Formation Windows 2003 Ifucome

PLAN
file:///C:/Documents%20and%20Settings/utilisateur/Mes%20document...
FORMATION MICROSOFT WINDOWS 2000 / 2003 SERVER

PLAN
1. WINDOWS 2003 SERVER RESUME VERSION DISPONIBLE CONFIGURATION NECESSAIRE FONCTIONNALITES Active directory AD 2003 ET AD 2000 compatible ?
2. INSTALLATION DU SYSTEME DEXPLOITATION PARTITIONNEMENT TYPE DE FICHIER NTFS / FAT /FAT32 TYPE DE LICENCE RESEAUX
3. PARAMETRAGE gestion des disques CONFIGURER ADRESSE IP INSTALLATION ACTIVE DIRECTORY STATEGIE DE SECURITE LOCALE (LONGEUR MOT DE PASSE, CLIENT 95) INSTALLATION ET PARAMETRAGE DU SERVEUR DNS INSTALLATION ET PARAMETRAGE DU SERVEUR WINS INSTALLATION ET PARAMETRAGE DU SERVEUR DHCP INSTALLATION WINDOWS RESSOURCE KIT INSTALLATION DUne CONSOLE PERSONNalis INSTALLATION DES OUTILS D ADMINISTRATION DISTANT (LA CONSOLE GPMC etc)
4. gestion des partages et de la securite
5. ORGANISATION DE LAD NIVEAU MACHINE NIVEAU UTILISATEUR (groupe) SCHEMA
1 sur 110
02/02/2009 22:32
PLAN
6. CREATION DES UTLISATEURS SERVER ADMINISTRATIF (ADDUSER.EXE) SERVEUR PEDAGOGIQUE (GESTION 5)
7. CREATION DUNE STRATEGIE de groupe (UTILISATEUR / MACHINE) installation des imprimantes rseaux suppression du profils local (cache) restriction poste client
8. Poste client xp / 2000 configuration rseau (WINS, DNS, passerelle) faire rentrer un poste xp / 2000 dans un domaine cration de profils itinrant, obligatoire, local Les UTILISATEURS ET LES DROITS
9. Mise jour des clients shlavik sus sms
10. Sauvegarde client et serveur robocopy cobian xcopy32 ghost / drive image SYNCHROPARC
LUTILITAIRE DE SAUVEGARDE MICROSOFT
11. OUTILS DIVERS
WINDOWS 2003 SERVER
2 sur 110
02/02/2009 22:32
PLAN
De nombreuses entreprises et agences gouvernementales ont trouv dans Microsoft Windows 2000 Server une rponse leurs besoins mme de satisfaire le niveau lev de leurs exigences, comme en tmoignent les estimations de International Data Corporation. D'aprs IDC, en 2001, plus de 60 % de l'ensemble des serveurs livrs dans le monde taient fournis avec un systme de la famille Windows Server, un ratio qui a connu une croissance deux chiffres au cours des dernires annes.1
Cette confiance des organisations induit des attentes auxquels la famille Microsoft Windows Server 2003 doit rpondre de manire amliorer encore fiabilit, performances et connectivit et avec un rapport qualit/prix sans prcdent. Les nombreux commentaires et remarques des clients et des partenaires ainsi que les tests indpendants raliss par des milliers de personnes ont t pris en compte par Microsoft dans la dfinition des spcifications et le dveloppement de la famille Windows Server 2003.
Ainsi, pour permettre aux entreprises de mettre en relation aisment et en toute transparence informations, personnes, systmes et priphriques, Windows Server 2003 intgre en mode natif les technologies Microsoft .NET (notamment avec l'intgration du .NET Framework) et des technologies bases sur des standards officiels ou standards de fait de l'industrie informatique. Windows Server 2003 constitue la base d'un niveau d'intgration logicielle encore jamais atteint grce l'utilisation de services Web XML.
Cration de valeur par la famille Windows Server 2003
Le systme d'exploitation Windows Server 2003 constitue une plate-forme d'infrastructure caractrise par une extrme productivit pour le fonctionnement des applications, rseaux et services Web connects, depuis le groupe de travail jusqu'au centre de donnes (ou " Data Center " en Anglais).
Intgr et productif Windows Server 2003 intgre en standard de nombreux services l'origine de la polyvalence de ce systme d'exploitation serveur. Les scnarios d'utilisation possibles sont trs varis : serveur de fichiers et d'impression, serveur de bureautique, serveur de solutions Internet (site Web, services Web, commerce lectronique), serveur d'applications Windows Server 2003 permet une administration centralise, avec possibilits de dlgation, d'un parc de postes de travail et une infrastructure de services rseaux, de communication et de scurit l'chelle de l'entreprise. Il reprend les caractristiques de Windows 2000 Server dont il tend les possibilits afin de simplifier la mise en uvre et l'exploitation au quotidien.
Tous ces services sont intgrs et leur fonctionnement conjoint a dj t test et valid. Nul besoin, comme sur d'autres plates-formes, de rechercher des briques htrognes et de raliser un fastidieux travail d'intgration spcifique prsentant des risques de compatibilit et de support technique global de par l'htrognit des briques assembles.
Windows Server 2003 amliore sensiblement la productivit, aussi bien pour les administrateurs informatiques que pour les utilisateurs finaux. Des outils de gestion et de dploiement remanis, en particulier pour la mise en uvre du service d'annuaire Active Directory, simplifient le travail des administrateurs. D'autres innovations telles que VSS (Volume ShadowCopy Services) amliorent la productivit des utilisateurs finaux en leur permettant de retrouver des versions antrieures de leurs documents ou de rcuprer des fichiers dtruits par erreur.
Digne de confiance - Les entreprises dcouvriront dans le systme d'exploitation Windows Server 2003 un environnement informatique fiable, conu expressment pour l'entreprise et bnficiant d'amliorations importantes pour aller encore amliorer encore les niveaux de fiabilit, de disponibilit, d'volutivit et de scurit dj atteints avec Windows 2000 Server.
3 sur 110
02/02/2009 22:32
PLAN
De nombreuses innovations facilitent la monte en charge : support de systmes multiprocesseurs jusqu' 64 processeurs, maximum de 512 Go de mmoire vive pour les plus gros besoins applicatifs, support de l'architecture 64 bits Itanium d'Intel
Sur le plan de la disponibilit, le travail commun effectu avec certains constructeurs a permis de rpondre des demandes d'engagement sur une disponibilit 100% des serveurs. La continuit service sera renforce avec la possibilit de mettre en uvre des clusters comportant jusqu' 8 serveurs, serveurs qui pourront tre distants d'un maximum de 100 km pour former des clusters distribus ou go-clusters.
Enfin, la scurit, proccupation parmi les plus importantes actuellement, a fait l'objet d'un soin tout particulier : premier produit issu de l'initiative Trustworthy Computing initie par Microsoft en janvier 2002, Windows Server 2003 a t conu dans le souci de fournir une plate-forme hautement scurise. Ce soucis de la scurit a t pris en compte par design lors de la dfinition des spcifications (architecture du serveur Web intgr Internet Information Services 6.0, par exemple), par dfaut (certains services et protocoles ne sont plus installs ou activs par dfaut afin de rduire les risques d'attaque), par dploiement (meilleur contrle des consquences lies aux changements de configuration). Enfin, Microsoft s'engage fournir une documentation trs complte dcrivant les mthodes recommandes pour la configuration et l'exploitation au quotidien de Windows Server 2003.
Ouvert - Windows Server 2003 fait partie intgrante de la vision Microsoft .NET. A ce titre, Windows Server 2003 supporte les standards et normes applicables aux services Web, notamment le langage XML et le protocole UDDI. Windows Server 2003 peut s'intgrer dans tout environnement htrogne au travers de services Web.
Grce l'intgration du .NET Framework et de ASP.NET, aux amliorations apportes IIS (Internet Information Services), et l'ajout de nombreuses fonctionnalits nouvelles et modifies, la famille Windows Server 2003 constitue la plate-forme idale pour dvelopper, dployer et hberger des applications de services Web.
Rentable - Windows Server 2003 repose sur la robustesse de la famille Windows 2000 Server allie une volutivit accrue qui en font un serveur exceptionnel un prix raisonnable. Cette plate-forme informatique est idale pour toute entreprise, quelle que soit sa taille.
S'appuyant sur les caractristiques de Windows 2000 Server, le systme d'exploitation Windows Server 2003 permet aux entreprises de prserver et mme de valoriser leurs investissements informatiques actuels tout en rduisant les cots informatiques globaux.
Une mise niveau depuis Windows NT Server 4.0 vers Windows Server 2003 permet de bnficier de performances et d'une fiabilit considrablement accrue. Windows Server 2003 peut travailler avec des systmes et des domaines Windows NT Server 4.0 et Windows 2000 Server ce qui permet une mise jour progressive. Prsentation de la famille Windows Server 2003
La famille Microsoft Windows Server 2003 s'inscrit dans la ligne des systmes d'exploitation constituant la plate-forme Windows Server dont la premire version a t mise sur le march il y prs de 10 ans. Windows Server 2003 s'inspire de la fiabilit, de l'volutivit et de la simplicit de gestion reconnues de Windows 2000 Server pour offrir aux utilisateurs la plate-forme d'infrastructure la plus productive pour le fonctionnement des applications, des rseaux et des services Web connects, depuis le groupe de travail jusqu'au centre de donnes (" data center ").
4 sur 110
02/02/2009 22:32
PLAN
Windows Server 2003 offre la souplesse ncessaire pour rpondre rapidement et efficacement aux exigences sans cesse renouveles des environnements informatiques professionnels d'aujourd'hui tout en procurant la qualit que sont en droit d'attendre les utilisateurs d'un systme d'exploitation serveur complet en termes de fiabilit, d'volutivit et de scurit. ditions de la famille de produits La famille Windows Server 2003 se dcline en quatre ditions :
Windows Server 2003 Datacenter Edition
Destin la mise en uvre d'applications critiques et volumineuses, Windows Server 2003 Datacenter Edition rpond aux besoins des plus grosses bases de donnes, systmes transactionnels et applications mtiers spcifiques. Il constitue une plate-forme idale pour la consolidation de serveur, y compris pour des applications htrognes. Afin de rpondre aux exigences spcifiques des environnements de production informatique intensifs, l'dition Datacenter est accompagne d'offres de services spcifiques pouvant aller jusqu' un engagement de garantie sur la disponibilit. Datacenter est propose en version 32 bits ou 64 bits.
Windows Server 2003 Enterprise Edition
Conu pour les moyennes et grandes entreprises, Windows Server 2003 Enterprise Edition permet la mise en uvre d'une infrastructure d'entreprise (services rseau, communication, scurit, administration), l'exploitation d'applications mtiers, de progiciels ou d'applications tournes vers l'Internet comme les services Web et le commerce lectronique. Il rpond aux besoins de monte en charge et permet la mise en uvre de solutions de haute disponibilit. Les applications ncessitant de gros volumes de donnes et une forte puissance de calcul trouveront une rponse approprie avec la version 64 bits de Windows Server 2003 Enterprise Edition qui permet la mise en uvre de serveurs bass sur les processeurs Intel Itanium.
Windows Server 2003 Standard Edition
Windows Server 2003 Standard Edition est un systme d'exploitation serveur rseau polyvalent. Il rpond aux besoins des petites et moyennes organisations et des services dpartementaux ou groupes de travail. Il permet le partage de fichiers et d'imprimantes, la mise en uvre d'une connectivit Internet scurise, le dploiement d'application bureautique centralise et la collaboration performante entre les employs, les partenaires et les clients. C'est le systme d'exploitation serveur polyvalent par excellence.
Windows Server 2003 Web Edition
Nouveau produit dans la famille des serveurs Windows, Windows Server 2003 Web Edition est optimis pour la mise en uvre de solutions Web. Il peut tre utilis aussi bien par les fournisseurs de services Internet que par les organisations qui ont choisi d'hberger elles-mmes leurs serveurs Web. Cette dition constitue une plate-forme particulirement adapte pour le dveloppement et le dploiement rapide de services et d'applications Web. ditions diffusion limite Certains constructeurs informatiques (OEMs) ont propos partir de juin 2001 des ditions prliminaires spcifiques appeles " ditions limites " de Windows Server bases sur le code de Windows Server 2003. Ces ditions ont rapidement
5 sur 110
02/02/2009 22:32
PLAN
connu un succs important. Windows Advanced Server Limited Edition fut le premier systme d'exploitation serveur Windows 64 bits de Microsoft prendre en charge les processeurs Itanium d'Intel. Il est fond sur le code prliminaire 64 bits de Windows Server 2003 Enterprise Edition, optimis pour les applications de bases de donnes, scientifiques ou graphiques ncessitant beaucoup de mmoire ou de calculs.
Configuration de Windows Server 2003
Evolution naturelle des serveurs Windows 2000, Windows Server 2003 reprend les technologies dj prsentes dans Windows 2000 Server en les amliorant afin d'accrotre leur fiabilit et leur simplicit d'utilisation. Par ailleurs, Windows Server 2003 senrichit d'un large ventail de nouvelles fonctionnalits et technologies. Le tableau qui suit rcapitule les fonctionnalits et technologies de Windows Server 2003, nouvelles ou amliores.
Configuration ncessaire au fonctionnement de Windows Server 2003

