Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008 1204998931277197 4

Microsoft Windows 2003 Server Ralis par
Laurent HOSTEN
Date : 6 mars 2008 Version : 1.0
GMSI 2007.1 / Module Windows 2003 Server / Ver 1.0 / LHN/ 06/03/08
Page 1/75
Module Microsoft Windows 2003 Server (GMSI 2007.1)
Sommaire
1. 2. 3. 1. 2. 3. 1. 2. 3. 4. 5. 6. 1. 2. 3. 4. 5. 1. 2. 3. 4. 5. 1. Quest ce quun systme dexploitation ? ............................................ 4 Quest ce que le multitche ? ........................................................... 5 Le multithreading et multiprocessing ................................................. 6 Architecture ................................................................................... 7 Clients Serveurs .......................................................................... 7 La gamme Windows 2003 Server ...................................................... 8 Configuration minimum ................................................................. 10 Installation manuelle..................................................................... 10 Installation contrle ou automatise .............................................. 14 Installation par duplication de disque .............................................. 15 Intgration au domaine ................................................................. 16 Services dinstallation distance (RIS) ............................................ 16 Prsentation ................................................................................ 22 Installation .................................................................................. 25 Dsinstallation dActive Directory .................................................... 28 Choix dun mode dun domaine ....................................................... 28 Rle des contrleurs de domaines ................................................... 29 Prsentation ................................................................................ 32 Les outils d'administration courants ................................................ 32 Les outils d'administration spcifiques ............................................. 36 Les solutions d'administration distance.......................................... 38 Personnalisation des consoles d'administration ................................. 41 Gestion sur un ordinateur local ....................................................... 44
Page 2/75
Prsentation de Microsoft Windows 2003 Server ............................................ 7
Installation de Windows 2003 Server ......................................................... 10
Prsentation dActive Directory .................................................................. 22
Les outils dadministration ........................................................................ 32
Gestion des utilisateurs, des groupes et des ordinateurs ............................... 44
2. 3.
Gestion dans un domaine .............................................................. 51 Gestion des comptes d'ordinateur dans un domaine .......................... 73
Page 3/75
Notions de base
Afin de comprendre le fonctionnement dun systme dexploitation Microsoft, nous allons tout dabord aborder quelques dfinitions et descriptions de fonctionnement.
1.
Quest ce quun systme dexploitation ?

Pour que lon puisse utiliser une application (ou logiciel), lordinateur doit excuter diffrentes tches. Il sera ncessaire de grer les interactions entre le processeur, la mmoire et les diffrents priphriques. Cest le systme dexploitation qui va assurer la liaison entre lutilisateur, le matriel et lapplication. Ainsi, lorsqu'un programme dsire accder une ressource matrielle, il ne lui est pas ncessaire d'envoyer des informations spcifiques au priphrique, il lui suffit d'envoyer les informations au systme d'exploitation, qui se charge de les transmettre au priphrique concern via son pilote. En l'absence de pilotes il faudrait que chaque programme reconnaisse et prenne en compte la communication avec chaque type de priphrique. Le systme dexploitation doit grer diffrentes tches : Gestion du processeur : le systme d'exploitation est charg de grer l'allocation du processeur entre les diffrents programmes grce un algorithme d'ordonnancement. Gestion de la mmoire vive : le systme d'exploitation est charg de grer l'espace mmoire allou chaque application et, le cas chant, chaque usager. En cas d'insuffisance de mmoire physique, le systme d'exploitation peut crer une zone mmoire sur le disque dur, appele mmoire virtuelle. La mmoire virtuelle permet de faire fonctionner des applications ncessitant plus de mmoire qu'il n'y a de mmoire vive disponible sur le systme. En contrepartie cette mmoire est beaucoup plus lente. Gestion des entres/sorties : le systme d'exploitation permet d'unifier et de contrler l'accs des programmes aux ressources matrielles par l'intermdiaire des pilotes (appels galement gestionnaires de priphriques ou gestionnaires d'entre/sortie). Gestion de l'excution des applications : le systme d'exploitation est charg de la bonne excution des applications en leur affectant les ressources ncessaires leur bon fonctionnement. Il permet ce titre de tuer une application ne rpondant plus correctement. Gestion des droits : le systme d'exploitation est charg de la scurit lie l'excution des programmes en garantissant que les ressources ne sont utilises que par les programmes et utilisateurs possdant les droits adquats.
Page 4/75
Gestion des fichiers : le systme d'exploitation gre la lecture et l'criture dans le systme de fichiers et les droits d'accs aux fichiers par les utilisateurs et les applications. Gestion des informations : le systme d'exploitation fournit un certain nombre d'indicateurs permettant de diagnostiquer le bon fonctionnement de la machine. Afin de clturer la dfinition concernant les systmes dexploitation, nous finirons avec les trois composants principaux qui le dfinissent. Nous avons en premier lieu le noyau (kernel). Cest la partie fondamentale d'un systme d'exploitation, il est le gestionnaire de ressources de la machine, qui permet aux lments matriels et logiciels de fonctionner ensemble. Pour ces raisons, il est le premier logiciel charg en mmoire (hors gestionnaire de boot). Nous trouvons ensuite linterprteur de commande. Un interprteur de commandes (le "shell", la coquille qui entoure le "noyau" du systme) est un programme qui sert d'intermdiaire entre l'utilisateur et le systme d'exploitation. Sa tche essentielle est l'excution de programmes. Pour cela, il effectue: La lecture d'une ligne Sa comprhension comme une demande d'excution d'un programme avec d'ventuels paramtres. Le lancement de ce programme avec passage des paramtres Dventuelles redirections d'entres-sorties Les excutions de scripts (fichiers de commandes) Et pour finir, nous avons le systme de fichiers. Un systme de fichiers est la mthode utilise pour stocker de l'information sur un disque dur (arborescence). Des systmes d'exploitation diffrents utiliseront des systmes de fichiers diffrents, rendant ainsi difficile le partage d'information. Les principaux systmes de fichiers utiliss sont FAT16 et FAT32 pour Win98 et NTFS pour Win XP.
2.
Quest ce que le multitche ?

Le multitche est la capacit pour un systme dexploitation grer plusieurs programmes simultanment en leur attribuant tour tour un pourcentage de temps processeur pour que ces programmes puissent sexcuter. Nous distinguons deux types de multitche : Le multitche coopratif Le multitche premptif
2.1
Le multitche coopratif Dans cette configuration, chaque application qui sexcute sur le systme dexploitation dispose du processeur puis le libre, permettant aux applications suivantes dutiliser leur tour le processeur. Le problme que
Page 5/75
nous rencontrons avec ce type de systme est la dpendance des applications les unes par rapport aux autres. Si une application boucle sur elle-mme, plus aucune application ne peut sexcuter et nous allons avoir une dfaillance du systme dexploitation. Nous trouvions ce genre dimplmentation dans les systmes Windows 16 bits tel que Windows 3.1x ou Windows 95 avant lOSR2. 2.2 Le multitche premptif Dans cette configuration, chaque application dispose du processeur pendant un laps de temps dtermin lavance ou jusqu ce quune autre application ait une priorit suprieure lapplication en cours. Lordonnancement (attribution dun temps processeur pour une application) est fait par le systme dexploitation. Contrairement au multitche coopratif, si une application se bloque, le systme dexploitation ne lui alloue plus de temps processeur et sera mise de ct. Le systme restera donc stable.
3.
Le multithreading et multiprocessing
Un thread est une unit dexcution et donc un bout du programme. Le multithreading est le fait que dans une mme application, nous pouvons excuter plusieurs tches en mme temps. Par exemple, dans un traitement de texte, lapplication affiche le texte que vous tapez tout en lui appliquant la mise en page souhaite. En ce qui concerne le multiprocessing, cest la capacit du systme dexploitation faire travailler diffrents processeurs la gestion du systme et au bon fonctionnement des applications. Il existe deux types de multiprocessing : Le multiprocessing asymtrique et le multiprocessing symtrique. Dans le premier cas, lutilisation des processeurs est dissocie. Un processeur soccupera uniquement du fonctionnement du systme dexploitation alors que le second processeur sera rserv pour les applications. Le multiprocessing symtrique, lui, met disposition les diffrents processeurs pour le systme et pour les applications. Cependant, le systme dexploitation a constamment un temps processeur allou.
Page 6/75
Prsentation de Microsoft Windows 2003 Server

1. Architecture
Windows 2003 est un systme dexploitation 32 bits, qui utilise le multitche premptif et multithread ainsi que les architectures SMP. Windows 2003 est un compos de systme dexploitation en couches et de systmes client/serveur base de micronoyaux. Le regroupement de ces deux technologies permis de distinguer deux parties dans Windows 2003, appeles mode excutif (ou mode noyau) et mode utilisateur (ou mode applicatif). Au sein du noyau, on retrouve la couche dabstraction matrielle (Hardware Abstraction Layer) charge des changes avec le matriel. Les applications 16 bits sont supportes dans un sous systme NTVDM Comme pour Windows XP, Windows Server 2003 existe galement avec un noyau 64 bits, rserv aux machines disposant disposant de ce type darchitecture, telles que lItanium dIntel. Windows 2003 prend en charge larchitecture EMA (Entreprise Memory Architecture) qui permet aux applications de bnficier dun maximum de 32 Go de mmoire. Cela savre fortement intressant pour les serveurs de base de donnes manipulant normment de donnes. En effet, la manipulation des donnes seffectue plus rapidement en RAM que sur disque. Pour bnficier de cette architecture, il faut que votre matriel la prenne en charge. De plus, les applications doivent tre dveloppes de manire spcifique. SQL Server peur par exemple utiliser ce fonctionnement. Le mode noyau est dot dun module Plug and Play permettant de diminuer le temps de configuration du matriel. Notons aussi la prsence, dans ce mode noyau, dun module de gestion dnergie fonctionnant sur la technologie OnNow/ACPI qui permet de diminuer lnergie utilise par les ordinateurs. Les fonctionnalits de Windows 2003 autorisant le logiciel fonctionner en cluster sont dues lamlioration du noyau. En ce qui concerne le mode noyau, il a t dveloppe en UNICODE qui va permettre de supporter toute application, quelle que soit la langue utilise.
2.
Clients Serveurs
Sur les systmes dexploitation rseau, les changes seffectuent entre plusieurs machines qui dialoguent entre elles grces des protocoles de communications communs. Lorsquils sont utiliss pour dsigner une machine, les termes Client et Serveur dfinissent le rle principal de celle-ci. En ralit, chaque machine Windows offre des services de type rseau, auxquels se connectent des clients.
Page 7/75
En effet, si une machine A souhaite visualiser des fichiers de la machine B, la machine B offrira un service de fichier la machine A. La machine B propose donc un service serveur alors que la machine A fera office de client.
3.
La gamme Windows 2003 Server

Il existe diffrentes versions du systme dexploitation Windows 2003 Server : 32 bits et 64 bits, ainsi que des versions incorpores : Windows Server 2003, Web Edition Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition
3.1
Windows Server 2003, Web Edition Pour positionner Windows Server 2003 sur le march des serveurs web, Microsoft a publi cette version simplifie du systme dexploitation, conue pour assurer les services web. Cette dition prend en charge 2 Go de RAM et les multiprocesseurs symtriques jusqu deux processeurs. Il autorise un nombre illimit de connexions web anonymes, mais se limite 10 connexions SMB (Server Message Block), qui sont des connexions qui servent publier du contenu. Le serveur ne peut pas fait office de passerelle, ne peut pas faire serveur DHCP et ne peut tre serveur de fax. Bien quil soit possible dutiliser les services dadministration distance, il ne peut tre serveur TSE. Il peut appartenir un domaine mais ne peut en aucun cas tre le contrleur de domaine. La version du moteur de base de donnes Microsoft SQL Server quil embarque peut prendre en charge 25 connexions concurrentes.
3.2
Windows Server 2003, Standard Edition Cette dition est un serveur capable de fournir les services suivants : Services dannuaire Serveur de fichiers Serveur dimpression Serveur dapplication Compar Windows 2000, il comporte des fonctionnalits tendues avec MSDE (Microsoft Desktop Engine), le moteur de base de donnes Microsoft SQL Server), une version de SQL Server qui prend en charge cinq connexion concurrentes des bases de donnes pouvant atteindre chacun 2 Go. Il offre galement un serveur POP3 (Post Office Protocol version 3) gratuit et prt lemploi qui, combin au service SMTP (Simple Mail Transfer Protocol), permet au serveur de fonctionner comme serveur de
Page 8/75
messagerie autonome : et enfin un gestionnaire dquilibrage de la charge rseau (NLB, Network Load Balancing), outil intressant qui ntait prcdemment inclus que dans la version Advanced Server de Windows 2000. Windows Server 2003 Standard Edition prend en charge 4 Go de ram et les multiprocesseurs symtriques jusqu quatre processeurs. 3.3 Windows Server 2003, Enterprise Edition Cette dition est conue pour les entreprises moyennes grandes. Ses fonctionnalits lui permettent de prendre en charge huit processeurs, 32 Go de ram et dassurer un service de cluster. Il est prpar pour la monte en charge vers les ordinateurs Intel 64 bits Itanium, pour lesquels il peut tre configur en 64 Go de RAM et prendre en charge les multiprocesseurs symtriques jusqu huit processeurs. Voici quelques fonctionnalits qui permettent dtablir la distinction entre les ditions standard et Enterprise : La prise en charge de MMS, qui autorise lintgration de plusieurs annuaires, banques de donnes et fichiers via Active Directory Lajout de mmoire chaud, qui permet dajouter de la mmoire sur les matriels pris en charge, sans temps dinterruption ni redmarrage. Le gestionnaire de ressources systme Windows (WSRM), qui prend en charge laffectation de ressources processeur et mmoire en fonction des applications. 3.4 Windows Server 2003, Datacenter Edition Datacenter Edition nest disponible quen OEM dans le cadre dun ensemble incluant un serveur haut de gamme. Il apporte une volution pratiquement sans limite, avec la prise en charge, sur les plateformes 32 bits, des multiprocesseurs symtriques quatre processeurs avec 64 Go de RAM, et sur les plateformes 64 bits, des multiprocesseurs symtriques 64 processeurs avec 512 Go de RAM. Il existe galement une version 128 processeurs qui prend en charge deux partitions SMP (symtrique multiprocessor) pour 64 processeurs.
Page 9/75
Installation de Windows 2003 Server

1. Configuration minimum
Linstallation de Microsoft Windows 2003 Server peut tre effectue de plusieurs faons. Quelle que soit la mthode choisie, il est ncessaire de procder une srie de tches dites de pr-installation. Il est tout dabord ncessaire de vrifier la compatibilit matrielle avec Windows 2003 Server. Nous nous servirons pour cela de la HCL que nous pouvons trouver sur le site de Microsoft. Si vous tes sur un ordinateur qui excute dj un systme dexploitation, vous pourrez utiliser la commande I386\winnt32 /checkupgradeonly partir du cd de Windows 2003. La configuration minimale requise pour linstallation de Microsoft Windows Server 2003 est mentionne dans le tableau suivant :
Edition Windows Server 2003 Web Server Edition
Matriel Processeur (x86) Mmoire vive Espace Disque Processeur (x86) Mmoire vive Espace Disque Processeur (x86) Mmoire vive Espace disque Processeur (x86) Mmoire vive Espace Disque
Minimum 133 MHz 128 Mo 2 Go 133 MHz 128 Mo 2 Go 233 MHz 128 Mo 2 Go 400 MHz 512 Mo 2 Go
Conseill 550 MHz 256 Mo 550 MHz 256 Mo 733 MHz 256 Mo 733 MHz 1 Go
Standard Edition
Entreprise Edition
Datacenter Edition
2.
Installation manuelle
Pendant la phase dinstallation, il est possible de modifier lorganisation de vos partitions de disque et deffectuer certaines oprations telles que la suppression ou cration de partitions. Il est fortement conseill dinstaller le systme sur une partition dau moins 2 Go.
2.1
Partitionnement des disques Il est possible dinstaller le prchargeur (secteur de dmarrage 2003) et le chargeur, NTLDR, sur une premire partition, la partition systme, puis dinstaller le reste des fichiers sur une partition distincte, la partition damorage. Sur un systme Windows NT, la partition systme est la partition principale (active). La partition damorage, celle qui contient tous les fichiers dont le
Page 10/75
noyau Windows 2003 (NTOSKRNL.EXE) peut tre installe sur une seconde partition principale ou un lecteur logique dune partition tendue. La partition systme ne ncessite pas une taille trs importante. 10 Mo suffisent amplement dans la plupart des cas. Elle pourra rester en FAT, afin de supporter un amorage multiple, ce qui permet de simplifier le dpannage lors dun problme de dmarrage. Les fichiers vitaux contenus sur cette partition pourront tre dupliqus sur une disquette de dmarrage. Ceci permet de disposer dune disquette de secours en cas de problme simple damorage du systme, ainsi que dune copie de ces fichiers. Dans les cas les plus critiques, la console de rcupration permettra daccder au systme Windows 2003 pour effecteur notamment une rparation. La partition dmarrer , qui contient les fichiers systmes dont le noyau de Windows 2003, devra faire un minimum de 2 Go. Celle-ci tiendra compte de lvolution du systme dont lajout des nombreuses DLL volumineuses dans le sous rpertoire systme32 du rpertoire dinstallation. Noubliez pas non plus un espace pour le fichier dchange et lventuel rpertoire de spoule dimpression. Cette partition pourra tre convertie en NTFS pour dvidentes raisons de scurit. 2.2 Choix du systme de fichiers Windows Server 2003 supporte les systmes de fichiers FAT, FAT32 et NTFS a. Systme de fichiers FAT/ FAT32 Si lon souhaite conserver la possibilit de dmarrer sous lancien systme dexploitation tel que MS-DOS, Windows 95 ou Windows 98, il faut conserver un systme de fichiers qui soit connu des systmes composant le multiboot. FAT et FAT32 ne permettent pas dobtenir un niveau de scurit sur les fichiers et rpertoires. Le systme de fichiers FAT ne supporte pas les partitions suprieures 2 GO. FAT 32 est une volution de FAT qui permet de dpasser cette limite. Il sera possible de convertir ces partitions au format NTFS sans perte de donnes. b. Systme de fichier NTFS Cest le systme recommand pour Windows 2003 Server. Il accroit la scurit en permettant de la contrler au niveau des rpertoires et des fichiers, gre la compression de disques ou de fichiers, permet de contrler lemploi des disques par les utilisateurs en appliquant des quotas ainsi que dencrypter les donnes. Si vous prvoyez de configurer votre serveur en tant que contrleur de domaine, il est impratif davoir au moins une partition formate en NTFS pour stocker le volume systme partag. On optera pour NTFS sous Windows 2000/2003 dans les cas suivants : Windows 2003 est le seul systme install
Page 11/75
Utilisation des services de fichiers ou dimpression ou Macintosh Vous souhaitez disposer dune scurit locale Gestion des partitions de grande taille Un audit du systme de fichiers est requis Gestion de la compression des fichiers Conservation des quivalences de permissions lors de la migration des fichiers Novell vers Windows Gestion des quotas de disques Cryptage des donnes (EFS) Installation dActive Directory 2.3 Mode de licence Pendant la phase dinstallation, il vous sera demand de choisir le mode de licence. Vous pourrez choisir entre le mode de licence par serveur ou par sige. a. Licences par serveur Le nombre de licences par serveur ncessaire pour un serveur particulier correspond donc au nombre maximal de clients diffrents qui pourront se connecter en mme temps sur ce serveur. Lorsque le nombre maximal de connexions est atteint, un message derreur saffiche et la nouvelle connexion est refuse. Un message est alors consign dans lobservateur dvnements. Il est possible de faire voluer le nombre de licences par serveur, partir du Panneau de configuration Licences b. Licences par poste ou utilisateur (par sige) Dans ce mode de licence, le sige ou client spcifique est sujet licence. Cette licence correspond un droit de connexion, elle ne constitue pas un apport de logiciels spcifiques pour permettre linterconnexion des systmes. Dans ce cas, les serveurs ne disposent daucune restriction particulire en termes de connexions maximales concomitantes, condition que chaque client dispose dun sige reconnu. Il est possible de passer tout moment du mode de licences par serveur en mode par poste ou utilisateur. Cette action est irrversible. 2.4 Planification du domaine Durant linstallation, vous devrez choisir si votre serveur Windows 2003 intgrera un domaine ou un groupe de travail. Pour intgrer un groupe de travail, vous devez simplement entrer le nom du groupe de travail. Si vous dsirez intgrer un domaine lors de linstallation, vous devez connatre certains paramtres :
Page 12/75
Le nom du domaine (DNS) que vous intgrez Pour quun ordinateur puisse joindre un domaine, il faut que ce dernier possde un compte dordinateur unique dans le domaine. Si ce compte machine na pas t cr avant linstallation, vous pouvez le crer lors de linstallation. Pour cela, il vous faut employer un compte utilisateur ayant suffisamment de droits pour intgrer un ordinateur dans un domaine. Un serveur jouant le rle de contrleur de domaine ainsi quun serveur sur lequel le service DNS est install et configur. Si vous intgrez votre serveur dans un domaine, il deviendra alors serveur membre. Sil est dans un groupe de travail, nous parlerons de serveur autonome. Vous pouvez lors de linstallation de Windows 2003 Server faire de votre ordinateur un serveur membre ou autonome. Si vous souhaitez quil joue le rle de contrleur de domaine, il faudra alors installer Active Directory aprs linstallation, via lassistant DCPROMO. 2.5 Installation partir dun CD-ROM Vous pouvez excuter linstallation de Windows 2003 server partir du CD-ROM. Pour cela : Soit vous possder un OS : il suffit dinsrer le CD et excuter le setup.exe (si pas dautorun). Soit configur le BIOS de votre machine pour dmarrer sur le CD. Le programme dinstallation de Windows 2003 se lance automatiquement aprs chargement des pilotes de priphriques. Soit vous disposez des disquettes dinstallation afin dinitialiser la squence damorage et vous dmarrez lordinateur partir de ces disquettes, le reste de linstallation se poursuivra ensuite partir du CD. a. En mode texte Les diffrentes tapes sont les suivantes : Le programme setup charge un systme 32 bits minimal de Windows 2003 Server en mmoire Si vous disposez de priphriques SCSI ou RAID particuliers, pressez F6 pour charger les pilotes Acceptation du contrat de licence avec la touche F8 Choix du partitionnement et du systme de fichiers Vous ne disposerez du formatage rapide que sur une partition existante. Aprs formatage puis copie des fichiers, lordinateur redmarre.
Page 13/75
b. En mode graphique Lors de la partie en mode graphique, nous devrons fournir un certain nombre dindications : Paramtres rgionaux et divers Nom et organisation Mode de licence Nom de lordinateur et mot de passe pour le compte admin local. Composants que vous voulez installer (voir annexe) Vous noterez que par souci de scurit et de performance, Windows 2003 installe trs peu de composants par dfaut. b1 : Installation de la gestion du rseau : Windows 2003 va initialement dtecter les cartes rseaux. Une fois cela ralis, il vous demande si vous souhaitez installer les composants rseau de faon automatique ou personnalise. Si vous choisissez les rglages par dfaut, les composants suivants seront installs : Clients pour les rseaux Microsoft : cela permet votre ordinateur daccder aux ressources rseau. Partage de fichiers et dimprimantes pour les rseaux Microsoft. Protocole TCP/IP automatique. standard configur en obtention dadresse
Dans ce mode, Windows 2003 essaie e trouver un serveur DHCP sur votre rseau pour obtenir automatiquement une adresse IP. En choisissant une installation personnalise, vous pourrez modifier ces composants et spcifier entre autre une configuration dadressage IP statique. Ltape suivante sera de choisir entre intgrer un groupe de travail ou un domaine. Le nom du groupe de travail par dfaut est : WORKGROUP
3.
Installation contrle ou automatise

