Vous êtes sur la page 1sur 232

ESAT/DGF/DMSI

ECOLE SUPERIEURE

ET D’APPLICATION

DES TRANSMISSIONS

division management

des systèmes d’information

WINDOWS NT 4.0


Administration Serveur
COURS SYSTEME
ESAT/DMSI/SYS Administration Windows NT Serveur

Novell®, le logo Novell, est une marque déposée de la société Novell®

Macintosh®, le logo Apple, est une marque déposée de la société Apple®.

UNIX® est une marque déposée de The Open Group.

Pentium ® est une marque déposée de la société Intel®.

MS-DOS®, le logo Microsoft, Microsoft ® Windows 3.11, Microsoft ® Windows 95, Microsoft ® Windows 98, Microsoft
Windows NT® et Microsoft ® Windows 2000 sont des marques déposées de la société Microsoft®.

Tous les noms de produits ou de marques cités dans cet ouvrage sont des marques déposées de leurs propriétaires
respectifs.

-2-
ESAT/DMSI/SYS Administration Windows NT Serveur

TABLE DES MATIERES

1 INTRODUCTION........................................................................................................10
1.1 LES OBJECTIFS DE WINDOWS NT.....................................................................10
1.1.1 Système d’exploitation client/serveur.........................................................................................10
1.1.2 Modèle de mémoire linéaire 32 bits............................................................................................10
1.1.3 Fiabilité de la mémoire en mode protégé...................................................................................10
1.1.4 Multitâche préemptif...................................................................................................................10
1.1.5 Portabilité....................................................................................................................................11
1.1.6 Le multiprocesseur.....................................................................................................................11
1.1.7 Sécurité.......................................................................................................................................11
1.1.8 Tolérance de pannes..................................................................................................................11
1.1.9 Prise en charge des réseaux......................................................................................................11
1.1.10 Service d’accès distant.............................................................................................................12
1.2 DOMAINES ET GROUPES DE TRAVAIL..............................................................12
1.3 ORDINATEUR DANS UN DOMAINE.....................................................................12
1.3.1 Définitions...................................................................................................................................13

2 LES SERVEURS........................................................................................................15
2.1 LES CONTROLEURS DE DOMAINE.....................................................................15
2.1.1 Le contrôleur principal de domaine............................................................................................15
2.1.2 Un contrôleur secondaire de domaine........................................................................................15
2.2 LES SERVEURS MEMBRES.................................................................................16
2.2.1 serveur membre dans un domaine.............................................................................................17
2.2.2 serveur membre hors domaine..................................................................................................17
2.3 LA BASE DE DONNEES D'ANNUAIRES...............................................................17
2.3.1 Taille de la base de données d'annuaires..................................................................................17

3 ADMINISTRATION DES UTILISATEURS.................................................................19


3.1 INFORMATIONS DU GESTIONNAIRE DES UTILISATEURS...............................19
3.1.1 Comptes Utilisateurs prédéfinis..................................................................................................20
3.1.2 Groupes locaux prédéfinis..........................................................................................................21
3.1.3 Groupes globaux prédéfinis........................................................................................................22

4 GESTION DES COMPTES UTILISATEURS.............................................................23


4.1 CREATION D'UN COMPTE UTILISATEUR...........................................................23
4.1.1 Copier un compte d'utilisateur....................................................................................................26
4.1.2 Effacer un compte d'utilisateur...................................................................................................27
4.1.3 Renommer un compte d'utilisateur.............................................................................................27
4.1.4 Choisir des utilisateurs................................................................................................................28
4.1.5 Choisir un domaine.....................................................................................................................29
4.2 GESTION DE L'APPARTENANCE D'UN COMPTE D'UTILISATEUR À DES GROUPES.................................29
4.3 GESTION DU PROFIL D'ENVIRONNEMENT DES UTILISATEURS.....................30
4.3.1 Spécification d'un emplacement pour un profil utilisateur .........................................................31

-3-
ESAT/DMSI/SYS Administration Windows NT Serveur

4.3.2 Nom du script d’ouverture de session........................................................................................31


4.3.3 Répertoire de base.....................................................................................................................32
4.4 GESTION DES HORRAIRES D'ACCES................................................................33
4.5 GESTION DES ACCES AUX STATIONS DE TRAVAIL.........................................33
4.6 GESTION DES INFORMATIONS SUR LES COMPTES........................................34
4.6.1 Date d’expiration.........................................................................................................................34
4.6.2 Type de compte..........................................................................................................................35
4.7 GESTION DES INFORMATIONS DE NUMEROTATION.......................................35
4.8 CREATION D’UN COMPTE UTILISATEUR A PARTIR DE L’INVITE DE COMMANDE....................................37
4.8.1 Exemples....................................................................................................................................39

5 GESTION DES GROUPES........................................................................................40


5.1 STRATEGIES D'UTILISATION DES GROUPES...................................................40
5.2 LES GROUPES LOCAUX......................................................................................41
5.2.1 création d’un groupe local...........................................................................................................41
5.2.2 copie d’un groupe local...............................................................................................................42
5.2.3 Ajouter des utilisateurs et des groupes......................................................................................42
5.2.4 Supprimer un groupe local..........................................................................................................43
5.2.5 Opération sur les groupes locaux à partir de l’invite de commande..........................................43
5.3 LES GROUPES GLOBAUX...................................................................................44
5.3.1 création d’un groupe global........................................................................................................44
5.3.2 copie d’un groupe global.............................................................................................................45
5.3.3 Ajouter des utilisateurs ..............................................................................................................45
5.3.4 Supprimer un groupe global.......................................................................................................45
5.3.5 Opération sur les groupes globaux à partir de l’invite de commande........................................46

6 STRATEGIES DE SECURITE....................................................................................48
6.1 STRATEGIE DE COMPTE.....................................................................................48
6.1.1 La limitation du mot de passe.....................................................................................................49
6.1.2 Verrouillage de compte...............................................................................................................50
6.1.3 Les utilisateurs doivent ouvrir une session pour changer de mot de passe..............................51
6.1.4 Déconnection de force des utilisateurs .....................................................................................51
6.2 STRATEGIE DES DROITS DE L’UTILISATEUR...................................................51
6.2.1 Liste des droits de l’utilisateur....................................................................................................52
6.2.2 Droits de l’utilisateur avancé.......................................................................................................55
6.2.3 Modifier les droits des utilisateurs..............................................................................................57
6.3 STRATEGIE D’AUDIT............................................................................................58
6.3.1 Liste des événements qui peuvent être audités.........................................................................59
6.3.2 Audit des objets..........................................................................................................................59
6.3.3 Evénements de fichier audités...................................................................................................61
6.3.4 Ajout d'utilisateurs et de groupes aux listes de permissions et d'audits....................................61
6.3.5 Affichage des événements audités............................................................................................64

7 OBSERVATEUR D’EVENEMENTS...........................................................................66
7.1 DEMARRER L’OBSERVATEUR D’EVENEMENTS...............................................66
7.1.1 Comprendre la fenêtre de l’observateur.....................................................................................67
7.2 VISUALISER UN JOURNAL...................................................................................67

-4-
ESAT/DMSI/SYS Administration Windows NT Serveur

7.2.1 Choisir un journal........................................................................................................................68


7.2.2 Choisir un ordinateur..................................................................................................................68
7.2.3 Visualiser les détails de l’événement..........................................................................................68
7.2.4 Actualiser l’Observateur d’événements......................................................................................69
7.2.5 Changer les paramètres du journal............................................................................................69
7.3 GERER LES EVENEMENTS.................................................................................70
7.3.1 Trier les événements. .................................................................................................................70
7.3.2 Filtrer les événements................................................................................................................70
7.3.3 Trouver un événement...............................................................................................................71
7.4 ENREGISTRER LES FICHIERS JOURNAUX........................................................72

8 SECURISER LES RESSOURCES LOCALES..........................................................73


8.1 BOITE PERMISSION – REPERTOIRE..................................................................73
8.1.1 Permissions et types d’accès standard......................................................................................75
8.2 PERMISSIONS SUR LES REPERTOIRES............................................................77
8.3 PERMISSIONS SUR LES FICHIERS.....................................................................79
8.4 UTILISATION PRATIQUE......................................................................................80
8.4.1 Déplacement et copie d’objets....................................................................................................80
8.4.2 Suppression de fichiers..............................................................................................................80
8.4.3 Somme des permissions............................................................................................................80
8.4.4 Appartenance..............................................................................................................................80
8.4.4.1 Appropriation d’un objet.......................................................................................................81
8.4.5 Conversion du système de fichier..............................................................................................81

9 PARTAGE D’OBJETS...............................................................................................83
9.1 PARTAGE DES REPERTOIRES...........................................................................83
9.1.1 Pour partager un répertoire sur votre ordinateur local :.............................................................83
9.1.2 Partage à partir de l’invite de commande...................................................................................84
9.1.3 Pour définir des permissions sur le répertoire partagé.............................................................85
9.1.4 Fin du partage d'un répertoire....................................................................................................86
9.2 RESSOURCES PARTAGEES ADMINISTRATIVES..............................................87
9.3 CONNEXION AUX REPERTOIRES PARTAGES..................................................89
9.3.1 Connexion a un Partage à partir de l’invite de commande........................................................90
9.4 EVALUATION ET GESTION DE L'UTILISATION DES RESSOURCES................90
9.4.1 Affichage ou déconnexion des sessions utilisateurs..................................................................91
9.4.2 Affichage ou déconnexion de ressources partagées.................................................................92
9.4.3 Affichage des ressources partagées à partir de l’invite de commande.....................................92
9.4.4 Affichage ou fermeture des ressources en cours d'utilisation....................................................93
9.4.5 Affichage ou fermeture des ressources en cours d'utilisation à partir de l’invite de commande93
9.5 CONSEIL DE SECURISATION DES PARTAGES.................................................94

10 PROFILS UTILISATEURS.......................................................................................96
10.1 PRINCIPE D'UN PROFIL.....................................................................................96
10.2 CREATION DE PROFILS D'UTILISATEURS LOCAUX.......................................98
10.3 LES DIFFERENTS TYPES DE PROFILS............................................................99
10.3.1 Les profils errants.....................................................................................................................99
10.3.1.1 Bascule entre un profil d'utilisateur errant et un profil d'utilisateur local.........................101

-5-
ESAT/DMSI/SYS Administration Windows NT Serveur

10.3.2 Les profils obligatoires............................................................................................................102


10.4 SUPPRESSION D’UN PROFIL..........................................................................103

11 DUPLICATION DE RÉPERTOIRES......................................................................104
11.1 FONCTIONNEMENT DE LA DUPLICATION DE REPERTOIRES.....................104
11.2 CONNAISSANCES PRÉALABLES RELATIVES A LA DUPLICATION..............105
11.3 CONFIGURATION D'UN SERVEUR D'EXPORTATION....................................106
11.3.1 Gestion des sous-répertoires exportés..................................................................................107
11.4 CONFIGURATION D'UN ORDINATEUR D'IMPORTATION...............................108
11.4.1 Gestion des verrous et affichage de l'état des sous-répertoires d'importation......................109
11.5 PARAMÉTRAGE DU SERVICE DE DUPLICATION..........................................110

12 STRATÉGIE SYSTÈME.........................................................................................111
12.1 FONCTIONNEMENT DE LA STRATEGIE SYSTEME.......................................111
12.1.1 Exemple de stratégie système...............................................................................................111
12.2 CRÉATION D'UNE NOUVELLE STRATÉGIE....................................................112
12.2.1 Pour créer une nouvelle stratégie pour un domaine :............................................................112
12.2.2 PARAMETRES DE STRATEGIE SYSTEME PAR DEFAUT..................................................113
12.2.3 DÉFINITION DES RESTRICTIONS DES PROFILS D'UTILISATEUR..................................114
12.2.4 STRATÉGIE D'ORDINATEUR................................................................................................115
12.2.5 Utilisation de l'éditeur de stratégie système pour modifier le registre....................................115
12.3 PRIORITE DES STRATEGIES...........................................................................116
12.3.1 Evaluation du profil pour des utilisateurs et des ordinateurs.................................................117
12.3.2 Utilisation du mode de mise à jour manuelle..........................................................................117
12.4 CONSTRUCTION D'UN FICHIER ADM :...........................................................118

13 ADMINISTRATEUR DE DISQUES........................................................................121
13.1 AFFICHER L’ADMINISTRATEUR DE DISQUES...............................................121
13.1.1 Les différents modes d’affichage............................................................................................122
13.2 CRÉER UNE PARTITION.................................................................................122
13.2.1 Créer une partition principale..................................................................................................122
13.2.2 Créer une partition étendue....................................................................................................123
13.2.3 Créer un lecteur logique.........................................................................................................124
13.2.4 Formater une partition...........................................................................................................124
13.2.4.1 Taille des clusters............................................................................................................125
13.2.5 Affecter une lettre à une partition...........................................................................................126
13.2.6 Changer le nom d’un volume.................................................................................................127
13.2.7 Supprimer une partition.........................................................................................................128
13.3 LES AGRÉGATS DE PARTITIONS...................................................................128
13.3.1 Créer un agrégat de partitions...............................................................................................129
13.3.2 Étendre un agrégat de partitions............................................................................................129
13.3.3 Supprimer un agrégat de partitions........................................................................................130
13.4 TOLÉRANCE DE PANNES................................................................................131
13.5 LE STANDARD RAID.........................................................................................131
13.5.1 Spécificité des niveaux RAID..................................................................................................131
13.5.2 Windows NT et le RAID..........................................................................................................132
13.6 LES AGRÉGATS PAR BANDES (RAID NIVEAU 0).........................................133

-6-
ESAT/DMSI/SYS Administration Windows NT Serveur

13.6.1 Créer un agrégat par bandes ................................................................................................134


13.6.2 Supprimer un agrégat par bandes.......................................................................................134
13.7 LES MIROIRS (RAID NIVEAU 1).......................................................................135
13.7.1 Création d’un miroir ...............................................................................................................136
13.7.2 Bris d’un miroir........................................................................................................................137
13.8 AGRÉGAT PAR BANDE AVEC PARITÉ (RAID NIVEAU 5)............................137
13.8.1 Description de l'utilisation de la parité sous Windows NT......................................................138
13.8.2 Création d’un agrégat par bandes avec parité.......................................................................139
13.8.3 Reconstitution d’un agrégat par bandes avec parité..............................................................140

14 ANALYSEUR DE PERFORMANCES....................................................................141
14.1 FONCTIONS DE L’ANALYSEUR DE PERFORMANCES..................................141
14.2 PARAMÉTRAGE DU TYPE D’AFFICHAGE......................................................141
14.3 CONFIGURER DES ALERTES..........................................................................143
14.3.1 Visualiser le journal d’alerte....................................................................................................144
14.4 CRÉER UN JOURNAL......................................................................................145
14.4.1 Créer les paramètres pour un Journal..................................................................................145
14.4.2 Créer un fichier journal...........................................................................................................146
14.4.3 Ajouter des signets................................................................................................................146
14.5 CRÉER UN RAPPORT......................................................................................147
14.5.1 Exporter des données..........................................................................................................148
14.6 SÉLECTION D'UN FICHIER JOURNAL EXISTANT..........................................150
14.6.1 Modification de la fenêtre temporelle...................................................................................150

15 DIAGNOSTICS WINDOWS NT..............................................................................152


15.1 VERSION...........................................................................................................152
15.2 SYSTÈME. ........................................................................................................152
15.3 AFFICHAGE.......................................................................................................153
15.4 LECTEURS........................................................................................................154
15.5 MÉMOIRE..........................................................................................................155
15.6 SERVICES.........................................................................................................155
15.7 RESSOURCES...................................................................................................156
15.8 ENVIRONNEMENT............................................................................................157
15.9 RÉSEAU.............................................................................................................157

16 GESTIONNAIRE DE SAUVEGARDES.................................................................159
16.1 ETABLISSEMENT D'UN PLAN DE SAUVEGARDE RÉSEAU...........................159
16.1.1 Remarques relatives à la stratégie.........................................................................................159
16.1.2 Remarques relatives au matériel............................................................................................160
16.1.3 Remarques relatives à l'emplacement...................................................................................161
16.2 SAUVEGARDE DES FICHIERS D'UN DISQUE SUR UNE BANDE..................162
16.2.1 Types de sauvegardes...........................................................................................................162
16.3 FRÉQUENCE DE SAUVEGARDE.....................................................................163
16.3.1 Rotation des bandes...............................................................................................................164
16.3.1.1 Sauvegarde sur 12 semaines..........................................................................................164
16.3.1.2 Sauvegarde sur une année.............................................................................................164
16.3.2 Vérification des sauvegardes..................................................................................................165

-7-
ESAT/DMSI/SYS Administration Windows NT Serveur

16.3.3 Stockage des bandes de sauvegarde....................................................................................165


16.3.4 Informations relatives aux opérations de sauvegarde...........................................................166
16.4 INSTALLATION D’UN LECTEUR DE BANDES.................................................166
16.5 SAUVEGARDER DES FICHIERS......................................................................168
16.5.1 Pour sauvegarder tous les fichiers sur un disque..................................................................168
16.5.2 Pour sauvegarder des fichiers individuels..............................................................................168
16.5.3 Fichiers non sauvegardés.......................................................................................................169
16.5.4 Paramétrage de la sauvegarde..............................................................................................170
16.5.4.1 Définition des options de bande......................................................................................170
16.5.4.2 Définition des informations relatives aux jeux de sauvegardes......................................171
16.5.4.3 Définition des options du fichier journal...........................................................................172
16.5.4.4 Etat de la sauvegarde......................................................................................................172
16.6 PRIVILÈGES DE SAUVEGARDE ET DE RESTAURATION..............................174
16.7 RESTAURER DES FICHIERS............................................................................174
16.7.1 Choix des éléments à restaurer.............................................................................................174
16.7.2 Fichiers dont la restauration n'est pas automatique...............................................................175
16.7.3 Paramétrage de la restauration..............................................................................................176
16.7.4 Restauration du Registre local................................................................................................177
16.8 LE GESTIONNAIRE DE SAUVEGARDES À PARTIR DE L’INVITE DE COMMANDES................................177
16.8.1 Exemples de planification de sauvegardes............................................................................179

