Admini 2003

http://www.laboratoire-microsoft.
org
Aufeus : Yann ALL1. 8ah1m NLDJlMl ef LoTc 1hO8Ol5
kevu pa LhOMLL Gu1]]aume. 1ALMAN1 Ggoy
ves1on 0.95 - 16-11-2004

Ecole Suprieure dInformatique de Paris
23. rue Chteau Landon 75010 PARIS
www.supinfo.com

Essentiel Windows 2003
ADMINISTRER ET GERER UN
ENVIRONNEMENT MICROSOFT
WINDOWS SERVER 2003
Adm1n1sfe ef ge un env1onnemenf M1cosoff W1ndoWs 5eve
2003
2 / 76

hffp://WWW.]aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
1ab]e des maf1es

1. INTRODUCTION A LADMINISTRATION DES COMPTES ET DES RESSOURCES................. 7
1.1. LENVIRONNEMENT DE WINDOWS 2003 SERVER.......................................................................................... 7
1.1.1. Rles des serveurs................................................................................................................................. 7
1.1.2. La Famille Serveur Windows 2003 ....................................................................................................... 7
1.1.3. Prsentation du service dannuaire (Active Directory) ........................................................................ 8
1.1.4. Structure dActive Directory ................................................................................................................. 8
1.2. INSTALLATION ET CONFIGURATION DES OUTILS DADMINISTRATION............................................................ 9
1.2.1. Installation des outils dadministration ................................................................................................ 9
1.2.2. Prsentation et configuration dune MMC ........................................................................................... 9
1.2.3. Rsolution des problmes lors de linstallation des outils dadministration....................................... 10
1.3. PRESENTATION ET CONFIGURATION DES UNITES DORGANISATIONS........................................................... 10
1.3.1. Prsentation des units dorganisations ............................................................................................. 10
1.3.2. Modle hirarchique des units dorganisation.................................................................................. 10
1.3.3. Dnomination des units dorganisation ............................................................................................ 10
1.3.4. Cration dune unit dorganisation................................................................................................... 11
1.4. DEPLACEMENT DES OBJETS DU DOMAINE.................................................................................................... 11
2. GESTION DES COMPTES DUTILISATEUR ET DORDINATEUR............................................. 12
2.1. CREATION DES COMPTES UTILISATEUR ....................................................................................................... 12
2.1.1. Prsentation des comptes dutilisateurs.............................................................................................. 12
2.1.2. Convention de nom des comptes utilisateurs....................................................................................... 12
2.1.3. Nomenclature de cration de compte utilisateur................................................................................. 12
2.1.4. Mot de passe utilisateur ...................................................................................................................... 13
2.1.5. Cration de compte dutilisateur......................................................................................................... 13
2.2. CREATION DE COMPTES DORDINATEUR...................................................................................................... 13
2.2.1. Prsentation des comptes dordinateurs ............................................................................................. 13
2.2.2. Cration de compte dordinateur........................................................................................................ 13
2.3. MODIFICATION DES PROPRIETES DES COMPTES DUTILISATEUR ET DORDINATEUR .................................... 13
2.4. CREATION DE MODELES DE COMPTES UTILISATEUR .................................................................................... 14
2.4.1. Prsentation dun modle de compte utilisateur ................................................................................. 14
2.4.2. Proprits maintenues lors de la copie du modle de compte............................................................. 14
2.5. ACTIVATION ET DESACTIVATION DUN COMPTE UTILISATEUR .................................................................... 15
2.6. RECHERCHE DANS ACTIVE DIRECTORY ...................................................................................................... 15
2.6.1. Recherche standard............................................................................................................................. 15
2.6.2. Recherche personnalise..................................................................................................................... 15
2.6.3. Sauvegarde des requtes ..................................................................................................................... 15
3. GESTION DES GROUPES.................................................................................................................... 17
3.1. PRESENTATION DES GROUPES...................................................................................................................... 17
3.1.1. Groupes sur un ordinateur local ......................................................................................................... 17
3.1.2. Groupes sur un contrleur de domaine............................................................................................... 17
3.2. CONVENTION DE NOMMAGE DES GROUPES.................................................................................................. 18
3.3. GESTION DES GROUPES ............................................................................................................................... 18
3.3.1. Stratgie dutilisation des groupes dans un domaine unique.............................................................. 18
3.3.2. Stratgie dutilisation des groupes dans un environnement domaines multiples ............................. 19
3.3.3. Modification de ltendue dun groupe............................................................................................... 19
3.4. GROUPES PAR DEFAUT ................................................................................................................................ 19
3.4.1. Groupes par dfaut sur un serveur membre........................................................................................ 19
3.4.2. Groupes par dfaut dans Active Directory.......................................................................................... 20
3.5. GROUPES SYSTEME ..................................................................................................................................... 20
4. GESTION DACCES AUX RESSOURCES ......................................................................................... 21
4.1. CONTROLE DACCES.................................................................................................................................... 21
4.1.1. Les entits de scurit ......................................................................................................................... 21
4.1.2. Le SID ................................................................................................................................................. 21
4.1.3. DACL - Discretionary Access Control List ......................................................................................... 21
2003
3 / 76

4.2. AUTORISATIONS.......................................................................................................................................... 21
4.2.1. Autorisations standards ...................................................................................................................... 21
4.2.2. Autorisations spciales........................................................................................................................ 22
4.3. ADMINISTRATION DES ACCES AUX DOSSIERS PARTAGES ............................................................................. 22
4.3.1. Description des dossiers partags....................................................................................................... 22
4.3.2. Partages administratifs ....................................................................................................................... 22
4.3.3. Cration de dossiers partags............................................................................................................. 22
4.3.4. Publication des dossiers partags....................................................................................................... 22
4.3.5. Autorisations sur les dossiers partags............................................................................................... 23
4.3.6. Connexion un dossier partag.......................................................................................................... 23
4.4. ADMINISTRATION DES ACCES AUX FICHIERS ET DOSSIERS NTFS ................................................................ 23
4.4.1. Prsentation de NTFS ......................................................................................................................... 23
4.4.2. Autorisations sur les fichiers et dossiers NTFS................................................................................... 24
4.4.3. Impact de la copie et du dplacement sur les autorisations NTFS...................................................... 24
4.4.4. Prsentation de lhritage NTFS......................................................................................................... 25
4.4.5. Identification des autorisations effectives ........................................................................................... 25
4.4.6. Cumul des autorisations NTFS et des autorisations de partage ......................................................... 26
4.5. MISE EN PLACE DES FICHIERS HORS CONNEXION......................................................................................... 26
4.5.1. Prsentation des fichiers hors connexion............................................................................................ 26
5. IMPLEMENTATION DE LIMPRESSION......................................................................................... 28
5.1. PRESENTATION DE LIMPRESSION DANS LA FAMILLE WINDOWS SERVER 2003 ........................................... 28
5.1.1. Terminologie de limpression.............................................................................................................. 28
5.1.2. Types de clients dimpression supports par Windows 2003.............................................................. 28
5.1.3. Fonctionnement de limpression ......................................................................................................... 29
5.2. INSTALLATION ET PARTAGE DIMPRIMANTES.............................................................................................. 29
5.2.1. Imprimantes locales et imprimantes rseau........................................................................................ 29
5.2.2. Installation et partage dune imprimante............................................................................................ 29
5.3. AUTORISATIONS DIMPRIMANTES PARTAGEES ............................................................................................ 30
5.4. GESTION DES PILOTES DIMPRIMANTES....................................................................................................... 30
6. ADMINISTRATION DE LIMPRESSION.......................................................................................... 31
6.1. CHANGEMENT DE LEMPLACEMENT DU SPOULEUR DIMPRESSION.............................................................. 31
6.2. DEFINITION DES PRIORITES DIMPRIMANTES ............................................................................................... 31
6.3. PLANIFICATION DE LA DISPONIBILITE DES LIMPRIMANTES......................................................................... 32
6.4. CONFIGURATION DUN POOL DIMPRESSION................................................................................................ 32
7. GESTION DACCES AUX OBJETS DANS LES UNITES DORGANISATION............................ 33
7.1. STRUCTURE DES UNITES DORGANISATION ................................................................................................. 33
7.2. MODIFICATION DES AUTORISATIONS SUR LES OBJETS ACTIVE DIRECTORY................................................. 33
7.2.1. Autorisations sur les objets Active Directory...................................................................................... 33
7.2.2. Dfinitions des autorisations effectives............................................................................................... 33
7.3. DELEGATION DU CONTROLE DES UNITES DORGANISATION ........................................................................ 34
8. IMPLEMENTATION DES STRATEGIES DE GROUPES ............................................................... 35
8.1. DESCRIPTION DES STRATEGIES DE GROUPES................................................................................................ 35
8.1.1. Prsentation des stratgies de groupes............................................................................................... 35
8.1.2. Description des paramtres de configuration des utilisateurs et des ordinateurs .............................. 35
8.2. IMPLEMENTATION DOBJETS DE STRATEGIE DE GROUPE.............................................................................. 35
8.2.1. Les outils permettant dimplmenter les GPO .................................................................................... 35
8.2.2. Les modles dadministration ............................................................................................................. 36
8.2.3. Description dun lien dobjet de stratgie de groupe.......................................................................... 36
8.2.4. Hritage de lautorisation de stratgie de groupe dans Active Directory .......................................... 36
8.3. ADMINISTRATION DU DEPLOIEMENT DUNE STRATEGIE DE GROUPE............................................................ 36
8.3.1. Impact de lexistence dobjets de stratgie de groupe conflictuels ..................................................... 36
8.3.2. Attributs dun lien dobjet de stratgie de groupe............................................................................... 37
8.3.3. Filtrage du dploiement dune stratgie de groupe ............................................................................ 37
9. GESTION DE LENVIRONNEMENT UTILISATEUR A LAIDE DES STRATEGIES DE
GROUPES........................................................................................................................................................... 38
2003
4 / 76

9.1. CONFIGURATION DE PARAMETRES DE STRATEGIE DE GROUPE..................................................................... 38
9.1.1. Prsentation des stratgies de groupes............................................................................................... 38
9.1.2. Paramtres Non configur , Activ et Dsactiv ................................................................ 38
9.2. ATTRIBUTION DES SCRIPTS AVEC LA STRATEGIE DE GROUPE....................................................................... 38
9.3. CONFIGURATION DE LA REDIRECTION DE DOSSIERS .................................................................................... 39
9.4. DETERMINATION DES OBJETS DE STRATEGIE DE GROUPE ............................................................................ 39
9.4.1. GPUpdate............................................................................................................................................ 39
9.4.2. GPResult ............................................................................................................................................. 40
9.4.3. Rapport de stratgie de groupe........................................................................................................... 40
9.4.4. Simulation de dploiement de GPO .................................................................................................... 40
9.4.5. Rsultat de dploiement de GPO......................................................................................................... 40
10. IMPLEMENTATION DES MODELES DADMINISTRATION ET DES STRATEGIES DAUDIT
41
10.1. VUE DENSEMBLE DE LA SECURITE DANS WINDOWS 2003.......................................................................... 41
10.2. UTILISATION DE MODELES DE SECURITE POUR PROTEGER LES ORDINATEURS ............................................. 41
10.2.1. Prsentation des stratgies de scurit ............................................................................................... 41
10.2.2. Description des modles de scurit ................................................................................................... 41
10.2.3. Description des paramtres de modles de stratgies......................................................................... 42
10.2.4. Outils de cration et dimportation des modles de scurit personnaliss........................................ 42
10.3. CONFIGURATION DE LAUDIT ...................................................................................................................... 42
10.3.1. Prsentation de laudit ........................................................................................................................ 42
10.3.2. Description dune stratgie daudit .................................................................................................... 43
10.4. GESTION DES JOURNAUX DE SECURITE........................................................................................................ 43
11. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR........................................................ 45
11.1. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR.................................................................................. 45
11.1.1. Utilisation des appartenances de groupe pour administrer un serveur .............................................. 45
11.1.2. Qu'est-ce que la commande Excuter en tant que ?............................................................................ 45
11.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?.................................................................................... 46
11.1.4. Rle de la console MMC dans le cadre d'une administration distance............................................ 46
11.1.5. Comment crer une MMC pour grer un serveur ?............................................................................ 47
11.2. CONFIGURATION DE LA FONCTION BUREAU A DISTANCE POUR ADMINISTRER UN SERVEUR........................ 47
11.2.1. Qu'est-ce que l'outil Bureau distance pour administration ?........................................................... 47
11.2.2. Que sont les prfrences des ordinateurs clients dans le cadre d'une connexion Bureau distance ?
48
11.2.3. Bureaux distance.............................................................................................................................. 48
11.3. GESTION DES CONNEXIONS AU BUREAU A DISTANCE.................................................................................. 49
11.3.1. Que sont les paramtres de dlai des connexions de Bureau distance ? ......................................... 49
11.3.2. Qu'est-ce que le Gestionnaire des services Terminal Server ? ........................................................... 50
12. PREPARATION DE L'ANALYSE DES PERFORMANCES DU SERVEUR.................................. 51
12.1. PRESENTATION DE L'ANALYSE DES PERFORMANCES DU SERVEUR............................................................... 51
12.1.1. Pourquoi analyser les performances ?................................................................................................ 51
12.2. ANALYSE EN TEMPS REEL ET PROGRAMMEE................................................................................................ 51
12.2.1. Qu'est-ce que l'analyse en temps rel et programme ?...................................................................... 51
12.2.2. Qu'est-ce que le Gestionnaire des tches ?......................................................................................... 51
12.2.3. Qu'est-ce que la console Performances ? ........................................................................................... 52
12.2.4. Pourquoi analyser les serveurs distance ?....................................................................................... 52
12.3. CONFIGURATION ET GESTION DES JOURNAUX DE COMPTEUR ...................................................................... 53
12.3.1. Qu'est-ce qu'un journal de compteur ? ............................................................................................... 53
12.3.2. Comment planifier un journal de compteur ? ..................................................................................... 53
12.4. CONFIGURATION DES ALERTES.................................................................................................................... 53
12.4.1. Qu'est-ce qu'une alerte ?..................................................................................................................... 53
12.4.2. Comment crer une alerte ?................................................................................................................ 54
12.5. CONSEIL DOPTIMISATION DUN SERVEUR .................................................................................................. 54
13. MAINTENANCE DES PILOTES DE PERIPHERIQUES ................................................................. 56
13.1. CONFIGURATION DES OPTIONS DE SIGNATURE DES PILOTES DE PERIPHERIQUES.......................................... 56
13.1.1. Qu'est-ce qu'un priphrique ? ........................................................................................................... 56
2003
5 / 76

13.1.2. Qu'est-ce qu'un pilote de priphrique ?............................................................................................. 56
13.1.3. Qu'est-ce qu'un pilote de priphrique sign ? ................................................................................... 56
13.1.4. Qu'est-ce que la console Gestion des stratgies de groupe ?.............................................................. 57
13.2. UTILISATION DE LA VERSION PRECEDENTE D'UN PILOTE DE PERIPHERIQUE................................................. 57
14. GESTION DES DISQUES...................................................................................................................... 58
14.1. PREPARATION DES DISQUES ........................................................................................................................ 58
14.1.1. Qu'est-ce que l'outil Gestion des disques ? ......................................................................................... 58
14.1.2. Qu'est-ce que l'outil DiskPart ? .......................................................................................................... 58
14.1.3. Qu'est-ce qu'une partition ? ................................................................................................................ 58
14.1.4. Comment convertir les systmes de fichiers ?..................................................................................... 59
14.2. GESTION DES PROPRIETES D'UN DISQUE ...................................................................................................... 59
14.2.1. Comment effectuer une nouvelle analyse des proprits dun disque ?.............................................. 59
14.3. GESTION DES LECTEURS MONTES................................................................................................................ 59
14.3.1. Qu'est-ce qu'un lecteur mont ?.......................................................................................................... 59
14.3.2. Quel est l'intrt du lecteur mont ? ................................................................................................... 59
14.3.3. Comment grer un lecteur mont ?..................................................................................................... 60
14.4. TYPE DE DISQUES........................................................................................................................................ 60
14.4.1. Utilisation des disques de base ........................................................................................................... 60
14.4.2. Utilisation des disques dynamiques .................................................................................................... 60
14.5. CREATION DE VOLUMES.............................................................................................................................. 62
15. GESTION DU STOCKAGE DES DONNEES...................................................................................... 63
15.1. GESTION DE LA COMPRESSION DES FICHIERS............................................................................................... 63
15.1.1. Qu'est-ce que la compression des fichiers ?........................................................................................ 63
15.1.2. Qu'est-ce que la commande compact ? ............................................................................................... 63
15.2. CONFIGURATION DU CRYPTAGE DES FICHIERS ............................................................................................ 64
15.2.1. Qu'est-ce que le cryptage EFS ? ......................................................................................................... 64
15.2.2. Comment crypter un fichier ou un dossier ? ....................................................................................... 65
15.2.3. Quels sont les effets produits par le dplacement ou la copie de fichiers ou de dossiers crypts ?.... 65
15.3. IMPLEMENTATION DES QUOTAS DE DISQUE ................................................................................................. 65
15.3.1. Quest-ce qu'un paramtre de quota de disque ?................................................................................ 65
15.3.2. Comment activer et dsactiver des quotas de disque ? ....................................................................... 65
15.3.3. Comment ajouter et supprimer des entres de quota de disque ?....................................................... 66
16. GESTION DE LA RECUPERATION EN CAS D'URGENCE........................................................... 67
16.1. SAUVEGARDE DES DONNEES ....................................................................................................................... 67
16.1.1. Vue d'ensemble de la sauvegarde des donnes ................................................................................... 67
16.1.2. Qui peut sauvegarder les donnes ?.................................................................................................... 67
16.1.3. Qu'est-ce que les donnes sur l'tat du systme ? ............................................................................... 67
16.1.4. Types de sauvegardes.......................................................................................................................... 67
16.1.5. Qu'est-ce que ntbackup ? .................................................................................................................... 68
16.1.6. Qu'est-ce qu'un jeu de rcupration automatique du systme ?.......................................................... 68
16.2. PLANIFICATION DES OPERATIONS DE SAUVEGARDE .................................................................................... 68
16.2.1. Qu'est-ce qu'une opration de sauvegarde planifie ?........................................................................ 68
16.2.2. Comment planifier une opration de sauvegarde ? ............................................................................ 69
16.3. RESTAURATION DES DONNEES .................................................................................................................... 69
16.3.1. Qu'est-ce que la restauration des donnes ?....................................................................................... 69
16.4. CONFIGURATION DES CLICHES INSTANTANES.............................................................................................. 69
16.4.1. Qu'est-ce que les clichs instantans ? ............................................................................................... 69
16.4.2. Comment configurer des clichs instantans sur le serveur ? ............................................................ 70
16.4.3. Logiciel client pour les versions prcdentes des clichs instantans ................................................ 70
16.5. RECUPERATION SUITE A UNE DEFAILLANCE DU SERVEUR ........................................................................... 71
16.5.1. Contrle des paramtres systme au cours du processus damorage ............................................... 71
16.5.2. Modification du comportement au dmarrage laide du fichier Boot.ini......................................... 72
16.5.3. Utilisation des options damorage avances pour rsoudre les problmes de dmarrage ............... 72
16.5.4. Utilisation de la console de rcupration pour dmarrer lordinateur .............................................. 72
16.6. CHOIX D'UNE METHODE DE RECUPERATION EN CAS D'URGENCE.................................................................. 73
16.6.1. Quels sont les outils de rcupration en cas d'urgence ?.................................................................... 73
17. MAINTENANCE DES LOGICIELS A L'AIDE DES SERVICES SUS ............................................ 74
2003
6 / 76

17.1. PRESENTATION DES SERVICES SUS............................................................................................................. 74
17.1.1. Qu'est-ce que Windows Update ?........................................................................................................ 74
17.1.2. Qu'est-ce que la fonctionnalit Mises jour automatiques ?.............................................................. 74
17.1.3. Comparaison entre Windows Update et la fonctionnalit Mises jour automatiques ....................... 74
17.1.4. Qu'est-ce que les services SUS ?......................................................................................................... 74
17.2. INSTALLATION ET CONFIGURATION DES SERVICES SUS.............................................................................. 75
17.2.1. Qu'est-ce qu'un point de distribution du serveur de service SUS ?..................................................... 75
17.2.2. Configurations de serveur requises pour les services SUS ................................................................. 75
17.2.3. Comment installer et configurer les services SUS ? ........................................................................... 75
17.2.4. Configuration de la fonctionnalit Mises jour automatiques........................................................... 75

2003
7 / 76

1. Introduction ladministration des
comptes et des ressources

1.1. Lenvironnement de Windows 2003 Server

1.1.1. Rles des serveurs

De plus en plus dentreprises implmentent de multiples technologies afin d'amliorer l'environnement de
travail de leurs employs.