Cette mthode a un intrt si vous souhaitez installer Windows 2003 Server sur plusieurs ordinateurs ou vous affranchir du CD-ROM. Pour cela, copiez-le contenu du rpertoire i386 du CD-Rom dans un partage rseau. Ds lors, il suffit de mettre en place une gestion de rseau minimum sur la machine installer (par exemple un client rseau 3.0 sous DOS) afin de se connecter cette ressource et lancer linstallation par la commande WINNT.EXE. Vous pouvez aussi utiliser la commande WINNT32.EXE si vous souhaitez procdez linstallation partir dun systme dexploitation 32 bits (dmarrage partir des disquettes dinstallation).
3.1
Commutateurs du programme dinstallation
Page 14/75
Lorsquils sont excuts manuellement, les programmes WINNT et WINNT32 supportent des paramtres en ligne de commande qui permettent de personnaliser linstallation de Windows 2003. 3.2 Cration dun fichier de rponse Linstallation de Windows 2003 peut tre automatise, pour ne pas avoir rpondre toutes les tapes de la partie dinstallation en mode texte et de la partie dinstallation en mode graphique. Pour cela on crera un fichier de rponse. Afin de ne pas dcliner ce fichier de rponse pour chaque variante dinstallation, il est possible dassocier un fichier .UDF qui contiendra les spcificits de chaque installation. En cas de conflit, les valeurs mentionnes dans le fichier UDF sont prioritaires vis--vis du fichier de rponse. Lorsque la valeur nest trouve dans aucun des fichiers, le programme dinstallation affiche un cran pour la saisie du paramtre. Lutilitaire Setup Manager est un utilitaire graphique qui permet de crer les fichiers de rponse ainsi que les fichiers UDF. Cet utilitaire fait partie du fichier DEPLOY.CAB que lon trouve sur le CD de Windows 2003.
4.
Installation par duplication de disque

Pour dployer Windows 2003 sur un grand nombre de postes, la mthode paraissant la plus efficace est la duplication de disque. Toutefois, cette technique, couramment appele clonage, est particulirement adapte aux postes de travail tels que Windows 2000 ou XP, mais peu recommande pour un serveur. Cette mthode de dploiement consiste crer une image du disque dun ordinateur sur lequel Windows 2003 est install et configur (ordinateur de rfrence), puis restaurer cette image physique sur un autre ordinateur. Bien que lon gagne du temps au niveau de linstallation, nous pouvons par la suite rencontrer des problmes. Ainsi les identifiants de scurit uniques ne sont pas rgnrs et peuvent engendrer des dysfonctionnements alatoires. Il est donc impratif de respecter cette unicit en utilisant un programme spcifique (fourni avec le produit de duplication de disque) ou un produit tiers tel que NEWSID de Sysinternals . Avec le package DEPLOY.CAB, Microsoft fournit SYSPREP.EXE afin de respecter la gnration des identifiants uniques et certaines oprations du processus dinstallation, tout en conservant le bnfice de la duplication de disque. Le cycle entreprendre est le suivant : Installation de Windows 2003 sur un ordinateur de rfrence Installation des applications sur cet ordinateur Excution de lutilitaire SYSPREP.EXE afin de supprimer tous les paramtres de configuration propres un ordinateur. Lexcution de SYSPREP sarrte et redmarrer lordinateur de rfrence. Avant de redmarrer le systme, vous devrez procder au
Page 15/75
clonage proprement dit, en excutant votre outil qui va gnrer limage du disque. La restauration de limage sur les ordinateurs cible seffectue laide de votre outil de duplication de disque
5.
Intgration au domaine
Les installations manuelles ou automatises de Windows Server 2003 permettent de joindre lordinateur un domaine pendant la phase dinstallation. Afin de dissocier dventuelles difficults lies cette opration, il est souhaitable de procder une premire installation dans un groupe de travail quelconque ou WORKGROUP par dfaut. Une fois linstallation ralise et la configuration rseau vrifier, vous pouvez tout moment intgrer votre serveur autonome vers un domaine afin quil devienne serveur membre. Vous pourrez raliser cette opration sous longlet nom de lordinateur et en cliquant sur le bouton Modifier . Sil sagit dun domaine NetBIOS (contrleur de domaine antrieur Windows 2000), entre le nom simple du domaine tel que CESI. Sil sagit dun domaine Active Directory (contrleur principal sous Windows 2000 ou Windows 2003), entre le nom DNS complet du domaine tel que cesi.fr. Vrifiez galement que loption Modifier le suffixe DNS principal lorsque les adhsions au domaine sont modifies est coche afin que le nom complet du poste soit modifi en consquence. Pour joindre un serveur autonome un domaine, il est ncessaire de crer un compte dordinateur dans le domaine en question. Deux voies sont alors possibles : A partir du serveur, un compte dutilisateur du domaine autoris ajouter un ordinateur dans le domaine, c'est--dire crer un compte dordinateur dans le domaine A partir dun contrleur de domaine, en crant manuellement le compte dordinateur via la console approprie (Utilisateurs et Ordinateurs Active Directory). A la prochaine ouverture de session, vous aurez le choix entre utiliser un compte dutilisateur dclar sur le domaine ou utiliser un compte local de votre ordinateur.
6.
6.1
Services dinstallation distance (RIS)

Prsentation Les services dinstallation distance RIS (Remote Installation Service) permettent de dployer un systme dexploitation sur tout ou partie des postes de lentreprise sans quil soit ncessaire dintervenir physiquement sur chaque ordinateur. Cette technique de dploiement sur un ensemble de services rseau et serveurs requiert des postes clients compatibles PXE
Page 16/75
(Preboot eXtension Environnement). Les images ncessaires linstallation des postes clients sont stockes sur un ou plusieurs serveurs spcialiss (Serveur RIS) membres ou contrleurs dun domaine : savoir, les installations automatises via un fichier de rponse et/ou les images de duplication de disque. Le serveur RIS stocke les images en volume NTFS et propose un cran daccueil aux clients qui le sollicitent. Il est ainsi possible de choisir limage dune nouvelle installation et/ou deffectuer certaines tches de pr installation via des outils spcifiques tels quune mise jour du BIOS. Vous pouvez dployer des images pour Windows 2000 et XP Professionnel. Notez que vous pouvez recourir aux stratgies de groupe pour complter linstallation des applications et le paramtrage des postes. 6.2 Installation du serveur RIS Avant de procder linstallation du serveur RIS, vous devez effectuer certaines vrifications : Le serveur envisag pour cette fonction doit tre membre ou contrleur dun domaine Active Directory. Du fait de la prsence dActive Directory, un service DNS est ncessairement fonctionnel sur le rseau. Un service dallocation dynamique dadresses (DHCP) doit tre prsent sur le rseau de dploiement des postes. (Les serveurs DHCP sur Windows 2000/2003 doivent tre autoriss dans Active Directory via la console DHCP. Le serveur RIS doit galement tre autoris de la mme manire bien quil nassure pas ncessairement de service DHCP). Pour installer les services RIS, utilisez la fonction Ajout/suppression des programmes du panneau de configuration, puis Ajouter ou supprimer des composants Windows . Cochez ensuite la case Services dinstallation distance puis cliquez sur le bouton Suivant . A partir du menu Dmarrer - Excuter ou dune invite de commande, excutez le programme RISetup.exe (situ dans %Windir%\system32) afin de configurer le serveur. Cliquez sur le bouton suivant pour passer lcran daccueil puis entrez le chemin daccs destin au stockage des images dinstallation des postes. Ce dossier est partag sous le nom REMINST et doit imprativement respecter les contraintes suivantes : Etre sur un volume ou une partition NTFS Ne pas tre celui du systme ni celui de la partition damorage Lespace minimum disponible sur ce volume doit tre de 2 Go Le nom du dossier par dfaut est RemoteInstall . Cliquez sur le bouton Suivant une fois le nom de dossier saisi.
Page 17/75
Par dfaut, le service RIS ne rpondra pas aux requtes des clients afin que vous puissiez vrifier les paramtres aprs ces oprations, puis activer cette fonctionnalit a posteriori. Ne cochez donc aucune case Prise en charge des clients puis cliquez sur le bouton Suivant . Le serveur RIS doit disposer dau moins une image de CD-Rom et vous devez, ce stade, indiquer une lettre dunit contenant une distribution de Windows Serer 2003, XP ou 2000 professionnel, puis cliquer sur le bout Suivant pour poursuivre linstallation Entrez ensuite un sous-dossier (du dossier prcdent) pour le stockage de cette distribution, cliquez sur le bouton Suivant puis prcisez une description plus claire identifiant cette copie (vous pouvez galement ajouter un texte daide complmentaire). Ces informations seront visibles partir de lcran dinstallation des postes. Cliquez sur le bouton Suivant , vrifiez vos paramtres puis cliquez sur le bouton Terminer pour dmarrer la copie et achever linstallation des services RIS. Suite linstallation des services dinstallation distance, plusieurs services ont t automatiquement ajouts et activs : La couche de ngociation des informations de dmarrage ou Boot Information Ngociation Layer (BINL) Il sagit du service charg de rpondre aux requtes des clients et dinterroger Active Directory pour savoir si lordinateur dispose de droits suffisants. Il permet galement dattribuer les paramtres adapts aux clients pendant leur phase dinstallation. Le service Trivial File Transfer Protocole ou TFTPD (daemon) Ce servie en mode non connect (rapide) permet aux clients de tlcharger des fichiers spcifiques. Il leur offre notamment la possibilit de rapatrier lassistant dinstallation du client (Client Installation Wizard ou CIW) ainsi que toutes les boites de dialogue contenus dans lassistant. Stockage dInstance simple ou Single Instance Store (SIS) Il sagit du service charg de rduire la quantit despace disque sur les volumes utiliss par les images dinstallation RIS. Lorsque vous installez RIS en tant que composant optionnel, vous devez mentionner un lecteur ainsi quun rpertoire dinstallation : il sagit du volume RIS. Les services SIS se lient automatiquement au volume RIS, et effectuent un suivi pour savoir si des fichiers dupliqus ont t placs sur ce volume. En cas de doublon, SIS cre un lien vers le fichier, conomisant ainsi de lespace disque. 6.3 Mise en uvre A ce stade, le serveur RIS est pratiquement oprationnel ; vous devez cependant effectuer les tapes suivantes afin quil puisse prendre en charge les postes clients et que les installateurs puissent joindre correctement le domaine :
Page 18/75
a. Autoriser le serveur Bien que le serveur RIS nassure pas ncessairement une fonction de serveur DHCP, vous devez lautoriser au sein de la console DHCP. Pour cela, lancez la console DHCP partir des outils dadministration, slectionnez la racine de la console DHCP puis utilisez le menu Action Grer les serveurs autoriss. Cliquez sur le bouton Autoriser , saisissez le nom ou ladresse IP du serveur RIS puis cliquez sur le bouton OK. b. Rpondre aux postes clients Pendant la phase dinstallation du serveur RIS et afin de pouvoir dfinir ou vrifier sereinement les paramtres, loption Rpondre aux clients a t dsactive. De ce fait, aucun client nest pris en charge et vous devrez activer cette option pour que le serveur RIS puisse proposer les crans dinstallation et images quil hberge. Pour cela, utilisez la console Utilisateur et ordinateurs Active Directory , slectionnez le conteneur dans lequel est situ le compte du serveur RIS puis slectionnez ce dernier. Utilisez le menu Action Proprits ou le menu contextuel, puis activez longlet Installation distance . Cochez la case Rpondre aux ordinateurs clients la demande dun service puis cliquez sur le bouton OK . Vous pouvez galement cocher la case Ne pas rpondre aux ordinateurs clients inconnus mais dans ce cas, les comptes dordinateurs devront tre pralablement crs dans Active Directory. Cette technique, appele Pre-Staging, est plus contraignante sur le plan de ladministration mais permet de ne pas dlguer dautorisation et dquilibrer la charge lorsque plusieurs serveurs RIS sont disponibles sur le rseau. c. Cration des comptes dordinateurs Par dfaut, lorsquun ordinateur devient membre dun domaine Active Directory, son compte dordinateur est gnr dans le conteneur Computers . Les services dinstallation distance peuvent cependant crer ces comptes dordinateurs directement dans un autre emplacement et utiliser des rgles de format de nom. Pour modifier lemplacement et/ou le format des noms de compte dordinateur, utilisez la console Utilisateurs et ordinateurs Active Directory , slectionnez le conteneur dans lequel est situ le compte du serveur RIS puis slectionnez ce dernier. Utilisez le menu Action Proprits ou le menu contextuel, activez longle Installation distance puis cliquez sur le bouton Paramtres avancs . Par dfaut, le nom de compte dordinateur est gal au nom dutilisateur qui effectue linstallation distance (un incrment est automatiquement ajout en cas de doublon). Vous pouvez slectionner dautres formats dans la liste droulante ou utiliser le bouton Personnaliser pour dfinir vos propres formats de noms.
Page 19/75
Choisissez ensuite lemplacement dans lequel le compte dordinateur sera cr : Emplacement par dfaut du service dannuaire Computers . Mme emplacement que celui du compte dutilisateur qui effectue linstallation Emplacement spcifique dans la structure dActive Directory. Lutilisateur dun conteneur spcifique aux installations distance est plus pratique administrer. d. Dlgation dautorisation A linstar dune installation classique, lorsquun poste est dploy via les services dinstallation distance, la personne qui effectue cette opration doit disposer des privilges ncessaires la cration du compte dordinateur dans la structure Active Directory (jonction dun ordinateur un domaine). Si linstallateur nest pas administrateur du domaine, vous devez dfinir un groupe ou un utilisateur auquel vous allez dlguer cette autorisation. Pour cela, utilisez le menu Action Dlgation de contrle ou le menu contextuel, puis cliquez sur le bouton Suivant . Cliquez sur le bouton Ajouter pour slectionner le groupe ou lutilisateur auquel vous souhaitez octroyer ce privilge puis cliquez sur le bouton Suivant . Cochez loption Joindre un ordinateur au domaine . Cliquez ensuite sur les boutons suivants puis Terminer Si laffichage des fonctionnalits avances est activ, vous pouvez galement utiliser le menu Action Proprits ou le menu contextuel disponible aprs avoir slectionn le conteneur. Aprs avoir slectionn longlet Scurit , utilisez le bouton Paramtres avancs pour octroyer ces autorisations spciales aux groupes ou utilisateurs de votre choix. 6.4 Les images de poste Si vous avez respect les procdures prcdentes, le serveur RIS ne dispose que dune seule image de CD-ROM ajoute pendant la phase dinstallation, laquelle est associ un fichier de rponse standard ristndrd.sif . Vous pouvez donc utiliser le gestionnaire dinstallation (setupmgr) pour modifier les paramtres de ce fichier ou associer un nouveau fichier de rponse. a. Les images de type CD-Rom Comme voqu prcdemment dans ce chapitre, lassociation dun fichier de rponse permet dautomatiser linstallation. Les services RIS utilisent cette mme technique lors de lajout dune nouvelle image CD-Rom. Vous pouvez, si vous le dsirez, associer plusieurs fichiers de rponse une mme distribution afin de dcliner plusieurs configurations de poste. Pour ajouter une nouvelle distribution ou associer un nouveau fichier de rponse sur une distribution existante, utilisez la console
Page 20/75
Utilisateurs et Ordinateurs Active Directory , slectionnez le conteneur dans lequel est situ le compte du serveur RIS puis slectionnez ce dernier. Utilisez le menu Action Proprits ou le menu contextuel, activez longlet installation distance puis activez longlet images . Lensemble des images prsentes sur le serveur est alors affich afin dajouter, supprimer ou modifier ces distributions. Cliquez ensuite sur le bouton Ajouter pour dmarrer lassistant. b. Les images de type Riprep Cette solution permet de dfinir non seulement linstallation du systme dexploitation mais galement des applications ainsi que lenvironnement du poste. Les services dinstallation distance proposent en standard, une technique drive offrant un rsultat et des avantages identiques ces produits. Ainsi, linstar de la duplication de disque, ces images sont gnres partir dun poste de rfrence sur lequel vous installez et configurez les applications et paramtres dsirs. Une fois cette opration acheve et vrifie, vous devez banaliser le poste de rfrence vis--vis de ces identifiants de scurit (SID). Contrairement aux techniques de duplication de disque, vous nutiliserez pas SYSPREP. Loutil spcialis RIPREP se chargera de cette opration de retrait des identifiants de scurit et ralisera la duplication de disque vers le serveur RIS. Pour crer une image de type Riprep, excutez la commande suivante partir du poste de rfrence, une fois la configuration de celui-ci termine : \\ServeurRIS\Reminst\admin\i386\riprep.exe
Page 21/75
Prsentation dActive Directory