17 LA GESTION DES LICENCES..............................................................................182


17.1 LES MODES DE LICENCE................................................................................182
17.1.1 Licence Par serveur................................................................................................................182
17.1.2 Licence Par siège...................................................................................................................183
17.1.2.1 Groupes de licences........................................................................................................184
17.1.3 Choix entre les modes de licences.........................................................................................185
17.2 OUTIL LICENCE DU PANNEAU DE CONFIGURATION...................................186
17.3 GESTIONNAIRE DE LICENCES........................................................................186
17.3.1 Historique des achats.............................................................................................................187
17.3.2 Affichage des produits............................................................................................................187
17.3.3 Clients (par siège)...................................................................................................................188
17.3.4 Explorateur de serveur...........................................................................................................189

18 ASSISTANTS D'ADMINISTRATION.....................................................................191

19 GESTION DES DOMAINES...................................................................................194


19.1 PROMOTION ET RÉTROGRADATION DE CONTRÔLEURS DE DOMAINE. . .194
19.1.1 Promotion d'un CSD au rang de CPD....................................................................................195
19.1.2 Rétrogradation d'un CPD au rang de CSD.............................................................................195
19.2 SYNCHRONISATION DE LA BASE DE DONNÉES D'ANNUAIRES.................196
19.2.1 Stockage des modifications dans le journal des modifications..............................................196
19.2.2 Synchronisations partielle et totale.........................................................................................196
19.2.3 Synchronisation des contrôleurs de domaine........................................................................197
19.3 AJOUT ET SUPPRESSION D'ORDINATEURS DANS UN DOMAINE...............198
19.3.1 Ajout de stations de travail et de serveurs dans un domaine................................................198
19.3.2 Suppression d'un ordinateur d'un domaine............................................................................200

-8-
ESAT/DMSI/SYS Administration Windows NT Serveur

19.3.3 Attribution d'un nouveau nom d'ordinateur à une station de travail ou à un serveur............200
19.3.4 Attribution d'un nouveau nom à un domaine..........................................................................201
19.3.5 Déplacement d'un ordinateur vers un domaine différent.......................................................201
19.4 RELATIONS D'APPROBATION ENTRE DOMAINES........................................202
19.4.1 création d’une relation d’approbation.....................................................................................203
19.4.2 Suppression d'une relation d'approbation entre deux domaines...........................................204

20 CONFIGURATION DES SERVEURS D'IMPRESSION.........................................205


20.1 INFORMATIONS GÉNÉRALES SUR L'IMPRESSION SOUS NT......................205
20.2 TERMINOLOGIE DE L'IMPRESSION SOUS NT...............................................205
20.3 PLANIFICATION DE VOS OPÉRATIONS D'IMPRESSION...............................206
20.3.1 Choix des ordinateurs utilisés comme serveurs d'impression...............................................206
20.3.2 Association des services de fichiers et d'impression.............................................................206
20.3.3 Planification de l'accès des utilisateurs aux imprimantes.......................................................207
20.3.3.1 Mise en attente des documents......................................................................................208
20.3.3.2 Attribution de niveaux de priorité aux imprimantes.........................................................208
20.3.3.3 Utilisation d'un pool d'impression.....................................................................................209
20.4 CONNEXION DES IMPRIMANTES....................................................................210
20.4.1 Configuration des imprimantes parallèles..............................................................................210
20.4.2 Configuration des imprimantes à interface réseau.................................................................215
20.4.2.1 Installation du service Lpd...............................................................................................216
20.4.2.2 Port Lpr............................................................................................................................216
20.4.2.3 Affectation d’une adresse IP............................................................................................217
20.4.2.4 Comment relier un imprimante NT au port Lpr ?............................................................218
20.4.2.5 Commandes Lpr et Lpq...................................................................................................219
20.5 DEFINITION DES PROPRIETES D'UNE IMPRIMANTE....................................220
20.5.1 Définition des propriétés générales d'une imprimante...........................................................221
20.5.1.1 Page de séparation..........................................................................................................221
20.5.1.1.1 Utilisation de pages de séparation personnalisées.......................................222
20.5.2 Ajout, suppression et configuration des ports........................................................................223
20.5.3 Modification des paramètres de planification et de spoule....................................................224
20.5.4 Partage d’une imprimante......................................................................................................225
20.5.5 Sécurité...................................................................................................................................226
20.5.5.1 Permissions.....................................................................................................................226
20.5.5.2 Audit.................................................................................................................................227
20.5.5.3 Appropriation....................................................................................................................228

21 BIBLIOGRAPHIE...................................................................................................229

22 INDEX.....................................................................................................................230

-9-
1 INTRODUCTION

1.1 LES OBJECTIFS DE WINDOWS NT

1.1.1 Système d’exploitation client/serveur

Dans un modèle client/serveur, le système d’exploitation est divisé en unité indépendantes qui
communiquent entre elles par des requêtes. Une unité ayant besoin d’un service envoie une
requête à l’unité capable de fournir ce service. Le demandeur représente le client et le
fournisseur le serveur.

Les programmes utilisateurs sont des clients. Ils demandent des services au sous-système
protégé qui, dans ce cas, représente le serveur.

Chaque portion du système d’exploitation tourne dans son propre espace mémoire protégé et se
trouve isolé des autres programmes tournant sur le système. Ainsi, si un seul serveur tombe en
panne, le reste du système fonctionne normalement.

1.1.2 Modèle de mémoire linéaire 32 bits

Windows est un système 32 bits, il utilise un adressage sur 32 bits pour accéder aux objets. Il
en résulte plusieurs avantages dont l’adressage linéaire de la mémoire jusqu’à 4 194 304 Ko (4
Giga Octets).

1.1.3 Fiabilité de la mémoire en mode protégé

Dans le modèle de mémoire de Windows NT, tous les processus possèdent leur propre espace
d’adressage 32 bits. L’espace de 4 Go est divisé en deux et les applications ne peuvent
réellement utiliser que 2 Go de l’espace mémoire. La partie supérieure de la mémoire est
réservée à l’interfaçage avec les autres module du système. De cette façon, chaque processus
tourne indépendamment des autres. Il n’est plus possible qu’un processus aille lire ou écrire en
dehors de son espace mémoire. Il en résulte deux avantages : au moins 90 % des plantages de
Windows 3.x sont évités, et chaque processus est sécurisé.

1.1.4 Multitâche préemptif

La base de ce modèle repose sur un micro noyau, comme sous Unix. Le micro noyau contrôle
constamment le système. Il attribue à chaque processus une durée précise pour s’exécuter. A
la fin du temps alloué, le micro noyau retire le contrôle au processus et le passe au processus
suivant.

- 10 -
ESAT/DMSI/SYS Administration Windows NT Serveur

1.1.5 Portabilité

Elle permet à Windows NT de tourner non seulement sur les processeurs de la famille x86, mais
aussi sur des processeurs RISC ( Reduced Instruction Set Computing ) comme le DEC Alpha
AXP, le Motorola PowerPC.
La couche d’abstraction matérielle (HAL) est l’une des clés de la portabilité de Windows NT, car
elle masque le matériel à la couche supérieure du système d’exploitation. En quelque sorte, elle
permet à tous les matériels d’apparaître identique au reste de Windows NT, elle se comporte
comme un pilote vis à vis d'un périphérique.

1.1.6 Le multiprocesseur

Windows NT permet le multiprocessing symétrique (SMP). Ainsi, Windows NT Server peut


tourner sur un système comportant de 1 à 32 processeurs et quatre giga octets de mémoire. Il
assigne dynamiquement les threads aux différents processeurs. Les opérations internes à
Windows NT ont été écrites pour tirer parti des systèmes SMP.

1.1.7 Sécurité

Windows NT Server vous offre plusieurs moyens de contrôler les actions des utilisateurs tout en
les laissant utiliser les ressources dont ils ont besoin. Le système de sécurité Windows NT repose
sur la protection de toutes les ressources et actions par un contrôle d'accès discrétionnaire.
Vous pouvez autoriser certains utilisateurs à se connecter à une ressource ou à exécuter une
action tout en interdisant à d'autres de le faire. Par exemple, vous pouvez définir des permissions
pour différents fichiers à l'intérieur d'un même répertoire.

La sécurité Windows NT Server n'est pas un composant. En fait, elle est intégrée dans le
système d'exploitation. Vos fichiers et autres ressources sont protégés contre les utilisateurs non
autorisés qui travaillent sur l'ordinateur où se trouve la ressource concernée et ceux qui se
connectent à cette ressource via le réseau. La sécurité est même fournie au niveau des fonctions
élémentaires du système, telles que le réglage de l'horloge système.

Ensemble, le compte d'utilisateur, les droits d'utilisateur et les permissions pour les
ressources fournissent à chaque utilisateur l'accès aux ressources et les restrictions appropriées

1.1.8 Tolérance de pannes

Le système possède plusieurs niveaux de tolérance de pannes puisqu’il comprend un système


de récupération de fichiers (inclus dans le système de fichier NTFS, New Technology File
System), le mirroring de disque et l’agrégat par bande avec parité ( RAID 5 ) des disques
(uniquement sur Windows NT Server) , ainsi qu’une gestion des alimentations secourues (UPS).

1.1.9 Prise en charge des réseaux

Windows NT server offre des fonctionnalités intégrées de partage de fichiers et d’imprimantes


pour les utilisateurs, ainsi qu’une interface réseau ouverte compatible avec IPX/SPX, TCP/IP,
NetBEUI et avec d’autres transports.
Windows NT server est compatible avec divers réseaux existants, comme Banyan VINES,
Novell NetWare, Unix, LAN Manager 2.x et Microsoft Windows pour Workgroups.

- 11 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Le service pour Apple Macintosh permet de partager des fichiers, des imprimantes et des
applications client-serveur entre Macintosh et PC.

1.1.10 Service d’accès distant

Les utilisateurs peuvent accéder aux mêmes ressources, qu’ils soient en déplacement, ou à leur
domicile. Il leur suffit d’établir une connexion réseau par l’intermédiaire d’une ligne téléphonique
asynchrone ou d’un réseau numérique à l’intégration de services (RNIS), et cela à partir d’un
ordinateur exécutant MS-DOS, Windows pour Workgroups ou Windows NT. Le service
d’accès distant est compatible avec les réseaux X25.

1.2 DOMAINES ET GROUPES DE TRAVAIL


Un ordinateur exécutant Windows NT peut fonctionner dans un groupe de travail (pour des
stations uniquement) ou dans un domaine (pour des stations et des serveurs). Les domaines et
les groupes de travail sont similaires dans certains aspects, mais ont aussi des différences
importantes.

Un domaine est un regroupement logique de serveurs réseau et d'autres ordinateurs qui


partagent des informations communes concernant la sécurité et les comptes d'utilisateur. A
l'intérieur des domaines, les administrateurs créent un compte d'utilisateur pour chaque
utilisateur. Ensuite, les utilisateurs ouvrent une session sur un domaine, et non sur chaque
serveur du domaine concerné.

En tant que membre d’un domaine, un ordinateur Windows NT peut partager des ressources. Le
domaine fournit une approche centralisée en matière d’administration et de gestion des comptes.

Dans les groupes de travail, chaque ordinateur a accès uniquement à sa propre base de
données d’annuaire contenant des informations sur les comptes d’utilisateur et la sécurité.

1.3 ORDINATEUR DANS UN DOMAINE


Dans un domaine, les ordinateurs exécutant Windows NT Server peuvent fonctionner soit en
tant que contrôleurs de domaine, soit en tant que serveurs membres.

Chaque domaine gère sa propre base de données d’annuaire. Il suffit à l’administrateur de créer
une seule fois un compte d’utilisateur dans la base de données d’annuaire au niveau du
contrôleur principal de domaine (CPD ou en anglais PDC, Primary Domain Controler).
Lorsqu’un utilisateur se connecte au domaine, un contrôleur de domaine valide la connexion. Il
examine la base de données d’annuaire à la recherche du nom d’utilisateur, du mot de passe et
des restrictions de connexion.

Toute modification apportée aux informations relatives aux comptes sont répercutées au niveau
du contrôleur principal de domaine. Celui-ci copie sa base de données d’annuaire sur les autres
ordinateurs Windows NT Server du domaine, désignés comme contrôleurs secondaires de
domaine (CSD ou en anglais BDC, Backup Domain Controler). Un contrôleur de domaine
peut authentifier l’ouverture de session des utilisateurs du domaine, cela peut être le PDC ou un
BDC.

- 12 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Tous domaine comporte un seul contrôleur principal de domaine et un ou plusieurs


contrôleurs secondaire de domaine. Si le contrôleur principal de domaine est manquant, un
des contrôleurs secondaire de domaine est promu et devient contrôleur principal de domaine.

Le fait de regrouper des ordinateurs par domaines offre deux avantages principaux aux
administrateurs et aux utilisateurs d'un réseau.

Le premier avantage et le plus important réside dans le fait que les serveurs contrôleurs de
domaine, contenus dans un domaine, forment une seule entité administrative dans la mesure où
ils partagent les informations relatives à la sécurité et aux comptes d'utilisateur. Les
administrateurs doivent gérer un seul compte par utilisateur, et chaque utilisateur ne doit utiliser
qu'un seul compte (et mémoriser un seul mot de passe). En étendant l'entité administrative de
différents serveurs à l'ensemble d'un domaine, Windows NT Server permet aux administrateurs et
aux utilisateurs de gagner du temps et de limiter leurs efforts.

Le second avantage lié à l'utilisation de domaines concerne l'utilisateur. En effet, lorsque les
utilisateurs parcourent le réseau à la recherche des ressources disponibles, ils visualisent le
réseau regroupé par domaines au lieu de visualiser à la fois tous les serveurs et toutes les
imprimantes connectés au réseau. Cet avantage est identique à celui du concept de groupe de
travail utilisé sous Microsoft Windows® pour Workgroups et Windows 95/98.

1.3.1 Définitions

Compte utilisateur :
Il réunit toutes les informations qui définissent un utilisateur pour Windows NT, et en particulier :
le nom de l'utilisateur et le mot de passe que l'utilisateur doit fournir pour ouvrir une
session,
les groupes dont fait partie le compte de l'utilisateur,
les droits qui déterminent la marge de manœuvre de l'utilisateur sur le système.

Utilisateur :
personne pouvant ouvrir une session de travail.

Groupe :
ensemble d’utilisateurs (locaux) possédant les mêmes droits et/ou accédant aux mêmes objets
(ressources).

Groupe local :
Un groupe de ce type ne peut recevoir des permissions et des droits que pour les contrôleurs de
son propre domaine. Il peut cependant contenir des comptes d'utilisateur et des groupes globaux
de son propre domaine et des domaines approuvés.

Groupe global :
Un groupe de ce type peut recevoir des permissions et des droits pour les contrôleurs de
domaine, d'autres stations de travail et membres de son propre domaine ainsi que pour les
domaines autorisés à approuver et peut devenir membre des groupes locaux de ces domaines. Il
ne peut cependant contenir que les comptes d'utilisateurs de son propre domaine.

Partage :
Possibilité de rendre des ressources locales disponibles par d’autres utilisateurs via le réseau.

Base de données d'annuaires

- 13 -
ESAT/DMSI/SYS Administration Windows NT Serveur

La base de données d'annuaires stocke toutes les informations relatives à la sécurité et aux
comptes d'utilisateur pour un domaine particulier. (D'autres documents Windows NT peuvent faire
référence à la base de données d'annuaires sous le nom « base de données SAM [Security
Accounts Manager] ».) La copie principale de la base de données d'annuaires est stockée sur
un serveur et copiée à intervalles réguliers sur des serveurs de sauvegarde et synchronisées afin
de garantir une sécurité centralisée. Lorsqu'un utilisateur ouvre une session sur un domaine, le
sous système de sécurité de Windows NT Server compare le nom et le mot de passe de
l'utilisateur avec les informations contenues dans la base de données d'annuaires.

Relation d'approbation :
Une relation d'approbation est une liaison entre deux domaines Windows NT Server. On peut
justifier la création de plusieurs domaine par la taille limite de la base de données SAM, ou raison
de sécurité, ou de facilité d'administration.

Vous pouvez utiliser une Relation d'approbation pour ajouter et supprimer des domaines
autorisés à approuver (domaines de ressources) et des domaines approuvés (domaines de
comptes).

Les domaines autorisés à approuver permettent l'utilisation de leurs ressources par des
comptes faisant partie d'autres domaines (approuvés).
Les utilisateurs des domaines approuvés et les groupes globaux peuvent détenir des
droits d'utilisateur, des permissions d'accès aux ressources et l'appartenance à des
groupes locaux sur le domaine approuvé.

Les relations d'approbation peuvent permettre à un utilisateur d'accéder à l'ensemble des


ressources du réseau avec un seul compte d'utilisateur et un seul mot de passe. Les avantages
de l'administration centralisée se trouvent déplacées du niveau du domaine à celui du réseau.

Remarque :

Les relations d'approbation ne peuvent exister qu'entre domaines Windows NT Server.

- 14 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2 LES SERVEURS
Au cours de l'installation de Windows NT Server, un choix de configuration de serveur est
obligatoire. Vous disposez de 3 possibilités :
 un contrôleur principal de domaine,
 un contrôleur secondaire
 un serveur autonome.

2.1 LES CONTROLEURS DE DOMAINE


A l'intérieur d'un domaine, des contrôleurs de domaine gèrent tous les aspects des interactions
entre les utilisateurs et le domaine. Les contrôleurs de domaine sont des ordinateurs exécutant
Windows NT Server qui partagent une base de données d'annuaires dans laquelle sont stockées
les informations relatives à la sécurité et aux comptes d'utilisateur pour la totalité du domaine ; ils
forment une seule entité administrative.

