systemroot%\repair\regback avec ntbackup.
Votre Disquette de Rparation d'urgence contient entre autres les fichiers suivants : autoexec.nt, config.nt et
setup.log.
14
Gestion des applications
Via Ajout/suppression de programmes, qui se trouve dans Panneau de

configuration, il vous est possible de grer facilement les applications de
votre ordinateur. Ce programme vous permet dinstaller, de dsinstaller,
de modifier et de rparer toute application certifie Windows 2000.
Dans le cas dune installation, la source peut se trouver soit sur CD
ROM, sur disquette, sur un rseau ou sur Internet.
Windows 2000 vous propose de classer laffichage des applications
installes sur votre systme soit par nom, par taille, par frquence
16
Essentiel v1.1
dutilisation ou par date de dernire utilisation.
Vous pouvez aussi publier les applications dans Active Directory en passant par la console Stratgie de Groupe.
Pour cela, les applications devront tre sous la forme de packages .MSI.
15
Utilisation de linstallateur de Packages Microsoft
Les packages Microsoft sont reconnaissables par leur extension en .MSI.

Linstallation dun package .MSI fait appel au service Windows Installer intgr Windows 2000.
Vous pouvez assigner ou publier des packages logiciels.
La publication dune application place un raccourci dans loutil Ajout/Suppression de programmes qui permettra
lutilisateur dinstaller lapplication lorsquil le souhaitera. Lassignation, quant elle, intgre le logiciel
lenvironnement lors de la prochaine connexion de lutilisateur.
Afin de pouvoir dployer un package logiciel, une stratgie de groupe doit tre cre et applique aux utilisateurs
ncessitant lapplication.
Le fichier .MSI du package devra se situer sur un partage rseau accessible par les clients.
Les programmes non-MSI peuvent tre publis laide de fichiers .ZAP, ou transformes en packages .MSI a laide
de lutilitaire WinInstall (Veritas Software).
Dans le cas dune publication laide de fichiers .ZAP, les applications ne peuvent pas tirer partie des possibilits
offertes aux packages .MSI telles que les privilges dinstallation levs, lannulation dinstallation infructueuse,
linstallation la premire utilisation dun logiciel, etc
16
Profils matriels
Comme sous Windows NT 4, il est possible de crer des profils matriels sous Windows 2000.
Ils sont utiliss pour enregistrer les diffrents lments de configuration afin
de rpondre aux diffrents besoins des utilisateurs. Ils sont souvent
employs pour les ordinateurs portables, afin de dfinir si un ordinateur est
connect sa station daccueil ou non. Sil est connect sa station, il y a
de fortes chances pour que cette dernire soit dj quipe dune carte
rseau, auquel cas, il faudra dsactiver la carte rseau de lordinateur
portable.
Lutilisateur choisi le profil dsir par le biais dun menu affich au
dmarrage de Windows 2000.
Les profils sont crs par le Panneau de Configuration > Systme >
Matriel > Profil matriel. Les priphriques sont activs ou non suivant le
profil par lintermdiaire du Gestionnaire de Priphriques.
17
Profils utilisateurs
Cest une collection de donnes et de rpertoires qui contiennent lenvironnement de travail de lutilisateur, les
rglages des applications ainsi que des donnes personnelles relatives lutilisateur (ex : favoris, bureau, menu
dmarrer, )
17
Essentiel v1.1
Quand un utilisateur ouvre une session pour la premire fois sur une
machine sous Windows 2000 Professionnel, il recevra un
environnement standard issu de la copie du rpertoire de profil
Default User. Toutes les modifications effectues par la suite seront
ensuite enregistres dans le propre rpertoire de profil de
lutilisateur.
Un utilisateur peut changer son profil en modifiant les rglages de
son bureau quand il ferme sa session, Windows 2000 incorpore les
changements son profil.
Rendre le profil obligatoire annule tous les changements effectus
par lutilisateur pendant la session. A la prochaine ouverture de
session, il rcuprera son profil initial. Pour faire cela, il suffit de
renommer dans le rpertoire de profil de lutilisateur le fichier
ntuser.dat en ntuser.man (man = mandatory = obligatoire).
Les
profils
utilisateurs
sont
stocks
dans
le
%systemdrive%\Documents and Settings\%username%.
dossier
$ Dans le cas dune migration partir de Windows NT 4, les profils seront stocks dans le rpertoire
%systemroot%\profiles\%username%.
Les profils itinrants sont utiliss dans les domaines Windows 2000 pour les utilisateurs qui emploient diffrentes
machines et qui souhaitent utiliser un profil commun sur toutes ces machines. Il suffira alors de spcifier
simplement un chemin rseau comme emplacement de stockage du profil.
18
Support multi-langages et multi-locations
Les modifications de ces options se font par lintermdiaire de licne Options Rgionales
du Panneau de Configuration. Vous pouvez par ce biais ajouter toutes les langues dont
votre systme a besoin pour votre travail.
Dans longlet Gnral de la fentre Options Rgionales, vrifiez dans la partie Votre systme est configur pour
prendre en charge la lecture et lcriture des documents en plusieurs langues quelles sont les langues
actuellement supportes par votre systme ainsi que la langue actuelle qui se trouve dans la partie Paramtres
de lutilisateur actuel .
$ Vous pouvez passer dune langue une autre simplement en tapant SHIFT ALT simultanment.
19
Le registre de Windows 2000
Cette base de donnes enregistre la configuration de Windows 2000 pour tous les
logiciels installs, le matriel et larchitecture hirarchique des utilisateurs. Il y a
plusieurs sous arbres principaux :
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_CURRENT_USER
Contient les donnes de configuration logicielle, les associations de fichiers et les

donnes OLE (object linking and embedding).
Contient les donnes sur le profil matriel actuel.
Contient les donnes sur lutilisateur actuel, ces donnes sont extraites de
18
Essentiel v1.1
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_USERS et des informations additionnelles sont ajoutes lors de

lauthentification par Windows.
Contient toutes les donnes relatives au matriel, aux logiciels, aux drivers de
priphriques et aux informations de dmarrage de lordinateur local. Ces
informations sont identiques quelque soit lutilisateur.
Contient les donnes sur lidentit de lutilisateur, son environnement et ses
diffrents rglages, etc...
Lditeur de base de Registre (regedt32.exe) dispose dun mode lecture-seule, dun menu de scurit et supporte
les donnes de type REG_EXPAND_SZ et REG_MULTI_SZ. Lapplication regedit.exe (un autre diteur de base de
registre install par Windows 2000) ne possde pas ces caractristiques mais il permet de faire des recherches sur
plusieurs sous-arbres en mme temps. Lditeur de base de Registre enregistre automatiquement tous les
changements qui sont faits.
20
Support des ordinateurs mobiles
Windows 2000 dispose dune panoplie doptions particulirement adaptes aux ordinateurs mobiles. Parmi celles-ci,
on a :
Le support des interfaces PCMCIA (PC Card), USB ports, IEEE 1394 (FireWire), et infrarouge.
Le support de la norme Advanced Power Management (APM) et Advanced Configuration and Power Interface
(ACPI).
Un mode hibernation intgr (arrt complet du systme et vidage du contenu de la mmoire dans un fichier).
Le support des fichiers hors connexion
a)
Utiliser les fichiers Hors Connexion
Les fichiers Hors Connexion remplacent le Porte-Document et fonctionnent de manire similaire loption
Visualiser Hors-Connexion dInternet Explorer 5.
Partagez un dossier et activer son cache afin de le rendre disponible hors connexion.
Il existe trois types de mise en cache :
- Cache manuel pour les documents : rglage par dfaut. Les utilisateurs doivent spcifier quels documents ils
souhaitent rendre disponibles hors connexion.
- Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur
son disque dur pour une utilisation hors connexion les versions anciennes du document sur le disque sont
automatiquement remplaces par des versions plus rcentes du partage quand elles existent.
- Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les
fichiers dont les modifications des utilisateurs doivent tre ignor (ex : tarifs, applications, ).
Lorsque vous synchronisez, si vous avez dit un fichier hors connexion et quun autre utilisateur a fait de mme,
alors, il vous sera demand si vous souhaitez :
Garder et renommer votre exemplaire
craser votre exemplaire avec la version disponible sur le rseau
craser la version disponible sur le rseau et perdre les modifications de lautre utilisateur
Lutilitaire de Synchronisation, vous permet de spcifier les fichiers qui seront synchronises, le type de connexions
employe pour cette synchronisation (pour empcher par exemple une synchronisation lorsque lon est connect au
rseau distance via un modem) et le moment o cette synchronisation est effectue (lors dune connexion, dune
dconnexion, lorsque lordinateur est en veille,).
19
Essentiel v1.1
Module 3
Connexion dordinateurs clients Windows 2000 a des rseaux
1
Gestion des protocoles
Windows 2000 installe automatiquement la suite de protocoles TCP/IP. Les autres doivent tre installs
manuellement.
a)
Protocole TCP/IP
Cest une suite de protocoles standardise. Il est routable et est utilisable sur de nombreuses topologies de rseau.
Cest le protocole qui est la base dInternet. Il peut tre utilis pour connecter des systmes htrognes.
Il est install par dfaut dans Windows 2000. Il utilise linterface Microsoft Windows Sockets (Winsock)
Les adresses IP peuvent tre entres manuellement ou assignes automatiquement par un serveur DHCP.
Le serveur DNS est utilis pour rsoudre les noms dordinateur (noms dhtes) en adresses IP.
Le serveur WINS est utilis pour rsoudre les noms NetBIOS en adresses IP.
Le masque de sous-rseau est une valeur qui est utilise pour distinguer la partie identificateur de rseau et la
partie identificateur dhte dune adresse IP.
La passerelle par dfaut est une adresse IP utilise pour indiquer la machine (le plus souvent un routeur) capable
de transmettre les paquets a une machine cible qui ne se trouve pas sur le mme rseau ou sous rseau que la
machine source.
b)
Configuration de TCP/IP
Configuration manuelle de TCP/IP

La configuration manuelle des paramtres TCP/IP va nous permettre de
spcifier l'adresse IP, le masque de sous-rseau ainsi que la passerelle par
dfaut. Il nous est aussi possible d'indiquer l'adresse d'au moins un serveur
DNS. Windows 2000 utilisant intensivement ce service, il est important de
bien le configurer.
L'cran de configuration des paramtres TCP/IP est accessible partir de
"Connexion Rseau et accs distance", en affichant les proprits (clicdroit) de la connexion.
Configuration dynamique
La configuration dynamique des proprits TCP/IP va utiliser DHCP pour
l'attribution des paramtres et options TCP/IP. Les mcanismes sont
identiques Windows NT 4.
Il existe cependant une nouveaut intressante : l'adressage IP priv automatique (APIPA Automatic Private IP
Addresing).
Windows 98 et Windows 2000 supportent cette nouvelle fonctionnalit, lorsque loption Obtenir automatiquement
une adresse IP est activ, mais que le client est incapable de contacter un serveur DHCP ou dobtenir une
adresse de ce dernier, ladressage automatique prend le relais :
Une adresse IP est gnre automatiquement de type : 169.254.x.y (o x.y est lidentifiant de lordinateur) avec un
masque de sous rseau est de 16-bits (255.255.0.0). Le systme sassurant quil ny a pas de conflit est que
ladresse gnre ne rentre pas en conflit avec une adresse dj en cours dutilisation sur le rseau.
20
Essentiel v1.1
Quand lattribution automatique dadresse IP prive est utilise, seuls les ordinateurs situs sur le mme rseau
local et utilisant le mme type dadresse (169.254.x.y) et le mme masque de sous rseau pourront communiquer
ensemble.
$ La plage dadresses 169.254.0.0 - 169.254.255.255 a t rserve pour cette utilisation par lIANA
(Internet Assigned Numbers Authority). Elle est considre comme une plage dadresse prive.
Outils de dpannage en ligne de Commande
Ipconfig
Ping
Nbtstat
Netstat
Tracert
a)
Affiche la configuration TCP/IP actuelle.

Teste les connexions et vrifie les configurations.
Affiche les statistiques des connexions utilisant NetBIOS sur TCP/IP.
Affiche les statistiques et les connexions pour le protocole TCP/IP.
Analyse le chemin emprunt par les paquets jusqu un systme distant.
Procdure de Dpannage
Microsoft recommande l'utilisation de la dmarche de dpannage suivante :

Excuter Ipconfig et vrifier la cohrence des paramtres rseau
faire un Ping de 127.0.0.1
faire un Ping de ladresse IP de lordinateur local
faire un Ping de ladresse IP de la passerelle
faire un Ping de ladresse IP de lordinateur distant
$ Les problmes TCP/IP sont souvent causs par des dfinitions de sous-rseaux incorrects et de mauvaises
passerelles.
$ Si une adresse IP fonctionne mais que le nom dhte ne rpond pas, vrifiez la configuration DNS.
Configuration de NWLink (IPX/SPX) et Netware
NWLink (limplmentation Microsoft du protocole IPX/SPX) est le protocole utilis par Windows 2000 pour permettre
aux systmes Netware daccder ses ressources. NWLink est tout ce dont vous avez besoin pour permettre des
clients Windows 2000 de faire fonctionner des applications client/serveur depuis un serveur NetWare. NWLink
supporte les Sockets Windows et Netbios.
La seule prsence de Netware Link va permettre un client Netware d'accder un serveur Windows 2000,
notamment a des applications telles SQL Server par exemple.
On peut facilement installer NWLink sur un serveur Windows 2000 et donc intgrer Windows 2000 dans un
environnement Netware. En revanche, NWLink ne suffit pas pour partager des ressources car Windows 2000 utilise
SMB, non pris en charge par Netware (qui utilise NCP).
a)
Installation de NWLink
L'installation de NWLink se fait partir des proprits de la connexion Rseau.