1. Prsentation
Le systme dannuaire de Windows 2003 na pas subi de modification majeure. Il sagit donc dune introduction aux services dannuaire Active Directory ncessaires une premire mise en uvre de Windows Server 2003 dans ce type darchitecture. 1.1 Prcisions sur les domaines NetBIOS En premier lieu, il convient de rappeler que la notion de domaine apparue avec Windows NT utilisait les mcanismes de rsolution de nom NetBIOS, au mme titre que les groupes de travail Microsoft. Dans ce type de rseau, les machines comme le nom du domaine, sont identifis par un nom de 15 caractres au maximum, sans espace. Le 16e caractre du nom NetBIOS est utilis pour identifier le type de service qui est offert par la machine. Ainsi, le mcanisme de rsolution NetBIOS permet didentifier un contrleur de domaine par le biais dune diffusion gnrale (broadcast), dun service WINS, ou encore du fichier LMHOSTS. Ce type de domaine contient uniquement des objets de type utilisateur, groupe ou ordinateur et ne comprend quun seul niveau. Le domaine est maintenu par la prsence dun contrleur principal (Primary Domain Controller) et dventuels contrleurs de domaine principal (Backup Domain Controller). La base de donnes pour ces domaines est de type SAM (Security Account Manager) et elle est limite 40 000 objets. Le mcanisme dauthentification utilise le protocole NTLM. La notion de relation dapprobation est une possibilit de communication interdomaine unidirectionnelle et qui sappuie sur un compte dclar au niveau du domaine dorigine (approuv) et sur le domaine de destination (approuvant). Les utilisateurs dun domaine A peuvent accder ainsi aux ressources situes dans un domaine B. Pour que les utilisateurs du domaine B puissent accder aux ressources du domaine A, une autre relation dapprobation (dans lautre sens) doit tre dclare. On pourrait voquer la bidirectionnalit, qui en fait, met en uvre deux relations dapprobation. 1.2 Dfinition et concepts de base sur Active Directory Active Directory nest plus dpendant du protocole NetBIOS et utilise le standard TCP/IP. Sa structure est dfinie au sein dun schma compos dobjets et dattributs volutifs. La base dannuaire Active Directory peut contenir plusieurs millions dobjets. a. La fort La fort reprsente un ensemble de domaines lis entre eux par des relations dapprobations bidirectionnelles et transitives. Elle est caractrise par la prsence dun domaine dit Racine quivalent au premier domaine install dans la fort. Il sagit dun point de rfrence pour tous les autres domaines de la fort.
Page 22/75
b. Les arborescences Les arborescences de domaine dpendent de leur nom. Lorsquun domaine ne partage pas le mme espace de nom quun domaine parent, il est considr comme une nouvelle arborescence ; sinon il sagit dun domaine enfant. c. Les domaines Le domaine est une entit de scurit proche du concept de domaine NT4, mais il supporte une structure hirarchise et peut contenir toutes sortes dobjets. Les noms de domaine utiliss dans Active Directory sappuient sur une architecture DNS (Domain Name Service). Prcisons quelques dtails fondamentaux : Pour les clients Windows 2000 ou suprieurs, la rsolution des noms de domaine est assur par les services DNS. Il est donc impratif de renseigner un serveur DNS (connaissant le domaine Active Directory) dans la configuration du protocole TCP/IP du poste. Les services DNS ncessaires Active Directory doivent supporter les enregistrements SRV afin de localiser les ressources. Bien que cela soit facultatif, il est fortement conseill dautoriser les mises jour dynamiques au niveau de la zone DNS du domaine. Ainsi, lors du dmarrage du service NETLOGON, les contrleurs de domaine peuvent vrifier et crer, le cas chant, les enregistrements SRV idoines. Durant la phase dinstallation dActive Directory, le processus tente de localiser un serveur DNS afin dhberger la zone correspondant au domaine. Si aucun serveur DNS valide nest dtect, le processus dinstallation dActive Directory vous propose dinstaller les services DNS sur le contrleur de domaine, afin quil hberge sa propre zone. Afin dassurer la compatibilit avec les clients (membres dun domaine) antrieurs Windows 2000, Active Directory supporte galement un nom NetBIOS de domaine. Voici quelques exemples dans le tableau ci-dessous : Domaine DNS cesi.fr commercial.cesi.fr aix.cesi.com d. Les units organisationnelles Les Units Organisationnelles permettent de structurer hirarchiquement un domaine dans le but de lorganiser pour : Organiser les diffrents objets Dlguer le contrle dune partie du domaine Appliquer des stratgies communes (stratgies de groupe) Domaine NetBIOS CESI COMMERCIAL AIX
Page 23/75
Ne confondez pas les conteneurs de type systme avec les Units Organisationnelles proches par leur reprsentation. Les caractristiques et le comportement des conteneurs systme sont particuliers, ils ne peuvent pas tre manipuls avec les interfaces standards. Contrairement aux conteneurs systme, les Units Organisationnelles sont disposition des administrateurs et peuvent tre imbriques entre elles. Cela signifie quil est possible de crer des Units Organisationnelles tous les niveaux dun domaine (sauf dans un conteneur systme). Les stratgies de groupe et la dlgation de contrle ne sont pas disponibles au niveau des conteneurs systme. Afin de dfinir et lier les stratgies de groupe au niveau du domaine ou des units organisationnelles (onglet stratgie de groupe) , vous utiliserez la console Utilisateurs et ordinateurs Active Directory . Conseils et objectifs Etudiez votre organisation dentreprise afin de dfinir les configurations et les besoins communs (utilisateurs, postes, serveurs, applications). Evitez une structure hirarchique comprenant plus de trois niveaux Crer des stratgies de groupe simples et cohrentes dans un premier temps Liez les stratgies de groupe uniquement aux niveaux souhaits et testez les effets avant de gnraliser. Dlguez le contrle au niveau dune Unit Organisationnelle. Dans tous les cas, documentez vos actions, afin quune autre personne puisse comprendre facilement le fonctionnement de larchitecture. e. Les sites Les concepts voqus prcdemment dcrivent la structure logique dActive Directory. Hberg par un ensemble de contrleurs de domaine, chacun dentre eux change et rplique les modifications dans leur base de donnes respective (%windir%\NTDS\NTDS.DIT) Afin de contrler ce trafic, Active Directory utilise une structure physique. Cette fonctionnalit permet de matriser les changes entre les contrleurs de domaines, selon leur implantation physique, et introduit la notion de site. On peut donc distinguer la rplication intrasite pour qualifier les changes entre les contrleurs de domaine dun mme site et la rplication intersite (plusieurs sites) contrle par les liens de sites. Les liaisons de sites servent dfinir le cot du lien, une frquence de rplication et ventuellement des crneaux horaires, ceci pour chacune des connexions possibles avec un site. Les sites sappuient sur le plan dadressage TCP/IP et sont composs dun ou plusieurs sous-rseaux IP. Un site contient toujours un contrleur de
Page 24/75
domaine au minimum, quel que soit le nombre de sous-rseaux qui composent le site. Lappartenance dune machine un site est dtermine par son adresse IP. En revanche, les contrleurs de domaine doivent tre positionns (dplacs manuellement) en fonction des modifications dadressage TCP/IP. Une architecture Active Directory contient toujours au moins un site (Premier_site_par_dfaut) indpendamment du nombre de domaines. Ainsi, on peut combiner librement : Plusieurs domaines sur un ou plusieurs site(s) Un seul domaine sur un ou plusieurs site(s) Pour mettre en place une architecture de ce type, utilisez la console Sites et services dActive Directory . 1.3 Comportement selon le type de domaine Plusieurs cas de figure peuvent se prsenter : Un serveur Windows Server 2003 peut tre membre dun domaine NT4 et utilisera donc les mcanismes de rsolution de nom NetBIOS pour trouver les contrleurs de domaine. Un serveur Windows Server 2003 peut tre membre dun domaine Active Directory et utilisera les mcanismes de rsolution de nom DNS (enregistrements SRV) pour trouver les contrleurs de domaine. Un serveur Windows Server 2003 peut tre contrleur de domaine lui-mme. Il supporte alors les clients NetBIOS et les clients DNS. Cela signifie quil existe deux noms pour un mme domaine. Les postes antrieurs Windows 2000 joignent le domaine au nom NetBIOS (nom court comme par exemple CESI ) alors que les postes Windows 2000 ou suprieur, doivent utiliser le nom DNS du domaine (cesi.fr)
2.
Installation
Linstallation dActive Directory seffectue partir dun serveur Windows 2003 membre ou autonome. Une fois la base dannuaire installe, votre serveur deviendra un contrleur de domaine. Active Directory sera un fichier de base de donnes appel NTDS.DIT situ sous lemplacement par dfaut %systemroot%\ntds. Il est possible de modifier ce chemin lors de linstallation dActive Directory. Linstallation dActive Directory ncessite une partition NTFS pour stocker le rpertoire systme partag (SYSVOL) car le suivi des modifications dupliques de la base dannuaire seffectue par des numros de version squentiels pris en charge par le systme NTFS. Pour installer Active Directory, vous devez excuter la commande DCPROMO.EXE. La base de comptes (base SAM) de votre serveur sera copie dans la base dannuaire avant dtre dtruite de votre serveur. Vous
Page 25/75
ne perdrez donc pas les informations de comptes lors de la migration de vos contrleurs de domaine NT vers Windows 2003. Si vous excutez la commande dcpromo sur un contrleur de domaine Windows 2003, vous rtrogradez alors votre contrleur au titre de serveur membre ou autonome. Vous obtiendrez une base SAM vierge. Pour installer Active Directory, vous devez possder un ordinateur fonctionnant sur lune des versions de Windows 2003 permettant de le faire, une partition formate en NTFS, le protocole TCP/IP ainsi quun service DNS install et configur. 2.1 Cration dun nouveau domaine ou domaine racine La premire fois que vous installez AD, vous allez crer un nouveau domaine dans une nouvelle fort. Aprs avoir excuter dcpromo , suivez les tapes suivantes : Slectionnez contrleur de domaine pour un nouveau domaine Slectionnez Crer une nouvelle arborescence de domaine Slectionnez Crer une nouvelle fort darborescence de domaine Entrez le nom DNS Entrez le nom NetBIOS Indiquez le chemin pour stocker les informations concernant AD. Par dfaut, il vous est propos %systemroot%\NTDS pour le stockage de la base de donnes ainsi que pour les journaux de log. Pour optimiser les performances de votre serveur, vous pouvez placer sur des disques diffrents la base de donnes et les journaux de log. Entrez le chemin pour le dossier volume systme (sysvol). Ce dossier doit obligatoirement se situer sur une partition NTFS. Il contient la dfinition des stratgies de groupes, les scripts et des informations de rplication. Windows 2003 essaye de dtecter un serveur DNS grant la zone portant le nom de domaine que vous venez dindiquer. Ce DNS doit supporter les enregistrements dynamiques. Si aucun serveur DNS grant votre zone nest configur, le processus dinstallation dAD vous propose dinstaller le service DNS et de le configurer. Slectionnez Autorisations compatibles uniquement avec les systmes dexploitation serveurs Windows 2000 ou Windows Server 2003 . Si vous slectionnez loption Autorisations compatibles avec les systmes dexploitation serveurs antrieurs Windows 2000, le groupe Tout le monde aura alors la permission de lire tous les attributs de tous les objets Active Directory.
Page 26/75
Spcifiez ensuite un mode de passe pour le mode de restauration de la base dannuaire. Ce mot de passe peut tre modifi avec lutilitaire NTDSUTIL.exe 2.2 Ajout dun contrleur de domaine un domaine existant Une fois le domaine cr, vous pouvez ajouter de nouveaux contrleurs de domaine dans ce dernier. Il est fortement recommand de disposer de deux contrleurs de domaine au minimum pour assurer la tolrance de pannes ainsi que lquilibrage de charge. Vrifiez la configuration TCP/IP et particulirement le client DNS qui doit rfrencer un serveur connaissant la zone DNS correspondant au domaine Active Directory : Excutez dcpromo.exe Slectionnez contrleur domaine dj existant . de domaine supplmentaire pour un
Indiquez le domaine, le nom et le mot de passe dun compte ayant suffisamment de droits pour ajouter un contrleur au domaine. Indiquez ensuite le nom DNS du domaine pour lequel votre serveur sera contrleur. Entrez le chemin pour la base de donnes dannuaire Entrez le chemin pour le volume systme partag Indiquez le mot de passe de restauration. La duplication de la base dannuaire Active Directory commence. 2.3 Ajout dun domaine enfant La cration dun domaine enfant seffectue aprs avoir cr un domaine racine ou un domaine parent. Par exemple, nous allons crer un domaine gestion.cesi.fr, enfant du domaine cesi.fr : Excutez dcpromo.exe Slectionnez Contrleur de domaine pour un nouveau domaine Slectionnez Crer un nouveau arborescence de domaine existante . domaine enfant dans une
Indiquez le nom, le mot de passe ainsi que le domaine dun compte faisant partie du groupe Administrateurs de lentreprise. Indiquez le nom DNS du domaine parent Indiquez le nom NetBIOS pour votre nouveau domaine Prcisez le chemin pour la base de donnes dannuaire
Page 27/75
Entrez le chemin pour le volume systme partag Spcifiez si vous utilisez ou non des services fonctionnant sur de systmes NT 4.0. 2.4 Ajout dune arborescence dans une fort existante Lajout dune arborescence dans une fort existante va servir crer un nouvel espace de nom contigu. Par exemple, vous venez de fusionner avec une socit qui possde un nom de domaine DNS enregistr sur Internet. Votre socit souhaite garder son espace de nom qui, lui aussi, est enregistr. Dans ce cas, il sera intressant de crer une nouvelle arborescence dans la fort. Les trois paramtres qui changeront sont les suivants : Slectionnez Contrleur de domaine pour un nouveau domaine Slectionnez Crer une nouvelle arborescence de domaine Slectionnez Placer cette nouvelle arborescence de domaine dans une fort existante .
3.
Dsinstallation dActive Directory

Pour dsinstaller Active Directory de votre serveur, excutez de nouveau la commande dcpromo.exe . Si vous dsinstallez AD sur un contrler de domaine jouant le rle catalogue global, assurez-vous de disposer dune autre serveur jouant ce rle dans la fort ou sur le site, sauf si vous souhaitez supprimer compltement Active Directory.
4.
Choix dun mode dun domaine

Lors de linstallation dun domaine, il est, par dfaut, configur en tant que mode mixte Windows 2000. Un tel mode permet la cohabitation dans un domaine Windows 2003 de contrleurs de domaine fonctionnant sous Windows 2000, 20003 et Windows NT. Ceci est trs intressant lors de la migration de vos serveurs vers Windows 2003. Une fois la migration effectu et russie, vous pouvez passer votre domaine en mode natif Windows 2000 ou Windows 2003. Ces modes permettent dutiliser des fonctionnalits dActive Directory qui ne sont pas valables en mode mixte ou intrim (imbrication de groupes globaux dans dautres groupes globaux, groupes de scurit universels, nouveau nom pour un contrleur de domaine).
Page 28/75
Ci-dessous un rcapitulatif des modes dun domaine : Mode de domaine Windows 2000 Mixte Contrleurs supports Windows NT 4.0 Windows 2000 Windows 2003 Windows 2000 Natif Windows 2003 Intrim Windows 2003 Windows 2000 Windows 2003 Windows NT 4.0 Windows 2003 Windows 2003
4.1
Mode fonctionnel dun domaine Pour visualiser ou modifier le mode fonctionnel dun domaine, vous pouvez utiliser la console Utilisateurs et ordinateurs AD ou la console Domaine et approbations AD . Slectionnez le nom du domaine, puis utilisez le menu Action Augmenter le niveau fonctionnel du domaine ou le menu contextuel. Slectionnez le mode dsir dans la liste droulante puis cliquez sur le bouton changer de mode . Un message vous rappelle que lopration est irrversible.
4.2
Mode fonctionnel de la fort Pour visualiser ou modifier le mode fonctionnel de la fort, vous devez utiliser la console Domaine et approbations Active Directory . Slectionnez la racine de la console, puis utilisez le menu Action Augmenter le niveau fonctionnel de la fort ou le menu contextuel.
5.
5.1
Rle des contrleurs de domaines

Matres dopration Dans un domaine Windows 2003, tous les contrleurs de domaine sont identiques. La base dannuaire est duplique et distribue sur chaque contrleur de domaine. Il sagit donc dune rplication multimatre. Cependant, certaines actions ne peuvent pas tre effectues en multimatre. Pour cette raison, certains contrleurs de domaine jouent des rles bien spcifiques. On appelle ces contrleurs de domaine des matres dopration (ou FSMO pour Flexible Single Master Operation).
Page 29/75
On distingue cinq rles : Matre de schma Matre dinfrastructure Emulateur de contrleur principal de domaine Matre de nommage de domaine Matre didentificateur relatif (RID pour Relative Identifier) Certains de ces rles doivent tre uniques dans la fort. Cest le cas du matre de schma et du matre de nommage de domaine. Dans chaque domaine dune fort, il ne doit y avoir quun seul et unique matre didentificateur relatif ainsi quun seul mulateur de contrleur principal de domaine. Chaque domaine doit disposer aussi dun matre dinfrastructure. Le matre de schma maintient les mises jour et modifications apportes au schma. Le matre de nommage contrle lajout et la suppression de domaine dans la fort Ces deux rles sont jous par le premier contrler de domaine install dans la fort. Le matre didentificateur relatif permet de distribuer des pools didentificateurs relatifs aux contrleurs qui en font la demande (c'est-dire une fois quils ont puis leur stock). Lors de la cration dobjets, les contrleurs de domaine affectent un numro unique de scurit ces objets. Ce SID est compos dun identificateur de scurit unique par domaine, suivi dun identificateur relatif unique pour chaque objet du domaine. Le matre mulateur de contrleur principal de domaine est unique par domaine et joue le rle de PDC pour les clients Windows NT. Ce matre dopration procde donc aux changements de mot de passe et duplique les mies jour vers les contrleurs secondaires de domaine dans le cas o le domaine Windows 2003 est en mode mixte avec une cohabitation entre des contrleurs de domaine Windows 2003 et des contrleurs secondaires de domaine Windows NT. En mode natif, lorsquun contrleur de domaine effectue un changement de mot de passe, il envoie immdiatement linformation au contrleur jouant le rle dmulateur de contrleur principal de domaine. Lors dun chec de tentative douverture de session d un mot de passe erron, le contrleur ayant essay de valider louverture de session va envoyer la requte au matre mulateur de contrleur principal de domaine avant de refuser la connexion. Le matre dinfrastructure est responsable de la cohrence des informations sur le nom des objets Active Directory en fonction de leur SID. En effet, lors dun changement de nom de compte, il peut se produire un certains temps avant que, dans tous les domaines de la fort, linformation soit mise jour. Le matre dinfrastructure maintient donc une
Page 30/75
rfrence entre les noms dutilisateur ou de groupe et ladhsion aux groupes auxquels ils appartiennent. Vous pouvez connatre quels rles jouent les contrleurs de domaine. Pour cela, ouvrez la console Domaines et approbations AD puis effectuez un clic droit sur Domaines et approbation AD . Cliquez ensuite sur Matre dopration 5.2 Serveur de catalogue global Un serveur de catalogue global est un contrleur de domaine possdant un catalogue dans lequel sont rfrencs les attributs les plus utiliss de tous les objets dActive Directory. La base de donnes AD est divise en trois parties qui sont la partition de schma, la partition de configuration et la partition de domaine. Seules les informations du schma et les informations de configuration sont dupliques entre domaines. Comme les informations des objets dun domaine ne sont pas dupliques vers les autres domaines, le serveur de catalogue global va tre utilis pour effectuer des recherches lchelle de la fort. Si vous recherchez un objet dans la fort, vous allez interroger un serveur de catalogue global qui sera mme de vous renvoyer le rsultat de votre requte. Entre domaines, les seules informations sur les objets qui sont dupliques sont celles contenues dans le catalogue global. Il est donc intressant de disposer dau moins un serveur de catalogue global par domaine. Les serveurs de catalogue global possdent un rpliqua de catalogue de chacun des autres domaines. Par dfaut, un seul serveur de catalogue global est cr sur le premier serveur de la fort sur lequel AD a t install. Vous pouvez ajouter de nouveaux serveurs de catalogue global. Pour cela : Ouvrez la console Sites et services AD Dveloppez Sites Dveloppez le dossier Serveurs , puis le serveur en question. Effectuez ensuite un clic droit sur le connecteur NTDS Settings et cliquez sur proprits. Cochez la case Catalogue Global . Les serveurs de catalogue global servent non seulement effectuer des recherches au sein dune fort, mais ils sont aussi utiles dans le processus douverture de session. En effet, lors de louverture de session, le contrleur ayant reu la requte va consulter un serveur de catalogue global pour obtenir des informations sur lappartenance des groupes universels afin de crer le jeton daccs. Il est fortement conseill de disposer dun serveur de catalogue global de chaque ct de liaisons lentes .
Page 31/75
Les outils dadministration

