Académique Documents
Professionnel Documents
Culture Documents
I - INTRODUCTION
Développé par Microsoft Corporation depuis le début des années 90 initialement par une
ancienne équipe de Digital Equipment Corporation (DEC).
Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows
2000.
robustesse,
sécurisation,
fonctionnalités serveur,
gestion du poste client,
administration distante,
technologies d'infrastructure réseau,
…
Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les
environnements systèmes professionnels. A sa sortie, attaque directe contre Novell
IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les
Unix ouverts de type Linux ou FreeBSD.
Existence de versions dédiées "poste clients" destinées à être utilisées en association aux
systèmes "serveur".
Système serveur
Caractéristiques principales
Présenté comme très largement compatible avec les développements antécédents réalisés
pour Windows.
-> Préservation des investissements en logiciel et en formation (y compris pour les
formations d'administrateurs).
-> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que
Windows 2000 en ressources matérielles (voire même moins pour certains services).
-> Drivers logiciels et matériels identiques à ceux de Windows 2000.
administration centralisée,
vrai multitâche,
partage de ressources,
…
Qualités
Administrabilité
Sécurité vis à vis des intrusions
Robustesse
Maintenance de la part de Microsoft
Système en version 32 bits et 64 bits
Système multi-tâche et multi-threadé
Support des ordinateurs multiprocesseurs
Support des standards du marché
Système d'entreprise
Défauts
Implantation constatée
Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son
prédécesseur immédiat), Linux et Novell IntranetWare.
Large implantation sur les petits serveurs de groupes de travail (en concurrence
avec Linux).
Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et
les systèmes propriétaires).
Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout
autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement
le cas.
Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets.
Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la
machine cible et est émis sur le réseau à destination de cette machine.
Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de
la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la
perte est détectée et le paquet est envoyé de nouveau.
Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par
une infrastructure logicielle.
Infrastructure matérielle
Sous-réseau
Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec
toute autre machine.
Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante
actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des
commutateurs (switchs).
Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes
les machines qui lui sont directement connectées. Une machine cible conservera et
exploitera les paquets qui lui sont destinés et oubliera les autres.
Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur
l'ensemble des machines connectée est la bande passante du concentrateur (généralement
10 ou 100 Mbits/s).
La capacité de transfert est donc partagée entre les machines connectées et est limitée à
celle du concentrateur.
Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur
lesquels viennent se connecter en étoile les machines.
Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être
connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets
entre les sous-réseaux qui contiennent les machines source et cible.
Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique
qui après configuration semble agir comme un commutateur.
Dans les cas plus complexes (réseaux d'entreprise, Internet), un seul routeur ne permet
pas l'inter-connexion de l'ensemble des sous-réseaux. Plusieurs routeurs reliés entre eux
consécutivement sont alors utilisés sur le chemin des paquets.
Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole
de l'Internet et tend à se généraliser.
La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement
"routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sous-
réseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette
caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau
Internet.
NetBEUI
NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité
est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il
n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage.
Les machines sont désignées par des noms alphanumériques sur 15 caractères.
Toutes les machines placées sur le même concentrateur, sur le même commutateur ou
liées par une suite de concentrateurs commutateur peuvent communiquer directement
entre elles.
Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB
(Server Message Block) et Lan Manager proposent les services:
de gestion d'utilisateurs,
de gestion de répertoires partagés,
de gestion d'imprimantes partagées,
...
NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de
Windows et sous Linux (Samba).
Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en
œuvre un processus d'exploration du réseau à la recherche des machines qui y sont
présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable,
chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les
machines de son sous-réseau) destiné à susciter une réponse contenant le nom de la
machine répondant. Si n machines génèrent un broadcast entraînant n réponses, on
7 Windows Server 2003 Practice
obtient de l'ordre de n2 messages échangés régulièrement.
-> à partir d'un certain nombre de machines, une part importante du trafic du réseau
(voire près de 100%) peut être consacrée à ce processus d'exploration.
Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows
NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette
machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine
souhaitant connaître la liste des machines du réseau.
TCP/IP
Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer
les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés
au routage.
Paramètres généraux:
Adresse IP : Une machine est nommée de manière unique sur son réseau par son
"adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23
Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et
255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les
adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec
lesquelles elle peut communiquer sans routage).
Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il
est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux
machines et le masque sont égaux alors les deux machines font partie du même
sous-réseau TCP/IP.
Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 =
172.20.128.164 et I2 = 172.20.128.213.
En binaire, le masque devient
M = 11111111.11111111.11111111.10000000
et les adresses
I1 = 10101100.00010100.10000000.10100100
et
I2 = 10101100.00010100.10000000.11010101
Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe
& désigne le "et binaire".
M & I1 = 10101100.00010100.10000000.10000000
M & I2 = 10101100.00010100.10000000.10000000
(M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau.
Elles pourront communiquer directement si elles sont interconnectées par un
concentrateur ou un commutateur.
Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont
construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de
bits à 0. Les masques de sous-réseau classiques sont :
255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers
nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même
sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe
C),
255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et
de 128 à 255),
255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de
64 à 127, de 128 à 191 et de 192 à 255),
255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C),
255.255.255.240 -> 16 adresses (16 sous-réseaux sur une classe C),
La technique de dénomination par adresse IP est pratique pour les ordinateurs car
facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus.
Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le
sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs
sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une
organisation arborescente.
Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la
machine, puis les différentes parties du nom de domaine du plus particulier au plus
général.
Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:
Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur
l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou
partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y
avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les
machines entre eux, soit au contraire pour répliquer les bases de données de machines et
avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de
charge pour les domaine très consultés.
Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est
donné sur le DNS dont elle dépend.
Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque
cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine,
les suffixes sont testés les uns après les autres comme domaines implicites.
DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints
lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP
correspondant au nom IP ou réciproque.
Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la
convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est
impossible de l'utiliser pour des réseaux comportant un nombre important de machines.
Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du
protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le
routage.
Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI.
Windows Internet Name Service (WINS) est l'une des solutions possibles.
WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de
gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à
même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de
l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions
nom TCP/IP <-> adresse IP.
Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:
L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent
automatiquement sur ce serveur).
Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms
d'utilisateurs, des noms de machines, ...
Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de
données et offrir ainsi des redondances et des possibilités d'administration plus
élaborées.
...
WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion.
WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une
résolution WINS doit être réalisée et que le serveur primaire ne donne pas de
réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association
souhaitée.
Filtrage IP
DHCP
De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via
une base de données unique, d'assurer la cohérence des informations transmises. C'est le
cas sous Windows 2000.
ipconfig
ipconfig
ping
La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe
est
ping nom_IP
ou
ping adresse_IP
ping
nslookup
La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP
correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est
nslookup nom_IP
ou
nslookup adresse_IP
Tracert
La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés
pour joindre une autre machine.
La syntaxe est
tracert nom_IP
ou
tracert adresse_IP
Tracert
La gestion de la sécurité
Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application,
...
Tous les objets du système sont soumis à autorisations via des ACLs.
Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,...
La gestion du réseau
Nombre important de normes de câblage connectées aux machines via des cartes
d'interface réseau (NIC, Network Interface Card):
Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des
éditeurs tiers):
NetBEUI,
TCP/IP,
14 Windows Server 2003 Practice
IPX/SPX,
DLC,
Appletalk,
ATM,
TokenRing,
FDDI,
…
Nombre important de services réseau tant du point de vue serveur que du point de vue
client:
SMB,
Lan Manager,
DNS,
WWW,
FTP,
Telnet,
SMTP,
NNTP,
NTP,
Proxy,
DHCP,
WINS,
ADS,
...
NetBEUI
Avantages
Inconvénients
Rapide
Peu gourmand en ressource système
Pas de routage
Pas compatible avec Internet
Protocole assez bavard sur le réseau
TCP/IP
Avantages
Inconvénients
Rapide
Peu gourmand en ressource système
Routage
Compatible avec Internet
15 Windows Server 2003 Practice
Possiblement complexe à paramétrer
Protocole des "pirates"
Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les
conventions de nom de NetBEUI sans même que NetBEUI soit installé.
Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre
encore un nombre important de caractéristiques:
Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces
conventions de nom.
Le partage de ressources
Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante.
Ressources partageables:
Active Directory
Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs,
ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines.
AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS.
Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des
fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs
Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à
un fonctionnement pérenne.
Intérêt d'AD:
Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux
objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de
nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.
Kerberos
Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les
communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il
rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la
sécurité.
Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour
l'authentification avec des machine sous système d'exploitation de version antérieure ou
des machines indépendantes (hors domaine, voir plus loin).
Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une
machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité
associée.
Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows
2003 alors que sous NT, ce sont les domaines.
La notion de domaine au sens Windows NT 4.0 disparaît donc avec Windows 2003 avec un
emploi beaucoup plus souple.
17 Windows Server 2003 Practice
Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du
domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server).
La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account
Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active
Directory et est répliquée automatiquement entre eux.
ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP.
Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et
permettent l'administration centralisée de leurs machines. En revanche, les domaines
TCP/IP n'incluent pas cette notion d'administration système centralisée.
Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines
Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes
d'utilisateurs.
Approbation
Il est possible d'établir des relations d'approbation entre domaines permettant aux
utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine.
implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées
automatiquement,
explicitement auquel cas elles sont unidirectionnelles et créées explicitement par
l'administrateur.
Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au
sein d'AD sur chacun des DC.
Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur
le réseau.
Etablissement possible de connexions simples avec d'autres machines sous Windows 2003,
2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation
reconnaissant les protocoles installés sur la machine serveur et assurant les services de
connexion des serveurs du domaine.
Toute machine en accès via un service sans authentification explicite (WWW, FTP
anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...).
Authentification des ouvertures de session et des accès aux ressources partagées qu'ils
proposent.
Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue
de la base de données des utilisateurs mais possédant les capacités de Windows Server du
point de vue des services réseau autres que ceux de gestion des domaines.
Exemples:
Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de
domaine.
Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on
ne souhaite pas être contrôleur de domaine.
-> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de
connexion sans avoir pour autant ouvert de session.
Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003
l'utilisent obligatoirement.
L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows
2003 construit (généralement équivalent à un domaine TCP/IP).
Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et
dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet
enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de
cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des
serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution
de noms..
L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion
des paramètres TCP/IP des machines d'un domaine.
Les utilisateurs
Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine
Windows 2003 ou accéder à une ressource partagée par une machine Windows 2003.
Les groupes
Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:
Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des
comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine
ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine
de l'arborescence de domaine ou de la forêt.
Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des
comptes du domaine dans lequel le groupe est défini et peuvent recevoir des
autorisations dans n'importe quel domaine de la forêt.
Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes
et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des
autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines
Serveur contrôleur ou membre.
Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du
domaine de définition et des domaines approuvant le domaine de définition.
Un seul type de groupe peut être défini sur une machine Windows XP ou 2000
Professionnal ou 2000 ou 2003 Serveur en serveur simple:
un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP
Professionnal, désactivé sous Windows 2000 ou 2003 Serveur
un compte "administrateur" d'administration local
Administrateurs
Invités
Utilisateurs
Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration
non relatifs aux domaines)
Opérateurs de sauvegarde
Réplicateurs
les comptes
o "invité" du domaine
o "administrateur" d'administration du domaine
les groupes
o Admins du domaine (global)
o Invités du domaine (global)
o Utilisa. du domaine (global)
o ...
Sur ces machines, existence préservée et utilisation possible des comptes et groupes
locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des
comptes et groupes locaux.
Informations pouvant être renseignées lors de la création ou bien à tout autre moment
après la création:
Exemple:
S-1-5-21-3292650235-2243138800-104724495-1005
Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer
de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux
ordinateurs d'un domaine.
Les possibilités offertes par les stratégies de groupes sont très larges:
Les profils
Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le
répertoire "Documents and Settings", généralement dans un répertoire portant le nom de
l'utilisateur.
"Default User": Profil par défaut géré par le système et attribué par copie à chaque
utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une
machine. Le profil par défaut doit être configuré sur chaque poste client.
"All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées
communes du Menu démarrer, le bureau commun et la partie du registre commune à tous
25 Windows Server 2003 Practice
les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par
l'administrateur.
Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui.
Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout
utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte.
-> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine
(accessible à toutes les machines du domaine).
Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur
permettant d'exécuter une action système.
Via les stratégies de groupes, les administrateurs pourront changer les privilèges des
groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent.
Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.
Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.
Accès sécurisé pour les imprimantes.
Accès sécurisé aux ressources réseau (fichiers, imprimantes, ...).
Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution
d'ACLs..
Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il
possède généralement tous les droits sur cet objet).
Aucun accès
Lister
Lire
Ajouter
Ajouter et lire
Modifier
Contrôle total
Accès spécial à un répertoire…
Accès spécial à un fichier…
Aucun accès
Lire
Modifier
Contrôle total
Accès spécial
Accès spéciaux:
Lire
Écrire
Exécuter
Effacer
Changer les permissions
Prendre possession
NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire
parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses
propres autorisations.
Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions
du répertoire dans lequel il est placé (le créateur en est le propriétaire).
La sécurité: L'audit
Audit: Conservation d'une trace des événements détectés sur une machine.
A chaque événement, enregistrement d'une ligne de description dans l'un des journaux
d'événements.
Par défaut, audit activé seulement pour les événements liés aux journaux Système,
Application, Active Directory, DNS et Réplication de fichiers.
Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques
"dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques
en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité ->
disques RAID).
Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit
déjà implantés au sein du système et donc directement utilisables après configuration, soit
non installés et donc nécessiteront l'installation de composants systèmes supplémentaires
28 Windows Server 2003 Practice
qui eux aussi devront être configurés.
La configuration d'une machine en contrôleur de domaine est un exemple typique de ce
genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est
pas disponible par ailleurs.
FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité
sur les fichiers, plus gourmand en espace, plus rapide
FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows
98, pas de sécurité sur les fichiers
NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers,
moins gourmand en espace, moins rapide
Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant
(DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000).
Deux solutions :
Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur
CD, lecteur réseau) de la machine d'installation fonctionnant sur un système
d'exploitation préexistant.
Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine
disposant d'un lecteur CD bootable.
But :
Deuxième phase
Redémarrage de l'ordinateur
Troisième phase
Configuration du réseau
Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est
capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée,
installer le pilote trouvé sur la disquette ou le CD fourni avec la carte.
Demander l'installation du seul protocole TCP/IP.
On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP
allouées de manière définitive.
Configuration des paramètres du protocole TCP/IP.
o Adresse IP : xxx.xxx.xxx.xxx
o Masque de sous-réseau : yyy.yyy.yyy.yyy
o Gateway : zzz.zzz.zzz.zzz.zzz
o Nom de domaine : abcd.xyz
o Serveur DNS : aaa.aaa.aaa.aaa
Redémarrer la machine
Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour
la gestion d'annuaires.
Il est utilisé pour toutes les tâches d'administration demandant une forte implantation
réseau et en particulier pour la création de domaines.
De base, ADS n'est pas installé sous Windows 2003. Au cours de son installation, un
domaine devra être défini. La machine d'installation pourra prendre différents rôles:
Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les
questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour
un nouveau domaine dans une nouvelle forêt..
Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler
tous les aspects de l'installation.
Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de
données Active Directory, participant à la réplication Active Directory et contrôlant l'accès
aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs,
l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire
à partir de n'importe quel contrôleur de domaine de la forêt.
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé
immédiatement sous un autre nom de domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle
aussi de sous-domaine.
Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms
de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques
aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour
le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un
disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique.
Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut
organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des
relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu.
Plusieurs arborescences de domaine peuvent appartenir à la même forêt.
Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et
d'attribut (schéma), les mêmes informations relatives au site et à la réplication
(configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global).
Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.
Début de l'installation
Installation en cours
Redémarrage de la machine
Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même
niveau du point de vue des charges d'administration et donc à l'indifférenciation des
contrôleurs
-> 5 opérations à maître unique:
Contrôleur du schéma
Maître d'attribution de noms de domaine
Maître RID (ID relatives)
Maître de l'émulateur PDC
Maître d'infrastructure
Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine
fonctionne correctement.
Contrôleur du schéma:
Outils d'administration "Schéma Active Directory"
Maître d'attribution de noms de domaine:
Outils d'administration "Domaines et approbations Active Directory"
Maître RID:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
Maître de l'émulateur PDC:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
Maître d'infrastructure:
Outils d'administration "Utilisateurs et ordinateurs Active Directory"
Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour
l'implantation de serveurs DNS.
Résultat
Tests (nslookup)
S'assurer que TCP/IP est correctement configuré sur la machine de test (voir ci-avant).
Éléments d'utilisation
L'ouverture de session
La fermeture de session
Quelle que soit la tâche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accès
à une fenêtre permettant d'initier la procédure de fermeture de session.
une barre donnant accès au menu démarrer, à des icônes d'applications lançables,
aux icônes des applications lancées réduites ou non, ...,
des icônes cliquables qui représentent des raccourcis vers des composants du
système (l'utilisateur peut créer sur le bureau ses propres raccourcis donnant accès
à des documents ou des applications),
Le menu démarrer
Il peut être configuré par l'utilisateur pour contenir des icônes personnelles (Démarrer ->
Paramètres-> Barre des tâches et menu démarrer).
Il donne accès à une visualisation sous forme d'icônes des unités, des répertoires et des
fichiers présents ou accessibles sur l'ordinateur local. Les unités sont affectées d'une lettre
de lecteur. Elles peuvent être de type :
lecteur de disquette,
disque dur,
lecteur de CD Rom,
répertoire réseau,
disque amovible,
...
Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses
ressources disponibles sur le réseau proposées par ces machines:
imprimantes,
répertoires partagés,
utilisateurs,
...
Le gestionnaire de tâches
Il est composé de cinq onglets qui décrivent l'état du système du point de vue des tâches
en cours d'exécution.