Configuration requise Vitesse minimale du processeur Windows Server 2003 Web Server 133 MHz Windows Server 2003 Standard Server 133 MHz Windows Server 2003 Enterprise Server 133 MHz pour les ordinateurs x86 733 MHz pour les ordinateurs Itanium Vitesse recommande du processeur Quantit minimale de RAM Quantit minimale de RAM recommande Quantit maximale de RAM supporte 550 MHz 128 Mo 256 Mo 2 Go 550 MHz 128 Mo 256 Mo 4 Go 733 MHz 128 Mo 256 Mo 32 GO pour les ordinateurs x86 64 Go pour les ordinateurs Itanium* Support des systmes multiprocesseurs** Jusqu' 2 processeurs Jusqu' 4 processeurs Jusqu' 8 processeurs Windows Server 2003 Datacenter Server 400 MHz pour les ordinateurs x86 733 MHz pour les ordinateurs Itanium 733 MHz 512 Mo 1 Go 32 GO pour les ordinateurs x86 512 Go pour les ordinateurs Itanium* Systme supportant un minimum de 8 processeurs Maximum de 64 processeurs Espace disque pour linstallation 1,5 Go 1,5 Go 1,5 Go pour les ordinateurs x86 1,5 Go pour les ordinateurs x86
2 Go pour les ordinateurs 2 Go pour les ordinateurs Itanium Itanium Tableau rcapitulatif des nouveauts et des amliorations Lgende : = Fonction incluse = Fonction partiellement prise en charge = Fonction non supporte
6 sur 110
02/02/2009 22:32
PLAN
7 sur 110
02/02/2009 22:32
PLAN
ACTIVE DIRECTORY
http://www.supinfo-projects.com/fr/2002/decouverte%5Factive%5Fdirectory/
Objectifs Cet article a pour but de prsenter au lecteur les lments techniques dActive Directory, le service dannuaire de Microsoft introduit dans Windows 2000. Il sagit ici de se concentrer sur le contenu technique immdiatement utile la mise en uvre et la comprhension du systme. Les lments rseau utiliss par Active Directory sortent du cadre de cet article. Il ne sagit pas dun essentiel ; les manipulations purement pratiques, les explications purement thoriques, ou les dtails de fonctionnement internes ne sont pas abords. Un service dannuaire Autrefois, Windows NT4 obligeait disposer les ressources informatiques de lentreprise (les objets) dans un grand rcipient (le domaine), en grand dsordre. Impossible dans ces conditions de sy retrouver, de mettre en place un contrle prcis sur des catgories dobjets, de suivre lvolution du systme ou mme de parvenir un semblant dorganisation. Active Directory est le service dannuaire de Microsoft, conu afin dorganiser les ressources informatiques de lentreprise. Active Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des ressources et de la scurit de faon centralise, dans le cadre dun domaine. Depuis NT4, un domaine constitue un ensemble dutilisateurs et de machines dont le contrle est centralis. Active Directory lui apporte lorganisation structure dont il a besoin. Cette structuration permet des contrles plus fins sur chaque lment sans entraner une complexification du systme. Les ressources informatiques peuvent ainsi tre gres plus efficacement par les administrateurs du rseau informatique de lentreprise. En entreprise Nombre dentreprises ont mis en place Novell Netware dans les annes 90. Son service dannuaire NDS (Novell Directory Service) navait jusquici pas dquivalent dans le monde Windows. Microsoft a conu Active Directory pour apporter aux domaines NT ce qui leur manquait, tout en liminant les structures dannuaire NDS. De plus en plus les entreprises remplacent leurs serveurs vieillissant sous Netware par des architectures Windows 2000 Active Directory, ce qui ntait pas possible avec NT4. Vous pouvez tudier Active Directory avec une architecture de test trs simple : deux ou trois machines en rseau sous Windows 2000 suffisent. Active Directory et Windows Si Active Directory prend en compte Windows 95, 98 et NT4, il ncessite des ordinateurs membres du domaine fonctionnant sous Windows 2000 pour offrir la totalit de ses fonctionnalits. Pour la gestion des domaines, Active Directory ncessite Windows 2000 Server (minimum). Active Directory remplace la gestion de domaines classique de NT4. Lannuaire contient notamment des objets comptes dordinateurs, les utilisateurs, les groupes, mais galement objets contacts, imprimantes, dossiers partags Certains de ces objets existent uniquement dans lannuaire : les groupes, comptes dutilisateurs et comptes dordinateurs. Dautres objets ne sont que des rfrences publies dans lannuaire : dossiers partags, imprimantes. Ces objets se trouvent en ralit sur des ordinateurs membres du domaine.
8 sur 110
02/02/2009 22:32
PLAN
Ces rfrences ont pour but de faciliter la recherche des ressources. En effet, Active Directory permet aux utilisateurs de rechercher rapidement une ressource partage dans le domaine et publie dans lannuaire. Active Directory permet la fois de centraliser les ressources pour en faciliter ladministration, et den faire une exploitation dcentralise puisque lannuaire est accessible chaque utilisateur, ladministration elle-mme pouvant tre dlgue.
Forts et Domaines Nommage et hirarchie des domaines dune fort
Active Directory est directement li au DNS (Domain Name System) notamment pour le nommage des domaines. Active Directory impose une organisation hirarchique des domaines, qui se retrouve dans le nommage hirarchique des noms de domaines dans le DNS. Active Directory est donc une structure hirarchique. La fort regroupe des arborescences qui regroupent des domaines. Le premier domaine cr dans la fort est le domaine racine. De ce domaine dpendent ladministration de la fort et lajout de nouveaux domaines. => Une fort est un ensemble de domaines dont lespace de nommage est contigu et qui sapprouvent mutuellement.
Le nom dun domaine est utilis directement dans le DNS. Le nommage hirarchique fait quun domaine domaine.dom pourra avoir pour fils fils.domaine.dom. Ces deux domaines forment ici une arborescence. Une arborescence est compose par un domaine pre et sa ligne de domaines enfants, petits-enfants... Dans une fort, tous les domaines ont pour anctre commun le domaine racine.
NetBios Pour rester compatible avec les versions prcdentes de Windows, le nom FQDN (Fully Qualified Domain Name) du domaine (contenu dans le DNS) est associ un nom Netbios. Pour mmoire les noms Netbios sont forms de 15 caractres et ne sont pas hirarchiques. Lorsque vous crez un domaine, Windows 2000 vous propose un nom Netbios par dfaut, tir des premiers caractres du nom FQDN que vous avez choisi. Le nom propos par dfaut peut en fait dj appartenir un autre domaine, si les deux noms de domaine sont longs et que leurs premiers 15 caractres sont identiques. Vous devez veiller ce que le nom Netbios soit unique sur votre rseau, sinon cela provoquera une erreur la cration du domaine. Vous devrez alors choisir un autre nom Netbios. Chaque domaine aura donc un nom FQDN (exemple : domaine55.entreprise3.dom) et un nom Netbios (exemple : DOMAINE55). Au format Netbios et sur les anciens Windows, un nom complet dutilisateur sera : FILS\Utilisateur 1.2. Modifications du schma Comme dans une base de donnes, chaque objet est associ des proprits. Lensemble des proprits possibles pour nimporte quel objet, et la dfinition de tous les objets pouvant exister forment le schma de la fort. Seuls les membres du groupe Administrateurs du schma peuvent modifier celui-ci, par le biais de la console MMC (Microsoft Management Console) dAdministration du Schma. Cette console nest pas installe par dfaut, vous pouvez linstaller partir du package adminpak.msi situ sur le CD Windows 2000 Server. Microsoft dconseille trs fortement de modifier le schma par dfaut. Vous pouvez dtruire la fort en cas de changement inconsidr. Cependant certains logiciels modifient nanmoins le schma, comme par exemple Exchange 2000. Linstallation dExchange 2000 dans un domaine quelconque de la fort ncessite donc quun administrateur du schma excute la partie de linstallation visant modifier le schma.
9 sur 110
02/02/2009 22:32
PLAN
1.3. Gestion des contrleurs de domaine (DC Domain Controler) Un contrleur de domaine est un Windows 2000 Server ou plus. Vous pouvez transformer un serveur en contrleur de domaine (le promouvoir) ou de le rtrograder en simple serveur membre du domaine, sans avoir besoin de rinstaller le systme dexploitation (contrairement NT4) : il suffit de lancer DCPROMO.EXE. Active Directory dpend troitement du DNS, la procdure dinstallation dActive Directory propose donc linstallation et la configuration automatiques du service appropri, sil nexiste pas dj, et si le serveur est le premier contrleur de domaine de la fort. Vous devez sinon vous assurer auparavant que le serveur utilise bien le DNS contenant la zone pour le domaine. Physiquement, Active Directory est stock dans plusieurs fichiers de base de donnes du rpertoire NTDS, et les stratgies dans le rpertoire SYSVOL. Les proprits du systme de fichiers NTFS sont utilises par Active Directory : journal USN (Unique Serial Number), service de rplication Aussi, vous devrez formater le systme de fichier de la partition damorage (celle qui contient Windows) en NTFS et disposer de 250 Mo libres pour mettre en place Active Directory sur un serveur. 1.4. Authentifications, domaines et approbations Une approbation entre deux domaines est une relation entre ces domaines qui permet aux objets (utilisateurs, groupes) dun domaine dtre visibles et authentifiables sur lautre domaine. Pour voir et configurer les approbations, vous utiliserez la console MMC Domaines et approbations Active Directory. Il existe plusieurs types dapprobations entre domaines. Active Directory introduit lapprobation bidirectionnelle transitive. Dans une fort, les domaines pre et fils sont automatiquement et implicitement lis par une approbation mutuelle : une approbation bidirectionnelle transitive implicite. Lapprobation est bidirectionnelle : elle est valable dans les deux sens. La transitivit signifie ici que cette approbation est galement valable et visible par les domaines parents et enfants de ces deux domaines. Elle est implicite car automatique. Dans une fort tous les domaines sapprouvent donc, directement ou indirectement. Pour raccourcir le chemin entre domaines, parcouru lors des authentifications (appel chemin dapprobation), vous pouvez crer manuellement une approbation bidirectionnelle transitive explicite entre deux domaines trs loigns. Vous pouvez ainsi acclrer les authentifications entre domaines loigns dans la fort. Entre les forts, ou vers des domaines NT4, il faut avoir recours aux anciennes approbations : les approbations unidirectionnelles non transitives. Un domaine en approuve un autre. Vous devrez rpter lopration dans le sens inverse pour obtenir lquivalent dune approbation bidirectionnelle.
Mode du domaine Par dfaut, linstallation ou aprs une migration depuis NT4, le domaine est en mode mixte. Ce mode vous permet de maintenir dans le domaine vos vieux contrleurs de domaines secondaires fonctionnant sous NT4 (des BDC Backup Domain Controller). Il sagit donc dun mode de compatibilit, mais qui limite les possibilits dActive Directory. Chaque domaine peut tre bascul en mode natif. Il perd alors la possibilit de conserver des BDC NT4, mais acquiert plusieurs possibilits nouvelles : - Les groupes universels de scurit deviennent disponibles (voir plus loin). - Limbrication des groupes devient possible et leur visibilit est amliore (voir plus loin). - Les clients pr-Windows2000 ont accs aux approbations transitives entre les domaines de la fort. Le mode natif permet toujours bien entendu aux anciens clients (tels les clients et serveurs NT4 membres) de se connecter au domaine. Le basculement est irrversible.
Utilisateurs, Groupes et permissions
10 sur 110
02/02/2009 22:32
PLAN
Utilisateurs et groupes
Les utilisateurs et les groupes existent la fois dans la base des utilisateurs locale de chaque ordinateur (appele base SAM) et dans lannuaire Active Directory. Avec Active Directory, les groupes les plus importants sont les groupes de scurit. Ils peuvent tre utiliss dans le cadre des DACL (Listes daccs fixant les permissions Discretionary Access List). Par exemple vous pouvez donner un groupe de scurit lautorisation de lire le contenu dun rpertoire NTFS. En revanche, les groupes de distribution nintressent que les administrateurs de messageries comme Exchange, et permettent comme leur nom lindique de slectionner des groupes dutilisateurs pour la distribution des messages. Ladministrateur du domaine racine fait partie de plusieurs groupes spcifiques : - Le groupe Administrateurs de lEntreprise (unique la fort), qui lui permet dintervenir sur tous les domaines de la fort et dajouter des domaines. - Le groupe Administrateurs du Schma (unique la fort), qui lui permet dintervenir sur le schma de la fort. - Le groupe Administrateurs du Domaine pour son domaine (il sagit en loccurrence du domaine racine). Dans chaque domaine de la fort, il existe un tel groupe.
Etendue des groupes
Il existe trois types de groupes, chacun pouvant tre de scurit ou de distribution. En labsence de BDC NT4, il est possible et conseill de basculer le domaine en mode natif. Ce basculement irrversible permet dexploiter totalement les avantages dActive Directory par rapport aux anciens domaines, en offrant notamment de nouvelles possibilits concernant les groupes dans le domaine. Contrleurs de domaine, sites et rplication Types de contrleurs Certains contrleurs de domaine peuvent tre configurs comme contrleurs de catalogue global (ou GC Global Catalog) par le biais de la console MMC Sites et Services Active Directory. Ces catalogues contiennent non seulement les donnes de leur propre domaine mais galement certaines informations des autres domaines de la fort. Ils permettent dacclrer les recherches dobjets dans la fort. En mode Natif, il est important de noter quun contrleur de catalogue global doit tre disponible dans le site pour que les utilisateurs puissent se connecter dans le domaine : en effet ces contrleurs permette de vrifier lappartenance des utilisateurs des groupes universels. En cas de panne de ces contrleurs, seuls les administrateurs du domaine peuvent se loguer. Vous aurez donc besoin de placer suffisamment de GC pour assurer une redondance en cas de panne. Vous devez cependant noter que la rplication de leurs informations est plus volumineuse en donnes sur le rseau que pour les autres contrleurs.
Fonctionnement matre unique http://support.microsoft.com/default.aspx?scid=kb;fr;197132
Pour certaines tches, Active Directory utilise un fonctionnement matre unique au lieu dun fonctionnement multi-matre. Il existe 5 types de matres, qui sont les seuls pouvoir remplir leur fonction dans leur fort ou dans leur domaine Matre Contrleur de schma Existence 1 par fort Rle Permet de modifier le schma de la fort (par les membres du groupe Administrateurs du Schma).
11 sur 110
02/02/2009 22:32
PLAN
Contrleur dattribution 1 par fort de nom de domaine
- Permet dajouter des domaines la fort. - Est galement contrleur de catalogue global.
Emulateur de PDC
1 par domaine
- Mode Natif : Synchronise les heures des DC ; bnficie dune rplication immdiate des mots de passe modifis pour permettre aux autres DC de vrifier quil ne vient pas dtre chang avant de rejeter une tentative de login. - Mode Mixte : Gre galement la rplication des informations de domaine vers les BDC sous NT4.
Matre RID (didentificateur relatif) Matre dinfrastructure
1 par domaine
Distribue des plages de numros aux DC pour viter les doublons lors de lattribution des SID (identificateurs uniques) aux objets. - Met jour les rfrences vers les objets dautres domaines. - Ne doit pas tre contrleur de catalogue global (sauf contrleur unique).
1 par domaine
En cas de perte du contrleur de domaine hbergeant un ou plusieurs rles, ou simplement si le besoin de transfrer un rle apparat, vous avez la possibilit de transfrer ou de saisir ce ou ces rles sur un autre contrleur. Vous pouvez effectuer cette procdure dans deux situations. Sil sagit dun transfert entre serveurs en activit, vous pourrez utiliser linterface graphique (Consoles Sites et Services pour les trois matres de domaine, console Schma dune part et console Domaines et approbations dautre part pour les deux matres de fort). Vous pouvez aussi avoir recours loutil en mode texte ntdsutil (fonction transfer ). Sil sagit de saisir un rle perdu en raison dun matre dfinitivement hors-ligne, seul ntdsutil (fonction seize pour saisir le rle) est utilisable.
Organisation logique Active Directory permet dorganiser une fort en arborescences, domaines, Units Organisationnelles (OU). Une OU est un conteneur dans un domaine, permettant dorganiser les diffrents objets, et qui peut contenir son tour dautres OU. Il est donc frquent de dplacer des comptes de leur emplacement par dfaut vers des OU. Les dlgations de tches administratives seffectuent au niveau de lOU. Paralllement, il existe galement un autre type de structure, commun toute la fort : les Sites, qui permettent doptimiser les rplications et les logins. Au dpart, il nexiste quun site : le Premier-site-par-dfaut. Il ny a ni imbrication de sites ni hirarchie de sites. Par dfaut, plusieurs conteneurs existent la cration dun domaine ; lun est une OU (et contient mme une GPO par dfaut) mais la plupart sont des conteneurs par dfaut qui ne permettent ni de leur appliquer directement des stratgies de groupe, ni de crer des OU filles. On trouve ainsi : Builtin Computers Contient les utilisateurs et groupes de scurit existant par dfaut. Reoit par dfaut les comptes dordinateur.
Domain Controllers (OU) Reoit par dfaut les comptes dordinateurs Contrleurs de Domaine. Une GPO est applique par dfaut ce conteneur. ForeignSecurityPrincipal Users LostAndFound Contient les identificateurs de scurit (SID). Reoit par dfaut les comptes dutilisateurs. Accueille les objets orphelins dont le conteneur nexiste plus.
12 sur 110
02/02/2009 22:32
PLAN
System Sites, serveur et rplication
Contient des paramtres systmes.
Le bon fonctionnement dActive Directory dpend de la rplication des donnes entre tous les contrleurs de domaine. En effet Active Directory fonctionne suivant le principe de la rplication multi-matre, et chaque contrleur de domaine peut tre utilis pour modifier les objets du domaine (cration dutilisateurs, modification de stratgie, etc). Il importe donc que les donnes soient bien synchronises entre les contrleurs. Cependant, il importe galement que le trafic utilis par la rplication ne devienne pas trop important. Rplication intra-site La rplication est automatiquement prise en charge, et dans un site unique les informations mises jours sont transfres toutes les 5 minutes aux autres contrleurs. Pour viter toute dsynchronisation, lensemble des donnes est rpliqu toutes les 24h. Certaines donnes trs urgentes sont cependant rpliques immdiatement (modification de mots de passe). Cette rplication immdiate dpend du bon fonctionnement de lmulateur de PDC. Rplication inter-sites La rplication Active Directory fonctionne diffremment lorsquil est question de liaisons WAN plus lentes, et donc de sites multiples. Il est important de dclarer des sous-rseaux IP diffrents pour chaque site, et de dclarer chaque site (et les DC quil contient) dans la console MMC Sites et Services. Les clients sauthentifieront sur les DC les plus proches (les DC de leur site) grce ces diffrences de sous-rseaux IP. Vous devez vous assurer que chaque site contient un ou plusieurs GC. Un processus appel KCC (Knowledge Consistency Checker) est lanc intervalles rguliers sur chaque DC (par dfaut toutes les 15 minutes), et prend en charge ltablissement de liaisons virtuelles entre les DC, en vue de la rplication. => Attention, il ne sagit pas ici des liens inter-sites, mais plutt du routage virtuel des informations de rplication. Les liens inter-sites doivent exister pour que le KCC fonctionne ; ils sont abords plus loin. Pour chaque site, le KCC dclare automatiquement un DC en tant que serveur tte de pont . Celui-ci assurera lui seul pour ce site la communication vers les contrleurs des autres sites. En cas de modification de la topologie rseau ou en cas de panne, le KCC modifiera en consquence cette attribution. Vous pouvez cependant forcer un serveur tte de pont dans le cas par exemple o un firewall serait configur pour ne laisser sortir du site quun seul DC bien prcis. Liens inter-sites Vous crerez les liens dans la console MMC Sites et Services. Aprs avoir cre des liens, vous devez les utiliser pour relier vos sites. Si les sites ne sont par relis par ces liens, ils ne pourront pas communiquer. Deux types de liens existent : les liens IP (le cas gnral) et les liens SMTP. Les liens IP ncessite une liaison fiable, ils peuvent relier nimporte quels sites quel que soient le ou les domaines qui y sont prsents. Les liens SMTP (Simple Mail Transfert Protocol) ne doivent tre utiliss que dans le cas o la liaison est peu fiable, et uniquement entre domaines diffrents. Ils font appel la transmission par e-mail. Les rplications par lien IP peuvent faire lobjet dune planification. Les paramtres disponibles sont la frquence de rplication (par dfaut, toutes les 180 minutes), et les horaires durant lesquelles la rplication peut avoir lieu. Ces horaires doivent tre assez tendus pour que la frquence choisie puisse donner lieu rplication. Les rplications SMTP ne peuvent faire lobjet daucune planification. Cot des liens A chaque lien inter-site est affect un cot pour la liaison (par dfaut : 100). Ce cot sapparente la mtrique des routeurs. Ainsi, pour joindre un site distant de plusieurs autres sites, le cot total sera pris en compte pour la dtermination des liens utiliser. Les liens intra-sites sont crypts. Les liens inter-sites sont crypts et compresss.