1. Prsentation
Les outils d'administration sont utiliss dans le but de grer un ordinateur local ou distant, et les services qu'il peut proposer. Ils sont principalement disponibles dans le Panneau de configuration ou directement dans le menu Dmarrer. Nombre de ces outils sont bass sur des consoles personnalises de type MMC (Microsoft Management Console). Certains de ces outils sont installs en standard, alors que d'autres apparaissent en fonction des composants installs et du rle de l'ordinateur (DNS, DHCP, etc.). II est galement possible d'ajouter ses propres outils grce aux facults des consoles MMC. Nous pouvons constater que le nombre et le type des outils d'administration disponibles peuvent varier considrablement selon les services installs sur un serveur. Une description exhaustive serait trop fastidieuse et nous porterons donc lattention sur les outils les plus courants.
2.
2.1
Les outils d'administration courants

Les assistants Avant de prsenter les consoles, voquons les assistants prsents dans la rubrique des outils d'administration. a. Assistant Configurer votre serveur Cet assistant est destin vous guider tape par tape dans le processus dinstallation d'un serveur. Aprs dtection et installation des priphriques rseau, l'assistant vous proposera d'installer une configuration standard ou personnalise, en fonction des rles prvus sur le serveur. b. Assistant Grer votre serveur Cet assistant s'appuie en fait sur le centre d'aide et de support. Ainsi, vous accdez aux explications et informations sur un sujet du serveur, tout en pouvant excuter loutil ou lancer les tches appropries via une liaison d'hypertexte. c. Assistants Microsoft .NET Framework 1.1 Cet assistant permet d'accder aux outils de configuration de la plateforme de dveloppement .NET (Microsoft .NET Framework). Cette plateforme est dsormais intgre dans Windows Server 2003 afin de supporter nativement l'architecture applicative utilisant cette technologie.
2.2
Gestion de l'ordinateur II s'agit sans nul doute de l'outil le plus usit puisqu'il regroupe un ensemble de fonctionnalits trs pratiques que nous allons dcrire.
Page 32/75
La console de gestion de lordinateur est disponible dans les outils d'administration ou dans le menu contextuel Grer de l'icne du Poste de travail. Elle est base sur le composant logiciel enfichable compmgmt.msc. Vous devez disposer des privilges d'administrateur local pour pleinement utiliser cet outil. Nous pouvons constater la richesse de cette console organise en trois rubriques : a. Outils systme Observateur d'vnements Permet d'accder l'ensemble des journaux d'vnements (liste d'avertissements et erreurs) de l'ordinateur. Cet lment est galement accessible au niveau des outils d'administration. Dossiers partags Permet de visualiser, crer ou supprimer des rpertoires partags ainsi que les sessions en cours et les fichiers ouverts. Utilisateurs et groupes locaux Permet de grer les comptes d'utilisateurs et groupes locaux de la machine. Si lordinateur est un contrleur de domaine, cet lment est masqu car la console est remplace par Utilisateurs et ordinateurs d'Active Directory. Journaux et alertes de performance Permet de dfinir des alertes sur des objets afin de consigner les vnements dans des journaux. Cet lment est galement accessible au niveau des outils d'administration. Gestionnaire de priphriques Permet de contrler l'ensemble des priphriques et pilotes de matriel sur la machine.
b.
Stockage
Stockage amovible Permet de grer les mdias et bibliothques de mdias amovibles tels que les CD-Rom ou bandes magntiques, afin de les intgrer dans un systme de sauvegarde (cf. NTBACKUP). Dfragmenteur de disque Permet de rorganiser physiquement les segments de fichiers clairsems sur une partition. Gestion des disques Permet de visualiser et modifier la structure des partitions et volumes des disques de l'ordinateur. c. Services et applications Tlphonie Permet de grer les fournisseurs de services de tlphonie (TAPI, H323, etc.). Ces fournisseurs sont accessibles lors de l'installation ou la
GMSI 2007.1 / Module Windows 2003 Server / Ver 1.0 / LHN/ 06/03/08 Page 33/75
configuration d'un systme de numrotation tel un modem ou tlphone IP. Selon le type de fournisseur, vous pouvez contrler utilisateurs du service et les paramtres de celui-ci. L'installation matriel de tlphonie doit tre ralise via le gestionnaire priphriques. Services Permet de grer l'ensemble des services installs sur l'ordinateur. Contrle WMI
un les du de
Permet de configurer et contrler l'architecture WMI (Windows Management Instrumentation). Grce cette technologie, vous pouvez dvelopper vos propres applications ou scripts WSH (Windows Scripting Host) afin de contrler localement ou distance les ressources matrielles et logicielles d'un ordinateur Windows 2000/2003 ou XP. Services d'indexation Permet de grer ou d'interroger les catalogues issus de l'indexation des fichiers. L'indexation sert diminuer les temps de recherche et de localisation d'un fichier donn. Cette inscription au catalogue peut galement tre active par l'ajout de l'attribut avanc Autoriser Indexation dans les proprits d'un fichier ou d'un rpertoire. Application(s) Cette rubrique n'existe pas en tant que telle mais la console place ce niveau, les outils d'administration des applications Windows installes. Ainsi vous pouvez accder facilement la gestion des Services Internet (IIS), DNS DHCP, WINS, etc. en fonction des installations. Lorsque vous dmarrez cette console Gestion de l'ordinateur, vous tes en mesure d'administrer l'ordinateur sur lequel la console s'excute (remarquez la mention (Local) la racine de la console). Cependant, vous pouvez galement utiliser cette console pour administrer distance un ordinateur Windows 2000/2003 ou XP. Pour ce faire, slectionnez la racine de la console Gestion de l'ordinateur (Local) puis le menu Action se connecter un autre ordinateur (ou utilisez le menu contextuel). Si vous disposez des privilges d'administrateur local sur le poste distant, vous pouvez contrler et agir sur tous les lments de ce dernier, l'exception de la gestion des priphriques qui reste en lecture seulement. Cette console est galement appele dans l'utilisation d'autres outils comme la console Utilisateurs et ordinateurs d'Active Directory, lorsque vous sollicitez le menu contextuel d'un objet de type Ordinateur. 2.3 Services Cet outil s'appuie sur la console Services.msc et a dj t mentionn dans la console Gestion de l'ordinateur. Il est directement disponible dans les outils d'administration car il constitue un moyen simple et efficace pour contrler les Services installs sur l'ordinateur. En effet, l'ensemble des services installs est reprsent dans une liste commente qui permet de s'assurer rapidement de la prsence ou de l'absence de l'un d'entre eux.
Page 34/75
L'onglet tendu affiche les actions disponibles et un commentaire sur le service slectionn, gauche de la liste des services. L'onglet Standard affiche simplement la liste classique des services. De la mme manire que pour la console Gestion de l'ordinateur, vous pouvez utiliser cette console pour manipuler distance les services de n'importe quel ordinateur du rseau. Pour cela, slectionnez la racine de la console Services puis le menu Action - Se connecter un autre ordinateur (ou utilisez le menu contextuel). L'administration des services proprement dite se fait par le menu Action ou plus rapidement par le menu contextuel. Les actions possibles sur un service dpendent de son tat, de son type ou encore de vos privilges sur le systme. Un service peut donc prendre plusieurs tats selon l'option choisie : Dmarrer : Permet de dmarrer le service slectionn avec ses dpendances. Un chec de dmarrage de service peut donc tre indirectement li l'une de ses dpendances. Arrter : Permet de stopper le service. Si d'autres services dpendent de celui ci, ils s'arrteront aussi. Par contre, si le service que l'on souhaite arrter dpend d'autres services, le systme vous propose d'arrter ou non ces derniers. Suspendre : Met le service en pause sans arrter les services qui dpendent de lui. Reprendre : Permet de ractiver un service pralablement mis en pause. Redmarrer : Permet d'effectuer une rinitialisation dmarrage) du service ainsi que de toutes ses dpendances. (arrt puis
L'accs aux proprits d'un service permet de dterminer ses caractristiques et son comportement. Aprs slection du service dsir, le menu Action Proprits, lutilisation du menu contextuel ou simplement un double clic sur le nom ouvrent la boite de dialogue Proprits qui dispose des quatre onglets suivants :
Gnral
Cet onglet affiche le nom et une description de l'utilit du service ainsi que le chemin complet et les paramtres de l'excutable. Ces informations sont en lecture seulement, sauf pour les paramtres de dmarrage de certains services. Vous pouvez modifier le type de dmarrage du service dans la liste droulante : Automatique : Le service dmarrage de l'ordinateur. est lanc systmatiquement
chaque
Manuel : Le service est lanc la demande (par un utilisateur, une application ou les besoins du systme). Dsactiv : Le service n'est jamais lanc. Le statut du service est indiqu et vous pouvez le contrler par les boutons Dmarrer, Arrter, Suspendre et Reprendre. Ces boutons sont
Page 35/75
quivalents aux options du menu Action ou du menu contextuel du service ( l'exception de l'option Redmarrer absente dans les proprits).
Connexion
Cet onglet permet de spcifier avec quel compte d'utilisateur et donc quels privilges, le service va dmarrer. Par dfaut, les services utilisent le compte systme local mais vous pouvez le modifier par un compte d'utilisateur de votre choix. Vous pouvez galement activer ou dsactiver le service pour un profil matriel donn. Cette action est intressante lorsqu'un service requiert un priphrique qui est dsactiv dans un profil (exemple : carte rseau d'un ordinateur portable).
Rcupration
Cet onglet permet de dfinir l'action entreprendre si le service connat une dfaillance. Les options possibles sont : ne rien faire, redmarrer le service, excuter un programme ou redmarrer l'ordinateur. Vous avez la possibilit de dfinir des actions diffrentes s'il s'agit de la premire dfaillance, de la deuxime ou des dfaillances suivantes du service. A ceci est ajout un compteur de dfaillances que vous pouvez rinitialiser automatiquement aprs un certain nombre de jours.
Dpendances
Cet onglet permet de contrler les liaisons vis--vis des autres services. En effet, un service peut tre autonome (pas de dpendance), dpendre d'un autre service ou assurer le support d'un service dpendant. Avant d'agir sur l'tat d'un service, vous devez utiliser cet onglet pour vrifier les liaisons. 2.4 Observateur d'vnements Cet outil d'administration permet d'accder l'ensemble des journaux d'vnements (liste d'avertissements et erreurs) de l'ordinateur (eventvwr.msc). Cet lment est galement accessible au niveau de la rubrique systme de la console Gestion de l'ordinateur. Les outils d'administration (ou consoles) peuvent tre directement appels partir du menu Dmarrer - Excuter suivi du nom du composant logiciel enfichable, sans oublier l'extension .MSC (ils utiliseront les rglages par dfaut).
3.
Les outils d'administration spcifiques

En fonction de la version du systme et des composants installs sur votre serveur, certains outils d'administration supplmentaires peuvent tre ajouts. L'utilisation de certains outils ncessite des connaissances spcifiques. Par dfaut, sur Windows Server 2003 Enterprise Edition, les outils suivants sont installs : Gestionnaire dquilibrage de charge rseau (NLB : Network Load Balancing). Cet outil permet de grer la rpartition de charge rseau au sein d'un groupe de machines appel Cluster. Agissant au niveau
Page 36/75
de la couche IP, cette console permet de dfinir l'adressage IP, le masque et le nom de la machine virtuelle (cluster) puis d'ajouter au moins deux machines physiques dans cette composition. Administrateur du Cluster. Cet outil, disponible uniquement sur les versions Enterprise et DataCenter de Windows Server 2003, permet de dfinir les machines (noeuds), les paramtres et l'appartenance un groupe de machines appel Cluster. Le cluster est une solution tolrance de panne, constitue d'un ensemble de serveurs (machines physiques) appels Noeuds. Cet ensemble est considr, par les machines clientes, comme un seul serveur logique. Ainsi lorsqu'un des noeuds est indisponible, l'autre continue d'assurer les services de manire transparente pour les clients. Gestionnaire des services Terminal Server. Cet outil permet d'administrer les sessions ouvertes sur un serveur de terminaux Windows (TSE). Comme la plupart des outils, cette console permet l'administration distante de n'importe quel serveur de terminaux Windows du rseau. Gestionnaire des licences Terminal Server. Cet outil, ne pas confondre avec l'outil Licences, permet de grer les licences ncessaires aux clients du service Terminal Server. Configuration des services Terminal Server (tscc.msc). Cet outil permet de contrler les paramtres de sessions Terminal Server bases sur le protocole RDP 5.1. Bureaux distance (tsmmc.msc). Cet outil permet de dfinir les paramtres de connexion et d'affichage de chaque poste client, afin d'ouvrir une session distance. Le Bureau distance de Windows XP ou un Terminal Server doivent tre activ sur les postes clients. Systme de fichiers distribues (dfsgui.msc). Cet outil permet de dclarer et grer des ressources partages avec DFS (Distributed File System). Ce type d'architecture de fichiers distribus rend ces derniers indpendants de leur emplacement physique et peut intgrer une rplication des donnes pour la tolrance de panne. Autorits de certification (certsrv.msc). Cet outil permet d'administrer une autorit de certification d'entreprise ou autonome. Les services de certificat doivent tre installs sur le serveur pour pouvoir utiliser cet outil. Une autorit de certification est une entit habilite dlivrer des certificats de cl publique aux clients qui en font la demande. Ces certificats sont utiliss pour l'authentification ou le cryptage des donnes ou des accs. Avant d'utiliser cet outil, vous devez connatre les concepts des infrastructures de cls publiques. Services de composants (comexp.msc). Cet outil gre la base de composants COM, COM+. DCOM. Cette console intgre galement les trois consoles : Utilisateurs et ordinateur d'Active Directory, Observateur d'vnements et Services.
Page 37/75
Sources de donnes ODBC. Cet outil permet de dclarer ou supprimer des sources de donnes ODBC avec des noms de sources de donnes (DSN, Data Source Names) de niveau systme ou utilisateur. Ces connexions ODBC sont utilises lors des changes entre bases de donnes htrognes. Cet outil permet galement d'installer les pilotes ODBC ncessaires aux conversions de format. Routage et accs distant (rrasmgmt.msc). Cet outil permet de configurer les interfaces de routage et l'accs. A la premire excution de cette console, vous tes invit configurer et activer les fonctions de routage et d'accs distant sur le serveur. Configuration du Framework NET 1.1 Microsoft Cette console permet de configurer les lments relatifs la plate-forme d'excution .NET de Microsoft (.NET Framework) dont les concepts sont particulirement destins aux dveloppeurs d'applications.NET. Cet outil permet, entre autres fonctions, de dfinir les stratgies de scurit d'accs au code, les montages applicatifs dII.NET (assemblies), et les procdures stockes (Remoting Services). Licences. Cet outil permet de connatre l'tat des affectations ou librer des licences alloues aux clients, mais galement d'ajouter ou de supprimer des licences. Les outils d'administration suivants sont installs sur les serveurs qui assurent un rle de contrleur de domaine ou suite l'installation des outils d'administration distance. Utilisateurs et ordinateurs d'Active Directory (Dsa.msc) Cet outil permet de grer les objets d'un domaine Active Directory et en particulier les utilisateurs, les ordinateurs et les Units d'organisation. Cette console est probablement lune des plus usites dans la gestion d'un domaine Sites et services d'Active Directory (Dssite.msc). Cet outil permet de grer les sites d'Active Directory. Cette console permet d'administrer les sites et tous les lments qui sy rapportent : liens de site, sousrseaux IP, rplications, objets de connexion, emplacements des contrleurs de domaine, serveurs tte de pont. Elle est galement utilise pour dfinir les serveurs de Catalogue Global. Utilisez cette console pour modifier ou crer une stratgie de groupe au niveau d'un site. Domaines et approbations d'Active Directory (Domain.msc). Cet outil, permet d'administrer les relations d'approbation entre les domaines d'une fort. Utilisez cette console pour vrifier les relations existantes dans une fort ou dfinir des relations d'approbation externes entre forts.
4.
4.1
Les solutions d'administration distance