Le type de trame standard partir de Netware 3.12 est 802.2. Les versions antrieures utilisaient des trames
802.3. Windows 2000 dtermine automatiquement le type de trames. Si plusieurs types sont dtects il prendra
802.2 par dfaut.
Le type de trame du protocole NWLink doit correspondre celui de lordinateur avec lequel le systme Windows
2000 tente de communiquer. Si le type de trame ne correspond pas, il y aura des problmes de connexion.
Quand NWLink est configur pour dtecter automatiquement le type de trame, il ne dtectera quun seul type avec
par ordre de prfrence : 802.2, 802.3, ETHERNET_II et 802.5 (Token Ring).
21
Essentiel v1.1
Connexion un rseau Microsoft
Le client rseau Microsoft est install par dfaut lors de la mise en place de Windows 2000. Linstallation des
services clients Microsoft se fait aussi automatiquement.
a)
Ajout de la station ou du serveur au domaine
L'ajout d'une station Windows 2000 Professionnel ou d'un serveur membre

un domaine Windows 2000 se fait via longlet identification rseau du
panneau de configuration Proprits systme . Le principe reste
identique la version 4 : un compte machine va tre cr dans Active
Directory pour l'ordinateur qui intgre le domaine.
Vous pouvez crer ce compte machine automatiquement lors de l'ajout sur
le domaine. Vous pouvez aussi le crer dans un premier temps sur le
serveur (dans Active Directory) puis ajouter la machine sur le domaine. Les
administrateurs et oprateurs de comptes peuvent ajouter des machines au
domaine.
b)
Connexion une ressource distante
La connexion une ressource distant peut se faire via une commande NET USE, via l'explorateur Windows en
saisissant un chemin UNC vie linvite de commande Excuter du menu dmarrer (Win R) ou encore, via un clicdroit sur Voisinage Rseau puis Connecter un lecteur rseau. Soulignons que cette dernire mthode de connexion
ainsi que la commande NET USE vont nous permettre de spcifier un utilisateur et un mot de passe pour crer la
connexion.
Connexion un rseau Novell Netware

a)
Clients pour rseau Netware
Pour permettre le partage de fichiers et dimprimantes entre Windows 2000 et un

serveur NetWare, CSNW (Services Client pour NetWare) doit tre install sur le
systme Windows 2000.
b)
Services Passerelle pour Netware
Les Services Passerelle pour NetWare (Gateway Services for NetWare) peuvent tre implments sur votre serveur
Windows 2000 afin de permettre aux clients Microsoft daccder votre serveur NetWare en utilisant votre serveur
Windows 2000 comme passerelle.
22
Essentiel v1.1
Pour configurer SPNW, il faut activer la passerelle et fournir un compte possdant des privilges de superviseur
pour le serveur Netware en question. C'est la passerelle qui va partager les ressources Netware. Toutefois, elle ne
peut accorder des permissions plus importantes que ne l'autorisent les droits Netware. Le compte de passerelle doit
exister sur le serveur Netware et tre membre du groupe NTGATEWAY.
Les serveurs Netware 3 utilisent Bindery Emulation (Preferred Server dans CSNW). Les serveurs Netware 4.x et
suivants utilisent NDS (arbre et contexte par dfaut).
$ . Il y a deux faons de changer un mot de passe sur un serveur NetWare :- SETPASS.EXE et loption Changer le
Mot de Passe (depuis la bote de dialogue CTRL-ALT-SUPPR). Loption Changer le Mot de Passe nest disponible
que sur les serveurs NetWare 4.x et suivants utilisant NDS.
Autres protocoles
DLC : est un protocole utilisation spciale. Il nest pas routable et est utilis par Windows 2000 pour dialoguer
avec les mainframes IBM, AS400 et les imprimantes Hewlett Packard.
AppleTalk : permet des ordinateurs Windows 2000 Professionnel dutiliser des imprimantes Apple. Ne pas
confondre avec le service Serveur de Fichiers pour Macintosh qui permet aux clients Apple dutiliser les ressources
dun serveur Windows 2000.
NetBEUI : est exclusivement utilis par les systmes Microsoft. Il nest pas routable et est bas sur la diffusion.
Outils de connectivit
a)
Cot Serveur
Serveur Telnet : Windows 2000 inclue un service serveur telnet (net start tlntsvr) qui est limit une interface en
ligne de commande et deux connexions concurrentes. Dfinissez les options de scurit de votre serveur telnet
grce lutilitaire dadministration tlntadmn.
Serveur Web : Windows 2000 Professionnel propose une version allge du serveur Web IIS5 appel Personnal
Web Server. Il est limit 10 connexions simultane. Il doit tre install et le service doit tre lanc avant de
pouvoir partager vos imprimantes en utilisant le serveur Web dimprimantes ou limpression via internet. Il peut tre
gr via le snap-in IIS ou le Personal Web Manager, une version allge du mme snap-in IIS, pour les utilisateurs
novices.
Serveur FTP : Windows 2000 Professionnel propose une version limite du serveur FTP de Internet Information
Server 5 (IIS5), limite 10 connexions mais administre comme la version Serveur en utilisant le snap-in IIS ou le
Personal Web Manager.
Extension Serveur de FrontPage 2000 : Ce composant permet d'tendre les fonctionnalits du serveur Web et
est inclus Windows 2000 Professionnel pour dvelopper et tester les sites web avant des les dployer sur un
serveur de production.
Serveur SMTP : Il na pas de limitation en nombre de connexion. Il possde une intgration avec LDAP et est
utilis pour la rplication dActive Directory.
b)
Utilitaires TCP/IP Client
Client Telnet : peut tre utilis pour ouvrir une session en mode texte sur une console UNIX, Linux et les
systmes Windows 2000 (commande : telnet Nom_ou_IP_serveur).
Client FTP : en ligne de commande, il est simple et puissant (commande ftp Nom_ou_IP_serveur).
Internet Explorer 5 : le navigateur Internet de Microsoft.
23
Essentiel v1.1
Outlook Express 5 : Gestionnaire de courrier lectronique supportant SMTP, POP3, IMAP4, NNTP, HTTP, et LDAP.
c)
Services pour Unix v2.0
Les services pour Unix sont un ensemble de logiciels qui peuvent se greffer sur Windows 2000 afin dapporter une
meilleur intgration des technologies Linux ou UNIX.
Le protocole TCP/IP est requis pour communiquer avec les machines UNIX.
En standard, Windows 2000 intgre les Services dimpression pour UNIX qui permettent la connexion des
imprimantes contrles par des serveurs UNIX (LPR).
UNIX partage ses ressources fichiers sur le rseau grce NFS (Network File System).
Client pour NFS
Cela installe un client compatible Network File System (NFS) qui va sintgrer dans lExplorateur Windows. Il est
disponible sur les versions Windows 2000 Professionnel et Server.
Les utilisateurs peuvent naviguer et mapper des lecteurs vers des volumes NFS, mais aussi, accder des
ressources NFS aux travers du Voisinage Rseau. Microsoft recommande cette mthode plutt que dinstaller un
serveur SAMBA (service de fichier SMB pour les clients Windows).
Les partages NFS peuvent tre atteints en utilisant la syntaxe standard de NFS (nom_de_serveur:/partage) ou en
utilisant la syntaxe UNC (\\nom_ou_IP_serveur\partage).
Si le login et/ou le mot de passe employs pour se connecter a un serveur UNIX diffrent de ceux utiliss pour
ouvrir la session Windows, il faudra cliquer sur Se connecter en utilisant un nom dutilisateur diffrent .
Les utilitaires suivants sont installs quand on ajoute le client pour NFS (liste non complte):
grep
Ps
sed
Sh
tar
Vi
Cherche les fichiers contenant une chane et affiche le rsultat contenant la chane
Liste les processus et leur tat
Copie les noms de fichiers vers une sortie standard
Lance le Korn shell
Utilis pour crer des fichiers archives et pour ajouter/extraire des fichiers une archive
Lance lditeur de texte VI
Lutilitaire en ligne de commande nfsadmin est utilis pour configurer et administrer le client pour NFS. Ses options
sont:
fileaccess
mapsvr
mtype
perf
preferTCP
retry
rsize
timeout
wsize
Permissions des fichiers UNIX en lecture, criture, excution

Nom dordinateur du serveur mapp
Mthode de Mount ( HARD ou SOFT )
Mthode pour dterminer les paramtres de performance (manuel ou par dfaut)
Indique sil faut utiliser TCP (OUI ou NON)
Nombre dessais pour un montage (mount) soft la valeur par dfaut est 5
Taille du buffer de lecture en KB
Timeout en secondes pour un appel RPC
Taille du buffer dcriture en KB
Serveur pour NFS

Permet aux clients NFS (UNIX/Linux) daccder des fichiers sur un ordinateur Windows 2000 Professionnel ou
Server.
Il est gr via le snap-in dadministration UNIX (sfumgmt.msc).
24
Essentiel v1.1
Passerelle pour NFS

Permet aux clients Windows non-NFS daccder des ressources NFS en se connectant un serveur Windows
ayant la possibilit dy accder.
Se comporte comme une passerelle/traducteur entre le protocole NFS utilis par UNIX/Linux et le protocole CIFS
utilis par Windows 2000.
Elle nest pas disponible sur les versions Windows 2000 Professionnel (Server seulement).
Serveur pour PCNFS
Il peut tre install sous Windows 2000 Professionnel ou Server.
Il fournit un service dauthentification pour les clients NFS (UNIX) qui ont besoin daccder des ressources NFS.
Serveur pour NIS
Doit tre install sur un Windows 2000 Server configur en tant que Contrleur de Domaine. Il permet au serveur
de travailler en tant que NIS master pour un domaine UNIX particulier. Il peut authentifier les requtes des
partages NFS.
25
Essentiel v1.1
Module 4
Gestion de comptes dutilisateurs
1
Installation des outils dadministration
Les outils dadministration permettent la gestion des serveurs distance. Ils peuvent tre installs sur nimporte
quelle machine sous Windows 2000 par lintermdiaire de adminpak.msi qui se trouve dans le dossier i386 du CD
ROM dinstallation du systme.
Les outils dadministration sont installs par dfaut sur le contrleur de domaine.
$ . Il peut tre utile, pour des raisons de scurit, dutiliser les outils dadministration en tant logg avec votre
compte de domaine basique et en utilisant la commande Excuter en tant que pour lancer les outils
dadministration.
Comptes dutilisateurs locaux et de domaine
Les comptes d'utilisateurs locaux rsident sur la machine locale. Les comptes locaux ne peuvent pas accder des
ressources de domaine Windows 2000 et ne devraient pas tre crs sur des machines qui font parties d'un
domaine.
Les comptes d'utilisateurs de domaine rsident dans Active Directory, sur des contrleurs de domaine et peuvent
accder toutes les ressources sur le rseau, condition d'avoir les privilges ncessaires.
Les comptes prdfinis sont : Administrateur et Invit (dsactiv par dfaut).
Convention de nommage
Les noms de compte utilisateur ne peuvent pas dpasser 20 caractres et ne peuvent contenir les caractres
suivants : " / \ [ ] : ; | = , + * ? < >. Ils ne sont pas sensibles la casse.
Les mots de passe peuvent faire jusqu' 128 caractres. Les caractres non autoriss dans les noms de comptes le
sont aussi au niveau des mots de passe.
Gestion des comptes

a)
Comptes locaux
Ils sont crs par lintermdiaire de la console de Gestion de lordinateur.