Les contrôleurs de domaine utilisent les informations contenues dans la base de données
d'annuaires pour authentifier les ouvertures de session effectuées par les utilisateurs sur les
comptes d'un domaine. Il existe deux types de contrôleurs de domaine :

2.1.1 Le contrôleur principal de domaine

Le contrôleur principal de domaine (CPD) effectue le suivi des modifications apportées aux
comptes du domaine. Chaque fois qu'un administrateur modifie l'un des comptes d'un domaine,
la modification est enregistrée dans la base de données d'annuaires sur le contrôleur principal de
domaine. Ce dernier est le seul serveur de domaine qui reçoit directement ce type de
modifications. Un domaine dispose d'un seul contrôleur principal de domaine.

Vous créez un domaine lorsque vous installez Windows NT Server sur un ordinateur et que
vous le désignez comme contrôleur principal de domaine. Un domaine peut contenir autant de
contrôleurs secondaires de domaine que nécessaire pour partager la charge de travail liée à
l'authentification des ouvertures de session sur le réseau, mais il aura toujours un seul CPD. Sur
un site de petite taille, un seul CPD (et un seul CSD) dans un domaine peu t s'avérer suffisant.

2.1.2 Un contrôleur secondaire de domaine

Un contrôleur secondaire de domaine (CSD) conserve une copie de la base de données


d'annuaires. Cette copie est synchronisée périodiquement et automatiquement avec la base de
données d'annuaires du contrôleur principal de domaine. Les contrôleurs secondaires de
domaine authentifient également les ouvertures de session effectuées par les utilisateurs et l'un
d'eux peut être promu contrôleur principal de domaine. Un domaine peut comporter plusieurs
contrôleurs secondaires de domaine.

 La relation d’approbation qui existait sur le serveur principal (avec un autre domaine) est
reprise automatiquement par le secondaire au moment de l’installation.

 Les imprimantes créées sur le serveur principal ne figurent pas sur le serveur secondaire
après son installation. Il faut créer localement les imprimantes réseau sur le serveur

- 15 -
ESAT/DMSI/SYS Administration Windows NT Serveur

secondaire. Les utilisateurs auront le choix de se connecter à l’imprimante sur le serveur


principal ou bien à celle sur le serveur secondaire (c’est en fait la même), mais ce n'est
pas la même file d'impression qui la gère.

Remarque :

Les contrôleurs secondaires de domaine LAN Manager 2.x ne peuvent pas être promus
contrôleur principal de domaine d'un domaine Windows NT Server.

2.2 LES SERVEURS MEMBRES


Les ordinateurs exécutant Windows NT Server peuvent être configurés en tant que serveurs
membres. Ce terme désigne des ordinateurs qui ne stockent pas de copies de la base de
données d'annuaires et qui, en conséquence, ne peuvent pas authentifier des comptes mais ils
reçoivent la copie synchronisée de la base de données d'annuaires et des modifications de cette
bases sont possible.
Cependant ces serveurs sont utilisés pour exécuter des applications consacrées à des tâches
particulières, telles que la gestion des serveurs d'impression ou des serveurs de fichiers, ou
bien au traitement de gros volumes de données, comme l'exécution d'applications de base de
données. Les serveurs membres peuvent tirer profit de plusieurs fonctionnalités :
 prise en charge de 256 connexions simultanées au Service d'accès distant (RAS,
Remote Access Service) ;
 une tolérance de pannes avancée (mise en miroir de disques/duplication, RAID 5);
 accès de Macintosh aux services de fichier et d'impression de Windows NT Server ;
 prise en charge du serveur de téléamorçage pour les clients MS-DOS et Windows 3.x.

Pour configurer un serveur membre, lors de l'installation de Windows NT Server, activez l'option
Serveur autonome pour le type de serveur.

Vous pouvez configurer un ordinateur en tant que serveur membre dans les cas suivants :

Si le serveur exécute des tâches extrêmement urgentes et que vous ne voulez pas qu'il passe du
temps à autoriser les tentatives d'ouverture de session sur un domaine ou à recevoir des copies
synchronisées de la base de données d'annuaires du domaine. C'est le cas, par exemple, des
serveurs web, des serveurs de messagerie, des serveurs de base de données ou bien des
serveurs de fichiers et des serveurs d'impression.

Si vous voulez qu'un serveur dispose d'un administrateur ou de comptes d'utilisateur différents
des autres serveurs d'un domaine. Par exemple, vous pouvez avoir une personne chargée de
l'administration d'une base de données. Si vous configurez l'ordinateur en tant que serveur
membre, vous pouvez autoriser cette personne à gérer la base de données sans toutefois lui
permettre de contrôler la base de données d'annuaires du domaine ni les autres serveurs.

Les serveurs membres peuvent faire partie d'un domaine, même si cela n'est pas obligatoire.

- 16 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2.2.1 serveur membre dans un domaine

Un serveur membre qui fait partie d'un domaine ne stocke pas de copie de la base
de données d'annuaires. Toutefois, il est possible d'attribuer des permissions pour les
ressources du serveur qui permettent aux utilisateurs de se connecter au serveur et d'utiliser ses
ressources. Dans la mesure où l'ordinateur est lui-même membre du domaine, il conserve une
relation d'approbation avec ce domaine et avec tous les domaines qu'il approuve. Par
conséquent, les permissions pour les ressources peuvent être attribuées aussi bien à des
utilisateurs et des domaines de groupes globaux qu'à des utilisateurs et des domaines de
groupes locaux.

2.2.2 serveur membre hors domaine

Un serveur membre qui ne fait pas partie d'un domaine ne dispose que de sa propre
base de données d'utilisateurs et traite lui-même les demandes d'ouverture de session. Ce
serveur fait partie d'un Workgroupe. Il ne partage pas d'informations sur les comptes avec un
autre ordinateur et ne peut pas autoriser l'accès à des comptes de domaine. Seuls les comptes
d'utilisateur créés sur le serveur proprement dit peuvent être utilisés pour ouvrir des sessions ou
recevoir des droits et des permissions pour utiliser les ressources du serveur. Ces serveurs
contiennent les même types de comptes d'utilisateur et de comptes de groupe local intégrés que
les ordinateurs exécutant Windows NT Workstation plutôt que les types de comptes de groupe
intégrés des contrôleurs de domaine Windows NT Server.

2.3 LA BASE DE DONNEES D'ANNUAIRES

2.3.1 Taille de la base de données d'annuaires

Si vous gérez un site de petite ou de moyenne taille, vous n'avez probablement pas besoin de
vous préoccuper des limites d'un domaine Windows NT Server. Toutefois, si vous avez prévu une
extension de votre site, vous devez tenir compte des chiffres suivants.

Le facteur qui limite la taille d'un domaine est le nombre de comptes d'utilisateur pouvant être pris
en charge par une seule base de données d'annuaires. En effet, la taille maximale
recommandée pour un fichier de base de données d'annuaires est de 40 Mo. Ce qui
explique que l'on est besoin parfois de créer plusieurs domaine NT, pour l'administration des
utilisateurs.

Un domaine est constitué de comptes d'utilisateur, de comptes d'ordinateur (chaque ordinateur


exécutant Windows NT Workstation ou Windows NT Server dispose d'un compte d'ordinateur) et
de comptes de groupe, intégrés et créés par vous-même. Chacun de ces objets occupe une
quantité d'espace donnée dans le fichier de base de données d'annuaires.

Dans la pratique, la limite de la taille de ce fichier dépend du type de processeur de l'ordinateur et


de la quantité de mémoire disponible dans la machine utilisée comme contrôleur principal de
domaine. Microsoft a testé des fichiers de base de données d'annuaires qui dépassaient 40 Mo
et recommande de ne pas dépasser cette limite. L'espace occupé dans le fichier de base de
données d'annuaires diffère selon le type d'objet stocké.

- 17 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Objet Espace utilisé

Compte d'utilisateur 1 Ko

Compte d'ordinateur 0,5 Ko

Compte de groupe 4 Ko (taille moyenne d'un groupe = 300 membres)

Pour un seul domaine, voici quelques exemples de la façon dont les objets peuvent être répartis :

Comptes de
Comptes Comptes
groupe Taille totale du
d'utilisateur d'ordinateur
(4 Ko par répertoire
(1 Ko par compte) (0,5 Ko par compte)
compte)
Une station de
2 000 2 000 30 3,12 Mo
travail par utilisateur
Deux stations de
5 000 10 000 100 10,4 Mo
travail par utilisateur
Deux utilisateurs
10 000 5 000 150 13,1 Mo
par station de travail
Une station de
25 000 25 000 200 38,3 Mo
travail par utilisateur
Une station de
26 000 26 000 250 40 Mo
travail par utilisateur
Une station de
40 000 0 0 40 Mo
travail par utilisateur

- 18 -
ESAT/DMSI/SYS Administration Windows NT Serveur

3 ADMINISTRATION DES UTILISATEURS.


La plupart des opérations relatives à l'administration des utilisateurs du domaine sont effectuées
dans le programme Gestionnaire des utilisateurs pour les domaines, que vous trouverez dans
le groupe de programmes Outils d'administration(Commun).
Le Gestionnaire des utilisateurs pour les domaines vous permet de gérer les comptes
d'utilisateur, créer et de gérer des groupes ainsi que d'administrer les comptes du, ou des
domaines administré a partir du serveur (mots de passe, droits d'utilisateur et stratégies d'audit).
Cliquez sur le bouton Démarrer, sélectionnez Programmes, puis Outils d'administration
(Commun).
Cliquez sur Gestionnaire des utilisateurs pour les domaines.

3.1 INFORMATIONS DU GESTIONNAIRE DES UTILISATEURS.

- 19 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Vous trouvez en haut la liste des comptes d'utilisateurs existants. Toute personne devant
accéder à une ressource du domaine possède son propre compte d'utilisateur. Chaque compte
d’utilisateur est représenté par l’icône suivant Pour examiner les caractéristiques d'un compte
d'utilisateur en détail, il suffit de faire un double-clic sur le compte (ou sélectionner le compte et
appuyer sur entrée).

Vous trouvez en bas la liste des groupes locaux (représentés par l’icône suivant ) et des
groupes globaux (représentés par l’icône suivant ) définis sur ce serveur.
De même que pour les utilisateurs vous pouvez double-cliquer sur un groupe pour ouvrir sa
fenêtre de propriétés.

3.1.1 Comptes Utilisateurs prédéfinis

Deux comptes utilisateurs sont au moins prédéfinis : Administrateurs et Invité, un troisième


compte peut se rajouter à cette liste si vous avez choisi d’installer Internet Information Server
(IIS).Il en est de même pour les applicatifs qui gèrent des invités (guest).

Ces comptes ont été créés pendant l'installation de Windows NT. Les comptes prédéfinis ne
peuvent pas être effacés, car ils font partie de la configuration de base du système d'exploitation.

Remarque :

Il est fortement conseillé de les renommer en évitant pour le compte de l’administrateur de


retrouver une chaîne de caractères contenant « ADMxxx », « ADMINxxxx », … etc.

Comptes Signification

Ce compte appartient aux groupes « Administrateurs du domaine »


et « Utilisateur du domaine ». Il ne peut être supprimé. Il doit être
renommé. L’administrateur peut créer, supprimer ou modifier des
comptes utilisateurs.
Administrateur
Toutes ces fonctionnalités s’effectuent à partir du gestionnaire des
utilisateurs.
L’administrateur gère les ressources du domaine, les imprimantes,
les connexions, les partages, ....

Cet utilisateur appartient au groupe des Invités du domaine. Ses


Invité possibilités sont limitées. Par défaut il existe toujours un compte
Invité à l’installation. Ce compte est désactivé et il doit le rester.

Cet utilisateur est le compte invité internet. Il permet l’accès


anonyme au serveur internet. Ce compte est créé si vous installé
IUSR_SVR1NomDomaine
IIS, il peut être supprimé ce qui empêche l'accès à IIS pour les
utilisateurs.
La liste des groupes locaux et globaux se situe au-dessous. Les groupes locaux sont
indispensables, ils représentent un moyen très pratique pour gérer simultanément plusieurs
utilisateurs. Pour voir comment un groupe est administré, faites un double-clic sur ce groupe.

- 20 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Lorsque vous administrez un ordinateur Windows NT Server qui n'est pas un contrôleur de
domaine mais un serveur membre, la liste des groupes contient uniquement les groupes locaux.
Ces serveur ne gèrent en effet pas les groupes globaux.

3.1.2 Groupes locaux prédéfinis.

Les groupes sont un moyen pour les administrateurs, d’attribuer des droits et des permissions
plus efficacement (l’administrateur attribue des droits et des permissions à un groupe, puis
affecte des utilisateurs à ce dernier).

Votre serveur comporte déjà un certain nombre de groupes locaux, avec lesquels vous pouvez
construire une hiérarchie rudimentaire, en incluant les comptes d'utilisateur dans les groupes
correspondants. La liste qui suit indique les droits et les privilèges de ces groupes prédéfinis :

Groupes locaux Signification

Les Administrateurs ont tous les droits sur le système. Du fait de


l'étendue des droits des administrateurs, le statut
d'administrateurs ne doit être accordé qu'à un nombre limité de
Administrateurs
personnes de toute confiance, qui gèrent le système.
Ce groupe contient au départ l’utilisateur « administrateur » et le
groupe global « Admins du domaine ».

Leurs membres peuvent gérer le service de réplication de


dossiers. Ce service permet de reproduire des informations
Duplicateurs comme les profiles d'utilisateurs ou les programmes de
connexion par le réseau sur d'autres ordinateurs NT.
Ce groupe ne contient initialement aucun membre.

Les droit de ce groupe sont particulièrement limités et sont


conçus pour des personnes qui ne disposent pas de leur propre
compte d'utilisateur. Au début, ce compte d'invité est également
verrouillé, et il faut l'activer explicitement si vous voulez l'utiliser.
Invités En règle générale, il vaut mieux renoncer à ce compte spécifique
pour les personnes autorisées.
Ce groupe ne contient au départ que l’utilisateur
« IUSR_SVR1COURSNT » (si vous avez installé IIS) et le
groupe global « invités du domaine ».
Les membres de ce groupe peuvent administrer les comptes des
Opérateurs de compte utilisateurs et les groupes du domaine.
Ce groupe ne contient au départ aucun membre.

- 21 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Groupes locaux Signification

Ce groupe reçoit tous les droits nécessaires pour réaliser des


sauvegardes, et pour restaurer les données. Les opérateurs de
sauvegarde peuvent également sauvegarder des données
Opérateurs de sauvegarde
auxquelles ils n'ont pas le droit d'accès, mais ne peuvent pas lire
ces données.
Ce groupe ne contient au départ aucun membre.

Les membres peuvent administrer les serveurs de domaine.


Opérateurs de serveur
Ce groupe ne contient au départ aucun membre.
Les membres de ce groupe peuvent administrer les imprimantes
Opérateurs d’impression du domaine.
Ce groupe ne contient au départ aucun membre.
Les droits de ce groupe sont adaptés aux utilisateurs moyens.
Tous les utilisateurs que vous créerez seront par défaut membre
Utilisateurs de ce groupe.
Ce groupe contient au départ le groupe global « Utilisateurs du
domaine »

3.1.3 Groupes globaux prédéfinis.

Votre serveur comporte déjà un certain nombre de groupes globaux, avec lesquels vous pouvez
construire une hiérarchie rudimentaire, en incluant les comptes d'utilisateur dans les groupes
correspondants. La liste qui suit indique les droits et les privilèges de ces groupes prédéfinis :

Groupes globaux Signification


Les Administrateurs ont tous les droits sur le système. Du fait de
l'étendue des droits des administrateurs, le statut
d'administrateurs ne doit être accordé qu'à un nombre limité de
personnes de toute confiance, qui gèrent le domaine. Ce groupe
est membre du groupe local Administrateurs pour le domaine et
Admins du domaine
par défaut, membre du groupe local pour chaque machine
Windows NT Server ou Windows NT Workstation du domaine.
Un administrateur de domaine peut donc administrer des
machines locales.
Ce groupe contient au départ l’utilisateur « administrateur » .
Les droit de ce groupe sont particulièrement limités et sont
conçus pour des personnes qui ne disposent pas de leur propre
Invités du domaine
compte d'utilisateur.
Ce groupe contient au départ l’utilisateur « invité ».

Ce groupe contient tous les utilisateurs du domaine


Ce groupe contient au départ les utilisateurs « administrateur »
Utilisateur du domaine et « IUSR_SVR1COURSNT » (si vous avez installé IIS). Tous
les nouveaux comptes du domaine sont automatiquement
ajoutés aux groupe.

- 22 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4 GESTION DES COMPTES UTILISATEURS

4.1 CREATION D'UN COMPTE UTILISATEUR


Pour créer des comptes utilisateur supplémentaires ou pour modifier des comptes existants,
servez-vous du Gestionnaire des utilisateurs pour les domaines.

Pour créer un nouveau compte utilisateur :

Dans le menu Utilisateur, choisissez la commande Nouvel utilisateur.

Dans la zone "Utilisateur", tapez un nom d'utilisateur (20 caractères maximum).

- 23 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Champ Signification
Nom sous lequel l'utilisateur se connecte. Il s'agit de son
identification sur la machine, qui doit donc être unique. Longueur
maximale : 20 caractères, ce nom peut contenir tout caractère
Utilisateur majuscule ou minuscule, sauf, " / \ [ ] : ; | - , + * ?
< >.
Un bon choix consiste à utiliser le nom suivi de l'initiale du prénom
ou l’inverse.
Ce champ contient plus de place que le champ Utilisateur. Les
comptes d'utilisateur sont triés par ce champ, il vaut donc mieux
Nom détaillé indiquer le nom de famille suivi du prénom, en séparant le nom du
prénom, si vous voulez trier par nom de famille. Cette entrée,
quoique facultative, est fortement recommandée.