Contenu des poubelles dans \Recycler sur chaque unité (la poubelle de chaque utilisateur
est le répertoire portant comme nom le SID de l'utilisateur)
Informations preliminaries
Sites Internets
Livres
Planification et déploiement
Administration des serveurs
Architecture TCP/IP
Internet Information Services
Interopérabilité des réseaux
Systèmes distribués
Utilitaires logiciels:
o scopy
o addusers
o pviewer
ADMINISTRATION
(LE PANNEAU DE CONFIGURATION)
Le panneau de configuration
L'affichage
thème du bureau,
motif ou image d'arrière plan du bureau,
écran de veille,
couleurs, iconographie,
résolution, nombre de couleurs, vitesse de balayage,
type de carte graphique et configuration de son pilote logiciel.
Economiseur d'écran
Ajout de matériel
Problème: Les périphériques trop anciens ou trop récents peuvent ne pas être reconnus.
Ajout/Suppression de programmes
Serveur d'applications
Options d'alimentation
Paramètres généraux
Options Internet
Bouton "Avancée...":
Configuration port par port et exclusions
Date/Heure
Ce panneau permet le choix du mode de gestion des licences d'accès client ainsi que l'ajout
ou la suppression de licences d'accès client dans le mode par serveur.
Par Siège
Le mode de licence "Par siège" est la meilleure option si les clients utilisent fréquemment
plusieurs serveurs sur le réseau. Le mode de licence Par siège permet à tous les
ordinateurs du réseau d'accéder à tous les serveurs d'un réseau. Il n'y a aucune limite
quant au nombre de connexions simultanées, quel que soit le serveur. Par siège est le
mode de licence normal pour un produit serveur installé sur plusieurs serveurs d'un réseau.
Par Serveur
Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par tout au plus un sous-
ensemble des utilisateurs. Les connexions simultanées Par serveur à un serveur spécifique
sont allouées sur une base premier arrivé, premier servi et limitées au nombre de licences
d'accès client allouées au serveur. Cela peut s'avérer économique pour un réseau doté d'un
seul serveur ou pour un produit serveur accessible sur un serveur par un seul département
ou groupe d'une organisation. Une unique conversion en licence Par siège est autorisée.
Il permet de choisir le mode de gestion des mises à jour automatiques du système sur le
site http://www.windowsupdate.com.
Sons et multimédia
Configuration du volume
111 Windows Server 2003 Practice
Configuration des sons en réponse à des événements
Pilotes installés
Il assure les opérations de configuration des paramètres réseau et/ou d'accès à distance
(modem).
Services
Paramètres généraux
(système d'exploitation,
références de l'installateur,
type de machine)
Configuration avancée
Démarrage et récupération
Rapport d'erreurs
Utilisation à distance
Résultat
Pare-feu Windows
Clavier
Souris
Options de modems
Options d'accessibilité
Options de jeu
Scanneurs et appareils photo
Options régionales
Polices
Panneaux installés par les applications (Java Plug-in, QuickTime, HP JetAdmin,
Symantec LiveUpdate, Recherche Accélérée, ODBC,...)
...
Administration
(L'explorateur et ses fonctions)
Les fonctionnalités assurées par l'explorateur sont constamment améliorées par Microsoft
et les éditeurs tiers. Son interface est celle d'Internet Explorer (en version 6 pour Windows
2003 et suivant les mises à jour effectuées après installation initiale).
Il permet la gestion de fichiers classique, mais son rôle va beaucoup plus loin :
Un certain nombre d'onglets qui peuvent varier en fonction du type de système de fichiers
monté sur l'unité.
Résultat
Lorsque beaucoup d'autorisations sont placées sur une unité, il peut être difficile de savoir
les autorisations effectives dont disposera un utilisateur ou un groupe d'utilisateurs. En
effet, celui-ci peut appartenir à plusieurs groupes référencés et obtiendra l'autorisation la
plus "permissive" parmi toutes celles qui lui réfèrent.
L'onglet "Autorisations effectives" résoud ce problème car il permet de visualiser les
autorisations qui s'appliquent à une unité pour un utuilisateur ou un groupe d'utilisateurs
partculier.
Affectation d’autorisations
(en grisé car hérité)
Cette opération propose une unité ou un répertoire en accès aux autres machines du
réseau:
Cette opération déclare sur une machine une nouvelle unité et lui attribue une lettre de
lecteur parmi celles disponibles. Cette unité sera en réalité un répertoire ou une unité d'une
autre machine, partagé par cette machine et utilisé comme une unité locale.
\\machine_serveur\nom_ressource
Cette fonction permet de supprimer une unité réseau d'une machine sans, bien entendu, la
détruire sur la machine source (suppression d'une déclaration).
Recherche multi-critères
Recherche générale
Localisation recherche
Fenêtre de formatage
Warning formatage
Formatage en cours
Formatage terminé
Compression à la volée
La Microsoft Management Console (MMC) est le programme via lequel une grande partie
des tâches d'administration de Windows 2003 sont réalisées.
Il est possible d'ouvrir des "composants logiciel enfichables" (snap-in) dans la MMC,
permettant de réaliser telle ou telle configuration dédiée à telle ou telle fonctionnalité. Les
divers outils d'administration sont implantés via ces snap-in, procurant une uniformité de
leurs interfaces utilisateur.
Lancement MMC
Le menu Fichier
Enregistrer
Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des
ordinateurs d'un domaine (il leur est attribué un compte):
création,
destruction,
propriétés,
...
Interface générale
Ordinateurs du domaine
Utilisateurs
et Ordinateurs
Active Directory
186 Windows Server 2003 Practice
Domaine
Builtin
Users
Adresse postale
Options configurables
Stations d'accès
Résultat
Résultat du partage
Configuration de l'unité Z:
en unité implicite pour les programmes
Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient
autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).
S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés
pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de
communication correctement configuré, résolution de noms fonctionnelle).
Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO,
configurer une autorisation d'approbation (attribution d'un mot de passe) pour le
domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).
Niveau d'authentification
Propriétés générales
Validation effectuée
Authentification
Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
Il existe par défaut une stratégie de groupe locale sur chaque ordinateur Windows 2000,
2003 ou XP non contrôleur de domaine.
Une stratégie de groupe des contrôleurs de domaine par défaut est aussi définie
concernant l'ensemble des contrôleurs Windows 2000 ou 2003 du domaine.
Enfin, une stratégie de groupe du domaine par défaut est définie à l'échelle du domaine
concernant toutes les machines Windows 2000, 2003 ou XP Professionnel.