13 sur 110
02/02/2009 22:32
PLAN
Un DC ne peut appartenir qu un seul site. Pour les architectures les plus complexes, il est noter quun mme domaine peut tre rparti (prsence de contrleurs et/ou de clients) sur plusieurs sites de la fort ; au moins un GC par domaine et par site est prvoir.
Stratgies de groupes (Group Policies / GPO)
Prsentation des stratgies de groupe Les stratgies de groupe ou les stratgies systmes permettent de configurer administrativement des restrictions ou des paramtres appliquer sur tel ou tel ordinateur, sur tel ou tel compte utilisateur. Sous Windows NT4, les stratgies systmes taient implmentes par le biais de loutil POLEDIT, qui permettait de crer un fichier config.pol. Ce fonctionnement reste dactualit pour les NT4 membres dun domaine Active Directory (et ce fichier sera plac dans le rpertoire partag NETLOGON). Les stratgies de groupe (GPO), quant elles, nont un effet que sur les ordinateurs fonctionnant sous Windows 2000 ou ultrieur. Leur fonctionnement est tout fait diffrent. Elles sont la fois dtailles et souples et permettent de configurer les diffrents paramtres de faon trs prcise. Les GPO ne peuvent tre appliqus qu des conteneurs : un site, un domaine ou une OU. Leur contenu aura effet sur les comptes dordinateurs et dutilisateurs contenus dans le conteneur concern, et ses enfants par hritage.
Lordre dapplication, du moins prioritaire au plus prioritaire, est globalement du plus loign au plus proche, lexception de la stratgie locale prsente sur chaque ordinateur, qui est la moins prioritaire : Local > Site > Domaine du plus lointain au plus proche> OU de la plus lointaine la plus proche Chacun des multiples paramtre dune GPO peut tre configur ou pas. Si un paramtre nest pas configur, il ne provoque pas de conflit. Si des paramtres configurs entrent en conflit, lchelle de priorit prcdente dtermine le paramtre appliquer. Si vous appliquez directement plusieurs GPO sur une OU, la GPO la plus leve (la premire) est la plus prioritaire ; la dernire, la moins prioritaire.
Hritage des stratgies de groupe
Les GPO appliques des sites ne sont pas concernes puisque les sites ne sont pas organiss hirarchiquement. Par dfaut : - Les GPO appliques un domaine sont hrites de domaine pre en domaines fils. - Les GPO appliques une OU sont hrites dOU mre en OU filles. Exceptions : Elles sont deux, configurables pour chaque conteneur (Domaine ou OU) : - Bloquer lhritage : Si cette case est coche, aucune GPO suprieure ne sera hrite par ce conteneur. - Ne pas passer outre : Si une GPO dispose de ce paramtre, elle sera malgr tout obligatoirement hritable par les conteneurs infrieurs, mme si ceux-ci sont configurs pour bloquer lhritage. Cas particulier : Certains paramtres font exception lordre dapplication et aux possibilits dhritage. Les paramtres de mots de passe (longueur, complexit) et de verrouillage de compte sont dfinis une seule fois pour tout le domaine dans la premire GPO du domaine. Pour ces paramtres, aucun blocage nest possible dans le domaine. Si ces paramtres sont dfinis un autre emplacement, ils nont aucun effet.
Application des stratgies de groupe
14 sur 110
02/02/2009 22:32
PLAN
Si les GPO peuvent tre appliques uniquement des conteneurs, elles ont avant tout pour objectif dtre prises en compte par des comptes dutilisateurs et/ou des comptes dordinateur. Cest pourquoi les GPO peuvent faire lobjet dun filtrage : chaque GPO est associe une ACL (Liste daccs) qui permet de dterminer quels seront les comptes qui seront ou pas concerns, dans le ou les conteneurs. Note : Il est pratique dutiliser un groupe pour effectuer un tel filtrage plutt que dattribuer des permissions pour chaque objet. Cependant, vous devrez utiliser de prfrence des groupes globaux. Application des GPO selons les objets : -Pour les comptes utilisateurs : Les comptes sur lesquels la GPO prend effet doivent avoir les permissions Lire et Appliquer la Stratgie, ou faire partie du groupe appropri. Par dfaut le groupe Utilisateurs authentifis dispose de ces permissions dans lACL dune GPO, donc par dfaut une GPO est valable pour tous les utilisateurs. - Pour les comptes de machine : La GPO est valable pour tous les comptes de machine par dfaut (y compris les contrleurs de domaine) dans les conteneurs concerns. Les machines qui ne doivent pas tre concernes par la GPO (ou leur groupe) doivent faire lobjet dune permission Refuser lapplication .
Prcision : il semble contradictoire dindiquer que les GPO ne sappliquent qu des conteneurs alors que la permission Appliquer la GPO existe pour les utilisateurs, ordinateurs et groupes. En fait, la GPO sapplique sur un conteneur, et les objets ordinateurs/utilisateurs appliquent la GPO.
GPO par dfaut
Chaque domaine dispose dune GPO vide par dfaut, ainsi que dune GPO sur le conteneur Contrleurs de Domaine (qui interdit notamment aux simples utilisateurs de se loguer sur les Contrleurs de Domaine).
Contenu des GPO
Une GPO est divise en deux parties : Ordinateur et Utilisateur. Les paramtres de chacune des parties permettent de configurer de nombreux lments de lenvironnement utilisateur, de la scurit, du fonctionnement de lordinateur Scripts Les GPO permettent en outre de spcifier des scripts de dmarrage (excuts par lordinateur au lancement de Windows, avant tout login), ainsi que des scripts douverture de session (excuts au login de lutilisateur). Les scripts douverture de session permettent notamment de crer des lecteurs rseau (lettre de lecteur associe en ralit un partage rseau) en fonction des utilisateurs et des groupes. Par dfaut les scripts de dmarrage sexcutent en mode synchrone (les uns aprs les autres, et aucun login nest possible avant la fin de leur excution) et de faon invisible. En revanche, toujours par dfaut, les scripts douverture de session sexcutent en mode asynchrone (tous en mme temps au login) mais restent invisibles. Vous devez placer les scripts sur nimporte quel DC du domaine (grce la rplication), dans le sous rpertoire du domaine destin aux scripts, situ dans le partage SYSVOL. Les deux parties des GPO Il nest pas rare que seuls certains paramtres dune GPO soient configurs. Si les objets prsents dans le conteneur (OU) et ses enfants sont des ordinateurs, la partie Utilisateur de la GPO nest pas utilise. Si les objets sont des utilisateurs, cest la partie Ordinateur qui est inutilise. Si les deux types dobjet existent, chaque partie de la GPO configure uniquement le type dobjet qui lui correspond. Ainsi, sur un ordinateur avec un utilisateur logu, se trouvent simultanment appliques :
15 sur 110
02/02/2009 22:32
PLAN
- par lordinateur, les parties Ordinateur des GPO reues par le compte ordinateur, en fonction de lemplacement de ce compte dans Active Directory. - par lutilisateur, les parties Utilisateurs des GPO reues par le compte utilisateur, en fonction de lemplacement de ce compte dans Active Directory. Il est clair ici que les paramtres Utilisateur dune GPO ne sont utilisables que sils sont appliqus par un objet utilisateur. Les paramtres Utilisateur ne peuvent pas provenir dune GPO applique uniquement par des comptes dordinateurs. Cependant, vous pouvez vouloir modifier ce fonctionnement, dans le cas o la machine est dans un environnement peu sr (Kiosque, accs libre, laboratoire). Le paramtre de GPO Bouclage permet lordinateur de prendre lui-mme en compte la partie Utilisateur de la GPO quil utilise ; ces paramtres supplantent voire liminent totalement les paramtres de GPO normalement applique par le login de lutilisateur. Ainsi vous pourrez facilement dfinir pour un ordinateur un environnement utilisateur qui sera par exemple trs limit, quel que soit lutilisateur logu. Techniquement, il est intressant de rappeler quen ralit ce sont les ordinateurs eux-mmes qui lisent les GPO reues depuis les DC, et mettent en oeuvre leurs paramtres en fonction de toutes ces rgles, pour eux-mmes et pour les utilisateurs qui se loguent. Cela explique du reste que NT4 ou les autres anciens systmes ne puissent en bnficier.
Dlai dapplication
Par dfaut les ordinateurs vrifient quils utilisent la dernire version des GPO toutes les 90 minutes environ (+/- 0 30 minutes alatoires). Ce paramtre est configurable dans la GPO elle-mme. Vous pouvez forcer le rafrachissement sur chaque machine en utilisant les commandes suivantes (lune pour les paramtres dordinateur, lautre pour les paramtres utilisateurs) : (Secedit /refresh machine_policy ; Secedit /refresh user_policy) pour Windows 2000 (GPUPDATE) pour Windows 2003
Divers Dlgation de contrle
Un des avantages dActive Directory est la possibilit de dlguer des tches dadministration de faon trs prcise (au niveau des OU) certains utilisateurs, sans leur remettre lintgralit des permissions dadministration. Ainsi dans une entreprise il sera trs facile de confier la gestion des utilisateurs dun dpartement un certain administrateur dsign cet effet, de permettre un autre dappliquer des GPO, voire den crer, etc Techniquement il sagit de modifier les ACL des OU en attribuant une ou plusieurs des nombreuses permissions possibles des utilisateurs, voire des groupes. Les permissions dans les ACL dActive Directory doivent en principe porter sur des groupes globaux. Vous utiliserez la console Utilisateurs et ordinateurs Active Directory. Afin de simplifier toutes ces procdures assez techniques, il existe plusieurs assistants qui permettent de dlguer certaines tches et procdures prdfinies de faon trs simplifie. Lentre des informations est facilite, lassistant se chargeant daffecter les permissions ad hoc. Exemples : - Un utilisateur peut crer une GPO sil est dans le groupe Propritaires Crateurs de la Stratgie de Groupe . Il pourra appliquer une GPO un conteneur sil dispose des permissions Lire et Ecrire sur le conteneur. - Un utilisateur pourra ajouter des machines sur le domaine sil dispose de la permission Crer des objets Ordinateur dans le conteneur Ordinateurs (par dfaut tout utilisateur a le droit dinsrer 10 ordinateurs dans le domaine ; cette dlgation est ncessaire au del). Note :
16 sur 110
02/02/2009 22:32
PLAN
longlet Scurit des conteneurs napparat que lorsque laffichage de la console MMC Active Directory approprie est en mode Fonctionnalits avances.
Publication de ressources
Active Directory permet de publier des ressources dans lannuaire : des imprimantes, des contacts, des rpertoires partags. Lintrt est de permettre toute personne dans lentreprise de rechercher des ressources par le biais de la fentre de recherche Active Directory disponible sur son poste client. La localisation des ressources est donc facilite. Les fonctions de recherche ne sont plus limites aux comptes dutilisateurs et ordinateurs. Les imprimantes partages peuvent par exemple tre publies automatiquement leur installation sur un ordinateur. Les objets publis, sortes de pointeurs , ont une vie indpendante de lentit relle dont ils proviennent. Par exemple, pour un rpertoire partag, les permissions du partage sont toujours fixes au niveau du partage lui-mme ; des permissions poses sur lobjet dans Active Directory nauront aucun effet sur les accs rseau au partage.
Scripts et outils
Active Directory peut tre modifi par le biais de scripts qui permettent dinsrer, de modifier ou de dplacer de faon plus simple de grandes quantits dobjets. Certains outils en mode texte existent cet effet. Le dplacement dobjets entre domaines de la fort seffectue avec movetree. Linsertion ou lexportation de comptes seffectuent avec csvde. Les insertion, exportation, modification et effacement de comptes seffectuent avec ldifde. Loutil en mode texte ntdsutil permet de rgler certains problmes, en permettant laccs des fonctions avances non disponibles par linterface graphique. Ainsi vous avez vu quil permettait de rcuprer un rle de matre unique en cas durgence. Il peut galement, entre autres, vous permettre deffacer dActive Directory un contrleur dtruit : si vous navez pas pu faire un DCPROMO pour le rtrograder avant sa disparition, vous ne pouvez pas leffacer directement de lannuaire. Vous utiliserez alors la fonction metadata cleanup de ntdsutil. Ntdsutil permet aussi de dfragmenter les fichiers de la base Active Directory (la base doit tre hors ligne, vous devez donc redmarrer le DC en mode Restauration Active Directory).
Sauvegarde et restauration
En matire de sauvegarde des contrleurs de domaine, lutilitaire de sauvegarde intgr Windows 2000 sauvegarde les donnes Active Directory lorsque les donnes Etat du systme sont sauvegardes. La restauration dActive Directory sur une machine peut tre non autoritaire (restauration normale : aprs la restauration le DC rcuprera les dernires informations disponibles auprs des autres DC), ou en mode autoritaire avec ntdsutil, qui permet dindiquer que certains des objets rcuprs sont prioritaires et doivent tre insrs sur les autres DC. Vous utiliserez cette dernire fonction pour rcuprer un objet effac ou modifi alors que la rplication a dj eu lieu. Enfin, il existe un conteneur LostAndFound la racine de chaque domaine. Lorsque deux administrateurs font des modifications sur deux DC diffrents, il peut arriver par exemple quun utilisateur soit dplac vers une OU qui vient dtre efface sur lautre DC, alors que la rplication na pas encore eu lieu. Dans ce cas, la rplication, les objets dplacs (qui deviennent alors orphelins) sont mis dans LostAndFound en attente de suppression ou de nouveau dplacement par ladministrateur (qui peut par exemple choisir de recrer lOU).
17 sur 110
02/02/2009 22:32
PLAN
Compatibilit avec les anciennes versions de Windows
NT4, Windows 95 et 98 ne sont pas prvus pour Active Directory ; ils sy connectent comme un domaine NT. Cependant, il est possible de leur ajouter les fonctions de recherche et de parcours des partages DFS de domaine (Distributed File System) en leur installant le client Active Directory, disponible sur le CD Windows2000 Server pour Win9x, et sur le site web Microsoft pour NT4. DFS permet daccder par un nom de partage unique des rpertoires partags et rpliqus sur plusieurs serveurs du domaine afin davoir une tolrance de panne.
Prsentation des arborescences de domaine et des forts
Chaque domaine de l'annuaire est identifi par un nom de domaine DNS et ncessite un ou plusieurs contrleurs de domaine. Si votre rseau requiert plusieurs domaines, vous pouvez facilement les crer. Un ou plusieurs domaines qui partagent un schma commun et un catalogue global sont appels fort Si plusieurs domaines l'intrieur d'une fort ont des noms de domaine DNS contigus, tel qu'il apparat dans la premire illustration, la structure est appele arborescence de domaine Si, tel qu'il apparat dans la seconde illustration, plusieurs domaines ont des noms de domaine DNS non contigus, ils forment des arborescences de domaine diffrentes l'intrieur de la fort. Une fort peut contenir une ou plusieurs arborescences de domaine. Le premier domaine d'une fort est appel domaine racine de la fort.
Vous crez un domaine en installant le premier contrleur de domaine pour un domaine. Au cours de l'installation du premier contrleur de domaine, l'Assistant Installation de Active Directory utilise les informations que vous fournissez pour installer le contrleur de domaine et crer le domaine l'intrieur du contexte (s'il en existe un) existant de relations avec d'autres domaines et contrleurs de domaine. Ce contexte peut tre le premier domaine dans une nouvelle fort, le premier domaine dans une nouvelle arborescence de domaine ou un domaine enfant d'une arborescence de domaine existante. Aprs avoir install le premier contrleur de domaine pour un domaine, vous pouvez en installer d'autres dans un domaine existant afin de garantir la tolrance de panne et une haute disponibilit de l'annuaire. Attribution de noms de domaine Les domaines qui forment une arborescence de domaine unique partagent un espace de noms contigu (hirarchie de nommage). Selon les normes DNS, le nom de domaine complet d'un domaine qui fait partie d'un espace de noms contigu est le nom de ce domaine ajout aux noms du domaine parent et du domaine racine spars par un point (.). Par exemple, un domaine qui porte le nom NetBIOS petitenfant et qui a un domaine parent nomm parent.microsoft.com, a comme nom de domaine DNS complet petitenfant.parent.microsoft.com. Les arborescences de domaine associes dans une fort partagent le mme schma Active Directory, ainsi que la mme configuration d'annuaire et les mmes informations de rplication, mais elles ne partagent pas un espace de noms de domaine DNS contigu.
18 sur 110
02/02/2009 22:32
PLAN
La combinaison des arborescences de domaine et des forts vous offre des options d'attribution de noms de domaine flexibles. Vous pouvez inclure des espaces de noms DNS la fois contigus et non contigus dans votre annuaire. Pour plus d'informations sur Active Directory et DNS, consultez DNS (Domain Name System) Relations d'approbation Pour les ordinateurs Windows 2000, l'authentification de compte entre les domaines est active par des approbations transitives deux sens, bases sur le protocole de scurit Kerberos V5. Les relations d'approbation sont cres automatiquement entre domaines adjacents (domaine parent et domaine enfant) lorsque vous crez un domaine dans une arborescence de domaine. Dans une fort, une relation d'approbation est cre automatiquement entre le domaine racine de la fort et le domaine racine de chaque arborescence de domaine ajoute la fort. Ces relations d'approbation tant transitives, les utilisateurs et les ordinateurs peuvent tre authentifis entre tous les domaines de l'arborescence de domaine ou de la fort. Lors de la mise niveau d'un domaine Windows vers Windows 2000, les relations sens unique existant entre ce domaine et d'autres domaines sont maintenues. Ceci inclut toutes les approbations avec des domaines antrieurs Windows 2000. Si vous installez un nouveau domaine Windows 2000, et vous souhaitez tablir des relations d'approbation avec des domaines antrieurs Windows 2000, vous devez crer des approbations externes avec ces domaines.
AD 2003 ET AD 2000 compatible ?
Malheureusement pas entirement, il faut migrer lad en version 2003 avant de pouvoir insrer un serveur 2003 dans un AD 2000
La cl des relations 2000/2003 c'est adprep : prpare Windows 2000 pour une mise jour ou accueille de Windows 2000 server.
Vue d'ensemble : Mise niveau de contrleurs de domaine Windows 2000 vers Windows Server 2003