Les outils d'administration distance
Page 38/75
Comme nous lavons voqu prcdemment, l'administration des ordinateurs fonctionnant sous Windows 2000/2003 ou XP s'effectue par des consoles MMC (Microsoft Management Console). Lorsque vous installez Windows Server 2003, une srie de consoles sont disponibles en fonction des services installs, ce qui vous permet de grer votre machine locale ou un ordinateur distance. Pour un contrleur de domaine, un serveur DNS ou un serveur particulier, vous ne disposez pas localement de la console approprie pour administrer distance cet ordinateur. Vous pouvez donc recourir l'installation d'une console personnalise si le composant logiciel requis est enregistr, ou installer sur votre serveur les outils dadministration distance. partir d'un serveur ou d'une station membre ou autonome fonctionnant sous Windows 2000/2003 ou XP, vous pourrez administrer les contrleurs de domaine ou serveurs sans tre physiquement prsent face ces machines. Pour installer les outils d'administration distance, utilisez le Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes. Slectionnez ensuite Ajouter de nouveaux programmes, puis cliquez sur CD-Rom ou disquette. Sous le rpertoire i386 du CD-Rom de Windows Server 2003, installez Adminpak.msi. Vous pouvez galement lancer directement l'installation partir du fichier .MSI. Windows Installer installe alors les outils d'administration sur votre ordinateur et les ajoutes dans le menu Dmarrer - Outils d'administration. Aprs l'installation, un grand nombre d'outils supplmentaires sont disponibles dans la rubrique des outils d'administration. Pour dsinstaller ces derniers, utilisez le menu Ajout/Suppression de programmes du Panneau de configuration. 4.2 Le Bureau distance Le recours au Bureau distance utilise des services de type Terminal Server et constitue une alternative l'installation des outils d'administration sur un ordinateur. En effet, il n'est pas possible d'installer ces outils sur un systme autre que Windows 2000/2003 ou Windows XP et lorsqu'il s'agit d'un besoin ponctuel d'administration, il est dommage d'installer ce genre de solution sur le poste. Dans le cas o votre machine n'est pas sous un systme compatible avec ces outils, ou lorsque vous ne souhaitez pas les installer, vous pouvez utiliser un client de type Terminal Server, afin d'ouvrir une session distance et administrer ainsi le serveur, sans tre physiquement prsent face cette machine.
a. Ordinateur distant ( administrer)
Avec Windows 2003, pour bnficier de cette possibilit d'administration distance, vous devez activer le Bureau distance sur le serveur (fonction disponible galement sous Windows XP).
Page 39/75
Lorsque les services de Terminal Server sont dj installs sur une machine Windows Server 2003, vous n'avez pas besoin dactiver le Bureau distance sur le serveur. Pour cela, ouvrez la fentre des proprits du Poste de travail (proprits systme), puis slectionnez l'onglet Utilisation distance. Par dfaut, les administrateurs locaux auront un accs total mais vous pouvez cependant modifier les membres du groupes Bureau distance. Avec Windows 2000 Server, vous pouviez installer les services de Terminal Server en mode Administration distance, car ce mode n'est pas soumis aux licences et autorise, par dfaut, l'accs aux administrateurs uniquement. b. Ordinateur local (d'administration) Vous devez disposer d'un client d'mulation de Terminal Server Windows utilisant le protocole RDP (Remote Desktop Protocol). Ce client est install par dfaut sur Windows Server 2003 et Windows XP dans le menu
Dmarrer- Accessoires Communications - Connexion Bureau distance.
Pour les autres systmes, vous pouvez utiliser le client Terminal Server Windows gnralement disponible sur le serveur TSE, ou installer le client Bureau distance de Windows 2003/XP. Ce dernier est situ dans le rpertoire \SUPPOR\TOOLS\MSRDPCLl.exe du CD-Rom de Windows Server 2003 ou XP. Grce ce client, vous pouvez dfinir et mmoriser vos prfrences de connexion et daffichage sur un ordinateur. Les configurations sauvegardes portent l'extension .RDP. Windows Server 2003 propose galement la console Bureaux distance situe dans les outils d'administration standard. Cet outil est trs proche du client prcdent mais se prsente comme un fdrateur de configurations multiples. En effet, contrairement au client de connexion Bureau distance qui ne peut grer qu'une seule configuration, la console Bureaux distance propose une liste de configurations mmorises. Les noms et mots de passe de chaque ordinateur dclar dans cette console peuvent tre mmoriss, ainsi que les proprits d'affichage et la redirection des ressources disque. Le niveau de dtail est cependant moins dvelopp que sur le client de configuration simple Bureau distance. L'option Se connecter la console permet d'ouvrir une session distance, semblable celle qui serait ralise lors d'une ouverture de session locale sur la machine. Une autre solution consiste employer le navigateur Internet Explorer en tant qu'mulateur de terminal Windows. En effet, si les services IIS (Internet Information Services) sont installs et oprationnels sur le serveur que vous voulez contrler distance, vous pouvez utiliser Internet Explorer en prcisant l'adresse IP ou le nom du serveur atteindre, suivi de /TSWEB dans la Barre d'adresse du navigateur, comme suit : http://10.0.2.200/TSWEB Lors du premier lancement, vous devez accepter l'avertissement de scurit qui procde l'installation d'un contrle ActiveX.
Page 40/75
Si vous avez install la scurit renforce d'Internet Explorer, vous devez pralablement ajouter l'adresse URL du serveur distance dans la liste des sites autoriss. Attention, mme si le partage du Bureau distance est activ, cette fonctionnalit n'est pas active par dfaut sur Windows Server 2003. Vous pouvez cependant rajouter partir du Panneau de configuration : Ajout/Suppression de programmes puis en slectionnant l'option Ajout/Suppression de composants Windows serveur d'application Services Internet (IIS) - Service World Wide Web Connexion Web du bureau distant. c. Mode console Les fonctionnalits de Bureau distance sont trs utiles pour administrer vos serveurs Windows 2003 depuis n'importe quel point du rseau. Cependant un problme majeur existe dans ce mode de fonctionnement. En effet, si une application gnre un message sur la console locale du serveur, vous ne pouvez le visualiser que si vous tes connect localement sur celui-ci. Les services Terminal Server de Windows 2003 permettent maintenant de se connecter la console de votre serveur via une connexion Bureau distance. Pour cela, utilisez le commutateur /console lors de la connexion votre serveur. Ainsi, via la commande Excuter, tapez mstsc.exe /v:nomduserveur /console. Vous pouvez galement vous connecter la console d'un serveur en spcifiant le commutateur dans le champ Ordinateur de la fentre Connexion Bureau distance. Chaque ordinateur ne dispose que d'une seule session de console, ainsi lorsque vous vous connectez en mode console sur un serveur, aucun autre utilisateur ne peut utiliser l'ordinateur localement.
5.
Personnalisation des consoles d'administration

Bien que Windows 2003 propose toute une srie d'outils, il peut tre intressant de crer ses propres consoles personnalises. Par exemple, imaginez que vous avez en charge la gestion des serveurs DNS et DHCP de votre rseau. Vous pouvez installer et utiliser les outils standards ou concevoir une console MMC personnalise dans laquelle vous ajouterez les composants permettant de grer en mme temps, le DNS et le DHCP. Vous pouvez galement intgrer le composant permettant de grer les services dans cette console, ceci dans le but de stopper ou de redmarrer les services DNS et DHCP, si le besoin s'en fait ressentir. Ainsi, vous bnficiez d'une console unique (au lieu de trois dans cet exemple), plus pratique utiliser. Une console personnalise est enregistre dans un fichier possdant l'extension .mmc, lintrieur de laquelle on ajoute des composants logiciels enfichables dans une structure arborescente. Un composant logiciel enfichable est un composant de gestion d'application qui doit tre inscrit au niveau de la base des composants du systme. Les composants inscrits apparaissent dans la liste lors de l'ajout de ces derniers dans la console.
Page 41/75
Pour crer une MMC personnalise, excutez le programme mmc.exe : Une console vierge apparat, dans laquelle il est possible d'ajouter des composants enfichables via le menu Fichier Ajouter/Supprimer un composant logiciel enfichable ou [Ctrl] M. Une console personnalise peut contenir plusieurs composants identiques ou diffrents. De ce fait, chaque fois que vous cliquez sur le bouton Ajouter, le composant est de nouveau ajout. Une fois la console cre, il faudra lenregistrer pour pouvoir la rutiliser. On peut crer autant de consoles MMC que l'on souhaite, et ajouter autant de composants enfichables que l'on veut dans chaque console. Par dfaut les consoles sont enregistres dans le dossier Outils d'administration du menu dmarrer de lutilisateur qui cre la console. Pensez copier ou dplacer le raccourci afin qu'elle soit ventuellement disponible pour les autres utilisateurs du poste. Terminologie Prenons l'exemple de la MMC suivante :
On parlera de composants enfichables ou snap-in pour Gestion de l'ordinateur. Un composant enfichable peut possder une ou plusieurs extensions. Dans l'exemple prsent ci-dessus le composant enfichable Gestion de l'ordinateur a comme extensions Observateur d'vnements, Gestionnaire de priphriques ... Une extension est considre comme un composant enfichable rattach son snap-in parent. Certains composants enfichables peuvent tre la fois snap-in et extension. C'est le cas par exemple de l'observateur d'vnements. Lorsque vous crez votre propre MMC, vous pouvez faire en sorte qu'une extension devienne composant enfichable pour la console que vous
Page 42/75
concevez. Pour cela, excutez une MMC puis ajoutez un composant enfichable. Faites un clic droit sur l'extension qui va devenir snap-in pour votre console puis cliquez sur Nouvelle fentre partir d'ici. Vous n'avez plus qu' enregistrer votre console. II peut paratre intressant de vouloir ajouter un composant enfichable tout en supprimant de ce dernier quelques extensions. Ceci est possible lorsque vous ajoutez le composant, en cliquant sur l'onglet Extensions. Dcochez loption Ajouter toutes les extensions puis dcochez les cases correspondant aux extensions que vous ne souhaitez pas afficher. Si vous crez des consoles personnalises dans le but de les distribuer des utilisateurs ayant des pouvoirs d'administration limits, vous pouvez concevoir vos consoles pour qu'elles soient ou non modifiables par les utilisateurs. Par dfaut, lorsque vous crez une console, elle est en Mode auteur, c'est-dire que vous autorisez l'accs total toutes les fonctionnalits de la MMC. Les utilisateurs peuvent donc ajouter ou supprimer des composants enfichables, crer des fentres, afficher toutes les parties de l'arborescence de la console ainsi qu'enregistrer toutes ces modifications. Pour changer de mode, cliquez sur le menu Console, puis sur Options. Quatre modes sont disponibles : Mode auteur Permet de modifier la console (Ajout/suppression de composants enfichables, Modification des extensions, Cration de nouvelles fentres...). Mode utilisateur - accs total Permet aux utilisateurs de se dplacer dans la console, crer de nouvelles fentres, ouvrir de nouvelles fentres mais sans pouvoir les enregistrer, ni mme ajouter ou supprimer des composants enfichables. Mode utilisateur - accs limit, fentre multiple Permet aux utilisateurs d'afficher plusieurs fentres dans la console sans pouvoir en crer d'autres. Dans ce mode, les utilisateurs ne peuvent ni ajouter, ni supprimer des composants enfichables. Mode utilisateur - accs limit, fentre unique Identique au mode prcdent mais les utilisateurs n'ont pas le droit d'afficher plusieurs fentres.
Page 43/75
Gestion des utilisateurs, des groupes et des ordinateurs

Pour administrer les comptes d'utilisateurs et les groupes, deux consoles diffrentes sont utilises : Gestion de l'ordinateur pour grer les comptes d'utilisateurs et groupes locaux d'un serveur membre, autonome ou dune station professionnelle. Utilisateurs et ordinateurs Active Directory pour grer les comptes d'utilisateurs et groupes d'un domaine.
1.
1.1
Gestion sur un ordinateur local

Les utilisateurs Un compte d'utilisateur local est un compte qui va servir pour ouvrir une session locale sur l'ordinateur. Avec ce type de compte, il n'est possible d'accder qu' des ressources locales la machine. Ces comptes sont stocks dans la base de comptes de l'ordinateur local, c'est--dire la base SAM. Elle est stocke sous le rpertoire %systemroot%\system32\config. Une telle base de comptes n'est prsente que sur des serveurs membres ou autonomes ainsi que sur les stations de travail. Sur un contrleur de domaine, les comptes et groupes sont stocks dans Active Directory. Si un utilisateur connect en local sur son ordinateur veut accder des ressources situes sur un autre ordinateur, il doit alors disposer d'un compte sur cette autre machine. a. Comptes prdfinis Suite l'installation de Windows Server 2003, les comptes d'utilisateurs suivants sont crs :
- Administrateur (Administrator) ; - Invit (Guest).

Administrateur
C'est la personne qui dispose du niveau de privilge le plus lev sur l'ordinateur et peut grer la configuration du systme avec, entre autres tches :
- la gestion des stratgies de scurit
- la gestion des comptes d'utilisateurs et des comptes de groupes ;

- la modification de la configuration logicielle du systme d'exploitation ;
- la cration de dossiers, l'installation de fichiers sur le disque dur ; - linstallation et la configuration d'imprimantes ;
GMSI 2007.1 / Module Windows 2003 Server / Ver 1.0 / LHN/ 06/03/08 Page 44/75
ladministration du partage des ressources imprimante et fichier ; sur les disques logiques/physiques
- lorganisation des donnes (formatage, partitionnement...) ;
- la sauvegarde et la restauration des donnes. Le compte Administrateur ne pourra pas tre supprim mais pourra tre renomm ou dsactiv. Renommer l'Administrateur est une action conseille dans la mesure o il est plus difficile de trouver le mot de passe d'un compte lorsqu'on ne connat pas le nom du compte. Vous pouvez galement opter pour la dsactivation de ce compte, en ayant pralablement cr un utilisateur quivalent. Invit Comme son nom l'indique, ce compte est utilis par des utilisateurs occasionnels, ou peu expriments. II fournit l'utilisateur Invit un minimum de droits sur le systme pour des raisons de scurit. Ce compte est dsactiv par dfaut et ne possde pas de mot de passe. II peut tre renomm. L'activation de ce compte constitue une faille importante dans la scurit du systme. b. Cration d'un compte d'utilisateur La cration d'un compte dutilisateur local se fait par l'extension Utilisateurs et groupes locaux de la console Gestion de l'ordinateur. Nom d'utilisateur II s'agit du nom saisi par l'utilisateur pour ouvrir une session localement. Ce champ est obligatoire et ne peut dpasser 20 caractres. Nom complet C'est le nom complet de l'utilisateur, employ des fins administratives. II n'a aucune influence sur l'ouverture de session. Description Permet d'indiquer la fonction de l'utilisateur, sa situation gographique ... C'est un commentaire facultatif mais comme le champ nom dtaill, il peut tre utilis pour un tri alphabtique dans les colonnes d'affichage. Mot de passe et Confirmer le mot de passe A la cration du compte, l'administrateur peut dfinir un mot de passe qu'il devra communiquer l'utilisateur. Les mots de passe ne sont jamais visibles, mme par un administrateur. L'utilisateur doit changer le mot de passe la prochaine ouverture de session Si cette option est coche, l'utilisateur devra choisir son mot de passe ds qu'il ouvrira pour la premire fois une session. Ensuite, il n'aura plus le faire ; il utilisera le mot de passe qu'il a saisi. Ceci permet l'administrateur de laisser le choix du mot de passe aux utilisateurs. L'administrateur n'a aucun moyen, dans ce cas, de connatre le mot de passe des utilisateurs. II peut cependant rinitialiser le mot de passe et en dfinir un de son choix.
Page 45/75
Lorsque cette option est coche, les deux options suivantes sont indisponibles car incompatibles. L'utilisateur ne peut pas changer de mot de passe Cette option peut tre utilise pour figer certains mots de passe, comme celui du compte invit ou ceux de comptes utiliss par plusieurs personnes. Cette option aide l'administrateur grer les mots de passe utilisateur. Le mot de passe n'expire jamais Utilisez cette option si vous ne souhaitez pas faire expirer le mot de passe. Cette option peut s'avrer utile si le compte est utilis par une application ou un service. Par dfaut, les mots de passe expirent aprs 42 jours. Cette rgle est dfinie dans la stratgie de scurit locale ou celle du domaine. Le compte est dsactiv Cochez cette option pour que personne ne puisse utiliser ce compte (par exemple, lorsqu'un utilisateur sensible s'absente pour une longue priode). Lorsqu'un compte est dsactiv, une croix apparat sur son icne. c. Modification d'un compte d'utilisateur Une fois qu'un compte local est cr, il apparat dans la liste des utilisateurs de la console Gestion de l'ordinateur sous la rubrique Utilisateurs. Les caractristiques dfinies pour chaque utilisateur peuvent tre modifies ultrieurement. Pour cela, slectionnez l'utilisateur puis utilisez le menu Action - Proprits, galement disponible dans le menu contextuel. Remarquez la nouvelle option qui apparat grise : Le compte est verrouill. Cette case deviendra active si vous avez mis en place une stratgie de compte qui spcifie de dsactiver le compte aprs un trop grand nombre de tentatives infructueuses d'ouverture de session. Dans les proprits de l'utilisateur local, plusieurs onglets sont accessibles: Longlet Gnral permet de revoir ou modifier les paramtres prcdemment dfinis. Longlet Membre de permet de connatre le(s) groupe(s) dont l'utilisateur fait partie. Si Vous souhaitez intgrer l'utilisateur dans un nouveau groupe, Cliquez sur Ajouter puis entrez le nom de groupe voulu (ou plusieurs noms spars par une virgule). Attention lemplacement qui indique la base de scurit contenant le groupe. Si lordinateur est membre dun domaine, cest le nom du domaine qui est propos par dfaut. Vous pouvez galement utiliser le bouton Vrifier les noms pour associer le chemin complet du groupe ORDINATEUR\Groupe, mais le nom Groupe saisi doit tre exact. Vous devrez utiliser le bouton Avanc pour parcourir la base et trouver le groupe de votre choix. Longlet Profil permet de spcifier le chemin pointant sur le profil de lutilisateur.
Page 46/75
Longlet Environnement permet de dfinir le comportement du compte lors dune connexion vers un serveur de terminal Windows. Longlet Sessions permet de dfinir les limites de session lors dune connexion vers un serveur de terminal Windows. Longlet Profil de services Terminal Server permet de spcifier le chemin du profil et le rpertoire de travail de lutilisateur, utilis lors dune ouverture de session sur un serveur de terminal Windows. Longlet Contrle distance permet dindiquer si la session de lutilisateur est observe et/ou contrle distance via les services de terminal Windows. Longlet Appel entrant permet de paramtrer la faon dont ce compte sera trait lors des accs au rseau distance ou VPN (entre autres paramtres intressants, notez quil est possible dassocier une adresse IP et des itinraires statiques, proposes aux accs distants de lutilisateur). La fentre des proprits ne permet pas de dfinir le mot de passe ou de renommer le compte dutilisateur. Pour renommer, supprimer un compte dutilisateur ou encore modifier son mot de passe, vous devez slectionner le compte dutilisateur, puis utiliser le menu Action Renommer, Action Supprimer ou Action Dfinir le mot de passe. Ces actions sont galement disponibles directement, via le menu contextuel du compte dutilisateur. Lorsque vous renommez un compte d'utilisateur, vous ne perdez pas toutes les informations rattaches ce compte (appartenance aux groupes, permissions...). En effet, lorsque vous manipulez un compte d'utilisateur, vous utilisez le nom de login de cet utilisateur. Or, Windows 2003 associe ce nom un numro d'identification de scurit (SID). Ce numro, unique, est de la forme : S-1-5-21-527237240-2111687655-1957994488-500 Le fait de renommer un compte modifie le nom de connexion (login) ; par contre le SID ne change pas. Lorsque vous affectez des permissions pour un compte dutilisateur, c'est au SID associ au compte que les permissions sont attribues. Si vous supprimez un compte et que vous en crerez un nouveau portant le mme nom, il s'agira d'un nouveau compte associ un nouveau SID. De ce fait, vous ne rcuprerez pas les permissions du compte prcdent. 1.2 Les groupes a. Prsentation Les groupes sont utiliss pour simplifier l'administration. Ils contiennent un ensemble de comptes d'utilisateurs possdant des besoins identiques en terme d'administration. Ainsi, un administrateur pourra simplement donner des permissions au groupe plutt que de les donner individuellement chaque utilisateur. Lors des attributions de droits, prenez l'habitude de
Page 47/75
crer systmatiquement des groupes, mme s'ils ne contiennent qu'un seul utilisateur dans un premier temps. Les permissions et droits assigns un groupe sont rpercuts sur tous les utilisateurs de ce mme groupe. De la mme manire, un utilisateur cumule les droits ou restrictions des groupes auxquels il appartient. Comme pour les comptes d'utilisateurs, les groupes utilisent un identifiant de scurit unique SID, gnr au moment de la cration du groupe (ou rserv pour les groupes prdfinis et identits spciales). Ces identifiants entrent dans la composition du jeton d'accs de l'utilisateur en fonction des groupes auxquels il appartient. Un groupe pourra donc tre renomm mais jamais supprim, sous peine de ne plus contenir aucun membre car l'identifiant de scurit aura chang. Un utilisateur peut faire partie de plusieurs groupes mais appartient toujours un groupe au minimum. Dans la base de comptes locale d'un serveur membre/autonome ou d'une station de travail, un seul type de groupe peut tre cr : les groupes locaux. Les privilges du compte local Administrateur de lordinateur sont simplement obtenus par l'appartenance au groupe local Administrateurs. De ce fait, tout compte ajout dans le groupe Administrateurs bnficiera des privilges ncessaires l'administration de l'ordinateur.
b. Groupes prdfinis
Lors de l'installation de Windows Server 2003, (serveurs membres/autonomes), un certain nombre de groupes prdfinis sont crs. Ces groupes possdent des droits pour effectuer un certain nombre de tches sur la machine locale : sauvegardes, administration des ressources. II s'agit des groupes : Administrateurs Les membres de ce groupe peuvent effectuer toutes les tches administratives de l'ordinateur. Par dfaut, seul le compte d'utilisateur Administrateur fait partie de ce groupe. Toutefois, lorsque vous intgrez une station ou un serveur dans un domaine, le groupe global Administrateurs du domaine est automatiquement intgr au groupe local Administrateurs de votre station ou serveur ; ceci afin que les administrateurs du domaine puissent grer toutes les stations et serveurs membres de leur domaine. Grce cette imbrication de groupes, tous les administrateurs du domaine peuvent administrer cet ordinateur au mme titre que l'administrateur local de la machine. Duplicateurs Ce groupe est principalement utilis par les services de rplication de fichier (FRS), employs notamment pour la synchronisation de l'annuaire sur les contrleurs de domaine ou les systmes de fichiers distribus (DFS).
Page 48/75
Invits Comme son nom l'indique, ce groupe est utilis pour des accs occasionnels. II fournit aux utilisateurs de ce groupe un minimum de droit systme pour des raisons de scurit. Par dfaut, le compte invit est automatiquement intgr ce groupe. Oprateurs d'impression Les membres de ce groupe peuvent grer, crer, partager des imprimantes. Ils peuvent galement installer/supprimer les pilotes d'imprimante. Ce groupe n'a aucun membre par dfaut. Oprateurs de configuration rseau Les membres de ce groupe peuvent modifier tous les paramtres rseau de l'ordinateur, renouveler ou librer une adresse IP dynamique, activer/dsactiver une interface ou crer une connexion d'accs distant, etc. Ce groupe n'a aucun membre par dfaut. Oprateurs de sauvegardes Les membres de ce groupe peuvent utiliser le gestionnaire de sauvegarde Windows Server 2003 pour effectuer des sauvegardes et des restaurations de donnes. Ce groupe n' aucun membre par dfaut. Utilisateurs Tous les comptes d'utilisateurs que vous crer font partie de ce groupe par dfaut. Ils ne peuvent effectuer que des tches que vous avez spcifies et n'ont accs qu'aux ressources auxquelles vous avez attribu des permissions. Lorsque votre serveur rejoint un domaine, le groupe Utilisateurs du domaine est automatiquement intgr ce groupe local Utilisateurs. II permet ainsi tout utilisateur du domaine d'employer l'ordinateur au mme titre que les utilisateurs locaux.
:
Utilisateurs avec pouvoir Les membres de ce groupe peuvent partager des ressources, crer et modifier des comptes d'utilisateurs locaux. Ils peuvent ainsi effectuer des tches administratives sans pour autant exercer un contrle total sur la machine. Utilisateurs des journaux de performances Les membres de ce groupe peuvent dfinir ou modifier les compteurs, alertes et journaux de performances, afin de surveiller ou diagnostiquer un dysfonctionnement de l'ordinateur local ou distance. Ils peuvent galement utiliser le moniteur systme au mme titre que les membres du groupe suivant. Par dfaut, le groupe systme Service Rseau est membre de ce groupe. Utilisateurs de l'Analyseur de performances Les membres de ce groupe peuvent utiliser le moniteur systme situ dans 'analyseur de performances localement ou distance. Ils ne peuvent cependant pas modifier les journaux de performances. Ce groupe n'a aucun membre par dfaut. Utilisateurs du bureau distance
Page 49/75
Les membres de ce groupe peuvent ouvrir une session de type Terminal Server sur l'ordinateur si la fonctionnalit du bureau distance est active. Les membres peuvent tre galement grs par la configuration du bureau distance (proprits du systme). Ce groupe n'a aucun membre par dfaut. En fonction des services installs (DHCP, IIS...), certains autres groupes ou utilisateurs locaux peuvent tre prdfinis. En plus de ces groupes prdfinis, on peut noter l'existence d'entits spciales qualifies galement de groupes systme. La qualit de membre de ces groupes ne peut pas tre modifie et fait rfrence l'tat de votre systme un instant donn. Tout le monde Comprend tous les utilisateurs, ceux que vous avez crs, le compte invit ainsi que tous les utilisateurs des autres domaines. Attention, car lorsque vous partagez une ressource, ce groupe dispose par dfaut de la permission contrle total Utilisateurs authentifis Comprend tout utilisateur possdant un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des permissions ce groupe plutt qu'au groupe Tout le monde. Crateur propritaire Toute personne ayant cr ou pris possession d'une ressource fait partie de ce groupe pour la ressource concerne. Le propritaire d'une ressource dispose des pleins pouvoirs sur cette dernire. Rseau Toute personne accdant, via le rseau, une ressource de l'ordinateur. Interactif Tous les utilisateurs qui ont ouvert une session localement (dans le cas o vous utiliseriez Terminal Server, ce groupe comprend tous les utilisateurs ayant ouvert une session sur le serveur de terminal.) c. Cration d'un groupe Comme pour la cration des utilisateurs locaux, la cration des groupes locaux seffectue partir de la console Gestion de l'ordinateur. Donnez au groupe un nom reprsentatif, ventuellement une description Cliquez sur le bouton Ajouter afin de dfinir les adhrents de ce groupe. Cette dclaration n'est pas obligatoire lors de la cration ; un groupe peut ne contenir aucun membre et son contenu peut tre modifi tout moment. Comme lors de l'ajout de groupe pour un compte d'utilisateur, cette action ouvre la fentre de slection qui permet de saisir directement les noms des membres, de vrifier les noms ou encore d'accder la fentre avance pour rechercher les comptes. Vrifiez donc attentivement lemplacement indiqu dans cette bote de dialogue. Sur un serveur autonome, un groupe local ne peut contenir que des utilisateurs locaux.
Page 50/75
Sur un serveur membre, un groupe local peut contenir des utilisateurs locaux ou de domaine, ou encore des groupes globaux de domaine.
2.
Gestion dans un domaine