Les comptes locaux ont la particularit dtre enregistrs dans la base de donnes de comptes locale : la SAM. De
plus, le nombre doptions de configuration est restreint. Ils ne sont pas enregistrs dans Active Directory.
Il est dconseill de crer des comptes locaux sur des machines rattaches un domaine, car les utilisateurs
nauront accs quaux ressources locales de la machine.
b)
Comptes de domaine
Les comptes de domaines permettent aux utilisateurs de se connecter depuis nimporte quelle station de travail, et
davoir accs toutes les ressources du rseau.
Les comptes de domaines sont grs par la console Utilisateurs et Ordinateurs Active Directory
Gestion des dossiers de base
Les dossiers de base permettent aux utilisateurs de stocker leurs documents. Ces dossiers peuvent se trouver soit
sur un serveur, soit sur lordinateur de lutilisateur.
26
Essentiel v1.1
Gestion des profils utilisateurs
Profil d'utilisateur par dfaut : il est la base des autres profils utilisateurs qui sont crs partir de ce dernier.
Profil d'utilisateur local : ce profil est cr la premire fois qu'un utilisateur ouvre une session sur un ordinateur. Il
se trouve sur l'ordinateur local. Plusieurs profils utilisateurs peuvent se trouver sur la mme machine.
Profil d'utilisateur itinrant
Il est cr par l'administrateur et est stock sur un serveur. Il est disponible quelle que soit la machine partir de
laquelle l'utilisateur ouvre une session.
Les modifications sont sauvegardes lors de la dconnexion de l'utilisateur.
Le fichier Ntuser.dat contient la portion de Registre qui s'applique au compte d'utilisateur, il contient les paramtres
du profil de l'utilisateur.
Profil d'utilisateur obligatoire
Il est lui aussi cre par l'Administrateur, il peut tre local ou itinrant. Il ne permet pas un utilisateur d'enregistrer
ses paramtres.
Pour rendre un profil obligatoire, vous devez renommer le fichier Ntuser.dat en Ntuser.man (man pour mandatory
= obligatoire).
27
Essentiel v1.1
Module 5
Gestion de laccs aux ressources laide de groupes
Sous Windows NT 4, nous avions notre disposition des groupes locaux et des groupes globaux :
Les groupes locaux servaient affecter aux utilisateurs des permissions d'accs une ressource.
Les groupes globaux servaient organiser les comptes d'utilisateurs de domaine.
Groupe Local
affecte aux utilisateurs des permissions ou des droits
peut comporter depuis un domaine quelconque :
- des comptes d'utilisateur
- des groupes globaux
(sous Windows
Groupe Global
organise les comptes d'utilisateur par domaines
ne peut contenir aucun groupe
toujours cr sur le PDC dans le domaine du compte.
comptes d'utilisateur du mme domaine
est ajout un groupe local de n'importe quel
domaine (approbation).
NT 4.0)
Les groupes dans un groupe de travail
Rgles d'adhsion
Un groupe local ne peut contenir que des comptes utilisateurs (locaux).
Un groupe local ne peut pas tre membre d'un autre groupe.
Groupes locaux
Vous pouvez les crer sur des machines sous Windows 2000 Professionnel ou Server. Ils servent contrler l'accs
aux ressources sur l'ordinateur local et raliser des tches dites systmes pour l'ordinateur local.
Groupes locaux intgrs
Ces groupes sont automatiquement crs lors de l'installation de Windows 2000. Vous ne pouvez pas les
supprimer.
Groupe locaux prdfinis
Administrateurs
Oprateurs de
sauvegarde
Invits
Utilisateurs avec
Pouvoirs
Duplicateurs
Utilisateurs
Peuvent effectuer toutes les taches administratives sur le systme local. Le compte prdfini
administrateur est automatiquement membre de ce groupe par dfaut.
Peuvent sauvegarder et restaurer des donnes.
Accs temporaire et limit aux ressources
Peuvent crer et modifier des comptes locaux sur l'ordinateur, partager des ressources ou
installer des pilotes de priphriques.
Grent la rplication sur un domaine.
Les utilisateurs peuvent effectuer des tches pour lesquelles les permissions leur ont t
assignes. Tout nouveau compte cr sur une machine Windows 2000 est ajout ce groupe.
Quand un ordinateur ou un serveur membre disposant dun client rseau Microsoft joint le
domaine, alors, Windows 2000 ajoute les utilisateurs du domaine au groupe local Utilisateurs.
Les groupes identits spciales (groupes spciaux) permettent d'organiser automatiquement les utilisateurs pour
l'utilisation du systme.
Groupes spciaux prdfinis
28
Essentiel v1.1
Tout le monde
Utilisateur authentifi
Crateur propritaire
Rseau
Interactif
Utilisateur Anonyme
Accs Distant
Inclue tous les utilisateurs qui accdent lordinateur

Inclue tous les utilisateurs avec un compte utilisateur sur lordinateur ou sur le
domaine utilis pour viter les accs anonymes des ressources
Inclue le compte utilisateur pour lutilisateur qui a cr ou pris possession dune
ressource
Inclue tout utilisateur avec une connexion courante depuis un autre ordinateur du
rseau vers une ressource partage de lordinateur
Inclue le compte utilisateur pour lutilisateur qui est logg sur lordinateur. Les
membres de ce groupe ont accs aux ressources de lordinateur sur lequel ils se
trouvent physiquement
Tout utilisateur que Windows na pas authentifi
Tout utilisateur employant une connexion daccs rseau distance.
La stratgie de gestion des ressources dans un groupe de travail est ALP : Account - Local group - Permission.
L'on cre le compte, on l'ajoute dans un groupe local, puis ensuite, on positionne les permissions.
Les groupes dans un domaine

a)
Les types de groupes
Groupe de scurit : Ils permettent de grer les autorisations d'accs une ressource. Ils permettent aussi de
grer des listes de distributions de messagerie. L'on peut imaginer une application comme Microsoft Exchange 2000
qui va utiliser les groupes de scurit Windows 2000 en tant que liste de distribution.
Groupes de distribution : ils ne servent qu'a des fonctions non lies la scurit comme l'envoi de messages.
Vous ne pourrez pas grer d'autorisations avec ces groupes.
b)
L'tendue des groupes
L'tendue d'un groupe est sa porte et son champ d'utilisation.

Etendue de groupe globale : il s'agit de l'quivalent des groupes globaux sous Windows NT 4.
Ils permettent d'organiser les utilisateurs qui ont les mmes besoins d'accs des ressources.
Les rgles d'adhsion sont les suivantes :
Vous pouvez ajouter des comptes d'utilisateurs partir du domaine dans lequel vous crez le groupe global.
Vous pouvez ajouter des groupes globaux partir du domaine dans lequel vous crez le groupe global (Uniquement
dans un domaine natif).
Vous pouvez ajouter votre groupe global un groupe de domaine local, un autre groupe global (Uniquement
dans un domaine natif) ou un groupe universel (Uniquement dans un domaine natif).
Etendue de groupe de domaine local : Ils permettent d'accorder des autorisations sur les ressources du
domaine. Attention : il s'agit du mme domaine que celui dans lequel le groupe local a t cr. On peut les
considrer comme lquivalent des groupes locaux sous Windows NT 4.0 sauf qu'ils ne sont pas stocks dans la
base SAM de chaque machine mais dans l'annuaire Active Directory. Les ressources peuvent donc tre situes
n'importe o sur le domaine.
Vous pouvez y ajouter des comptes d'utilisateurs, des groupes universels (Uniquement dans un domaine natif) et
des groupes globaux d'un domaine quelconque. Les groupes de domaine local peuvent tre membres dun autre
groupe de domaine local mais uniquement dans un domaine natif.
Etendue de groupe de domaine universelle : Ils permettent d'accorder des autorisations sur des domaines
connexes. Contrairement aux groupes de domaine local, vous pouvez accorder des autorisations d'accs sur les
ressources situes dans tout domaine.
29
Essentiel v1.1
$ Les groupes universels ne sont pas disponibles lors de l'installation de Windows 2000. Vous devez passer en
mode natif pour pouvoir les utiliser.
Les groupes universels ont une adhsion illimite. Tous les groupes et comptes d'utilisateur de domaine peuvent en
tre membres. Les groupes universels peuvent tre membres de nimporte quel autre groupe dun domaine (Vous
pouvez ajouter un groupe universel un groupe de domaine local ou universel de tout domaine).
La stratgie de gestion des ressources dans un groupe de travail est A G DL P : Account - Global group - Domain
Local group - Permission. On cre le compte, on l'ajoute dans un groupe global, puis l'on ajoute ce dernier dans un
groupe de domaine local puis ensuite l'on positionne les permissions.
30
Essentiel v1.1
Module 6
Gestion de donnes laide du systme de fichiers NTFS
1
Les autorisations NTFS
Les autorisations NTFS permettent de fixer le niveau daccs quont les

utilisateurs (au niveau compte utilisateur, au niveau groupe dutilisateurs ou
au niveau ordinateur) sur une ressource.
Les autorisations sur les fichiers sont prioritaires sur les autorisations
appliques aux dossiers.
Il est noter que l'autorisation Refuser est prioritaire sur les autres
autorisations.
Autorisations NTFS sur les dossiers : Lecture, Ecriture, Afficher le contenu
du dossier, Lecture et excution, Modifier, Contrle Total.
Autorisations NTFS sur les fichiers : Lecture, Ecriture, Lecture et excution,
Modifier, Contrle Total.
$ Par dfaut, dans une partition NTFS, Windows 2000 accorde Contrle Total au groupe Tout le Monde.
$ cacls.exe est utilis pour modifier les permissions des volumes NTFS en ligne de commande.
Principe d'hritage des autorisations NTFS
Sous Windows 2000, les autorisations que vous accordez un dossier parent sont hrites et propages tous les
sous-dossiers, et les fichiers quil contient. Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront
aussi de ces permissions.
Par dfinition, toutes les autorisations NTFS dun dossier cr seront hrites par les dossiers et fichiers quil
contiendra.
Principe de blocage de lhritage
Il est possible de bloquer cet hritage (pour des raisons de scurit) afin que les permissions ne soient pas
propages aux dossiers et aux fichiers contenus dans le dossier parent.
Pour bloquer lhritage des permissions, afficher les proprits du dossier, allez dans longlet Scurit, puis
dsactiver la case cocher Permettre aux autorisations pouvant tre hrites du parent dtre propages cet
objet. Dans la nouvelle fentre, cliquer Copier si vous souhaitez garder les autorisations prcdemment hrites
sur cet objet, ou alors cliquer Supprimer afin de supprimer les autorisations hrites et ne conserver que les
autorisations explicitement spcifies.
Autorisation Refuser
Elle est toujours applique au cas par cas pour les utilisateurs ou les groupes. Elle est prioritaire sur toutes les
autres autorisations. Ainsi, un utilisateur qui appartient un groupe dont la permission sur un certain dossier est
Contrle Total et qui fait lobjet dune autorisation Refuser, naura pas daccs au dossier car lautorisation Refuser
annule toutes les autres.
$ . Lautorisation Refuser nest utilise que dans le cas o laccs une ressource doit tre interdit un groupe ou
un compte donne.
31
Essentiel v1.1
Autorisations NTFS spciales

a)
Modifier les autorisations
Dans le cas o les autorisations NTFS standard ne correspondent pas ce que

vous souhaitez, alors, vous pouvez les crer sur mesure. Il suffit daller sur la
fentre de proprits du dossier ou du fichier, dans longlet Scurit. En
cliquant sur le bouton Avanc, on affiche la fentre des Paramtres du contrle
daccs. Il suffit alors de cliquer sur le bouton Afficher/Modifier. Une boite de
dialogue souvre alors, vous permettant de choisir exactement les permissions
que vous souhaitez appliquer lutilisateur ou au groupe choisi.
b)
Appropriation
Elle peut seffectuer sur un fichier ou un dossier. Le droit dappropriation permet lutilisateur de pouvoir saccorder
les autorisations sur tous les fichiers dont il est le propritaire mme ceux sur lesquels il na pas lautorisation de le
faire.
Pour prendre possession vous devez tre : soit le crateur propritaire, soit ladministrateur, ou avoir lautorisation
daccs spciale Appropriation dans le cas ou vous tes un utilisateur (ou membre dun groupe ayant cette
permission).
Pour pouvoir accorder lautorisation Appropriation sur une ressource, il faut soit tre le propritaire, soit faire partie
du groupe Administrateurs ou encore avoir lautorisation Contrle total sur la ressource.
Copie et dplacement de fichiers et de dossiers
Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le dplacement vers la mme
partition permet le maintien des autorisations.
Les fichiers dplacs depuis une partition NTFS vers une partition FAT ne gardent pas leurs attributs et leurs
descripteurs de scurit, mais ils conservent leur nom de fichier long.
Les attributs de fichiers pendant la copie/le dplacement dun fichier lintrieur dune partition ou entre deux
partitions sont grs ainsi:
Copier lintrieur
Cre un nouveau fichier identique au fichier original. Il hrite des permissions du
dune partition
rpertoire de destination..
Dplacer lintrieur Ne cre pas un nouveau fichier. Il y a seulement une mise jour des pointeurs du
dune partition
dossier. Garde les permissions appliques lorigine au fichier.
Dplacer vers une autre Cre un nouveau fichier identique loriginal et dtruit le fichier original. Le nouveau
partition
fichier hrite des permissions du rpertoire de destination.
32
Essentiel v1.1
Compression de fichiers et dossiers
Comme sous Windows NT 4, il est possible de compresser vos dossiers et

fichiers. Les rgles de conservation de l'attribut de compression sont les
mmes que pour les autorisations. Ainsi, toutes les oprations de copie
hritent de l'attribut de compression (compress ou non compress). De plus,
seul le dplacement vers la mme partition permet le maintien de la
compression.
$ . Pour faire apparatre un dossier compress dans une autre couleur, utiliser la case cocher Donner une couleur
diffrente aux fichiers et dossiers compresss, dans longlet Affichage du menu Options de dossiers de
lExplorateur.
Utilisation des quotas de disques
Ils permettent de limiter la quantit d'espace disque disponible pour

un utilisateur sur un disque NTFS. Windows 2000 effectue Une
gestion des quotas de disque de faon indpendante pour chaque
partition ou volume.
Pour mettre en uvre les quotas, vous devez dans un premier temps
les activer pour une partition. Il est possible d'appliquer une limite
globale pour tous les utilisateurs (dans la zone Limiter l'espace disque
).
Il vous est aussi possible de dfinir des quotas par utilisateur partir
de la boite de dialogue Proprits d'un disque puis onglet Quota puis
Entres de quota.
Laffectation dun fichier dans lentre de quota dun utilisateur est
dtermine par compte Propritaire du fichier.
a)
Options de quotas
Active la gestion de quota sur le disque slectionn

Activer la gestion de quota
Refuser de lespace disque aux
Quand un utilisateur dpasse la quantit despace laquelle il a droit,
utilisateurs qui dpassent leur limite de il ne peut plus crire
quota
Pas de limitation despace disque
Ne pas limiter lespace disque
Limiter lespace disque
Espace disque auquel ont droit les utilisateurs
Dfinir le niveau davertissement
Un vnement pourra tre consign ds que ce seuil sera atteint
Permet dAjouter/supprimer des entres de quota, dafficher les
Entres de quota
proprits des utilisateurs auxquels vont tre appliqus les quotas
$ . On ne peut appliquer de quota ni un groupe, ni un rpertoire.
33
Essentiel v1.1
Module 7
Accs aux ressources disques
1
Cration de dossiers partags
Les administrateurs et les utilisateurs avec pouvoirs peuvent crer des

partages sur des machines Windows 2000 Professionnel. Les
administrateurs et oprateurs de serveurs peuvent effectuer cette tche sur
Windows 2000 Serveur.
a)
Partages administratifs
Windows 2000 cre des partages administratifs comme Windows NT 4. Les

noms de ces partages se terminent avec un caractre $ qui permet de
cacher le partage lors de l'exploration par le rseau. Le dossier systme
(Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine
de chaque volume (c$, ..) constituent autant de partages administratifs.
b)
Partage dun dossier et permissions
Les permissions de niveau partage sur les dossiers s'appliquent uniquement si

l'accs se fait via le rseau. Par dfaut, le groupe Tout le Monde possde la
permission Contrle Total pour tous les nouveaux partages.
c)
Autorisation sur les dossiers partages
Contrle Total
Modifier
Lire
Aucun Accs
Est assign au groupe Tout le monde par dfaut.