Ces trois stratégies sont définies, dans cette ordre, de la moins prioritaire à la plus
prioritaire.
Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Il s'agit d'un
sous-ensemble de la stratégie de groupe locale.
Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du
compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des
droits utilisateur, les agents de récupération pour les données cryptées et d'autres options
de sécurité.
La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows
2003, 2000 ou XP Professionnel qui ne sont pas contrôleur de domaine. Si l'ordinateur est
229 Windows Server 2003 Practice
membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du
domaine.
Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses
Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine. Il
s'agit d'un sous-ensemble de la stratégie de groupe des contrôleurs du domaine par défaut.
Utilisée pour configurer les paramètres de sécurité du domaine. Il s'agit d'un sous-
ensemble de la stratégie de groupe du domaine par défaut.
Stratégie Kerberos
Outre les accès limités proposés dans les outils d'administration, la MMC peut être utilisée
et paramétrée pour créer d'autres points d'accès aux stratégies de groupe du domaine.
Partage
Sécurité
Sécurité avancée
Propriétaire
Paramètres du périphérique
La gestion de l'ordinateur
Les services
Cet outil permet d'administrer les services (tâches de fond) fonctionnant localement sur
l'ordinateur.
Fenêtre générale
L'observateur d'événements
application,
sécurité,
système,
Directory Service (si contrôleur),
DNS Server (si serveur DNS),
réplication de fichiers (si contrôleur)
Journal application
Journal système
Certains événements sont audités par défaut. Pour d'autres, il faut demander explicitement
la détection
Vérification
C'est cet outil qui réalisera l'opération CHKDSK (Check disk) pour vérifier la cohérence de
la table d'allocation des fichiers sur une unité et éventuellement rechercher les secteurs
défectueux.
L'unité doit être disponible pour un usage exclusif faute de quoi la vérification devra être
programmée pour une exécution au prochain démarrage du système.
Cet outil permet d'effectuer soit une sauvegarde, soit une restauration de tout ou partie
d'une ou de plusieurs unités, soit encore de sauvegarder un système entier en vue d'en
permettre la restauration à l'identique.
La sauvegarde
Après confirmation,
examen de la bande présente dans le lecteur.
Sauvegarde en cours
Sauvegarde terminée
La restauration
Restauration en cours
Restauration terminée
A l'emplacement d'origine
avec la même arborescence de répertoires
A un autre emplacement
avec la même arborescence de répertoires
Planification
Options de sauvegarde
Acquittement final
315 Windows Server 2003 Practice
Résultat de la création de la tâche de sauvegarde planifiée
Sauvegarde amorcée
Défragmentation
Cet outil permet d'effectuer une défragmentation d'une unité de manière à réorganiser les
fichiers pour en rendre l'exploitation plus rapide.
Phase d'analyse
L'administration des disques durs, lecteurs de CDRom et des disques amovibles (clés USB,
ZIP, JAZZ, ...) de la machine locale recouvre les opérations suivantes:
Disque de base
Disque physique auquel peuvent accéder MS-DOS et tous les systèmes d'exploitation
Windows. Les disques de base peuvent contenir jusqu'à quatre partitions principales, ou
trois partitions principales et une partition étendue avec plusieurs lecteurs logiques. Si vous
souhaitez créer des partitions fractionnées sur plusieurs disques, vous devez d'abord
convertir le disque de base en disque dynamique grâce au composant Gestion des disques
ou à l'utilitaire de ligne de commande Diskpart.exe.
Disque dynamique
Disque physique auquel seuls Windows 2000 et Windows XP. peuvent accéder. Les disques
dynamiques fournissent des fonctionnalités que les disques de base n'offrent pas, telle que
la prise en charge des volumes fractionnés sur plusieurs disques. Les disques dynamiques
utilisent une base de données cachée pour conserver les informations relatives aux
volumes dynamiques sur le disque et aux autres disques dynamiques de l'ordinateur. Vous
pouvez convertir des disques de base en disques dynamiques grâce au composant Gestion
de disques ou à l'utilitaire de ligne de commande DiskPart. Lors de la conversion d'un
disque de base en disque dynamique, tous les volumes de base existants deviennent des
volumes dynamiques.
Partition
Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque
physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui
assigner une lettre de lecteur avant de pouvoir y stocker des données.
Sur les disques de base, les partitions sont appelées des volumes de base, qui peuvent être
des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les
partitions sont appelées des volumes dynamiques qui peuvent être simples, fractionnés,
agrégés par bande, en miroir ou RAID-5.
Partition principale
Type de partition que vous pouvez créer sur les disques de base. Une partition principale
est une partie de l'espace disque physique qui fonctionne comme un disque physiquement
indépendant. Sur les disques MBR (Master Boot Record) de base, vous pouvez créer
jusqu'à quatre partitions principales ou trois partitions principales et une partition étendue
avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous pouvez créer jusqu'à
128 partitions principales. Les partitions principales sont également appelées volumes.
Type de partition que vous pouvez uniquement créer sur les disques d'enregistrement de
démarrage principal (MBR, Master Boot Record) de base. Utilisez une partition étendue si
vous souhaitez disposer de plus de quatre volumes sur votre disque MBR de base.
Contrairement aux partitions principales, vous ne formatez pas une partition étendue avec
un système de fichiers en lui attribuant ensuite une lettre de lecteur. Il faut à la place créer
un ou plusieurs lecteurs logiques au sein de la partition étendue. Après avoir créé un
lecteur logique, vous le formatez et lui assignez une lettre de lecteur. Les disques MBR de
base peuvent contenir jusqu'à quatre partitions principales, ou trois partitions principales et
une partition étendue avec plusieurs lecteurs logiques.
Partition active
Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit
être une partition principale d'un disque de base. Si vous utilisez exclusivement Windows,
la partition active peut être la même que celle du volume système.
Partition système
Partition qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
La partition système peut être la même que la partition d'amorçage, mais pas
nécessairement.
Partition d'amorçage
Partition qui contient des fichiers propres au matériel qui sont indispensables au
chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La partition
d'amorçage peut être la même que la partition système, mais pas nécessairement.