Chaque personne utilisant le rseau doit possder un compte d'utilisateur de domaine pour se connecter au domaine et ainsi avoir accs aux ressources rseau. Ces comptes d'utilisateurs sont crs dans la base d'annuaire de Windows 2003. Lorsqu'un utilisateur se connecte au domaine, les informations d'ouverture de session sont envoyes un contrleur de domaine qui les compare avec celles de la base d'annuaire Active Directory. Une fois l'ouverture de session valide, l'utilisateur a accs toutes les ressources rseau pour lesquelles il possde les permissions. Lorsque vous transformez le serveur Windows 2003 en contrleur de domaine (installation d'Active Directory), les informations de groupes et d'utilisateurs contenues dans la base SAM sont transposes dans la base d'annuaire Active Directory.
2.1
Structure de base d'un domaine Avant de procder la cration de groupe et de compte d'utilisateur dans un domaine Active Directory, il convient d'en prsenter la structure par dfaut. Comme vous pouvez le supposer, l'administration des utilisateurs, des groupes et des ordinateurs d'un domaine est assure par la console Utilisateurs et ordinateurs d'Active Directory (Dsa.msc) : la premire excution de cette console, vous pouvez constater la prsence d'une structure hirarchique prdfinie que nous allons dtailler brivement. Nous porterons donc lattention sur la racine de cette console, reprsente par le nom du domaine. Tout le domaine Active Directory disposera au minimum de cette structure (sous rserve de modification du schma). Par dfaut, certains lments sont masqus et peuvent tre visualiss partir du menu Affichage Fonctionnalits avances. Bultin Il sagit dun conteneur systme qui contient lensemble des groupes locaux prdfinis. Vous pouvez crer de nouveaux utilisateurs, ordinateurs ou groupes dans ce conteneur mais il nest pas possible de supprimer ou dplacer les groupes dorigine. Computers Comme Son nom le laisse supposer, ce conteneur systme hberge par dfaut tous les comptes dordinateurs membres du domaine lexception des contrleurs de domaine. Il est bien sr conseill de ne pas laisser ces comptes dans ce conteneur mais de les dplacer dans des units organisationnelles plus reprsentatives. Domain Controllers Il sagit dune unit organisationnelle qui contient par dfaut les comptes dordinateurs de lensemble des contrleurs dun mme domaine. Bien que cela soit dconseill, les comptes dordinateurs peuvent tre dplacs et de
Page 51/75
nouvelles units organisationnelles cres. Il est important de remarquer quune stratgie de groupe sapplique ce nouveau et dfinit ainsi la scurit inhrente tous les contrleurs du domaine. ForeignSecurityPrincipal Ce conteneur systme hberge les rfrences de scurit (SID) utilises par les relations d'approbation avec des domaines internes et externes la fort. Ce sont des objets fictifs de substitution (placeholder), chargs d'identifier les utilisateurs ou groupes des domaines externes approuvs.
LostAndFound Ce conteneur systme est normalement vide puisqu'il ne contient que des objets orphelins. II ne s'agit pas d'une corbeille pour des objets supprims, mais d'un lieu de stockage des objets qui n'ont plus de parent. Par exemple, lorsque vous crez un utilisateur dans une unit organisationnelle, alors que celle-ci est supprime sur un autre contrleur, lors de la rplication, le compte d'utilisateur orphelin n'est pas dtruit mais stock dans ce conteneur. NTDS Quotas Ce conteneur systme est destin comptabiliser le nombre d'objets dtenu par une entit de scurit. A l'instar des quotas de disque, les quotas d'annuaire se basent sur le propritaire de l'objet. Utilisez les commandes DSMOD QUOTAS ou DSADD QUOTAS ... pour modifier ou ajouter une entre de quotas NTDS. Program Data Ce conteneur systme accueille les partitions d'applications et peut contenir toutes sortes d'objets. Les partitions d'applications sont une spcificit de Windows Server 2003 et s'ajoutent aux partitions de schmas, de configurations et de domaines dj prsentes sur un contrleur de domaine. La porte de rplication d'une partition d'application peut tre configure afin d'tre hberge sur les contrleurs de domaine de votre choix. Les partitions d'applications sont cres par I'application elle-mme. Vous pouvez par exemple utiliser la console DNS pour Crer des partitions de l'annuaire d'applications par dfaut, partir du menu contextuel du serveur. System Comme son nom le laisse supposer, ce conteneur systme hberge de nombreux objets ncessaires au systme tels que les liaisons de stratgies de groupe, les zones DNS intgres, la configuration DFS, les stratgies de scurit IP ... Users Ce conteneur systme hberge par dfaut les groupes et comptes d'utilisateurs (ainsi que ceux issus d'une migration, ou de la promotion d'un contrleur de domaine). II est bien sr conseill de ne pas laisser ces
Page 52/75
comptes dans ce conteneur mais de les dplacer dans des units organisationnelles plus reprsentatives. En rsum, l'administrateur d'un domaine sera principalement concern : par sa propre structure constitue organisationnelles, d'utilisateurs, de d'imprimantes et de dossiers publis ; essentiellement d'units groupes, d'ordinateurs,
par les conteneurs Users et Computers, afin de dplacer les objets dans sa propre structure ; ponctuellement par la modification de la stratgie de groupe du domaine ou celle des contrleurs et du domaine, et plus gnralement par les propres stratgies de groupe qu'il aura dfinies dans sa structure. Les conteneurs systme peuvent contenir des utilisateurs, des groupes, des ordinateurs ou d'autres objets de ce type. Toutefois, les units organisationnelles sont prfrables, du fait de leur plus grande souplesse d'utilisation et des possibilits lies aux stratgies de groupe. 2.2 Gestion des utilisateurs d'un domaine a. Comptes prdfinis Comme nous l'avons voqu pour la base locale, il existe plusieurs comptes et groupes prdfinis dans la base Active Directory. Parmi ces utilisateurs et groupes prsents on devra distinguer les comptes locaux, ventuellement issus de la base locale originale, de ceux crs pour les besoins du domaine. Comme pour une base locale, nous retrouvons les comptes Administrateur et Invit (qui conservent les statuts et mots de passe d'avant la promotion) prsents pour satisfaire les mme besoins que ceux d'une machine locale. Avant de dtailler la notion de groupe, il est intressant de remarquer que le compte Administrateur d'origine appartient dornavant plusieurs groupes ( condition quil s'agisse d'un contrleur pour un nouveau domaine, car les contrleurs supplmentaires perdent leur base locale au profit d'une duplication partir des autres contrleurs du domaine) :
- le groupe Administrateurs, pour les besoins d'administration locaux du

contrleur de domaine ; - le groupe Admins du domaine, pour les besoins d'administration de toutes les machines membres du domaine. S'il s'agit du premier contrleur de domaine de la fort, l'administrateur appartient en plus aux groupes suivants : - groupe Admins de l'entreprise, pour les besoins d'administration de toute la fort (un privilge suprme) ; - groupe Admins du schma, pour les besoins de modification du schma dActive Directory (concerne toute la fort).
Page 53/75
b. Cration d'un compte d'utilisateur Pralablement la cration d'utilisateurs, il peut tre intressant de dfinir une convention de nomenclature permettant d'identifier chaque utilisateur, et surtout de faire en sorte que chaque nom d'ouverture de session soit unique dans le domaine. Par exemple, on peut employer la premire lettre du prnom suivie du nom de l'utilisateur. En cas de doublons, on ajoutera, par exemple, la deuxime lettre du prnom. Un utilisateur se nommant Pierre DURANT et ayant comme collgue Paul DURANT, pourrait avoir comme nom d'ouverture de session pidurant et son collgue padurant. La cration des comptes d'utilisateurs d'un domaine s'effectue donc par la console Utilisateurs et ordinateurs Active Directory. Cet objet utilisateur peut tre cr dans n'importe quel conteneur. Pour cela, slectionnez l'unit d'organisation ou le conteneur systme dans lequel vous dsirez crer le compte, puis utilisez le menu contextuel ou le menu Action Nouveau - Utilisateur. Prnom, Initiales, Nom Ces champs permettent de renseigner respectivement les prnoms, initiales et nom de famille de l'utilisateur. Ces champs sont facultatifs et leur contenu est automatiquement recopi dans le champ Nom complet. Nom complet Ce nom est obligatoire et doit tre unique dans l'unit d'organisation dans laquelle vous crez le compte d'utilisateur. II ne doit pas excder 64 caractres. Si vous avez renseign les champs prcdents, il contient par dfaut les champs PRENOM + INITIALES + NOM mais vous pouvez le modifier indpendamment de ceux-ci. Nom d'ouverture de session de l'utilisateur
II s'agit du nom que l'utilisateur va employer pour s'authentifier auprs d'un contrleur de domaine. II doit tre unique dans le domaine et conu a
partir de votre convention de nomenclature. Ce nom d'ouverture de session est suivi du nom de domaine. Sur cet exemple, l'utilisateur pourra donc ouvrir une session en tant que pidurant@eni.fr. Attention, le nom de domaine par dfaut correspond au domaine racine et pas ncessairement au domaine courant. Utilisez la liste droulante pour le domaine. Si vous souhaitez que les utilisateurs ouvrent une session avec leur nom de messagerie (adresse e-mail) et que celui-ci ne correspond pas au nom de domaine Active Directory, vous devrez ajouter un suffixe UPN partir de la console Domaines et approbations dActive Directory. Ce suffixe apparatra dans la liste droulante au mme titre que les autres domaines de l'arborescence. Nom d'ouverture de session de l'utilisateur (antrieur Windows 2000) Nom de connexion que les utilisateurs disposant d'une version antrieure Windows 2000 (Windows 95. 98. NT) devront utiliser pour se connecter. Ce nom ne doit pas dpasser 20 caractres. Par dfaut, le champ prcdent est recopi mais vous pouvez choisir un nom compltement diffrent.
Page 54/75
Mot de passe et Confirmer le mot de passe L'administrateur peut fournir un mot de passe l'utilisateur. L'utilisateur doit changer le mot de passe la prochaine ouverture de session Si cette option est coche (par dfaut), l'utilisateur devra choisir son mot de passe ds qu'il ouvrira pour la premire fois une session. Ensuite, il n'aura plus le faire jusqu' l'expiration du mot de passe et il utilisera le mot de passe qu'il a saisie. Ceci permet l'administrateur de laisser le choix du mot de passe aux utilisateurs. L'administrateur n'a aucun moyen, dans ce cas, de connatre le mot de passe d'un utilisateur ; il peut simplement le rinitialiser. L'utilisateur ne peut pas changer de mot de passe Cette option peut tre utilise pour figer certains mots de passe comme celui du compte invit ou ceux des comptes utiliss par plusieurs personnes. Cette option oblige ladministrateur (ou une personne qui on dlgue cette tche) grer les mots de passe des utilisateurs. Le mot de passe n'expire jamais Utilisez cette option si vous souhaitez que le mot de passe ne soit pas remis en cause par la stratgie de scurit du domaine. Cette option peut s'avrer utile si le compte est utilis par une application ou un service. Le compte est dsactiv Cochez cette option pour que personne ne puisse utiliser ce compte, par exemple lorsqu'un utilisateur part en vacances. Lorsqu'un compte est dsactiv, une croix apparat sur son icne. c. Proprits des comptes d'utilisateurs Pour dfinir ou modifier les caractristiques d'un compte d'utilisateur, slectionnez l'objet puis utilisez le menu Action - Proprits ou le menu contextuel. Les onglets Gnral et Adresse dfinissent des proprits personnelles concernant l'utilisateur : son adresse, ses numros de tlphone ... Ces informations vont tre stockes dans la base d'annuaire, dans le but de rechercher trs facilement des utilisateurs. Une fois le contact localis, il est possible d'effectuer un certain nombre d'actions : lui envoyer un message lectronique, ouvrir sa page Internet, diter ses proprits pour connatre son numro de tlphone, etc. Dans l'onglet Compte, contrairement aux proprits personnelles, les proprits de compte n'apportent pas de renseignements sur l'utilisateur, mais des paramtres de comportement du compte (restrictions d'horaires, expiration du compte...). Vous pouvez galement rechercher des objets partir de la commande en ligne DSQUERY. La partie suprieure permet de modifier les noms d'ouverture de session entrs lors de la cration du compte.
Page 55/75
Restrictions horaires Pour des raisons de scurit, il peut tre souhaitable de dfinir des horaires pendant lesquels un utilisateur sera autoris ouvrir une session. Pour cela, cliquez sur le bouton Horaires d'accs. Slectionnez les plages horaires souhaites puis utilisez les boutons radio Ouverture de session autorise et Ouverture de session refuse selon vos besoins. Restrictions d'accs Pour restreindre l'accs des utilisateurs certaines stations, utilisez le bouton Se connecter puis ajoutez les noms des ordinateurs partir desquels l'utilisateur est autoris ouvrir une session. Vous devez entrer les noms exacts des machines (NetBIOS ou Nom DNS) car cette boite de dialogue ne prsente pas de lien ou de contrle avec les comptes d'ordinateurs. Options de compte Ce cadre permet de modifier les paramtres entrs lors de la cration du compte, comme :
- Le mot de passe n'expire jamais. - L'utilisateur doit changer de mot de passe la prochaine ouverture de
session.
- L'utilisateur ne peut pas changer de mot de passe. - Le compte est dsactiv.