Ainsi il n'est pas rare de voir une seule machine configure avec Active Directory, le serveur DNS, le
serveur DHCP, le partage de connexion Internet, un serveur VPN et excutant aussi les services de partages
de fichiers et dimpression.

On distingue ainsi un certain nombre de rles :

- Les contrleurs de domaines : Ce sont des serveurs sur lesquels on a install Active Directory et
qui soccupent de lauthentification des utilisateurs dans un domaine.
- Les serveurs de fichiers : Ce sont des serveurs qui permettent de crer un espace de stockage
partag sur le rseau. Ils mettent ainsi une partie de leur espace disque disponible sur le rseau.
- Les serveurs dimpression : Ils permettent de partager une imprimante sur un rseau et de grer
la file dattente dimpression de celle-ci.
- Les serveurs dapplications : Ils permettent une application dutiliser le systme dexploitation
comme support afin den utiliser les composants de gestion (ex : serveur de messagerie, de base de
donnes, ).

Lensemble de ces rles peuvent tre grs laide de loutil Assistant Configurer votre serveur sous
Windows 2003 Server.

1.1.2. La Famille Serveur Windows 2003

Parmi les produits de la famille Windows 2003, il existe quatre systmes dexploitation : Windows 2003
Web, Windows 2003 Standard, Windows 2003 Enterprise et Windows 2003 Datacenter. Mis part pour
ldition Web, peu de choses les diffrencient.

Le tableau suivant indique la configuration minimale requise pour linstallation de chacun de ces quatre
systmes.

Windows 2003 Web
Edition
Windows 2003
Standard Edition
Windows 2003
Enterprise Edition
Windows 2003
Datacenter Edition

Processeurs
133 MHz ou plus
(supporte 2
processeurs au plus)
133 MHz ou plus
(supporte 4
133 MHz ou plus
(supporte 8
733 MHz ou plus
pour les processeurs
de type Itanium
400 MHz ou plus
(supporte 64
733 MHz ou plus
de type Itanium
2003
8 / 76


Mmoire
vive
128Mo minimum
256Mo recommands
2Go maximum
128Mo minimum
256Mo recommands
4Go maximum
128Mo minimum
256Mo recommands
32Go maximum pour
les X86 et 64Go pour
les processeurs de
type Itanium
512Mo minimum
1Go recommands
32Go maximum pour
les X86 et 512Go
de type Itanium

Disque dur
Disque avec 1,5Go
d'espace libre pour
linstallation
Disque avec 1,5Go
d'espace libre pour
linstallation
Disque avec 1,5Go
d'espace libre pour
linstallation et 2Go
pour les Itanium
Disque avec 1,5Go
d'espace libre pour
linstallation et 2Go
pour les Itanium

1.1.3. Prsentation du service dannuaire (Active
Directory)

Le service Active Directory (Active Directory) permet une gestion centralise. Cela vous donne la
possibilit dajouter, de retirer et de localiser les ressources facilement.

Ainsi, nous avons :

- Une administration simplifie : Active Directory offre une administration de toutes les
ressources du rseau dun point unique. Un administrateur peut se connecter sur nimporte quel
ordinateur pour grer les ressources de tout ordinateur du rseau.

- Une mise lchelle : Active Directory permet de grer des millions dobjets rpartis sur plusieurs
sites si cela est ncessaire.

- Un support standard ouvert : Active Directory utilise DNS pour nommer et localiser des
ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine DNS.
Active Directory fonctionne avec des services de clients diffrents tels que NDS de Novell. Cela
signifie quil peut chercher les ressources au travers dune fentre dun navigateur web. De plus, le
support de Kerberos 5 apporte la compatibilit avec les autres produits qui utilisent le mme
mcanisme dauthentification.

1.1.4. Structure dActive Directory

La structure dActive Directory est hirarchique, elle se dcompose comme suit :

- Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur ou un compte
utilisateur.

- Classe : description structurelle dobjets tels les comptes dutilisateurs, ordinateurs, domaines, ou
units organisationnelles.

- Unit organisationnelle (OU) : conteneur utilis pour organiser les objets dun domaine
lintrieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes
dutilisateurs, les fichiers partags, les applications et mme dautres units organisationnelles.

- Domaine : chacun des objets dun rseau existe dans un domaine et chaque
domaine contient les informations des objets quil contient. Un domaine est
scuris, cest dire que laccs aux objets est limit par des ACL (Access
Control List). Les ACL contiennent les permissions, associes aux objets, qui
dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder.
Dans Windows 2003, toutes les stratgies de scurit et les configurations (telles

2003
9 / 76

les droits administratifs) ne se transmettent pas dun domaine lautre.
Ladministrateur de domaine peut dterminer les stratgies uniquement
lintrieur de son propre domaine.

- Arbre : cest un groupement ou un arrangement hirarchique
dun ou plusieurs domaines Windows 2003 qui partagent des
espaces de noms contigus (par exemple :
administration.supinfo.com, comptabilit.supinfo.com, et
training.supinfo.com). Tous les domaines dun mme arbre
partagent le mme schma commun (la dfinition formelle de
tous les objets qui peuvent tre enregistrs dans une
architecture dActive Directory) et partagent un catalogue
commun.

- Fort : cest un groupement ou un arrangement hirarchique dun
ou plusieurs arbres qui ont des noms disjoints (par exemple :
laboratoire-microsoft.org et supinfo.com). Tous les arbres dune
fort partagent le mme schma commun et le mme catalogue,
mais ont des structures de noms diffrentes. Les domaines dune
fort fonctionnent indpendamment les uns des autres, mais les
forts permettent la communication dun domaine lautre.

- Sites : combinaison dune ou plusieurs IP de sous-rseaux connects par des liens hauts dbits.
Ils ne font pas partie dun espace de nommage dActive Directory, et ils contiennent seulement les
ordinateurs, les objets et les connexions ncessaires pour configurer la rplication entre sites. Ils
permettent dintgrer la topologie physique du rseau dans Active Directory.

1.2. Installation et configuration des outils
dadministration

1.2.1. Installation des outils dadministration

Les outils dadministration permettent la gestion des serveurs distance. Ils peuvent tre installs sur
nimporte quelle machine sous Windows 2003 par lintermdiaire de adminpak.msi qui se trouve dans le
dossier i386 du CD ROM dinstallation du systme.

Les outils dadministration sont installs par dfaut sur le contrleur de domaine.

Il peut tre utile, pour des raisons de scurit, dutiliser les outils dadministration en ayant ouvert une
session avec votre compte de domaine basique et en utilisant la commande Excuter en tant que pour
lancer les outils dadministration.

1.2.2. Prsentation et configuration dune MMC

Windows 2003 (toutes versions) intgre un modle d'outils d'administration nomm MMC
(Microsoft.Managment Console) qui donne la possibilit aux administrateurs de crer eux-mmes leur
propre console d'administration.

Il suffit pour cela d'intgrer les composants logiciels enfichables (snap-in) couramment utiliss.

Cela permet aussi de mettre disposition des administrateurs subalternes des outils d'administration
personnaliss. Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine
ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparatra pas
dans sa console.

2003
10 / 76

Afin de pouvoir crer une MMC personnalise, il vous suffit de suivre la procdure suivante :

Allez dans le menu Dmarrer / Excuter ( -R).
Tapez MMC, puis Entrer.
Dans le menu console, slectionnez Ajouter/Supprimer un composant logiciel enfichable.

Cliquez ensuite sur Ajouter et slectionnez le composant que vous souhaitez ajouter votre console (Notez
que linterface de cette fentre est trompeuse: si vous double-cliquez sur un composant ou si vous cliquez
sur Ajouter, le composant est ajout la liste sans aucune confirmation).

1.2.3. Rsolution des problmes lors de linstallation
des outils dadministration

Si des problmes surviennent lors de linstallation des outils dadministration, deux raisons principales
peuvent en tre la cause :

- Permissions insuffisantes : Seul les utilisateurs membres du groupe Administrateurs ont les
privilges suffisants pour pouvoir installer les outils dadministration.

- Systme dexploitation non support : Seul Windows XP et Windows 2003 supportent
linstallation des outils dadministration.

Si des problmes de liens morts dans laide surgissent :

Lors de linstallation des outils dadministration sur Windows XP, laide peut faire rfrence aux fichiers
daide de Windows 2003 Server et ainsi gnrer des erreurs. Pour rsoudre ce problme, il suffit de copier
le fichier daide de Windows 2003 Server sur la station Windows XP.

1.3. Prsentation et configuration des units
dorganisations

1.3.1. Prsentation des units dorganisations

Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du
domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes,
des ordinateurs, des imprimantes ainsi que dautres units dorganisation.

Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex :
reprsentation physique des objets ou reprsentation logique).

Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des
objets.

1.3.2. Modle hirarchique des units dorganisation

Afin de pouvoir utiliser les proprits de gestion associes aux units dorganisation, il est ncessaire de
construire un modle hirarchique dimbrication des units dorganisation.

1.3.3. Dnomination des units dorganisation

Plusieurs mthodes de dnomination permettent de pointer sur une unit dorganisation :

2003
11 / 76

- Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que son
chemin daccs complet (ex : OU=Recherche, DC=labo-microsoft, DC=lan)
- Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son
conteneur (ex : Recherche).
- Le nom canonique : apportant autant dinformations que les noms uniques, il est utilis dans
certains outils dadministration (ex : labo-microsoft.lan/Recherche).

1.3.4. Cration dune unit dorganisation

Deux possibilits soffrent vous pour crer une unit dorganisation :

- Interface graphique : dans loutil dadministration Utilisateurs et ordinateurs Active
Directory.

- Ligne de commande : avec loutil dsadd ou OrganizationalUnitDomainName [-desc Description]
[{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]

1.4. Dplacement des objets du domaine

Dans certaines conditions, il est utile de modifier lemplacement dun objet (utilisateur, ordinateur, )
dune unit dorganisation une autre dans le cadre dun changement de poste par exemple.

Cette manipulation se fait dans loutil dadministration Utilisateurs et ordinateurs Active Directory.

2003
12 / 76

2. Gestion des comptes dutilisateur et
dordinateur

2.1. Cration des comptes utilisateur

2.1.1. Prsentation des comptes dutilisateurs

Les Comptes dutilisateurs permettent aux utilisateurs daccder aux ressources du rseau. Ils sont associs
un mot de passe et fonctionnent dans un environnement dfini (machine locale ou domaine).

Un utilisateur disposant dun compte de domaine pourra sauthentifier sur toutes les machines du domaine
(sauf restriction explicite de ladministrateur).

Un utilisateur disposant dun compte local ne pourra sauthentifier que sur la machine o est dclar le
compte.

Compte local : Les informations de Comptes dutilisateurs
sont stockes localement sur les machines hbergeant les
ressources rseau. Si une modification doit tre apporte
un compte, celle-ci devra tre rpercute manuellement sur
toutes les machines o le compte existe.

Compte de domaine : Les informations de comptes sont
centralises sur un serveur, dans lannuaire des objets du
rseau. Si une modification doit tre apporte un compte,
elle doit tre effectue uniquement sur le serveur qui la
diffusera lensemble du domaine.

2.1.2. Convention de nom des comptes utilisateurs

On distingue quatre mthodes pour nommer un compte utilisateur :

- Le nom douverture de session (login) : thoboi_l
- Le nom douverture de session pr-windows : ESI\thoboi_l
- Le nom dutilisateur principal : thoboi_l@esi-supinfo.lan
- Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan

Un login ne peut dpasser les 20 caractres, il est sensible la casse et ne peut pas contenir de caractres
spciaux comme : " / \ [ ] : ; | = , + * ? < >.

2.1.3. Nomenclature de cration de compte
utilisateur

Un login doit obligatoirement tre unique dans son domaine. Ainsi il est ncessaire dans une grosse
entreprise de crer une nomenclature de cration de login prenant en compte des particularits de noms
comme les membres dune mme famille travaillant dans lentreprise par exemple.

Il peut tre intressant aussi didentifier rapidement le login des employs temporaires (ex : T_thoboi_l).

Une fois le compte cr, il suffit de le placer dans lunit dorganisation correspondant au dpartement de
lutilisateur.

2003
13 / 76

2.1.4. Mot de passe utilisateur

A la cration dun utilisateur, il est possible de spcifier un certain nombre de proprits concernant la
gestion des mots de passe :

- Lutilisateur doit changer de mot de passe la prochaine ouverture de session : cette option
permet de dfinir un mot de passe temporaire lors de la cration dun compte ou de la
rinitialisation du mot de passe et dobliger ensuite lutilisateur le modifier.

- Lutilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la
fonctionnalit de modification de mot de passe.

- Le mot de passe nexpire jamais : particulirement utile pour les comptes de service, cette option
permet de sassurer que le compte en question ne soit pas assujetti aux rgles de stratgie de
compte.

- Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer.

2.1.5. Cration de compte dutilisateur

La cration dun utilisateur se fait via loutil graphique dadministration Utilisateurs et ordinateurs
Active Directory ou laide de loutil en ligne de commande dsadd user (dsadd user UserDomainName
[-samid SAMName] [-upn UPN] [-fn FirstName] [-ln LastName] [-display DisplayName] [-pwd
{Password|*}).

2.2. Cration de comptes dordinateur

2.2.1. Prsentation des comptes dordinateurs

Un compte dordinateur nexiste que dans un environnement de domaine, il permet didentifier chaque
ordinateur qui a accs la base de comptes Active Directory notamment pour lauthentification des
utilisateurs.

Les comptes dordinateur sont particulirement utiles pour la scurit et la gestion centralise : ainsi on va
pouvoir utiliser ces comptes pour configurer des audits, IPSec, le dploiement de logiciels, les stratgies de
scurit,.

2.2.2. Cration de compte dordinateur

La cration dun compte dordinateur se fait via loutil graphique dadministration Utilisateurs et
ordinateurs Active Directory ou laide de loutil en ligne de commande dsadd computer (dsadd
computer ComputerDomainName [-samid SAMName] [-desc Description] [-loc Location] [-memberof
GroupDomainName ..] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -
uci}]).

Une autre possibilit soffre vous pour crer un compte dordinateur est de le crer partir du client
lorsque celui-ci se joint au domaine. Dans ce cas, le compte dordinateur est cr dans le conteneur
Computer.

2.3. Modification des proprits des comptes
dutilisateur et dordinateur

2003
14 / 76

Une fois le compte cr, il est possible den modifier les proprits. La premire utilit est den mettre
jour les informations, la seconde est daccder des proprits qui ne sont pas disponibles lors de la
procdure de cration de compte.

Les diffrentes modifications qui vont tre apportes aux comptes peuvent avoir plusieurs utilits :
- Faciliter la recherche : le dpartement, le bureau,
- Permettre de centraliser des informations lies au compte : le tlphone, lemail,

Afin de modifier ces proprits, il vous suffit dutiliser loutil graphique dadministration Utilisateurs et
ordinateurs Active Directory et dafficher les proprits de lobjet en double-cliquant dessus. Il est
noter que dans ce mode graphique il est possible de slectionner plusieurs utilisateurs afin de raliser des
modifications en "masse".

Une autre solution consiste utiliser loutil en ligne de commande dsmod [user | computer] :

dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-
empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email
E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax
FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company
Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr
ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires
{yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-
p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s
Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

2.4. Cration de modles de comptes
utilisateur

2.4.1. Prsentation dun modle de compte
utilisateur

Un modle de compte est un compte utilisateur gnrique contenant les informations communes tous les
comptes ayant le mme rle dans lentreprise. Une fois ce modle de compte cr (en utilisant la mme
procdure que nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration dun nouveau
compte correspondant au rle. Ainsi le nouveau compte cr, hritera des proprits du modle.

Pour des raisons de scurit il est ncessaire de dsactiver lensemble des modles de compte afin quils ne
soient pas utiliss pour entrer dans le systme. De plus il est conseill didentifier les modles de compte
par une lettre significative en dbut de nom (ex : M_<nom_du_modele>).

2.4.2. Proprits maintenues lors de la copie du
modle de compte

Lorsquun modle de compte est dupliqu, toutes les proprits ne sont pas copies. La liste qui suit vous
informe des proprits qui le sont :

- Onglet Adresse : Les informations sont copies, lexception de la proprit Adresse.
- Onglet Compte : Les informations sont copies, lexception de la proprit Nom douverture
de session de lutilisateur qui est rcupr de lassistant de duplication de compte.
- Onglet Profil : Les informations sont copies, lexception des proprits Chemin du profil et
Dossier de base qui sont modifies pour reflter le changement de nom douverture de session.
- Onglet Organisation : Les informations sont copies, lexception de la proprit Titre.
2003
15 / 76

- Membre de : Les informations sont copies.

2.5. Activation et dsactivation dun compte
utilisateur

Chaque compte utilisateur bnficie dun identifiant unique interne, Active Directory ou la base SAM,
qui permet de lidentifier. Cet identifiant appel SID est utilis notamment par le systme de scurit de
Windows 2003.

Lorsque lon supprime un compte et que lon recre ce compte, mme avec des informations strictement
identiques, celui-ci se voit affecter un nouveau SID. Il perd ainsi lensemble de son contexte de scurit.

Afin dviter davoir reconfigurer lensemble des droits et autorisations du compte utilisateur, il est
conseill de toujours dsactiver les comptes utilisateur (lutilisateur ne pourra plus lutiliser) dans un
premier temps. Aprs vrification, si la suppression peut se faire dans de bonnes conditions, vous pouvez la
raliser.