Information complémentaire optionnelle, par exemple la fonction


de l'utilisateur : Responsable de service, secrétaire, ou son
Description
numéro de téléphone. Cette entrée, quoique facultative, est
fortement recommandée.

Mot de passe secret, par lequel l'utilisateur valide sa connexion.


Longueur maximale : 14 caractères. Le mot de passe est toujours
Mot de passe masqué par des étoiles. Si vous accédez ultérieurement à ce
champ, il comportera toujours 14 étoiles, même si le mot de passe
est plus court, pour ne donner aucune indication sur sa longueur.

Comme le mot de passe est masqué par des étoiles, il doit être
Confirmer le mot de passe
saisi une deuxième fois pour éviter les fautes de frappe.

Remarque :

Les majuscules et minuscules ne sont pas équivalentes dans le cas des mots de passe. Les
attributs de mot de passe sont gérés par la stratégie de compte.

Activez ou désactivez les cases à cocher correspondant aux diverses options.

Option Description

L'utilisateur doit changer le mot de


Oblige l'utilisateur à changer de mot de passe lors de
passe à la prochaine ouverture de
la prochaine ouverture de session.
session.

Empêche l'utilisateur de changer le mot de passe


L'utilisateur ne peut pas changer de mot attribué à son compte.
de passe. S’applique aux comptes d’utilisateur employés par
plusieurs personnes.

- 24 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Option Description

Empêche l'expiration du mot de passe quelle que soit


la valeur spécifiée pour l'option de stratégie de compte
"Durée maximal du mot de passe".
Le mot de passe n'expire jamais. Cette option est utilisée pour des comptes affectés à
des services ou des scripts nécessitant des
connexions automatiques (par exemple une
duplication de répertoires)

Interdit l'utilisation de ce compte. Le compte n’est pas


Compte désactivé
supprimé.

Cette option n’est pas présente par défaut. Un compte


d'un utilisateur est verrouillé suite à de nombreuses
tentatives d'ouverture de session infructueuse. Le
Compte verrouillé
compte peut être déverrouillé soit automatiquement
(après un temps T), soit par l’administrateur qui
décochera l’option.

Une fois terminée la création de comptes d'utilisateur, choisissez le bouton "Ajouter".

Bouton Signification

Permet de spécifier les groupes auxquels le compte d'utilisateur


Groupes appartient. Par défaut tous les utilisateurs qui sont crées
appartiennent au groupe global « utilisateurs du domaine ».

Permet d'attribuer au compte d'utilisateur un chemin de profil


Profil d'utilisateur, un nom de script d'ouverture de session ou un chemin
d'accès du répertoire de base.

Permet de limiter les heures pendant lesquelles l'utilisateur peut se


Horaires connecter à un serveur. Ce paramètre n'affecte en rien la
possibilité qu'a l'utilisateur d'utiliser une station de travail

Permet de limiter les stations de travail à partir desquelles un


Accès depuis utilisateur sera autorisé à ouvrir une session vers ce compte de
domaine.

Permet de gérer la date d'expiration du compte et de spécifier s'il


Compte
s'agit d'un compte d'utilisateur global ou local.

Permet d'attribuer au compte d'utilisateur sélectionné l'autorisation


Numérotation
d'utiliser l'Accès réseau à distance.

- 25 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Bouton Signification

Permet de gérer les propriétés compatibles NetWare du compte


d'utilisateur.
Compatible NW est disponible uniquement si les services Fichier
Compatible NW
d'impression NetWare ou le Service de gestion centralisée
d'annuaires NetWare sont installés sur l'ordinateur et que la case
à cocher Conserver la connexion compatible NetWare est activée.

4.1.1 Copier un compte d'utilisateur.

Il est facile de copier des comptes d'utilisateur, en particulier si plusieurs comptes doivent être
créés en même temps. Il n'est alors pas nécessaire de renseigner complètement chacun de ces
nouveaux comptes. Ces derniers héritent des paramètres du compte que vous copiez. Il suffit
alors, de leur donner un nouveau nom d'utilisateur, un mot de passe et de préciser les
informations de détail.

Sélectionnez dans la liste du haut le compte d'utilisateur que vous voulez copier.

Sélectionnez la commande Copier dans le menu Utilisateur ( ou utilisez la touche F8).

Remplissez l'identification du nouveau compte utilisateur en indiquant le nom de l'utilisateur, le


mot de passe, etc. Toutes les autres informations sont reprises du compte que vous copiez.

Remarques :

Pour éviter de donner à un compte d'utilisateur des droits d'accès que vous ne voulez pas lui
accorder. Copiez un compte utilisateur que si vous en connaissez bien les droits d'accès
(l’appartenance aux groupes est copiée).

- 26 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4.1.2 Effacer un compte d'utilisateur.

Cliquez sur le compte d'utilisateur que vous voulez effacer dans la liste du haut, puis tapez sur la
touche Suppr. Vous pouvez également utiliser la commande Supprimer du menu Utilisateur.

Valider en cliquant sur OK.

Windows NT Server gère les comptes utilisateurs en interne sur la base d'un numéro
d'identification de sécurité (SID) et définit les droit d'accès au serveur à partir de ce numéro. Si un
compte d'utilisateur est effacé, le SID correspondant l'est également. Tous les droits d'accès de
cet utilisateur sont perdus. Si un nouveau compte est créé ultérieurement sous le même nom, les
droits d'accès ne sont pas récupérés. Cela signifie qu'un utilisateur ne peut plus accéder aux
ressources ( par exemple des fichiers qu'il a créés sous son ancien compte d'utilisateur).

Remarque :

Il faut donc effacer un compte d'utilisateur uniquement si l'utilisateur ne travaille plus sur le
système et qu'il n'y possède plus de fichiers importants. Dans le cas contraire, il vaut mieux
désactiver le compte, pour pouvoir le réutiliser.

4.1.3 Renommer un compte d'utilisateur.

Vous pouvez renommer un compte d'utilisateur sans conséquence sur les droits d'accès ni sur la
fonctionnalité du compte. Vous pouvez par exemple renommer le compte d'utilisateur prédéfini
comme Administrateur, afin que des intrus n'aient pas seulement à trouver le mot de passe,
mais également le nom du compte de l'administrateur.

- 27 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Cliquez sur le compte dont vous voulez changer le nom.

Sélectionnez la commande Renommer dans le menu Utilisateur.

Taper le nouveau nom d'utilisateur dans le champ Nouveau nom, puis cliquez sur OK.

Chaque compte d'utilisateur peut recevoir un dossier de base, qui porte normalement le même
nom que le compte d'utilisateur. Si le nom de l'utilisateur est modifié, le nom du dossier de base
ne change pas. Il faut éventuellement le modifier à la main dans l'Explorateur, puis dans le profil
du compte d'utilisateur. Vous pouvez également laisser le dossier de base comme il est.

4.1.4 Choisir des utilisateurs

Permet de sélectionner et désélectionner l'appartenance d'un compte d'utilisateur à des groupes.

Seuls les comptes d'utilisateur qui appartiennent au domaine ou à l'ordinateur administré


(affichés dans la fenêtre du Gestionnaire des utilisateurs pour les domaines) peuvent être
sélectionnés ou désélectionnés. Par exemple, si vous administrez un domaine et que vous
cliquez sur Sélectionner pour un groupe local donné, les comptes d'utilisateur membres des
domaines approuvés ne sont pas affectés.

- 28 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4.1.5 Choisir un domaine

Lorsque le Gestionnaire des utilisateurs pour les domaines démarre, il affiche le domaine
dans lequel votre compte d'utilisateur est défini. Cliquez sur Choisir un domaine pour afficher un
domaine différent.

Vous pouvez afficher un ordinateur individuel, mais seulement s'il tient à jour sa propre base de
données de sécurité, tel qu'un ordinateur Windows NT Workstation, un ordinateur Windows NT
Server non contrôleur de domaine (serveur membre) ou un serveur Microsoft LAN Manager. Si
vous spécifiez un contrôleur principal ou secondaire de domaine, le domaine s'affiche.

4.2 GESTION DE L'APPARTENANCE D'UN COMPTE D'UTILISATEUR À DES GROUPES


Pour gérer l'appartenance aux groupes dans le cas d'un seul compte utilisateur :

Choisissez le bouton "Groupes" de la boîte de dialogue Nouvel utilisateur, Copie de ou


Caractéristiques de l'utilisateur.

Dans la boîte de dialogue Appartenance aux groupes, la zone "Membre de" indique les
groupes auxquels appartient ce compte d'utilisateur et la zone "Non membre de" indique les
groupes dont il ne fait pas partie.

- 29 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Afin d'ajouter le compte d'utilisateur à un ou plusieurs groupes, sélectionnez ce ou ces groupes


dans la zone "Nom membre de", puis choisissez le bouton "Ajouter". Vous pouvez aussi
sélectionner le ou les groupes dans la zone "Non membre de", puis déplacer les icônes de
groupes sélectionnées jusqu'à la zone "Membre de".

Pour supprimer le compte utilisateur d'un ou plusieurs groupes, sélectionnez le ou les groupes
dans la zone "Membre de", puis choisissez le bouton "Enlever". Vous pouvez aussi sélectionner
le ou les groupes dans la zone "Membre de", puis déplacer l'une des icônes de groupe
sélectionnées jusqu'à la zone "Non membre de". Vous ne pouvez pas enlever le groupe
principal.

Pour changer le groupe principal d'un compte d'utilisateur, sélectionnez un groupe global dans la
zone "Membre de", puis choisissez le bouton "Fixer groupe principal". Un groupe principal est
employé lorsqu'un utilisateur qui exécute les Services pour Macintosh de Windows NT ou des
applications POSIX ouvre une session. Seul un groupe global peut être défini comme groupe
principal. Il est impossible de supprimer l'appartenance d'un compte d'utilisateur à son groupe
principal.

4.3 GESTION DU PROFIL D'ENVIRONNEMENT DES UTILISATEURS


Un profil d'environnement d'utilisateur est constitué de paramètres de travail qui sont chargés
par le système, lors d'une ouverture de session, pour un utilisateur donné.

Parmi ces paramètres figurent ceux qui sont spécifiques à un utilisateur de l'environnement
Windows, c'est-à-dire :

Le profil de l’utilisateur et son emplacement. Il contient les couleurs de l'écran, les connexions
au réseau et aux imprimantes, les paramètres de la souris, les raccourcis, la taille et la position
des fenêtres.

Le script d’ouverture de session.

Le répertoire de base, et son chemin local ou réseau.

- 30 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4.3.1 Spécification d'un emplacement pour un profil utilisateur

Permet de taper un chemin d'accès réseau lors de l'activation d'un profil utilisateur errant ou
obligatoire pour un utilisateur sélectionné.

Le chemin d'accès que vous tapez respecte le format suivant :

\\Nom de serveur\Nom de partage dossier des profils\Nom du sous dossier.

4.3.2 Nom du script d’ouverture de session.

Vous pouvez spécifier le Nom d’un script d’ouverture de session. Ce script pourra être un fichier
exécutable au format BAT (fichier de commandes au format 16 bits) CMD (fichier de commandes
au format 32 bits) ou EXE (fichier exécutable compilé).

Vous n’avez pas a donner le chemin d’accès de ce script car celui ci est toujours stocké dans le
même dossier. A l'ouverture de session, le serveur chargé d'authentifier celle-ci localise le script
d'ouverture de session (s'il existe) en recherchant le fichier spécifié à la suite du chemin du script
d'ouverture de session local de ce serveur ( %systemRoot%\System32\Repl\Import\Scripts). Si
un chemin relatif est spécifié avant le nom de fichier (par exemple, dossier\Durand.bat), le
serveur recherche le script d'ouverture de session dans ce sous-répertoire du chemin du script
d'ouverture de session.

- 31 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarques :

Le script d’ouverture de session doit se trouver sur le contrôleur de domaine qui valide la
demande d’ouverture de session de l’utilisateur. Pour synchroniser les scripts qui se trouve sur
les différents serveur vous devez mettre en œuvre la duplication de répertoires.

Les ordinateurs exécutant Client MS-DOS pour les réseaux Microsoft (version 3.0), Windows NT
pour Workgroups, Windows NT version 3.1 et LAN Manager 2.x doivent utiliser l'extension de
nom de fichier.bat.

4.3.3 Répertoire de base

C’est un répertoire qui est utilisé par défaut pour enregistrer des fichiers par les applications qui
ne définissent pas de répertoire de travail. Par exemple si vous créez un fichier avec le Bloc-note
son enregistrement aura lieu, par défaut dans ce répertoire ; par contre les produits du Pack
Office possèdent leur propre répertoire qui est par défaut le dossier Personnel du profil de
l'utilisateur.

Le répertoire de base peut être un répertoire local sur l'ordinateur de l'utilisateur ou un répertoire
partagé sur le réseau. Il peut être attribué à un ou plusieurs utilisateurs.

Si le répertoire de base doit être placé sur un serveur, vous devez d'abord créer le partage, puis
ajouter au compte de l'utilisateur le chemin d'accès du partage (y compris le nom du répertoire de
base).

En règle générale, le Gestionnaire des utilisateurs pour les domaines crée le répertoire de base si
vous lui attribuez un chemin d'accès. La formulation sera de type UNC \\NomMachine ou
adresse IP\NomPartage\SousDossier, cette connexion sera visible dans l’explorateur avec
l’affectation de la lettre que vous avez choisi d’affecter.

Si vous ne le faites pas, un message s'affiche vous demandant de créer manuellement le


répertoire. Si vous n'attribuez pas de répertoire de base à un compte d'utilisateur, le système
utilise le répertoire de base local par défaut
(%systemRoot%\Profiles\NomUtilisateur\Personnel sur le lecteur local de l'utilisateur où
Windows NT Workstation version 4.0 ou Windows NT Server version 4.0 est installé).

- 32 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Dans le cas ou vous voudriez créer un répertoire de base pour plusieurs utilisateurs. Sélectionner
les tous puis utiliser la variable %username% pour remplacer le nom de dossier. Un dossier sera
créé portant le nom de l'utilisateur.

4.4 GESTION DES HORRAIRES D'ACCES


Par défaut les utilisateurs sont autorisés à se connecter 24 heures sur 24, 7 jours sur 7. Si vous
souhaitez limiter ces heures, utilisez la boîte de dialogue Caractéristiques de l'utilisateur et
choisissez la bouton Horaires.

Remarque :

Si l'utilisateur s'est connecté à un serveur et que les heures d'ouverture de session sont
dépassées, il sera soit déconnecté des serveurs, soit autorisé à rester connecté, mais il lui sera
interdit d'établir de nouvelles connexions, en fonction de l'état d'une option de la boîte de
dialogue Stratégie de compte.

4.5 GESTION DES ACCES AUX STATIONS DE TRAVAIL


La boîte de dialogue Station de travail accessibles vous permet de limiter les stations de travail
à partir desquelles des utilisateurs peuvent ouvrir des sessions en utilisant des comptes de
domaine.
Par défaut, un utilisateur est autorisé à ouvrir une session depuis n'importe quelle station de
travail du domaine.

- 33 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour gérer les stations de travail d'accès :

Choisissez le bouton "Accès depuis" de la boîte de dialogue Nouvel utilisateur.

Sélectionnez une des options d'accès.

Si vous avez sélectionné l'option "L'utilisateur peut ouvrir une session sur ces stations de
travail", tapez les noms d'ordinateur voulus dans les zones numérotées (le nombre de ces noms
doit être compris entre 1 et 8).

Choisissez "OK".

4.6 GESTION DES INFORMATIONS SUR LES COMPTES


La boîte de dialogue Informations sur le compte permet de spécifier une date d'expiration de
compte (le cas échéant) et un type de compte pour les comptes d'utilisateur sélectionnés.

4.6.1 Date d’expiration

Pour choisir une date d’expiration


Choisissez le bouton "Compte" de la boîte de dialogue Nouvel utilisateur.
Dans le groupe "Date d'expiration", sélectionnez "Aucune" ou "Fin de".
Si vous avez sélectionné "Fin de", précisez une date d'expiration dans la zone "Fin de".

Remarque :

- 34 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Un compte assorti d'une date d'expiration est désactivé automatiquement à la fin du jour fixé.
Lorsqu'un compte expire, l'utilisateur qui est connecté le demeure, mais il ne peut pas établir de
nouvelles connexions sur le réseau. Une fois la session fermée, l'utilisateur ne peut plus ouvrir
une nouvelle session. (Les comptes expirés ne sont pas supprimés, mais seulement désactivés).

4.6.2 Type de compte

Vous avez le choix entre deux types de comptes, global ou local.


Compte global
Un compte global ( )est un compte d'utilisateur normal dans le domaine de base de
l'utilisateur. La plupart des comptes sont par défaut des comptes globaux. Si plusieurs domaines
sont disponibles, il est préférable que chaque utilisateur du réseau n'ait qu'un seul compte global
et ce, dans un domaine uniquement, de sorte que l'utilisateur ait un seul mot de passe.

Compte local
Un compte local ( )est un compte fourni dans ce domaine pour un utilisateur dont le compte
habituel ne se trouve pas dans un domaine approuvé. Il peut s'agir d'un domaine Windows NT
Server qui n'est pas approuvé par ce domaine, d'un domaine LAN Manager ou d'un autre type de
domaine ou de réseau.

Les compte locaux peuvent être utilisés pour accéder à des ordinateurs exécutant Windows NT
Workstation ou Windows NT Server sur le réseau et peuvent se voir accorder des permissions
d'accès aux ressources et des droits d'utilisateur. Cependant, les comptes locaux ne peuvent pas
être utilisés pour ouvrir une session de façon interactive. Les comptes locaux créés dans un
domaine ne peuvent pas être utilisés dans des domaines autorisés à approuver et ne figurent
pas dans les boîtes de dialogue Ajouter des utilisateurs et des groupes de ces derniers.