Permet aux utilisateurs de prendre possession de fichiers ou de dossiers.
Les utilisateurs peuvent changer les droits daccs aux fichiers.
Donne aux utilisateurs toutes les permissions assignes par les niveaux Changer et
Ecrire.
Les utilisateurs peuvent ajouter et crer des fichiers.
Donne la possibilit de modifier les fichiers.
Les utilisateurs peuvent changer les attributs des fichiers.
Les utilisateurs peuvent effacer les fichiers.
Donne aux utilisateurs les permissions assignes par le niveau Lire.
Les utilisateurs peuvent visualiser et ouvrir les fichiers.
Les utilisateurs peuvent visualiser les attributs des fichiers.
Les utilisateurs peuvent excuter les fichiers excutables.
Les utilisateurs ne peuvent pas visualiser, accder ou modifier les fichiers.
Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux autorisations de scurit de partage, ses
permissions effectives sobtiennent en combinant les niveaux maximum des deux types de scurit
indpendamment lune de lautre (en prenant bien en compte quil ny a pas de permission Aucun Accs) et en
prenant la plus restrictive des deux.
34
Essentiel v1.1
$ . Windows 2000 Professionnel est limit 10 connexions concurrentes pour un partage de fichier ou un partage
dimpression.
Choisir un systme de fichiers
NTFS propose un grand niveau de scurit et defficacit grce sa capacit bloquer laccs un fichier ou un
rpertoire pour un seul utilisateur. Les capacits avances telles que la compression de disque, les quotas de
disque et le cryptage font de ce systme un systme recommand en environnement professionnel.
FAT et FAT32 sont utiliss gnralement pour faire du dual boot entre des systmes Windows 2000 et dautres
systmes dexploitation tels que DOS 6.22, Win 3.1 ou Win 95/98.
Les partitions systme de type NTFS NT 4.0 seront mises jour vers le NTFS de Windows 2000 automatiquement.
Si vous voulez faire un dual-boot entre NT4.0 et 2000, vous devez dj installer le SP4 sur la machine NT4.0. Cela
permettra de lire les partitions NTFS mises jour, mais les fonctions avances telles que EFS et les quotas de
disque seront dsactives.
$ . Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS. Les partitions NTFS ne peuvent pas
tre converties vers FAT ou FAT32 la partition doit alors tre efface et recre en tant que FAT ou FAT32.
Les capacits de protection de fichiers de Windows (WFP : Windows File

Protection)
Nouveaut de Windows 2000, il vite le remplacement de certains fichiers systmes qui sont surveills par le
systme (les DLL importantes et les EXE qui se trouvent dans le dossier %systemroot%\system32).
Ce systme utilise les signatures de fichiers et le codage pour vrifier si les fichiers systmes protgs sont bien des
versions Microsoft.
WFP ne gnre pas de signature.
Les DLL critiques qui ont t modifies sont restaures depuis le dossier %systemroot%\system32\dllcache.
Les volumes sous Windows 2000
Windows 2000 supporte deux types de disques : basique et dynamique.

En mode basique vous scindez le disque dur en partitions. Windows 2000 reconnat les partitions primaires et
tendues. Un disque initialis en mode basique est appel disque de base, il peut contenir des partitions primaires,
35
Essentiel v1.1
tendues et des lecteurs logiques. Les disques basiques doivent tre utiliss dans le cas de dual-boot entre
Windows 2000, DOS, Windows 3.x, Windows 9x/Me ainsi que toute version de Windows NT.
En mode dynamique (uniquement sous Windows 2000 et XP) il est possible de crer une seule partition
contenant le disque dur complet. Un disque initialis en mode dynamique est appel Disque dynamique. Les
disques dynamiques sont diviss en volumes qui peuvent inclure un ou plusieurs disques. Ils peuvent tre
redimensionns sans avoir besoin de redmarrer le systme dexploitation. Une partie de lespace ( la fin du
disque) est rserve pour stocker les informations de description du disque dynamique.
Il existe trois types de volumes
Volume simple : contient lespace dun seul disque.
Volume fractionn : contient lespace de plusieurs disques (maximum de 32). Les disques y sont utiliss
successivement (Le premier disque est rempli, puis le deuxime,) de faon transparente pour lutilisateur. Il sagit
en fait dun agrgat de partition. Si un disque ne fonctionne plus, alors, toutes les donnes sont perdues. Les
performances ne sont pas optimises avec ce type de volume car les disques sont lus squentiellement. Il y a deux
mthode pour crer un volume multiple : soit inclure lensemble des disques des la cration du volume, soit tendre
avec un segment de disque vide un volume de base et ceci sans avoir besoin de redmarrer le systme. Cette
seconde mthode ne fonctionne que si le volume simple a t cr lorigine sur un disque dynamique et que
celui-ci nest pas un disque systme.
Volume agrg par bandes : il contient lespace libre de plusieurs disques (maximum de 32) en un seul volume
logique. Cela augmente les performances car les donnes sont lues et crites sur tous les disques la mme
vitesse. Si un disque est perdu, alors, toutes les donnes sont perdues.
Etats dun Volume Dynamique
Erreur
En tat
En tat (avec risque)
Initialisation
Le volume ne peut pas tre automatiquement redmarr et doit tre rpar.

Est accessible et na pas de problme connu
Accessible, mais des erreurs dE/S ont t dtectes sur le disque.
Le volume est en train dtre initialis et sera rput en tat ds la fin du processus
Limitations des volumes dynamiques

Ils ne sont pas accessibles par DOS, Win95/98 ni aucune version de Windows NT lorsque vous utilisez le dual-boot.
Ils nutilisent pas le schma traditionnel dorganisation des disques en partitions et volumes logiques. Le MBR des
disques dynamiques contient un pointeur vers les donnes de configuration du disque qui se trouvent dans le
dernier mga-octet la fin du disque.
La conversion dun disque de dmarrage (initialement un volume basique) vers un volume dynamique est
irrversible. Il ne pourra plus tre converti dans lautre sens (vers un volume basique).
Traduction de termes entre disques basiques et dynamiques
Disques Basiques
Partition Active
Partition tendue
Disque Logique
Ensemble Miroir
Partition primaire
Agrgat par bande
Agrgat par bande avec parit
Partitions systme et de boot
Jeu de Volume
Disques Dynamiques
Volume actif
Volume et espace non allou
Volume Simple
Volume Miroir (Server seulement)
Volume Simple
Volume agrg par bandes
Volume RAID-5 (Server seulement)
Volumes Systme et de boot
Volumes tendu
36
Essentiel v1.1
Vous pouvez grer des disques dun ordinateur distant en crant une console dadministration sur mesure pour cet
ordinateur. Pour cela faites :
Dmarrer > Excuter, puis tapez mmc. Dans le menu de la console, cliquer sur Ajouter/Supprimer Snap-in.
Cliquez sur Ajouter. Cliquez sur Grer les Disques, puis cliquez sur Ajouter. Quand la boite de dialogue Choisir
un ordinateur apparat, choisir lordinateur distant.
Les informations de disque sont maintenant enregistres physiquement sur le disque lui-mme, ce qui permet de
dplacer facilement le disque dun systme lautre. Lutilitaire dmtool.exe a t dvelopp afin de faciliter la
gestion de grandes quantits de disques.
Il faut utiliser le snap-in Gestionnaire de disques :
A chaque fois que vous ajoutez un nouveau disque dans un ordinateur, il apparat en tant que Basique.
Ds que vous ajoutez ou que vous enlevez un disque de votre ordinateur, vous devez choisir Re-vrifier les
Disques. Les disques qui ont t enlevs dun autre ordinateur vont apparatre comme trangers . Choisir
Importer disque tranger (un assistant apparat pour vous guider).
Pour des disques multiples enlevs dun autre ordinateur, ils vont apparatre en tant que groupe. Faire un clic-droit
sur lun des disques et choisir Ajouter Disque.
Les disques peuvent tre mis jour depuis le niveau basique vers un niveau dynamique nimporte quel moment,
pourvu quil y ait un Mo despace non-allou sur le disque.
DFS : Distributed File System
DFS (Distributed File System) fournit aux utilisateurs un moyen simple d'accder des donnes reparties et
distribues sur un rseau. Un dossier partag DFS sert de point d'accs d'autres dossiers sur le rseau.
a)
Prsentation
DFS est un systme de fichier logique et hirarchique. Il organise des ressources partages sur plusieurs
ordinateurs pour fournir une arborescence logique.
Notre dossier (Laboratoire) va tre le point d'entre unique vers les ressources partages sur les trois serveurs
(Lab1, Lab2, Lab3). Les utilisateurs accdent ces ressources sans avoir se soucier de connatre le serveur sur
lequel se trouve la ressource.
Un partage DFS utilise une structure arborescente qui contient une racine et des liens DFS. Pour crer un partage
DFS, il faut en premier lieu crer une racine DFS. Chaque racine peut avoir de multiples liens DFS qui pointent
chacun vers un dossier partag sur le rseau. Les liens DFS de la racine reprsentent des dossiers partags sur
d'autres serveurs.
b)
Les avantages de DFS
Le client DFS est intgr Windows NT4 et Windows 2000 et permet de simplifier l'administration. Si un serveur
n'est plus disponible, vous pouvez dplacer le lien DFS vers un autre dossier, les utilisateurs ne verront pas de
37
Essentiel v1.1
diffrence puisque le nom de partage (racine DFS) restera inchang malgr cette redirection. Il permet aussi de
mettre en uvre de l'quilibrage de charge et de la tolrance de panne puisqu'il est possible de crer des liens
redondants partir de serveurs multiples.
c)
Restrictions de DFS
Les clients Windows 98 ncessitent l'installation d'un client DFS.