Lactivation et la dsactivation se fait via loutil graphique dadministration Utilisateurs et ordinateurs
Active Directory ou laide de loutil en ligne de commande dsmod user UserDN -disabled {yes|no}.

2.6. Recherche dans Active Directory

2.6.1. Recherche standard

Une fois les comptes dutilisateurs et dordinateurs crs, des outils sont mis votre disposition pour
pouvoir effectuer des recherches dans lannuaire.

Ces recherches peuvent tre dfinies selon divers critres comme le type dobjet, les valeurs des proprits
de ces objets.

Pour lancer loutil de recherche, il suffit de lancer loutil de recherche graphique Utilisateurs et
Ordinateurs Active Directory.

Vous pouvez aussi utiliser loutil en ligne de commande dsquery user ou dsquery computer :

dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive
NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p
{Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [-
stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r]
[-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

2.6.2. Recherche personnalise

Il vous est possible aussi de raliser des requtes personnalises directement en LDAP.
Pour cela, il vous suffit de slectionner loption Recherche personnalise dans loption Recherche :.

2.6.3. Sauvegarde des requtes

2003
16 / 76

Un nouveau rpertoire fait son apparition dans loutil Utilisateurs et ordinateurs Active Directory. Il permet
de crer, organiser et sauvegarder des requtes LDAP. Cela permet deffectuer les recherches courantes
plus rapidement.

Une fonctionnalit dexport au format XML est aussi disponible pour chacune des requtes sauvegardes.
2003
17 / 76

3. Gestion des groupes

3.1. Prsentation des groupes

Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Les
groupes permettent daffecter en une seule action une ressource un ensemble dutilisateurs au lieu de
rpter laction pour chaque utilisateur. Un utilisateur peut tre membre de plusieurs groupes.

Il y a deux emplacements o lon peut trouver les groupes :

3.1.1. Groupes sur un ordinateur local

Ils permettent daccorder des permissions uniquement au niveau de la machine. Dans le cas dune machine
non-relie un domaine, il est possible dinclure uniquement les comptes locaux.

Les groupes locaux sont crs laide de loutil Gestion de lordinateur, puis dans le composant
enfichable Utilisateurs et groupes locaux.

3.1.2. Groupes sur un contrleur de domaine

Ils sont utilisables sur lensemble des machines du domaine et permettent davoir une gestion centralise de
la hirarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et mme dautres domaines.

Les groupes de domaine sont crs laide de loutil dadministration Utilisateurs et ordinateurs Active
Directory et cela dans nimporte quelle unit dorganisation prsente ou laide de loutil en ligne de
commande dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u.

3.1.2.1. Type de groupe

Il existe deux types de groupes dans Active Directory :

Les groupes de scurit : permettent daffecter des utilisateurs et des ordinateurs des ressources. Peuvent
aussi tre utiliss comme groupes de distribution.

Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Ils ne permettent pas
daffecter des permissions sur des ressources aux utilisateurs.

3.1.2.2. Etendue des groupes

Les deux types de groupes dans Active Directory grent chacun 3 niveaux dtendue. Leur fonctionnement
va dpendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et natif 2003. Selon
le mode fonctionnel, les fonctionnalits des groupes changent :

3.1.2.2.1. Les groupes globaux:

Mode mixte Mode natif
Membres
Comptes dutilisateurs du mme
domaine
Comptes dutilisateurs et groupes
globaux du mme domaine
Membres de Groupes locaux du mme domaine Groupes locaux de domaines
Etendue Visibles dans leur domaine et dans tous les domaines approuvs
Autorisations pour Tous les domaines de la fort

3.1.2.2.2. Les groupes de domaine local :

2003
18 / 76

Membres
Comptes dutilisateurs et groupes
globaux de tout domaine
Comptes dutilisateurs, groupes
globaux et groupes universels dun
domaine quelconque de la fort, et
groupes de domaine local du mme
domaine
Membres de
Membres daucun groupe Groupes de domaine local du mme
domaine
Etendue Visibles dans leur propre domaine
Autorisations pour Le domaine dans lequel le groupe de domaine local existe

3.1.2.2.3. Les groupes universels :

Membres
Non utilisables Comptes dutilisateurs, groupes
globaux et autres groupes universels
dun domaine quelconque de la fort.
Membres de
Non utilisables Groupes de domaine local et universels
de tout domaine.
Etendue Visibles dans tous les domaines de la fort
Autorisations pour Tous les domaines de la fort

3.1.2.3. Proprits Gr par

La proprit gestionnaire des groupes utilisateurs permet de connatre le responsable dun groupe. Cela
permet aussi via loption Le gestionnaire peut mettre jour la liste des membres den modifier les
membres.

3.2. Convention de nommage des groupes

Il est conseill de toujours identifier ltendue voir le type de groupe en ajoutant une lettre au dbut du nom
du groupe.

Exemple :
G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local

3.3. Gestion des groupes

3.3.1. Stratgie dutilisation des groupes dans un
domaine unique

La stratgie recommande pour les groupes globaux et locaux dans un domaine unique est la suivante :

- Ajoutez les comptes dutilisateur aux groupes globaux.
- Ajoutez les groupes globaux un autre groupe global (dans le cas dun environnement natif).
- Ajoutez les groupes globaux un groupe de domaine local.
- Affectez les autorisations sur les ressources au groupe de domaine local.

Cette stratgie est aussi appele A G DL P.

2003
19 / 76

3.3.2. Stratgie dutilisation des groupes dans un
environnement domaines multiples

- Dans chaque domaine, ajoutez aux groupes globaux des comptes dutilisateurs ayant la mme
fonction.
- Imbriquez des groupes globaux dans un seul groupe global pour intgrer les utilisateurs. Cette
tape nest utile que si vous grez un grand nombre dutilisateurs.
- Imbriquez des groupes globaux dans un groupe universel.
- Ajoutez les groupes universels aux groupes de domaine local pour grer laccs aux ressources.
- Affectez aux groupes de domaine local des autorisations appropris sur les ressources.

. Cette stratgie est aussi appele A G U DL P.

3.3.3. Modification de ltendue dun groupe

Dans certains cas, il peut tre utile de modifier ltendue dun groupe dans Active Directory.

Groupe global vers universel : Ceci nest possible que si le groupe nest pas lui-mme membre dun
groupe global.

Groupe global vers domaine local : Il nest pas possible de modifier directement un groupe global vers un
groupe de domaine local. Pour raliser cette modification, il est obligatoire de modifier le groupe global en
groupe universel, puis en groupe de domaine local.

Groupe de domaine local vers universel : Ceci nest possible que si le groupe nest pas lui-mme
membre dun groupe de domaine local.

Groupe universel vers global : Ceci nest possible que si le groupe nest pas lui-mme membre dun
groupe universel.

Groupe universel vers domaine local : Aucune limitation nexiste dans ce cas.

3.4. Groupes par dfaut

Les groupes par dfaut possdent des droits et des autorisations prdfinis qui permettent de faciliter la
mise en place dun environnement scuris. Ainsi un certain nombre de rles courants sont directement
applicables en rendant membre du groupe par dfaut adquat lutilisateur qui lon souhaite donner des
droits ou autorisations.

Ces groupes et les droits qui leurs sont associs sont crs automatiquement.

3.4.1. Groupes par dfaut sur un serveur membre

Les groupes par dfaut sur un serveur membre sont stocks dans la base de compte locale de la machine et
sont visibles via le composant enfichable Utilisateurs et groupes locaux de la console dadministration
Gestion de lordinateur. Ils sont crs automatiquement lors de linstallation de Windows 2003.

Voici les rles et les proprits de certains dentre eux :

Administrateurs
Pleins pouvoirs sur le serveur.
Lorsquun serveur est ajout au domaine, le groupe Admins. du
domaine est ajout ce groupe.
Invits
Un profil temporaire est cr pour lutilisateur que lon place
dans ce groupe.
2003
20 / 76

Utilisateurs avec pouvoir
Peut crer des comptes utilisateurs et les grer.
Peut crer des groupes locaux et les grer.
Peut crer des ressources partages.
Utilisateurs Peut lancer des applications, utiliser les imprimantes.
Oprateurs dimpression Peut grer les imprimantes et les files dattentes

Certains groupes par dfaut ne sont disponibles que lorsquun service prcis est install comme les services
DHCP et WINS qui installent les groupes par dfaut Administrateurs DHCP, Utilisateurs DHCP,
Utilisateurs WINS.

3.4.2. Groupes par dfaut dans Active Directory

Les groupes par dfaut dans Active Directory sont stocks dans la base Active Directory et sont visibles via
la console dadministration Utilisateurs et ordinateurs Active Directory dans les conteneurs Builtin et
Users. Ils sont crs automatiquement lors de linstallation dActive Directory.

Voici les rles et les proprits de certains dentre eux :

Oprateurs de compte
Les membres de ce groupe peuvent grer les comptes
utilisateurs.
Oprateurs de serveur
Les membres de ce groupe peuvent administrer les serveurs du
domaine.
Contrleurs de domaine
Ce groupe contient tous les comptes dordinateurs des
contrleurs de domaine.
Invits du domaine
Les membres de ce groupe vont bnficier dun profil
temporaire.
Utilisateurs du domaine
Contient tout les utilisateurs du domaine. Tous les utilisateurs
crs du domaine sont membre de ce groupe
Ordinateurs du domaine Ce groupe contient tous les ordinateurs du domaine
Administrateurs du domaine Ce groupe contient les utilisateurs administrateurs du domaine.
Administrateurs de lentreprise
Ce groupe contient les administrateurs de lentreprise. Permet
de crer les relations dapprobations entre domaines.
Administrateurs du schma
Ce groupe contient les utilisateurs capables de faire des
modifications sur le schma Active Directory.

3.5. Groupes systme

Les groupes systmes sont des groupes dont les membres sont auto-grs par le systme. Ces groupes sont
particulirement utiles dans le cas daffectations dautorisations.

Anonymous Logon Reprsente les utilisateurs qui ne ce sont pas authentifis.
Tout le monde
Tous les utilisateurs se retrouvent automatiquement dans ce
groupe.
Rseau Regroupe les utilisateurs connects via le rseau.
Utilisateurs authentifis Regroupe les utilisateurs authentifis.
Crateur propritaire Reprsente lutilisateur qui est propritaire de lobjet.

2003
21 / 76

4. Gestion daccs aux ressources

4.1. Contrle daccs

Le systme de contrle daccs dans Windows 2003 est bas sur trois composants qui permettent la
dfinition du contexte de scurit des lments du systme.

Ces trois lments sont :

Les entits de scurit
Le SID
DACL Discretionary Access Control List

4.1.1. Les entits de scurit

Les entits de scurit peuvent tre un compte utilisateur, dordinateur ou un groupe. Ils permettent
daffecter laccs un objet en le reprsentant dans le systme informatique.

4.1.2. Le SID

Toutes les entits de scurit sont identifies dans le systme par un numro unique appel SID.

Ce SID est li la vie de lobjet, ainsi si lon supprime un groupe et quon le recre ce mme groupe juste
aprs (mme nom, mmes proprits), celui-ci se verra attribuer un nouveau SID.
Lensemble des dfinitions de scurit tant bas sur ce SID, les accs donns au groupe supprim ne
seront pas transfrs au nouveau groupe.

4.1.3. DACL - Discretionary Access Control List

Les DACL sont associes chaque objet sur lequel on va dfinir un contrle daccs.

Les DACL sont composes dACE (Access Control Entry) qui dfinissent les accs lobjet.

Les ACE se composent de la faon suivante :
Le SID de lentit qui lon va donner ou refuser un accs.
Les informations sur laccs (ex : Lecture, Ecriture, )
Les informations dhritage.
Lindicateur de type dACE (Autoriser ou refuser).

A chaque tentative daccs une ressource, cette liste sera parcourue afin de dterminer si laction voulue
peut tre ralise.

4.2. Autorisations

4.2.1. Autorisations standards

Les autorisations permettent de fixer le niveau daccs quont les entits de scurit (pour un compte
utilisateur, groupe dutilisateurs ou ordinateur) sur une ressource.

Les ressources utilisant ce systme dautorisations pour rguler leurs accs sont multiples (Registre,
Fichiers, Imprimantes, Active Directory, )

2003
22 / 76

4.2.2. Autorisations spciales

Les autorisations standards sont limites aux actions de base sur un objet (ex : Lecture, Modifier, Contrle
Total, ). Aussi pour pouvoir granuler de faon plus prcise les autorisations, vous avez accs via le
bouton Avanc une liste tendue dautorisations.

4.3. Administration des accs aux dossiers
partags

4.3.1. Description des dossiers partags

Le partage dun dossier permet de rendre disponible lensemble de son contenu via le rseau.

Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de lautorisation
Lecture .

Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du nom. Pour pouvoir
y accder, il sera obligatoire de spcifier le chemin UNC complet (\\nom_du_serveur\nom_du_partage$).

4.3.2. Partages administratifs

Windows 2003 cre automatiquement des partages administratifs. Les noms de ces partages se terminent
avec un caractre $ qui permet de cacher le partage lors de l'exploration par le rseau. Le dossier systme
(Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine de chaque volume (c$, d$, )
constituent autant de partages administratifs.

Seuls les membres du groupe Administrateurs peuvent accder ces partages en accs Contrle Total.

Le partage IPC$ permet laffichage des ressources partages (dossiers partags, imprimantes partages).

4.3.3. Cration de dossiers partags

Sur des machines Windows 2003 Server en mode autonome ou serveur membre, seuls les membres des
groupes Administrateurs et Utilisateurs avec pouvoirs peuvent crer des dossiers partags.

Sur des machines contrleurs de domaine Windows 2003 Server, seuls les membres des groupes
Administrateurs et Oprateurs de serveurs peuvent crer des dossiers partags.

Pour pouvoir crer un partage vous avez trois possibilits :

Loutil dadministration Gestion de lordinateur laide du composant logiciel enfichable
Dossiers partags .
Lexplorateur par le biais du menu contextuel de tous les dossiers de larborescence.
La commande NET SHARE (net share NomDossierPartag=Unit:Chemin).

4.3.4. Publication des dossiers partags

Grce Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en faisant une
recherche sur des mots cls.

Pour mettre en place cette fonctionnalit, il suffit de crer un objet Dossier partag laide de la
console Utilisateurs et ordinateurs Active Directory et de spcifier lors de sa cration, le chemin UNC
2003
23 / 76

permettant daccder physiquement ce partage (lobjet Active Directory ntant quun raccourci vers la
ressource physique).
Il est aussi possible dautomatiser cette tche en cochant loption Publier ce partage dans Active
Directory laide de loutil dadministration Gestion de lordinateur et du composant enfichable
Dossiers Partags directement sur le serveur qui hberge la ressource.

Suite la publication, rien ne vous empche si le serveur hbergeant le partage de fichier tombe en panne
de modifier le raccourci de lobjet Active Directory pour le faire pointer vers un nouveau serveur
accueillant le partage temporairement. Les utilisateurs ne perdent donc pas la trace de leurs ressources.

4.3.5. Autorisations sur les dossiers partags

Chaque dossier partag peut tre protg par une ACL qui va restreindre son accs spcifiquement aux
utilisateurs, groupes ou ordinateurs qui y accdent via le rseau.

Il existe trois niveaux dautorisations affectables :

Lecture : Permet dafficher les donnes et dexcuter les logiciels.
Modifier : Comprend toutes les proprits de lautorisation lecture avec la possibilit de crer des
fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.
Contrle total : Comprend toutes les proprits de lautorisation Modifier avec la possibilit de
modifier aux travers le rseau les autorisations NTFS des fichiers et dossiers.

Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser en sachant que les
autorisations de refus sont prioritaires.

Pour affecter des autorisations de partage, vous avez deux solutions :

A laide de loutil dadministration Gestion de lordinateur et du composant enfichable
Dossiers Partags .
A laide de lexplorateur dans les proprits du dossier partag.

4.3.6. Connexion un dossier partag

Afin quun client puisse accder un dossier partag, plusieurs moyens sont disponibles :

Favoris rseau : Permet de crer des raccourcis vers les partages dsirs.
Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de travail en lui
attribuant une lettre.
Excuter : Permet daccder ponctuellement la ressource en spcifiant simplement le chemin
UNC daccs la ressource.

4.4. Administration des accs aux fichiers et
dossiers NTFS

4.4.1. Prsentation de NTFS

NTFS est un systme de fichiers qui offre les avantages suivants :

Fiabilit : NTFS est un systme de fichiers journalis. En cas de problme, ce journal sera utilis
pour analyser les parties du disque qui ont pos problme (cela vite le scandisk de lintgralit du
disque que lon avait sous Windows 98).

2003
24 / 76

Scurit : Le systme NTFS prend en charge le cryptage de fichiers avec EFS. EFS permet dviter
des problmes comme lespionnage industriel en empchant lexploitation des donnes mme si le
disque dur est vol. NTFS permet aussi lutilisation dautorisations NTFS qui permettent de
restreindre laccs aux donnes de la partition.

Gestion du stockage : NTFS permet la compression de donnes transparente pour tous les fichiers
stocks sur la partition. Il permet aussi limplmentation de la gestion de quotas pour restreindre de
faon logique lespace dont peut bnficier un utilisateur sur une partition.

Lutilisation de systmes de fichiers comme FAT et FAT32 est recommande uniquement pour faire du
dual boot entre des systmes Windows 2003 et dautres systmes dexploitation tels que DOS 6.22, Win
3.1 ou Win 95/98.

Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS.
Les partitions NTFS ne peuvent pas tre converties vers FAT ou FAT32, la partition doit alors tre
efface et recre en tant que FAT ou FAT32.

4.4.2. Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les utilisateurs, groupes
ou ordinateurs sur les fichiers.

4.4.2.1. Autorisations sur les fichiers

Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession et
la possibilit de modifier les autorisations du fichier.
Modification : Permet de modifier, supprimer, lire et crire les fichiers.
Lecture et excutions : Permet de lire les fichiers et dexcuter les applications.
Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le propritaire.
Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire et ses autorisations.

4.4.2.2. Autorisations sur les dossiers

Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession
et la possibilit de modifier les autorisations du dossier.
Modification : Dispose de toutes les autorisations de Ecriture avec la possibilit de supprimer
le dossier.
Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter les applications.
Ecriture : Permet de crer des fichiers et sous-dossiers, de modifier ses attributs et dafficher le
propritaire.
Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propritaire et autorisations du
dossier.
Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.

4.4.3. Impact de la copie et du dplacement sur les
autorisations NTFS

Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le dplacement vers la mme
partition permet le maintien des autorisations.

Les fichiers dplacs depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs
descripteurs de scurit.

Les attributs de fichiers pendant la copie/dplacement dun fichier lintrieur dune partition ou entre
deux partitions sont grs ainsi:
2003
25 / 76


Copier lintrieur dune partition : Cre un nouveau fichier identique au fichier original. Il hrite
des permissions du rpertoire de destination.

Dplacer lintrieur dune partition : Ne cre pas un nouveau fichier. Il y a seulement une mise
jour des pointeurs du dossier. Garde les permissions appliques lorigine au fichier.