Il est recommandé qu'un compte local utilise le même mot de passe dans son compte local et
dans son domaine de base.

Remarque :

Par défaut les comptes sont des comptes globaux. Affectez des comptes locaux seulement
quand il n'existe pas de relation d'approbation avec le domaine de base de l'utilisateur.

4.7 GESTION DES INFORMATIONS DE NUMEROTATION


Permet d'accorder aux utilisateurs la permission d'utiliser l'Accès réseau à distance afin de se
connecter au réseau. Pendant l'administration d'un domaine ou d'un groupe de serveurs, vous
pouvez définir des permissions pour l'ensemble du domaine. Pendant l'administration d'une
station de travail ou d'un serveur membre, vous pouvez attribuer des permissions uniquement
pour cet ordinateur.

- 35 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Choix Signification

Lorsqu'elle est sélectionnée, cette option attribue la permission à


Accorder les permissions
l'utilisateur sélectionné. Vous pouvez retirer la permission à
d'appel à l'utilisateur
l'utilisateur sélectionné en cliquant pour désactiver la case à cocher.

Permet de définir le rappel pour un compte d'utilisateur.

Pour désactiver le rappel pour un compte d'utilisateur, cliquez sur


Pas de rappel (option par défaut).

Pour que le serveur demande un numéro à l'utilisateur, cliquez sur


Défini par l'appelant. Le serveur rappelle l'utilisateur au numéro
Rappel donné par celui-ci et assume donc les frais de communication de la
session.

Pour que le serveur appelle l'utilisateur à un numéro de téléphone


permanent, cliquez sur Prédéfini au, puis tapez ce numéro. Le
serveur rappellera l'utilisateur uniquement à ce numéro, ce qui
diminue le risque d'utilisation du compte de l'utilisateur par une
personne non autorisée.

Remarques :

N'attribuez pas de permission de rappel aux utilisateurs qui se connectent au réseau via un
standard.

Prédéfini au interfère avec la possibilité de faire des appels à liaisons multiples si l'équipement
de l'utilisateur requiert plusieurs numéros de téléphone pour le groupe de lignes à liaisons
multiples.

- 36 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4.8 CREATION D’UN COMPTE UTILISATEUR A PARTIR DE L’INVITE DE COMMANDE

La commande Net User ajoute ou modifie des comptes d'utilisateur, ou bien affiche des
informations concernant les comptes d'utilisateur. Cette commande peut également s'écrire net
users. La syntaxe de la commande est la suivante :

net user [nom d'utilisateur [mot de passe | *] [options]] [/domain]


net user nom d'utilisateur {mot de passe | *} /add [options]
net user nom d'utilisateur [/delete]

Liste des paramètres :

Tapez net user sans paramètres pour afficher la liste des comptes d'utilisateur sur l'ordinateur.

NOM D'UTILISATEUR. Nom du compte d'utilisateur à ajouter, supprimer, modifier ou afficher.


Longueur maximale : 20 caractères.

MOT DE PASSE. Définit ou change le mot de passe du compte d'utilisateur. Le mot de passe
doit satisfaire au critère de longueur minimale établi par l'option /minpwlen de la commande net
accounts et ne peut dépasser 14 caractères de long.

*. Crée une invite pour le mot de passe. Ce dernier n'est pas affiché lorsque vous le tapez après
l'invite.

/DOMAIN. Effectue l'opération sur le contrôleur principal de domaine du domaine principal de


l'ordinateur. Ce paramètre s'applique uniquement aux ordinateurs Windows NT Workstation qui
font partie d'un domaine Windows NT Server. Les ordinateurs Windows NT Server exécutent par
défaut les opérations sur le contrôleur principal de domaine.

Remarque :

Cette action est exécutée sur le contrôleur principal de domaine du domaine principal de
l'ordinateur. Celui-ci ne correspond pas forcément au domaine sur lequel vous avez ouvert une
session.

/ADD. Ajoute un compte d'utilisateur à la base de données de comptes d'utilisateur (SAM).

/DELETE. Enlève un compte d'utilisateur de la base de données de comptes d'utilisateur (SAM).

Liste des options :

/ACTIVE:{NO | YES}. Désactive ou active le compte d'utilisateur. Si le compte d'utilisateur n'est


pas actif, l'utilisateur ne peut pas accéder aux ressources sur l'ordinateur. Paramètre par défaut :
yes (actif).

/COMMENT:"TEXTE". Donne une description du compte d'utilisateur. Longueur maximale : 48


caractères. Doit être tapé entre guillemets (" ").

/COUNTRYCODE:NNN. Utilise les codes de pays du système d'exploitation pour mettre en


application les fichiers langue spécifiés pour les messages d'aide et d'erreur destinés à
l'utilisateur. La valeur 0 représente le code de pays par défaut.

- 37 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/EXPIRES:{DATE | NEVER}. Si une date est fixée, elle détermine l'expiration du compte
d'utilisateur ; si vous choisissez never , le compte d'utilisateur n'est sujet à aucune limite de
durée. Les dates d'expiration peuvent s'écrire en format mm,jj,aa ou jj,mm,aa, selon la valeur de
l'option /countrycode spécifiée.

Remarque :

le compte expire au début de la date indiquée. Les mois peuvent être représentés par leur
numéro, leur nom ou leur abréviation en trois lettres. Les années peuvent être exprimées par 2
ou 4 chiffres. Servez-vous de virgules ou de barres obliques (mais pas d'espaces vides) pour
séparer les éléments de la date. Si vous omettez aa, la date retenue correspond à la prochaine
fois que la date spécifiée se présentera (selon le calendrier-horloge de votre ordinateur). Par
exemple, les dates suivantes sont équivalentes si elles sont entrées entre le 10 janvier 1994 et le
8 janvier 1995 : 9,jan, 9/1/95, 9,janvier,1995, 9/1

/FULLNAME:"NOM". Ajoute le nom complet d'un utilisateur au lieu de son nom d'utilisateur.
Tapez le nom entre guillemets (" ").

/HOMEDIR:CHEMIN. Définit le chemin d'accès au répertoire de base de l'utilisateur. Le chemin


doit exister.

/HOMEDIRREQ:{YES | NO}. Spécifie si un répertoire de base est ou non exigé.

/PASSWORDCHG:{YES | NO}. Spécifie si les utilisateurs peuvent ou non changer leur propre
mot de passe. Paramètre par défaut : yes.

/PASSWORDREQ:{YES | NO}. Spécifie si un compte d'utilisateur doit ou non avoir un mot de


passe. Paramètre par défaut : yes.

/PROFILEPATH[:CHEMIN]. Définit un chemin pour le profil d'accès de l'utilisateur. Ce chemin


mène à un profil de registre.

/SCRIPTPATH:CHEMIN. Définit un chemin pour le script d'accès de l'utilisateur. Le chemin par


défaut est établi dans le Gestionnaire de serveur.

/TIMES:{HORAIRE | ALL}. Précise quand l'utilisateur est autorisé à employer l'ordinateur. Ce


paramètre est exprimé en jour[-jour][,jour[-jour]] ,heure[-heure][,heure[-heure]] et limité à des
incréments d'une heure. Les noms des jours peuvent être écrits en entier ou abrégés (L, M, Me,
J, V, S, D) et les heures peuvent s'écrire en notation 12 ou 24 heures. Pour la notation 12
heures, utilisez AM, PM ou A.M., P.M. Avec la valeur all, un utilisateur peut accéder au serveur
tous les jours et à toute heure. Une valeur nulle (vide) signifie qu'un utilisateur ne peut jamais
ouvrir de session. Séparez les jours et les heures par des virgules et les ensembles jour-heure
par des points-virgules (par exemple, L,4AM-5PM;M,1PM-3PM). N'utilisez pas d'espaces vides
dans la définition de /times.

/USERCOMMENT:"TEXTE". Permet à un administrateur d'ajouter ou de changer le


"Commentaire utilisateur" pour le compte. Placez le texte entre guillemets (" ").

/STATIONS DE TRAVAIL:{NOM D'ORDINATEUR[,...] | *}. Indique les stations de travail (8


maximum) à partir desquelles un utilisateur peut ouvrir une session réseau. Séparez les entrées

- 38 -
ESAT/DMSI/SYS Administration Windows NT Serveur

multiples de la liste par des virgules. Si /stations de travail ne contient pas de liste, ou si la liste
est représentée par un astérisque (*), l'utilisateur peut ouvrir une session à partir de n'importe
quel ordinateur.

4.8.1 Exemples

Afin d'ajouter un compte d'utilisateur pour Henri Dupont, lui donnant droit d'accès de 8 à 17 h du
lundi au vendredi (pas d'espaces dans les définitions de temps), avec un mot de passe
obligatoire et le nom véritable de l'utilisateur, tapez

net user henrid henrid /add /passwordreq:yes /times:lundi-vendredi,8am-


5pm/fullname:"Henri Dupont"

Le nom d'utilisateur (henrid) est entré la deuxième fois en tant que mot de passe.

Afin de spécifier comme heures d'accès 14 à 17 h le lundi, 13 à 15 h le mardi et 8 h à 17 h du


mercredi au vendredi pour mariel, tapez

net user mariel /time:L,4am-5pm;M,1pm-3pm;Me-V,8:00-17:00

- 39 -
ESAT/DMSI/SYS Administration Windows NT Serveur

5 GESTION DES GROUPES

5.1 STRATEGIES D'UTILISATION DES GROUPES


Un groupe local constitue une seule entité de sécurité qui peut recevoir le droit d'accéder à de
nombreux objets regroupés à un seul emplacement (un domaine, une station de travail ou un
serveur membre), et ainsi éviter d'avoir à changer individuellement les permissions définies pour
ces différents objets.

Au moyen des groupes locaux, vous pouvez regrouper des comptes d'utilisateur auxquels vous
pourrez attribuer les permissions qui leur permettront d'utiliser des objets sur plusieurs domaines
et stations de travail.
Par exemple, dans le cas de plusieurs domaines, vous pouvez considérer les groupes globaux
comme des moyens permettant d'ajouter des utilisateurs dans des groupes locaux appartenant à
des domaines autorisés à approuver. Pour étendre les droits et permissions des utilisateurs aux
ressources d'autres domaines, ajoutez leurs comptes dans un groupe global de votre domaine,
puis ajoutez ce groupe dans un groupe local d'un domaine autorisé à approuver.

Même dans le cas d'un seul domaine, si vous gardez à l'esprit que des domaines seront peut-
être ajoutés ultérieurement, vous pouvez utiliser des groupes globaux ajoutés dans des groupes
locaux pour accorder tous les droits et permissions. Si, plus tard, vous créez un autre domaine,
vous pouvez appliquer les droits et permissions octroyés à vos groupes locaux aux utilisateurs du
nouveau domaine en créant une relation d'approbation et en ajoutant dans vos groupes locaux
des groupes globaux appartenant au nouveau domaine. De même, si le nouveau domaine
approuve votre domaine, vos groupes globaux peuvent être ajoutés dans des groupes locaux du
nouveau domaine.

Les groupes globaux de domaine peuvent également servir à des fins administratives sur des
ordinateurs exécutant Windows NT Workstation ou sur des serveurs membres exécutant
Windows NT Server. Par exemple, le groupe global Admins du domaine est ajoute par défaut
dans le groupe local Administrateurs intégré sur chaque station de travail ou serveur qui se joint
au domaine existant. L'appartenance au groupe Administrateurs local d'une station de travail ou
d'un serveur membre permet à l'administrateur de réseau de gérer l'ordinateur à distance, en
créant des groupes de programmes, en installant des logiciels et en résolvant les problèmes de
l'ordinateur.

Le tableau suivant donne des directives sur l'utilisation de groupes globaux et locaux.

Objet du groupe Utilisation Commentaires

Regrouper les utilisateurs de ce domaine Le groupe global peut être ajouté dans
dans une seule entité en vue de l'utiliser des groupes locaux ou recevoir des
Global
dans d'autres domaines ou stations de permissions et des droits directement
travail d'utilisateurs dans d'autres domaines.

- 40 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Objet du groupe Utilisation Commentaires

Le groupe local peut contenir des


Nécessite des permissions et des droits utilisateurs et des groupes globaux
Local
uniquement dans un domaine appartenant à ce domaine et d'autres
domaines.

Nécessite des permissions sur des Les groupes globaux d'un domaine
ordinateurs exécutant Windows NT peuvent recevoir des permissions sur ces
Global
Workstation ou sur des serveurs ordinateurs, contrairement aux groupes
membres locaux d'un domaine.

Le groupe local ne peut contenir que des


groupes globaux (et des utilisateurs),
Contient d'autres groupes Local
mais aucun groupe ne peut contenir
d'autres groupes locaux.

Le groupe local ne peut être utilisé que


dans le domaine où il a été créé. Si vous
devez être en mesure d'affecter des
Contient des utilisateurs appartenant à permissions à ce groupe local dans
Local
plusieurs domaines plusieurs domaines, il vous faudra créer
manuellement le groupe local dans
chacun des domaines où vous voulez
l'utiliser.

5.2 LES GROUPES LOCAUX

5.2.1 création d’un groupe local.

Démarrez le Gestionnaire des utilisateurs pour les domaines.


Sélectionnez le ou les compte(s) d’utilisateur devant constituer les membres initiaux du nouveau
groupe. Dans le menu Utilisateur, choisissez la commande Nouveau groupe local.

Dans la zone Non de groupe, tapez le nom du nouveau groupe


Dans la zone Description, tapez une description du nouveau groupe.

- 41 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Cliquez sur OK.

5.2.2 copie d’un groupe local.

Sélectionner le groupe que vous voulez copier.

Dans le menu utilisateur cliquez sur la commande Copier.

La fenêtre nouveau groupe local apparaît. Donner un nom au groupe nouvellement créé. Ce
groupe possède les mêmes propriétés et les mêmes utilisateurs que celui qui a été sélectionné.

Cliquez sur OK

5.2.3 Ajouter des utilisateurs et des groupes

Pour ajouter des utilisateurs ou des groupes globaux à un groupe local, cliquez sur Ajouter dans
la fenêtre Nouveau groupe local. La fenêtre Ajouter des utilisateurs et des groupes apparaît.

Le champ Lister les noms de contient la liste des noms de domaine et d'ordinateur et affiche le
nom sélectionné. Lorsqu'un astérisque (*) s'affiche en regard d'un nom de domaine ou
d'ordinateur, les groupes locaux de ce domaine ou de cet ordinateur peuvent être répertoriés
dans la liste Noms.
L'absence d'astérisque signifie qu'il n'est pas possible de répertorier ces groupes locaux.

Sélectionner les utilisateurs ou les groupe globaux que vous voulez copier.

Cliquez sur Ajouter.

Validez par OK.

- 42 -
ESAT/DMSI/SYS Administration Windows NT Serveur

5.2.4 Supprimer un groupe local

Sélectionnez le groupe que vous voulez supprimer.

Dans le menu utilisateur cliquez sur la commande supprimer.

Confirmez la suppression en Cliquant sur OK.

Cliquez sur Oui, le groupe local est supprimé.

5.2.5 Opération sur les groupes locaux à partir de l’invite de commande

La commande Net localgroup sert à ajouter, afficher ou modifier des groupes locaux.
net localgroup [nom_groupe [/comment:"texte"]] [/domain]
net localgroup nom_groupe {/add [/comment:"texte"] | /delete} [/domain]
net localgroup nom_groupe nom [ ...] {/add | /delete} [/domain]
Liste des paramètres :
Tapez net localgroup sans paramètres pour afficher le nom du serveur et les noms des groupes
locaux figurant sur l'ordinateur.
NOM_GROUPE. Nom du groupe local à ajouter, développer ou supprimer. Indiquez simplement
un nom_groupe pour afficher la liste des utilisateurs ou des groupes globaux qui font partie du
groupe local.
/COMMENT:"TEXTE". Ajoute un commentaire au sujet d'un groupe nouveau ou existant. Le
commentaire peut être d'une longueur maximale de 48 caractères. Entourez le texte de
guillemets (" ").
/DOMAIN. Exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local.

- 43 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Ce paramètre ne s'applique qu'aux ordinateurs Windows NT Workstation qui font partie d'un
domaine Windows NT Server. Les ordinateurs Windows NT Server exécutent par défaut les
opérations sur le contrôleur principal de domaine.
NOM [ ...]. Indique un ou plusieurs noms d'utilisateur ou de groupe à ajouter dans un groupe
local ou à supprimer. Séparez les entrées multiples par un espace. Les noms peuvent
correspondre à des utilisateurs locaux, des utilisateurs d'autres domaines ou des groupes
globaux, mais pas à d'autres groupes locaux. Si un utilisateur est sur un autre domaine, faites
précéder le nom d'utilisateur par le nom du domaine (par exemple, NOC\Durand).
/ADD. Ajoute un nom de groupe global ou d'utilisateur à un groupe local. Il faut qu'un compte soit
établi pour les utilisateurs ou les groupes globaux avant qu'ils soient ajoutés à un groupe local
par cette commande.
/DELETE. Enlève un nom de groupe ou d'utilisateur d'un groupe local.
Exemples :
Pour ajouter le groupe local Operateur à la base de données des comptes d'utilisateur (SAM)
locale, tapez
net localgroup Operateur /add
Pour ajouter le groupe local Operateur à la base de données des comptes d'utilisateur (SAM) du
domaine Windows NT Server, tapez
net localgroup Operateur /add /domain
Pour ajouter les comptes d'utilisateur déjà existants Durand, Jacques et Paul au groupe
Operateur d'un domaine Windows NT Server, tapez
net localgroup Operateur Durand Jacques Paul /add /domain

5.3 LES GROUPES GLOBAUX


Un groupe global peut être ajouté au système soit par création, soit par copie.