Volume
Zone de stockage d'un disque dur. Un volume est formaté conformément à un système de
fichiers (notamment FAT ou NTFS) et se voit attribuer une lettre de lecteur. Vous pouvez
aussi afficher le contenu d'un volume en cliquant sur son icône dans l'Explorateur Windows
ou Poste de travail. Un disque dur peut comporter plusieurs volumes et les volumes
peuvent s'étendre de manière fractionnée sur plusieurs disques.
Volume de base
Volume dynamique
Volume qui réside sur un disque dynamique. Windows prend en charge cinq types de
volumes dynamiques : simple, fractionné, agrégé par bandes, en miroir, et RAID-5. Un
volume dynamique est formaté en utilisant un système de fichiers, tel que FAT ou NTFS.
Une lettre de lecteur lui est attribuée.
Volume actif
Volume de démarrage de l'ordinateur. Le volume actif doit être un volume simple d'un
disque dynamique. Vous ne pouvez pas activer un volume dynamique existant mais vous
parvenez par compte à activer un disque de base contenant la partition active. Une fois le
disque activé et devenu dynamique, la partition devient un volume simple actif.
329 Windows Server 2003 Practice
Volume système
Volume qui contient le système d'exploitation Windows et ses fichiers de prise en charge.
Le volume système peut être le même que le volume d'amorçage (mais pas
nécessairement).
Volume d'amorçage
Volume contenant les fichiers spécifiques à la plate-forme matérielle qui sont requis pour
charger Windows sur des ordinateurs de type x86 dotés d'un BIOS. Le volume d'amorçage
peut être le même que le volume système (mais pas nécessairement).
Volume simple
Volume dynamique constitué de l'espace disque d'un seul disque dynamique. Un volume
simple peut être constitué d'une seule région d'un disque ou de plusieurs régions du même
disque, liées entre elles. Vous pouvez étendre un volume simple au sein du même disque
ou sur des disques supplémentaires. Si vous étendez un volume simple sur plusieurs
disques, il devient un volume fractionné. Vous pouvez créer des volumes simples
uniquement sur des disques dynamiques. Les volumes simples ne sont pas tolérants aux
pannes, mais vous pouvez les configurer de manière à créer des volumes en miroir.
Volume fractionné
Volume dynamique constitué d'espace disque réparti sur plusieurs disques physiques. Vous
pouvez augmenter la taille d'un volume fractionné en l'étendant sur des disques
dynamiques supplémentaires. Vous pouvez créer des volumes fractionnés uniquement sur
des disques dynamiques. Les volumes fractionnés ne sont pas tolérants aux pannes et ne
peuvent pas être mis en miroir.
Volume en miroir
Volume à tolérance de pannes qui duplique les données sur deux disques physiques. Un
volume en miroir assure la redondance des données à l'aide de deux volumes identiques,
qui sont appelés miroirs, pour dupliquer les informations contenues dans le volume. Le
miroir se trouve toujours sur un disque différent. En cas de défaillance d'un des disques
physiques, les données qu'il contient ne sont plus disponibles, mais le système continue de
fonctionner sur le miroir du disque restant. Vous pouvez créer des volumes miroir
uniquement sur des disques dynamiques.
Volume dont les données sont agrégées par bandes de façon intermittente sur deux
disques physiques ou davantage. Vous ne pouvez créer des volumes agrégés par bandes
que sur des disques dynamiques. Il n'est pas possible de créer des volumes agrégés par
bandes étendus ou en miroir.
Volume RAID-5
Volume à tolérance de pannes dont les données et la parité sont agrégées par bandes de
façon intermittente sur trois disques physiques ou davantage. La parité est une valeur
calculée qui permet de reconstituer des données après une défaillance. Si une partie d'un
disque physique présente une défaillance, Windows restaure les données de la partie
endommagée grâce aux données restantes et au contrôle de parité. Vous ne pouvez créer
La gestion des disques est assurée via la clef "Gestion des disques" de l'outil "Gestion de
l'ordinateur".
Graphique
332 Windows Server 2003 Practice
Volumes
Disques
Affichages possibles
Noter les codes couleurs pour les types de volume
Noter les colonnes dans l'affichage des volume:
lettre d'unité, type de partition, type de disque,
système de fichiers, état,
capacité totale, capacité restante, % libre,
tolérant aux pannes?, % d'espace perdu
Noter les colonnes dans l'affichage des disques:
quel disque?, type de disque,
capacité totale, capacité restante,
disponibilité, type d'interface, type de partition
Confirmation
336 Windows Server 2003 Practice
Formatage en cours
Résultat final
Confirmation
Menu contextuel
Formatage
Après conversion, ces disques sont toujours vides. La mise à niveau inverse vers le type
"disque de base" est possible.
Warning
Warning
344 Windows Server 2003 Practice
Reboot obligatoire car la partition système à été convertie
La mise à niveau inverse de disque dynamique vers disque de base n'est pas possible pour
les disques non vides.
Résultat final
Volume simple transformé en volume fractionné
348 Windows Server 2003 Practice
Résultat final après une nouvelle extension sur le disque originel
Formatage
Formatage en cours
Confirmation
Résultat final
Résultat final
Confirmation
Résultat final
Formatage
Formatage en cours
Formatage
Formatage en cours
Formatage
Le disque 3 est retiré serveur éteint puis la machine est remise en route.
Disparition du disque I:
Maintient en utilisation de tous les autres disques
372 Windows Server 2003 Practice
Un événement "Erreur" et trois événements "Avertissement"
dans le journal "Système"
Disque 3 manquant
Le volume en miroir et les deux volumes RAID-5
en échec de redondance mais utilisables
Début de resynchronisation
Volume système
Volume fractionné
Volume en miroir
Volume RAID-5
Systèmes de fichiers
Avant
Après
Une unité formatée pourra ne pas avoir de lettre de lecteur sans pour cela perdre son
contenu. Celui-ci n'est visible ni par les utilisateurs, ni même par l'administrateur.
Un volume peut être monté pour voir sa racine remplacer un répertoire particulier.
Dans l'explorateur
Montage multiple
Un volume peut être monté plusieurs fois soit comme unité, soit comme répertoire au sein
d'une arborescence de répertoires.