Dplacer vers une autre partition : Cre un nouveau fichier identique loriginal et dtruit le
fichier original. Le nouveau fichier hrite des permissions du rpertoire de destination.

4.4.4. Prsentation de lhritage NTFS

Sur le systme de fichiers NTFS de Windows 2003, les autorisations que vous accordez un dossier parent
sont hrites et propages tous les sous-dossiers, et les fichiers quil contient. Tous les nouveaux fichiers
et dossiers crs dans ce dossier hriteront aussi de ces permissions.

Par dfaut, toutes les autorisations NTFS dun dossier cr seront hrites par les dossiers et fichiers quil
contiendra.

Il est possible de bloquer cet hritage (pour des raisons de scurit) afin que les permissions ne soient pas
propages aux dossiers et aux fichiers contenus dans le dossier parent.

Pour bloquer lhritage des permissions, afficher les proprits du dossier, allez dans longlet Scurit, puis
cliquez sur le bouton Paramtres avancs dsactiver la case cocher Permettre aux autorisations
hrites du parent de se propager cet objet et aux objets enfants. Cela inclut les objets dont les entres
sont spcifiquement dfinies ici..
Dans la nouvelle fentre, cliquez sur Copier si vous souhaitez garder les autorisations prcdemment
hrites sur cet objet, ou alors cliquez sur Supprimer afin de supprimer les autorisations hrites et ne
conserver que les autorisations explicitement spcifies.

4.4.5. Identification des autorisations effectives

Lorsque vous accordez des autorisations un utilisateur, un groupe ou un utilisateur, il est parfois
difficile de sy retrouver avec par exemple les groupes auxquels un utilisateur peut appartenir et les
autorisations hrites.

Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne plusieurs
autorisations diffrentes car il est membre de diffrents groupes.
Dans ce cas, les autorisations se cumulent et il en rsulte lautorisations la plus forte (ex : lecture + contrle
total contrle total).

Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune autorisation dessus. Cest une
autorisation Refuser implicite.

Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.

Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex :
contrle total + refuser lecture La lecture sera bien refuse).

Le propritaire la possibilit daffecter les autorisations quil dsire sur tous les fichiers dont il est le
propritaire mme si il na pas dautorisations contrle total dessus.

Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout dabord se
lapproprier.

2003
26 / 76

Il est possible de vrifier les permissions effectives dun
utilisateur laide de longlet Autorisations effectives de la
fentre de paramtres de scurit avanc.

4.4.6. Cumul des autorisations NTFS et des
autorisations de partage

Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux autorisations de partage, ses
permissions effectives sobtiennent en combinant le niveau maximum dautorisations indpendamment
pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture pour les autorisations de
partage et modification pour les autorisations NTFS).

Une fois les deux autorisations dfinies, il suffit de prendre la plus restrictive des deux.

Exemple :
Partage lecture + NTFS contrle total lecture
et inversement
Partage contrle total + NTFS lecture lecture

4.5. Mise en place des fichiers hors connexion

4.5.1. Prsentation des fichiers hors connexion

Les fichiers Hors Connexion remplacent le Porte-Documents et fonctionnent de manire similaire
loption Visualiser Hors-Connexion dInternet Explorer. Ainsi il est possible pour les utilisateurs
itinrants de continuer accder leurs ressources rseau alors quils sont dconnects de celui-ci.

Pour activer la fonction de mise hors-connexion ct serveur, il suffit de partager un dossier et dactiver
son cache afin de le rendre disponible hors connexion. Trois modes de mise en cache sont alors
disponibles :

- Cache manuel pour les documents : rglage par dfaut. Les utilisateurs doivent spcifier quels
documents ils souhaitent rendre disponibles hors connexion.

- Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache
sur son disque dur pour une utilisation hors connexion les versions anciennes du document sur le disque
sont automatiquement remplaces par des versions plus rcentes du partage quand elles existent.

- Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que
les fichiers dont les modifications des utilisateurs doivent tre ignores (ex : tarifs, applications, ). Elle
permet notamment un gain de performance car les fichiers sont alors consults en local et non pas sur le
rseau. Elle est active via loption Optimis pour les performances .

La mise en cache peut tre aussi active par la commande NET SHARE et le commutateur /cache.

2003
27 / 76

Lutilitaire de Synchronisation, vous permet de spcifier les fichiers qui seront synchroniss, le type de
connexion employe pour cette synchronisation (pour empcher par exemple une synchronisation lorsque
lon est connect au rseau distance via un modem) et le moment o cette synchronisation est effectue
(lors dune connexion, dune dconnexion, lorsque lordinateur est en veille,).

Lorsque vous synchronisez, si vous avez dit un fichier hors connexion et quun autre utilisateur a fait de
mme, alors, il vous sera demand si vous souhaitez :
Garder et renommer votre exemplaire
craser votre exemplaire avec la version disponible sur le rseau
craser la version disponible sur le rseau et perdre les modifications de lautre utilisateur

2003
28 / 76

5. Implmentation de limpression

5.1. Prsentation de limpression dans la
famille Windows Server 2003

5.1.1. Terminologie de limpression

Pilote dimpression : Logiciel permettant dimplmenter sur lordinateur le langage de
communication de limprimante.
Tche dimpression : Tout document qui est envoy pour tre imprim.
Serveur dimpression : Ordinateur centralisant les tches dimpression et grant la file dattente
dimpression. Il contient le pilote dimprimante propre chacun des priphriques dimpression
connects. Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur
pour demander des travaux dimpression (Windows 95, 98, NT, 2000, 2003, ).
Imprimante : Cest linterface logicielle quil y a entre le priphrique dimpression et Windows.
Concrtement, le file dattente du priphrique dimpression ( ne pas confondre avec votre Epson
ou votre Canon).
Spouleur dimpression : Le spouleur dimpression est charg de recevoir, stocker et denvoyer vers
le bon priphrique dimpression, les tches dimpression.
File dattente dimpression : Cest lensemble des tches dimpression dans leurs ordre darrive.
Port Imprimante : Interface logique de communication avec le priphrique dimpression.
Priphrique dimpression : Cest le priphrique physique ralisant les tches dimpression (cest
votre Epson, votre Canon, ).

5.1.2. Types de clients dimpression supports par
Windows 2003

5.1.2.1. Clients Microsoft

Les clients 32 bits & 64 bits Microsoft ( partir de Windows 95), sont capables de tlcharger les pilotes
dimpressions directement partir du serveur dimpression. Ceci se fait laide du partage administratif
print$.

Pour les clients 16 bits Microsoft (famille MS-DOS), linstallation des pilotes est manuelle sur chaque
poste client en ayant pris soin de tlcharger les bonnes versions de pilotes.

5.1.2.2. Clients NetWare

Pour supporter les clients NetWare, il est obligatoire davoir install les services de fichiers et dimpression
pour NetWare. Le protocole IPX/SPX peut lui aussi tre ncessaire sur les clients et le serveur si les clients
nimplmentent pas TCP/IP (protocole rseau utilis par Microsoft).

5.1.2.3. Clients Macintosh

Les clients Macintosh ncessitent linstallation des services dimpression Microsoft pour Macintosh. Le
protocole Appletalk est lui aussi ncessaire pour la communication avec les clients Macintosh.

5.1.2.4. Clients UNIX

Les clients UNIX ncessitent linstallation des services dimpression Microsoft pour UNIX. Les clients se
connectent au serveur LPD en suivant les spcifications LPR.

2003
29 / 76

5.1.2.5. Clients IPP (Internet Printing Protocol)

Le support des clients IPP est assur sous Windows 2003 la suite de linstallation de IIS (Internet
Information Services) ou de PWS (Personal Web Server).

5.1.3. Fonctionnement de limpression

Il existe deux mthodes dans un environnement Windows 2003 dimprimer :

5.1.3.1. Impression sans serveur dimpression

Dans ce cas, les diffrents clients se connectent directement limprimante rseau (cette imprimante doit
tre quipe dune carte rseau intgre).

Inconvnients de cette mthode:

Chacun des clients hbergent sa propre file dattente, impossible de connatre sa position par
rapport aux autres clients.
Les messages derreur sont retourns uniquement vers le client dont la tche dimpression est en
cours.
Le spouling est ralis sur le client et non pas sur le serveur ce qui engendre une charge de travail
supplmentaire sur le client.

5.1.3.2. Impression avec serveur dimpression

Dans ce cas, les diffrents clients se connectent via un serveur dimpression qui peut tre lui-mme
connect une imprimante rseau ou directement reli au priphrique dimpression.

Avantages de cette mthode:

Le serveur gre la distribution des pilotes aux clients.
La file dattente est unique pour tous les clients qui peuvent donc voir de faon effective leur
position dans la file dattente.
Les messages derreur sont retourns sur tous les clients dont la tche dimpression est en cours.
Certains traitements sont transmis et raliser directement par le serveur dimpression.

5.2. Installation et partage dimprimantes

5.2.1. Imprimantes locales et imprimantes rseau

Une imprimante locale est une imprimante qui va tre directement relie au serveur dimpression par un
cble de type USB, parallle (LPT) ou Infrarouge (IR).

Une imprimante rseau est une imprimante qui va tre relie au serveur dimpression via linfrastructure
rseau et la mise en place dun protocole rseau comme TCP/IP, IPX/SPX ou AppleTalk.

5.2.2. Installation et partage dune imprimante

Vous devez avoir les privilges dAdministrateur afin dajouter une imprimante votre serveur. Lassistant
dAjout dimprimante vous guide pendant tout le processus qui vous permettra de dfinir quel priphrique
dimpression est disponible, sur quel port physique le priphrique dimpression est branch, quel pilote
utiliser, ainsi que le nom du priphrique dimpression sous lequel il sera connu sur le rseau.

2003
30 / 76

Dans le cas dune imprimante rseau, il est ncessaire de crer un port TCP/IP avec ladresse IP de
limprimante rseau.

Le partage dune imprimante se fait dans les mmes conditions que lajout dune imprimante, cest dire
quil faut tre Administrateur. Un clic droit sur limprimante, puis Proprits, l il faut choisir longlet
Partage. Choisir le nom de partage de limprimante sur le rseau, et ensuite ajouter tous les pilotes
ncessaires aux clients qui vont utiliser cette imprimante (en cliquant sur Pilotes supplmentaires).

Le partage dune imprimante sur un serveur membre publie limprimante automatiquement dans
Active Directory. Pour annuler cette publication, dcocher loption Lister dans lannuaire .

5.3. Autorisations dimprimantes partages

Il existe trois niveaux dautorisations pour dfinir les accs dune imprimante partage :

Impression : Lutilisateur peut imprimer des documents.
Gestion des documents : Lutilisateur ne peut pas imprimer mais il peut grer compltement la file
dattente de limpression.
Gestion dimprimantes : Permet de modifier les autorisations de limprimante, de grer la file
dattente et dimprimer.

Le principe de gestion de cette ACL est identique la gestion des ACL du systme de fichiers NTFS.

5.4. Gestion des pilotes dimprimantes

Windows 2003 Server offre le tlchargement
automatique des pilotes pour les clients qui tournent
sous Windows 2003, Windows XP, Windows 2000,
Windows NT 4, Windows NT 3.51 et Windows
95/98.

La plate-forme Itanium est mme supporte avec
Windows XP et Windows 2003.

Cela est transmis au client via le partage
administratif admin$ sur le serveur dimpression.

2003
31 / 76

6. Administration de limpression

6.1. Changement de lemplacement du
spouleur dimpression

Le spouleur dimpression est un excutable prenant en charge la gestion de limpression.

Il effectue notamment les taches suivantes :

Gestion de lemplacement des pilotes imprimantes.
Rcupration des documents, stockage et envoi limprimante.
Planification du travail dimpression.

Par dfaut, le spouleur dimpression se trouve dans le rpertoire systme lemplacement
%SystemRoot%\System32\Spool\Printers.

Il peut tre ncessaire de changer son emplacement pour des questions de performances ou despace
disque.

En effet, laccs aux fichiers systme et au rpertoire du spouleur simultanment rduit les performances du
serveur car la tte de lecture du disque va faire des allers-retours incessants.
De plus, des problmes de fragmentation de fichiers pourraient apparatre sur le disque au vu des critures
multiples.
Le dplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du disque dur qui le
contient.
Il est aussi intressant de pourvoir dfinir des quotas (en terme de taille de fichier et non en terme de
nombre dimpressions) en utilisant la fonctionnalits de quotas du systme de fichiers NTFS. Pour cela il
est indispensable disoler les fichiers du spouleur sur un volume ddi.
Pour finir, une simple implmentation dun systme de disques durs tolrance de pannes incite dplacer
les fichiers du spouleur.

En prenant en compte lensemble de ces considrations, il est conseill de dplacer les fichiers du spouleur
sur un disque ddi possdant son propre contrleur de disques.

Une fois la dcision prise, il suffit daller dans le panneau de configuration Imprimantes et tlcopieurs ,
puis dans le menu fichier et de cliquer sur Proprits de Serveur dimpression .
Ensuite dans Avanc , de modifier le champ Dossier du spouleur .
Une fois la modification effectue, il vous suffit de redmarrer le spouleur (NET STOP SPOOLER et NET
START SPOOLER).

Il est recommand que les travaux dimpression en cours soient finis avant de dplacer les fichiers du
spouleur.

6.2. Dfinition des priorits dimprimantes

Les priorits dimpression sont fixes en crant plusieurs imprimantes logiques qui pointent vers le mme
priphrique dimpression et en leur assignant individuellement des priorits.

Lchelle des priorits va de 1 (la plus faible, par dfaut) 99, la plus forte. Il faut ensuite limiter via
longlet scurit lutilisation de chacune des imprimantes aux bons utilisateurs.

Pour mettre en place les priorits dune imprimante, il suffit de se rendre dans longlet Avanc, puis de
remplir la zone Priorit avec la valeur voulue.
2003
32 / 76


Les priorits ne sont prises en compte quau niveau de la file dattente, donc si un long travail
dimpression est en cours, mme larrive dun travail prioritaire narrtera pas le travail en cours.

6.3. Planification de la disponibilit des
limprimantes

Afin de pouvoir relayer un certain nombre dimpressions des plages horaires prcises (des gros travaux
dimpression que lon souhaite raliser la nuit), il est possible de spcifier dans les proprits de
limprimante une plage horaire de disponibilit qui permettra tous les documents envoys cette
imprimante (et ce, quelque soit le moment de la journe) de pouvoir tre raliss uniquement pendant la
plage horaire de disponibilit de limprimante.

Il est conseill lors de la mise en place de la planification de la disponibilit de limprimante de crer deux
imprimantes pointant vers le mme priphrique dimpression et de restreindre laccs de cette imprimante
laide de longlet scurit.

6.4. Configuration dun pool dimpression

Si vous avez de grosses charges dimpression, vous pouvez utiliser un ou plusieurs priphriques
dimpression identiques pour ne faire quune imprimante logique. Cest le Print Pooling (Pool
dimpression). Le pool dimpression ne comporte pas ncessairement que des priphriques dimpression
locaux, il peut aussi comporter des priphriques dimpression munis de carte (interface) rseau.

Quand un travail dimpression sera rceptionn par le serveur, alors, il sera envoy au premier priphrique
dimpression qui sera disponible.

Pour crer un pool dimpression, il faut se rendre dans longlet Port , puis cliquer sur la case Activer le
pool dimprimante et il ne reste plus qu choisir sur quels ports sont connects les priphriques
dimpression.

2003
33 / 76

7. Gestion daccs aux objets dans les
units dorganisation

7.1. Structure des units dorganisation

Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du
domaine.

Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que dautres units dorganisation.

Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire Active Directory.
Elles permettent, un peu la manire des dossiers de disques durs, dordonner les objets sous une
reprsentation physique (emplacements des utilisateurs ou des ordinateurs) des objets ou reprsentation
logique (dpartements dappartenance des utilisateurs ou des ordinateurs).

Il est fortement dconseill de dpasser les 5 niveaux dimbrication dunits dorganisation.

Les units dorganisation facilitent la dlgation dadministration selon lorganisation des objets.

Les units dorganisation permettent aussi de dployer les stratgies de groupes efficacement et de manire
cible. De plus, la hirarchie cre laide des units dorganisation va permettre un systme dhritage
pour les stratgies de groupes.

7.2. Modification des autorisations sur les
objets Active Directory

7.2.1. Autorisations sur les objets Active Directory

Les autorisations Active Directory permettent de restreindre laccs des utilisateurs au contenu de
lannuaire savoir les objets ou leurs proprits.

Tout comme les autorisations NTFS, des autorisations standards et spciales sont disponibles aussi bien en
Accepter quen Refuser .


Les autorisations peuvent tre dfinies sur les objets ou sur les units dorganisation qui bnficient de la
proprit dhritage pour transmettre ces autorisations aux objets enfants.
Cette fonctionnalit peut tre bloque si ncessaire.

Dans tous les cas, les objets dplacs hritent des autorisations de lunit dorganisation de destination.

Pour pouvoir visualiser les fonctions de modification des autorisations sur les objets Active Directory, dans
loutil Utilisateurs et ordinateurs Active Directory , cochez loption Fonctionnalits avances dans le
menu Affichage . Il suffit ensuite dafficher les proprits de lobjet ou de lunit dorganisation.

7.2.2. Dfinitions des autorisations effectives

2003
34 / 76

Lorsque vous accordez des autorisations un utilisateur, ou un groupe, il est parfois difficile de sy
retrouver au milieu des autorisations de groupe et des hritages.

Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne plusieurs
autorisations diffrentes car il est membre de diffrents groupes.
Dans ce cas, les autorisations se cumulent et il en rsulte lautorisation la plus forte (ex : lecture + contrle
total contrle total).

Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex :
contrle total + refuser lecture La lecture sera bien refuse).


Le propritaire a la possibilit daffecter les autorisations quil dsire sur tous les fichiers dont il est le
propritaire mme si il na pas dautorisation contrle total dessus.

7.3. Dlgation du contrle des units
dorganisation

Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte quel
utilisateur, groupe ou unit organisationnelle.

Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit organisationnelle
Ventes un utilisateur de cette UO.

Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil nest plus
ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil celui-ci doit effectuer un
certain nombre de tches dadministration.

Ainsi, sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs pour
son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, ce qui lui permettait de grer tous
les comptes du domaine.

Avec Active Directory, il suffira de faire un clic-droit sur lUO pour laquelle on souhaite lui dlguer cette
tche et de slectionner Dlguer le contrle . On pourra dfinir quelques paramtres comme les
comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer
des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple
uniquement le droit de rinitialiser les mots de passe sur lUO ou un objet spcifique de lUO, ).

2003
35 / 76

8. Implmentation des stratgies de
groupes

8.1. Description des stratgies de groupes

8.1.1. Prsentation des stratgies de groupes

Une Stratgie de Groupe est une collection de variables de configuration d'environnement de lutilisateur et
de lordinateur qui est impose par le systme d'exploitation et non modifiable par l'utilisateur.

Une stratgie de groupe peut sappliquer un site, un domaine ou une unit dorganisation et peut tre
assigne plusieurs fois simultanment sur diffrents conteneurs.