5.3.1 création d’un groupe global.

Démarrez le Gestionnaire des utilisateurs pour les domaines.


Sélectionnez le ou les compte(s) d’utilisateur devant constituer les membres initiaux du nouveau
groupe.
Dans le menu Utilisateur, choisissez la commande Nouveau groupe global.

- 44 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans la zone Non de groupe, tapez le nom du nouveau groupe

Dans la zone Description, tapez une description du nouveau groupe.

Cliquez sur OK.

5.3.2 copie d’un groupe global.

Sélectionner le groupe que vous voulez copier.

Dans le menu utilisateur cliquez sur la commande Copier.

La fenêtre nouveau groupe global apparaît. Donner un nom au groupe nouvellement créé. Ce
groupe possède les mêmes propriétés et les mêmes utilisateurs que celui qui a été sélectionné.
Vous pouvez ajouter des utilisateurs à ce groupe.

Cliquez sur OK

5.3.3 Ajouter des utilisateurs

Pour ajouter des utilisateurs à un groupe global.

double cliquez sur le groupe global sélectionné.

Sélectionner les utilisateurs que vous voulez copier.

Cliquez sur Ajouter.

Validez par OK

5.3.4 Supprimer un groupe global

Sélectionnez le groupe que vous voulez supprimer.

Dans le menu utilisateur cliquez sur la commande supprimer.

- 45 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Confirmez la suppression en Cliquant sur OK.

Cliquez sur Oui, le groupe global est supprimé.

5.3.5 Opération sur les groupes globaux à partir de l’invite de commande

La commande Net group ajoute, affiche ou modifie des groupes globaux sur les domaines
Windows NT Server. Cette commande n'est disponible que pour les domaines de ce type.
net group [nom_groupe [/comment:"texte"]] [/domain]
net group nom_groupe {/add [/comment:"texte"] | /delete} [/domain]
net group nom_groupe nom_utilisateur[ ...] {/add | /delete} [/domain]

Liste des paramètres :

Tapez net group sans paramètres pour afficher le nom d'un serveur et les noms des groupes
figurant sur ce serveur.

NOM_GROUPE. Nom du groupe à ajouter, développer ou supprimer. Indiquez simplement un


nom de groupe pour afficher la liste des utilisateurs qui en font partie.

/COMMENT:"TEXTE". Ajoute un commentaire relatif à un groupe nouveau ou déjà existant. La


longueur maximale d'un texte est de 48 caractères. Placez-le entre guillemets (" ").

/DOMAIN. Exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local.

Ce paramètre ne s'applique qu'aux ordinateurs Windows NT Workstation qui font partie d'un
domaine Windows NT Server. Les ordinateurs Windows NT Server exécutent par défaut les
opérations sur le contrôleur principal de domaine .

NOM_UTILISATEUR[ ...]. Indique un ou plusieurs noms d'utilisateur à ajouter dans un groupe ou


à enlever. S'il y a plusieurs noms d'utilisateur, séparez-les par un espace.

/ADD. Ajoute un groupe ou ajoute un nom d'utilisateur à un groupe. Il faut qu'un compte soit
établi pour chacun des utilisateurs ajoutés à un groupe par cette commande.

- 46 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/DELETE. Supprime un groupe, ou supprime un nom d'utilisateur d'un groupe.

Exemples :
Pour ajouter les comptes d'utilisateur déjà existants Pierre, Virginie et isabelle au groupe
Cadres sur l'ordinateur local, tapez

net group Cadres Pierre Virginie isabelle /add

Pour ajouter les comptes d'utilisateur déjà existants Pierre, Virginie et isabelle au groupe
Cadres d'un domaine Windows NT Server à partir d'un ordinateur sur lequel le logiciel Windows
NT Workstation est installé, tapez

net group Cadres Pierre Virginie isabelle /add /domain

- 47 -
ESAT/DMSI/SYS Administration Windows NT Serveur

6 STRATEGIES DE SECURITE
Les stratégies de sécurité sont présentes au niveau des comptes utilisateurs et au niveau des
comptes de groupe.
On peut sous Windows NT Server définir trois stratégies différentes.

Stratégie de compte :
 Définit la façon de gérer les mots de passe.
 Contrôle les accès à la station.

Stratégie des droits de l’utilisateur :


 Contrôle les droits de l’utilisateur sur l’ordinateur.
 Contrôle les droits des comptes de groupes sur l’ordinateur.

Audit :
 Définit les types de contrôles à effectuer et à enregistrer.

6.1 STRATEGIE DE COMPTE


Pour paramétrer la stratégie de compte la procédure est la suivante

1. Démarrez le Gestionnaire des utilisateurs des domaines.

2. Dans le menu Stratégie, cliquez sur Compte. La fenêtre Stratégie de compte s’ouvre.

Cette fenêtre contient tous les paramètres pouvant s’appliquer à la sécurité de tous les comptes
utilisateur y compris celui de l’administrateur. Vous pouvez, en utilisant la commande net
accounts visualiser ces informations.

- 48 -
ESAT/DMSI/SYS Administration Windows NT Serveur

6.1.1 La limitation du mot de passe.

Choix Option

Définit une période de validité au terme de laquelle


l’utilisateur doit changer de mot de passe. Vous
Durée maximale du mot de passe.
pouvez taper une valeurs comprise entre 1 et 999
jours. Par défaut les comptes expirent dans 42 jours

Définit une période minimale de validité au terme de


laquelle l’utilisateur peut changer de mot de passe.
Durée minimale du mot de passe.
Vous pouvez taper une valeur comprise entre 1 et
999 jours.

Autorise, pas de mot de passe, ou un mot de passe


Longueur minimale du mot de passe.
de 1 à 14 caractères.
Pas d’historique, ou un enregistrement du 1er au 24ème
Unicité du mot de passe.
derniers mots de passe utilisé.

Vous pouvez par la commande Net accounts associée aux paramètres adéquates réaliser les
mêmes fonctions. Le service Accès réseau doit être en cours d'exécution sur l'ordinateur pour
lequel vous désirez modifier les paramètres de compte. La syntaxe est la suivante :

net accounts [/forcelogoff:{minutes | no}] [/minpwlen:longueur] [/maxpwage:{jours | unlimited}]


[/minpwage:jours] [/uniquepw:nombre] [/domain]
Liste des options :

/MINPWLEN:LONGUEUR Fixe le nombre minimal de caractères pour le mot de passe d'un


compte d'utilisateur. Plage : 0 à 14 caractères ; longueur par défaut : 6 caractères.

net accounts /minpwlen:7

/MAXPWAGE:{JOURS | UNLIMITED} fixe la durée maximale de validité (en jours) du mot de


passe d'un compte d'utilisateur. Avec unlimited, il n'y a pas de durée maximale. L'option
/maxpwage doit avoir une valeur supérieure à celle de /minpwage. Plage : 1 à 49 710 jours
(unlimited) ; durée par défaut : 90 jours.

net accounts /maxpwage:30

- 49 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/MINPWAGE:JOURS fixe le délai minimal (en jours) devant s'écouler avant qu'un utilisateur
puisse changer le mot de passe. La valeur 0 ne fixe pas de délai minimal. Plage : 0 à 49 710
jours ; valeur par défaut : 0.

Net accounts /minpwage:10

/UNIQUEPW:NOMBRE Interdit à un utilisateur de reprendre le même mot de passe pendant


nombre changements de mot de passe. Plage : 0 à 8 ; valeur par défaut : 5.

Net accounts /UNIQUEPW:3

/DOMAIN exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local. Ce paramètre s'applique uniquement aux
ordinateurs Windows NT Workstation qui font partie d'un domaine Windows NT Server. Par
défaut, les ordinateurs Windows NT Server exécutent les opérations sur le contrôleur principal de
domaine.

Par exemple :

Net accounts /minpwlen :8 /maxpwage :30 /minpwage:10 /domain

fait expirer le mot de passe de tous les utilisateurs dans 30 jours, autorise un modification après
10 jours et spécifie un longueur minimale de 8 caractères pour le mot de passe. Pour effectuer la
tâche précédente sur un ordinateur Windows NT Workstation et s'assurer que les paramètres
entrent en vigueur sur le domaine Windows NT Server auquel est connecté l'ordinateur, l’option
/domain est ajoutée.

6.1.2 Verrouillage de compte.

Pas de verrouillage de compte

Si cette option est sélectionnée, les comptes d'utilisateur ne sont jamais verrouillés, quelque soit
le nombre de tentatives d'accès infructueuses sur un compte d'utilisateur.

Verrouillage de compte

Si cette option est sélectionnée, tous les comptes d'utilisateur sont soumis au verrouillage. Un
compte d'utilisateur sera verrouillé après un certain nombre de tentatives d'accès infructueuses à
l'intérieur du délai de réponse spécifié. Un compte verrouillé ne peut pas ouvrir de session.
Si vous sélectionnez l'option Verrouillage de compte, procédez comme suit :

1. Dans la zone Verrouillage après, tapez le nombre de tentatives d'accès infructueuses


autorisé avant le verrouillage du compte. La plage est de 1 à 999.

2. Dans la zone Réinitialiser le compte après, tapez le nombre maximal de minutes autorisé
entre deux tentatives d'accès avant le verrouillage du compte. La plage est de 1 à 99999.

3. Cliquez sur l'option Durée et tapez en minutes le délai pendant lequel les comptes resteront
verrouillés avant le déverrouillage automatique. La plage est de 1 à 99999.
- ou -
4. Cliquez sur l'option Permanente dans la zone Durée de verrouillage

- 50 -
ESAT/DMSI/SYS Administration Windows NT Serveur

afin que les comptes verrouillés le demeurent jusqu'à ce qu'un administrateur les
déverrouille.

6.1.3 Les utilisateurs doivent ouvrir une session pour changer de mot de passe

Si cette option est sélectionnée, les utilisateurs doivent ouvrir une session avant de changer de
mot de passe. A l'expiration du mot de passe de l'utilisateur, celui-ci ne pourra pas le changer ;
l'administrateur devra s'en charger.

Si cette option est désactivée, les utilisateurs peuvent changer de mot de passe sans en avertir
l'administrateur.

6.1.4 Déconnection de force des utilisateurs

Lorsque l'option Déconnecter de force les utilisateurs distants du serveur lorsque l'horaire
d'accès est dépassé est activée, elle permet déconnecte un compte d'utilisateur de tous les
serveurs du domaine une fois dépassés ses horaires d'ouverture de session.
Lorsqu'elle est désactivée, elle n'autorise pas le compte d'utilisateur à établir de nouvelles
connexions une fois dépassés ses horaires d'ouverture de session, mais elle ne le déconnecte
pas. Déconnecter de force les utilisateurs distants du serveur lorsque l'horaire d'accès est
dépassé
Cette option entre en interaction avec les horaires d'accès définis pour un compte d'utilisateur.

La commande Net accounts suivie de option /forcelogoff:{minutes | no} permet par


l’invite de commande de réaliser cette fonction.

L’option / FORCELOGOFF:{MINUTES | NO} définit le délai (en minutes) devant s'écouler avant
que ne soit fermée la session d'un utilisateur sur un serveur lorsque le compte utilisateur ou le
temps d'ouverture de session valide expire. L'option NO empêche la fermeture forcée de la
session ; elle constitue l'option par défaut.

Lorsque l'option /FORCELOGOFF:MINUTES est utilisée, Windows NT envoie un avertissement


en minutes avant de déconnecter l'utilisateur du réseau. Si des fichiers sont ouverts, Windows NT
en avertit l'utilisateur. Quand MINUTES est inférieur à 2, Windows NT avertit l'utilisateur pour qu'il
ferme immédiatement sa session sur le réseau.

6.2 STRATEGIE DES DROITS DE L’UTILISATEUR.


La stratégie des droits de l'utilisateur gère l'attribution de droits aux groupes et aux comptes
d'utilisateurs.

Un droit autorise un utilisateur à effectuer certaines actions sur le système. Lorsqu'un utilisateur
n'a pas les droits requis, Windows NT bloque toute tentative d'exécution de ces actions. Les
droits s'appliquent à l'ensemble du système et sont différents des permissions, qui ne
s'appliquent qu'à des objets spécifiques.

Les droits attribués à un groupe sont accordés aux membres de ce groupe. Dans la plupart des
cas, le moyen le plus simple d'accorder des droits à un utilisateur consiste à ajouter le compte de
ce dernier à l'un des groupes intégrés possédant déjà les droits nécessaires, plutôt qu'à gérer la
stratégie des droits de l'utilisateur.

- 51 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour accéder aux stratégies des droits de l'utilisateur utiliser la commande Droits de l’utilisateur
dans le menu Stratégie du Gestionnaire des utilisateurs des domaines.

6.2.1 Liste des droits de l’utilisateur

La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.

Droits Signification

Autorise un utilisateur à se connecter à l'ordinateur via le


réseau.
Lors de l'administration d'un domaine, ce droit s'applique à
Accéder à l’ordinateur depuis le tous les contrôleurs du domaine.
réseau Lors de l'administration d'une station de travail, ce droit
s'applique uniquement à cette station de travail.
Ce droit est accordé par défaut aux groupes Administrateurs
et Tout le monde.

Permet à un utilisateur d'ajouter des stations de travail au


domaine. La station de travail devient ainsi capable de
reconnaître l'utilisateur du domaine et les comptes de groupe
global.
Ajouter des stations de travail au
Par défaut, les membres des groupes Administrateurs et
domaine
Opérateurs de compte d'un domaine peuvent ajouter des
stations de travail à un domaine, et ne peut pas leur être
enlevé. Ils peuvent aussi octroyer ce droit à d'autres
utilisateurs.

- 52 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Droits Signification

Permet à un utilisateur d'arrêter un ordinateur


Windows NT Workstation ou Windows NT Server.
Lors de l'administration d'un domaine, ce droit s'applique au
contrôleur principal et aux contrôleurs secondaires du
Arrêter le système domaine.
( SeShutdownPrivilege ) Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut aux groupes Administrateurs
et Opérateurs de compte, sauvegarde, serveur, et
d’impression.

Permet de charger et de décharger les pilotes de


périphériques résidant en mémoire centrale. Il devient donc
possible d’utiliser un pilote de périphérique de type cheval de
Troie pour exploiter le système, car il n’existe aucune
Charger et décharger des pilotes restriction de sécurité sur les pilotes de périphérique.
de périphériques Lors de l'administration d'un domaine, ce droit s'applique au
( SeLoadDriverPrivilege ) contrôleur principal et aux contrôleurs secondaires du
domaine.
Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut au groupe Administrateurs.

Forcer l’arrêt à partir d’un


système distant Non implémenté
( SeRemoteShutdownPrivilege )

Un utilisateur possédant ce droit peut utiliser l'onglet Sécurité


dans Propriétés pour spécifier les objets protégés par l'audit
ainsi que les utilisateurs, les groupes et les types d'accès qui
sont audités.
Ce droit n'affecte pas la configuration des événements de
sécurité qui doivent être audités à l'aide de la commande
Gérer le journal de sécurité et
Audit du menu Stratégies. Cette fonction est toujours réservée
d’audit
aux administrateurs.
(SeSecurityPrivilege)
Lors de l'administration d'un domaine, ce droit s'applique au
contrôleur principal et aux contrôleurs secondaires du
domaine.
Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut au groupe Administrateurs.

- 53 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Droits Signification

Autorise l'utilisateur à définir une heure pour l'horloge interne


de l'ordinateur.
Lors de l'administration d'un domaine, ce droit s'applique au
contrôleur principal et aux contrôleurs secondaires du
Modifier l’heure système
domaine.
( SeSystemTimePrivilege )
Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut aux groupes Administrateurs
et Opérateur de serveur.

Autorise un utilisateur à ouvrir une session sur l'ordinateur.


Lors de l'administration d'un domaine, ce droit s'applique au
contrôleur principal et aux contrôleurs secondaires du
domaine.
Ouvrir une session localement
Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut aux groupes Administrateurs
et Opérateurs de compte, sauvegarde, serveur, et
d’impression.

Autorise un utilisateur à s'approprier des fichiers, répertoires


et autres objets de l'ordinateur.
Lors de l'administration d'un domaine, ce droit s'applique au
Prendre possession des fichiers
contrôleur principal et aux contrôleurs secondaires du
et des objets
domaine.
( SeTakeOwnershipPrivilege)
Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut au groupe Administrateurs.

Ce droit supplante les permissions sur les fichiers et


répertoires.
Lors de l'administration d'un domaine, ce droit s'applique au
Restaurer des fichiers et des contrôleur principal et aux contrôleurs secondaires du
répertoires domaine.
( SeRestorePrivilege ) Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut aux groupes Administrateurs
et Opérateurs de sauvegarde et serveur.

Ce droit supplante les permissions sur les fichiers et


répertoires.
Lors de l'administration d'un domaine, ce droit s'applique au
Sauvegarder les fichiers et les contrôleur principal et aux contrôleurs secondaires du
répertoires domaine.
( SeBackupPrivilege ) Lors de l'administration d'une station ou d’un Serveur
membre, ce droit s'applique uniquement à cet ordinateur.
Ce droit est accordé par défaut aux groupes Administrateurs
et Opérateurs de sauvegarde et serveur.

- 54 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Outre les droits listés ci-dessus, certains droits d'utilisateur avancés sont aussi gérés à l'aide de
la Stratégie des droits de l'utilisateur. La plupart de ces droits ne sont utiles qu'aux
programmeurs qui écrivent des applications pour des ordinateurs exécutant
Windows NT Workstation ou Windows NT Server. Ils ne sont généralement pas accordés à un
groupe ou un utilisateur.

6.2.2 Droits de l’utilisateur avancé.

Les droit avancé des utilisateurs, comme les droits standards, sont affectés dans la boite de
dialogue Stratégie des droits de l’utilisateur. Vous pouvez visualiser les droits avancés en
cochant la case Afficher les droits avancés des utilisateurs.