Résultat
Outre ce profil, on trouve dans ce répertoire tous les profils d'autres utilisateurs qui
n'auraient pas été supprimés, ainsi que les profils All Users et Default User.
une partie commune à tous les utilisateurs (non modifiable) stockée dans le
répertoire \Documents and Settings\All Users,
une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un
répertoire portant le non de l'utilisateur sous \Documents and Settings.
"Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en
possédant encore aucun (Attribution réalisée par création d'une copie)
Profil non modifiable -> mise en lecture seule de l'arborescence qui le contient.
1. téléchargé sur le réseau vers le poste client depuis un serveur lors de l'ouverture de
session d'un utilisateur,
2. installé sur le poste client,
3. utilisé sur le poste client (éventuellement modifié si l'utilisateur en possède le droit),
4. déchargé depuis le poste client vers le serveur à la fermeture de session.
Profil en cache: Profil errant resté sur un poste client après fermeture de session
(éventuellement réutilisable sur ce même poste). Configuration possible d'une commande
d'effacement au moment de la fermeture de session pour qu'il n'y ait pas de profil en
cache.
Attribution d'un profil personnel errant à un utilisateur U travaillant sur plusieurs machines:
Profil de l'administrateur
Bureau: Contenu du bureau
Cookies: cookies de l'administrateur
Favoris: favoris de l'administrateur
Menu Démarrer: menu démarrer de l'administrateur
NTUSER.dat: partie de registre de l'administrateur
...
Les utilisateurs recoivent l'union de leur profil personnel et du profil "All Users". Ceci
concerne en particulier le bureau, les documents, les favoris et le menu démarrer.
Résultat
Un profil complet
Mode de licence "Par périphérique ou Par utilisateur ": Mode de licence qui requiert
une licence d'accès client d'utilisateur ou de périphérique distincte pour chaque
périphérique ou utilisateur qui a accès à un serveur exécutant Windows Server 2003, quel
que soit le nombre de connexions simultanées.
Le mode de licence "Par périphérique ou Par utilisateur" est la meilleure option si vos
clients utilisent fréquemment plusieurs serveurs sur le réseau.
Mode de licence "Par serveur": Mode de licence qui requiert une licence d'accès client
d'utilisateur ou de périphérique distincte pour chaque connexion simultanée qui a accès à
un serveur exécutant Windows Server 2003.
Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit
serveur est installé sur un seul serveur accessible à tout moment par pas plus d'un sous-
ensemble de vos utilisateurs.
Le gestionnaire de Licences permet une gestion des licences plus puissante que le panneau
de configuration "Licences":
Menus
Résultat
Acquitement
L'éditeur du registre
L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée
appelé "Registre".
Les programmes Regedit.exe et Regedt32.exe sont les mêmes. Ils donnent un accès direct
à ces données.
ATTENTION: Ces applications sont à utiliser de manière extrêmement prudente car les
actions réalisées sont irréversibles.
Les clés des arborescences sont affichées à gauche, les valeurs à droite. Les menus sont
contextuels, variant en fonction des clefs ou valeurs sélectionnées.
Les clés et valeurs peuvent être renommées. Les valeurs peuvent être modifiées (en
particulier après création).
Menu édition:
ajout ou suppression de clés ou de valeurs,
autorisations, recherches, ...
Avant restauration
Restauration
Fichier .reg
Ne s'applique qu'aux clés et aux valeurs qu'elles contiennent et pas directement aux
valeurs.
Autorisations possibles
L'administration à distance
Les machines Windows XP Pro, 2000 Pro ne pourront intégrer un domaine qu'en tant que
membre simple. Les opérations d'authentification qu'elles réaliseront seront sous-traitées à
un contrôleur du domaine.
Une machine Windows 2000 Server ou 2003 Serveur pourra être intégrée dans un domaine
de deux manières:
En tant que serveur simple, elle est gérée comme une machine Windows membre
simple mais peut posséder un certain nombre des fonctionnalités de Windows 2000
ou 2003 Serveur (IIS par exemple).
En tant que contrôleur de domaine supplémentaire, elle fait fonctionner Active
Directory Service pour stocker une copie de la base de donnée de gestion du
domaine et est capable de réaliser des authentifications et toutes les tâches d'un
contrôleur.
Acquittement
Redémarrage
Windows 2003 permet l'administration à distance sur les machines d'un domaine.
Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité
qu'offrent fréquemment les composants logiciels enfichables de la MMC de se connecter sur
une machine distante pour l'administrer totalement ou partiellement comme s'il s'agissait
de la machine locale.
La délégation de contrôle
attrib Gestion des attributs lecture seule, archive, système et masqué assignés aux
fichiers ou aux répertoires
copy Copie d'un ou plusieurs fichiers à partir d'un répertoire dans un autre
chkdsk Création et affichage d'un rapport sur l'état d'un disque donné en fonction du
système de fichiers
convert Convertion des volumes FAT et FAT32 en NTFS en conservant les fichiers et
les dossiers existants intacts (conversion inverse impossible)
format Formatage du disque du volume spécifié afin qu'il puisse recevoir des fichiers
cacls Affichage ou modification des listes DACL (Discretionary Access Control List)
pour des fichiers spécifiés
net file Affichage du noms de tous les fichiers partagés ouverts sur un serveur et, le
cas échéant, du nombre de verrous sur chaque fichier.