Les stratgies de groupes sont aussi appeles GPO pour Group Policy Object.

8.1.2. Description des paramtres de configuration
des utilisateurs et des ordinateurs

La console de gestion des stratgies de groupes se divise en deux arborescences : Ordinateur et Utilisateur :

Les paramtres de stratgies de groupes pour les ordinateurs dfinissent le comportement du
systme dexploitation, dune partie du bureau et la configuration de la scurit.
Les paramtres de stratgies de groupes pour les utilisateurs dfinissent les options dapplications
affectes et publies, la configuration des applications et les paramtres du bureau.

8.2. Implmentation dobjets de stratgie de
groupe

8.2.1. Les outils permettant dimplmenter les GPO

Les diffrents outils permettant dditer les stratgies de groupes sont les suivants :

Utilisateurs et ordinateurs Active Directory : Permet dditer les stratgies associes au domaine et
aux units dorganisation.
Sites et services Active Directory : Permet dditer les stratgies associes aux sites.
Stratgie de scurit locale : Permet dditer les stratgies locales des machines.

Loutil Gestion des stratgies de groupes est disponible pour faciliter la gestion des GPO, celui-ci reprend
les interfaces et fonctionnalits des outils suivants :

Utilisateurs et ordinateurs Active Directory.
Sites et services Active Directory.

Ainsi que des modules dadministration des stratgies :

Module de vrification des stratgies rsultantes (RSoP, Resultant Set of Policy).
Module de sauvegarde et de restauration des objets de stratgie de groupe.
Module de copie et dimport des objets de stratgies de groupes.
Intgration du filtrage par le langage WMI (Windows Management Instrumentation).
Module de gnration de rapport.
2003
36 / 76

Module de recherche dobjets de stratgies de groupes.

Loutil Gestion des stratgies de groupes nest pas fourni avec Windows Server 2003. Il est ncssaire
de le tlcharger sur le site de microsoft ladresse http://www.microsoft.com

8.2.2. Les modles dadministration

Lensemble de la description des GPO se trouve dans des fichiers dont lextension est .adm .

Ceux-ci contiennent une description hirarchique des modifications effectuer sur les clients pour mettre
en place la stratgie sur le client.
Ils contiennent aussi, les options de restrictions pour les valeurs, la valeur par dfaut, lexplication de
chaque paramtre et les versions de Windows qui prennent en charge le paramtre.

Rien ne vous empche de crer vos propres modles dadministration pour grer des lments qui ne le sont
pas nativement.

8.2.3. Description dun lien dobjet de stratgie de
groupe.

Une stratgie de groupe est compose dun objet Active Directory et dun dossier dont le nom est le SID de
la GPO et qui se trouve dans le rpertoire SYSVOL celui-ci tant rpliqu sur tous les contrleurs de
domaine.

Cet objet une fois cr et paramtr peut tre li un ou plusieurs conteneurs (Sites, Domaines, Units
dorganisation).

De mme, plusieurs GPO peuvent tre lies un mme conteneur.

8.2.4. Hritage de lautorisation de stratgie de
groupe dans Active Directory

Lordre dans lequel les objets GPO (Group Policy Object Objet de Stratgie de Groupe) sont appliqus
dpend des conteneurs Active Directory auxquels les objets GPO sont lis.

Ils sont hrits et sont appliqus dans lordre suivant : au site, au domaine, puis aux units dorganisations.

8.3. Administration du dploiement dune
stratgie de groupe

8.3.1. Impact de lexistence dobjets de stratgie de
groupe conflictuels

Les stratgies sont cumulatives, ce qui signifie que plusieurs stratgies peuvent entrer en conflit sur un
mme paramtre.

Lorsquil y a un conflit entre deux GPO appliques, la GPO conflictuelle la plus proche du client est
applique. Lorsque les deux GPO sont dfinies un mme niveau (par exemple sur la mme OU), la GPO
applique est celle qui se trouve en haut de la liste des stratgies de groupe appliques au conteneur.

Toutefois, les paramtres de scurit IP et les droits utilisateurs font exceptions. Le dernier objet GPO (le
plus proche du client) remplace totalement tout autre objet GPO.
2003
37 / 76


Dans certains cas, il peut tre intressant de changer ce mode de rsolution de conflits comme par exemple
lorsque lon a dlgu ladministration dune UO une personne et que lon souhaite empcher cette
personne davoir le dernier mot sur lapplication dun paramtre prcis.

Pour cela vous pouvez utiliser loption Ne pas passer outre qui va empcher quune GPO plus proche
de lobjet utilisateur ou ordinateur ne prime sur une GPO plus loigne.

Vous avez aussi Bloquer lhritage des stratgies , ce qui va stopper les fonctions dhritage.

8.3.2. Attributs dun lien dobjet de stratgie de
groupe

8.3.2.1. Option Appliqu

Cette option nest disponible quaprs linstallation de la console Gestion des stratgies de groupe .

Loption Appliqu est un attribut du lien qui lie lobjet GPO aux conteneurs (sites, domaines, UO).

Cette option propre chaque liaison dune GPO permet de forcer lapplication de son contenu.

Elle est aussi appele Ne pas passer outre lorsque la console Gestion des stratgies de groupe nest pas
installe.

8.3.2.2. Activation et dsactivation dun lien

Cette option permet de ne plus appliquer une GPO un conteneur sans pour autant supprimer le lien qui les
lie.

8.3.3. Filtrage du dploiement dune stratgie de
groupe

Vous pouvez dcider dappliquer les GPO seulement des groupes et pas dautres laide de cette
option.

En effet, chaque objet GPO va tre li une ACL qui va dfinir quels sont les utilisateurs, ordinateurs ou
groupes qui vont pouvoir accder lobjet GPO donc pouvoir appliquer ces paramtres.

Ainsi si vous dsirez appliquer une GPO seulement sur le groupe Administrateurs, il vous suffit dafficher
les paramtres de scurit de lobjet GPO et de retirer lautorisation Appliquer la stratgie de groupe tous
les utilisateurs lexception du groupe Administrateurs .
2003
38 / 76

9. Gestion de lenvironnement utilisateur
laide des stratgies de groupes

9.1. Configuration de paramtres de stratgie
de groupe

9.1.1. Prsentation des stratgies de groupes

Limplmentation des stratgies de groupes va permettre de centraliser la gestion de lenvironnement des
utilisateurs. Ainsi les GPO vont permettre de dfinir les droits ncessaires aux utilisateurs.

Lorsque vous administrez lenvironnement dun utilisateur de faon centralise, vous pouvez intervenir sur
les lments suivants :

Administration des utilisateurs et des ordinateurs : Modification des proprits du bureau laide
de modifications distantes de la base de registre.
Dploiement de logiciels : Automatisation complte de linstallation des programmes sur les
postes clients en fonction du profil de lutilisateur.
Application des paramtres de scurit : Permet de modifier le contexte de scurit de
lenvironnement utilisateur.
Dfinition dun environnement adapt : Possibilit de rediriger certains rpertoires sensibles ou de
bloquer la modification de leurs contenus.

9.1.2. Paramtres Non configur , Activ et
Dsactiv

Avant mme la dfinition des proprits dun paramtre de stratgie de groupe, il est ncessaire de choisir
si vous allez configurer ce paramtre et si oui, si vous allez lactiver ou le dsactiver.

En effet tout paramtre a une valeur par dfaut. Si vous souhaitez laisser cette valeur par dfaut, il vous
suffit de ne pas configurer le paramtre. Si vous souhaitez modifier ce paramtre, vous avez le choix dans
la plupart des cas entre Activer ou Dsactiver ce paramtre.

Exemple : Supprimer le menu Excuter du menu Dmarrer.

Non configur : Le menu Excuter va safficher sauf si nimporte quelle autre GPO spcifie le
contraire.
Activ : Le menu Excuter va tre supprim sauf si une GPO ayant une priorit plus importante
spcifie le contraire.
Dsactiv : Le menu Excuter va safficher sauf si une GPO ayant une priorit plus importante
spcifie le contraire.

Certains paramtres demandent une configuration plus importante quun simple choix boolen. Si dans ce
cas, une GPO ayant une priorit plus importante spcifie des proprits diffrentes pour le paramtre,
lensemble des proprits sera remplac.

9.2. Attribution des scripts avec la stratgie
de groupe

Grce une stratgie de groupe, vous pouvez affecter des scripts aux machines ou aux utilisateurs.
2003
39 / 76


Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou larrt de lordinateur et les scripts
affects aux utilisateurs seront excuts louverture et la fermeture de la session.

Plusieurs langages sont supports avec les scripts batch (NET USE ), les scripts WSH (Windows Script
Host) ou des excutables.

Via les proprits dun compte utilisateur, il est possible de spcifier un script douverture de session,
mais cette mthode est moins souple au niveau administratif.

9.3. Configuration de la redirection de
dossiers

Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de lutilisateur afin de
centraliser sur un serveur les donnes et ainsi en faciliter la scurit et la sauvegarde.

Les dossiers pouvant tre redirigs sont les suivants :

Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de fichiers pour que
son contenu soit disponible quelque soit lordinateur sur lequel se connecte lutilisateur (ex :
redirection vers le dossier de base de lutilisateur).

Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous les utilisateurs vers
un contenu unique.

Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu
unique.

Application Data : Contient les prfrences applicatives de certaines applications qui peuvent tre
sauvegardes sur un serveur avec la rplication.

Il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers diffrents selon
lappartenance de lutilisateur un groupe.

La fonction de redirection de dossiers cre elle-mme automatiquement des dossiers avec les
autorisations adequat.

9.4. Dtermination des objets de stratgie de
groupe

9.4.1. GPUpdate

GPUpdate est un outil en ligne de commande qui permet de rafrachir instantanment lapplication des
stratgies de groupes sur une machine cliente.

En effet, les ordinateurs clients depuis Windows 2000 actualisent les GPO des intervalles dfinis.

Lactualisation assure que les paramtres qui ont pu tre modifis par un administrateur sont appliqus le
plus tt possible. (Eventualit dune personne qui ne redmarre jamais son ordinateur ou ne ferme jamais sa
session).

2003
40 / 76

Par dfaut, les ordinateurs effectuent cette ractualisation toutes les 90 minutes + un temps alatoire entre 0
et 30 minutes et ce, afin dviter que tous les ordinateurs fassent des requtes au contrleur de domaine
(DC) en mme temps.

En ce qui concerne les contrleurs de domaine, ils sont ractualiss toutes les 5 minutes.

Vous pouvez modifier ces valeurs laide dune stratgie de groupe.

GPUpdate [/Target:{Ordinateur | Utilisateur}] [/Force] [/Wait:<valeur>] [/Logoff] [/Boot] [/Sync]

9.4.2. GPResult

GPResult est un outil en ligne de commande qui permet de visualiser les stratgies rsultantes pour
lordinateur et un utilisateur spcifi.

Comme de nombreuses stratgies peuvent entrer en conflit, cet outil permet de visualiser les stratgies
effectives.

GPResult [/S systme [/U utilisateur [/P mot_de_passe]]]] [/SCOPE tendue] [/USER utilisateur_cible] [/V
| /Z]

9.4.3. Rapport de stratgie de groupe

Grce la console Gestion de stratgie de groupe, il est possible dafficher un rapport par GPO permettant
de visualiser uniquement les paramtres qui ont t modifis.

Ce rapport sera cr au format HTML et sera enregistrable aussi au format XML.

9.4.4. Simulation de dploiement de GPO

Dans la console Gestion de stratgies de groupes, il est possible de lancer une simulation de dploiement de
stratgies de groupes. Ce qui va gnrer un rapport.

9.4.5. Rsultat de dploiement de GPO

Dans la console Gestion de stratgies de groupes, il est possible de rcuprer les informations de
dploiement de stratgies de groupes et den gnrer un rapport.

2003
41 / 76

10. Implmentation des modles
dadministration et des stratgies
daudit

10.1. Vue densemble de la scurit dans
Windows 2003

Un droit sous Windows 2003 est la possibilit dagir sur la configuration du systme. Ainsi pour quun
utilisateur modifie lheure, ouvre une session, ou teigne lordinateur, il est ncessaire quil ait le droit
associ.

La diffrence avec une autorisation est que lautorisation constitue la possibilit daccder ou dutiliser une
ressource (ex : fichier, dossier, imprimante, ).

Par dfaut, un certain nombre de droits sont associs des groupes prdfinis (ex : les membres du groupe
Oprateurs de sauvegarde peuvent sauvegarder et restaurer des fichiers et des rpertoires.).

10.2. Utilisation de modles de scurit pour
protger les ordinateurs

10.2.1. Prsentation des stratgies de scurit

Une stratgie de scurit est un ensemble de paramtres de scurit permettant de dfinir le contexte de
scurit dun ordinateur.

Les stratgies de scurit vont permettre de dfinir ces paramtres sur lordinateur local ou partir dActive
Directory. Lavantage de limplmentation dans Active Directory est la possibilit dappliquer ces
paramtres sur un nombre dfinit de machine via une GPO.

10.2.2. Description des modles de scurit

Vu la multitude de paramtres qui sont personnalisables dans une stratgie de scurit, il fournit
directement avec Windows 2003 un certain nombre de modles correspondant chacun un contexte de
scurit prcis.

Modle Fichier Description
Scurit par
dfaut
setup security.inf
dc security.inf
Configure la machine avec un niveau de scurit basique
Compatible compatws.inf
Offre un contexte de scurit trs proche de celui de Windows NT 4
ce qui permet dassurer une compatibilit accrue pour les
applications conues pour lancien systme.
Scuris
securews.inf
securedc.inf
Il amliore les variables de scurit pour les Stratgies de Compte et
dAudit. Enlve tous les membres du groupe Utilisateur avec
Pouvoir. Les ACL ne sont pas modifies. Il ne peut garantir le bon
fonctionnement de toutes les applications (et leurs fonctionnalits).
Hautement
scuris
hisecws.inf
hisecdc.inf
Modle le plus sr mis disposition des machines qui utilisent
Windows 2000 en mode natif seulement. Il demande ce que toutes
les connexions rseau soient signes et cryptes de manire digitale
(implmentation de IPSec). Il ne permet pas la communication avec
2003
42 / 76

des machines employant des modles plus anciens de clients
Windows. Il ne se soucie pas du bon fonctionnement des
applications.
Scurit
racine
systme
Rootsec.inf
Spcifie les autorisations pour la racine du disque systme.

10.2.3. Description des paramtres de modles de
stratgies

Stratgies de comptes Configurent des stratgies pour les mots de passe et les comptes.
Stratgies locales Configurent l'audit, les droits d'utilisateur et les options de scurit.
Journal des vnements
Configure les paramtres des journaux des applications, des journaux
systme et des journaux de scurit
Groupes restreints
Configurent l'adhsion aux groupes prdfinis comme Administrateurs ,
Utilisateurs avec pouvoir , Admins du domaine,
Services systme
Configurent les paramtres de scurit et de dmarrage des services
excuts sur un ordinateur
Registre Configure la scurit daccs (DACL) au niveau des cls du registre.
Systme de fichiers
Configure la scurit daccs (DACL) au niveau des chemins d'accs de
fichiers spcifiques
Stratgies de cl publique
Configurent les agents de rcupration de donnes cryptes, les racines de
domaines, les autorits de certification approuves, etc.

10.2.4. Outils de cration et dimportation des
modles de scurit personnaliss

Dans le cas ou les modles ne correspondent pas vos besoins, il est possible de personnaliser lun des
modles existants ou den crer un nouveau.

Pour cela il suffit dutiliser les deux composants logiciels enfichables :

- Modles de scurit : Permet de visualiser et de grer les modles existant sur le systme (par dfaut
dans le rpertoire %systemroot%\security\templates).

- Configuration et analyse de la scurit : Permet de tester et dappliquer la machine en cours les
modles de stratgies que lon a crs.

Une fois votre modle cr et test, vous pouvez limporter dans Active Directory pour le dployer via une
GPO. Pour cela, il vous suffit dans votre GPO de dvelopper le conteneur Configuration de lordinateur,
puis Paramtres Windows et enfin faire un clic droit sur Paramtres de scurit pour slectionner
Importer une stratgie.

10.3. Configuration de laudit

10.3.1. Prsentation de laudit

Laudit permet la cration dun journal recensant lensemble des actions effectues sur un objet ou un
lment de configuration par une population prcise.

Cela peut permettre par exemple de surveiller laccs certains fichiers ou la modification des paramtres
de configuration des comptes utilisateur par des administrateurs subalternes.

2003
43 / 76

10.3.2. Description dune stratgie daudit

Une stratgie daudit dtermine les types dactions que Windows 2003 va enregistrer dans le journal
scurit.

Pour implmenter une stratgie daudit, plusieurs mthodes sont mises votre disposition :
Utiliser un modle de stratgie de scurit au niveau de lordinateur ou au niveau dune GPO.
En effet, les stratgies de scurit contiennent des stratgies daudit pr configures.
Configurer la stratgie daudit directement dans le composant logiciel enfichable Stratgie de
scurit local de votre ordinateur.
Configurer la stratgie daudit dans une GPO pour lappliquer un ensemble dordinateurs.

La stratgie de scurit va vous permettre de vrifier la russite ou lchec des vnements suivants :

Connexions aux comptes
Un vnement est enregistr chaque authentification dun compte sur la
machine qui authentifie lutilisateur.
Gestion des comptes
Un vnement est cr chaque cration, modification ou suppression dun
compte ou dune proprit dun utilisateur ou dun groupe.
Accs au service
dannuaire
Un vnement est enregistr chaque accs un objet Active Directory.
Pour cela vous devez spcifier les objets dans les proprits dAD.
Ouverture de session
Un vnement est enregistr chaque ouverture de session rseau ou local
sur lordinateur qui accepte la connexion.
Accs aux objets
Un vnement est enregistr chaque accs un fichier, dossier NTFS ou
imprimante. Pour cela vous devez spcifier les objets dans les proprits
NTFS ou de limprimante.
Modification de stratgie
Un vnement est enregistr chaque modification des options de stratgies
de scurit.
Utilisation de privilges Un vnement est enregistr chaque utilisation dun droit.
Suivi des processus Un vnement est enregistr lorsquune application excute une action.
Systme
Un vnement est enregistr lorsquun utilisateur redmarre ou arrte
Windows Server 2003.

Lorsque vous mettez en place un audit sur des fichiers, dossiers, imprimantes ou objets Active
Directory, assurez vous davoir activer les audits correspondant au niveau de la stratgie de scurit de
la machine.

10.4. Gestion des journaux de scurit

Les journaux de scurit sont visibles dans lObservateur dvnements, ils permettent de visualiser
toutes les informations concernant votre systme.

Vous pouvez trouver les trois journaux principaux suivants sur tous les serveurs :

Application
Contient les vnements gnrs par des applications installes sur
lordinateur (ex : SQL Serveur, Exchange, ).
Scurit Contient les vnements gnrs par le systme daudit.
Systme
Contient les vnements gnrs par les services et les applications intgrs
Windows 2003.