Microsoft nous fournit au niveau des limitations de DFS les valeurs suivantes :
- nombre maximum de connexion pour un chemin : 260
- nombre maximum de racine DFS par serveur : 1
- nombre maximum de racine DFS de domaine : illimit
- nombre maximum de volumes hbergs dans un domaine ou une entreprise : limit par les ressources systme
d)
Les types de racines DFS
Deux racines DFS peuvent tre configures sous Windows 2000 : autonome et de domaine (ou racine tolrance
de panne).
Racine DFS autonome : Les racines DFS autonomes sont stockes dans le registre. Les racines DFS autour
peuvent tre localises sur tous les systmes de fichiers (FAT 16, FAT 32, NTFS). Elles n'offrent pas de processus
de rplication.
Racine DFS de domaine : Une racine DFS de domaine utilise Active Directory pour stocker la topologie de
l'arborescence. Les changements dans un arbre DFS sont automatiquement synchroniss avec Active Directory.
Il est possible de crer des liens alterns avec les racines DFS de domaine afin de fournir une tolrance de panne
l'ensemble. Pour tre fonctionnelles, les racines DFS tolrance de panne doivent se situer sur des partitions NTFS.
Tolrance de pannes
a)
Prsentation de la tolrance de pannes sous Windows 2000
La tolrance de panne est la capacit du systme trouver une compensation en cas de dfaillance d'un dispositif
matriel (en l'occurrence, un disque dur). Le standard en matire de tolrance de panne pour les disques durs est
connu sous le nom de RAID (Redundant Array of Inexpensive Disks). RAID est form de plusieurs niveaux de
protection.
Il est possible dimplmenter un RAID de manire logiciel (Windows 2000, Windows NT 4, Linux, ) ou de manir
matriel avec des contrleurs de disques (souvent SCSI) qui rendront lutilisation du RAID compltement
transparente pour le systme.
Windows 2000 Server permet la mise en uvre des niveaux 1 (mirroring/duplexing) et 5 (agrgat par bandes avec
parit). Cette implmentation nest possible que sur des disques dynamiques.
$ Il ny a pas de tolrance de panne avec Windows 2000 Professionnel. La tolrance de panne (RAID 1 et 5) est
disponible seulement dans la famille Windows 2000 Server.
Avec l'agrgat par bandes avec parit, Windows 2000 Server crit les donnes sur une srie de disques dynamiques
(de 3 32). Les donnes ne sont pas dupliques sur le disque, mais Windows 2000 Server enregistre des
informations de parit qu'il peut ensuite utiliser pour rgnrer les donnes manquantes si un disque tombe en
panne.
Si l'on utilise la mise en miroir, Windows 2000 Server crira les mmes donnes sur deux disques. Si l'un des deux
tombe en panne, les donnes sont toujours disponibles sur l'autre.
38
Essentiel v1.1
$ Il existe un autre type de tolrance de pannes qui est implicitement pris en charge par Windows 2000 qui est le
duplexing. Le duplexing est un driv du RAID-1 (Mise en miroir) mais avec pour particularit que chacun des
disques composant le miroir sera connect un contrleur de disque diffrents assurant de la mme une
tolrance de panne au niveau des contrleur.
L'intrt du RAID niveau 5 rside dans la disponibilit de plus d'espace disque. En effet, l'utilisation d'un miroir
ncessite 50% de l'espace total (pour rpliquer les donnes).Dans le cas du RAID niveau 5, lorsquil est compos
de 3 disques on ne perd que 33%, lorsquil est compos de 4 disques on ne perd que 25%, et ainsi plus on va
ajouter de disques un RAID 5 moins il y a aura despace perdu.
En terme de performances, le RAID 5 est plus rapide en lecture car il peut lire les donnes partir de plusieurs
disques simultanment. Par contre en criture, il se rvle moins performant que le RAID 1, car il est ncessaire de
raliser des calculs de parit pour crire les donnes sur les disques.
Pour mettre en place la tolrance de panne, on utilise le snap-in Gestion de disque. On fait alors un clic droit sur
une zone non alloue dun disque dynamique, on choisit crer un volume. Un assistant apparat alors, permettant
de configurer entre autres la tolrance de panne.
$ Si vous utilisez un systme RAID 5 et que rencontrez un problme de disque, commencez par vrifier leur tat
dans le dans le Gestionnaire de Disques. Si lun dentre eux est marqu comme manquant, tentez tout dabord de
le ractiver avant dentreprendre son remplacement.
Dans un systme en RAID 1 (mirroring), le cheminement lgrement diffrent : si la ractivation ne donne rien, il
faudra dabord casser le miroir avant de remplacer le disque. Ensuite, il faut reformer le miroir.
b)
Procdure de rparation des systmes RAID sous Windows 2000
Dans le cas dun disque marqu comme Hors Connexion ou Manquant.

Volume miroir
Volume RAID-5
Assurez vous que le disque est bien connect et aliment.
Faites un clic-droit sur le disque, puis cliquez sur ractiver le disque.
Dans le cas dun disque marqu comme tant Connexion (erreurs)
Volume miroir
Volume RAID-5
Faites un clic-droit sur le disque, puis cliquez sur ractiver le disque.
Remplacement dun disque dfaillant
Volume miroir
Volume RAID-5
Cliquez avec le bouton droit sur le disque
Remplacez le disque dur dfaillant. (si ncessaire)
dfaillant, puis sur Supprimer le disque miroir.
Dans la boite de dialogue, slectionnez le disque Convertissez le nouveau disque en dynamique. (si
dfaillant.
ncessaire)
Remplacez le disque durs dfaillant. (si
Cliquez avec le bouton droit sur le volume RAID-5,
ncessaire)
puis sur Rparer le volume.
Convertissez le nouveau disque en dynamique. (si Dans la boite de dialogue slectionnez le disque
ncessaire)
qui remplacera le disque dfaillant du volume
RAID-5.
Cliquez avec le bouton droit sur le volume que
vous dsirez mettre en miroir, puis sur Ajouter
un disque miroir.
Slectionnez le second volume disque du volume
en miroir, puis validez.
39
Essentiel v1.1
Sauvegarde et Rcupration des donnes
Loutil de sauvegarde de Windows 2000 est lanc par Dmarrer > Programmes > Accessoires > Outils
systme > Gestion des Sauvegardes ou en lanant directement la commande ntbackup.exe depuis Dmarrer
> Excuter.
Les utilisateurs peuvent Sauvegarder leurs propres fichiers et les fichiers sur lesquels ils ont au moins une des
permissions suivantes : lecture, criture, excution, contrle total.
Les utilisateurs peuvent aussi restaurer les fichiers sur lesquels ils ont au moins une des permissions suivantes :
crire, modifier, contrle total.
Les Administrateurs et les Oprateurs de Sauvegarde peuvent sauvegarder et restaurer nimporte quel fichier en
passant outre leurs permissions.
Les diffrents types de sauvegarde
Normale
Copie
Incrmentielle
Diffrentielle
Journalire
a)
Tous les fichiers et dossiers slectionns sont sauvegards. Lattribut darchive est enlev sil
existe, cela acclre la restauration.
Tous les fichiers et dossiers slectionns sont sauvegards. Lattribut darchive n'est pas
enlev.
Seuls les fichiers dont lattribut Archive a t plac sont enregistrs et leur attribut est
ensuite enlev.
Seuls les fichiers dont lattribut Archive a t plac sont enregistrs mais leur attribut nest
pas enlev.
Tous les fichiers slectionns et les dossiers qui ont chang pendant la journe sont
sauvegards. Les attributs Archive sont ignors durant la sauvegarde et ne sont pas enlevs
aprs.
Sauvegarde des donnes sur ltat du systme
Loutil de sauvegarde de Windows 2000 permet aussi de sauvegarder des donnes systme qui pourraient
permettre de reconstruire un serveur devenu dfaillant.
Ces donnes sont notamment: le Registre, le service dannuaire Active Directory (uniquement sous 2000 Server en
tant que contrleur de domaine) , le dossier Sysvol (uniquement sous 2000 Server en tant que contrleur de
domaine ), les fichiers systme de dmarrage, etc
40
Essentiel v1.1
Module 8
Surveillance et optimisation des performances dans Windows 2000
1
Planification des tches
Il est utilis pour automatiser certains vnements tels que les scripts ou les sauvegardes systmes.
Les tches sont enregistres dans le Gestionnaire de Tches planifies du Panneau de Configuration.
Cest le service Planificateur de taches qui va ensuite se charger du lancement de la tache.
$ Il est possible de dfinir le compte utilisateur employer pour excuter une tche.
Lanalyseur de Performances
Il vous permet de vrifier si votre systme ou un systme distant est optimis. Il offre la possibilit de vrifier
lactivit rseau, le processeur, la mmoire ou encore les disques.
Chacune de ces donnes est relative un objet, cest dire un composant principal de la machine. Quand on parle
dinstance, on fait rfrence plusieurs fois le mme objet. Les compteurs captent et analysent lactivit des objets
et de leurs instances, ils peuvent afficher des graphes correspondant ces donnes.
Les objets importants sont cache (utilis pour mettre en cache les donnes physiques du systme), mmoire
(physique et virtuelle/pagine du systme), disque physique (vrifie le disque comme un tout), disque logique
(disques logiques, bandes et volumes), et processeur (vrifie la charge CPU).
Processeur - % Temps Processeur Time : mesure le temps que le processeur met pour effectuer une tche
non cache. Si ce temps est toujours dau moins 80%, il est recommand de mettre un processeur plus puissant.
Processeur Longueur de Queue Processeur : plus de 2 threads dans la queue indique que les performances
systmes sont limites par le processeur (goulet dtranglement).
41
Essentiel v1.1
Processeur - % CPU temps DPC : (deferred procedure call) mesure les interruptions logicielles.
Processeur - % Temps dinterruption : mesure les interruptions matrielles. Si le temps processeur excde
90% et que le temps dinterruptions/secondes est de plus de 15%, on a peut tre affaire un driver mal crit (de
mauvais drivers peuvent gnrer des interruptions excessives) ou bien, il faut prendre un processeur plus puissant.
Disque Logique Longueur de Queue de Disque : si la moyenne est suprieure 2, laccs au lecteur est
brid. Remplacez votre disque par un modle plus performant, utilisez un meilleur contrleur de disque, ou
implmentez un jeu de bandes (stripe set).
Disque Physique - Longueur de Queue de Disque : idem Disque Logique Longueur de Queue de Disque.
Disque Physique - % Temps Disque : si le temps est suprieur 90%, dplacez les donnes ou le pagefile vers
un autre disque, ou remplacez votre disque par un modle plus performant.
Mmoire - Pages/sec : plus de 20 pages par seconde reprsente un fort taux de mise en pagefile ajoutez de la
RAM.
$ . La commande diskperf active les compteurs de disque physique sur le systme.
Les alertes et le journal de performance
Les Journaux dalerte sont comme les journaux dvnement, mais ils ne font que tracer un vnement, envoyer un
message ou lancer un programme quand une limite dfinie vient dtre dpasse.
Le journal de compteur enregistre les donnes depuis le systme local ou un systme distant sur lutilisation
matrielle et lactivit des services systme.
Les journaux de trace permettent danalyser des donnes telles que les E/S et fautes de pagination.
Par dfaut, les fichiers de log (ou de journal) sont enregistrs dans le dossier \Perflogs sur la partition de boot.
Les logs sont enregistrs au format CSV (Comma Separated Value) ou TSV (Tab Separated Value) pour quils
puissent tre imports par des programmes tels Excel.
CSV et TSV doivent tre crits en une seule fois. Ils ne supportent pas que lcriture soit arrte puis reprise.
Utiliser plutt des fichiers binaires pour enregistrer des vnements crits par intermittence.
Surveillance des processus (Gestionnaire des tches)
Il permet de vrifier en temps rel les performances du systme. Il montre les

applications et les processus qui tournent et renseigne sur loccupation du processeur
et de la mmoire. Il permet de fermer les applications et les processus qui ne
rpondent plus. Il met disposition 23 mesures qui permettent davoir des critres
de classement des processus actifs.
Le gestionnaire de tche se lance par lintermdiaire de la combinaison de touches :
CTRL+ALT+SUPPR ou CTRL+SHIFT+ESC.
Journal des vnements
Il gre lhistorique des vnements survenus sur la machine, au niveau matriel, logiciel et ayant trait la scurit
et au systme. Il contient trois journaux diffrents :
42
Essentiel v1.1
Le journal systme : qui contient les vnements en
provenance des composants systme (chec de chargement du
pilote de carte graphique, etc).
Le journal application : contient les vnements gnrs pas
les applications (ex : Exchange 2000, SQL Server, ).
Le journal scurit : rassemble les vnements lis aux audits
du systme tels que la suppression dun fichier ou lchec
douverture dune session.
Chaque vnement est soit une information (par exemple, le service Serveur DHCP a dmarr avec succs), un
avertissement (un problme est survenu, mais il nest pas critique, par exemple lorsque lespace disque disponible
est trs faible), ou une erreur (problme important li au systme, par exemple quand le service Serveur ne peu
pas dmarrer).
On trouve le journal des vnements dans : Menu dmarrer > Programmes > Outils dadministration >
Observateur dvnements.
La taille du fichier de journal peut tre limite et les donnes peuvent tre enregistres afin de faire un suivi des
performances du systme.
Mmoire virtuelle et fichier de pagination
La taille minimum recommande pour le fichier dchange est de 1.5 fois la

