Vous êtes sur la page 1sur 168

Administration Systmes Windows

Campana Antoine CNRS, UMR6134

La famille Windows

Windows 3.1x

Workgroup. Notion de domaine Windows. 98, NT Workstation. NT Workstation, 2000 Workstation Windows 2000, XP Pro, Vista business XP Pro, Vista business

Windows NT Serveur

Windows 2000 Serveur

Windows 2003 et 2003 R2 Serveur

Windows 2008 Serveur

Concepts Windows 2003


Active Directory: service dannuaire. Architecture de scurit: prise en charge des cartes puces, des cls de chiffrement publiques et prives et des protocoles lis la scurit. IntelliMirror: ensemble de fonctions de gestion des modifications et des configurations. Centralisation de ladministration. Service Terminal Server Windows Script Host

Concepts Windows 2003


Base de donnes de registre

Base de donnes contenant les informations de configuration du systme. Elle est compose de sous-arbres avec leurs clefs, leurs ruches et leurs valeurs.

Concepts Windows 2003


Base de donnes de registre

Hkey_local_machine: Matriel, Systme d'exploitation Hkey_classes_root: Donnes d'association de classes de fichiers, objets OLE Hkey_current_user: Profil de l'utilisateur courant Hkey_user: Profil de tous les utilisateurs Hkey_current_config: Profil matriel

Concepts Windows 2003


Base de donnes de registre

Syntaxe des rubriques values: nom:type de donnes:valeur


DependOnService:REG_MULTI_SZ:Tcpip Nbtsys Streams

Types de donnes:

REG_BINARY: binaire REG_DWORD: nombre de 4 octets REG_EXPAND_SZ: variable REG_MULTI_SZ: chane multiple REG_SZ: caractres lisibles

Concepts Windows 2003


Le systme de fichiers

FAT (File Allocation Table)


16 bits: 2 Go partition max, 8.3 32 bits: 8 Go partition max, 255 caractres Scurit au niveau du partage

NTFS (New Technologie File System)


Mini base de donnes de la partition Partitions de 2 To Attributs de fichiers, journaux Quotas (NTFS 5) Cryptage (NTFS 5)

Concepts Windows 2003


La famille Windows 2003 Server

Microsoft Windows Server 2003


Standard Edition

Gre 4Go de RAM et 2 processeurs. Gre les processeurs Itanium 64 Bits, 32 Go de RAM sur x86 et 64 Go sur Itanium, 8 processeurs. 64 Go de RAM (x86) et 128 Itanium, 8 processeurs. Conu pour les sites Web. Pas d'AD. 2 Go de RAM et 2 processeurs.

Entreprise Edition

Datacenter Edition

Web Edition

Concepts Windows 2003


Types et rles des serveurs

Contrleurs de domaine et serveurs membres Rles jous par les serveurs:


Serveur d'application Serveur DHCP Serveur DNS Contrleur de domaine Serveur de fichiers Serveur de messagerie (POP3, SMTP) Serveur d'impression Serveur d'accs distant/VPN Serveur de nud du cluster Serveur de mdia en continu Serveur de terminaux Serveur WINS

Outils de gestion

Outils supplmentaires
Outils de support de Windows Server 2003. Suptools.msi sur le CD. Adminpack.msi sur le CD.

Outils d'usage frquent


MMC Panneau de configuration. Outils graphiques d'administration. Utilitaires la ligne de commande.

Outils de gestion

Utilitaires la ligne de commande


Utilitaires connatre:

ARP AT DNSCMD FTP HOSTNAME IPCONFIG NBTSTAT NET NETSH NETSTAT NSLOOKUP PATHPING PING ROUTE TRACERT.

Utilitaires NET:

NET NET NET NET NET NET

SEND START STOP TIME USE VIEW

Outils de gestion

Console de gestion de lordinateur Gestion des sessions et des connexions des utilisateurs. Gestion de l'emploi des fichiers, des rpertoires et des partages. Dfinition d'alertes administratives. Gestion des applications et des services de rseau. Configuration des priphriques matriels. Affichage et configuration des disques durs et des priphriques de stockage amovibles.

Outils de gestion

Console de gestion de lordinateur

Outils de gestion
Utilitaire systme

Configurer les paramtres de performance, de mmoire virtuelle et de la base de registre. Grer les variables d'environnement du systme et de l'utilisateur. Fixer les options de dmarrage et de rcupration systme. Grer les profils matriels des utilisateurs.

Outils de gestion
Utilitaire systme

Outils de gestion

Gestion des priphriques et des pilotes matriels


Gestionnaire de priphriques. Ajout/Suppression de matriels. Assistant de mise niveau matrielle.

Gestion des bibliothques dynamiques

regsvr32 nom.dll

Outils de gestion

Gestionnaire de tches.

taskmgr.exe

Gestion des services systme.

Penser arrter les services inutiles !

Journaux dvnements.

Performances du systme
Surveillance

Analyseur de performance

Journaux de compteur:
enregistre

les donnes de performances des intervalles de temps dtermins les donnes chaque fois que lvnement associ survient.

Journaux de traage:
enregistre

Alertes

Performances du systme
Optimisation

Performances des applications et Mmoire virtuelle

Utilitaire systme

Dbit des donnes

Connexion rseau

Performances
Exemples de contrles

Contrle de la mmoire

Mmoire/Octets disponibles Mmoire/Octets ddis Processeur/%Temp processeur Processeur/Longueur de la file dattente Disque Physique/%Temps du disque

Contrle des performances du processeur


Contrle des accs disques

Contrle de la bande passante et de la connectivit.