Les deux journaux suivants ne sont prsents que sur les contrleurs de domaine :

Service dannuaire Contient les vnements gnrs par le service dannuaire Active Directory.
Service de rplication de
fichiers
Contient les vnements gnrs par le service de rplication de fichiers.

2003
44 / 76

Pour chaque journal, vous pouvez spcifier la taille de celui-ci et le type de remplacement des donnes dun
fichier journal :

Remplacer les vnements
si ncessaire
Chaque nouvel enregistrement remplace lenregistrement le plus ancien
dans le journal.
Remplacer les vnements
datant de plus de [x] jours
Les enregistrements sont conservs dans le journal pendant la dure
spcifie avant dtre crass. Par dfaut, cette dure est de sept jours.
Ne pas remplacer les
vnements
Les nouveaux enregistrements ne sont pas enregistrs et le journal doit tre
nettoy la main.

Vous avez la possibilit de sauvegarder le contenu de vos journaux dans les formats suivants :
Fichiers journaux dvnements (.evt) (par dfaut)
Fichiers dlimits par des virgules (.csv)
Fichiers texte (.txt)

Par dfaut seul ladministrateur ou les membres du groupe Administrateurs peuvent agir sur le contenu
des journaux.

2003
45 / 76

11. Prparation de l'administration d'un
serveur

11.1. Prparation de l'administration d'un
serveur

11.1.1. Utilisation des appartenances de groupe pour
administrer un serveur

Nous pouvons distinguer 5 groupes locaux de domaines intgrs sous Windows 2003, ces groupes vont
permettre de dfinir automatiquement des droits administratifs aux utilisateurs qui vont en devenirs
membres.

Administrateurs
Possde tous les droits ncssaires pour excuter lensemble des
taches administratives.
Oprateurs de sauvegarde
Possde tous les droits ncssaires pour effectuer des sauvegardes et
restauration sur le serveur.
Oprateurs de comptes
Possde tous les droits ncssaires pour crer, modifier, supprimer les
comptes utilisateurs ou les groupes, lexception des groupes
Administrateurs et Oprateurs de sauvegarde.
Oprateurs de serveur
Possde tous les droits ncssaires pour assurer la sauvegarde et la
restauration des fichiers.
Oprateurs dimpression
Possde les permissions requises pour grer et configurer les
imprimantes rseau.

11.1.2. Qu'est-ce que la commande Excuter en tant
que ?

Cette commande permet de lancer un programme
en utilisant un autre compte utilisateur que celui
utilis pour la session en cours. Par exemple, si
ladministrateur veut effectuer une tche
administrative sur un serveur Windows 2003, et
quune session Invit est dj ouverte sur ce
serveur, il na pas besoin de fermer la session en
cours pour le faire. Pour effectuer cette tche il
peut utiliser la commande Excuter en tant que
disponible en faisant un clic droit avec la touche
Shift appuye sur lexcutable que lon veut
lancer et de slectionner loption Excuter en tant
que

On peut galement utiliser la commande runas en
ligne de commande :
runas /user:nom_domaine\nom_utilisateur
nom_programme

Il est galement possible de crer des raccourcis
qui utilisent directement la commande runas.

2003
46 / 76

Il sera peut tre ncessaire dutiliser la touche MAJ+Click droit pour accder loption excuter en
tant que dans le menu contextuel.

11.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?

Il sagit dun ensemble doutil permettant ladministration dun ordinateur local ou distant.
Cette console MMC est disponible via le Panneau de configuration, dans les Outils dadministrations
ou en faisant un clic droit sur le Poste de travail et en choisissant loption Grer.
Voila ci-dessous un descriptif des outils disponible :

Catgorie Outil Description
Outils systme
Observateur
dvnements
Permet de visualiser le contenu des journaux Applications,
Scurits et Systmes. Ces journaux sont dune grande
aide pour identifier une rreur sur le sysme.
Dossiers partags Permet de visualiser lensemble des partages en cours sur
le serveur, les sessions ouverte (utilisateurs authentifi sur
la machine) ainsi que les fichiers ouverts sur le serveur.
Utilisateurs et groupes
locaux
Permet de crer et grer les utilisateurs et les groupes de la
base de compte local (base SAM).
Journaux et alertes de
performances
Permet danalyser et de collecter les donnes relatives aux
performances de l'ordinateur.
Gestionnaire de
priphriques
Permet de grer les priphriques et les pilotes installs sur
le serveur.
Stockage
Stockage amovible Permet de grer les supports de stockage amovibles.
Dfragmenteur de
disque
Permet de dfragmenter le contenu dun disque afin den
augmenter les performances daccs aux donnes.
Gestion des disques Permet de grer les disques durs en crant des partitions
ou volume, leurs affectant des lettres dans le poste de
travail et en les formatant si necessaires.
Services et applications
Services Permet de dfinir les options de dmarrage des services du
serveur.
Contrles WMI Permet de configurer et grer le service de gestion
Windows.
Service dindexation Permet de grer, crer et configurer l'indexation des
catalogues supplmentaires pour stocker les informations
d'index.

Pour administrer un serveur distance, il suffit de lancer la console Gestion de lordinateur sur un
ordinateur quelconque, faire un click droit sur Gestion de lordinateur (local), et de cliquer sur Se
connecter . Ensuite il suffit dentrer le nom ou ladresse IP de lordinateur que lon veut administrer
distance.

11.1.4. Rle de la console MMC dans le cadre d'une
administration distance

Vous pouvez utiliser Microsoft Management Console (MMC) pour crer, enregistrer et ouvrir des outils
d'administration (appels consoles MMC) qui grent les composants matriels, logiciels et rseau de votre
systme Windows.

MMC n'excute pas de fonctions administratives alors que les outils htes les excutent. Les outils que
vous pouvez ajouter une console sont principalement des composants logiciels enfichables. Vous pouvez
2003
47 / 76

galement ajouter des contrles ActiveX, des liens vers des pages Web, des dossiers, des affichages de
listes des tches et des tches.

Il existe deux faons gnrales d'utiliser MMC : en mode utilisateur, en utilisant des consoles MMC
existantes pour administrer un systme, ou en mode auteur, en crant des consoles ou en modifiant des
consoles MMC existantes.

11.1.5. Comment crer une MMC pour grer un
serveur ?

Il suffit pour cela douvrir une nouvelle console MMC (Dmarrer \ Executer puis taper mmc).

Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur
Ajouter.

Dans la liste des composants logiciels enfichables, cliquez sur un composant logiciel enfichable, puis sur
Ajouter.

l'invite, slectionnez l'ordinateur local ou distant que vous souhaitez grer l'aide de ce composant
logiciel enfichable, puis cliquez sur Terminer.

Cliquez sur Fermer, puis sur OK.

11.2. Configuration de la fonction Bureau
distance pour administrer un serveur

11.2.1. Qu'est-ce que l'outil Bureau distance pour
administration ?

Le bureau distance permet lutilisateur de se connecter distance un ordinateur et de contrler ce
dernier distance. Lutilisateur se retrouve donc dans lenvironnement de la machine laquelle il se
connecte (fond dcran, apparences, fichiers locaux, etc...).

L'outil Bureau distance pour administration fournit un accs au serveur partir d'un ordinateur situ sur
un autre site, l'aide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet l'interface
utilisateur la session cliente. De mme, il transmet les manipulations sur le clavier et la souris du client
vers le serveur.

Vous pouvez crer jusqu' deux connexions distantes simultanes. Chaque session que vous ouvrez est
indpendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez l'outil
Bureau distance pour administrer un serveur distant, la connexion est tablie comme s'il s'agissait de
l'ouverture d'une session sur le serveur local.

Les paramtres relatifs lutilisation du bureau distance sont configurables via les proprits du Poste de
travail, dans longlet Utilisations distance.

La connexion distance peut seffectuer grce loutil mstsc.exe prsent dans
%SystemRoot%\System32\.

Le compte utilis pour ouvrir une session en utilisant le bureau distance doit obligatoirement avoir un
mot de passe, et tre galement membre du groupe Utilisateurs du Bureau distance.
2003
48 / 76

Vous devez galement vous assurer que loption bureau distance est active, ce qui nest pas le cas
par dfaut sous Windows 2003.

11.2.2. Que sont les prfrences des ordinateurs
clients dans le cadre d'une connexion Bureau
distance ?

Il est possible de crer des profils de connexions Bureau distance qui lanceront chaque connexion avec
des paramtres bien prcis. Par exemple, Il est possible de crer et sauvegarder une connexion Bureau
distance qui lancera automatiquement une application louverture de sessions, et changera la rsolution.
Pour dfinir ce genre de comportement louverture dune session bureau distance, il faut cliquer sur le
bouton Option >>

11.2.3. Bureaux distance

Il existe galement un composant logiciel enfichable MMC qui permet de grer plusieurs sessions Bureau
distance simultanment. Il sagit du composant Bureau distance.

2003
49 / 76


11.3. Gestion des connexions au Bureau
distance

11.3.1. Que sont les paramtres de dlai des
connexions de Bureau distance ?

Il faut savoir que chaque session Bureau distance ouverte sur un Serveur Windows 2003 consomme des
ressources. Afin de limiter cette consommation, ladministrateur la possibilit de dfinir des dlais au
bout desquelles les sessions seront automatiquement fermes.

Il est possible de dfinir un dlai suivant 3 cas de figures :
Fin de session dconnect : Dlai au bout duquel une session dconnecte sera ferme.
Limite de session active : Dure maximale dune session.
Limite de session inactive : Dure maximale dune session inactive, c'est--dire que lutilisateur
nutilise ni la souris, ni le clavier ou tout autre priphrique dentre.

Ces paramtres peuvent tre dfinit via les outils dadministration dans la console Configuration des
services terminal serveur.

Une session dconnecte est une session Bureau distance qui na pas t ferme. Cela signifie
que lutilisateur a lanc la session, puis a ferm la fentre Bureau distance directement. Dans ce
cas de figure les processus lancs dans cette session tournent toujours jusqu' fermeture de la
session.
Lutilisateur pourra rcuprer cette session si il se reconnecte.

2003
50 / 76

11.3.2. Qu'est-ce que le Gestionnaire des services
Terminal Server ?

Ce gestionnaire permet de surveiller les sessions en cours via un listing complet des processus sexcutant
sur chaque session. Ladministrateur aura ainsi la possibilit de terminer un processus tournant sur une
session inactive consommant trop de ressources par exemple.
Il aura galement la possibilit de fermer la session dun utilisateur.

2003
51 / 76

12. Prparation de l'analyse des
performances du serveur

12.1. Prsentation de l'analyse des
performances du serveur

12.1.1. Pourquoi analyser les performances ?

L'analyse des performances est indispensable la maintenance du serveur. Effectue de faon quotidienne,
hebdomadaire ou mensuelle, elle permet de dfinir les performances de base du serveur. Grce cette
analyse, vous obtenez des donnes sur les performances qui facilitent le diagnostic des problmes du
serveur.

Les donnes sur les performances permettent :
De comprendre les caractristiques de la charge de travail et les effets correspondants sur les
ressources du systme.
D'observer les modifications et les tendances de ces caractristiques et de l'utilisation des
ressources afin de planifier les mises niveau ultrieures.
De tester les changements de configuration ou tout autre effort de rglage des performances en
analysant les rsultats.
De diagnostiquer les problmes et d'identifier les composants ou les processus pour optimiser les
performances.

12.2. Analyse en temps rel et programme

12.2.1. Qu'est-ce que l'analyse en temps rel et
programme ?

Lanalyseur de performance permet deffectuer deux types danalyse :

En temps rel
Les compteurs sont affichs en temps rel.
On peut utiliser ce type danalyse pour un problme de performance ponctuel, non
priodique.
Programm
Ce type danalyse se dclenche une date et heure prcise (en cas de rplication entre 1h
et 2h du matin par exemple), puis sauvegarde lactivit des compteurs dans un journal
qui pourra tre consult ultrieurement.

12.2.2. Qu'est-ce que le Gestionnaire des tches ?

Le Gestionnaire des tches, accessible en pressant en mme temps les touches CTRL+ALT+SUPPR, puis
en cliquant sur Gestionnaire des tches ou en pressant CTRL+SHIFT+ECHAP, permet dobtenir la liste
des processus en cours dexcution ainsi que les ressources systmes sollicites pour chacun de ces
processus.

Cela permet de dtecter des anomalies comme par exemple un petit processus prenant la quasi-totalit de la
mmoire systme et ralentissant ainsi ce dernier de faons importantes.

2003
52 / 76

Il est possible via longlet
processus de stopper ou de
dfinir la priorit de certains
processus.

Longlet Performance renseigne
lutilisateur sur lintensit
dutilisation du microprocesseur
et du fichier dchange via un
graphique.

Enfin longlet Mise en rseau
renseigne lutilisateur sur
lintensit du trafic rseau sur
chacune des connexion via un
graphique.

12.2.3. Qu'est-ce que la console Performances ?

La console performances est loutil permettant deffectuer des analyses de performances en temps rel ou
programm.

Pour slectionner les donnes rcuprer, indiquez les objets, les compteurs et les instances d'objets de
performances.
Un objet de performance est un ensemble logique de compteurs associs une ressource ou un
service pouvant tre analyss (ex : le processeur).
Un compteur de performance est un lment de donnes associ un objet de performance. Pour
chaque compteur slectionn, le Moniteur systme affiche une valeur qui correspond un aspect
spcifique des performances dfinit pour l'objet de performance (ex : % dutilisation du
processeur).
Les instances d'objets de performance sont des ensembles d'un mme type d'objet. Par exemple, si
un systme comporte plusieurs processeurs, le type d'objet Processeur dispose de plusieurs
instances (ex : chaque processeur correspond une instance).

12.2.4. Pourquoi analyser les serveurs distance ?

Ceci permet de ne pas fausser les rsultats des performances. En effet, lanalyseur de performance
consomme galement des ressources. Il convient donc de lancer cette console MMC sur un autre serveur et
de crer des compteurs pointant sur le serveur quon veut analyser.
2003
53 / 76


12.3. Configuration et gestion des journaux de
compteur

12.3.1. Qu'est-ce qu'un journal de compteur ?

Les journaux de compteur permettent deffectuer des analyses programmes. Dans le processus de cration
dun journal de compteurs, les informations suivantes sont requises :
Nom du journal
Type de fichier, format binaire, SQL, texte, etc
Compteurs utiliss pendant lanalyse
Type de lancement : planifi ou manuel.

Il est galement possible de crer un journal en utilisant la commande logman.

12.3.2. Comment planifier un journal de compteur ?

Il est possible de lancer un journal de compteur manuellement ou via une planification.
La planification se dfinit dans les proprits du journal, ou pendant le processus de cration du journal.

12.4. Configuration des alertes

12.4.1. Qu'est-ce qu'une alerte ?

Une alerte est une fonction qui dtecte quel moment la valeur dun compteur atteint une valeur appele
seuil dalerte.

Si le seuil dalerte est atteint, ladministrateur peut planifier une action effectuer.

Par exemple, il pourrait tre intressant de dfinir une alerte sur un serveur de fichier si lespace disque
libre (objet : disque logique, compteur : espace libre) devient infrieur 10% de lespace total, et de
planifier le lancement dun programme qui se chargera de supprimer les fichiers temporaires se trouvant sur
ce serveur de fichier.

2003
54 / 76

12.4.2. Comment crer une alerte ?

Suivez la procdure ci-aprs pour crer une alerte. :

Pour crer une alerte :
Pour ouvrir la console Performances, cliquez sur Dmarrer, Outils d'administration, puis sur
Performances.
Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes.
Toutes les alertes existantes apparaissent dans le volet des informations.
L'icne verte indique que l'alerte est en cours et l'icne rouge signale l'arrt de l'alerte.
Cliquez avec le bouton droit sur une zone vierge du volet des informations, puis cliquez sur
Nouveaux paramtres d'alerte.
Dans la zone de texte Nom, tapez le nom de l'alerte, puis cliquez sur OK.
Sous l'onglet Gnral, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des
compteurs, des seuils d'alerte et des intervalles d'chantillonnage.
L'onglet Action permet de dfinir les actions raliser lorsque des donnes de compteur gnrent
une alerte.

12.5. Conseil doptimisation dun serveur

Voila ci-dessous un tableau refltant les valeurs des compteurs dun serveur Windows 2003 performant :

Objet Compteur Place moyenne acceptable Valeur dsire
Mmoire
Page/s 0 20 Basse
Octets disponibles Au moins 5% de la mmoire
totale
Haute
Octets valids Moins que la mmoire RAM
physique
Basse
Octets de rserve non
pagins
Reste constante, naugmente pas. Sans objet
Dfauts de page/s Infrieure 5 Basse
Processeur
% Temps processeur Infrieure 85 % Basse
Systme : Longueur de la
file du processeur
Infrieure 10 Basse
Files de travail du Infrieure 4 Basse
2003
55 / 76

serveur :
Longueur de la file
Interruptions/s Dpend du processeur Basse
Disque dur
% Temps du disque Infrieure 50 % Basse
Taille de file d'attente du
disque actuelle
0 2 Basse
Disque, octets/transfert
moy.
Ligne de base ou suprieure

Haute
Octets disque/s Ligne de base ou suprieure Haute
Interface Rseau
Utilisation du rseau
(dans Gestionnaire des
tches)
Inf. 30 %, en gnral Basse
Interface rseau :
Octets envoys/s
Ligne de base ou suprieure

Haute
Interface rseau : Total
des octets/s
Ligne de base ou suprieure Haute
Serveur : Octets reus/s Moins de 50 % de la capacit de
la bande passante de la carte
rseau
Sans objet

2003
56 / 76

13. Maintenance des pilotes de
priphriques

13.1. Configuration des options de signature
des pilotes de priphriques

13.1.1. Qu'est-ce qu'un priphrique ?

Un priphrique est un quipement matriel qui se branche sur un ordinateur. Il peut sagir dune carte
vido, une webcam, une souris, un disque dur, etc

Nous pouvons distinguer deux types de priphrique :
Plug-and-Play : Le priphrique est automatiquement reconnu par la famille Windows 2003.
Non Plug-and-Play : Lutilisation dun pilote est indispensable pour pouvoir utiliser le
priphrique sur la famille Windows 2003.

13.1.2. Qu'est-ce qu'un pilote de priphrique ?

Un pilote de priphrique est un logiciel fournis par le constructeur du priphrique permettant un OS de
dtecter, configurer, et utiliser le priphrique correspondant ce pilote. Cest un peu comme un manuel
dinstruction numrique (donc non exploitable par lutilisateur) pour OS.

Les priphriques figurant dans la HCL ont leurs pilotes directement intgrs Windows.

13.1.3. Qu'est-ce qu'un pilote de priphrique sign ?

Un pilote de priphrique sign est un pilote qui a t test et approuv par Microsoft dans le WHQL
(Windows Hardware Quality Lab).

Lutilisation dun pilote sign garanti donc les performances et la stabilit du systme. Leurs utilisation est
donc fortement recommande sur les serveurs jouant un rle important dans votre infrastructure rseau.