taille de la mmoire RAM installe. Un systme qui a 64 MB devrait avoir un
pagefile de 96 MB. La taille maximum du fichier dchange ne doit pas
excder 2.5 fois la taille de la RAM installe.
Le fichier dchange va se matrialiser sous la forme dun fichier nomm
pagefile.sys la racine des volumes ou partition qui vont laccueillir.
On paramtre ces proprits via longlet Avanc de la bote de dialogue des
Proprits du Systme. En cliquant sur le bouton Options de
performances.
Le pagefile est le plus efficace quand il est rparti sur plusieurs disques, mais
pas sur les partitions systme ou de boot. Il est aussi conseill de dfinir une
valeur minimal et maximal identique pour le fichier dchange afin dviter une
rallocation dynamique de la taille du fichier ce qui impliquerai une baisse des
performances.
$ . La taille maximum du registre peut aussi tre change par la boite de dialogue de Mmoire Virtuelle.
43
Essentiel v1.1
Module 9
Implmentation de la scurit dans Windows 2000
1
Stratgie de groupe
Les stratgies de groupe sont une collection de variables denvironnement utilisateur qui sont imposes par le
systme dexploitation et non modifiables par lutilisateur.
Le snap-in Stratgie de Groupe (gpedit.msc)
Il est exclusif Windows 2000 et succde lEditeur de Stratgies Systme (poledit.exe). Il utilise des modles de
scurit incrmentiels. Cest dire que chaque modle de scurit est plus scuris que le prcdent.
Il ne peut tre appliqu que sur un systme install initialement sur une partition NTFS. Pour les partitions NTFS
dont les systmes ont t mises jour depuis Windows NT 4 ou antrieur, seuls les modles de scurit de base
seront appliqus.
Les rglages peuvent tre enregistrs localement (ou dans Active Directory). Ils sont scuriss et ne peuvent tre
modifis que par les membres du groupe Administrateurs.
Il est plus flexible que lEditeur de Stratgies Systme car les rglages peuvent tre filtrs en utilisant Active
Directory.
Les rglages sont imports en utilisant des fichiers .INF. Le snap-in Stratgie de Groupe peut tre employ pour
une machine locale ou distante.
Modles de scurit prdfinis de Windows 2000
Modle
De base
Compatible
Scuris
Hautement
scuris
Fichier
Description
basicwk.inf Configure la station avec un niveau de scurit basique
ou basicsv.inf
ou basicdc.inf
Offre un contexte de scurit trs proche de celui de Windows NT 4 ce qui permet
compatws.inf
dassurer une compatibilit accrue pour les applications conu pour lancien systme.
Il amliore les variables de scurit pour les Stratgies de Compte et dAudit. Enlve
securews.inf
tous les membres du groupe Utilisateur avec Pouvoir. Les ACL ne sont pas modifies.
ou
Il ne peut garantir le bon fonctionnement de toutes les applications (et leurs
securedc.inf
fonctionnalits).
Modle le plus sr mis disposition des machines qui utilisent Windows 2000 en
mode natif seulement. Il demande ce que toutes les connexions rseau soient
hisecws.inf ou
signes et cryptes de manire digitale (implmentation de IPSec). Il ne permet pas
hisecdc.inf
la communication avec des machines employant des modles plus anciens de clients
Windows. Il ne se soucie pas du bon fonctionnement des applications.
Si aucun des modles de scurit ne convient vos besoins, vous pouvez en crer sur mesure en partant dun
modle existant.
a)
Stratgie de scurit et stratgie de groupe
Il existe deux types dobjet Stratgie: les stratgies de scurit (aussi appele stratgie local) et les stratgies de
groupe. Chaque systme Windows 2000 ne peut avoir quun seul objet stratgie de scurit.
Lordre dapplication des stratgies est : locale, site, domaine et enfin unit organisationnelle. Les stratgies locales
ont la prfrence la moins grande alors que lunit organisationnelle la plus grande.
44
Essentiel v1.1
b)
Stratgie de Groupe (enregistre dans Active Directory)
Elle peut tre lie un site grce loutil Sites & services Active Directory afin dtre applique tous les domaines
du site.
Quand elle est applique un domaine ou une unit dorganisation, cela affecte tous les utilisateurs et les
ordinateurs du domaine et (par hritage) tous les utilisateurs et ordinateurs de lunit dorganisation.
c)
Config.pol, NTConfig.pol et Registry.pol
Windows 2000 utilise le format registry.pol. Deux fichiers sont crs : un pour la configuration de la machine
(enregistr dans le sous-rpertoire \Machine) et un pour la configuration de lutilisateur (enregistr dans le sousrpertoire \User).
Le fichier registry.pol peut tre utilis avec Windows 95/98, Windows NT 4.0 et Windows 2000. NTConfig.pol
concerne les systmes sous Windows NT 4 alors que config.pol concerne Windows 9x/Me.
Les fichiers .POL peuvent tre lus grce lutilitaire regview.exe du Ressource Kit de Windows 2000.
d)
Editeur de Stratgies Systme (poledit.exe)
Windows NT 4, Windows 95 et Windows 98 lutilisent pour spcifier la configuration de lordinateur et de lutilisateur

qui est enregistre dans le Registre. Cependant, cette mthode nest pas sre car les variables peuvent tre
modifies par nimporte quel utilisateur possdant lEditeur de Registre (regedit.exe).
Les stratgies appliques l'aide de poledit.exe sont persistantes. Les proprits sont intgres la base de
registre de faon permanente et continuent d'agir mme lorsque la stratgie n'est plus applique.
Configuration de la scurit
Afin d'assurer la cohrence du systme au niveau de la scurit, on utilise le snap-in Configuration et analyse
de la scurit (accessible uniquement par la cration d'une nouvelle mmc). Il permet de configurer et d'analyser
la scurit de Windows 2000. Il est bas sur le contenu d'un modle de scurit cr en utilisant le snap-in Modle
de Scurit.
$ Il existe une version en ligne de commande de cet outil: secedit.exe. Cette commande est dautant plus
intressante car elle permet via loption /refreshpolicy machine_policy ou /refreshpolicy user_policy dappliquer
instantanment les modifications de lapplication dune stratgie de groupe sans avoir besoin de redmarrer.
Par dfaut, Windows 2000 Professionnel ne demande pas lutilisateur lappui de CTRL-ALT-SUPPR pour se
connecter. Pour renforcer la scurit, on peut dsactiver cette fonction et forcer lutilisateur appuyer CTRL-ALTSUPPR (fixer ce paramtre en utilisant le snap-in Stratgie de Groupe).
Pour dsactiver laccs une station de travail, mais permettre aux programmes de continuer tourner, utiliser
loption Verrouiller la Station (depuis la boite de dialogue CTRL-ALT-SUPPR).
Pour dsactiver laccs une station de travail et ne pas permettre aux applications de continuer tourner, utiliser
loption Se Dconnecter (depuis la boite de dialogue CTRL-ALT-SUPPR).
Pour verrouiller une station aprs une certaine priode dinactivit, il est conseill dutiliser un mot de passe pour
lconomiseur dcran.
La suppression du fichier pagefile.sys lorsque lordinateur sarrte nest pas active par dfaut. On peut la
paramtrer via lEditeur de Stratgie Locale, ce qui empchera une personne malveillante dextraire des
informations depuis le pagefile.sys de votre machine.
Pour viter que le nom du dernier utilisateur soit affich la demande de logon (comme le fait Windows 2000
Professionnel par dfaut), il faut utiliser le snap-in Stratgie de Groupe, Stratgie de lOrdinateur local.
45
Essentiel v1.1
Lorsque vous utilisez lObservateur dEvnements, seuls les Administrateurs locaux peuvent voir le journal de
scurit, mais Tout le Monde (par dfaut) peut voir les deux autres journaux.
Gestion de laudit
Laudit peut-tre activ par Dmarrer > Programmes > Outils dAdministration > Stratgie de Scurit
Locale. Double-cliquez sur Stratgies Locales puis cliquer sur Stratgies daudit. Slectionnez lvnement que vous
voulez auditer et dans le menu Action, cliquer Scurit. Dfinir les proprits pour chaque objet et redmarrer
lordinateur pour que la nouvelle stratgie prenne effet.
Lorsque vous souhaitez auditer laccs aux fichiers, aux dossiers et aux imprimantes, il est ncessaire dactiver
laudit Accs aux objets qui va permettre lenregistrement de la SACL (Security Access Control List).
Systme de cryptage de fichier (EFS : Encrypting File System)

a)
A propos DEFS
Le systme de cryptage EFS fonctionne uniquement sous Windows 2000 et requiert des partitions NTFS v.5 ou
ultrieur. Il est transparent pour l'utilisateur.
Il utilise un algorithme de cryptage asynchrone (cl prive/cl publique) pour l'encodage des cls de cryptage
synchrones qui servent encoder les fichiers. Cela offre une scurit maximale pour les fichiers.
Un agent de rcupration doit tre configur afin de pouvoir rcuprer les fichiers crypts dans le cas, par exemple,
du dpart d'un employ ou de la perte de sa cl prive.
EFS est prsent dans le noyau de Windows et utilise un pool de mmoire non pagine pour enregistrer les clefs de
cryptage. Cela signifie que personne ne pourra les extraire de votre fichier de pagination.
Les fichiers crypts peuvent tre sauvegards en utilisant le programme Utilitaire de Sauvegarde, ils prserveront
leur tat de cryptage tant que les permissions daccs sont prserves.
Pour crypter un dossier : dans la boite de dialogue Proprits pour le dossier, cliquer sur longlet Gnral, ensuite,
cliquer sur le bouton Avanc et slectionner la case cocher Crypter le contenu pour scuriser les donnes . Le
dossier nest pas crypt, mais les fichiers qui y seront placs seront crypts. Dcocher la case si vous souhaitez que
les fichiers ne soient plus crypts.
Il est noter que le cryptage par dfaut est sur 56 bits. Dans les tats lautorisant, il est possible de pousser le
cryptage 128 bits. De plus, les fichiers compresss ne sont pas crypts et vice versa.
$ Vous ne pouvez pas partager des fichiers crypts.
Il existe deux programmes utiles qui concernent le cryptage des donnes : la commande cipher.exe qui permet de
crypter des fichiers et lutilitaire efsinfo.exe qui se trouve dans le Ressource Kit de Windows 2000 qui permet
ladministrateur dobtenir des informations sur les fichiers crypts.
Utiliser la commande CIPHER
/a
/d
/e
/f
/h
/i
/k
Applique les oprations spcifies aussi bien sur les dossiers que sur les fichiers
Dcrypte les dossiers spcifis et les marque pour que les fichiers qui y seront ajouts ne soient pas crypts
Crypte les dossiers spcifis et les marque pour que les fichiers qui y seront ajouts soient crypts
Force le cryptage des fichiers spcifis, mme ceux qui le sont dj
Affiche les fichiers avec les attributs systme/cachs qui ne sont pas visibles par dfaut
Lopration spcifie continue mme si des erreurs surviennent durant lopration
Cre une nouvelle cl de cryptage pour les utilisateurs qui lancent la commande Cipher ne peut pas tre
utilis conjointement avec dautres options
46
Essentiel v1.1
/q
/s
Ne montre que les informations essentielles

Applique les oprations spcifies aussi sur les sous-dossiers
IPSec
Le protocole IPSec (Internet Protocol Security) permet dassurer la protection des paquets IP. Il utilise un modle
de scurit de bout en bout, ce qui signifie que seuls lmetteur et le rcepteur doivent avoir connaissance de la
protection IPSec. Cela permet aux routeurs de ne pas avoir implmenter ce protocole.
IPSec peut tre implment dans un domaine Windows 2000 utilisant Active Directory ou sur une machine
Windows 2000 au travers de ses rglages de Scurit Locale. Il nest pas disponible pour Windows 95/98 ou
Windows NT 4.
IPSec est constitu de quatre protocoles. Les deux principaux sont :
AH (Authentication Header) qui gre lauthenticit des donnes.

ESP (Encapsulated Security Payload) qui gre aussi lauthenticit des donnes mais qui peut aussi en assurer
le cryptage.
Les mthodes dauthentification supportes par IPSec sont :

Kerberos v5
Autorit de Certification des Cls Publiques.
Serveur de Certificats Microsoft.
Cls Pr partages.
Lagent de stratgie IPSec Policy Agent est un service Windows 2000 qui tourne dans le processus lsass.exe et peut
tre visible dans le snap-in Services du MMC. Il est charg et dmarr la mise en route du systme et retrouve la
stratgie IPSec soit dans lActive Directory, soit dans le Registre local. Une fois que la stratgie IPSec a t
obtenue, elle va tre applique tout le trafic IP reu ou envoy par cette machine.
Avant que deux ordinateurs ne puissent communiquer, ils doivent ngocier une Security Association (SA Association
de Scurit). La SA dfinit en dtail lutilisation IPSec par ces ordinateurs, les cls employes, la dure de vie de ces
cls, le cryptage et le protocole didentification qui seront utiliss.
Quand cela sapplique un domaine Windows 2000, les stratgies IPSec sont stockes dans lActive Directory. Mais
sans lui (lActive Directory), elles sont enregistres dans les cls de Registre suivantes :
Stratgie de Groupe :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\Cache
Stratgie Locale :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\Local
Utilisez le Moniteur IPSec (ipsecmon.exe) pour voir le statut dIPSec sur une machine Windows 2000. Lanalyseur
de trames de Windows 2000 Server peut tre utilis pour voir les paquets AH et ESP. Les logs de lagent de
Stratgie IPSec sont enregistrs dans le fichier ipsecpa.log.
Le second service de connexion (Excuter en tant que)
Cette commande est utilise pour tester des rglages avec un compte particulier alors que vous tes logg avec un
compte diffrent (relativement similaire la commande su sous UNIX).
Slectionner licne de lapplication faisant un simple clic gauche. Ensuite, enfoncer la touche Shift et faire un clic
droit sur licne. Quand le menu contextuel apparat, slectionner Excuter en tant que. Cela fait apparatre une
fentre qui a pour nom Excuter lapplication en tant quun autre utilisateur entrer login/mot de passe et cliquer
sur OK.
47
Essentiel v1.1
Module 10
Configuration de limpression
1
Les priphriques dimpression locaux et en rseau