Rseau /Octets reus/s Rseau/Octets envoys/s

Services dassistance
Centre daide et de support Mises jour automatiques

Serveur de mises jour (GPO)

Accs distance
Assistance distance Bureau distance Bureaux distants

Configuration de lhorloge Windows

Protocole SNTP (Simple Network Time Protocol)

Installation de Windows

5 faons d'installer
Manuelle, partir d'un CD ROM ou d'un partage rseau. Sans assistance, l'aide d'un fichier rponse et d'un CD-ROM ou d'un partage rseau. En utilisant Sysprep et un outil de gestion d'images disques. Par le rseau, partir d'un serveur RIS (Remote Installation Service) Par les GPO ou avec Microsoft SMS (Systems Management Server)

Installation de Windows

Configuration minimale recommande


Un processeur Intel Pentium II 550 ou compatible 256 Mo de Ram Ecran SVGA 800x600 Clavier, souris 2,5 Go de disque, 7200 tours/min Lescteur de CD-Rom ou de DVD-Rom amorable (12x)

Consulter la HCL (liste des matriels compatibles)

http://www.microsoft.com/hwdq/hcl/

Installation de Windows
Installer sur une partition NTFS Rcolter les informations

Nom DNS (Domain Name System) de l'ordinateur. Nom du domaine ou du groupe de travail. Adresse Ip de l'ordinateur

Gestion de licences
Par serveur. Par priphrique et par utilisateur.

Installation de Windows

Activation du produit
Office XP, XP et 2003 Server vendus au dtail ncessite une activation. Possibilit d'avoir des licences en volume partir de 5 licences Microsoft.

Disquettes d'amorage Winnt.exe Winnt32.exe ou Setup.exe

Installation de Windows

Installation sans assistance


Winnt.exe /u:[fichier de rponse] /s:[chemin] Winnt32.exe /unattend:[nombre:fichier de rponse] /s:[chemin]

Cration d'un fichier de rponse


Assistant gestion d'installation CD, \support\tools\deploy.cab (regsvr32 cabview.dll)

Installation de Windows

Utilisation de Sysprep (deploy.cab)


Faire une installation type Utiliser Sysprep Faire une image disque et la propager l'aide d'un gestionnaire d'image (ex: GHOST) Dmarrer la nouvelle machine.

Notion de domaine

Regroupement logique dordinateurs (serveurs et autres) partageant les informations de scurit et les comptes. Avantages:
Ouverture de session unique Accs global aux ressources Administration centralise

Notion de domaine
Domaine 2 Ufr Droit

Domaine 1 Ufr Sciences Domaine 3 Ufr Lettres

Notion de domaine

lments constitutifs

Server Windows 2003 2000 WS VISTA XP Pro

DC XP Pro

DC

Server Windows 2000

Active Directory
Notion de domaine

DC: contrleur de domaine


Serveur fonctionnant sous 2003 Server Copie principale de la base de donnes dannuaires.

Relation dapprobation

Relation d'approbation

lien entre 2 domaines, en fonction duquel l'un des domaines accepte les utilisateurs de l'autre sans authentifier une deuxime fois les demandes d'accs correspondantes.

Relation dapprobation

l'un des domaines est dit Approuvant et l'autre Approuv

Approuve

Domaine Approuvant Domaine des ressources

Domaine Approuv Domaine des comptes

Relation dapprobation

Les ressources du domaine Approuvant peuvent tre utilises par les Utilisateurs du domaine Approuv
Ressources Partages (fichiers, imprimantes) Approuve Utilisateurs Peut utiliser Domaine des comptes (Approuv)

Domaine des ressources (Approuvant)

Relation dapprobation

Relation sens unique ou rciproque

A approuve B et B approuve A

Domaine A

Domaine B

Relation dapprobation

L'approbation n'est pas transitive

A approuve B, B Approuve C mais A n'approuve pas C

Domaine A

Domaine B

Domaine C

Annuaires rseau
Base de donnes qui stocke des informations sur le rseau Stockage centralis

Localisation et gestion amliores Objets: Machines, Utilisateurs, Groupes, Ressources, Infrastructure rseau

ANNUAIRE

Annuaire rseau

Le service dannuaire permet de raliser les oprations suivantes:

Assurer la scurit des objets de la base de donnes Rplication sur dautres ordinateurs du rseau (disponibilit, panne) Fragmenter lannuaire pour augmenter le stockage

Annuaire rseau

X.500: recommandation de lIUT-T

IUT-T:Union Internationale des Tlcommunications, agence des Nations Unies (V90). ISO 9594: norme IETF (Internet Engineering Task force)

LDAP (Lightweight Directory Access Protocol), pas de norme iso, pure invention dInternet

Lannuaire de NT 4.0
(pas dactive directory)

Comptes utilisateurs Comptes de groupe Comptes de machine Relations dapprobation

Lannuaire de Windows 2003


Comptes utilisateurs Comptes de groupe Comptes machines Relations dapprobation Ressources rseaux (fichiers, imprimantes) Autres objets UO: unit organisationnelles (conteneur dobjet)

Groupes de travail et Domaines

Groupe de travail

Regroupement logique dordinateurs en rseau partageant des ressources Base de donnes locale (utilisateurs, informations de scurit sur les ressources)

Groupes de travail et Domaines


Windows 2003 Server VISTA Business
Base de donnes locale de scurit

Base de donnes locale de scurit

Groupe de travail Windows 2003


Base de donnes locale de scurit

XP Pro
Base de donnes locale de scurit

Windows 2003 Server

Comptes locaux - de 10 ordinateurs

Groupes de travail et Domaines

Domaine Windows 2003

Regroupement logique dordinateurs en rseau partageant une base de donnes dannuaire centralise Contrleur de domaine
Contient

lannuaire Un seul type Gre la scurit du domaine

Groupes de travail et Domaines


Contrleur de domaine Rplication Contrleur de domaine

Services dannuaire Active Directory

Services dannuaire Active Directory

Domaine Windows 2003


Ordinateur client Ordinateur client Serveur membre

Administration centralise Accs aux ressources via une connexion unique

Active Directory

Active directory est le service dannuaire de Windows 2003


Annuaire des ressources Services daccs lannuaire

Les ressources (utilisateurs,groupes, imprimantes, serveurs, rgles de scurit, ) sont des Objets
Attributs Classes