Fermeture des fichiers partagés individuels et suppression des verrous de fichier
net group Ajout, affichage ou modification des groupes globaux dans des domaines
net helpmsg Explication de la raison pour laquelle une erreur s'est produite et
fourniture des informations pour la résolution du problème
net print Affichage des informations sur une file d'attente d'impression ou une tâche
d'impression spécifique, ou contrôle d'une tâche d'impression donnée
net statistics Affichage du journal des statistiques des services "Station de travail" ou
"Serveur" locaux ou bien des services en cours d'exécution pour lesquels des
statistiques sont disponibles
net time Synchronisation de l'horloge de l'ordinateur avec celle d'un autre ordinateur
ou d'un domaine
net view Affichage de la liste des domaines, des ordinateurs ou des ressources
partagées par l'ordinateur spécifié
La commande sc
runas Exécution des outils et des programmes avec des autorisations différentes de
celles attribuées à l'ouverture de session
La commande ntbackup
La commande ntdsutil
La commande whoami
La commande systeminfo
Commandes TCP/IP
lpq Affichage de l'état d'une file d'attente d'impression sur un ordinateur exécutant
LPD (Line Printer Daemon)
lpr Envoi d'un fichier vers un ordinateur exécutant LPD (Line Printer Daemon) en vue
de son impression
nbtstat Affichage des statistiques du protocole NetBIOS sur TCP/IP (NetBT), des
tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants
ainsi que du cache de noms NetBIOS
netstat Affichage des connexions TCP actives, des ports sur lesquels l'ordinateur
procède à l'écoute, de la table de routage IP ainsi que des statistiques Ethernet, IPv4
(pour les protocoles IP, ICMP, TCP et UDP) et IPv6 (pour les protocoles IPv6,
ICMPv6, TCP sur IPv6 et UDP sur IPv6)
rcp Copie de fichiers depuis et vers un système exécutant rshd (service de shell
distant) (pas d'implémentation de rshd sous les systèmes d'exploitation Windows)
tftp Transfert de fichiers depuis et vers un ordinateur distant (en général sous UNIX)
exécutant le service ou le démon TFTP (Trivial File Transfer Protocol)
EFS propose l'encryptage à la volé des fichiers. Seuls les propriétaires auront accès au
contenu du fichier. Celui-ci restera encrypté même après une copie.
FRS est le système de réplication de fichiers de Windows 2000 Server. Il permet de gérer
automatiquement un répertoire répliqué sur plusieurs hôtes.
TSS est le service Windows 2000 Server permettant de configurer un ordinateur en serveur
de terminal Windows (i.e. les postes clients exécutent un programme de connexion sur le
serveur en mode terminal).
Introduction
Web,
FTP,
SMTP,
NNTP,
La version 6.0 de IIS est installée avec Windows 2003 Serveur (version 5.0 avec Windows
2000, version 4.0 avec Windows NT 4.0).
Création d'un répertoire \Inetpub dans lequel seront stockés dans différents
répertoires (wwwroot pour le WEB, ftproot pour le FTP, mailroot pour le mail, ...) les
fichiers des différents services gérés.
Configuration des permissions sur ces répertoires.
Création de deux comptes. Le compte IUSR_NomMachine est le compte qui sera
utilisé pour désigner l'utilisateur anonymous et permettre la gestion des permissions
pour ses accès.
Installation de différents services et démarrage de ces services:
o Service de publication World Wide Web: démon Web,
o Service de publication FTP: démon FTP,
o Simple Mail Transfer Protocol (SMTP): démon SMTP
o Service d'administration IIS: Service nécessaire à l'administration de IIS y
compris via le réseau,
o ...
Installation des outils d'administration de IIS et création des raccourcis
correspondants dans les outils d'administration et au sein du gestionnaire
d'ordinateur.
L'administration de IIS 6.0 est réalisée via le Gestionnaire des services Internet, c'est à
dire la MMC (Microsoft Management Console) munie du snap-in iis.msc,
Attribution de l'adresse IP à laquelle sera associé le site Web parmi toutes celles définies
sur l'hôteet le port TCP sur lequel le site Web est installé (port Web standard: 80).
Configuration du nombre de connexions simultanées pouvant être gérées ainsi que du délai
de déconnexion automatique en cas d'inactivité
Performances du site
Extensions serveur
457 Windows Server 2003 Practice
Paramètres de contrôle d'accès
et types mime
Contrôle d'accès
Authentification
461 Windows Server 2003 Practice
Extension du serveur BITS
Plusieurs sites FTP peuvent être ébergés sur le même serveur FTP. La différenciation entre
les sites est réalisée soit par l'adresse IP sur lequel le site est installé (plusieurs adresses IP
et donc noms IP sont disponibles si plusieurs cartes réseau sont installées ou si une même
carte en possède plusieurs), soit par le port TCP sur lequel le site répond.
Le port standard du FTP est le port 21. C'est celui qui est utilisé implicitement si aucun port
n'est indiqué explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être
utilisés. Les ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par
un autre service sur le serveur.
Fin de la création
L'isolation
IIS offre trois possibilités pour gérer l'affectation du répertoire de base implicite lors de
l'ouverture d'une session FTP par un utilisateur.
Dans les trois cas, l'utilisateur ne pourra parcourir que ce répertoire, ses sous-répertoires
réels et virtuels. Il ne pourra pas remonter dans l'arborescence physique.
"Répertoire de base"\LocalUser\Public
pour les connexions anonymous
"Répertoire de base"\UserDomain\UserName
pour les connexions non anonymous
Anonymous
Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur FTP au sein
de l'arborescence des répertoires du site FTP. Le repertoire virtuel ne correspond pas à un
répertoire existant physiquement à cette endroit dans l'arborescence de répertoires du
répertoire de base du site et n'apparaitra pas dans un client FTP.
Cet "alias" est "mappé" soit sur un répertoire de la machine locale soit sur un répertoire
partagé d'un autre ordinateur.
Plusieurs sites WEB peuvent être ébergés sur le même serveur FTP.
La différenciation entre les sites est réalisée soit par l'adresse IP sur lequel le site est
installé (plusieurs adresses IP et donc noms IP sont disponibles si plusieurs cartes réseau
sont installées ou qu'une carte possède plusieurs adresses IP), soit par le nom d'entête
utilisé par le client WEB, soit par le port TCP sur lequel le site répond. Le port standard du
WEB est le port 80. C'est celui qui est utilisé implicitement si aucun port n'est indiqué
explicitement. Les ports 0 à 1023 sont standardisés et ne doivent pas être utilisés. Les
ports 1024 à 65535 sont libres pour peu qu'ils ne soient pas déjà utilisés par un autre
service sur le serveur.
Fin de la création
Résultat de la création
Un répertoire virtuel est un répertoire créé et géré logiciellement par le serveur WEB au
sein de l'arborescence des répertoires physiques existant dans le répertoire de base. Cet
"alias" peut correspondre à un répertoire de la machine locale, à un répertoire partagé sur
un autre ordinateur ou une redirection vers un autre site WEB.
Contrôle d'accès
Demande de redémarrage
Redémarrage en cours