a)
Terminologie
Un priphrique dimpression est ce que lon appelle en gnral une imprimante, cest dire un matriel qui permet
dditer des documents, de les imprimer.
Une imprimante est linterface logicielle quil y a entre le priphrique dimpression et Windows. Concrtement, le
file dattente du priphrique dimpression.
Le serveur dimpression contient le pilote dimprimante propre chacun des priphriques dimpression connects.
Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur pour demander des travaux
dimpression (Windows 95, 98, NT, 2000).
b)
Ajout dune imprimante
Vous devez avoir les privilges dAdministrateur afin dajouter une imprimante votre serveur. Lassistant dAjout
dimprimante vous guide pendant tout le processus qui vous permettra de dfinir quel priphrique dimpression est
disponible, sur quel port physique le priphrique dimpression est branch, quel pilote utiliser, ainsi que le nom du
priphrique dimpression sous lequel il sera connu sur le rseau.
c)
Partage dune imprimante
Le partage dune imprimante se fait dans les mmes conditions que lajout dune imprimante, cest dire quil faut
tre Administrateur. Un clic droit sur limprimante, puis Proprits, l il faut choisir longlet Partage. Choisir le nom
de partage de limprimante sur le rseau, et ensuite ajouter tous les pilotes ncessaires aux clients qui vont utiliser
cette imprimante (en cliquant sur Pilotes supplmentaires).
$ Une imprimante partage sous Windows 2000 se retrouve automatiquement publie dans Active Directory. Si
Active Directory nest pas implment sur le domaine, alors les utilisateurs devront parcourir le rseau pour
trouver limprimante partage.
d)
Partage et permissions
Une fois limprimante partage, il est utile daffecter aux bons utilisateurs les bonnes permissions. Pour cela, on
se rend dans longlet Scurit, puis on commence par supprimer le groupe Tout le Monde. Ensuite, on clique sur
Ajouter, on choisit les utilisateurs et/ou les groupes voulus puis on leur affecte les permissions requises.
e)
Gestion des priorits
Les priorits dimpression sont fixes en crant plusieurs imprimantes logiques qui pointent vers le mme
priphrique dimpression et en leur assignant individuellement des priorits. Lchelle des priorits va de 1 (la plus
faible, par dfaut) 99, la plus forte. Il faut ensuite limiter via longlet scurit lutilisation de chacune des
imprimantes aux bons utilisateurs.
Pour mettre en place les priorits dune imprimante, il suffit de se rendre dans longlet Avanc, puis de remplir la
zone Priorit avec la valeur voulue.
f)
Configuration des clients
Windows 2000 Server offre le tlchargement automatique des pilotes pour les clients qui tournent sous Windows
2000, Windows NT 4, Windows NT 3.51 et Windows 95/98.
48
Essentiel v1.1
g)
Cration dun pool
Vous avez aussi la possibilit dutiliser un ou plusieurs priphriques dimpression identiques pour ne faire quune
imprimante logique. Cest le Print Pooling (Pool dimpression). Le pool dimpression ne comporte pas
ncessairement que des priphriques dimpression locaux, il peut aussi comporter des priphriques dimpression
munis de carte (interface) rseau.
Quand un travail dimpression sera rceptionn par le serveur, alors, il sera envoy au premier priphrique
dimpression qui sera disponible.
Pour crer un pool dimpression, il faut cette fois-ci se rendre dans longlet Port, puis cliquer la case Activer le pool
dimprimante et enfin il ne reste plus qu choisir sur quels ports sont connects les priphriques dimpression.
h)
Impression Internet
Limpression Internet est une nouveaut de Windows 2000. Vous pouvez utiliser une URL pour votre imprimante.
Le serveur dimpression doit tre sous Windows 2000 Server disposant dInternet Information Server ou sous
Windows 2000 Professionnel disposant de Personal Web Server.
Toutes les imprimantes partages peuvent tre grer sur http://nom_de_serveur/printers.
Pour aller plus loin
Windows 2000 Professionnel supporte les ports dimpression suivants : Line Printer (LPT), COM, USB, IEEE 1394, et
les priphriques rseaux attachs.
Windows 2000 Professionnel ne peut fournir des services dimpression qu des clients Windows et UNIX. Windows
2000 Server est requis pour supporter les clients Apple et Novell.
Vous pouvez utiliser des pages de sparation pour sparer les travaux dimpression dune imprimante partage. Un
modle de page de sparation peut tre cr et enregistr dans le dossier %systemroot%\system32 avec une
extension .SEP.
Vous pouvez utiliser Recommencer dans le menu de limprimante pour rimprimer un document. Cela peut se
rvler utile lorsque limprimante se bloque en cours dimpression. Loption Continuer peut tre slectionne pour
reprendre le travail l o vous lavez arrt.
Vous pouvez changer le dossier o se trouve le spooler dimpression dans les proprits avances de limprimante.
Pour rparer un spooler, vous devez arrter puis redmarrer le service spooler dans le snap-in Services des Outils
dAdministration du Panneau de configuration.
Utiliser lutilitaire en ligne de commande fixprnsv.exe pour rsoudre les problmes de compatibilit dimprimante.
Lactivation de loption disponibilit permet lAdministrateur de spcifier quelle heure limprimante est
disponible.
49
Essentiel v1.1
Module 11
Installation et configuration des services Terminal Server
1
Fonctionnement des services de terminaux

a)
Le serveur
Il permet de grer les ressources lies la session de chaque utilisateur. Ce dernier reoit les frappes au clavier et
les clics de souris et achemine le rsultat visuel du systme d'exploitation au client appropri.
b)
Le client
La session Terminal Server se prsente sous la forme d'une fentre. L'ordinateur ou

le priphrique client a uniquement besoin de la puissance de traitement ncessaire
pour la connexion au serveur. Ce dernier excute la quasi totalit des traitements.
Les clients Terminal Server sont parfois appels des clients lgers (thin clients).
c)
Le protocole RDP
Le protocole Remote Desktop Protocol prend en charge la communication entre l'ordinateur client et le serveur. Il
est optimis pour l'affichage des lments de l'interface graphique sur l'ordinateur client. Il s'agit d'un protocole de
la couche application qui utilise TCP/IP pour effectuer le transfert des donnes sur le rseau. Le protocole RDP
repose sur le standard ITU T 120.
d)
Installation des services Terminal Server
Deux mthodes permettent d'installer les services Terminal Server : au cours de l'installation de Windows 2000 ou
aprs l'installation en utilisant le groupe Ajout/Suppression de programmes du Panneau de configuration.
e)
Les deux modes dinstallation
Lors de l'installation, vous aurez le choix entre deux modes :
administration distance : il va vous permettre de vous connecter sur votre serveur pour en assurer
l'administration. Windows 2000 va limiter 2 le nombre maximal de connexions.
serveur d'application : il s'agit du mode de fonctionnement normal des services de terminaux. Ce mode
va permettre vos utilisateurs de se connecter avec pour seule limitation le nombre de licences Terminal
Server (TS CAL) dont vous disposez.
f)
Configuration pour laccs client
Pour pouvoir ouvrir une session Terminal Server, les comptes de vos utilisateurs doivent tre modifis.
Dans les proprits de comptes, onglet Profil des services Terminal Server, cochez la case Autoriser l'ouverture
de session Terminal Server puis Appliquez.
Vous pouvez aussi spcifier des dossiers de base et des profils pour les utilisateurs. Vous pouvez affecter un profil
un utilisateur qui s'applique uniquement aux sessions Terminal Server. Cette procdure vous permet de crer des
profils utilisateur pour l'environnement des services Terminal Server.
50
Essentiel v1.1
Connexion sur un serveur de terminaux

a)
Installation du client des services Terminal Server
Crateur de disquettes client

Vous pouvez utiliser le crateur de disquettes client pour mettre en place vos clients de serveurs de terminaux.
Il est install parmi les Outils dadministration lorsque vous installez Terminal Server
Vous pourrez slectionner le type de client crer: Client Terminal Server pour Windows 16 bits (4 disquettes sont
ncessaires) ou Client Terminal Server pour Windows 32 bits (2 disquettes sont ncessaires).
Tlchargement du logiciel client depuis un serveur Terminal Server
Vous pouvez rechercher les fichiers source du client des services de Terminal Server dans le dossier
Racine_systme\system32\tsclient sur le serveur Terminal Server. Ce dossier contient les sous-dossiers Net, Win16
et Win32.
Les utilisateurs peuvent ensuite lancer setup.exe partir de l'un des dossiers partags.
Utilisation du composant ActiveX
Il vous est possible de tlcharger partir du site Microsoft un client ActiveX pour votre serveur de terminaux.
b)
Etablissement dune connexion
Lorsqu'un utilisateur se connecte, la boite de dialogue Client des services Terminal Server s'affiche. Vous pourrez y
configurer la zone d'cran qui correspondra une rsolution d'affichage. Vous pouvez aussi dcider d'tablir une
connexion basse vitesse si vous utilisez un modem ou si le rseau est lent. Il est possible d'acclrer la vitesse de
rponse en mettant en cache les bitmaps, dans ce cas, votre client va enregistrer les lments d'affichage du
bureau dans un cache local.
c)
Fin dune session Terminal Server
Les services Terminal Server permettent aux utilisateurs de mettre fin une session Terminal Server l'aide des
deux mthodes suivantes :
Dconnexion : vos applications vont continuer s'excuter sur le serveur. L'utilisateur peut se reconnecter au
serveur et reprendre la session.
Fermeture d'une session : La fermeture d'une session met fin son excution sur le serveur. Les applications
excutes au cours de la session sont fermes.
d)
Gestion des licences
Un serveur de licences stocke toutes les licences des services Terminal Serveur qui sont installes pour un groupe
de serveur Terminal Server.
Un domaine ou un site hbergeant des serveurs Terminal Server doit galement hberger un serveur de licences.
e)
Types de licences client
Le serveur de licences gre les types de licences rpertoris ci-dessous :

Licences d'accs client pour les services Terminal Server : elles sont acquises pour des priphriques connus, autres
que Windows 2000, se connectant un serveur Terminal Server.
51
Essentiel v1.1
Licences Internet connector pour les services Terminal Server. Cette licence permet aux internautes d'utiliser de
faons simultane et anonyme un serveur Terminal Server.
Licences intgres. Les ordinateurs clients qui excutent Windows 2000 sont automatiquement licencis en tant
que clients des services Terminal Server.
Licences provisoires. Lorsqu'un serveur Terminal Server demande une licence et que le serveur de licences n'en a
aucune donner, une licence provisoire lui est dlivre. Le serveur de licences effectue le suivi de la dlivrance et
de l'expiration des licences provisoires.
f)
Gestion des applications
Permet lexcution dune application par plusieurs utilisateurs. Son programme d'installation doit copier les fichiers
vers une localisation centrale.
Vous disposez de deux mthodes pour l'installation :
Ajout/Suppression de programmes du panneau de configuration ou la commande change user l'invite : aprs
avoir ouvert une session en tant qu'administrateur, tapez change user /install , installez l'application puis ensuite
l'invite tapez change user /execute.
52
Essentiel v1.1
Module 12
Implmentation de serveurs Windows 2000
1
Vue densemble dActive Directory
Le service Active Directory (Active Directory) permet une gestion centralise. Cela vous donne la possibilit dajouter,
de retirer et de localiser les ressources facilement. Il offre une avance significative au-del des limitations du modle
de scurit du domaine Windows NT.
Ainsi, nous avons :
Une administration simplifie: Active Directory offre une administration de toutes les ressources du
rseau dun point unique. Un administrateur peut se loguer sur nimporte quel ordinateur pour grer les
ressources de tout ordinateur du rseau.
Une mise lchelle: les domaines NT 4 ont une limitation pratique de 40 000 objets. Active Directory
repousse cette limite plusieurs millions si cela est ncessaire.
Un support standard ouvert: Active Directory utilise DNS pour nommer et de localiser des ressources,
ainsi les noms de domaine Windows 2000 sont aussi des noms de domaine DNS. Active Directory fonctionne
avec des services de clients diffrents tels que NDS de Novell. Active Directory supporte le http. Cela signifie
quil peut chercher les ressources au travers dune fentre dun browser web. De plus, le support de Kerberos
5 apporte la compatibilit avec les autres produits qui utilisent le mme mcanisme dauthentification.
Structure dActive Directory
La structure dActive Directory est hirarchique, elle se dcompose comme suit :
Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur ou un compte
utilisateur.
Classe : groupement logique dobjet tels les comptes dutilisateurs, ordinateurs, domaines, ou units
organisationnelles.
Unit organisationnelle (OU) : container utilis pour organiser les objets dun domaine lintrieur de
groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes dutilisateurs, les fichiers
partags, les applications et mme dautres units organisationnelles.
Domaine : chacun des objets dun rseau existe dans un domaine et chaque domaine contient les
informations des objets quil contient. Un domaine est scuris, cest dire que laccs aux objets est limit
par des ACL (Access Control List). Les ACL contiennent les permissions, associes aux objets, qui dterminent
quels utilisateurs ou quels types dutilisateurs peuvent y accder. Dans Windows 2000, toutes les stratgies
de scurit et les configurations (telles les droits administratifs) ne se transmettent pas dun domaine
lautre. Ladministrateur de domaine peut dterminer les stratgies uniquement lintrieur de son propre
domaine.
Arbre : cest un groupement ou un arrangement hirarchique dun ou plusieurs domaines Windows 2000 qui
partagent des espaces de noms contigus (par exemple : administration.supinfo.com,
comptabilit.supinfo.com, et training.supinfo.com). Tous les domaines dun mme arbre partagent le mme
schma commun (la dfinition formelle de tous les objets qui peuvent tre enregistrs dans une architecture
dActive Directory) et partagent un catalogue commun.
Fort : cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres qui ont des noms
disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les arbres dune fort partagent le
mme schma commun et le mme catalogue, mais ont des structures de noms diffrentes. Les domaines
53
Essentiel v1.1
dune fort fonctionnent indpendamment les uns des autres, mais les forts permettent la communication
dun domaine lautre.
Sites : combinaison dune ou plusieurs IP de sous rseau connects par des liens hauts dbits. Ils ne font
pas partie dun espace de nommage dActive Directory, et ils contiennent seulement les ordinateurs, les
objets et les connexions ncessaires pour configurer la rplication entre sites.
Rplication de sites
Un contrleur de domaine est un ordinateur sous Windows 2000 Server qui contient une rplique de larborescence
du domaine (ce nest pas le cas des serveurs membres). Active Directory utilise une rplication multimatres, cest-dire quaucun contrleur de domaine nest contrleur principal de domaine, tous les contrleurs de domaine sont
au mme niveau.
Disposer de plus dun contrleur de domaine dans un domaine permet la tolrance de panne. Si un contrleur de
domaine tombe en panne, un autre est capable de continuer authentifier les demandes de connexion et dassurer
les services demands grce sa copie de lActive Directory.
Les informations de lActive Directory sont rpliques entre les contrleurs de domaines (DC) et assurent que les
changements effectus sur un contrleur seront rpliqus sur les autres contrleurs du domaine. Le contrleur de
domaine garde une copie de toutes les informations contenues dans lannuaire Active Directory de son domaine. Il
gre les changements et se charge aussi de rpliquer ces changements aux autres contrleurs du mme domaine.
Les contrleurs de domaine dupliquent eux-mme tous les objets du domaine vers les autres contrleurs du mme
domaine. Quand vous modifiez des informations dans Active Directory, vous effectuez ces changements sur un seul
des contrleurs de domaine.
La rplication est automatique et utilise une topologie en anneau pour seffectuer dans un mme domaine et un
mme site. Lanneau assure que si un contrleur de domaine est en panne, il y aura quand mme une possibilit de
rpliquer ses informations vers les autres contrleurs de domaine.
Les administrateurs peuvent spcifier le nombre de rplications faites, lheure a laquelle elles seffectuent ainsi que
la quantit dinformation pouvant tre transmise.
Les contrleurs de domaine rpliquent immdiatement les changements tels que la dsactivation dun compte
utilisateur.
Concepts de lActive Directory