Active Directory

Hirarchie dans lannuaire grce des UO au sein de domaines


On peut crer des utilisateurs, des groupes et autres ressources rseau au sein des UO On peut dployer des stratgies dutilisateurs et de machines par rapport aux UO Ladministration des objets contenus dans une UO peut tre dlgue des utilisateurs ou des groupes dutilisateurs

Active directory
Organisation

DOMAINE

US UO

UK UO

UO UO UO UO Ventes Production Comptabilit Ventes

Active directory
Arborescence
univ-corse.fr

pdagogie.univ-corse.fr

adm.univ-corse.fr

cri.adm.univ-corse.fr

Hirarchie de domaines Espace de noms homogne Relations dapprobations Schma commun Catalogue global listant tous les objets de larborescence

Active directory
Fort
Une ou plusieurs arborescences Espace de noms htrognes entre arborescences Relations dapprobations Schma commun Catalogue global listant tous les objets de la fort

Active directory
univ-corse.fr

Nom LOTUS
LOTUS

Type Contrleur de domaine Contrleur de domaine Serveur membre

Adresse IP Fixe Fixe DHCP

LILAS
adm.univ-corse.fr

SERV-X

LILAS

SERV-X

Active Directory
univ-corse.fr Administrateurs de luniversit Ressources globales adm.univ-corse.fr Contrleurs De domaine

Ventes

Production

LOTUS Contrleurs De domaine

Utilisateurs: adm-x

Tlcom Utilisateurs LILAS Ressources partages Production Utilisateurs: tc-a-x Ventes Utilisateurs: tc-v-x Utilisateurs: tc-p-x Production SERV-X Machines Administrateurs

Ventes

Active directory

Nommer les objets


univ-corse.fr

Nom unique (DN):


adm.univ-corse.fr CN=Dupond, OU=public, OU=ventes, DC=adm, DC=univ-corse, DC=fr CN: nom commun OU: unit organisationnelle DC: composant de domaine

ventes public Dupond

Active directory

Formats de noms

RFC 822:
dupond@univ-corse.fr

URL HTTP:

http://udc.univ.priv/division/production/dupond Ldap://udc.univ.priv/CN:dupond,OU=production,OU= division,DC=udc,DC=univ,DC=priv \\udc.univ.priv\division\production\dupond

LDAP:

UNC:

Active directory

Le DIT (directory Information Tree):


Remplace la base de donne SAM de NT. Fichier ntds.dit dans %systemroot%\ntds quivalent du fichier sam. Dans un domaine le fichier ntds.dit se duplique dans tous les contrleurs de domaine.

Active directory

Le Catalogue global:
Permet de trouver rapidement les informations. Contient une rplique de chaque objet Active Directory, mais uniquement un petit nombre dattributs. Un par site.

Active directory

Le schma:
Dfini les attributs obligatoires et optionnels que chaque classe dobjets peut possder. Stock sur tous les DC. Un seul contrleur de schma. Extensible Composant enfichable: Schma Active Directory

Administration des utilisateurs et des groupes

Gnralits sur les groupes


Objets de lannuaire ou bien objets locaux la machine. Contiennent des utilisateurs, des ordinateurs ou dautres groupes. Groupes de scurit auxquels on peut attribuer des privilges (permissions). Groupes de distribution auxquels on ne peut pas attribuer de privilges.

Administration des utilisateurs et des groupes

tendue Globale
Permissions sur des ressources situes dans tous les domaines. Ne contient que des membres du domaine sur lequel il est cr. Peut appartenir des groupes locaux ou universels dautres domaines. Peut contenir dautres groupes locaux du mme domaine ou des utilisateurs de son domaine.

Administration des utilisateurs et des groupes

tendue locale de domaine


Permissions attribues uniquement sur les ressources du mme domaine Peut contenir

Autres

groupes locaux de domaines du mme domaine. Groupes globaux de tous les domaines. Groupes universels de tous les domaines. Utilisateurs de tous les domaines.

Administration des utilisateurs et des groupes

tendue universelle
Uniquement si les domaines sont en mode natif. Permissions attribues sur les ressources de tous les domaines Peut contenir:

Autres

groupes universels dautres domaines. Groupes globaux de tous les domaines. Des utilisateurs de tous les domaines.

Administration des utilisateurs et des groupes

Groupes locaux prdfinis Groupes locaux de domaine prdfinis Groupes globaux de domaine prdfinis

Administration des utilisateurs et des groupes

Affectation de droits un groupe au niveau du domaine

Stratgies de groupe (GPO) dans utilisateurs et ordinateurs Active directory.

Affectation de droits localement

Stratgies locales dans outils dadministration.

Administration des utilisateurs et des groupes


Planification des groupes
Noms de groupes parlants. Les groupes comparables doivent avoir des noms similaires. Des groupes globaux pour les utilisateurs et des groupes locaux pour les ressources.