D'autres options supplmentaires sont disponibles : Une carte puce est ncessaire pour ouvrir une session interactive Windows 2003 permet de se faire authentifier par carte puce si votre matriel est quip d'un lecteur de cartes. Le compte est sensible et ne peut pas tre dlgu Personne ne pourra utiliser la dlgation de contrle sur ce compte. Le compte est approuv pour la dlgation Utilisez cette option afin de donner la permission l'utilisateur de dlguer des tches administratives d'autres utilisateurs. Enregistrer le mot de passe en utilisant un cryptage rversible Utilisez cette option si vous avez des utilisateurs travaillant sur des machines Apple sur le rseau Windows 2003 Utiliser les types de cryptage DES pour ce compte Cochez cette case si vous souhaitez utiliser le cryptage DES (Data Encryption Standard). DES prend en charge les mthodes de cryptage telles que IPSec, MPPE. La pr-authentification kerberos n'est pas ncessaire
Page 56/75
Utilisez cette option si le compte d'utilisateur emploie une autre version du protocole Kerberos (Protocole d'authentification par dfaut sur les domaines Windows 2000 et 2003). Expiration de compte Pour faire expirer un compte une date prcise (par exemple lorsqu'un utilisateur, tel un stagiaire, a besoin d'un compte pour une dure prdfinie), procdez de la manire suivante : Sous la rubrique Date d'expiration, slectionnez l'option Fin puis ouvrez la liste droulante pour faire apparatre un calendrier partir duquel vous pouvez slectionner la date d'expiration. Les comptes crs pour une occasion particulire puis "oublis" avec le temps constituent autant de failles de scurit potentielles que cette option permet facilement dviter. Lorsqu'un compte d'utilisateur expire, il passe l'tat dsactiv. d. Copie d'un compte d'utilisateur Lorsque vous devez crer plusieurs comptes d'utilisateurs disposant des mmes caractristiques, une solution simple consiste crer un compte modle disposant de toutes les caractristiques communes, puis d'en faire une copie. Lors d'une copie de compte, les paramtres suivants sont conservs :
- les restrictions horaires ; - les options de comptes suivantes :

-
l'utilisateur doit changer de mot de passe la prochaine ouverture de session ; l'utilisateur ne peut pas changer de mot de passe ; le mot de passe n'expire jamais ; le compte est dsactiv.
- les restrictions d'accs ; - la date d'expiration

;
variable %username% la place d'un nom explicite) ;

-
- les options de profil et de dossier de base (dans ce cas, utilisez la

l'appartenance aux groupes.
Pour raliser une copie de compte, slectionnez le compte d'utilisateur copier, puis utilisez le menu Action - Copier ou le menu contextuel.
e. Modification d'un compte
Rinitialisation du mot de passe Dans le cas o un utilisateur oublie son mot de passe, il faut rinitialiser ce dernier, aprs vrification de l'identit de l'utilisateur. Pour cela, slectionnez le compte d'utilisateur puis employez le menu Action Rinitialiser le mot de passe ou le menu contextuel.
Page 57/75
Dplacement de l'objet utilisateur Comme la structure hirarchique d'unit d'organisation n'est pas fige, il peut tre utile de dplacer un compte d'utilisateur (comme tout autre objet), d'un conteneur vers un autre. Pour cela, slectionnez le compte d'utilisateur puis glissez l'objet sur le conteneur de destination. Vous pouvez galement utiliser la mthode de Windows 2000, en sollicitant le menu Action - Dplacer ou le menu contextuel. Slectionnez ensuite le conteneur de destination, puis cliquez sur OK. Notez que vous pouvez modifier plusieurs comptes d'utilisateurs en maintenant les touches [Maj] ou [Ctrl] enfonces pendant la slection. Ceci permet d'agir plus facilement sur un ensemble d'utilisateurs plutt que de recommencer ces actions pour chacun d'entre eux. La slection multiple d'utilisateurs permet de : - ajouter ces utilisateurs dans un groupe ;
-
activer/dsactiver ces comptes d'utilisateurs ; dplacer ces comptes vers un autre conteneur ; envoyer un message ces utilisateurs ; supprimer ces utilisateurs ;
- couper (dans le but d'un dplacement) ;

-
- accder aux proprits communes de ces utilisateurs.
2.3 Gestion des groupes

a. Types de groupes Comme nous l'avons prcis prcdemment, les groupes sont utiliss pour grer les comptes d'utilisateurs dans le but d'accder des ressources, tout ceci dans un souci de simplification de l'administration. Comme pour les comptes d'utilisateurs, les groupes emploient un identifiant de scurit unique SID, gnr au moment de la cration du groupe (ou rserv pour les groupes pr6dfinis et identits spciales). Ces identifiants entrent dans la composition du jeton l'utilisateur, en fonction des groupes auxquels il appartient. d'accs de
Active Directory supporte plusieurs types et tendues de groupes que nous allons prsenter ici. Deux types de groupes sont disponibles :
- Les groupes de scurit, utiliss pour grer la scurit des ressources du ou des domaines. - Les groupes de distribution, utiliss par exemple pour envoyer des messages lectroniques l'ensemble des utilisateurs de ces groupes. Ces groupes ne sont pas utilisables pour la scurit. Ils peuvent cependant tre requis par des applications de messagerie qui ne peuvent pas interprter les groupes de scurit contenus dans Active Directory, ou pour sparer ces listes des notions de scurit.
Des applications comme Exchange 2000 peuvent exploiter les deux types de groupes.
Page 58/75
Ces deux types de groupes possdent une tendue qui spcifie les personnes qui peuvent en faire partie (compte d'utilisateur, de groupe ou d'ordinateur) ainsi que l'endroit partir duquel ils sont utilisables. Ces types d'tendues de groupes sont au nombre de trois : Domaine local Globale Universelle pour appliquer des permissions. pour organiser les comptes d'utilisateurs. pour regrouper des utilisateurs de n'importe quel domaine et leur assigner des permissions dans n'importe quel domaine.
Le contenu de ces groupes varie selon le mode de configuration du domaine : mode natif ou mode mixte.
Mode de domaine Mixte Windows 2000 Contrleurs Windows NT 4.0 Windows 2000 Windows 2003 Natif Windows 2000 Windows 2000 Windows 2003 Global Domaine Local Universelle Intrim Windows 2003 Windows NT 4.0 Windows 2003 Windows 2003 Windows 2003 Globale Domaine Local Globale Domaine Local Universelle Etendues Globale Domaine Local
En mode mixte ou intrim :
- Un groupe domaine local peut contenir des utilisateurs et des groupes globaux de n'importe quel domaine.
- Un groupe global contient des utilisateurs du mme domaine que le sien. - Les groupes (de scurit) universels n'existent pas en mode mixte. En mode natif Windows 2000 ou Windows 2003 : - un groupe domaine local peut contenir des comptes d'utilisateurs, des groupes globaux et groupes universels d'un domaine quelconque de la foret ainsi que des groupes locaux de domaine de son propre domaine.
- Un groupe global peut contenir des comptes d'utilisateurs et des groupes

globaux du mme domaine.
Page 59/75
- Un groupe universel peut contenir des comptes d'utilisateurs, des
groupes globaux et des groupes universels d'un domaine quelconque de la fort. Les groupes locaux de domaine peuvent obtenir des permissions du domaine dans lequel ils existent. Les groupes globaux et universels bnficient d'autorisations dans tous les domaines de la fort. b. Mthodologies d'utilisation des groupes
Dans une architecture domaine unique, les tendues de groupe sont moins importantes puisque qu'il n'existe pas de contrainte interdomaine. Toutefois, il est souhaitable de s'astreindre de bonnes habitudes, car une architecture n'est jamais fige et peut ncessiter une volution plus ou moins long terme. De plus, les mthodes et les conventions de nom pour les groupes doivent tre cohrentes et dfinies pour l'entreprise et toute l'quipe technique, et non par chaque administrateur. Afin de choisir les tendues de groupe les plus adaptes vos besoins, nous allons prsenter quelques mthodes d'implmentation bases sur des rgles mnmotechniques. Ainsi nous dsignerons chaque lment par un symbole : A L G DL U P (Account) Compte d'utilisateur (Domain Local Group) Groupe Local (Global Group) Groupe Global (Domain Local Group) Groupe Local de domaine (Universal Group) Groupe Universel (Permissions) Droits et autorisations
Mthode A, G, P Cette mthode consiste inclure les comptes d'utilisateurs dans un groupe global puis affecter les autorisations et privilges sur ce groupe global.
Avantages La simplicit de mise en oeuvre de cette mthode est adapte une architecture de domaine unique. Elle est retenue en particulier lorsque le nombre d'utilisateurs et les contraintes d'autorisations sont faibles. En revanche, l'absence d'imbrication de groupe et l'utilisation d'un seul type de groupe simplifient la gestion et la dtermination des droits effectifs. Un choix judicieux des noms de groupes est essentiel dans ce type de gestion. Inconvnients
Page 60/75
Cette mthode risque de compliquer la gestion dans une architecture de domaines multiples. En effet, lorsque plusieurs domaines ncessitent les mmes autorisations, vous devez grer individuellement les privilges de chaque groupe global. De plus, cette gestion peut dgrader les performances. En effet, chaque fois qu'un utilisateur accde une ressource d'un serveur, ce dernier doit vrifier les appartenances de groupe global car celles-ci ne sont pas mises en cache par le serveur. Mthode A, DL, P Cette mthode consiste inclure les comptes d'utilisateurs dans un groupe local de domaine puis affecter les autorisations et privilges sur ce groupe local de domaine.
Avantages Bien que cette mthode soit peu recommande, elle reste adapte dans une architecture de domaine unique comprenant peu d'utilisateurs et qui n'est pas voue voluer vers une fort multidomaine. Les appartenances aux groupes locaux de domaine sont mmorises par les serveurs, mais un nombre important de membres peut dgrader rapidement les performances. Comme pour la mthode prcdente, la simplicit d'un seul type de groupe et l'absence d'imbrication facilitent les diagnostics et la dtermination des droits effectifs. Inconvnients L'une des principales contraintes de ce genre de gestion est le manque de flexibilit et d'volution de l'architecture. En effet, vous ne pouvez pas affecter des autorisations sur le groupe en dehors du domaine. De plus, vous ne pourrez pas utiliser ces groupes pour grer les ressources partages par des serveurs membres sous Windows NT4.0. Mthode A, G, DL, P Cette mthode consiste inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe local de domaine, puis affecter les autorisations et privilges sur ce groupe local de domaine.
Page 61/75
Avantages Cette mthode s'adapte toutes les architectures de domaine (mono ou multidomaine). Elle doit permettre de rduire les temps d'administration, car les autorisations sont gres exclusivement par les groupes locaux de domaine alors que les utilisateurs appartiennent uniquement aux groupes globaux. De plus, cette mthode est applicable quel que soit le mode fonctionnel du domaine. Inconvnients La complexit d'une telle mthode peut rendre la gestion pour les administrateurs et la dtermination des droits effectifs d'un utilisateur plus dlicates. De plus, ce type de gestion n'est pas vident initialiser et maintenir. Cela doit donc faire l'objet d'une tude mrement rflchie et bien documente. Cette mthode reste toutefois limite aux trs grosses structures qui grent de nombreux utilisateurs. Elle sert galement mutualiser les dfinitions des besoins. Mthode A, G, U, DL, P Cette mthode consiste inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe universel, ce groupe universel dans un groupe local de domaine puis affecter les autorisations et privilges sur ce groupe local de domaine.
Une variante de cette mthode pourrait reposer sur l'imbrication de groupes globaux. On obtiendrait une logique de type : A, G, G, DL, P ou A, G, G, U, DL, P. Avantages Cette mthode s'adapte toutes les architectures de domaine (mono ou multidomaine). Elle doit permettre de rduire les temps d'administration, pour les mmes raisons que la mthode prcdente. De plus, elle permet de mutualiser des besoins dj dfinis dans un groupe global, par l'imbrication de celui-ci dans un groupe global ou universel fdrateur. La figure ci-aprs illustre un exemple qui peut apparatre complexe mais dmontre l'intrt d'une telle mthode.
Page 62/75
Plusieurs utilisateurs de domaines A et B sont intgrs dans un groupe global pour dfinir les personnes du secrtariat comptable. De la mme manire plusieurs utilisateurs des domaines A et B sont intgrs dans un groupe global en qualit d'experts comptables. Ces deux groupes globaux pourraient tre intgrs dans le groupe local du domaine B pour autoriser l'accs la ressource des donnes comptables. Dans cet exemple, le groupe universel des comptables de l'entreprise regroupe les services secrtariat comptable et experts-comptables dans un groupe unique. L'appartenance du groupe universel au groupe local du domaine B autorise l'accs la ressource des donnes comptables. Inconvnients La complexit d'une telle mthode peut rendre la gestion pour les administrateurs et la dtermination des droits effectifs d'un utilisateur plus dlicates. De plus, ce type de gestion n'est pas vident initialiser et maintenir. Cela doit donc faire l'objet d'une tude mrement rflchie et bien documente. Cette mthode requiert l'imbrication de groupe ou l'utilisation des groupes universels. Elle est donc rserve aux domaines OU fort en mode fonctionnel natif Windows 2000 ou Windows 2003. De plus, les appartenances aux groupes universels sont gres par le(s) serveur(s) de catalogue global. Cela implique que ces derniers soient en nombre suffisant et peut engendrer des temps de latence importants, selon la topologie des liaisons et le nombre de sites. Un serveur de catalogue global est un contrleur de domaine qui hberge une copie partielle des objets de tous les domaines de la fort, en plus de la rplique complte des objets de son propre domaine. La fonction de catalogue global est active dans la console Sites et services d'Active Directory, sous la rubrique NDTS Settings du serveur en question.
Page 63/75
Avec Windows 2003, l'appartenance aux groupes universels est mise en cache par les serveurs membres. Ceci amliore sensiblement les performances par rapport Windows 2000. Mthode A, G, L, P Cette mthode consiste inclure les comptes d'utilisateurs dans un groupe global, les groupes globaux dans un groupe local, puis affecter les autorisations et privilges sur ce groupe local.
s'agit ici de la mthode utilise par dfaut lorsqu'un ordinateur devient membre d'un domaine. En effet, dans ce cas le groupe global Admins du domaine est ajout au groupe local Administrateurs de l'ordinateur membre, et le groupe global Utilisateurs du domaine est ajout au groupe local Utilisateurs de l'ordinateur membre.
II
Avantages Avec cette mthode, les groupes locaux sont dfinis (ou prdfinis) par machine et les autorisations sur les ressources locales sont affectes sur ces groupes. Si l'on considre qu'une ressource est lie une machine (ce n'est pas le cas des systmes distribus), on peut admettre que c'est un choix appropri. De plus, cette mthode est applicable quel que soit le mode fonctionnel des domaines ou de la fort. Cette mthode prsente surtout l'avantage d'tre compatible avec les ordinateurs NT4 et peut tre retenue pour conserver les acquis et les habitudes de gestion aprs une migration de domaine NT4 vers Windows 2003. Inconvnients Une des limites de cette mthode est qu'il n'est pas possible de dfinir des autorisations en dehors de la machine locale. Cela signifie que chaque groupe local et ses membres sont grs sur chaque ordinateur partageant des ressources. De ce fait, la gestion des groupes dfinissant laccs aux ressources est dcentralise car ils ne sont pas intgrs dans Active Directory. Cette mthode est privilgier tant que le nombre d'utilisateurs et de serveurs de ressources reste faible. Quelle que soit votre mthodologie, n'oubliez jamais d'affecter les privilges un groupe, quel qu'il soif, mais en aucun cas directement au niveau d'un d'utilisateur. c. Groupes prdfinis Rappelons que tous les ordinateurs fonctionnant sous Windows NT, 2000 ou 2003 disposent d'un certain nombre de groupes locaux prdfinis et crs lors de l'installation d'origine du systme. Lors de la promotion d'un contrleur Windows 2003 pour un nouveau domaine, les groupes locaux
Page 64/75
existant sont transposs en groupes globaux de domaine et plusieurs groupes globaux et locaux de domaine sont galement gnrs. Les groupes globaux prdfinis sont prsents dans le conteneur Users par dfaut : Administrateurs de l'entreprise Les personnes membres de ce groupe disposent de droits d'administrateur sur toute la fort (et non plus limits au domaine). De plus, ils peuvent modifier le schma et la topologie des sites Active Directory. Par dfaut, le compte administrateur du premier contrleur de domaine de la fort fait partie de ce groupe. En raison des privilges ultimes octroys ce groupe, de limitez l'appartenance quelques utilisateurs de confiance. Dans nombreux cas l'appartenance au groupe Admins du domaine du domaine racine est suffisante Ce groupe global est modifi en groupe universel lorsque en mode Windows 2000 ou 2003. Administrateurs du schma Les personnes membres de ce groupe disposent de modification du schma d'Active Directory. Cela signifie quils peuvent ajouter ou supprimer toute classe ou attribut dobjet. Lappartenance ce groupe est ncessaire lorsquune personne ou une application doit modifier le schma (cf. Exchange 2000). Ce groupe global est modifi en groupe universel lorsque le domaine est en mode natif Windows 2000 ou 2003. Admins du domaine Le compte Administrateur fait partie de ce groupe, lui-mme intgr au groupe local de domaine Administrateurs. En fait, le compte d'utilisateur Administrateur ne possde pas de droit particulier en tant que compte. C'est le fait de l'intgrer dans ce groupe global qui lui donne les droits, par le biais du groupe local de domaine Administrateurs. Contrleurs du domaine Tous les comptes d'ordinateurs des contrleurs du domaine font partie de ce groupe. II permet de grer les besoins spcifiques aux contrleurs du domaine, ceux-ci tant gnralement diffrents des besoins des autres ordinateurs membres. DnsUpdateProxy Les membres de ce groupe ont le droit d'inscrire ou modifier enregistrement dans les zones DNS intgres Active Directory, si dernires n'acceptent que les mises jour scurises. Vous pouvez exemple ajouter le compte d'un serveur DHCP pour qu'il bnficie de privilges. Invits du domaine Le compte d'utilisateur Invit est automatiquement intgr ce groupe. De plus, ce groupe global est lui aussi automatiquement intgr dans le groupe local de domaine Invits. Ordinateurs du domaine un ces par ces
le
domaine est
Page 65/75
Tous les comptes d'ordinateurs qui joignent le domaine font partie de ce groupe. Vous pouvez par exemple intgrer un groupe local de domaine afin que les ordinateurs puissent accder certaines ressources, indpendamment des utilisateurs. Propritaires crateurs de la stratgie de groupe
Le compte Administrateur est automatiquement intgr ce groupe. Il regroupe les crateurs/propritaires des stratgies de groupe afin de permettre la modification de celles-ci et couvrir des besoins spcifiques. Les membres de ce groupe ne peuvent cependant pas modifier les stratgies de groupe au niveau des sites. Utilisa. du domaine Tous les comptes d'utilisateurs que vous crez font, par dfaut, partie de ce groupe. Ce compte est automatiquement intgr au groupe local du domaine Utilisateurs. Ses membres ne peuvent effectuer que les tches spcifies et n'ont accs qu'aux ressources dont les permissions sont attribues au niveau du groupe local de domaine Utilisateurs. Les groupes locaux du domaine prdfinis sont prsents dans le conteneur Builtin par dfaut : Accs compatible pr-Windows 2000 Ce groupe permet d'assurer la compatibilit avec les versions antrieures Windows 2000, en offrant un accs en lecture sur le domaine. Le niveau de compatibilit pour les versions antrieures Windows 2000, dtermin lors de l'installation du domaine ajoute les entits spciales Tout le monde et Anonymous Logon ce groupe, afin doffrir un accs en lecture sur certains attributs et autoriser les ouvertures de session anonymes. Par dfaut, pour les nouveaux domaines en mode comptabilit Windows 2000 et 2003, seul le groupe spcial Utilisateurs authentifis appartient ce groupe. Administrateurs Les membres de ce groupe peuvent administrer les contrleurs de domaine ainsi que toute station ayant intgr le domaine. Par dfaut, le groupe global admins du domaine ainsi que le compte Administrateur font partie de ce groupe local. Duplicateurs Les membres de ce groupe peuvent grer le systme de rplication de fichier utilis particulirement par les contrleurs de domaine (File Replication Service). Gnrateurs d'approbation de fort entrante Les membres de ce groupe peuvent crer et grer les relations d'approbation entrantes vers les domaines de la fort. Groupe d'accs d'autorisation Windows
Les membres de ce groupe ont accs tokenGroupsGlobalAndUniversal sur les objets utilisateur. Ils ainsi consulter les appartenances de groupes pour les d'utilisateurs. L'emploi et le but de ce groupe, sont proches de
l'attribut peuvent comptes ceux du
Page 66/75
groupe Accs compatible pr-Windows 2000. Par dfaut, lentit spciale Enterprise Domain Controlers est membre de ce groupe. Invits Le groupe global Invit du domaine ainsi que le compte dutilisateur Invit sont intgrs dans ce groupe. Les membres de ce dernier disposent de peu de droits. Oprateurs de comptes Les membres de ce groupe peuvent administrer les comptes d'utilisateurs et groupes (ajouter, supprimer et modifier). Ils ne peuvent cependant pas accder au compte Administrateur ni aux autres membres du groupe Oprateurs de comptes. Oprateurs de configuration rseau Les membres de ce groupe peuvent modifier les paramtres rseau des ordinateurs : renouveler ou librer une adresse IP dynamique, activer/dsactiver une interface ou crer une connexion d'accs distant, etc.
Oprateurs de sauvegarde Les membres de ce groupe peuvent effectuer des sauvegardes et des restaurations sur tout contrleur de domaine. Oprateurs de serveur Les membres de ce groupe peuvent partager des ressources ainsi qu'effectuer des sauvegardes et des restaurations sur les serveurs du domaine. Oprateurs d'impression Les membres de ce groupe peuvent grer les imprimantes rseau des contrleurs de domaine. Par dfaut, les diffrents groupes oprateurs ne disposent pas de membres. Ajoutez des comptes d'utilisateurs dans ceux-ci pour attribuer des droits spcifiques vos utilisateurs. Si un utilisateur est dsign pour effectuer les sauvegardes, intgrez-le dans le groupe oprateurs de sauvegarde plutt que dans le groupe administrateur. Pour matriser la scurit, il est prfrable de limiter les droits d'un utilisateur ses fonctions. Serveurs de licences des services Terminal Server Les membres de ce groupe peuvent grer les attributions de licences Terminal Server. Utilisateurs
Le
groupe global Utilisateurs du domaine est intgr dans ce groupe. Ce dernier peut tre utilis pour affecter des droits et permissions toute personne disposant d'un compte dans le domaine. Utilisateurs des journaux de performances
Page 67/75
Les membres de ce groupe peuvent dfinir ou modifier les compteurs, alertes et journaux de performances, afin de surveiller ou diagnostiquer un dysfonctionnement de l'ordinateur local ou distance. Ils peuvent galement utiliser le moniteur systme au mme titre que les membres du groupe suivant. Par dfaut, le groupe systme Service rseau est membre de ce groupe. Utilisateurs du moniteur de performances Les membres de ce groupe peuvent utiliser le moniteur systme situ dans l'analyseur de performances, localement ou distance. Ils ne peuvent cependant pas modifier les journaux de performances. Ce groupe n'a aucun membre par dfaut. Utilisateurs du Bureau distance Les membres de ce groupe peuvent ouvrir une session de type Terminal Server sur l'ordinateur si la fonctionnalit du Bureau distance est active. Les membres peuvent tre galement grs par la configuration du Bureau distance (proprits du systme). Ce groupe na aucun membre par dfaut. On Peut galement remarquer la prsence de groupes locaux de domaine dans, le conteneur Users. Ces groupes sont issus de la migration de la base locale d'origine groupes et/ou ajouts pour les besoins de certains services ou applications. Cert Publishers Les membres de ce groupe peuvent publier des certificats dans Active Directory. DnsAdmins Les membres de ce groupe peuvent administrer les services DNS de l'ordinateur. Administrateurs DHCP Les utilisateurs membres de ce groupe peuvent administrer les services DHCP de l'ordinateur. Serveurs RAS et IAS Les serveurs membres de ce groupe peuvent accder aux proprits d'accs distant des utilisateurs. Utilisateurs DHCP Les membres de ce groupe peuvent accder aux services DHCP de l'ordinateur en consultation uniquement. Utilisateurs WlNS Les membres de ce groupe peuvent accder aux services WlNS de l'ordinateur en consultation uniquement. Rappelons qu'en plus des groupes prcdemment voqus, il existe sur tout ordinateur fonctionnant sous Windows 2000 ou 2003, des groupes systme (ou identits spciales). La qualit de membre de ces groupes ne peut pas tre modifie, elle fait rfrence l'tat de votre systme un
Page 68/75
instant donn. La liste suivante prsente quelques-uns de ces groupes spciaux, sans exhaustivit. Interactif (Interactive) Comprend tous les utilisateurs qui ont ouvert une session localement. (Dans le cas o vous utilisez Terminal Server ou le Bureau distance, ce groupe comprend galement tous les utilisateurs ayant ouvert une session distance sur le serveur en mode Terminal Windows.) Identificateur de scurit (S-1-5-4) Ouverture de session anonyme (Anonymous Logon) Reprsente tous les utilisateurs ou services qui n'emploient aucune authentification particulire. Avec Windows 2003, ce groupe n'est plus intgr par dfaut au groupe Tout le monde. Identificateur de scurit (S-1 -5-7) Tout le monde (Everyone) Comprend tous les utilisateurs, ceux que vous avez crs, le compte invit ainsi que tous les utilisateurs des autres domaines. Attention, car lorsque vous partagez une ressource, ce groupe dispose par dfaut de la permission contrle total. Toutefois, avec Windows 2003, et par mesure de scurit, le groupe Ouverture de session anonyme n'est plus intgr par dfaut au groupe Tout le monde. Utilisateurs authentifis (Authenticated Users) Comprend tout utilisateur possdant un compte d'utilisateur et un mot de passe pour la machine locale ou Active Directory. Affectez des permissions ce groupe plutt qu'au groupe Tout le monde. Ce groupe intgre le compte Invit si Un mot de passe lui est associ. Crateur propritaire (Creator owner) Toute personne ayant cr ou pris possession d'une ressource fait indirectement partie de ce groupe pour la ressource concerne. Le propritaire d'une ressource dispose ainsi des pleins pouvoirs sur cette dernire. En ralit, il s'agit d'un groupe de substitution (placeholder) qui sera inscrit dans la liste de contrle d'accs la ressource, la place du compte du propritaire. En cas d'hritage, c'est l'identifiant du compte propritaire d'origine qui est plac dans la liste de contrle d'accs la ressource. Service Rseau (Network Service) Comprend toute personne accdant via le rseau une ressource locale de l'ordinateur. Attention le groupe Interactif ne fait pas partie de ce groupe. Il identifie un accs rseau sur une ressource et bob une ouverture de session. Appel Entrant (Dialup) Comprend toute personne accdant au systme via une connexion distante. Ce groupe est particulirement intressant pour contrler l'accs des utilisateurs sur vos connexions entrantes. Batch (Batch)
Page 69/75
Comprend tout utilisateur qui sollicite la file d'attente des tches planifies. Les comptes associs aux programmes lancs par le planificateur de tches appartiennent ce groupe. Identificateur de scurit (S-1-5-3) Contrleurs Controllers) de domaine d'Entreprise (Enterprise Dornain
Comprend tous les contrleurs de domaine de la fort qui utilisent Active Directory. Identificateur de scurit (S-1-5-9) Autre organisation (Other Organization) Permet de contrler les accs d'utilisateurs provenant de domaines ou fort externes lorsqu'ils sollicitent un service du systme. Identificateur de scurit (S-1-5-1 000) Soi-mme (Self ou Principal Self) Lorsque ce groupe est ajout dans la liste de contrle d'accs d'une ressource, les autorisations octroyes celui-ci sont transposes (placeholder) vers l'identifiant associ l'objet utilisateur, groupe ou ordinateur qui accde la ressource. Service (Service ou Local Service) Comprend tous les identifiants principaux de scurit qui sollicitent ou excutent un processus du systme en tant que service. Identificateur de scurit (S-1-5-6) Systme (System ou Local System) Ce n'est pas un groupe mais le compte du systme local. De nombreuses ressources ou fonctionnalits de l'ordinateur ne sont accessibles que via ce compte (Cl du registre, Dossiers spciaux, etc.). Il est fortement dconseill de retirer ce compte des listes de contrle dans lesquelles il est inscrit par dfaut. Utilisateurs de Terminal Server (Terminal Server Users) Comprend tous les utilisateurs connects aux services Terminai Server et Bureau distance. Ce groupe est inclus dans le groupe Interactif. d. Cration de groupes Pour crer des groupes au niveau d'un domaine, vous devez utiliser la console Utilisateurs et ordinateurs Active Directory. Le composant Utilisateurs et groupes n'apparat plus dans la console Gestion de l'ordinateur sur un contrleur de domaine. Vous pouvez spcifier un nom diffrent pour une utilisation de ce groupe sur une machine antrieure Windows 2000 (c'est le seul nom rpliqu vers les contrleurs secondaires de domaine NT4.0, en mode mixte ou intrim). Ce nom est obligatoire, quel que soit le mode fonctionnel du domaine.
Page 70/75
Si le domaine est en mode natif Windows 2000 ou Windows 2003, vous pouvez modifier tout moment le type de groupe. Vous pouvez aussi modifier son tendue : - Passer d'un groupe global un groupe universel suppose que le groupe global ne soit pas membre d'un autre groupe global. En effet, un groupe global ne peut contenir un groupe universel. - Passer d'un groupe local de domaine un groupe universel suppose que le groupe local ne contienne pas d'autres groupes locaux, car un groupe universel ne contenir de groupes locaux. Longlet Membres permet de visualiser, d'ajouter ou de supprimer des comptes d'utilisateurs ou d'ordinateurs a ce groupe. Vous pouvez aussi ajouter un utilisateur dans un groupe en passant par les proprits de l'utilisateur, puis en utilisant l'onglet Membre de . Longlet Membre de permet d'afficher la liste des groupes dont il fait partie. Par ce biais VOUS pouvez aussi insrer le groupe dans un autre groupe. Longlet Gr par permet dindiquer la personne ou le groupe chargs de grer le groupe. Un utilisateur peut donc, grce cet onglet, connatre par exemple le numro de tlphone de la personne responsable du groupe, et ainsi la contacter en cas de problme. Pour connatre le(s) groupe(s) d'appartenance d'un utilisateur, vous pouvez galement utiliser l'outil DSGET en ligne de commande : DSGET USER NomUtilisateur - memberof e. Actions sur un groupe Rechercher un groupe Si vous disposez de beaucoup de groupes dans une structure complexe d'units organisationnelles, il peut tre intressant de rechercher un groupe particulier dans toute la base Active Directory, dans le but de l'administrer. Vous pouvez galement utiliser les requtes enregistres dans la rubrique Requtes sauvegardes. Suppression dun groupe La suppression d'un groupe n'entrane pas la suppression des comptes membres de celui-ci (heureusement). Les droits et permissions associs ce groupe sont supprims. Ds que vous crez un groupe, un identifiant de scurit (SID) lui est associe. Ce SID est unique et ne peut tre rutilis. Par consquent, si vous supprimez un groupe et que vous en crez un autre possdant le mme nom, un nouveau SID sera associ ce groupe. Les Permissions de l'ancien groupe ne seront donc pas appliques au nouveau groupe. Renommer un groupe Lorsque vous renommez un groupe, vous changez le nom du groupe mais le SID associ reste le mme. Les membres de ce groupe sont conservs et peuvent donc continuer utiliser les ressources pour lesquelles ils possdent les permissions du groupe.
Page 71/75
Pour renommer un groupe, slectionnez le groupe en question puis utilisez le menu Action - Renommer ou le menu contextuel. Vous pouvez galement employer la touche [F2] ou cliquer de nouveau sur la slection puis modifier le nom affich. Dans ce cas, une fentre s'ouvre pour modifier ventuellement le nom NetBIOS du groupe. 2.4 Profils d'utilisateurs et rpertoire de base a. Profils d'utilisateurs Profils d'utilisateurs locaux Un profil d'utilisateur local est un fichier stock localement dans un dossier portant le nom d'ouverture de session de l'utilisateur. Il est stock sous le rpertoire Documents and Settings. Lorsquaucun profil itinrant n'existe pour un utilisateur sur un serveur, un nouveau dossier du nom de l'utilisateur est cr localement par duplication du modle de profil Default User. L'environnement de l'utilisateur est alors construit en ajoutant les informations contenues dans All Users. Tous les changements raliss par l'utilisateur sont enregistrs sous le nouveau profil de l'utilisateur, le profil initial Default User restant inchang. Dans chaque dossier, on retrouve lenvironnement de l'utilisateur. Le fichier de profil s'appelle ntuser.dat. Grce cette notion de profil, un utilisateur retrouve son environnement (couleurs du fond d'cran, personnalisation du menu Dmarrer) chaque ouverture de session. Si un utilisateur dispose d'un mme nom de compte pour se connecter en local et un domaine, deux dossiers diffrents sont crs. En ralit, lors de l'ouverture session, le systme tente de crer un dossier portant le nom de l'utilisateur. Si un dossier de mme nom existe dj, le systme ajoute le nom du fournisseur de scurit (domaine ou machine locale) en tant qu'extension. Le profil de l'utilisateur est li son dossier au moment de la cration. Pour associer un autre profil un utilisateur existant, vous devez procder une copie du dossier existant vers celui de l'utilisateur choisi. Pour cela, utilisez le bouton Copier vers disponible dans la gestion des profils utilisateur des proprits du systme. De la mme manire, lorsque le lien entre le profil et le fournisseur de scurit nest pas possible (compte supprim ou problme de connexion), le nom indique Compte inconnu. Profils d'utilisateurs itinrants Dans la notion de profil local, l'utilisateur retrouvera son environnement uniquement s'il ouvre une session sur la machine o il a configur son environnement. Dans bon nombre de rseaux, les utilisateurs se dplacent de poste en poste. II parat alors intressant de pouvoir rcuprer son profil, quelle que soit la machine partir de laquelle on se connecte. Ceci est possible en configurant des profils itinrants. Lorsqu'un utilisateur ouvre une session, le systme tlcharge automatiquement son profil itinrant. Avant cela, le systme compare ce dernier avec le profil se trouvant ventuellement sur la machine partir de laquelle l'utilisateur essaie d'ouvrir une session. Seules les modifications
Page 72/75
apportes au profil seront tlcharges, afin d'acclrer le processus d'ouverture de session. Cette fentre est accessible via les proprits du Poste de travail ou I'icne Systme du Panneau de configuration. Slectionnez ensuite l'onglet Avanc puis le bouton Paramtres dans le cadre Profil des utilisateurs. Par cette fentre, vous pouvez copier un profil utilisateur vers un autre afin de remplacer ce dernier, ou encore copier un profil utilisateur dans le modle de profil par dfaut. Pour cela, cliquez sur le bouton Copier dans pour faire apparatre la fentre suivante : Entrez le chemin vers lequel vous souhaitez copier ce profil, puis pensez indiquer qui a le droit d'utiliser ce profil (Autoris utiliser). Pour modifier le type d'un profil itinrant en profil local (et non l'inverse), cliquez sur le bouton Modifier le type. b. Rpertoire de base rpertoire de base d'un utilisateur est son dossier d'accueil. Ce rpertoire de base peut tre un chemin local ou un chemin rseau. L'intrt d'un chemin rseau est qu'un utilisateur pourra enregistrer ses donnes dans son rpertoire de base, quelle que soit la station sur laquelle il a ouvert une session. De plus, les oprations de sauvegarde seront facilites.
Le
Si vous utilisez une partition NTFS pour hberger les rpertoires de base, il est alors possible d'utiliser la variable %username% pour crer automatiquement le rpertoire de base de l'utilisateur, en s'appuyant sur son nom d'ouverture de session. De plus, lutilisateur aura un accs exclusif son rpertoire de base. Les permissions NTFS sont automatiquement positionnes lors de la cration du rpertoire. Dans cet exemple, nous avons cr sur le serveur Aragorn, un rpertoire nomm Home, partag en contrle total pour le groupe Tout le monde. La variable %username% crera automatiquement le rpertoire propre l'utilisateur sous le rpertoire Home. Ainsi, si Home a t cr sur une partition NTFS, seul l'utilisateur aura accs son propre rpertoire de base. Dans l'affichage des proprits, la variable %username% est remplace par le nom de l'utilisateur mais elle est cependant mmorise et sera automatiquement adapte lors d'une copie de compte d'utilisateur.
3.
Gestion des comptes d'ordinateur dans un domaine