a)
Schma
Il contient une dfinition formelle du contenu et de la structure de Active Directory tel que les attributs, les classes
et les classes de proprits. Pour une classe dobjet, le schma est : quels attributs linstance dune classe doit
possder, quels attributs additionnels sont autoriss et quelle classe dobjet peut tre son parent.
Installer Active Directory sur le premier ordinateur dun rseau cre le domaine et le schma par dfaut contiendra
les objets frquemment utiliss. Des extensions peuvent tre ajoutes au schma lorsque cela est ncessaire. Par
dfaut, laccs en criture au schma est limit aux membres du groupe Administrateurs.
b)
Catalogue Global
Cest l que sont stockes les informations lies aux objets dun arbre ou dune fort. Active Directory cre
automatiquement un catalogue global partir des domaines qui composent lActive Directory par le processus de
rplication. Les attributs stocks dans le catalogue global sont ceux qui font le plus souvent lobjet de requte dans
les oprations de recherche (tels que les noms dutilisateurs, les noms de login, etc.) et sont utiliss pour localiser
une rplique exacte de lobjet. Pour ces raisons, le catalogue global peut tre utilis pour trouver des objets partout
sur le rseau sans besoin de rplication entre les contrleurs de domaine.
54
Essentiel v1.1
Convention de nomenclature dActive Directory
Nom Distinct (DN) : chacun des objets dActive Directory dispose du sien. Il identifie de manire unique
un objet et contient assez dinformation pour quun client de lActive Directory puisse le retrouver dans
lActive Directory. Il inclue le nom de domaine qui contient lobjet ainsi que le chemin complet pour se
rendre jusqu lui. Les noms distincts doivent tre UNIQUES, Active Directory nacceptera pas de doublons.
Nom Relatif Distinct (RDN - Relative Distingushed Name) : si le nom distinct est inconnu, vous
pouvez chercher un objet par ses attributs. Le nom relatif distinct est une partie du nom qui est un attribut
de lobjet lui-mme (par exemple, Michel Dupont pourrait avoir CN = Michel Dupont comme RDN).
Identifiant Global Unique (GUID - Globally Unique Identifier) : cest un nombre de 128 bits unique
assign lobjet lorsquil est cr. Cette valeur ne change JAMAIS mme si lobjet est renomm ou dplac.
Ce numro peut tre utilis pour localiser lobjet.
Nom Principal dUtilisateur (UPN - User Principal Name) : cest le nom donn un compte
utilisateur (par exemple labo-microsoft@supinfo.com).
55
Essentiel v1.1
Module 13
Services daccs a distance (RAS Remote Access Services)
Les services d'accs distance de Windows 2000 intgrent les fonctionnalits d'accs distant ainsi que des
fonctionnalits de routage.
Protocoles dauthentification
EAP (Extensible Authentication Protocol) : il sagit dun complment du protocole PPP permettent ce dernier la
prise en charge de nouvelles mthodes dauthentification (cartes puces par exemple). MD5-CHAP et EAP-TLS sont
deux exemples d EAP.
EAP-TLS (Transport Level Security) : utilis en particulier pour les certificats digitaux. Avec EAP-TLS, le serveur et
le client doivent sauthentifier mutuellement.
MD5-CHAP (Message Digest 5 Challenge Handshake Authentication Protocol): crypte les logins et les mots de
passe avec un algorithme MD5.
RADIUS (Remote Authentication Dial-in User Service): spcification pour lauthentification distante de
constructeurs indpendants. Windows 2000 Professional ne peut tre QUE client RADIUS.
MS-CHAP v1 et v2 (Microsoft Challenge Handshake Authentication Protocol): crypte la session complte,
contrairement a MD5-CHAP. La version 2 est supporte par Windows 9x/Me, NT4 et 2000 pour les connexions VPN.
MS-CHAP ne peut pas tre utilis par des clients non-Microsoft.
SPAP (Shiva Password Authentication Protocol) : utilis par les clients Shiva LAN Rover. Il crypte le mot de passe,
mais pas les donnes.
CHAP (Challenge Handshake Authentication Protocol) :crypte le login, le mot de passe mais pas les donnes. Il
peut fonctionner avec les clients non-Microsoft.
PAP (Password Authentication Protocol) : il envoie le login et le mot de passe en clair.
Rseau Priv Virtuel (VPN - Virtual Private Network)
La mise en place dun VPN ncessite lun de ces protocoles :

PPTP (Point to Point Tunneling Protocol) : il cre un tunnel crypt au travers dune liaison rseau juge peu sre
(du point de vue de la confidentialit des informations qui y transitent).
L2TP (Layer Two Tunneling Protocol): il fonctionne comme PPTP car il cre un tunnel, mais il ne propose pas le
cryptage des donnes. La scurit est mise disposition par le biais de technologies comme IPSec.
Voici un comparatif des fonctionnalits de chacun dentre eux :
Caractristiques
Compression den-tte
Authentification du tunnel
Cryptage intgr
Transmission sur des rseaux bass sur IP
Transmet sur des rseaux bass sur UDP, Frame
Relay, X.25 ou ATM
PPTP
Non
Non
Oui
Oui
L2TP
Oui
Oui
Non
Oui
Non
Oui
56
Essentiel v1.1
Support Multi-lien (Multilink support)
Le mutli-lien vous permet de combiner un ou plusieurs modems ou adaptateurs ISDN

augmentera la bande passante.
en un lien logique qui
BAP (Bandwidth Allocation Protocol) et BACP (Bandwidth Allocation Control Protocol) amliorent le multilinking en
augmentant et diminuant de manire dynamique la bande passante. Les caractristiques sont configures au
travers des stratgies du RAS.
Il est activ depuis longlet PPP de la bote de dialogue Proprits du serveur RAS.
Configurer la scurit du rappel (Callback)
Lutilisation du rappel permet la prise en charge des frais tlphoniques de lutilisateur qui se connecte a distance
par la socit. Cest aussi un moyen daccrotre la scurit (rappel a un numro prdfini).
Pour faciliter lutilisation de laccs a distance par des itinrants (tels les VRP),il faudra pourtant choisir loption
Permettre lappelant de fixer le numro de rappel (scurit moindre).
Accs rseau distance
La documentation technique de Microsoft se rfre en gnral Accs Rseau Distance lorsque lon parle de
connexion vers lextrieur. Les connexions entrantes sont connues sous le nom de Remote Access Services (RAS).
Toutes les nouvelles connexions sont ajoutes via lassistant Nouvelle connexion .
Pour crer une connexion VPN, choisir Numroter vers un rseau priv, spcifier si vous devez tablir une liaison
par un provider avant, entrer le nom dhte ou ladresse IP de lordinateur/du rseau auquel vous voulez vous
connecter, et enfin spcifier si la connexion est pour votre profil uniquement ou pour tout le monde.
Ces entres peuvent tre cres pour des connexions modem, LAN, lien direct par cble, et infrarouge.
PPP est choisi en gnral parce quil supporte de nombreux protocoles, cryptages et lattribution dynamique
dadresse IP. SLIP est un protocole plus ancien qui ne supporte que TCP/IP.
Toutes les connexions rseau, entrantes et sortantes, sont reprsentes par des icnes spares et toutes les
options peuvent tre configures de manire individuelle.
57
Essentiel v1.1
Notes :
58
Essentiel v1.1
Notes :
59
60

Examen 70 210 Essentiel 1.1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Examen 70 210 Essentiel 1.1

Transféré par

Droits d'auteur :

Formats disponibles

Microsoft Windows 2000

Implmentation de Windows 2000

23, rue Chteau Landon

- Ce document est la proprit de Supinfo

Table des Matires :

Premier aperu de Windows 2000 ___________________________________________________________________6

Installation de Windows 2000 _______________________________________________________________________6

Travailler avec Sysdiff_____________________________________________________________________________9

Utilitaire de prparation de systme Sysprep __________________________________________________________9

Mise jour depuis une version prcdente ____________________________________________________________9

Fichiers et journaux de l'installation _________________________________________________________________9

Module 2 Configuration de lenvironnement de Windows 2000__________________________________________________11

Configuration des priphriques ___________________________________________________________________11

Signature des pilotes _____________________________________________________________________________11

Mise jour des pilotes ____________________________________________________________________________12

Configuration de laffichage _______________________________________________________________________12

Les services daccessibilit ________________________________________________________________________13

Prise en charge des processeurs multiples ____________________________________________________________13

Installer et grer des priphriques rseau ___________________________________________________________13

Processus de dmarrage Windows 2000 _____________________________________________________________13

Fonctionnement des chemins ARC________________________________________________________________14

Utilisation de la console de rcupration ___________________________________________________________15

Les options de dmarrage et paramtres de rcupration _____________________________________________16

La disquette de rparation d'urgence _____________________________________________________________16

Gestion des applications ________________________________________________________________________16

Utilisation de linstallateur de Packages Microsoft___________________________________________________17

Profils matriels _______________________________________________________________________________17

Profils utilisateurs _____________________________________________________________________________17

Support multi-langages et multi-locations __________________________________________________________18

Le registre de Windows 2000 ____________________________________________________________________18

Support des ordinateurs mobiles _________________________________________________________________19

Module 3 Connexion dordinateurs clients Windows 2000 a des rseaux __________________________________________20

Gestion des protocoles ____________________________________________________________________________20

Ce document est la proprit de lEcole Suprieure dInformatique (http://www.supinfo.com)

Procdure de Dpannage _________________________________________________________________________ 21

Configuration de NWLink (IPX/SPX) et Netware _____________________________________________________21

Connexion un rseau Microsoft___________________________________________________________________22

Connexion un rseau Novell Netware ______________________________________________________________22

Autres protocoles ________________________________________________________________________________23

Module 4 Gestion de comptes dutilisateurs _________________________________________________________________26

Installation des outils dadministration ______________________________________________________________26

Comptes dutilisateurs locaux et de domaine _________________________________________________________26

Convention de nommage __________________________________________________________________________26

Gestion des comptes______________________________________________________________________________26

Gestion des dossiers de base _______________________________________________________________________26

Gestion des profils utilisateurs _____________________________________________________________________27

Profil d'utilisateur itinrant _______________________________________________________________________27

Profil d'utilisateur obligatoire _____________________________________________________________________27

Module 5 Gestion de laccs aux ressources laide de groupes _________________________________________________28

Les groupes dans un groupe de travail ______________________________________________________________28

Les groupes dans un domaine______________________________________________________________________29

Module 6 Gestion de donnes laide du systme de fichiers NTFS ______________________________________________31

Les autorisations NTFS ___________________________________________________________________________31

Principe d'hritage des autorisations NTFS __________________________________________________________31

Principe de blocage de lhritage ___________________________________________________________________31

Autorisation Refuser _____________________________________________________________________________31

Autorisations NTFS spciales ______________________________________________________________________32

Copie et dplacement de fichiers et de dossiers________________________________________________________32

Compression de fichiers et dossiers _________________________________________________________________33

Utilisation des quotas de disques ___________________________________________________________________33

Module 7 Accs aux ressources disques_____________________________________________________________________34

Cration de dossiers partags ______________________________________________________________________34

Ce document est la proprit de lEcole Suprieure dInformatique (http://www.supinfo.com)