Mise en uvre des groupes

Cration, suppression, ajout dutilisateurs

Administration des utilisateurs et des groupes

Stratgie d'utilisation des groupes:


A A A A

G G G G

DL P G DL P U DL P G U DL P

Avec:

A: Accounts G: Global DL: Domain Local U: Universel P: Permissions

Administration des utilisateurs et des groupes

Cration de comptes utilisateurs


Sur le domaine Localement Localisation Dsactivation et Activation Suppression Transfert Renommer Rinitialisation de mot de passe Dverrouillage

Administration dun compte utilisateur


Administration des utilisateurs et des groupes

Administration dun compte utilisateur

Cration de rpertoires personnels sur un serveur


Crer

le partage sur le serveur. Permissions CT au groupe Utilisateurs. Dfinir le chemin dans longlet Profil de lutilisateur. Utilisation de la variable %username%.

Copie de comptes utilisateurs

Dploiement partir d'un compte gnrique

Administration des utilisateurs et des groupes

Profils utilisateur
Local: profil cr quand un utilisateur ouvre une session sur une machine. Ce profil est local la machine. Itinrant: Profil cr par un administrateur et stock sur un serveur. Le profil suit lutilisateur sur toutes les machines. Obligatoire: Profil itinrant verrouill.(ntuser.dat -> ntuser.man)

Administration des utilisateurs et des groupes

Cration de profils itinrants

\\serveur\profils\%username%

Cration de profils itinrants personnaliss


Crer un profil modle. Copier le modle.

Administration des utilisateurs et des groupes

Contenus dun profil utilisateur


Application Data Bureau Cookies Favoris Local Settings Menu Dmarrer Mes Documents Modles Recent SendTo Voisinage dimpression

Gestion des disques

Systme de fichier

FAT16
Conu

pour les partitions <500 Mo, Gre jusqu' 2 Go, pas d'ACL > 2 Go

FAT32
Partitions

NTFS 5.0
ACL,

compression, quotas, cryptage par cl publique/cl prive

Gestion des disques

MMC Gestion de l'ordinateur Disque de base (4 partitions max)


4 partitions principales. Ou 3 partitions principales et une partition tendue. Dans la partition tendue, on peut crer un ou plusieurs lecteurs logiques.

Gestion des disques

Disque dynamique
Pas

de partitions, des volumes. Tolrance de panne Pas de limite dans le nombre de volumes Extension de volumes NTFS

Types de volumes
Volume

simple Volume d'agrgat par bandes Volume rparti Volumes mis en miroir Volumes RAID 5

Gestion de disques

Configuration dun disque dur

Initialiser les disques au moyen dun type de stockage


Stockage de base Stockage dynamique

Cration de partitions ou de volumes Formatage du disque

Gestion de disques
Types de stockage

Stockage de base

C D E F

OU
Partitions principales

C D E

Partition tendue dote de lecteurs logiques

F G H

Gestion de disques
Partitions principale

Types de stockage: stockage de base

1 Partition active la fois (fichiers damorage du systme). Isolement de systmes ou de donnes La partition systme sous Windows dsigne la partition active.

Gestion de disques
Partition tendue

Types de stockage: stockage de base

1 seule par disque Dcompose en secteurs logiques formats au moyen dun systme de fichiers

Partition tendue dote de lecteurs logiques

F G H

Gestion de disques

Types de stockage: stockage dynamique Stockage dynamique

(Windows 2000 et +)

Volume simple Volume agrg par bande

Volume fractionn

Volume RAID-5 Volume en miroir

Gestion de disques

Types de stockage: stockage dynamique Contient lespace disque dun seul disque Pas de tolrance de panne

Volume simple

Gestion de disques

Types de stockage: stockage dynamique Contient lespace de plusieurs disques 32 disques max. Pas de tolrance de panne

Volume fractionn

Gestion de disques

Types de stockage: stockage dynamique 2 exemplaires identiques dun volume simple sur 2 disques spars. Tolrance de panne

Volume en miroir

Gestion de disques

Types de stockage: stockage dynamique Volume logique constitu des secteurs despace libres de plusieurs disques. Pas de tolrance de panne

Volume agrg par bande Ou RAID-0

Gestion de disques

Types de stockage: stockage dynamique Agrgat par bande avec tolrance de panne. Minimum de 3 disques durs

Volume RAID-5

Partage de dossiers

Partages administratifs

C$, D$, E$

Fournit un accs complet l'administrateur sur les lecteurs. \\nom_ordinateur\C$ Utilis pour la gestion d'une station travers le rseau. Il s'agit du rpertoire %systemroot% Ce partage sert pour la communication entre les processus. Il est utilis notamment lors de l'administration distance d'une station ou mme lorsque on consulte un rpertoire partag. Est utilis pour l'administration distance des imprimantes.

Admin$

IPC$

Print$

Partage de dossiers

2 faons de faire:
Partage du dossier via l'option "Partager". Partage du dossier via la mmc "Gestion de l'ordinateur".

Autorisations de partage
Lecture Modifier Contrle total

Permissions d'accs

Permissions NTFS

Onglet scurit dans Proprits

Permissions sur un dossier


Lecture Afficher le contenu du dossier Lecture et excution Ecriture Modifier Contrle total

Permissions d'accs

Permissions sur un fichier


Lecture Ecriture Lecture et excution Contrle total Modifier

Permissions avances

Permissions d'accs

Application des permissions NTFS

NTFS/NTFS
Combinaison Refus

prioritaire

NTFS/Partage
Le

plus restrictif des 2

Hritage

Systme DFS

Distributed File System

Permet de rassembler sous une arborescence unique et logique, plusieurs rpertoires situs physiquement diffrents endroits du rseau.

DFS autonome (1 serveur). DFS tolrance de panne (AD).

Systme DFS

Distributed File system

Serveur 1 Racine DFS Comptabilit


Paie Paie Bnfices

Serveur 2
Bnfices Dcaissements Encaissements

Liaison DFS
Dcaissements Encaissements

Quotas et Compression

Quotas de disques
Limiter la quantit de donnes que les utilisateurs peuvent stocker. Proprits du lecteur slectionn.