La commande adprep de Windows Server 2003 que vous excutez partir du dossier \I386 du support de Windows Server 2003 prpare une fort Windows 2000 et ses domaines l'ajout de contrleurs de domaine Windows Server 2003. La commande adprep /forestprep de Windows Server 2003 ajoute les fonctionnalits suivantes : Descripteurs de scurit par dfaut amliors pour les classes d'objet Nouveaux attributs d'utilisateur et de groupe Nouveaux objets et attributs de schma tels que inetOrgPerson L'utilitaire adprep prend en charge deux arguments de ligne de commande : adprep /forestprep : excute les oprations de mise niveau de la fort. adprep /domainprep : excute les oprations de mise niveau du domaine. La commande adprep /forestprep est une opration unique effectue sur le matre de l'opration du schma (FSMO) de la fort. L'opration forestprep doit s'achever et se rpliquer vers le matre d'infrastructure de chaque domaine pour que vous puissiez excuter adprep /domainprep dans ce domaine. La commande adprep /domainprep est une opration unique que vous excutez sur le contrleur de domaine du matre des oprations d'infrastructure de chaque domaine dans la fort qui hbergera des contrleurs de domaine Windows Server 2003 nouveaux ou mis niveau. La commande d'adprep /domainprep vrifie que les modifications de forestprep ont t rpliques dans la partition du domaine, puis opre ses propres modifications dans la partition du domaine et les stratgies de groupe dans le partage Sysvol. Vous ne pouvez pas excuter l'une ou l'autre des actions suivantes si les oprations /forestprep et /domainprep ne se sont pas termines et rpliques sur tous les contrleurs de domaine dans ce domaine : Mettre niveau des contrleurs de domaine Windows 2000 vers Windows Server 2003 en utilisant Winnt32.exe.
19 sur 110
02/02/2009 22:32
PLAN
Remarque : Vous pouvez tout moment mettre niveau les serveurs et les ordinateurs membres Windows 2000 vers Windows Server 2003. Promouvoir de nouveaux contrleurs de domaine Windows Server 2003 dans le domaine en utilisant Dcpromo.exe. Le domaine qui hberge le matre d'oprations du schma est le seul domaine o vous devez excuter adprep /forestprep et adprep /domainprep. Dans tous les autres domaines, il vous suffit d'excuter adprep /domainprep. Les commandes adprep /forestprep et adprep /domainprep n'ajoutent pas d'attributs l'ensemble partiel d'attributs du catalogue global n'entranent pas de synchronisation complte du catalogue global. La version RTM de adprep /domainprep provoque une synchronisation complte du dossier \Policies dans l'arborescence Sysvol. Mme si vous excutez forestprep et domainprep plusieurs fois, les oprations effectues ne sont excutes qu'une seule fois. Une fois les modifications de adprep /forestprep et de adprep /domainprep rpliques, vous pouvez mettre niveau les contrleurs de domaine Windows 2000 vers Windows Server 2003 en excutant Winnt32.exe partir du dossier \I386 du support de Windows Server 2003. De plus, vous pouvez ajouter de nouveaux contrleurs de domaine Windows Server 2003 au domaine en utilisant Dcpromo.exe. Mise niveau de la fort l'aide de la commande adprep /forestprep Pour prparer une fort et des domaines Windows 2000 de manire accepter des contrleurs de domaine Windows Server 2003, effectuez ces tapes dans un premier temps dans un environnement de laboratoire, puis dans un environnement de production : 1. Assurez-vous que vous avez effectu toutes les oprations de la phase "Inventaire de la fort" en faisant particulirement attention aux lments suivants :
2. 3.
Ouvrez une session sur la console du matre d'oprations de schma l'aide d'un compte qui est membre du groupe de scurit Administrateurs de schma. Vrifiez que le schma FSMO a excut la rplication entrante de la partition du schma en tapant le code suivant une invite de commandes Windows NT : repadmin /showreps (repadmin est install partir du dossier Support\Tools de Active Directory.)
4.
La documentation prcdente de Microsoft vous recommande d'isoler le matre d'oprations du schma sur un rseau priv avant d'excuter adprep /forestprep. Nanmoins, la pratique indique que cette tape n'est pas ncessaire et peut provoquer le rejet des modifications du schma par un matre d'oprations du schma lorsqu'il est redmarr sur un rseau priv. Si vous souhaitez isoler les ajouts du schma oprs par adprep, Microsoft vous recommande de dsactiver temporairement la rplication sortante d'Active Directory avec l'utilitaire de ligne de commande repadmin. Pour cela, procdez comme suit :
5.
Excutez adprep sur le matre d'oprations du schma. Pour ce faire, cliquez sur Dmarrer, sur Excuter, tapez cmd, puis cliquez sur OK. Sur le matre d'oprations du schma, tapez la commande suivante : X:\I386\adprep /forestprep , o X:\I386\ est le chemin d'accs du support d'installation de Windows Server 2003. Cette commande excute la mise niveau du schma l'chelle de la fort. Remarque Vous pouvez ignorer les vnements portant l'ID 1153 enregistrs dans le journal des vnements Service d'annuaire, tel que l'exemple qui suit :Type d'vnement : Erreur
20 sur 110
02/02/2009 22:32
PLAN
Source de l'vnement : NTDS Gnral Catgorie de l'vnement : Traitement interne ID de l'vnement : 1153 Date : JJ/MM/AAAA Heure : HH:MM:SS Utilisateur : Ordinateur Tout le monde : <des contrleurs de domaine> Description : L'identificateur de classe 655562 (nom de classe msWMI-MergeablePolicyTemplate) a une superclasse 655560 non valide. Hritage ignor. 6. Vrifiez que la commande adprep /forestprep s'est excute avec succs sur le matre d'oprations du schma. Pour ce faire, vrifiez les lments suivants partir de la console du matre d'oprations du schma :
Si adprep /forestprep ne s'excute pas, vrifiez les lments suivants :
7.
Si vous avez dsactiv la rplication sortante sur le matre d'oprations du schma l'tape 4, activez la rplication afin que les modifications du schma effectues par adprep /forestprep puissent tre propages. Pour cela, procdez comme suit :
8.
Vrifiez que les modifications de adprep /forestprep se sont rpliques sur tous les contrleurs de domaine de la fort. Ceci est utile pour surveiller les attributs suivants :
9.
Recherchez les noms complets LDAP dcomposs. Si Exchange 2000 a t install avant que vous ayez excut la commande adprep /forestprep de Windows Server 2003, consultez la section "Identification des attributs de nom dcomposs" de l'article suivant de la base de connaissance Microsoft. 314649 La commande ADPREP de Windows Server 2003 provoque une dformation d'attributs dans les forts Windows 2000 qui contiennent des serveurs Exchange 2000 Si vous trouvez des noms dcomposs, passez au Scnario 3 de la section "Exchange 2000 dans les forts Windows 2000" de cet article.
10. Connectez-vous la console du matre d'oprations du schma avec un compte appartenant au groupe de scurit de Administrateurs du schma de la fort qui hberge le matre d'oprations du schma.
21 sur 110
02/02/2009 22:32
PLAN
Mise niveau du domaine avec la commande adprep /domainprep Excutez adprep /domainprep aprs la rplication complte des modifications de /forestprep vers le contrleur de domaine du matre d'infrastructure dans chaque domaine qui hbergera des contrleurs de domaine Windows Server 2003. Pour cela, procdez comme suit : 1. Identifiez le contrleur de domaine du matre d'infrastructure dans le domaine que vous mettez niveau, puis connectez-vous avec un compte qui est membre du groupe de scurit Administrateurs de domaine dans le domaine que vous mettez niveau. Remarque : L'administrateur de l'entreprise peut ne pas tre un membre du groupe de scurit Administrateurs du domaine dans les domaines enfants de la fort. 2. Excutez adprep /domainprep sur le matre d'infrastructure. Pour ce faire, cliquez sur Dmarrer, cliquez sur Excuter, tapez cmd, puis sur le matre d'infrastructure tapez la commande suivante : X:\I386\adprep /domainprep o X:\I386\ est le chemin d'accs du support d'installation de Windows Server 2003. Cette commande excute des modifications l'chelle du domaine dans le domaine cible. Remarque : la commande adprep /domainprep modifie les autorisations de fichiers dans le partage Sysvol. Ces modifications provoquent une synchronisation complte des fichiers dans cette arborescence. 3. Vrifiez que la commande domainprep s'est excute avec succs. Pour cela, vrifiez les lments suivants :
Si adprep /domainprep ne s'excute pas, vrifiez les lments suivants :
4. Vrifiez que les modifications de adprep /domainprep se sont rpliques. Pour ce faire, vrifiez les lments suivants pour les autres contrleurs de domaine :
INSTALLATION SERVEUR 2003 STANDARD
22 sur 110
02/02/2009 22:32
PLAN
Mise en oeuvre : A ma disposition, un CD-ROM d'installation bootable de Windows 2003.Dmarrage de l'ordinateur avec option de boot par le lecteur CD-ROM, Appuyer sur une touche pour lancer la procdure d'installation. Chargement des pilotes RAID et SCSI comme sous Windows 2000, appuyer sur F6 si vous avez besoins d'installer un pilote trs spcifique votre configuration.
23 sur 110
02/02/2009 22:32
PLAN
Appuyer sur la touche ENTRER
Appuyer sur la touche ENTRER
24 sur 110
02/02/2009 22:32
PLAN
Puis appuyer sur la touche F8 du clavier pour accepter la licence
25 sur 110
02/02/2009 22:32
PLAN
Ensuite, choissiez le format de disque NTFS, adoptez le NTFS. Appuyer sur la touche ENTER du clavier pour formater le disque dur.
26 sur 110
02/02/2009 22:32
PLAN
Le formatage commence et peut durer quelques minutes
27 sur 110
02/02/2009 22:32
PLAN
Appuyer sur SUIVANT
Entrer le numro de srie (sur la boite)
28 sur 110
02/02/2009 22:32
PLAN
Slectionnez le type de licence que vous possdez
Entrez un nom de serveur et un mot de passe
29 sur 110
02/02/2009 22:32
PLAN
Les consignes de scurit pour votre mot de passe du compte administrateur
30 sur 110
02/02/2009 22:32
PLAN
Configuration du rseau, nous verrons plus tard comme faire, faire Suivant
31 sur 110
02/02/2009 22:32
PLAN
Nous laissons par dfaut le serveur dans le WORKGROUP, faire Suivant.
Le serveur redmarre et voila, Windows 2003 Serveur est install !
32 sur 110
02/02/2009 22:32
PLAN
CONFIGURER ADRESSE IP
Allez dans les proprits du protocole TCP/IP de la carte rseau.
33 sur 110
02/02/2009 22:32
PLAN
Fixez une adresse IP et mettez la mme adresse IP pour le DNS ainsi qu'une adresse de passerelle pour un routeur internet.
Voil notre carte rseau est maintenant configure.
34 sur 110
02/02/2009 22:32
PLAN
INSTALLATION ACTIVE DIRECTORY
DEMARRER > EXECUTER > DCPROMO
Vous serez inform que les stations 95 ne fonctionneront pas avec votre serveur. Les stations NT4 ayant un service pack infrieur au 4 devront tre mises jour pour tre utilises. Si vous possdez des stations 95 il sera tout de mme possible de les utiliser mais pour cela il faudra rduire la scurit du serveur 2003 (dcrit plus loin). Choisissez "Contrleur de domaine pour un nouveau domaine".
35 sur 110
02/02/2009 22:32
PLAN
36 sur 110
02/02/2009 22:32
PLAN
Les domaines locaux ont lextension PRIV ou LOCAL
37 sur 110
02/02/2009 22:32
PLAN
38 sur 110
02/02/2009 22:32
PLAN
39 sur 110
02/02/2009 22:32
PLAN
40 sur 110
02/02/2009 22:32
PLAN
41 sur 110
02/02/2009 22:32
PLAN
42 sur 110
02/02/2009 22:32
PLAN
STATEGIE DE SECURITE LOCALE (LONGEUR MOT DE PASSE, CLIENT 95)
Afin de pouvoir utiliser des postes sous NT4 et Windows 95 il faut modifier certaines scurits natives de WINDOWS 2003 Menu Dmarrer > Programmes > Outils d'administration > Paramtres de scurit du domaine (Paramtres de scurit > Stratgie de mot de passe > Longueur minimale du mot de passe)
43 sur 110
02/02/2009 22:32
PLAN
Menu Dmarrer > Programmes > Outils d'administration > Paramtres de scurit du contrleur de domaine (Paramtres de scurit > Stratgies locales > Options de scurit >Serveur rseau Microsoft : communication sign numriquement)
44 sur 110
02/02/2009 22:32
PLAN
GPUPDATE permet de rafrachir !!! (Stratgie scurit, GPO)
45 sur 110
02/02/2009 22:32
PLAN
PARAMETRAGE DU SERVEUR DNS
Dfinition de DNS DNS (Domain Name System, systme de noms de domaine) est un systme de noms pour les ordinateurs et les services rseau organis selon une hirarchie de domaines. Le systme DNS est utilis dans les rseaux TCP/IP tels qu'Internet pour localiser des ordinateurs et des services l'aide de noms conviviaux. Lorsqu'un utilisateur entre un nom DNS dans une application, les services DNS peuvent rsoudre ce nom en une autre information qui lui est associe, par exemple une adresse IP. La plupart des utilisateurs prfrent en effet un nom convivial comme exemple.microsoft.com pour accder un ordinateur tel qu'un serveur de messagerie ou un serveur Web dans un rseau. Un nom convivial est plus facile retenir. Cependant, les ordinateurs utilisent des adresses numriques pour communiquer sur un rseau. Pour faciliter l'utilisation des ressources rseau, des services de noms comme DNS fournissent une mthode qui tablit la correspondance entre le nom convivial d'un ordinateur ou d'un service et son adresse numrique. Si vous avez dj utilis un navigateur Web, vous avez utilis DNS. L'illustration suivante reprsente une utilisation lmentaire de DNS qui consiste trouver l'adresse IP d'un ordinateur partir de son nom.
Dans cet exemple, un ordinateur client interroge un serveur pour lui demander l'adresse IP d'un troisime ordinateur configur pour utiliser le nom de domaine DNS hote-a.exemple.microsoft.com. Le serveur tant en mesure de rpondre cette requte en interrogeant sa base de donnes locale, il renvoie une rponse qui fournit l'information demande, c'est--dire un enregistrement de ressource A (adresse d'hte) contenant l'adresse IP correspondant hote-a.exemple.microsoft.com.
46 sur 110
02/02/2009 22:32
PLAN
47 sur 110
02/02/2009 22:32
PLAN
Cration dune zone de recherche inverse
48 sur 110
02/02/2009 22:32
PLAN
49 sur 110
02/02/2009 22:32
PLAN
50 sur 110
02/02/2009 22:32
PLAN
INSTALLATION ET PARAMETRAGE DU SERVEUR WINS
Les serveurs WINS (Windows Internet Name Service) mappent dynamiquement les adresses IP aux noms d'ordinateurs (noms NetBIOS). De cette manire, les utilisateurs peuvent accder aux ressources au moyen du nom d'ordinateur et non de son adresse IP. Si vous souhaitez que l'ordinateur en question assure le suivi des noms et des adresses IP des autres ordinateurs du rseau, configurez-le comme un serveur WINS. WINS est constitu de deux composants principaux : le serveur WINS et les clients WINS Le serveur WINS gre les requtes d'inscription de noms partir des clients WINS, enregistre leur nom et adresse IP et rpond aux requtes de noms NetBIOS soumises par les clients, en retournant l'adresse IP d'un nom de requte s'il est list dans la base de donnes du serveur. De plus, comme l'indique le graphisme suivant, les serveurs WINS peuvent rpliquer le contenu de leur base de donnes (contenant des mappages de nom d'ordinateur NetBIOS vers des adresses IP) vers les autres serveurs WINS. Lorsqu'un ordinateur client WINS (tel qu'un ordinateur de station de travail sur le sous-rseau 1 ou 2) est dmarr sur le rseau, son nom et son adresse IP sont envoys dans une requte d'inscription directement vers son principal serveur WINS configur, WINS A. WINS A tant le serveur qui enregistre ces clients, il est considr comme tant le propritaire des enregistrements de clients dans WINS.
51 sur 110
02/02/2009 22:32
PLAN
Dans cet exemple, le serveur WINS A possde des clients enregistrs avec lui qui sont la fois locaux (c'est--dire des clients sur le sous-rseau 2 o il se trouve) et distants (clients situs dans un routeur du sous-rseau 1). Un deuxime serveur WINS, WINS B, est situ sur le sous-rseau 3 et ne contient que des mappages pour les clients locaux faisant un enregistrement du mme sous-rseau. WINS A et WINS B peuvent ensuite effectuer une rplication de leur base de donnes afin que les enregistrements des clients des 3 sous-rseaux se trouvent dans la base de donnes WINS sur les deux serveurs. Pour plus d'informations, consultez Rplication WINS Serveurs WINS principaux/secondaires Les serveurs WINS sont utiliss par les clients de l'une des deux manires suivantes : soit sous forme de serveur WINS principal, soit sous forme de serveur WINS secondaire. La diffrence entre le serveur WINS principal et secondaire ne rside en aucun cas dans les serveurs (qui sont, d'un point de vue fonctionnel, identiques dans WINS). La diffrence rside dans le client qui diffre et ordonne la liste des serveurs WINS lorsque plusieurs serveurs WINS sont utiliss. Dans la plupart des cas, le client contacte le serveur WINS principal pour toutes ses fonctions de service de noms NetBIOS (inscription de noms, changement de noms, libration de noms ainsi que requte et rsolution de noms). Le seul cas dans lequel les serveurs WINS secondaires sont toujours utiliss est celui o le serveur WINS principal est : soit non disponible sur le rseau lors de la requte de service ; soit incapable de rsoudre un nom pour le client (dans le cas d'une requte de nom). Dans le cas d'une dfaillance du serveur WINS principal, le client demande la mme fonction de service ses serveurs WINS secondaires. Si plus de deux serveurs WINS sont configurs pour le client, les serveurs WINS supplmentaires sont tests jusqu' ce que la liste soit exhaustive ou qu'un des serveurs WINS secondaires parvienne traiter et rpondre avec succs la requte. Une fois qu'un serveur WINS secondaire est utilis, un client tente rgulirement de rebasculer sur son serveur WINS principal pour de futures requtes de service. Pour les clients WINS les plus rcents (Windows 2000 et Windows 98), une liste de 12 serveurs WINS secondaires maximum peut tre configure (manuellement via des proprits TCP/IP ou dynamiquement par un serveur DHCP fournissant une liste utilisant une option DHCP de type 44). Cette fonctionnalit est utile dans un environnement contenant un grand nombre de clients mobiles et de ressources NetBIOS et si les services sont souvent utiliss. tant donn que dans ce type d'environnements, la base de donnes WINS n'est peut-tre pas cohrente travers le rseau des serveurs WINS, cause de problmes de convergence, il peut tre utile pour les clients de pouvoir interroger plusieurs serveurs WINS. Cependant, cette option ne doit pas tre utilise de manire excessive car elle reprsente un compromis en termes d'avantages rels pour l'ajout de tolrances aux dfauts en listant les serveurs WINS supplmentaires. L'avantage de cette fonctionnalit doit tre pondr par le fait que pour chaque serveur WINS supplmentaire list, le temps ncessaire pour traiter entirement une requte dans WINS augmente de manire incrmentielle. Par exemple, si un client WINS teste au moins trois serveurs WINS avant de connatre une dfaillance, il peut retarder de manire substantielle le traitement de la requte de nom avant que d'autres mthodes de rsolution soient testes, telles que la recherche d'un fichier local Hosts ou la requte d'un serveur DNS. Le principal outil que vous utilisez pour grer les serveurs WINS est la console WINS, qui est ajoute aux Outils
52 sur 110
02/02/2009 22:32
PLAN
d'administration lorsque vous installez WINS. Dans Windows 2000 Server, la console WINS fonctionne l'intrieur de la console MMC (Microsoft Management Console), afin d'intgrer compltement l'administration WINS dans la gestion totale de votre rseau. Aprs avoir install un serveur WINS, vous pouvez utiliser la console WINS pour accomplir les tches de base d'administration du serveur suivantes : Afficher et filtrer les inscriptions de nom NetBIOS stockes sur le serveur WINS pour les noms de client utiliss sur votre rseau. Ajouter des partenaires de rplication un serveur WINS et les configurer. Excuter des tches relatives la maintenance, y compris la sauvegarde, la restauration, le compactage et le nettoyage de la base de donnes du serveur WINS. De plus, vous pouvez utiliser la console WINS pour effectuer les tches de configuration facultatives ou avances suivantes : Afficher et modifier les proprits WINS, telles que l'Intervalle de renouvellement, ainsi que d'autres intervalles utiliss lors de l'inscription, du renouvellement et de la vrification des enregistrements de noms stocks dans la base de donnes du serveur. Ajouter et configurer des mappages WINS statiques, si leur utilisation est indispensable sur votre rseau. Supprimer ou dsactiver des enregistrements WINS qui s'affichent dans les donnes du serveur WINS utilises sur votre rseau.
53 sur 110
02/02/2009 22:32
PLAN
54 sur 110
02/02/2009 22:32
PLAN
55 sur 110
02/02/2009 22:32
PLAN
Le service WINS est actif quand la petite flche sur le conteneur est verte
INSTALLATION ET PARAMETRAGE DU SERVEUR DHCP
Serveur DHCP Ouvrir la console MMC DHCP par les outils d'administration.
Cration de l'tendue du serveur DHCP, allez dans le menu Action, choisissez Nouvelle tendue...et faite Suivant. Donnez un nom votre tendue et faite Suivant.
56 sur 110
02/02/2009 22:32
PLAN
Mettez les adresses de dbut et de fin rserves votre tendue et faite Suivant.
57 sur 110
02/02/2009 22:32
PLAN
Mettez les adresses exclure, dans mon cas j'en ai aucune et faite Suivant.
Mettez la dure du bail de renouvellement des adresses IP via le serveur DNS et faite Suivant.
58 sur 110
02/02/2009 22:32
PLAN
Voila nous avons fini de configurer l'tendue et faite Terminer.
59 sur 110
02/02/2009 22:32
PLAN