Vous pouvez dfinir le comportement quadoptera Windows 2003 en cas dinstallation de pilote non sign :

Les pilotes de priphriques non signs numriquement ne sont pas pris en compte
2003
57 / 76

Un message d'avertissement s'affiche lorsqu'un pilote de priphrique non sign est dtect
Les utilisateurs ne sont pas autoriss installer des pilotes de priphriques non signs

Ces paramtres sont dfinissables via les proprits systmes, dans longlet matriel, puis cliquez sur
Signature du pilote.

Le vrificateur des fichiers systme, sfc, est un outil de ligne de commande qui analyse et vrifie
les versions de tous les fichiers systme protgs chaque redmarrage de votre ordinateur. Il
remplace les fichiers effacs par des fichiers systmes valides et fournis par Microsoft. Cela fait
partie de la fonctionnalit de protection des fichiers Windows de Windows Server 2003.

13.1.4. Qu'est-ce que la console Gestion des
stratgies de groupe ?

La console de gestion des stratgies de groupes est un composant dadministration librement tlchargeable
sur le site de Microsoft permettant de mieux grer les stratgies de groupes.

13.2. Utilisation de la version prcdente d'un
pilote de priphrique

A chaque mise jour dun pilote de priphrique, Windows 2003 sauvegarde les fichiers du pilote en cours
dutilisation. En cas de mise jour infructueuse (dysfonctionnement du priphrique), loption Retour la
version prcdente permet dutiliser la sauvegarde du prcdant pilote qui fonctionnait correctement.

2003
58 / 76

14. Gestion des disques

14.1. Prparation des disques

14.1.1. Qu'est-ce que l'outil Gestion des disques ?

Cet outil permet de grer les disques connects lordinateur. Il permet aux utilisateurs ayant les
permissions adquates de crer, modifier, supprimer des partitions ou volumes sur les disques connects.

Il est galement possible via le composant MMC de transformer des disques de base en disques
dynamiques.

14.1.2. Qu'est-ce que l'outil DiskPart ?

Diskpart est un outil ayant exactement les mmes fonctions que le gestionnaire de disque. La seule
diffrence vient du fait quil sutilise sous linvite de commande, ou dans la console de rcupration si cette
dernire a t installe.

14.1.3. Qu'est-ce qu'une partition ?

Avant de pouvoir crire des informations sur un disque, lutilisateur devra au pralable crer une ou
plusieurs partition(s). Il sagit dun espace rserv sur un disque dur, cet espace devra par la suite tre
format dans un systme de fichiers reconnus par Windows 2003 (FAT, FAT32, NTFS) avant de pouvoir y
stocker la moindre information. Il ne peut y avoir que 4 partitions par disque, une partition va permettre
dhberger un systme dexploitation qui sera directement dmarrable par le bios de lordinateur.

Nous pouvons distinguer 2 types de partition :
Partition principale : Rserve un espace disque dfinit par lutilisateur directement exploitable.
2003
59 / 76

Partition tendu : La partition tendue ne peut pas, la diffrence de la partition principale, tre
formate avec un systme de fichiers. Ce sont les lecteurs logiques que vous crez dans cette
partition qui sont formats selon un systme de fichiers donn.

Les lecteurs logiques sont similaires aux partitions principales, l'exception prs que vous pouvez crer
jusqu' 24 lecteurs logiques par disque. Vous pouvez formater un lecteur logique et lui affecter une lettre de
lecteur.

Une fois la partition principale ou le lcteur logique cr, ils sont accessibles via une lettre de lalphabet,
C : par exemple pour la partition hbergeant le plus souvent le systme.

14.1.4. Comment convertir les systmes de fichiers ?

Le systme de fichier NTFS est apparu sous Windows NT. Ce systme de fichier permet contrairement au
FAT, ou FAT32 de bnficier des avantages suivants :

Scurit daccs : Possibilit de dfinir grces aux ACL (Access Control List) la liste des
utilisateurs autoriss accder, une ressource stocke sur la partition formate en NTFS.
EFS : Possibilit de cryptage.
Quota : Restriction despace utilisable pour un utilisateur donn.
Compression des donnes la vole.

Son principal inconvenniant est quil nest pas support sous les systmes de la famille Windows 9x.

Pour convertir sous Windows 2003 une partition formate FAT en NTFS, ladministrateur peut utiliser la
commande convert (convert [lecteur :]: /fs:ntfs).
14.2. Gestion des proprits d'un disque

14.2.1. Comment effectuer une nouvelle analyse des
proprits dun disque ?

Il peut arriver que Windows ne dtecte pas un disque qui vient dtre connect lordinateur, dans ce cas, il
est ncessaire dutiliser la commande Analyser les disques de nouveau.
Windows effectuera ainsi une nouvelle analyse des disques connects, et mettra jour les proprits de ce
dernier.

14.3. Gestion des lecteurs monts

14.3.1. Qu'est-ce qu'un lecteur mont ?

Un lecteur mont est une partition formate laquelle on accde via un dossier plutt quune lettre daccs.
Ce dossier servant de point daccs la partition doit obligatoirement se trouver sur une partition NTFS et
tre vide au moment du montage du lecteur.

14.3.2. Quel est l'intrt du lecteur mont ?

Les lecteurs monts NTFS se rvlent pratiques pour ajouter des volumes un ordinateur alors que toutes
les lettres de lecteur ont dj t affectes. Vous pouvez galement ajouter de l'espace un volume en y
montant d'autres disques en tant que dossiers au lieu d'avoir recrer le volume sur un disque de plus
grande capacit.

2003
60 / 76

14.3.3. Comment grer un lecteur mont ?

Pour crer un lecteur monter on peut passer par le gestionnaire de disque en faisant un click droit sur la
partition ou le volume que lon dsire monter, puis en slectionnant loption : Modifier la lettre de lecteur
et les chemins .

On peut galement utiliser diskpart avec loption assign.
14.4. Type de disques

14.4.1. Utilisation des disques de base

Lappellation disque de base reprsente le mode gestion par dfaut des disques. Il permet la cration de
deux types de partition : Principale et Etendue.

Les partitions principales (qui peuvent tre au nombre maximal de 4 sur un mme disque) sont celles qui
sont amorables. Les OS doivent imprativement se trouver sur ce type de partition, faute de quoi ils ne
pourront dmarrer.

Une partition tendue constitue un espace non allou du disque. Afin de pouvoir exploiter cet espace, il faut
au pralable y crer un ou plusieurs lecteur(s) logique(s). Cette partition permet doutrepasser la limite des
4 conteneurs que lon peut crer.

14.4.2. Utilisation des disques dynamiques

Les disques dynamiques offrent de nombreux avantages par rapport aux disques de base. Il va tre par
exemple possible dtendre un volume sur plusieurs disques condition quils soient dynamiques afin de
crer un volume runissant lespace disponible de ces disques.

Tout ceci est de plus ralis de faon entirement logiciel il ny a donc pas ajouter de carte particulire.

Il est galement possible de redimensionner les tailles des volumes crs lorigine sur un disque
dynamique et cela la vole sans avoir redmarrer lordinateur, ni mme avoir dconnecter les clients
travaillant sur le volume.

Mais les disques dynamiques prsentent toutefois des contraintes. Il nest pas possible de raliser un double
amorage sur des disques dynamiques, et ce, mme si les deux systmes dexploitation reconnaissent ce
type de disque.

De plus, les disques amovibles, connects en USB ou par interface IEEE ne peuvent tre transforms en
disques dynamiques. Cest galement le cas des disques dordinateurs portables.

Il faut galement noter quun espace minimum de 1Mo pour la base de donnes des disques dynamiques est
requis. Cet espace est automatiquement rserv lorsque lon utilise les outils de Windows 2003 pour
partitionner un disque.
2003
61 / 76


Enfin, il faut savoir que les disques dynamiques ne sont pas reconnus par les versions antrieures
Windows 2000, ni par les systmes Linux ou UNIX.

La conversion dun disque de base en disque dynamique est extrmement simple : cela se fait via la console
Gestion des disques, ou via lutilitaire diskpart.exe. Il sagit de slectionner le disque convertir, de faire
un clic droit dessus, et de choisir loption Convertir en disque dynamique. Lopration inverse requiert
que tous les volumes prsents sur le disque dynamique soient supprims avant de procder la conversion.

Il est possible de crer 5 types de volumes avec des disques dynamiques sous Windows 2003 Server :
volume simple
volume agrg par bande
volume fractionn
volume en miroir
volume RA!D5

14.4.2.1. Volume simple

Un volume simple est lquivalent dune partition principale ou dun volume logique sur un disque
dynamique. Lunique diffrence est quil nest pas soumis aux mmes limites que ces derniers notamment
par le fait que lon peut en crer autant que lon souhaite.

Il est possible dtendre un volume simple en volume fractionn. Cependant, vous ne pouvez tendre que
les volumes natifs, c'est--dire, tous les volumes non issus dune mise niveau de disque de base vers
disque dynamique.

14.4.2.2. Volume agrg par bande

Avec des volumes agrgs par bandes, le volume est cr sur plusieurs disques dynamiques en utilisant un
espace de taille gal sur lensemble de ces disques.

Exemple : Si lon possde 2 disques de 20Go et 1 disques de 30 Go, la taille de notre volume compos des
trois disques sera au final de 60Go au lieu de 70Go). Les 10Go restant pouront tre utiliss pour un autre
volume.

Les donnes sont rparties de manire quitable sur chacun des volumes, ce qui a pour avantage
damliorer les performances de lecture et dcriture.

Cependant, tant donn que les donnes sont rparties sur tous les disques, si lun deux est dfaillant,
lintgralit des donnes est perdue.

De plus, si lon souhaite ajouter un disque un volume agrg xistant, il est ncessaire de sauvegarder le
contenu du volume, puis de supprimer le volume, de le recrer avec le disque supplmentaire et de restaurer
la sauvegarde sur le volume. Ce qui signifie que lon ne peut pas directement ajouter un disque dur un
volume agrg existant.

14.4.2.3. Volume fractionn

Le systme de volume fractionn, sollicite lui aussi plusieurs disques dynamiques, cependant la mthode de
remplissage est diffrente. En effet, les donnes sont dans un premier temps crites sur le premier disque,
puis une fois ce dernier rempli, les donnes vont continuer tre stockes sur le suivant et ainsi de suite.
Comme le systme de volume agrg par bandes, si lun des disques connais une dfaillance, lintgralit
des donnes est perdue.

Lavantage de ce type de volume est de pouvoir tre tendu tant que de lespace est disponible sur lun des
disques de la machine.

2003
62 / 76

14.4.2.4. Disques trangs

Quand vous dplacez un disque dynamique vers un nouvel ordinateur, ce dernier le traite comme un disque
tranger. En effet, la base de donnes du disque dplac ne correspond pas encore la base de donnes des
disques dynamiques de lordinateur.

Afin de la faire correspondre, il est ncessaire de slectionner loption Importer des disques trangers.
Cette option met jour la base de donnes du disque dplac avec la base de donnes des disques existant
et permet de vrifier si lensemble des disques composant un volume ont bien t dplacs.

14.4.2.5. Ractivation dun disque

Si un disque est dconnect cause d'un endommagement, d'une coupure de courant ou d'une dconnexion,
le disque n'est pas accessible. Le cas chant, vous devez rparer les partitions ou les volumes. Pour ce
faire, ouvrez l'outil Gestion des disques, cliquez avec le bouton droit sur la partition ou le volume affichant
l'tat Manquant ou Dconnect, puis cliquez sur Ractiver le volume. Une fois le disque ractiv, il doit
afficher l'tat Connect.

Il faut toujours essayer de ractiver le disque si celui-ci est marqu comme manquant, ou dconnect

14.5. Cration de volumes

La cration dun volume simple, comme tout autre type de volume se fait toujours de la mme faon. Il
suffit de faire un click droit sur un Espace non allou dans le gestionnaire de disque, de cliquer sur
Nouveau nom, et de suivre les instructions de lassistant de cration de volume.

Dans le cas de la cration dautre type de volume, un assistant va vous permettre de faciliter vos choix dans
le cadre de la cration de volume fractionn et de volume agrg en ralisant tous les calculs pour vous.
2003
63 / 76

15. Gestion du stockage des donnes

15.1. Gestion de la compression des fichiers

15.1.1. Qu'est-ce que la compression des fichiers ?

La compression des donnes est une option qui permet de compresser les donnes de faon transparente
pour lutilisateur. Cela va utiliser un algorythme (comme on le fait pour des fichiers zip, rar ou ace) qui va
permettre dutiliser moins despace sur un volume au format NTFS.

Lutilisation de la compression des donnes affecte tout de mme les performances lors de laccs ces
donnes. Il vaut donc mieux envisager cette option que si aucune autre alternative nest possible.

Il faut galement noter que les dossiers et les fichiers se compressent indpendamment. Cela signifie quun
dossier peut tre compress sans que les fichiers quil contient le soient pour autant, et vice versa (lattribut
de compression au niveau des dossiers permettant uniquement de spcifier lattribut dont vont hriter les
fichiers qui vont y tre copis).
Pour que la compression des dossiers affecte galement les fichiers quil contient, le dossier doit tre
compress avant dy placer les fichiers.

Enfin, notez quen cas de copie dun fichier compress, ce dernier est dans un premier temps dcompress,
puis copi dans le dossier de destination, et enfin compress nouveau. Il faut donc sassurer que le
volume de destination possde suffisamment despace libre pour accueillir le fichier dcompress.

Ci-dessous, le tableau rcapitulant le traitement de ltat de compression dun fichier ou dun dossier :

Mme lecteur
Lecteur dorigine et de destination
diffrents
Copie Les fichiers et dossiers hritent de leur
tat de compression
Les fichiers et dossiers hritent de leur
tat de compression
Dplacement Les fichiers et dossiers conservent leur
tat de compression
Les fichiers et dossiers hritent de leur
tat de compression

Il nest pas possible de compresser un fichier ou un dossier crypt.

15.1.2. Qu'est-ce que la commande compact ?

La commande compact affiche et modifie la compression des fichiers ou des rpertoires dans les partitions
NTFS. Utilise sans paramtre, la commande compact affiche l'tat de la compression du rpertoire en
cours.

Syntaxe
compact [{/c|/u}] [/s[:rp]] [/a] [/i] [/f] [/q] [NomFichier[...]]

Paramtres Description
/c Compresse le rpertoire ou le fichier indiqu.
/u Dcompresse le rpertoire ou le fichier indiqu.
/s:rp
Indique que l'action demande (compression ou dcompression) doit s'appliquer tous
les sous rpertoires du rpertoire indiqu ou du rpertoire en cours si aucun rpertoire
n'est spcifi.
/a Affiche les fichiers cachs ou les fichiers systme.
/i Ne tient pas compte des erreurs.
2003
64 / 76

/f
Force la compression ou la dcompression du rpertoire ou du fichier indiqu. Ce
paramtre est utilis lorsque la compression d'un fichier est interrompue par une panne
du systme. Pour forcer la compression du fichier dans sa totalit, utilisez les paramtres
/c et /f et spcifiez le fichier compress partiellement.
/q Signale uniquement les informations les plus importantes.
NomFichier
Indique le nom du fichier ou du rpertoire. Vous pouvez utiliser plusieurs noms de
fichier ainsi que des caractres gnriques (* et ?).
/? Affiche de l'aide l'invite de commandes.

15.2. Configuration du cryptage des fichiers

15.2.1. Qu'est-ce que le cryptage EFS ?

Le cryptage des fichiers est une opration trs utile dans le cadre dune organisation devant tre scurise.
En effet, la gestion des autorisations ne permet pas une scurit maximum ; si un utilisateur malveillant
russi rcuprer le mdia sur lequel se trouvent les donnes auxquelles il na normalement pas accs sur
le rseau, il peut cependant brancher ce disque dur sur un autre OS o il est administrateur et ensuite avoir
accs lintgralit des informations.

Le cryptage des donnes vite que ce genre de situation puisse se produire.

Quand un utilisateur crypte un fichier ou un dossier, le systme stocke le fichier en question sous une forme
crypte en utilisant la cl publique de cet utilisateur, et le dcrypte quand lutilisateur veut y accder
nouveau en utilisant sa cl prive. Seule la cl priv de lutilisateur ayant crypt le fichier peut dcrypter le
fichier. Ceci se fait de faon totalement transparente pour lutilisateur, alors que lutilisateur non autoris se
verra laccs refus.

Il faut cependant noter que les donnes ne sont pas cryptes quand elles circulent sur le rseau. Il faut donc
penser activer IPSec et WebDAV pour permettre un cryptage des donnes lors de leurs transports sur le
rseau.

Un agent de rcupration doit tre configur afin de pouvoir rcuprer les fichiers crypts dans le cas, par
exemple, du dpart d'un employ ou de la perte de sa cl de dcryptage. Cet agent de rcupration doit tre
dfinit avant le cryptage des fichiers

Par dfaut le compte administrateur est utilis comme Agent de rcupration

2003
65 / 76

15.2.2. Comment crypter un fichier ou un dossier ?

Pour crypter un dossier : dans la boite de dialogue Proprits pour le dossier, cliquer sur longlet Gnral,
ensuite, cliquer sur le bouton Avanc et slectionner la case cocher Crypter le contenu pour scuriser les
donnes . Le dossier nest pas crypt, mais les fichiers qui y seront placs seront crypts. Dcocher la case
si vous souhaitez que les fichiers ne soient plus crypts.

15.2.3. Quels sont les effets produits par le
dplacement ou la copie de fichiers ou de
dossiers crypts ?

Ci-dessous, le tableau rcapitulant le traitement de ltat de cryptage dun fichier ou dun dossier :

Action\Destination Destination : Dossier crypt Destination : Dossier non crypt
Copie Les fichiers et dossiers deviennent
crypts
Les fichiers et dossiers conservent leur
tat de cryptage
Dplacement Les fichiers et dossiers deviennent
crypts
Les fichiers et dossiers conservent leur
tat de cryptage

Si vous copiez le fichier crypt d'un volume NTFS dans un volume FAT ou FAT32, le fichier devient
non crypt. Si vous copiez le fichier d'un volume FAT dans un dossier crypt sur un volume NTFS, le
fichier est crypt.

15.3. Implmentation des quotas de disque

15.3.1. Quest-ce qu'un paramtre de quota de
disque ?

Un quota est une limite despace disque virtuel pour un utilisateur. En activant un Quota, ladministrateur
va pouvoir dfinir lespace maximum que pourront exploiter les utilisateurs locaux, ou du domaine sur le
disque sur lequel il a activ le quota et ceci mme si le disque dtient encore de lespace libre.

15.3.2. Comment activer et dsactiver des quotas de
disque ?

Il suffit daller dans les proprits du disque sur lequel on dsire activer le quota, cliquer sur longlet
Quota, puis cocher la case Activer la gestion de quota.

2003
66 / 76


15.3.3. Comment ajouter et supprimer des entres de
quota de disque ?

En activant la gestion de quota, les limites despace exploitable seront par dfaut appliques pour tous les
utilisateurs (sauf ladministrateur). Cependant, il peut arriver que pour une raison particulire,
ladministrateur veuille autoriser un utilisateur particulier utiliser une plus grande ou plus petite portion
despace disque que les autres utilisateurs. Dans ce cas, il faudra crer une entre de quota.
Une entre de quota permet de dfinir un quota pour un utilisateur. Cependant il nest pas possible de crer
une entre de quota pour un groupe dutilisateur.