Compression de disques
Proprits du fichier ou du dossier concern. Compact.exe l'invite de commande Attention la copie !

Ressources d'impression
Partage d'imprimante et publication ou pas dans l'AD. Scurit. Options:

Pool d'impression Gestion des priorits

Gestion du spouleur. Administration via le Web:

http://serveur/Printers

Publication des ressources dans Active Directory

Publication d'imprimantes

Simplifie la recherche et l'administration

Publication de Partages
Simplifie la recherche Mots clefs

Administration Windows 2003


Stratgies de groupe: prsentation

Elles servent dfinir des configurations utilisateur et ordinateur pour:


Grer lenvironnement bureautique des utilisateurs Appliquer une politique dentreprise Scuriser le rseau

Administration Windows 2003


Stratgies de groupe: prsentation

Une stratgie de groupe peut tre:


dploye sur des groupes d'utilisateurs et/ou d'ordinateurs. Combine. Scurise. Utilise n'importe o dans l'entreprise.

Administration Windows 2003


GPO: structure

Objet stratgie de groupe (GPO: Group Policy Object)


Conteneur (GPC) : objet Active Directory contenu dans le conteneur Policies Modle (GPT): dossier contenu dans:

%systemroot%\SYSVOL\sysvol\<nom_domaine>\polici es

Identifi par le GUID (global unique Identifier) GPO locale pour des machines individuelles

%systemroot%\System32\GroupPolicy

Administration Windows 2003


GPO: cration

Cration de GPO lies

Dans "Sites et Services Active Directory" ou "Utilisateurs et Ordinateurs Active directory"

Cration de GPO non lie

partir d'une MMC

Console de gestion des stratgies de groupe.

Administration Windows 2003


Stratgies de groupe: Composant MMC

Le composant permet l'dition d'une seule stratgie la fois L'ensemble des paramtres se divisent en paramtres Utilisateurs et Ordinateur
ordinateur utilisateur

Administration Windows 2003


GPO: configuration ordinateur

Configuration de l'ordinateur
Spcifie les paramtres applicables l'ordinateur en fonction de son emplacement dans l'annuaire Applique au dmarrage de l'ordinateur (boot) Indpendante du compte utilisateur de la session

ordinateur

Administration Windows 2003


GPO: configuration utilisateur

Configuration de l'utilisateur
Spcifie les paramtres applicables l'ordinateur selon l'emplacement de l'utilisateur courant dans l'annuaire Applique lors de la connexion (logon) Ces paramtres suivent l'utilisateur de machine en machine

utilisateur

Administration Windows 2003


GPO: conflits de configurations

Les configurations ordinateur et utilisateur entrent parfois en conflit


Bien que chaque configuration comporte de nombreux paramtres, des paramtres qui se recoupent sont trs rares Pour ces quelques paramtres, ce sont ceux de la configuration de l'ordinateur qui sont appliqus

Administration Windows 2003


GPO: Modles d'administration (1)

L'extension "modles d'administration" propose une interface graphique permettant de modifier les paramtres du registre Elle utilise des fichiers modles indiquant les valeurs configurer (System.adm, inetres.adm et conf.adm sont chargs par dfaut)

Administration Windows 2003


GPO: Modles d'administration (2)

Il est possible de charger de nouveaux modles d'administration %systemroot%\inf

Administration Windows 2003


GPO: Scripts (1)

L'extension Scripts associe un ou plusieurs scripts un ordinateur ou un utilisateur

Les scripts peuvent tre dvelopps en VB, Jscript et en format ligne de commande

Administration Windows 2003


GPO: Scripts (2)

Les scripts de dmarrage/arrt s'appliquent aux ordinateurs Les scripts de connexion/dconnexion s'appliquent aux utilisateurs Pour intgrer un script un objet GPO

Indiquer le chemin d'accs au script Renseigner tous les paramtres transmettre au script Dfinir l'ordre d'excution des scripts si ncessaire

Administration Windows 2003


GPO: Stockage des Scripts (3)

Un ordinateur doit pouvoir accder au script pour l'excuter Les scripts peuvent tre placs:
dans le dossier Sysvol sur un contrleur de domaine (idal) dans un serveur spcifique

\\scriptserver.univ-corse.fr\Scripts\logon.vbs

sur le poste local (rare)


C:\scripts\localscript.cmd

Administration Windows 2003


GPO: Redirection de dossiers

L'option redirection de dossier fait pointer les dossiers spciaux de l'utilisateur vers de nouveaux emplacements (local ou rseau)

Administration Windows 2003


GPO: Redirection de dossiers "de Base"

Le paramtrage "de base" place tous les dossiers utilisateurs au mme endroit Le paramtre %username% sert les placer dans diffrents dossiers

Administration Windows 2003


GPO: Redirection de dossiers "Avanc"

Le paramtrage "Avanc" permet de dfinir diffrents dossiers destination selon l'appartenance de groupe Le paramtre %username% sert les placer dans diffrents dossiers

Administration Windows 2003


GPO: Redirection de dossiers, Paramtres

Administration Windows 2003


GPO: Paramtres de scurit (1)

Outils puissant permettant de renforcer les standards de scurit de groupes d'ordinateurs

Administration Windows 2003


GPO: Liens
GPO1

GPO2 ventes administration vtements

Lorsque vous crez un GPO, un lien initial est tabli, vous pouvez rompre se lien et garder le GPO Vous pouvez lier les GPO aux autres domaines, OU et sites

Administration Windows 2003


GPO: Liens

GPO1

GPO2

administration GPO1+GPO2 + GPO3

GPO3

PC1

Plusieurs GPO peuvent tre lis aux domaines, OU et sites (utile pour compartimenter les stratgies). Les stratgies sont cumulatives.