Configuration des options de l'tendue, on slectionne Options d'tendue et par le menu Action on choisit Configurer les options ..., dans mon cas j'aurais une connexion Internet via un modem ou un routeur. Slection de l'option 003 Routeur, elle vous permet d'attribuer une adresse IP via une passerelle.
Slection de l'option 006 Serveur DNS, elle est obligatoire pour correspondre avec le serveur DNS.
Slection de l'option 015 Non de domaine, elle vous permet d'avoir les noms DNS des clients.
60 sur 110
02/02/2009 22:32
PLAN
Voila les principales options pour votre tendue, rien ne vous empche d'en mettre d'autre pour vos besoins.
Il nous reste activer l'tendue et autoriser pour cela slectionnez tendue [192.168.100.0] puis par le menu Action choisissez Autoriser.
61 sur 110
02/02/2009 22:32
PLAN
INSTALLATION WINDOWS RESSOURCE KIT
Ce kit gratuit comporte normment dutilitaires qui rendent de nombreux services !
Ressource kit 2003 Windows Server 2003 Resource Kit Tools http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
Ladresse des dernires versions disponible
http://www.microsoft.com/windowsserver2003/techinfo/reskit/tools/default.mspx http://www.microsoft.com/windowsserver2003/downloads/tools/default.mspx
62 sur 110
02/02/2009 22:32
PLAN
Liste des UTILITAIRES
Acctinfo.dll (documented in Readme.htm) Adlb.exe: Active Directory Load Balancing Tool Admx.msi: ADM File Parser Atmarp.exe: Windows ATM ARP Server Information Tool Atmlane.exe: Windows ATM LAN Emulation Client Information Autoexnt.exe: AutoExNT Service Cdburn.exe: ISO CD-ROM Burner Tool Checkrepl.vbs: Check Replication Chklnks.exe: Link Check Wizard Chknic.exe: Network Interface Card Compliance Tool for Network Load Balancing Cleanspl.exe: Spooler Cleaner Clearmem.exe: Clear Memory
63 sur 110
02/02/2009 22:32
PLAN
Clusdiag.msi: Cluster Diagnostics and Verification Tool Clusfileport.dll: Cluster Print File Port Clusterrecovery.exe: Server Cluster Recovery Utility Cmdhere.inf: Command Here Cmgetcer.dll: Connection Manager Certificate Deployment Tool Compress.exe: Compress Files Confdisk.exe: Disk Configuration Tool Consume.exe: Memory Consumers Tool Creatfil.exe: Create File Csccmd.exe: Client-Side Caching Command-Line Options Custreasonedit.exe: Custom Reason Editor (documented in Readme.htm) Delprof.exe: User Profile Deletion Utility Dh.exe: Display Heap Diskraid.exe: RAID Configuration Tool Diskuse.exe: User Disk Usage Tool Dnsdiag.exe: SMTP DNS Diagnostic Tool (documented in Readme.htm) Dumpfsmos.cmd: Dump FSMO Roles Dvdburn.exe: ISO DVD Burner Tool Empty.exe: Free Working Set Tool Eventcombmt.exe: Check Replication Fcopy.exe: File Copy Utility for Message Queuing Frsflags.vbs Getcm.exe: Connection Manager Profile Update Gpmonitor.exe: Group Policy Monitor Gpotool.exe: Group Policy Objects Hlscan.exe: Hard Link Display Tool Ifilttst.exe: IFilter Test Suite Ifmember.exe: User Membership Tool Inetesc.adm: Internet Explorer Enhanced Security Configuration Iniman.exe: Initialization Files Manipulation Tool Instcm.exe: Install Connection Manager Profile Instsrv.exe: Service Installer Intfiltr.exe: Interrupt Affinity Tool Kerbtray.exe: Kerberos Tray Kernrate.exe: Kernel Profiling Tool Klist.exe: Kerberos List Krt.exe: Certification Authority Key Recovery
64 sur 110
02/02/2009 22:32
PLAN
Lbridge.cmd: L-Bridge Linkd.exe Linkspeed.exe: Link Speed List.exe: List Text File Tool Lockoutstatus.exe: Account Lockout Status (documented in Readme.htm) Logtime.exe Lsreport.exe: Terminal Services Licensing Reporter Lsview.exe: Terminal Services License Server Viewer Mcast.exe: Multicast Packet Tool Memmonitor.exe: Memory Monitor Memtriage.exe: Resource Leak Triage Tool Mibcc.exe: SNMP MIB Compiler Moveuser.exe: Move Users Mscep.dll: Certificate Services Add-on for Simple Certificate Enrollment Protocol Nlsinfo.exe: Locale Information Tool Now.exe: STDOUT Current Date and Time Ntimer.exe: Windows Program Timer Ntrights.exe Oh.exe: Open Handles Oleview.exe: OLE/COM Object Viewer Pathman.exe: Path Manager Permcopy.exe: Share Permissions Copy Perms.exe: User File Permissions Tool Pfmon.exe: Page Fault Monitor Pkiview.msc: PKI Health Tool Pmon.exe: Process Resource Monitor Printdriverinfo.exe: Drivers Source Prnadmin.dll: Printer Administration Objects Qgrep.exe Qtcp.exe: QoS Time Stamp Queryad.vbs: Query Active Directory Rassrvmon.exe: RAS Server Monitor Rcontrolad.exe: Active Directory Remote Control Add-On Regini.exe: Registry Change by Script Regview.exe (documented in Readme.htm) Remapkey.exe: Remap Windows Keyboard Layout Robocopy.exe: Robust File Copy Utility
65 sur 110
02/02/2009 22:32
PLAN
Rpccfg.exe: RPC Configuration Tool Rpcdump.exe Rpcping.exe RPing: RPC Connectivity Verification Tool Rqc.exe: Remote Access Quarantine Client Rqs.exe: Remote Access Quarantine Agent Setprinter.exe: Spooler Configuration Tool Showacls.exe Showperf.exe: Performance Data Block Dump Utility Showpriv.exe: Show Privilege Sleep.exe: Batch File Wait Sonar.exe: FRS Status Viewer Splinfo.exe: Print Spooler Information Srvany.exe: Applications as Services Utility Srvcheck.exe: Server Share Check Srvinfo.exe: Remote Server Information Srvmgr.exe: Server Manager Ssdformat.exe: System State Data Formatter Subinacl.exe Tail.exe Tcmon.exe: Traffic Control Monitor Timeit.exe (documented in Readme.htm) Timezone.exe: Daylight Saving Time Update Utility Tsctst.exe: Terminal Server Client License Dump Tool Tsscalling.exe: Terminal Services Scalability Planning Tools Uddicatschemeeditor.exe: UDDI Services Categorization Scheme Editor Uddiconfig.exe: UDDI Services Command-line Configuration Utility Uddidataexport.exe: UDDI Data Export Wizard Usrmgr.exe: User Manager for Domains Vadump.exe: Virtual Address Dump Vfi.exe: Visual File Information Volperf.exe: Shadow Copy Performance Counters Volrest.exe: Shadow Copies for Shared Folders Restore Tool Vrfydsk.exe: Verify Disk Winexit.scr: Windows Exit Screen Saver Winhttpcertcfg.exe: WinHTTP Certificate Configuration Tool Winhttptracecfg.exe: WinHTTP Tracing Facility Configuration Tool
66 sur 110
02/02/2009 22:32
PLAN
Winpolicies.exe: Policy Spy Wins.dll: WINS Replication Network Monitor Parser Wlbs_hb.dll & Wlbs_rc.dll: Windows Load Balancing Server Network Monitor Parsers
INSTALLATION DUne CONSOLE PERSONNalis
DEMARRER > EXECUTER > MMC
Ajouter ou supprimer lments enfichables
67 sur 110
02/02/2009 22:32
PLAN
68 sur 110
02/02/2009 22:32
PLAN
INSTALLATION DES OUTILS DADMINISTRATION DISTANT
69 sur 110
02/02/2009 22:32
PLAN
Les outils dadministration de base Adminpak.msi Le package Adminpak.msi contient tous les outils d'administration de Windows Server 2003. Il est possible de l'installer sur un poste client afin de disposer de ces outils. Le package se trouve sur le CD-ROM de Windows Server 2003 dans le rpertoire I386 ou est tlchargeable sur le site de Microsoft et ne peut tre installs que sur des ordinateurs fonctionnant sous Windows Server 2003 ou Windows XP Professionnel. Une fois ces outils installs sur notre poste de travail, il nous suffit de lancer l'outil dont nous avons besoin via les Outils d'administration se trouvant dans le Panneau de configuration :
Le simple fait d'appartenir au domaine permet l'outil que nous avons choisi d'afficher les informations relatives notre domaine. Cette solution est pratique sin nous voulons avoir la possibilit d'administrer nos serveurs partir de n'importe quel poste du rseau (surtout si celui-ci est vaste).
Il faut savoir que pour lancer ces outils partir d'un ordinateur client, nous devons utiliser un compte possdant les droits suffisant pour ouvrir les diffrentes consoles ou un compte qui a t dlgu certaines tches administratives. Cependant si nous utilisons un compte avec de simples droits d'utilisateur, il est possible d'utiliser une fonctionnalit apparue avec Windows 2000 : la commande Excuter en tant que 1.2 Excuter en tant que Comme dit prcdemment il est possible de lancer des outils d'administration avec un simple compte d'utilisateur. Le principe consiste utiliser les informations d'authentification d'un compte ayant des droits d'administration pour lancer les consoles. Pour ce faire, il faut effectuer la combinaison SHIFT + clic droit de la souris sur l'outil choisi. Voici le rsultat :
70 sur 110
02/02/2009 22:32
PLAN
Dans le menu contextuel nous choisissons donc "Excuter en tant que" Voici la fentre qui apparat :
Nous devons slectionner le bouton radio "L'utilisateur suivant" afin de lancer la MMC avec des informations d'authentification d'un utilisateur habilit le faire. Faites attention car par dfaut, c'est l'Administrateur local qui est spcifi dans le champ "Nom d'utilisateur" situ sous le bouton radio. Il faudra indiqu le nom d'un utilisateur du domaine pour ouvrir une MMC d'un domaine. De plus, il faudra respecter la nomenclature suivante : nom_du_domaine\nom_d'utilisateur. Autrement et mme si vous spcifiez bien un utilisateur du domaine mais sans renseigner galement son domaine d'appartenance, vous recevrez ce message :
Cette technique qui pourra tre utilise dans les environnements o la politique de scurit est leve par exemple : les administrateurs possderont ainsi des comptes d'utilisateurs simples et utiliseront cet outil pour effectuer des tches administratives.
71 sur 110
02/02/2009 22:32
PLAN
Le bureau distance Le bureau distance quivaut aux services Terminal Server en mode Administration de Windows 2000 Server. Cette fonctionnalit est installe par dfaut mais elle est dsactive. Pour l'activer, il suffit d'ouvrir les Proprits systmes, d'aller dans l'onglet "Utilisation distance" et de cocher la case "Autoriser les utilisateurs se connecter distance cet ordinateur".
En revanche il est inutile d'ajouter des utilisateurs via le bouton "Choisir les utilisateurs distants" car les membres du groupe "Administrateurs" ont les droits suffisants pour se connecter distance sans pour autant faire partie du groupe "Utilisateurs du bureau distance". A noter que le fait d'ajouter des utilisateurs via le bouton prcdemment cit ajoute en fait des utilisateurs au groupe "Utilisateurs du bureau distance". Suite cette manipulation, 2 administrateurs peuvent se connects simultanment leurs serveurs via les services Terminal Server.
La MMC "Bureaux distance" Disponible dans les Outils d'administration, cette console regroupe en fait tous les serveurs sur lesquels nous avons activ le bureau distance (pour Windows Server 2003) ou les services TSE en mode Administration (pour Windows 2000 serveur). En effet l'un des avantages de cette console est qu'elle permet de grer aussi bien des serveurs sous Windows 2000 que sous Windows 2003. Un autre avantage est que l'on peut aussi bien administrer des Contrleurs de domaine que des serveurs membres ou encore des serveurs autonomes. Voici comment se prsente cette console :
72 sur 110
02/02/2009 22:32
PLAN
Pour ajouter un serveur noter console, il suffit de faire un clic droit sur Bureaux distance et de choisir "Ajouter une nouvelle connexion". Pour ajouter ce nouveau serveur, nous pouvons soit taper son adresse IP, soit son nom de machine. Le bouton "Parcourir" nous permet de rechercher les serveurs sur lesquels sont installs les services Terminal Server. Si nous nous trouvons dans un domaine, la recherche se limitera notre domaine. Et si notre domaine ne contient aucun serveur hbergeant les services TS, nous en serons avertis. Les serveurs membres ou autonomes ayant le bureau distance activ ne sont pas pris en compte. Cela ne nous empche pas d'ajouter ces serveurs notre liste. Nous pouvons galement donner un nom convivial la connexion que nous venons de crer. Enfin nous pouvons, comme pour un client RDP, pr-renseigner les informations d'authentification afin de nous connecter directement notre serveur :
Le bouton "Se connecter la console" nous permet d'ouvrir une session directement sur le serveur comme si nous nous trouvions physiquement devant (voir plus haut). Une fois connect notre serveur, le contenu s'affiche dans la fentre de droite :
73 sur 110
02/02/2009 22:32
PLAN
Il est possible dans les proprits de notre connexion de dfinir certaines options comme la rsolution de l'cran ou encore le fait de lancer un programme particulier la connexion ou non :
74 sur 110
02/02/2009 22:32
PLAN
Attention lorsque que vous saisissez le nom ou l'adresse IP du serveur que vous dsirez ajouter votre liste de bureaux distance, aucunes vrifications n'est faite : tous serveur que vous ajouterez sera donc list. Il ne sera cependant pas possible de s'y connecter si les services TS ou bureau distance ne sont pas installs et activs.
Administration Web L'une des nouveauts de Windows Server 2003 en matire d'administration est la possibilit d'utiliser un navigateur Web pour administrer distance ses serveurs. Cette fonctionnalit s'appelle Web Interface for Remote Administration (Interface Web pour Administration Distance). Pour tre mise en uvre, elle ncessite les services IIS 6 installs sur les serveurs. Il est important de noter que cette fonctionnalit est installe par dfaut sur la version Web Edition de Windows Server 2003. Pour les autres ditions, il faut l'installer la main. Comment cela se passe-t-il ? Installation Tout d'abord, il faut que les services IIS soient installs sur le serveur. Lorsque l'ion se rend dans "Ajout/Suppression de composants Windows" pour ajouter les services IIS, il est possible (et mme ncessaire) via le bouton dtails d'ajouter le composant "Administration distance (HTML)".
75 sur 110
02/02/2009 22:32
PLAN
Ensuite, il faut lancer le package MSI suivant dans Dmarrer\Excuter : sasetup.msi. Une fois lanc, un assistant apparat pour nous guider dans l'installation de ce composant :
Par dfaut, tous les composants qui forment ce package sont installs sauf l'Interface Utilisateur Local. Nous pouvons choisir de l'installer ou non, cela n'aura que peut d'influence sur le fonctionnement de l'interface d'administration Web :
Le fait d'installer ce composant modifie l'installation des outils d'administration distance. Utilisation Une fois le composant install, il faut ouvrir une fentre d'Internet Explorer et taper dans la barre d'adresse : https://nom_du_serveur:8098. Des informations d'authentification nous sont alors demandes : il faut saisir les nom et mot de passe d'un utilisateur ayant des droits suffisant d'administration :
76 sur 110
02/02/2009 22:32
PLAN
Une fois ces informations renseignes, nous arrivons sur l'interface d'administration Web Une aide nous est propose afin de nous guider dans nos tches administratives via cet outil.
Il nous est possible d'effectuer toutes les actions possibles d'administration et de configuration de notre serveur comme si nous tions devant : - Administrer les services Web :
77 sur 110
02/02/2009 22:32
PLAN
Nous pouvons crer des sites, leur attribuer des ports, arrter/redmarrer un site, configurer le rpertoire de base des sites, limit l'accs un nombre de personnes dfinis, etc - Administrer les services rseaux : Il est possible de modifier le nom du serveur, le workgroup auquel il appartient, l'intgrer un domaine, configurer les interfaces rseaux en spcifiant si elles seront gres via DHCP ou leur attribues des adresses IP fixes, etc - Grer les utilisateurs et les groupes locaux : L, nous crons, modifions, activons/dsactivons et supprimons des utilisateurs et des groupes locaux.
- Bureau distance via Internet Enfin, il est possible de se connecter via les services Terminal Server en passant par notre navigateur web : Par exemple si nous voulons partager un rpertoire distance mais que la machine sur laquelle nous travaillons ne possde pas de client RDP, nous avons la possibilit de nous connecter notre serveur en TSE via Internet Explorer.
78 sur 110
02/02/2009 22:32
PLAN
Microsoft annonce GPMC
Microsoft vient dannoncer la sortie de Group Policy Management Console (GPMC), un nouvel outil gratuit de gestion des GPO pour Windows Server (2000 et 2003). GPMC est un snap-in MMC permettant une visualisation centralise des GPOs, des units organisationnelles (OUs), des domaines et des sites, fournissant ainsi un point daccs unique pour toutes les tches (import, export, copier, coller, reporting,) relatives la gestion des GPOs. GPMC est compatible avec les domaines Windows 2000 et Windows Server 2003, mais doit tre install sur un systme Windows XP SP1 ou Windows Server 2003. GPMC est disponible en tlchargement (version anglaise uniquement) partir du site Microsoft.
Informations dtailles et tlchargement de GPMC (4,5 Mo)
79 sur 110
02/02/2009 22:32
PLAN
ORGANISATION DE LAD
80 sur 110
02/02/2009 22:32
PLAN
81 sur 110
02/02/2009 22:32
PLAN
Les units dorganisation sont empilables, embotables volonts avec comme limite une arborescence de 250 Niveaux !
LAD est organise en objet concret (COMPUTERS, USERS) et des objets qui ne sont pas forcement sur le serveur mais rfrenc dans lAD (PARTAGE, IMPRIMANTE)
CREATION DES UTILISATEURS POUR UN SERVEUR ADMINISTRATIF
ADDUSERS.exe disponible sur le site ci-dessous : http://tech.cuip.net/logins/docs/Addusers-overview.htm http://perso.wanadoo.fr/college.magalas34/nt4_addusers.htm
addusers /c <file name> (Cration) addusers /e <file name> (Suppression) addusers /b <file name> (Rcupre les comptes utilisateurs, groupes locaux ou globaux et les copie vers le fichier) addusers [ \\Nom d'ordinateur ] [{ /c | /d | /e } Nom du fichier] [/s:x] [/?] En rsum :
82 sur 110
02/02/2009 22:32
PLAN
/c /d /e
cr les comptes utilisateurs, groupes locaux ou groupes globaux spcifis dans le fichier texte Rcupre les comptes utilisateurs, groupes locaux ou globaux et les copie vers le fichier (sans les mots de passe) Efface les comptes utilisateurs spcifis dans le fichier
Le script de cration des utilisateurs est un simple fichier texte avec la syntaxe suivante :
[Users] <Nom d'utilisateur>,<Nom dtaill>,<Mot de passe>,<Rpertoire Home>,<Chemin vers Home>,<Profil>,<Script> addusers /c c:\fichier.csv /p:lce >fic.txt Les utilisateurs nauront pas changer leur mot de passe, Ne pourront pas en changer, Le mdp nexpire jamais, En prime un CR de lopration est sauvegard dans fic.txt
Cration des rpertoires personnels :
Jutilise deux fichiers BAT, RMTSHARE.exe, Xcacls.exe de Microsoft pour crer les rpertoires personnels partir de la liste des utilisateurs http://www.microsoft.com/windows2000/techinfo/reskit/tools/default.asp ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/nt40/i386/
MakeListPerso.bat
echo off cls echo. echo -----------------------------------------------------------------
83 sur 110
02/02/2009 22:32
PLAN
echo Cration de tous les dossiers personnels de tous les utilisateurs echo ----------------------------------------------------------------echo. echo. echo. :: if EXIST %1 GOTO OK echo. echo Le fichier %1 est introuvable. echo Le processus est arrt ! echo. pause :: GOTO FIN :OK :: :DEJA_V FOR /F "tokens=1" %%A IN (%1) DO call creathome %%A :FIN
creathome.bat
md c:\users\%1 xcacls c:\users\%1 /g "TEST\%1":C /y xcacls c:\users\%1 /e /g "TEST\administrateur":F /y rmtshare \\172.18.0.5\%1$=c:\users\%1
CREATION DUN SCRIPT DE DEMARRAGE
84 sur 110
02/02/2009 22:32
PLAN
Pour un poste XP/2000 Pour un poste 98, 98se, ME
Script XP /2000 Le script utilise IFMEMBER de chez Microsoft, il est tlchargeable gratuitement (copier le dans le NETLOGON) :
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/nt40/i386/
Commencer par crer un script login.bat quil vous suffit dditer avec Notepad Le principe est trs simple : Si vous ts membre dun groupe Admin alors a excute une commande qui mappe une ressource du rseau sinon a passe la suite, etc Ex :
Il existe une variante avec KIX32 mais plus complexe mettre en place (mais fonctionne avec XP /2000 /98/ 98se /Me) http://www.kixtart.org
Script 98, 98se, Me Le script est personnel puisquil est unique chaque utilisateur : La commande utilis est NET USE (NET USE ?)
NET USE [nom de priph.|*] [\\Ordinateur\Partage[volume] [mot de passe | *]] [/USER:[nom de domaine\]nom d'utilisateur] [/USER:[nom de domaine avec points\]nom d'utilisateur] [/USER:[nom d'utilisateur@nom de domaine avec points] [/SMARTCARD] [/SAVECRED] [[/DELETE] | [/PERSISTENT:{YES | NO}]]
NET USE [nom de priphrique | *] [mot de passe | *] [/HOME]
85 sur 110
02/02/2009 22:32
PLAN
NET USE [/PERSISTENT:{YES | NO}]
Ex:
Il existe un logiciel trs agrable et gratuit pour crire des fichiers BAT, il se nomme astase PowerBatch. www.astase.com
Voici des liens sur les fichier Bat