La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.

Droits avancés Signification

C’est un des droits les plus puissant de Windows NT. Il


permet aux comptes qui en disposent d’agir comme une
partie approuvée du système d’exploitation et d’effectuer
Agir en tant que partie du
toute opération sans tenir compte des autres droits. Par
système d’exploitation
défaut, ce droit n’est accordé qu’à certaines parties du sous-
( SeTcbPrivilege )
système de Windows NT, des appels Win32API comme
LogonUser() et CreateProcessAsUser (), ont besoin d’être
exécutés avec ce droit.

Un utilisateur peut augmenter le niveau de priorité d’un


Augmenter la priorité de applicatif Win32. La configuration de processus avec des
planification priorités élevées entraîne un refus de temps système pour
(SeIncreaseBasePriorityPrivilege) d’autres processus de priorité inférieure, ce qui peut
éventuellement provoquer un déni de service.

Augmenter les quotas Accorde à une personne la possibilité d’augmenter les


(SeIncreaseQuotaPrivilege) quotas d’objet (non implémenté).
Créer des objets partagés Permet la création de partages permanents spéciaux qui
permanents sont utilisés régulièrement par Windows NT. Un exemple est
(SeCreatePermanentPrivilege) un périphérique système représenté par \\DEVICE.

Les utilisateurs peuvent créer un fichier d’échange en local.


Créer un fichier d’échange
Les fichiers d’échange servent à la mémoire virtuelle en
( SeCreatePageFilePrivilege )
environnement Windows NT.

Permet aux utilisateurs de créer un jeton d’accès de sécurité.


Créer un objet jeton
Ce droit ne doit être employé que par le système, les
( SeCreateTokenPrivilege )
processus ou les threads, jamais par un utilisateur.

- 55 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Droits avancés Signification

Permet aux utilisateurs de déboguer des objets de bas


Déboguer des programmes niveau, tels que les processus et les threads. En raison des
( SeDebugPrivilege ) pouvoirs attachés à ce droit, il ne doit être accordé qu’aux
développeurs sur les machines de développement.

Ce droit permet à un utilisateur d’exécuter un processus qui


Générer des audits de sécurité crée des entrées dans le journal de sécurité du système, qui
( SeAuditPrivilege ) peut être affiché avec l’observateur d’événements. Vous ne
pouvez auditer l’utilisation de ce droit.

Permet aux utilisateurs de modifier les variables


d’environnement système qui affectent certains programmes.
Par exemple dans la boîte de dialogue Priorités du système,
Modifier les valeurs
la variable ComSpec de l’onglet Environnement doit pointer
d’environnement de
sur CMD.EXE. Cependant, après modification, elle pourrait
microprogrammation
être amenée à pointer sur un programme de commande qui
(SeSystemEnvironmentPrivilege)
créera d’abord un nouveau compte d’utilisateur ayant le
privilège administrateur et exécutera ensuite CMD.EXE. Ce
droit ne doit être accordé qu’aux administrateurs.

Optimiser un processus Est un droit de réglages des performances qui permet de


(SeProfileSingleProcessPrivilege) surveiller la performance d’un processus de Windows NT.

Autorise un utilisateur à changer de répertoire et à se


déplacer dans les arborescences de répertoires de
Outrepasser le contrôle de
l'ordinateur, même si l'utilisateur n'a aucune permission
parcours
spécifique sur les répertoires traversés. Le droit Outrepasser
( SeChangeNotifyPrivilege )
le contrôle de parcours permet aux utilisateurs de configurer
Windows NT de façon conforme à la norme POSIX.

Autorise un processus à s'inscrire sur le système en tant que


service. Ces service s’exécutent en arrière plan sans
Ouvrir une session en tant que interaction avec d’autres utilisateurs. Certains services
service disposent d’un contrôle total sur le système. Par
( SeServiceSid ) conséquences ce droit ne doit être accordé qu’à des
comptes soigneusement sélectionnés. Ce droit ne doit être
accordé à personne.

Ouvrir une session en tant que Les utilisateurs peuvent ouvrir une session en utilisant la
tâche fonction de file d’attente de commandes. Ce droit n’est pas
( SeBatchSid ) encore mis en œuvre.

Régler les performances système Permet aux utilisateurs d’employer les outils d’analyse des
(SeSystemProfilePrivilege) performances.

- 56 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Droits avancés Signification

Permet de remplacer le jeton d’accès de sécurité d’un


Remplacer un jeton niveau de processus par un autre jeton. Tout utilisateur en possession
processus de ce droit, peut compromettre la sécurité du système de
(SeAssignPrimaryTokenPrivilege) sécurité car Windows NT ne contrôle plus ce processus. Ce
droit ne doit être accordé aux utilisateurs.

Permet aux utilisateurs de rendre statique la RAM qui est


allouée, ce qui signifie que le contenu de la mémoire ne peut
Verrouiller des pages mémoire être permuté dans le fichier d’échange. Ceci constitue un
( SeLockMemoryPrivilege ) risque de blocage du système car la mémoire disponible
peut arriver à saturation et les ressources système tomber à
un niveau très bas. Ce droit ne doit être accordé à personne.

6.2.3 Modifier les droits des utilisateurs.

Dans la rubrique Accorder à vous pouvez enlever ou ajouter un utilisateur ou un groupe (il est
conseillé de travailler avec des groupes d’utilisateurs).

Pour enlever un membre.

1. Sélectionnez le membre.

2. Cliquez sur le bouton Enlever.

3. Cliquez sur OK.

Pour ajouter un membre.

1. Cliquez sur Ajouter.

- 57 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. La fenêtre Ajouter des utilisateurs et des groupes apparaît. Pour visionner les utilisateurs
dans la partie supérieur de la fenêtre cliquez sur Montrer les utilisateurs.

3. Sélectionner un groupe ou un utilisateur.

4. Cliquez sur Ajouter. Le membre ajouté apparaît dans la rubrique Ajouter des noms.

5. Cliquez sur OK. Le groupe ou l’utilisateur apparaît dans la liste Accordé à.

6.3 STRATEGIE D’AUDIT.


Windows NT peut suivre des activités d'utilisateur sélectionnées, en effectuant un audit des
événements sécurité et en enregistrant les résultats dans le journal sécurité de l'ordinateur.
Servez-vous de la stratégie d'audit pour déterminer les types d'événements de sécurité qui seront
enregistrés pour l'ordinateur. Attention, le suivi de tous les événements nécessite beaucoup de
ressources ; pour cette raison vous devez faire votre choix avec soin.

Les résultats du journal sécurité peuvent être affichés dans l'Observateur d'événements. La
taille des journaux de sécurité étant limitée, sélectionnez judicieusement les événements à
auditer. La taille maximale du journal sécurité est définie dans l'Observateur d'événements.

1. Démarrez le Gestionnaire des utilisateurs pour les domaines.

2. Dans le menu Stratégie sélectionnez Audit.

3. Cochez les choix souhaités. Les événements sélectionnés seront enregistrés dans le journal
sécurité.

4. Cliquez sur OK.

- 58 -
ESAT/DMSI/SYS Administration Windows NT Serveur

6.3.1 Liste des événements qui peuvent être audités.

Choix Signification

Ouverture et fermeture de Un utilisateur a ouvert ou fermé une session à partir de la


session. station de travail, ou bien a établi une connexion réseau.

Un utilisateur a accédé à un répertoire ou un fichier


sélectionné pour l'audit, ou bien un utilisateur a envoyé un
Accès fichier et objet.
travail d'impression vers une imprimante sélectionnée pour
l'audit.

Utilisation des droits de Un utilisateur s'est servi d'un droit d'utilisateur (à l'exception
l’utilisateur. des droits relatifs à l'ouverture et à la fermeture de session).

Un des événements suivants s'est produit :


 Un compte d'utilisateur ou un groupe a été créé,
Gestion des utilisateurs et des modifié ou supprimé.
groupes.  Un compte d'utilisateur a été renommé, désactivé ou
activé.
 Un mot de passe a été établi ou changé.

Modification de stratégie de La stratégie des droits de l'utilisateur ou d'audit a été


sécurité. modifiée.

Un utilisateur a redémarré ou arrêté l'ordinateur, ou bien un


Redémarrage, arrêt du système. événement touchant à la sécurité du système ou au journal
de la sécurité s'est produit.

Ces événements fournissent des informations de contrôle


détaillées portant sur des événements tels que l'activation de
Suivi de processus.
programmes, certaines formes de duplication de handle,
l'accès indirect à des objets et la fermeture de processus.

6.3.2 Audit des objets.

L’audit des fichiers et des répertoires, comme l’audit du système, offre des contrôles efficaces
pour la surveillance de la sécurité. L’analyse des rapport est également très importante. En son
absence, les contrôles de sécurité ne seront pas efficaces.
L’audit des fichiers et des répertoires est granulaire, en ce sens qu’il est possible d’assurer le
suivi des accès d’un utilisateur à un répertoire ou un fichier.
Pour activer l’audit des fichiers et des répertoires :

Sélectionner l’objet que vous voulez auditer dans l’explorateur.

- 59 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Cliquez sur le bouton droit de la souri pour ouvrir le menu contextuel, puis sélectionnez
Propriétés.

Cliquez sur l’onglet Sécurité, puis sur le bouton Audit, la fenêtre suivante apparaît.

La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.

 Répertoire
Affiche le nom du ou des répertoire(s) sélectionné(s) (vérifiez toujours que vous paramétrez
la sécurité de l’objet que vous avez sélectionné).

 Remplacer l’audit des sous répertoires


L’utilisateur peut effectuer des modifications et les appliquer à tous les sous répertoires. Par
défaut, cette option n’est pas sélectionnée.

 Remplacer l’audit sur les fichiers existants


L’utilisateur peut effectuer des modifications et les affecter aux fichiers du répertoire. Cette
option est activée par défaut, car l’audit appliquée au répertoire porte également sur les
fichiers qu’il contient.

 Nom
Affiche les noms des groupes et des utilisateurs audités.

 Evénements à auditer

- 60 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour un répertoire particulier, vous pouvez auditer les événements qui ont réussi ainsi que
ceux qui ont échoué.

 Bouton Ajouter
Pour ajouter des groupes ou des utilisateurs dans la liste d'audits, cliquez sur le bouton
Ajouter.

 Bouton Supprimer
Pour supprimer un groupe ou un utilisateur de la liste d'audits, sélectionnez celui-ci, puis
cliquez sur le bouton Supprimer.

6.3.3 Evénements de fichier audités

Vous pouvez sélectionner les événements suivants pour auditer les actions d'un fichier :

 Lire
Audite l'affichage des données des attributs, des permissions et du propriétaire du fichier.

 Ecrire
Audite les modifications apportées aux attributs ou aux données du fichier, ainsi que
l'affichage des permissions et du propriétaire.

 Exécuter
Audite l'exécution des fichiers programme ainsi que l'affichage des attributs, des
permissions et du propriétaire.

 Supprimer
Audite la suppression du fichier.

 Changer des permissions


Audite les modifications apportées aux permissions du fichier.

 Prendre possession
Audite les modifications de propriété du fichier.

6.3.4 Ajout d'utilisateurs et de groupes aux listes de permissions et d'audits

La boîte de dialogue Ajouter des utilisateurs et des groupes est disponible à partir des boîtes
de dialogue qui vous permettent de modifier et de supprimer des permissions et des audits pour
des utilisateurs et des groupes. Vous l'utilisez pour ajouter des utilisateurs et des groupes à la
liste des permissions ou des audits, rechercher les membres d'un groupe et trouver le domaine
auquel appartient un groupe ou un utilisateur.

- 61 -
ESAT/DMSI/SYS Administration Windows NT Serveur

La boîte de dialogue Ajouter des utilisateurs et des groupes affiche les groupes de l'ordinateur
ou du domaine qui apparaît dans la zone Lister les noms de. Les groupes sont affichés pour
l'ordinateur ou le domaine dont le nom est suivi d'un astérisque (*). Vous pouvez sélectionner un
autre domaine à l'aide de la zone Lister les noms de.

Les domaines ne sont affichés que si votre ordinateur est membre d'un domaine sur un réseau
Windows NT Server.

Pour ajouter un utilisateur ou un groupe à une liste des permissions ou des audits

Dans la boîte de dialogue des permissions ou des audits, cliquez sur le bouton Ajouter.

Vous pouvez utiliser les options de la boîte de dialogue Ajouter des utilisateurs et des groupes
pour afficher des utilisateurs, rechercher les utilisateurs d'un groupe ou trouver le domaine auquel
appartient un groupe ou un utilisateur.

Pour afficher les noms des utilisateurs sur le domaine ou l'ordinateur sélectionné, cliquez sur le
bouton Montrer les utilisateurs.

Pour afficher le contenu d'un groupe, sélectionnez ce dernier, puis cliquez sur le bouton
Membres. Les utilisateurs sont énumérés dans une nouvelle boîte de dialogue. Sur un réseau
Windows NT Server, les groupes globaux qui sont membres d'un groupe local apparaissent dans
la liste. Pour afficher les utilisateurs d'un groupe local, sélectionnez ce dernier, puis cliquez sur le
bouton Membres. Pour inclure le groupe dans la boîte de dialogue Ajouter des utilisateurs et
des groupes, cliquez sur le bouton Ajouter. Pour inclure certains utilisateurs du groupe
uniquement, sélectionnez-les, puis cliquez sur le bouton Ajouter.

- 62 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour ajouter un groupe ou un utilisateur, vous devez connaître le domaine qui contient le compte
du groupe ou de l'utilisateur. Sur un réseau Windows NT Server, cliquez sur le bouton
Rechercher pour rechercher le domaine d'un groupe ou d'un utilisateur.

Dans la boîte de dialogue Recherche d'un compte, tapez le nom du groupe ou de l'utilisateur
dans la zone Rechercher un utilisateur ou un groupe, spécifiez les domaines faisant l'objet de
la recherche, puis cliquez sur le bouton Rechercher. Pour inclure les groupes ou les utilisateurs
dans la boîte de dialogue Ajouter des utilisateurs et des groupes, sélectionnez ceux-ci dans la
zone Résultats de la recherche, puis cliquez sur le bouton Ajouter.

- 63 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour ajouter des groupes ou des utilisateurs à la liste, sélectionnez-les dans la zone Noms, puis
cliquez sur le bouton Ajouter, ou double-cliquez sur le nom du groupe ou de l'utilisateur. Vous
pouvez aussi taper les noms des groupes et des utilisateurs dans la zone Ajouter des noms, en
les séparant par un point-virgule.

Si le compte du groupe ou de l'utilisateur ne se trouve pas sur l'ordinateur ou le domaine affiché


dans la zone Lister les noms de, vous devez spécifier son emplacement. Tapez le nom du
domaine ou de l'ordinateur, suivi du nom du groupe ou de l'utilisateur, et séparez les noms à
l'aide d'une barre oblique inverse, par exemple NOC\Opérateurs. Vous pouvez taper le nom
sans attendre que Windows NT affiche la liste des groupes dans la zone Noms.

Si vous ajoutez des utilisateurs ou des groupes à une liste de permissions, sélectionnez la
permission pour les groupes ou les utilisateurs qui est affichée dans la zone Ajouter des noms à
l'aide de la zone Type d'accès. Cliquez sur OK.

6.3.5 Affichage des événements audités.

Pour afficher le journal de sécurité.

1. Dans Outil d’administration(commun) sélectionnez l’Observateur d’événements.

2. Dans le menu Journal sélectionnez la commande Sécurité. Le journal de sécurité apparaît.

Pour visualiser tous les détails faites un double-clic sur l’événement. La fenêtre suivante apparaît.

- 64 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les fichiers suivants sont les journaux qui sont dans le répertoire %systemroot
%\system32\CONFIG :
APPEVENT.EVT journal des événements Application.
SECEVENT.EVT journal des événements Sécurité.
SYSEVENT.EVT journal des événements Système.

Ces fichiers doivent avoir un accès limité.

- 65 -
ESAT/DMSI/SYS Administration Windows NT Serveur

7 OBSERVATEUR D’EVENEMENTS.
L’Observateur d’événements vous permet de visualiser trois journaux différents dans lesquels
sont enregistrés des informations significatives. Vous pouvez choisir le journal à visualiser,
prendre des options sur les types d’événements à enregistrer et enregistrer les journaux pour les
comparer ultérieurement.

La description des trois journaux de Windows NT est donnée ci-après :

 Le journal système :
Enregistre les événements concernant les composants système tels que les pilotes, les
imprimantes, le matériel, etc.

 Le journal sécurité :
Enregistre les événements qui sont des atteintes possibles à la sécurité tels que des
essais infructueux de connexion.

 Le journal application :
Enregistre les événements concernant les applications telles que les erreurs de fichiers,
etc.

7.1 DEMARRER L’OBSERVATEUR D’EVENEMENTS.


Comme l’Observateur d’événements est un outil d’administration, vous le trouverez dans le
groupe des outils d’administration(commun). Pour démarrer l’Observateur d’événements,
procédez de la manière suivante :

1. Depuis le bureau, cliquez sur le bouton Démarrez et Choisissez Programmes, Outils


d’administration(commun), Observateur d’événements.

2. Pour quitter l’Observateur d’événements, choisissez Quitter ou pressez Alt+F4.

- 66 -
ESAT/DMSI/SYS Administration Windows NT Serveur

7.1.1 Comprendre la fenêtre de l’observateur.

L’Observateur d’événements affiche un seul journal à la fois et un événement par ligne. La


description des titres dans la fenêtre est donnée ci-après :

 Date. La date de l’événement.

 Heure. L’heure à laquelle l’événement a eu lieu.

 Source. L’application ou le composant qui à enregistré l’événement.

 Catégorie. Classification de l’événement, connexion, déconnexion, changement de


police, etc.

 Evénement. Un numéro unique assigné à l’événement.