Administration Windows 2003


GPO: paramtres en conflit

Les GPO du haut de liste sont prioritaires et prvalent

Administration Windows 2003


GPO: Dsactivation des stratgies

Administration Windows 2003


GPO: Hritage

univ-corse.fr

GPO1

GPO2 administration GPO3 finances PC1 GPO1+GPO2 + GPO3

-Un objet conteneur hrite aussi des stratgies des conteneurs parents. -L'ordre d'application est Local Site Domaine OU. -La dernire stratgie applique est prioritaire en cas de conflit

Administration Windows 2003


GPO: blocage de l'hritage

univ-corse.fr

GPO1

administration GPO2 finances

Blocage de l'hritage => GPO2 uniquement

-Tout objet conteneur de l'AD peut bloquer l'hritage des GPO lis aux conteneurs parents. -Seuls les GPO directement lis au conteneur affecteront son contenu

Administration Windows 2003


GPO: Ne pas passer outre

univ-corse.fr

GPO1

Ne pas passer outre administration GPO2 finances

-L'option "Ne pas passer outre" empche les GPO localises plus bas dans l'arborescence de modifier des paramtres dfinis un niveau suprieur. -Cette option prvaut aussi sur le blocage de l'hritage.

Administration Windows 2003


GPO: Filtrage
PC Administrateurs Entrep. Adm Lire, appliquer R,W,X,D R,W,X,D

ventes univ-corse.fr PC1 PC2 Portable1

PC GPO

administration

Port. GPO

finances

PC3

PC4

Portable2

PC5
Portables Administrateurs Entrep. Adm Lire, appliquer R,W,X,D R,W,X,D

PC6

Portable3

Groupe: PC Groupe: Portables

-La structure d'une stratgie de groupe peut tre contrle par la DACL du GPO. -Seuls les groupes ayant les autorisations appropries peuvent appliquer l'objet stratgie.

Administration Windows 2003


GPO: Filtrage (suite)

-Un ordinateur ou un utilisateur doit avoir la permission "Appliquer la stratgie de groupe" pour utiliser un GPO

Administration Windows 2003


GPO: Combiner les configurations

Ventes GPO Ventes C1 U1 univ-corse.fr GPO Domaine C2 U2 GPO Production C3 U3 GPO Contrleurs C4 U4 Contrleurs PC2 Admin1 Production PC1 User1

DC1

DC2

Administration Windows 2003


GPO: Combiner les configurations

Pour le PC1
dmarrage: C2+C1 login

User1:

Pour le DC1
dmarrage: C2+C4 login
Admin1: U2+U3

U2+U1 Admin1: U2+U3

Pour le PC2
dmarrage: C2+C3 Login

User1:

U2+U1 Admin1: U2+U3

Administration Windows 2003


GPO: Processus de rebouclage

Ventes GPO Ventes C1 U1 univ-corse.fr GPO Domaine C2 U2 GPO Production C3 U3 GPO Contrleurs C4 U4 GPO Rebouclage C5 U5 DC1 DC2 Contrleurs PC2 Admin1 Production PC1 User1

Administration Windows 2003


GPO: Processus de rebouclage

-Fusionner: C2+C4+C5 et U2+U3 + U2+U4+U5 -Remplacer: C2+C4+C5 et U2+U4+U5

Maintenance des GPOs

Outils du support de Microsoft Windows 2000


Netdiag.exe Replmon.exe

Kit de ressources techniques Microsoft Windows 2000 server


Gpotool.exe Gpresult.exe

Utilisation des GPOs


Dployer des applications Appliquer des services packs Mettre jour et supprimer des applications Affecter des scripts des utilisateurs et des ordinateurs Rediriger certains dossiers dutilisateur ou de groupe Paramtrer les fichiers hors connexion Configurer lenvironnement utilisateur

Protocoles et services rseau


TCP/IP: configuration

Protocoles et services rseau


TCP/IP: dpannage et test

Ping Ipconfig Hostname Route Tracert FTP Telnet

Protocoles et services rseau


DHCP

DHCP permet de centraliser la configuration des donnes TCP/IP et daffecter dynamiquement les adresses IP. En plus de ladresse IP, il est possible de tlcharger sur le client DHCP plus de 50 paramtres supplmentaires, en particulier:

Le masque de sous-rseau, la passerelle par dfaut, les serveurs WINS, les serveurs DNS.

Protocoles et services rseau


DHCP

Les adresses IP sont difficiles suivre et grer

Sans DHCP une nouvelle adresse IP doit tre affecte chaque fois quune machine est ajoute

Vous devez vous assurer quelle est unique.

DHCP rend plus facile les modifications futures du rseau

Nouveau routeur. DHCP optimise lutilisation des adresses IP

Certaines socits manquent dadresse IP

Protocoles et services rseau


DHCP

Protocoles et services rseau


DHCP: gestion centralise
Adresse IP Masque de sous-rseau Passerelle Serveurs WINS, DNS Fourchettes dadresses IP disponibles Adresse IP Masque de sous-rseau Passerelle Donnes de configuration Serveurs WINS, DNS Adresse IP Masque de sous-rseau Passerelle Serveurs WINS, DNS

DHCP Client

DHCP Client

Serveur DHCP

DHCP Client

Protocoles et services rseau


DHCP: les clients

Les clients DHCP peuvent tre:


Windows 2000 Server et Professionnel, 2003 NT Server , NT Workstation, 2000, XP Windows 95, 98, 3.11 (TCP/IP 32-bit) Microsoft Network Client V 3.0 pour MS-DOS (TCP/IP 16-bit) LAN Manager V 2.2c Autres clients DHCP compatibles (UNIX, MacIntosh, etc)