Tout comme les utilisateurs, les ordinateurs doivent aussi avoir un compte cr dans Active Directory. Ce compte est utilis pour publier certaines informations (comme l'emplacement d'une imprimante partage) mais aussi pour la scurit. Les ordinateurs fonctionnant sous un systme de la famille Windows 9X (95-98- Millennium Edition et son remplaant XP Home), n'ont pas de fonctionnalits de scurit comme les stations NT, 2000, 2003 ou XP Professional et ne ncessitent donc pas de comptes d'ordinateurs.
3.1
Canal scuris de communication
Page 73/75
Quand un ordinateur NT-2000-2003-XP se connecte sur le rseau, le service NetLogon cre un canal scuris de communication avec le service NetLogon du contrleur de domaine. Ce canal est cr lorsque les deux lments ont russi s'authentifier mutuellement. Cette authentification s'effectue grce aux comptes d'ordinateurs. Une fois ce canal tabli, la session de communication entre les deux machines peut commencer. Le canai est scuris par lintermdiaire d'un mot de passe, stock avec le compte dordinateur dans Active Directory. Sous Windows 2003, ce mot de passe est chang tous les 30 jours par dfaut. Si celui-ci ne correspond pas la version stocke sur l'ordinateur local, il n'y a pas d'authentification possible et il faut alors rinitialiser manuellement le compte d'ordinateur. 3.2 Gestion des comptes d'ordinateur a. Ajout d'un compte d'ordinateur Les comptes d'ordinateurs peuvent tre ajouts de faon automatique l'installation de la station ou du serveur, ou manuellement dans Active Directory. Par dfaut, les comptes d'ordinateurs sont crs dans le conteneur Computers pour les ordinateurs membres, et dans I'OU Domain Controllers pour les contrleurs de domaine. Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur le conteneur ou I'OU dans lequel vous voulez crer un compte d'ordinateur. Dans le menu contextuel, slectionnez Nouveau - Ordinateur. Entrez le nom de l'ordinateur. b. Ajout d'un ordinateur a un groupe Les ordinateurs, comme les utilisateurs et les groupes, peuvent tre membres d'un groupe. Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, slectionnez Proprits. Dans l'onglet Membre de, slectionnez Ajouter. Ajoutez le groupe voulu. c. Dplacement d'un compte d'ordinateur Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, slectionnez Dplacer. Dans la fentre Dplacer, slectionnez le conteneur ou l'OU de destination. d. Rinitialisation d'un compte d'ordinateur Rinitialiser un compte dordinateur coupe toute connexion avec le contrleur de domaine.
Page 74/75
Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, slectionnez Rinitialiser le compte. e. Dsactivation d'un compte d'ordinateur Dsactiver un compte d'ordinateur coupe toute connexion avec le contrleur de domaine, ce qui empchera toute authentification sur le domaine. Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, slectionnez Dsactiver le compte. Pour ractiver le compte : Dans la console Utilisateurs et ordinateurs Active Directory, ralisez un clic droit sur l'ordinateur voulu et, dans le menu contextuel, slectionnez Activer le compte.
Page 75/75

Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008 1204998931277197 4

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Microsoft Windows 2003 Server 1ere Partie 6 Mars 2008 1204998931277197 4

Transféré par

Droits d'auteur :

Formats disponibles

Microsoft Windows 2003 Server Ralis par

Date : 6 mars 2008 Version : 1.0

Module Microsoft Windows 2003 Server (GMSI 2007.1)

Prsentation de Microsoft Windows 2003 Server ............................................ 7

Installation de Windows 2003 Server ......................................................... 10

Prsentation dActive Directory .................................................................. 22

Les outils dadministration ........................................................................ 32

Gestion des utilisateurs, des groupes et des ordinateurs ............................... 44

Quest ce quun systme dexploitation ?

Quest ce que le multitche ?

Prsentation de Microsoft Windows 2003 Server

La gamme Windows 2003 Server

Installation de Windows 2003 Server

Edition Windows Server 2003 Web Server Edition

Installation contrle ou automatise

Commutateurs du programme dinstallation

Installation par duplication de disque

Services dinstallation distance (RIS)

Prsentation dActive Directory

Dsinstallation dActive Directory

Choix dun mode dun domaine

Rle des contrleurs de domaines

Les outils dadministration

Les outils d'administration courants

Les outils d'administration spcifiques

Les solutions d'administration distance

Personnalisation des consoles d'administration

Gestion des utilisateurs, des groupes et des ordinateurs

Gestion sur un ordinateur local

- Administrateur (Administrator) ; - Invit (Guest).

- la gestion des stratgies de scurit

- la gestion des comptes d'utilisateurs et des comptes de groupes ;

- lorganisation des donnes (formatage, partitionnement...) ;

Gestion dans un domaine

- le groupe Administrateurs, pour les besoins d'administration locaux du

- L'utilisateur ne peut pas changer de mot de passe. - Le compte est dsactiv.

- les restrictions horaires ; - les options de comptes suivantes :

- les restrictions d'accs ; - la date d'expiration

variable %username% la place d'un nom explicite) ;

- les options de profil et de dossier de base (dans ce cas, utilisez la

- couper (dans le but d'un dplacement) ;

- accder aux proprits communes de ces utilisateurs.

2.3 Gestion des groupes

En mode mixte ou intrim :

- Un groupe global peut contenir des comptes d'utilisateurs et des groupes

- Un groupe universel peut contenir des comptes d'utilisateurs, des

l'attribut peuvent comptes ceux du

Gestion des comptes d'ordinateur dans un domaine

Canal scuris de communication

Vous aimerez peut-être aussi