http://www.pointbat.be.tf/ http://www.autourdupc.com/index.php?sImp=&sType=SFT&sOS=&sOSver=&sRub=&sSvce=&sNoFrm=&sPage=Logiciel/Scripts/Cmd2000.htm http://www.fpschultze.de/bsc.htm
GESTION 5
http://www.ac-amiens.fr/pedagogie/tice/reseaux/outils/nt4/default.htm
86 sur 110
02/02/2009 22:32
PLAN
CREATION DUNE STRATEGIE de groupe (UTILISATEUR / MACHINE)
installation des imprimantes rseaux
Il faut crer une stratgie de groupe nomm imprimante dans une OU
CONFIGURATION ORDINATEUR > PARAMETRE WINDOWS > SCRIPTS > DEMARRAGE
Le script qui va nous servir installer les imprimantes doit tre utiliser en fonction de la position gographique des PC et nom des utilisateurs, il convient donc de le placer dans la partie script de dmarrage de la machine (COMPUTER)
87 sur 110
02/02/2009 22:32
PLAN
88 sur 110
02/02/2009 22:32
PLAN
La commande utilis est rundll32 printui.dll,PrintUIEntry Pour plus dinfo, faite DEMARRER > EXECUTER > rundll32 printui.dll,PrintUIEntry /? Pour plus dinfo, faite DEMARRER > EXECUTER > rundll32 printui.dll,PrintUIEntry /Xs /n "printer" ? http://support.microsoft.com/default.aspx?scid=kb;en-us;189105
89 sur 110
02/02/2009 22:32
PLAN
Un script similaire quelques paramtres prs permet de dsinstaller les imprimantes aprs la dconnection. Il est a placer dans la partie Arrter le systme
90 sur 110
02/02/2009 22:32
PLAN
suppression du profils local (cache)
Il faut crer une stratgie de groupe au niveau machine CONFIGURATION ORDINATEUR > MODELES DADMINISTRATION > SYSTEME > PROFILS UTILISATEUR
91 sur 110
02/02/2009 22:32
PLAN
92 sur 110
02/02/2009 22:32
PLAN
Dtermine si le systme enregistre une copie du profil itinrant utilisateur sur le disque dur de cet ordinateur lorsque l'utilisateur ferme sa session.
Ce paramtre, et les paramtres associs dans ce dossier, dcrivent ensemble une stratgie de gestion des profils utilisateur qui rsident sur des serveurs distants. En particulier, elles indiquent au systme comment rpondre lorsqu'un profil distant est lent charger.
Les profils itinrants rsident sur un serveur rseau. Par dfaut, lorsque des utilisateurs avec des profils itinrants ferment leur session, le systme enregistre galement une copie de leur profil itinrant sur le disque dur de l'ordinateur qu'ils utilisent au cas o le serveur qui stocke le profil itinrant soit indisponible lors de l'ouverture de session suivante. La copie locale est galement utilise lorsque la copie distante du profil itinrant de l'utilisateur est lente charger.
Si vous activez ce paramtre, toutes les copies du profil itinrant utilisateur sur cet ordinateur seront supprimes la fermeture de session de l'utilisateur. Le profil itinrant est conserv sur le serveur rseau qui le stocke.
Important : n'activez pas ce paramtre si vous utilisez la fonction de dtection des liens lents de Windows 2000 Professionnel et de Windows XP Professionnel. Pour rpondre un lient lent, l'ordinateur ncessite une copie locale du profil itinrant de l'utilisateur.
93 sur 110
02/02/2009 22:32
PLAN
restriction poste client
Il est important de crer une structure pour grer les stratgies de scurits : Stratgie de scurit du menu dmarrer Stratgie de scurit du Bureau Stratgie de scurit du panneau de configuration
94 sur 110
02/02/2009 22:32
PLAN
Etc
Il existe des restrictions incontournables Interdire la modification de laffichage Interdire laccs au panneau de configuration Interdire active-desktop Interdire changement de mot de passe Etc
Poste client xp / 2000
configuration rseau (WINS, DNS, passerelle) La configuration du rseau est importante pour faire entrer un poste dans le domaine : La plage dadresse IP doit tre compatible (IP et Masque de sous rseau) La DNS est primordiale : elle doit renseigner ladresse IP du serveur et nom celle de Wanadoo ou de votre Routeur Internet (TEST.PRIV ou TEST.LOCAL sont des noms de domaine que Wanadoo ne sera pas renseign, et donc chec assur pour faire entrer un poste dans le domaine !!!) Si vous modifier la DNS aprs avoir fait rentr un poste sur le domaine vous risquez certainement davoir des lenteurs l'ouverture de session (il peut arriver que la dure dpasse 5 minutes !). Le WINS est important si vous utiliser des VLAN avec routage de niveau 3 ou un Routeur logiciel (IPCOP, ESMITH) pour passer un rseau un autre (ADMINISTRATIF PEDAGOGIQUE) La passerelle est importante si vous utiliser des VLAN avec routage de niveau 3 ou un Routeur logiciel (IPCOP, ESMITH) pour passer un rseau un autre (ADMINISTRATIF PEDAGOGIQUE) elle devra pointer sur le routeur niveau 3 ou le Routeur logiciel
Mise en uvre : Lorsque le poste client est dmarr, aller dans les connexions rseau et accs distant (Poste de travail/ panneaux de configuration/connexions rseau et accs distant).
95 sur 110
02/02/2009 22:32
PLAN
Cliquer sur Connexion au rseau local pour afficher une fentre
Aller ensuite dans les proprits du Protocoles Internet (TCP/IP) pour ouvrir une nouvelle fentre.
Cocher Utiliser ladresse IP suivante et indiquer toutes les adresses IP dans les champs proposs. Cliquer sur ok pour enregistrer les modifications
96 sur 110
02/02/2009 22:32
PLAN
faire rentrer un poste xp / 2000 dans un domaine
Cliquez sur PROPRIETES
Membre de : indiquez le domaine (TEST, TEST.priv)
SEUL un compte administrateur peut autoriser cette action Ne pas confondre "Administrateur" qui est le compte LOCAL pour la station avec "Administrateur" qui est le compte de l'administrateur sur le serveur Voila vous ts dans le domaine TEST
Un redmarrage est ncessaire pour rentrer dans le domaine
97 sur 110
02/02/2009 22:32
PLAN
cration de profils itinrant, obligatoire, local
Profils Les profils sont automatiquement activs sur les stations NTWS/W2KP/XP. Suivant le nombre d'utilisateurs susceptibles de venir sur les stations on pourra utiliser diffrentes solutions. 1) Solution avec peu d'utilisateurs (profil Local) Si le nombre d'utilisateurs n'est pas important, la place occupe par ces profils restera acceptable. On sera cependant certainement amen supprimer de temps en temps les profils inutiles. Cette suppression se fera sur chaque station en tant qu'administrateur en utilisant "Panneau de configuration", "Systme" et "Profils utilisateurs" (pour XP : "Panneau de configuration", "Systme", "Avanc" et dans "Profils utilisateurs" utilisez "Paramtres"). 2) Solution avec beaucoup d'utilisateurs, gnralits. (Profil itinrant) On utilise habituellement un profil itinrant obligatoire avec suppression des copies en cache des profils. La solution habituelle consiste placer le rpertoire contenant le profil commun tous les utilisateurs dans un rpertoire partag sur le serveur. Cette solution convient si votre rseau ne comporte que des NTWS ou que des 2000 pro ou que des XP pro (sachant que les Windows 9x n'utilisent habituellement pas les profils, le rseau peut en plus tre compos de 95, 98 et ME sans que cela gne). Pourquoi ne pas mlanger les versions ? Supposons pour simplifier que votre rseau contienne un NTWS et un XP et que le profil ait t cr partir du XP (copie d'un profil utilisateur du XP vers le rpertoire commun du serveur). Si l'utilisateur Dupond a un profil itinrant obligatoire, lorsque qu'il ouvre une session il reoit le profil obligatoire. S'il ouvre la session sur le XP tout va bien mais s'il ouvre la session sur le NT4 beaucoup de fichiers et de cls de la base de registre ne conviennent pas. Lenteur : Lorsque tous les utilisateurs ouvrent une session la mme heure, le rseau est trs sollicit car le profil commun est rapatri sur toutes les stations en mme temps.
Technique : Crer un rpertoire pour le profil Crez un rpertoire sur le serveur (par exemple C:\Profils) Partagez ce rpertoire avec par exemple Profils comme nom de partage. Mettez comme autorisations de partage : Administrateurs : Contrle total Tout le monde : Lire Vrifiez que les autorisations de scurit possdent au moins : Administrateurs : Contrle total System : Contrle total Tout le monde : Modifier. Si les autorisations de scurit comportent la ligne "Tout le monde" avec "Contrle total" cela convient. Dans ce cas, il est inutile d'ajouter d'autres lignes. Crer un sous rpertoire CommunXP. Si le serveur s'appele w2003 et si vous avez utilis les rpertoires proposs, le chemin d'accs du profil partir des stations sera : \\W2003\Profils\CommunXP Crer un UTILISATEUR Modle qui na pas de profile Crer le profil
98 sur 110
02/02/2009 22:32
PLAN
Ouvrir une session sur une station en tant qu'utilisateur Modle qui na pas de profil itinrant, le profil sera local et ne sera pas supprim automatiquement. Utilisez au moins une fois "Internet explorer", "Outlook Express", "Microsoft Word", StarOffice... Fermez la session. Ouvrez une session sur cette station avec le compte "Administrateur" du serveur. La fentre d'ouverture de session doit donc contenir "Administrateur", le mot de passe de l'administrateur du domaine et en troisime zone le nom du domaine. Dans "Panneau de configuration", "Systme", "Avanc" et "Profils utilisateurs", placez-vous sur le profil utilis prcdemment (donc Modle) et faites "Copier vers..." Dans "Copier le profil vers", mettez le chemin d'accs du profil (\\W2003\Profils\CommunXP). Dans "Autoris utiliser", utilisez le bouton "Modifier" et tapez "Tout le monde" pour permettre au groupe "Tout le monde" d'utiliser ce profil. Effectuez la copie.
Rendre le profil obligatoire (Profil obligatoire)
Renommez le fichier ntuser.dat qui est dans \\w2003\Profils\CommunXP en le nommant exactement ntuser.man Ne confondez pas avec le fichier texte ntuser.dat.txt qui peut ventuellement exister et qu'il est inutile de renommer.
LES UTILISATEURS ET LES DROITS
Privilge\Groupe
Admin.
Utilisateur avec pouvoirs
Utilisateurs Invits
Tout le monde
Admins du domaine
Ouvrir une session localement Accder cet ordinateur partir du rseau Arrter le systme Changer lheure du systme Forcer larrt partir dun systme distant Sauvegarder et restaurer des fichiers et des rpertoires Charger et dcharger des pilotes de priphrique Ajouter des stations de travail un domaine Crer et grer des comptes dutilisateur Crer et grer des groupes locaux Grer l'audit des vnements systme Assigner des droits aux utilisateurs Formater le disque dur de l'ordinateur Crer des groupes communs Partager et cesser de partager des rpertoires Partager et cesser de partager des imprimantes
x x x x x x x x x x x x x x x
x x x x x x x x x x x
x x x -
x x x -
x x x -
x x x x x x x x x x x x x x x x
99 sur 110
02/02/2009 22:32
PLAN
Sauvegarde client et serveur robocopy cobian xcopy32 ghost / drive image
WINDOWS 2003 Server innove en terme de sauvegarde de fichier en utilisant la technologie des clichs instantans
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/ntbackup.mspx#EEAA
ROBOCOPY (copie et synchro de fichiers trs volue Res. Kit)
Intrt Permet de synchroniser en ligne de commande les contenus de deux rpertoires (ou arborescences). c'est donc utilisable dans des tches planifies (commande at de Windows NT/2000 ou gestionnaire de tches de Windows 2000). Syntaxe robocopy rpertoire_source rpertoire_destination [fichier ou masque de fichiers copier] [options] Pour obtenir la syntaxe de base : robocopy /? Pour plus d'options : robocopy /??? Sinon, se rfrer au manuel qui contient une abondante documentation. Quelques options parmi les plus utiles
Options les plus utiles /E
Rle Traiter les sous-rpertoires mme vide
Eviter les r-essais sur les fichiers ou rpertoires dont les accs sont bloqus. Attention mfiance ! Quand vous utilisez /R:0 l'option de test ("/L") les fichiers bloqus ne stoppent pas le traitement, mais quand vous voulez passer l'action ils (ou autre valeur faible) deviennent bloquants. En effet la valeur par dfaut du nombre de tentatives est de 1000000 ("/R:1000000") et le temps entre deux tentatives comme valeur par dfaut 30 ("/W:30"). Autant dire que c'est carrment bloquant ! /W:5 /XO /SEC Si vous avez choisi /R:n avec n diffrent de 0, alors choisissez une valeur faible pour ce paramtre qui dfinit le temps d'attente entre deux tentatives. Les fichiers plus vieux sur la source que sur la destination sont exclus du traitement (ils ne sont pas recopis). Copie les infos de scurit
100 sur 110
02/02/2009 22:32
PLAN
/MIR
Equivalent /E /PURGE. Permet d'effectuer un vritable mirroring entre deux arborescences, allant jusqu' supprimer de la destination les fichiers disparus de la source. A l'issu de l'opration, les deux arborescence seront strictement semblables, moins, peut-tre, que l'on ait spcifi des exclusions (ce dernier point vrifier quand mme). Permet d'enregistrer un journal des rpertoires traits et des actions effectues.
/LOG:chemin_fichier
/LOG+:chemin_fichier Idem ci-dessus mais ajoute la fin du fichier journal au lieu de l'craser. Pour simuler, seulement, et prendre la mesure des changements effectuer. N'effectue aucune action sur les fichiers. Permet quand mme d'enregistrer le journal des actions. Attention mfiance ! Quand vous utilisez l'option de test ("/L") les fichiers bloqus ne stoppent pas le traitement, mais quand vous voulez passer l'action ils deviennent bloquants. En effet la valeur par dfaut du nombre de tentatives est de 1000000 ("/R:1000000") et le temps entre deux tentatives comme valeur par dfaut 30 ("/W:30"). Autant dire que c'est carrment bloquant !
/L
Il existe une version graphique : Robocopy Wizard http://www.opaleds.com/products/robocopy_wizard.html#d