Un serveur 2003 DHCP ou WINS ne peut pas tre un client DHCP

Protocoles et services rseau


DHCP: tendues

Une tendue est la plage dadresse IP mise la disposition des clients DHCP Des plages dadresse peuvent tre exclues et des adresses statiques rserves aux ordinateurs non DHCP

Protocoles et services rseau


DHCP: baux

Le serveur DHCP loue ladresse IP avec un bail qui dfinit la dure dutilisation de ladresse IP par lordinateur client

La valeur par dfaut est de 3 jours

A 50% de la dure du bail, le client DHCP essaie automatiquement de renouveler le bail

Par un paquet DhcpRequest

Si le renouvellement nest pas possible, 87,5% de la dure du bail, le client DHCP essaie dobtenir une nouvelle adresse IP dun autre serveur DHCP

Protocoles et services rseau


DHCP: options

Les options DHCP peuvent tre dfinies:

Globalement (pour toutes les tendues) Pour une tendue (la plage dadresses IP) Pour un ordinateur spcifique (rservation statique)

Protocoles et services rseau


DHCP: obtention dadresses

10.1.0.1

PC1 Client DHCP

PC2 Client DHCP

PC3 Client DHCP

Serveur DHCP

10.1.255.254

DhcpDiscover DhcpOffer 10.1.0.3 DhcpRequest 10.1.0.3 DhcpAck

Protocoles et services rseau


DHCP: redmarrage du client

Dans limplmentation de Microsoft, quand un client est redmarr, il envoie un paquet DhcpRequest

Au lieu dun DhcpDiscover

Le DhcpRequest contient une requte pour ladresse IP prcdemment affecte

Le serveur DHCP essaiera de satisfaire le client

Si ladresse IP demande nest plus disponible, le client reoit un DhcpNack et doit essayer nouveau partir de zro.

Protocoles et services rseau


DHCP: disponibilit dadresse

10.1.0.1 A

A Client DHCP

B Client DHCP

C Client DHCP

Serveur DHCP

10.1.0.2 B 10.1.0.3 C 10.1.0.4 Libre

DhcpRequest 10.1.0.3 DhcpAck

Protocoles et services rseau


DHCP: indisponibilit dadresse

10.1.0.1 A

A Client DHCP

B Client DHCP

C Client DHCP

Serveur DHCP

10.1.0.2 B 10.1.0.3 H 10.1.0.4 Libre

DhcpRequest 10.1.0.3 DhcpNAck DhcpDiscover DhcpOffer 10.1.0.4 DhcpRequest 10.1.0.4 DhcpAck

Protocoles et services rseau


DHCP: si le serveur ne rponds pas ?

Si un client ne reoit pas un paquet DhcpOffer du serveur DHCP, il diffusera une requte 4 fois

A 2, 4, 6 et 8 secondes dintervalle

Si le client na toujours pas de rponse, il essaie encore 5 minutes plus tard

Jusqu ce que client reoive un DhcpOffer, TCP/IP nest pas li Linterface nest pas connect au rseau

Protocoles et services rseau


autoriser un serveur DHCP

Autoriser un serveur DHCP

Pour viter les conflits d'adresse IP. Et la prolifration de serveurs DHCP.

Agent de relais DHCP

Passage des routeurs impossible pour les trames DHCP envoyes en broadcast par les clients.

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Surveillance DHCP Dpannage DHCP Utilitaires TCP/IP

Ping
-t -a -n -l

Pathping

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Route

Print Add -a /all /registerdns /displaydns /flushdns /release /renew /showclassid <nom de la connexion rseau> /setclassid <nom de la connexion rseau>

Arp

Ipconfig

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Netdiag Nslookup Netstat

-a -e -s -r

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Nbtstat
-a -A <adresse IP distante> -c -n -r -R -RR -s -S

Protocoles et services rseau


WINS (Windows Internet Naming Service)

WINS a t conu pour fournir une solution souple au problme de la localisation des ressources NetBIOs dans les rseaux TCP/IP routs. WINS fournit

Enregistrement dynamique des noms NetBIOS. Rsolution de noms NetBIOS efficace

Rduction des diffusions de requte de noms NetBIOS

Navigation transparente du voisinage rseau. Duplication de la base de donnes WINS travers LAN ou WAN.

Protocoles et services rseau


WINS (Windows Internet Naming Service)

WINS est support par 2003, 2000, NT, Windows 9x, Windows for Workgroups + TCP/IP 32-bit. WINS est un service de mappage de nom NetBIOS vers une adresse IP, cest dire un NBNS (NetBIOS Name Server).

Protocoles et services rseau


WINS: fonctionnement

Nom

Num. IP 10.1.0.1 10.1.0.3

PC1 Client WINS

PC2 Client WINS

PC3 Client WINS

Serveur WINS

PC1 PC2

Au boot: Je suis PC1, mon IP est 10.1.0.5 Merci, je lcris IP de PC1, svp ? PC1 est 10.1.0.5

Protocoles et services rseau


WINS et DHCP

PC1 Client DHCP et WINS

Serveur WINS

Serveur DHCP

Puis-je avoir un IP, svp ? Bien sr, utilisez 10.1.0.5 Je suis PC1 et mon IP est 10.1.0.5 Merci, je linscris

Protocoles et services rseau


WINS: duplication

Il est important dinstaller plusieurs serveurs WINS


Pour avoir une tolrance de panne Pour distribuer la charge des requtes de nom

Normalement les serveurs WINS seront configurs pour dupliquer entirement et rciproquement les bases de donnes