Il faut galement savoir quune entre de quota est prioritaire sur le quota par dfaut.

En cas de stockage de fichiers compresss sur un disque sur lequel est activ la gestion de quota, cest
la taille du fichier sans compression qui est comptabilis.
La gestion de quota est une option accessible que sur les partitions ou volumes formats en NTFS.

Ce screenshot montre 2 entrs de quota :

Une entre illimite pour ladministrateur cre automatiquement en cas dactivation de la gestion
de quota
Une entre dfinie manuellement qui limit 100 Mo lespace disque exploitable pour lutilisateur
invit.

Il est galement possible dimporter et dexporter des entres de quota vers dautre volume afin dallger
les tches administratives.
2003
67 / 76

16. Gestion de la rcupration en cas
d'urgence

16.1. Sauvegarde des donnes

16.1.1. Vue d'ensemble de la sauvegarde des donnes

La sauvegarde est un processus simple qui consiste dupliquer des informations dun emplacement un
autre. Ceci permet de faire face aux situations durgences o les donnes ont t perdues. On peut alors
utiliser une sauvegarde afin de restituer un environnement de travail pour reprendre la production de
lentreprise.

Reste savoir quelles sont les informations sauvegarder, sur quelle frquence se feront les sauvegardes, et
quel type de sauvegarde seront effectu.

16.1.2. Qui peut sauvegarder les donnes ?

Par dfaut, seuls les membres des groupes suivant peuvent effectuer une sauvegarde :
Administrateur
Oprateurs de sauvegardes
Oprateurs de serveurs

Sinon lutilisateur doit soit tre propritaire du fichier quil souhaite sauvegarder, ou soit au moins avoir
lautorisation NTFS lecture sur le fichier en question.

16.1.3. Qu'est-ce que les donnes sur l'tat du
systme ?

Dans le processus de sauvegarde, lutilisateur a la possibilit (si il possde les autorisations requises)
deffectuer une sauvegarde de ltat du systeme. Il sagit dune sauvegarde de toutes les informations
requises par le systme dexploitation pour son bon fonctionnement. Voila la liste des composants de ltat
du systeme :

Registre
Fichiers de dmarrage, inscriptions de classe Com+, y compris les fichiers systme
Base de donnes Services de certificats
Service d'annuaire Active Directory
Rpertoire SYSVOL
Information de service de cluster
Mtarpertoire IIS
Fichiers systme sous protection de fichiers Windows

16.1.4. Types de sauvegardes

Lutilisateur a la possibilit deffectuer plusieurs types de sauvegardes en fonctions de la stratgie adopte.

Type de sauvegarde Description
Dsactivation
de l'attribut
archive
Normal / Complte Sauvegarde les fichiers et dossiers slectionns. Oui
2003
68 / 76

Copie Sauvegarde les fichiers et dossiers slectionns Non
Incrmentiel
Sauvegarde les fichiers et dossiers slectionns qui ont t
modifis depuis la sauvegarde normale ou incrmentielle
Oui
Diffrentiel
modifis depuis la dernire sauvegarde
Non
Journalire
modifis au cours de la journe
Non

Le logiciel de sauvegarde considre quun fichier a t sauvegard si son attribut prt tre archiv est
dsactiv.

16.1.5. Qu'est-ce que ntbackup ?

Lutilitaire de sauvegarde est aussi disponible en ligne de commande avec la syntaxe suivante :

ntbackup backup [systemstate] "nom de fichier bks" /J {"nom tche"} [/P {"nom pool"}] [/G {"nom
GUID"}] [/T { "nom bande"}] [/N {"nom mdia"}] [/F {"nom fichier"}] [/D {"description jeu"}] [/DS
{"nom serveur"}] [/IS {"nom serveur"}] [/A] [/V:{yes|no}] [/R:{yes|no}] [/L:{f|s|n}] [/M {type
sauvegarde}] [/RS:{yes|no}] [/HC:{on|off}]

Cela permet de crer des scripts de sauvegarde, par contre il existe des limites ce mode dexecution :

Avec loutil en ligne de commande il nest pas possible de sauvegarder des fichiers. On ne peut
sauvegarder que des dossiers complets. Vous pouvez par contre pointer sur une selection de
sauvegarde (.bks) qui contient cette liste de fichier.
La commande ne supporte pas les caractres joker comme * ou ? ce qui signifie que *.jpg
nenregistrera pas les fichiers .jpg dans la sauvegarde.

16.1.6. Qu'est-ce qu'un jeu de rcupration
automatique du systme ?

Lutilitaire de sauvegarde propose lutilisation de la Rcupration du systme automatique (ASR).

Cet outil permet deffectuer une sauvegarde complte du systeme (sans les donnes personnels), sur
disquette.

Ceci permettrait de restaurer le systeme si ce dernier de dmarrer plus tel quil ltait au moment de la
sauvegarde.

Bien que cet outil sois spcialis dans la sauvegarde de ltat du systeme, il dispose dune option, Toute les
informations sur cet ordinateur, qui permet de sauvegarder non seulement ltat du systme, mais
galement toutes les donnes stockes sur lordinateur.

16.2. Planification des oprations de
sauvegarde

16.2.1. Qu'est-ce qu'une opration de sauvegarde
planifie ?

Il sagit dune opration de sauvegarde qui se dclanchera une date et heure prcise.
Ceci permet dviter doublier une sauvegarde qui devrait tre effectue priodiquement, ou dtre
physiquement prsent pour lancer une sauvegarde en dehors des horaires de travail.
2003
69 / 76


Plusieurs options de planification de sauvegarde sont disponibles :

Une fois Une seule fois une date et une heure spcifiques
Tous les jours l'heure spcifie chaque jour
Toutes les semaines l'heure spcifie chacun des jours spcifis de la semaine
Tous les mois l'heure spcifie une fois par mois
Au dmarrage du systme Au prochain dmarrage du systme
A louverture de session
la prochaine ouverture de session par le propritaire de l'opration de
sauvegarde
Si inactif Quand le systme est rest inactif pendant un nombre de minutes donn

16.2.2. Comment planifier une opration de
sauvegarde ?

Vous pouvez planifier des sauvegardes rgulires l'aide de l'Assistant Sauvegarde ou Restauration pour
que vos donnes archives soient toujours jour.

Vous devez avoir ouvert une session en tant qu'administrateur ou oprateur de sauvegarde pour planifier
une opration de sauvegarde.

16.3. Restauration des donnes

16.3.1. Qu'est-ce que la restauration des donnes ?

La restauration des donnes est le processus de restitution des informations provenant dune sauvegarde.
On a souvent recours aux restaurations en cas durgence (sinistre).

16.4. Configuration des clichs instantans

16.4.1. Qu'est-ce que les clichs instantans ?

2003
70 / 76

Un clich instantan (shadow copy) est un systeme de rcupration de donne(s) partage(s).
Ainsi, la suite dune mauvaise manipulation dun fichier prsent sur un volume sur lequel on a activ les
clichs instantans, il va tre possible daccder (en lecture seule) une version prcdente du document.

Les clichs instantans sont dsactivs par dfaut.

16.4.2. Comment configurer des clichs instantans
sur le serveur ?

Il y a deux faons de dactiver les clichs instantans sur un volume. Soit en utilisant la console gestion de
lordinateur, soit en affichant les proprits du volume et en slectionnant longlet Clichs instantans.
Ensuite, il sagit dactiver, ou dsactiver la gestion de clichs instantans.
Il est possible galement de dfinir la quantit despace maximale exploitable pour la sauvegarde des
clichs instantans. Par dfaut cette taille est fixe 100 Mo.

16.4.3. Logiciel client pour les versions prcdentes
des clichs instantans

Pour que les clients puissent accder une version prcdente dune ressource partage, ils doivent au
pralable installer le logiciel Client pour version prcdente.

2003
71 / 76


Ce logiciel est disponible sur le serveur Windows 2003 dans le dossier suivant :
%systemroot%\WINDOWS\system32\clients\twclient\x86\twcli32.msi
Ensuite pour pouvoir obtenir un listing des diffrentes versions dune ressource partage, il suffit dafficher
les proprits du fichier, et daller dans longlet Versions prcdentes.

16.5. Rcupration suite une dfaillance du
serveur

16.5.1. Contrle des paramtres systme au cours du
processus damorage

Windows 2003 Server fournit deux types de configuration pour dmarrer un ordinateur : la configuration
par dfaut, et la dernire bonne configuration connue.

Les informations relatives ces deux configurations sont stockes dans la base de Registre dans
HKEY_LOCAL_MACHINE\SYTEM\CurrentControlSet et
HKEY_LOCAL_MACHINE\SYTEM\LastKnowGood.

Lors de louverture de session russie, la configuration en cours de Windows est systmatiquement
sauvegarde en tant que dernire bonne configuration connue.

Ces options de dmarrage sont accessibles en tapant sur la touche F8 au dmarrage de lordinateur au menu
de slection du systme dexploitation.

Voici un tableau indiquant les cas o il faut ou non utiliser la dernire bonne configuration connue :

Cas
Dernire bonne
configuration connue
Aprs installation dun nouveau pilote, Windows 2003 Server ne rpond plus.
Oui
Dsactivation accidentelle dun pilote de priphrique essentiel.
Oui
Problme non li des changements de configuration de Windows 2003 Server.
Non
Aprs une ouverture de session
Non
Pannes matrielles, fichiers manquants ou endommags.
Non
2003
72 / 76


16.5.2. Modification du comportement au dmarrage
laide du fichier Boot.ini

Le fichier Boot.ini se compose de deux sections :
|boot loader| qui contient le timeout et l'emplacement de l'OS a lancer par dfaut.
|operating systems| qui contient l'emplacement de l'ensemble des OS installs sur l'ordinateur.

Les emplacements des OS sont indiqus grce des chemins ARC (Advanced RISC Computing). Cette
notation permet dindiquer la ou les partitions sur lesquelles le(s) systme(s) rsident. Le tableau suivant
contient une description de chaque lment du chemin de nom.

Convention Description
scsi(x)
Spcifie un contrleur SCSI sur lequel le BIOS SCSI n'est pas actif. La variable x
reprsente un chiffre qui indique l'ordre de chargement du contrleur. La numrotation du
contrleur commence 0.
multi(x)
Spcifie n'importe quel contrleur qui n'utilise pas la convention SCSI(x), en loccurrence,
les controleurs IDE et les controleurs SCSI avec BIOS actif. La variable x reprsente un
chiffre qui indique l'ordre de chargement du contrleur. La numrotation du contrleur
commence 0.
disk(y)
L'identificateur SCSI du disque lorsque le BIOS du controleur SCSI nest pas actif. La
numrotation commence 0.
rdisk(z)
Le numro qui identifie le disque sur lequel le systme d'exploitation rside lorsque multi
identifie le contrleur. La numrotation commence 0.
partition(a)
Spcifie la partition sur laquelle le systme d'exploitation rside. La numrotation
commence 1.

Voici un exemple de fichier boot.ini:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows 2003 Server"

Ce fichier dcrit un ordinateur qui utilise Windows 2003 Server comme OS par dfaut. Cet OS se trouve
sur un controleur IDE ou SCSI avec BIOS actif, sur le premier disque, sur la partition 1.

16.5.3. Utilisation des options damorage avances
pour rsoudre les problmes de dmarrage

Le mode sans chec est le mode de diagnostic le plus souvent utilis pour rsoudre des problmes de
dmarrage du systme. Il permet de lancer Windows avec un nombre minimum de pilotes. Ainsi, si
linstallation dun nouveau logiciel empche Windows de dmarrer normalement, il est toujours possible de
lancer ce dernier en mode sans chec, et partir de l, modifier le paramtre du logiciel qui pose problme,
ou tout simplement le supprimer.
Ce mode, est accessible en tapant sur la touche F8 au dmarrage de lordinateur, au niveau de la slection
de lOS lancer.

16.5.4. Utilisation de la console de rcupration pour
dmarrer lordinateur

2003
73 / 76

La console de rcupration peut tre utilise dans le cas o les deux solutions proposes prcdemment ne
fonctionnent pas. Il faut cependant avoir le mot de passe administrateur de la machine pour pouvoir
lutiliser.
Cette console permet deffectuer les tches suivantes :

Dmarrer et arrter de services
Reconfigurer les services qui empchent l'ordinateur de dmarrer correctement
Formater les lecteurs sur un disque dur
Lire et crire des donnes sur un disque format en FAT ou NTFS
Rparer le systme en copiant un fichier a partir d'une disquette ou d'un CD-RON
Autres taches d'administration

Linstallation de la console de rcupration se fait partir du CD-ROM dinstallation de Windows 2003
Server. Tapez la commande ci-dessous partir de linvite de commande en basculant sur le lecteur CD-
ROM (d : par exemple):
D:\i386\winnt32.exe /cmdcons

Il est galement possible de lancer la console de rcupration en bootant avec le CD-ROM dinstallation de
Windows 2003 Server, et en tapant r au menu Bienvenue ! du CD.

Ensuite pour lancer la console de rcupration partir du menu, choisissez lOS dmarrer, puis
slectionnez linstallation rcuprer, et enfin entrez le mot de passe administrateur. Utilisez ensuite la
commande help pour obtenir la liste des commandes accessibles.

16.6. Choix d'une mthode de rcupration en
cas d'urgence

16.6.1. Quels sont les outils de rcupration en cas
d'urgence ?

Ce tableau rsume les outils utiliser en cas durgence :

Mode sans chec
utiliser quand un problme empche le dmarrage normal de
Windows Server 2003
Dernire bonne configuration connue
n'utiliser que si la configuration est incorrecte et que
lutilisateur na pas dj ouvert de session depuis la
modification qui pose problme.
Sauvegarde
utiliser pour crer une copie des donnes sur le disque dur et
l'archiver sur un autre priphrique de stockage
Console de rcupration
utiliser si vous ne pouvez pas corriger les problmes avec
une des mthodes de dmarrage
Rcupration systeme automatique
(ASR)
utiliser lors de la restauration des donnes d'une sauvegarde

2003
74 / 76

17. Maintenance des logiciels l'aide des
services SUS

17.1. Prsentation des services SUS

17.1.1. Qu'est-ce que Windows Update ?

Windows Update est l'extension en ligne de Windows qui vous permet de maintenir votre ordinateur
parfaitement jour. Utilisez Windows Update pour choisir les mises jour que vous souhaitez appliquer au
systme d'exploitation, aux logiciels et au matriel de votre ordinateur. Le contenu du site Web de
Windows Update est amlior rgulirement, de sorte toujours vous proposer les mises jour et les
solutions les plus rcentes pour protger votre ordinateur et en assurer le fonctionnement optimal. Windows
Update analyse votre ordinateur et vous propose ensuite une slection de mises jour entirement
personnalise, qui s'applique uniquement aux logiciels et au matriel dont vous disposez.

17.1.2. Qu'est-ce que la fonctionnalit Mises jour
automatiques ?

La fonctionnalit de mise jour automatique permet de configurer et de planifier une installation
automatise des mises jour de Windows.

Plusieurs options vous sont proposes :
Vous tes prvenus avant de tlcharger une nouvelle mise jour et juste avant de linstaller.
Les nouvelles mises jour sont tlcharges, et vous tes prvenus juste avant de les installer.
Les nouvelles mises jour sont tlcharges et installes selon la planification de votre choix.

17.1.3. Comparaison entre Windows Update et la
fonctionnalit Mises jour automatiques

Windows Update et la fonctionnalit Mises jour automatiques sont deux composants distincts conus
pour fonctionner ensemble et assurer la scurit des systmes d'exploitation Windows.

Windows Update est un site Web Microsoft sur lequel les utilisateurs de Windows peuvent
tlcharger des logiciels cruciaux et non cruciaux.
La fonctionnalite Mises jour automatiques vous permet d'interagir automatiquement avec le
site Web Windows Update pour obtenir les mises jour critiques des logiciels. En tant
qu'administrateur systme, vous contrlez totalement le niveau de cette interaction avec la
fonctionnalit Mises jour automatiques, l'aide des services SUS.

17.1.4. Qu'est-ce que les services SUS ?

Le service SUS, qui est disponible depuis Windows 2000, a pour rle de consulter Windows Update
rgulirement (via des planifications), et de tlcharger des mises jour.
Ces Mises jour sont ensuite stockes en interne, et sont disponibles pour tous les serveurs et clients
Windows du rseau.Il sagit en quelque sorte dun Proxy pour mises jour.
Ladministrateur devra ensuite configurer les clients pour planifier leurs connections vers le(s) serveur(s)
SUS afin deffectuer les mises jour. Cette configuration peut tre effectue en utilisant une GPO.
Lintrt principal des services SUS est de pouvoir tester une mise jour sur un nombre restreint de
machine, puis de publier ces mises jour si celles-ci se sont droules correctement sur les machines de
test.
2003
75 / 76


17.2. Installation et configuration des services
SUS

17.2.1. Qu'est-ce qu'un point de distribution du
serveur de service SUS ?

Le service SUS permet lutilisation de point de distribution. Il sagit de serveurs prsents sur le rseau qui
hbergeront les fichiers de mise jours tlchargs. Cependant, par dfaut, le serveur excutant le service
SUS est le point de distribution.

17.2.2. Configurations de serveur requises pour les
services SUS

La configuration minimale pour excuter le service SUS est la suivante.
Matriel :
Pentium III 700 Mhz ou suprieur
512 Mo de mmoire vive
6 Go despace disponible
Logiciel :
Windows 2000 SP2 ou suprieur, ou Windows 2003 Server
IIS 5.0 ou version ultrieur
IE 6.0 ou suprieur

17.2.3. Comment installer et configurer les services
SUS ?

Le service SUS nest pas directement disponible sur Windows 2003, ladministrateur rseau doit se
connecter ladresse suivante pour tlcharger cet outil :
http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp.

17.2.4. Configuration de la fonctionnalit Mises jour
automatiques

2003
76 / 76


La fonctionnalit Mises jour automatiques reprsente la partie cliente de SUS. Ce client (prsent sur
tous les systmes depuis Windows 2000) permet de maintenir jour les diffrents patch du systme en
choisissant un mode opratoire parmis les 3 suivantes :

Le systme avertit l'administrateur avant le tlchargement des mises jour et avant l'installation
des mises jour tlcharges.
Le tlchargement des mises jour s'effectue automatiquement, et le systme avertit un
administrateur avant l'installation des mises jour.
Le tlchargement et l'installation des mises jour s'effectuent suivant une planification spcifie.

Pour dfinir la source ou se connecte Mises jour automatiques il vous suffit de modifier dans une
stratgie de groupe (GPO) la configuration (Configuration de l'ordinateur\Modles
d'administration\Composants Windows\Windows Update).

Admini 2003

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Admini 2003

Transféré par

Droits d'auteur :

Formats disponibles

http://www.laboratoire-microsoft.

Vous aimerez peut-être aussi