Version 1.0.1.7 - 29 octobre, 2004 Robocopy Wizard (ex: Robocopy Assistant) est une interface graphique permettant d'utiliser l'utilitaire Microsoft Robocopy provenant des ressources kit NT, 2000, et Serveur 2003. Cet utilitaire console puissant est trs largement utilis dans les entreprises, il a la particularit d'effectuer des reprises de transfert aprs un problme ou une coupure rseau. Sous forme d'un assistant pas pas, Robocopy Wizard permet de s'affranchir des lignes de commandes. Trs simple d'utilisation, il offre une interface moderne, simple et fonctionnelle. Cette version s'appuie dsormais sur Robocopy Version XP010 issu du ressource kit server 2003 de Microsoft.
cobian
Cobian Backup est, comme son nom l'indique, un logiciel de sauvegarde. L'interface, assez classique pour un logiciel de ce genre, affiche la liste des plans de sauvegarde dans un tableau rcapitulatif avec leur nom, les rpertoires source et destination ainsi que la frquence et la taille des sauvegardes. La sauvegarde peut se faire dans un rpertoire local ou bien distance (par l'intermdiaire du client FTP inclus). Les options relatives chaque sauvegarde sont nombreuses et claires (compression, sauvegarde incrmentale, rcursivit dans les rpertoires, exclusions par masque, lancement de programmes avant et aprs le backup...). A noter que le logiciel comprend une option de mise jour par Internet et que le passage en version franaise se fait par l'intermdiaire du menu Tools/Options(c'est l'anglais qui est install par dfaut).
101 sur 110
02/02/2009 22:32
PLAN
Il est trs pratique pour la sauvegarde dAPLON, de BCDI, des PROFILS sur 7 jours (ou plus)
xcopy32
Commande externe. Fonctionne sur la ligne de commande ou dans un batch. Uniquement sur windows 9x Copie les fichiers et repertoires du disque. Syntaxe XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/W] [/C] [/I] [/Q] [/F] [/L] [/H] [/R] [/T] [/U] [/K] [/N] Parametres source Fichiers a copier. destination Emplacement ou nom de fichiers. /A Copie les fichiers avec l'attribut archive, ne modifie pas l'attribut. /M Copie les fichiers avec l'attribut archive,desactive l'attribut archive. /D:date Copie les fichiers modifies a la date ou apres la date donnee. Sans date specifiee, copie que les fichiers dont l'heure source est anterieure a l'heure destination. /P Avertit avant de crer chaque fichier destination. /S Copie les rpertoires et sous-repertoires non vides. /E Copie tous les rpertoires et sous-repertoires. Identique a /S /E. A utiliser pour modifier /T. /W Demande d'appuyer sur une touche avant la copie.
102 sur 110
02/02/2009 22:32
PLAN
/C Continue la copie meme en cas d'erreurs. /I Si la destination n'existe pas lors de la copie des fichiers, suppose que la destination est un repertoire. /Q N'affiche pas le nom des fichiers lors de la copie. /F Affiche les noms complets de la source et de la destination. /L Affiche les fichiers qui sont copies. /H Copie aussi les fichiers systeme et caches. /R Ecrase les fichiers en lecture seule. /T Cree une arborescence sans copier les fichiers. N'inclut pas les rpertoires et sous-repertoires vides. /T /E inclus les rpertoires et sous-repertoires vides. /U Met a jour les fichiers dans destination. /K Copie attributs. Normal Xcopy efface attributs lecture seule. /Y Ecrase les fichiers sans avertir. /-Y Avertit avant l'ecrasement des fichiers. /N Copie avec les noms courts (moins de 9 caracteres) generes.
Il existe une version graphique WinXcopy qui fonctionne sur windows 2000 /XP
http://www.ubiq.be/freeware/winxcopy/winxcopy.html
ghost / DRIVE IMAGe
Un seul et mme produit puisque Symantec racheter Powerquest Norton Ghost 9 sait tout faire : il peut placer les images des disques sur tous les supports possibles, et il sait grer les planifications des sauvegardes incrmentielles, ce que ses concurrents ne savent pas tous faire. Il dispose galement de Backup Image Browser, un utilitaire ddi au parcours des images cres. Ce dernier n'autorise toutefois que la visualisation ou la restauration de fichiers vers leur emplacement d'origine. Il est donc impossible de prlever directement un fichier. Sauvegarde d'units Cette fonctionnalit permet donc de sauvegarder l'intgralit d'une partition. Il peut s'agir de n'importe quelle partition, y compris la C:\ et la manipulation se fait directement depuis Windows. Il n'est donc pas ncessaire, comme avec les anciennes versions, de redmarrer sous DOS. Avec cette mthode, il n'est cependant pas possible de sauvegarder un disque entier avec son architecture. Il faut entendre par l que vous nous pouvez pas faire en sorte de sauvegarder votre disque primaire, par exemple, avec tout l'architecture de partitions qu'il comporte. Cependant vous pouvez effectuer la sauvegarde de toutes les partitions d'un seul coup, l'aide d'une slection multiple. Ainsi vous aurez une archive pour chaque partition. L o cela devient intressant c'est sur la possibilit de sauvegarder directement sur un CD ou un DVD. Il s'agit d'une fonctionnalit utile car cela vous procure un gain de temps assez apprciable si vous dsirez par la suite garder les images sur mdias amovibles. Une autre possibilit est celle de sauvegarder vos fichiers sur le rseau.
103 sur 110
02/02/2009 22:32
PLAN
Cliquez pour agrandir Quatre modes de compression sont proposs : Aucun, Standard, Moyen et Elev. Bien entendu plus le mode de compression est lev, plus de temps prendra l'opration. Suivant la taille de la partition il sera donc plus ou moins propice de choisir une compression importante ou non. Petite fonctionnalit assez sympathique : la possibilit de fractionner les images en X Mo. Ainsi si vous dsirer graver votre image sur CD ou DVD, cela sera bien plus pratique. Bien entendu il est aussi possible de protger les archives en les dotant d'un mot de passe. Pour information il nous aura fallu environ 15 minutes afin de sauvegarder notre partition C:\ de 8 Go. Opration effectue en continuant de surfer sur Internet, preuve que la sauvegarde chaud est d'une relle efficacit.
Cliquez pour agrandir Planification de sauvegardes incrmentales Comme son nom l'indique, cette option sert effectuer des sauvegardes incrmentales de manire planifie. Ainsi Ghost sauvegardera la partition dsire un moment que vous aurez prdfini. Mais le dtail c'est qu'il ne va pas "btement" sauvegarder l'intgralit de votre partition et remplacer l'archive prcdente. Effectivement Ghost va uniquement sauvegarder les fichiers qui ont t modifis / ajouts / supprims et les implmenter dans une autre archive, ce qui permet de gagner un temps norme. C'est ainsi un "groupe d'images" qui est cr et ce de manire totalement transparente. Le choix au niveau des sauvegardes est trs vaste, ce qui reprsente un bon point afin de faire des sauvegardes des moments o le poste n'est pas utilis.
104 sur 110
02/02/2009 22:32
PLAN
Les tches de restauration Maintenant que les diverses fonctions de sauvegarde ont t passes en revue, nous allons nous pencher sur les mthodes de restauration que propose Norton Ghost. Il existe deux mthodes diffrentes : la restauration d'unit et la restauration de fichiers ou dossiers. C'est sur cette dernire que nous allons nous pencher dans un premier temps. Restaurer des fichiers ou des dossiers. Cette fonction permet de restaurer uniquement, comme son nom l'indique, des fichiers ou des dossiers. Trs utile donc si par mgarde vous avez supprim quelque chose que vous ne vouliez pas. En cliquant sur le bouton c'est tout simplement Symantec Backup Image Browser qui s'ouvre. Cet utilitaire, prsent avec toutes les versions de Ghost permet justement d'ouvrir les archives cres lors des sauvegardes. Inutile donc de passer par le centre de commande de Ghost, car si vous double cliquez sur une archive, le Backup Image Browser se lancera automatiquement.
Cliquez pour agrandir Restaurer une unit Cette mthode de restauration est celle qui va remettre en place l'intgralit de votre partition. Lorsque vous utilisez cette fonction, votre partition sera crase et les fichiers contenus dans l'archive seront mis la place. C'est cette fonction qui ravit les personnes dont la machine fonctionne de manire alatoire. Par contre cela peut s'avrer assez tratre dans le sens o si vous aviez des documents importants prsents sur la partition et qui n'ont pas t sauvegards lors de la cration de l'archive, ni mme lors de la cration de l'archive incrmentale, ces fichiers seront tout simplement perdus.
105 sur 110
02/02/2009 22:32
PLAN
Fonctionnalits annexes Pour ce qui est des petites fonctionnalits annexes, rien de bien surprenant, ni de bien fondamental. Bien entendu LiveUpdate, le logiciel de mise jour de Symantec, est au rendez-vous et vous permettra de maintenir jour votre Norton Ghost 9.0 et ce, de faon totalement automatique, lorsque l'ordinateur est connect Internet. Dans la partie avance, vous disposez d'un historique des sauvegardes afin de voir si vos incrmentations s'excutent sans problme. En cas de problme justement, vous pouvez compter sur un journal des vnements, toujours disponible en mode avanc. Pour en finir avec ce mode, les oprations de sauvegardes programmes sont prsentes dans un onglet prvu cet effet et permettant de les modifier souhait. Dans les options, rien de rglable, si ce n'est la possibilit d'envoyer par mail les principaux vnements. Fonction rserve une clientle un peu plus professionnelle, il est vrai.
CD-Rom Bootable Le CD-Rom d'installation est bootable. Ainsi vous pouvez procder uniquement la restauration de vos images. Fonction trs importante pour les utilisateurs dont la machine ne daigne plus redmarrer. Une fonction anti-virus est aussi prsente, cependant il faudra disposer des derniers mises jours de celui-ci quelque part sur disquette, CD/DVD ou sur le disque dur. Petit bmol cependant : la ncessit d'avoir de bonnes ressources systmes, car le service utilise toute de mme pas loin de 20mo ! Ceci peut s'avrer contraignant pour les machines disposant de peu de mmoire vive. D'autant plus que lors d'archivage, la machine est relativement ralentie. Inutile donc d'essayer de jouer votre FPS favori tout en sauvegardant une partition. Mais ceci n'enlve rien l'utilit d'un tel logiciel pour les personnes grant des parcs informatiques, si l'on se cantonne la clientle professionnelle, ou pour les particuliers souhaitant sauvegarder leurs donnes ou ceux installant/dsinstallant des logiciels qui pourraient un jour les amener rinstaller Windows... Avec un logiciel comme Ghost, nul besoin de tout rinstaller, il suffira en effet de restaurer une image pralablement cre.
106 sur 110
02/02/2009 22:32
PLAN
SYNCHROPARC
http://crdp.ac-reims.fr/synchroparc/
SynchroParcXP permet de sauvegarder un ensemble d'ordinateurs sur le disque dur d'un ordinateur du rseau. Chaque sauvegarde est compose d'un fichier (extension ASB) contenant la liste des fichiers sauvegards et l'endroit (dans le rpertoire DATAXP) o chaque fichier est sauvegard. Avec cette technique, un mme fichier appartenant plusieurs ordinateurs n'est sauvegard qu'une fois, d'o un gain de temps et de place. Depuis la version 1.01 de SynchroParcXP, il est possible de crer des sauvegardes multi-ordinateurs (clonage). SynchroParcXP permet de restaurer les ordinateurs dans l'tat exact o ils taient lors de la sauvegarde. Toute modification faite depuis la sauvegarde est oublie. Les fichiers qui ont t supprims sont replacs, les fichiers qui ont t modifis sont restaurs, les fichiers qui ont t ajouts sont supprims. SynchroParcXP permet galement une restauration partielle bien utile si on vient de supprimer un fichier ou un rpertoire par erreur et que l'on souhaite seulement restaurer ce fichier ou ce rpertoire. Cette restauration partielle ne supprime pas de fichiers. Remarque : La comparaison de deux fichiers se fait en comparant le nom, le rpertoire, la taille et la date la seconde prs. Il est donc thoriquement possible que deux fichiers soient diffrents et considrs comme identiques par SynchroParcXP, mais la probabilit est tellement faible qu'en pratique elle peut tre considre comme nulle. En effet, ds qu'un fichier est modifi, sa taille a de grandes chances de changer et la date change pour indiquer le moment prcis de l'enregistrement.
La documentation complte sur le site : http://crdp.ac-reims.fr/synchroparc/docxp.htm
LUTILITAIRE DE SAUVEGARDE MICROSOFT
Lutilitaire est basic mais pourra tre fort utile pour sauvegarder la totalit du system sur bande ou simplement le contenu de lAD (Active directory)
107 sur 110
02/02/2009 22:32
PLAN
Utiliser lassistant si vous netes pas sur de vous
Cliquez sur sauvegarder et suivant
La premire tape est de sauvegarder lAD, donc je choisis Me laisser choisir les fich.
Le systme contient : lAD, Boot files, la base de registre et le SYSVOL
108 sur 110
02/02/2009 22:32
PLAN
Je choisis un lieu de stockage: bande ou disque dur et je fais enregistrer
OUTILS DIVERS
SUPEREXEC http://www.bellamyjc.net/fr/superexec.html
Cet outil permet lExcution d'applications sous un compte administrateur (GRATUIT) Le site est assez extraordinaire par son contenu !
REMOTEXEC http://www.isdecisions.com/index.cfm?p=products-remoteexec
Cet outil permet lexcution dun programme (Mise jour Windows, fichier REG, fichier MSI, etc.) sur plusieurs PC simultanment et avec les droits administrateurs (PAYANT MAIS VERSION ILLIMITE 10 POSTES)
Security Explorer 4 http://www.scriptlogic.com/ La demo est visible cette adresse : http://www.scriptlogic.com/eng/products/productdemos /Security_Explorer_Webinar_09222004.asx
Cet outil permet une gestion plus fine des droits, des partages de Windows 2000 /2003 serveur Il permet aussi de sauvegarder les scurits et les partages, de cloner les droits dun dossier pour mettre sur un autre etc
Adminscripteditor http://www.adminscripteditor.com/main.asp
Un site consacr au script (Bach, kix, vb etc) !!!! INCONTOURNABLE !!!!
ASTASE www.astase.com
109 sur 110
02/02/2009 22:32
PLAN
Une suite de logiciel gratuit pour la sauvegarde, la scurit, le dveloppement, le multimdia !!!! INCONTOURNABLE !!!!
98
110 sur 110
02/02/2009 22:32