Un nom enregistr sur un serveur WINS A sera disponible sur un serveur WINS B

Protocoles et services rseau


WINS: Architecture de duplication

Association de duplication

Le serveur A utilise le serveur B comme partenaire tir ; le serveur B utilise le serveur A comme partenaire pouss Le serveur A utilise le serveur B comme partenaire pouss ; le serveur B utilise le serveur A comme partenaire tir

Les serveurs WINS fusionnent leurs donnes

Seules les modifications sont dupliques

Protocoles et services rseau


WINS: Architecture de duplication
Serveur WINS A Serveur WINS B

Pouss vers B Pouss tous les 20 changements

Tir de A Tir toutes les 30 minutes

Tir de B Tir toutes les 30 minutes

Pouss vers A Pouss tous les 20 changements

Chaque relation peut avoir seulement pouss, seulement tir ou les 2 ensembles

Protocoles et services rseau


WINS: le Client

Un client WINS est gnralement configur avec les adresses IP de deux serveurs WINS

Le serveur WINS Primaire Le serveur WINS secondaire

Un client WINS fera 3 tentatives de communication avec le serveur primaire

Puis il essaiera le serveur WINS secondaire

Les serveurs WINS primaires et secondaires doivent se dupliquer mutuellement

Protocoles et services rseau


WINS: le Client

Lorsqu'un client WINS dmarre, il envoie une requte d'enregistrement des noms

Nom d'ordinateur, nom d'utilisateur, nom de domaine

Le 16me caractre d'un nom NetBIOS dfinit le type de nom NetBIOS

Protocoles et services rseau


WINS: dure de vie

Les noms sont stocks dans la base de donnes WINS avec des informations sur la dure de vie Les clients WINS renouvellent automatiquement leurs noms sur le serveur WINS avant lexpiration de la dure de vie Lorsquun ordinateur est arrt correctement, le nom est enlev de la base de donnes WINS

Protocoles et services rseau


DNS

DNS domain name space donne la possibilit d'employer des noms familiers hirarchiques afin de localiser aisment les ordinateurs et autres ressources sur un rseau TCP/IP Un serveur DNS peut tre utilis pour effectuer la rsolution des noms

Un serveur DNS contient des mappages nom adresse IP

Protocoles et services rseau


DNS: espace de nommage
Domaine racine

"." edu expedia fr gov univ-corse congrs org com


Domaines de second niveau

adm.univ-corse.fr Pc1.adm.univ-corse.fr

admin pc1

Protocoles et services rseau


DNS: espace de nommage

ROOT est administre par le Centre d'information Rseau Internet (InterNIC: http://www.internic.net) Attribution de portion d'espace de nom aux organisations et aux entreprises qui se connectent sur Internet (Serveur DNS): Nom de domaine

Protocoles et services rseau


DNS: espace de nommage

Domaines administrs par l'InterNIC:

Domaines organisationnels: fonctions primaires ou activit de l'entreprise

com, edu, gov, mil, int, net, org,

Domaines gographiques:

fr, jp, nl,

Domaines inverss: in-addr.arpa

Protocoles et services rseau


DNS: espace de nommage

Domaines "attribus":

Possibilit de crer des sous-domaines refltant des groupements administratifs Responsabilit de l'attribution de nom aux ordinateurs et aux priphriques rseaux l'intrieur de leur domaine

Protocoles et services rseau


DNS: zones
fr

univ-corse
Fichier de base de donnes Fichier de base de donnes

admin zone1

recherche zone2

Partitionner l'espace de nom de domaines en sections qu'il est possible de grer.

Protocoles et services rseau


DNS: quand est-il disponible?

DNS peut ne pas tre ncessaire dans un environnement Windows

WINS rsout les noms

DNS peut tre utilis dans un environnement mixte

Windows, UNIX, MacIntosh, etc

DNS est essentiel dans Windows 2000 et 2003

Protocoles et services rseau


DNS: rsolution de nom
IP de pc1.univ-corse.fr ? Essaye B A IP de pc1.univ-corse.fr ? IP de pc1.univ-corse.fr ? Essaye C 193.48.28.33 IP de pc1.univ-corse.fr ? 193.48.28.33 C univ-corse B fr root

Protocoles et services rseau


DNS: structure

La base de donnes DNS Microsoft est un ensemble de fichiers contenant le "mappage" nom-NIP de l'hte et les donnes d'informations DNS pour les postes TCP/IP du rseau (enregistrement des ressources)

Zone de recherche directe Zone de recherche indirecte

Une par sous-rseau

Protocoles et services rseau


DNS: serveur primaire et secondaire

Serveur primaire

Copie matre dune zone (zone principale standard)

Serveur secondaire

Duplicata dune zone matresse (zone secondaire standard) Tolrance de panne Sous-rseaux Sites distants (liaisons lentes)

Enregistrement dans l'AD

Protocoles et services rseau


DNS: type d'enregistrement

Nom d'hte (A)


Source de nom (SOA) Serveur de nom (NS) Alias (CNAME)


Mappage du nom d'hte d'une machine une adresse IP. Indique quel serveur est serveur principal pour la zone. Indique quels sont les serveurs de noms qui ont autorit sur la zone. Cration d'alias

Serveur de messagerie (MX) Pointeur (PTR)


Spcifie quels sont les serveurs de messagerie. quivalent pour les zones de recherche inverse de l'enregistrement A. Mappe une adresse IP un nom FQDN.

Protocoles et services rseau


DNS: intgration WINS

Un serveur DNS Windows 2000/2003 peut tre configur pour interroger un serveur WINS (pour la rsolution de nom)
DNS DNS
IP de pc1?

WINS

IP de pc1.univ-corse.fr ?

193.48.28.33

193.48.28.33

193.48.28.33

Domaine abc.com

Domaine univ-corse.fr