Formation Windows 2003 Ifucome

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Formation Windows 2003 Ifucome

Transféré par

Droits d'auteur :

Formats disponibles

PLAN

FORMATION MICROSOFT WINDOWS 2000 / 2003 SERVER

4. gestion des partages et de la securite

5. ORGANISATION DE LAD NIVEAU MACHINE NIVEAU UTILISATEUR (groupe) SCHEMA

6. CREATION DES UTLISATEURS SERVER ADMINISTRATIF (ADDUSER.EXE) SERVEUR PEDAGOGIQUE (GESTION 5)

9. Mise jour des clients shlavik sus sms

LUTILITAIRE DE SAUVEGARDE MICROSOFT

11. OUTILS DIVERS

WINDOWS 2003 SERVER

Cration de valeur par la famille Windows Server 2003

Windows Server 2003 Datacenter Edition

Windows Server 2003 Enterprise Edition

Windows Server 2003 Standard Edition

Windows Server 2003 Web Edition

Configuration de Windows Server 2003

Configuration ncessaire au fonctionnement de Windows Server 2003

Forts et Domaines Nommage et hirarchie des domaines dune fort

Utilisateurs, Groupes et permissions

Etendue des groupes

Fonctionnement matre unique http://support.microsoft.com/default.aspx?scid=kb;fr;197132

Contrleur dattribution 1 par fort de nom de domaine

Matre RID (didentificateur relatif) Matre dinfrastructure

System Sites, serveur et rplication

Contient des paramtres systmes.

Stratgies de groupes (Group Policies / GPO)

Hritage des stratgies de groupe

Application des stratgies de groupe

GPO par dfaut

Contenu des GPO

Divers Dlgation de contrle

Compatibilit avec les anciennes versions de Windows

Prsentation des arborescences de domaine et des forts

AD 2003 ET AD 2000 compatible ?

Si adprep /forestprep ne s'excute pas, vrifiez les lments suivants :

Si adprep /domainprep ne s'excute pas, vrifiez les lments suivants :

INSTALLATION SERVEUR 2003 STANDARD

Appuyer sur la touche ENTRER

Appuyer sur la touche ENTRER

Puis appuyer sur la touche F8 du clavier pour accepter la licence

Le formatage commence et peut durer quelques minutes

Appuyer sur SUIVANT

Entrer le numro de srie (sur la boite)

Slectionnez le type de licence que vous possdez

Entrez un nom de serveur et un mot de passe

Les consignes de scurit pour votre mot de passe du compte administrateur

Nous laissons par dfaut le serveur dans le WORKGROUP, faire Suivant.

Le serveur redmarre et voila, Windows 2003 Serveur est install !

Allez dans les proprits du protocole TCP/IP de la carte rseau.

Voil notre carte rseau est maintenant configure.

INSTALLATION ACTIVE DIRECTORY

DEMARRER > EXECUTER > DCPROMO

Les domaines locaux ont lextension PRIV ou LOCAL

STATEGIE DE SECURITE LOCALE (LONGEUR MOT DE PASSE, CLIENT 95)

GPUPDATE permet de rafrachir !!! (Stratgie scurit, GPO)

PARAMETRAGE DU SERVEUR DNS

Cration dune zone de recherche inverse

INSTALLATION ET PARAMETRAGE DU SERVEUR WINS

INSTALLATION ET PARAMETRAGE DU SERVEUR DHCP

Voila nous avons fini de configurer l'tendue et faite Terminer.

INSTALLATION WINDOWS RESSOURCE KIT

Ce kit gratuit comporte normment dutilitaires qui rendent de nombreux services !

Ladresse des dernires versions disponible

Liste des UTILITAIRES

INSTALLATION DUne CONSOLE PERSONNalis

NET USE [nom de priphrique | ] [mot de passe | ] [/HOME]