 Utilisateur. L’utilisateur connecté lorsque l’événement est survenu.

 Ordinateur. Le nom de l’ordinateur sur lequel est survenu l’événement.

En plus du titre dans la fenêtre de l’Observateur d’événements, vous pouvez utiliser les icônes à
l’intérieur de chaque événement pour déterminer son type.

Evénement Description

Indique un problème important tel que la perte d’une


Erreur
fonction ou de données. L’icône représente un stop.
Indique un événement qui peut engendrer des
Avertissement problèmes ultérieurs comme un espace disque
insuffisant. L’icône représente un point d’exclamation.
Indique la réalisation réussie d’opérations par les
Information
services principaux. L’icône un i cerclé.

Indique un accès sécurisé réussi, comme la connexion


Audit de réussite
d’un utilisateur. L’icône représente une clé.

Indique l’échec d’une tentative d’accès sécurisé comme


Audit d’échec un essai de connexion sur le système. L’icône
représente un cadenas.

7.2 VISUALISER UN JOURNAL.


Lorsque vous ouvrez l’Observateur d’événements, il présente le dernier journal que vous avez
consulté. Utiliser les outils de l’Observateur d’événement vous permettra de visualiser et de gérer
les événements très facilement.

- 67 -
ESAT/DMSI/SYS Administration Windows NT Serveur

7.2.1 Choisir un journal.

Pour choisir le journal que vous voulez consulter, choisissez Journal dans la barre de menu et
sélectionner un des trois journaux, système, sécurité ou application. Le journal courant apparaît
dans la barre de titre et une marque est positionnée sur son nom dans la liste.

7.2.2 Choisir un ordinateur.

Vous pouvez aussi lire les événements sur un autre ordinateur si vous avez les droits d’accès :
vous devez avoir les droits d’administrateur si vous voulez accéder à un autre ordinateur sur le
réseau.

1. Dans l’Observateur d’événements, choisissez Journal, Choisir un ordinateur.

2. Dans la liste, choisissez l’ordinateur que vous désirez consulter ; si son nom n’apparaît pas
dans la liste, tapez son chemin d’accès dans la boîte.

3. Choisissez OK pour vous connecter sur l’autre ordinateur. L’Observateur d’événements


affiche les événements que vous pouvez visualiser et gérer comme si c’était les vôtres.

7.2.3 Visualiser les détails de l’événement.

Pour visualiser la description de l’événement, procédez de la manière suivante :

1. Dans l’Observateur d’événements, sélectionnez l’événement à visualiser en cliquant dessus


puis double-cliquez, ou choisissez Affichage, Détail. La boîte de dialogue Détail de
l’événement apparaît.

- 68 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. L’information en haut de la boîte de dialogue est la même que dans le journal ; cependant on
peut lire le texte de description pour plus d’information
3. Si l’option Octets est sélectionnée, la zone Données de la boîte de dialogue inclut des
données binaires au format hexadécimal ; pour voir les données en DWORDS, cochez
l’option Mots.

7.2.4 Actualiser l’Observateur d’événements.

Lorsque vous ouvrez l’Observateur d’événements, le journal est automatiquement mis à jour.
Ce n’est pas le cas lorsque vous changez de journal pendant une session. Les événements
survenus entre temps n’apparaîtront qu’à la réouverture du journal. Pour actualiser l’affichage
choisissez Affichage, Actualiser ou pressez F5.

7.2.5 Changer les paramètres du journal.

Vous pouvez changer la taille de chacun des journaux et la manière dont Windows NT les gère
lorsqu’ils sont pleins.
Pour changer les paramètres des journaux, procédez de la manière suivante :
1. Choisissez Journal, Paramètres du journal. La boîte de dialogue correspondante apparaît.

- 69 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. Dans la boîte Changer les paramètres du journal, choisissez le journal à modifier.

3. Dans la Taille maximale du journal, utilisez les flèches pour déterminer la taille que vous
voulez affecter à ce journal (en Kilo-octets).

4. Dans la zone de Bouclage du journal des événements, choisissez une des options
suivantes :

 Ecraser les événements si nécessaire. Cette option assure que tous les événements
seront écrits dans le journal ; lorsque celui-ci est plein, chaque nouvel événement
remplace le plus ancien.

 Ecraser les événements plus anciens que n jours. De 1 à 365 jours.

 Ne pas écraser les événements (nettoyage manuel du journal). Vous avez toute
liberté pour nettoyer le fichier.

7.3 GERER LES EVENEMENTS.


Les outils de l’Observateur d’événements vous permettent de trier, filtrer et retrouver plus
facilement les événements des différents journaux.

7.3.1 Trier les événements.

Vous pouvez trier les événements par date. Choisissez Affichage, Plus récent d’abord ou plus
vieux d’abord, selon votre choix. L’option en vigueur est cochée.

7.3.2 Filtrer les événements.

Cette option vous permet de n’afficher que certain type d’événement, pour rendre vos journaux
plus lisibles.

1. Choisissez Affichage, Filtrer les événements. La boîte de dialogue Filtre apparaît.

2. Dans la boîte de dialogue Filtre, choisissez une des options suivantes :

- 70 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Premier événement. Cette option montre tous les événements depuis le premier listé
dans le journal.
 Evénement du. Pour visualiser la date à partir de laquelle vous souhaitez visualiser
les événements.

3. Dans Voir à travers, choisissez une des options :


 Dernier événement. Cette option affiche les événements à partir du dernier
événement enregistré.
 Evénement du. Cette option affiche les événements en commençant par la date
spécifiée. Entrez une date et une heure si vous le souhaitez.

4. Dans la boîte Type, cochez les choix pour afficher ou non certains événements.

5. Vous pouvez entrer d’autres options pour filtrer les événements :


 Source. Entrez le nom de l’application source qui a repéré l’événement.
 Catégorie. Entrez la classification de l’événement.
 Utilisateur. Entrez le nom exact de l’utilisateur.
 Ordinateur. Entrez le nom de l’ordinateur sur lequel l’événement s’est produit.
 N° de L’événement. Entrez le numéro spécifique de l’événement.

6. Choisissez OK pour valider.

7.3.3 Trouver un événement.

Pour rechercher un type précis d’événements, tel que les avertissements, les erreurs, ainsi que
des catégories ou sources spécifiques d’événements, procédez de la manière suivante :
1. Dans l’Observateur d’événements choisissez Affichage, Rechercher ou pressez F3. La
boîte de dialogue Rechercher apparaît

2. Dans la boîte Type, choisissez le type d’événement à rechercher.

3. Vous pouvez réduire la recherche en utilisant les boîtes suivantes :

- 71 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Source. Entrez le nom de l’application source qui a repéré l’événement.


 Catégorie. Entrez la classification de l’événement.
 Utilisateur. Entrez le nom de l’utilisateur.
 Ordinateur. Entrez le nom de l’ordinateur sur lequel l’événement s’est produit.
 N° de L’événement. Entrez le numéro spécifique de l’événement

4. Cochez le sens de recherche.

5. Choisissez Suivant. Le premier événement qui correspond aux critères entrés est en sur
brillance dans le journal.

7.4 ENREGISTRER LES FICHIERS JOURNAUX.


Vous devez enregistrer les journaux pour une utilisation ultérieure. Tous les événements seront
enregistrés, filtrer les événements n’en supprime aucun.
Les journaux seront enregistrés soit sous le format EVT (lisible uniquement à partir de
l'observateur d'événement) soit en texte pur format TXT soit en texte séparé par des virgules
format CSV. On pourra alors exporter les fichiers journaux pour les analyser sous Excel ou dans
une base de donnée.

1. Choisissez Journal, Enregistrer sous.

2. Dans Enregistrer sous, spécifiez le lecteur, le nom de dossier et le nom de fichier.

Pour visualiser un journal enregistré, passez par Journal, Ouvrir.

- 72 -
ESAT/DMSI/SYS Administration Windows NT Serveur

8 SECURISER LES RESSOURCES LOCALES


Pour les volumes NTFS, vous pouvez utiliser l'Explorateur Windows NT pour définir des
permissions sur des répertoires et des fichiers situés sur des ordinateurs exécutant Windows NT.
Les permissions définies directement sur les répertoires et fichiers s'appliquent aux utilisateurs
travaillant sur l'ordinateur et aux utilisateurs ayant accès à ces fichiers via le réseau.

Remarque :

Ce type de restriction d'accès n'est pas disponible pour les fichiers situés sur des
volumes
FAT.

Cliquez sur l’objet correspondant dans l'Explorateur Windows, puis cliquez sur Propriétés, et
sur l'onglet Sécurité (cet onglet n'existe pas sur les partitions en FAT).

Utilisez le bouton Permissions de la boîte de dialogue Propriétés afin de définir les permissions
adéquates.

8.1 BOITE PERMISSION – REPERTOIRE


A partir de cette boite vous pouvez paramétrer la sécurité de l’objet que vous avez sélectionné
(dossier, fichier, ou partition).

 Répertoire
Affiche le nom du répertoire sélectionné (vérifiez toujours que vous paramétrez la sécurité
de l’objet que vous avez sélectionné).

- 73 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Propriétaire
Affiche le nom du propriétaire du répertoire (par défaut le propriétaire est la personne qui
a créée l’objet).

 Remplacer les permissions des sous-répertoires


Par défaut, les permissions que vous définissez s'appliquent uniquement au répertoire et
aux fichiers qu’il contient.
Activez cette case à cocher pour appliquer les permissions définies à la racine à tous les
sous-répertoires. Si la case à cocher Remplacer les permissions sur les fichiers
existants est activée, les permissions sur les fichiers des sous-répertoires sont également
modifiées.

 Remplacer les permissions sur les fichiers existants


Par défaut, les permissions que vous définissez s'appliquent aux fichiers du répertoire
ainsi qu'au répertoire proprement dit.
Désactivez cette case à cocher pour appliquer les permissions uniquement au répertoire.
Si la case à cocher Remplacer les permissions des sous-répertoires est activée, les
permissions sur les sous-répertoires sont également modifiées.

 Nom
Affiche les noms des groupes et des utilisateurs ainsi que leurs permissions courantes.
Pour modifier une permission, sélectionnez le groupe ou l'utilisateur, puis cliquez sur une
permission dans la zone Type d'accès.

Les boutons Ajouter et Supprimer permettent de modifier la liste des groupes d’utilisateurs ou
des utilisateurs figurant dans la zone Nom.

- 74 -
ESAT/DMSI/SYS Administration Windows NT Serveur

8.1.1 Permissions et types d’accès standard

Les permissions peuvent s’appliquer soit en utilisant des types d’accès standard soit en utilisant
des permissions d’accès spécial. La boite de dialogue Accès spécial à un répertoire s’ouvre
après sélection d’Accès spécial à un répertoire comme type de permission.

Les permission d’Accès spécial à un répertoire sont identique à celle qui s’appliquent aux fichiers.
tableau donnant les permissions standard.

permissions ( P )

possession ( O )
Supprimer ( D )
Exécuter ( X )

Changer les
Ecrire ( W )
Lire ( R )

Prendre

Afficher les noms de fichier du répertoire X


Afficher les attributs du répertoire X X
Ajouter des fichiers et des sous-
répertoires X
Modifier les attributs du répertoire X
Accéder aux sous répertoires X
Afficher le propriétaire et les permissions
du répertoire X X X
Supprimer le répertoire X
Modifier les permissions du répertoire X
s'approprier le répertoire X

- 75 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Quand vous définissez une permission de répertoire, deux ensembles d'abréviations de


permissions individuelles s'affichent en regard de celle-ci, l'un pour les permissions définies sur le
répertoire et l'autre, pour celles définies sur les fichiers du répertoire.
Par exemple, quand vous définissez la permission Ajouter & lire sur un répertoire, vous voyez
apparaître l'abréviation (RWX), signifiant que les permissions Lire, Ecrire et Exécuter sont
définies sur le répertoire, ainsi que l'abréviation (RX) indiquant que la permission Lire et
Exécuter est définie sur les fichiers du répertoire.
Quand l'accès aux fichiers indique (Non spécifié), ce groupe ou cet utilisateur ne peut utiliser les
fichiers du répertoire que si l'accès lui est octroyé par un autre moyen, par exemple en
définissant des permissions octroyant l'accès des fichiers individuels.

Quand un astérisque (*) s'affiche en regard du jeu de permissions de répertoire, par exemple
(Tous)*, cela signifie que les sous-répertoires n'héritent pas des permissions octroyées à ce
groupe ou cet utilisateur.

Vous pouvez définir les ensembles de permissions d’Accès standard suivants sur les répertoires :

 Aucun accès (Aucun) (Aucun)


Interdit tout accès au répertoire et à ses fichiers. Pour un utilisateur, la spécification de
cette option lui interdit l'accès, même s'il appartient à un groupe qui est autorisé à
accéder au répertoire.

 Lister (RX) (Non spécifié)


Autorise :
l'affichage des noms de fichier et de sous-répertoire.
Interdit :
la modification des sous-répertoires du répertoire ;
l'accès aux fichiers, sauf s'il est accordé par d'autres permissions de répertoire ou de
fichier.
 Lire (RX) (RX)
Autorise :
l'affichage des noms de fichier et de sous-répertoire ;
l'affichage des données dans des fichiers et l'exécution d'applications.
Interdit :
la modification des sous-répertoires du répertoire.
 Ajouter (WX) (Non spécifié)
Autorise :
l'ajout de fichiers et de sous-répertoires au répertoire.
Interdit :
l'accès aux fichiers, sauf s'il est accordé par d'autres permissions de répertoire ou de
fichier.
 Ajouter & lire (RWX) (RX)
Autorise :
l'affichage des noms de fichier et de sous-répertoire ;
la modification des sous-répertoires du répertoire ;
l'affichage de données dans des fichiers et l'exécution de fichiers d'application ;
l'ajout de fichiers et de sous-répertoires au répertoire.
 Modifier (RWXD)(RWXD)
Autorise :

- 76 -
ESAT/DMSI/SYS Administration Windows NT Serveur

l'affichage des noms de fichier et de sous-répertoire ;


la modification des sous-répertoires du répertoire ;
l'affichage de données dans des fichiers et l'exécution de fichiers d'application ;
l'ajout de fichiers et de sous-répertoires au répertoire ;
la modification des données des fichiers ;
la suppression du répertoire et de ses fichiers.
 Contrôle total (Tous) (Tous)
Autorise :
l'affichage des noms de fichier et de sous-répertoire ;
la modification des sous-répertoire du répertoire ;
l'affichage de données dans des fichiers l'exécution de fichiers d'application ;
l'ajout de fichiers et de sous-répertoires au répertoire ;
la modification des données des fichiers ;
la suppression du répertoire et de ses fichiers ;
la modification des permissions sur le répertoire et ses fichiers ;
l'appropriation du répertoire et de ses fichiers.
Remarque :

Chaque fois que cela est possible les permissions doivent être accordées à des groupes et non à
des utilisateurs individuellement. Si plusieurs utilisateurs exploitent le même ensemble de fichiers,
ils peuvent être placés dans un groupe auquel les permissions nécessaires seront ensuite
accordées. Par la suite, si un nouvel utilisateur a besoin du même type d’accès, il suffit
simplement de l’ajouter au groupe, ce qui évite d’avoir à lui accorder des permissions fichier par
fichier.

8.2 PERMISSIONS SUR LES REPERTOIRES.


Le tableau suivant présente les permissions définies sur les répertoires et les opérations
correspondantes que les utilisateurs peuvent effectuer sur ces répertoires.
Ajouter et Lire

Contrôle total
Aucun accès

Modifier
Ajouter
Lister

Lire

Afficher les noms de fichier du


répertoire X X X X X
Afficher les attributs du répertoire X X X X X X
Se placer dans les sous-répertoires X X X X X X
Modifier les attributs du répertoire X X X X
Créer des sous-répertoires et ajoute
des fichiers X X X X
Afficher les propriétés et les
permissions du répertoire X X X X X X
Supprimer le répertoire X X

- 77 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Ajouter et Lire

Contrôle total
Aucun accès

Modifier
Ajouter
Lister

Lire
Supprimer tout fichier ou sous-
répertoire vide du répertoire X
Modifier les permissions affectées au
répertoire X
s'approprier le répertoire X
Par défaut, les fichiers créés dans un répertoire héritent des permissions définies à l’intérieur du
second jeu de parenthèses.

Attention :

la permission Contrôle Total (Tous) (Tous) est différente de Accès spécial (RWXDPO)
(RWXDPO).

La permission Contrôle Total comprend une permission spéciale ‘cachée’ FDC (File Delete
Child) qui, si les propriétaires de fichiers n’en tiennent pas compte, peut générer une faille de
sécurité. En effet, tous les comptes d’utilisateur disposant de la permission Contrôle Total sur un
répertoire sont autorisés à supprimer les fichiers dans ce répertoire même si les types d’accès
sont plus restrictifs. Pour éviter les effets de la permission FDC, il faut contrôler l’accès aux
répertoires en accordant des permissions Accès Spécial à un répertoire au lieu des permissions
Contrôle Total.

La permission FDC est nécessaire pour des raisons de conformité à la norme POSIX. Les
spécifications POSIX requièrent qu’un utilisateur disposant du droit d’écrire sur un répertoire
puisse supprimer tous les fichiers de ce répertoire, quelles que soient les permissions de ces
fichiers. Cette permission ne s’applique qu’aux fichiers d’un répertoire, pas à ses sous
répertoires.

Le groupe Créateur Propriétaire peut être utilisé lors de l’attribution des permissions d’accès à un
répertoire afin de permettre aux utilisateurs de contrôler uniquement les fichiers et les sous
répertoires qu’ils créent dans ce répertoire. Les permissions définies pour le groupe Créateur
Propriétaire sont transférées à l’utilisateur qui crée ou qui est propriétaire d’un fichier ou d’un
sous répertoire dans ce répertoire.

- 78 -
ESAT/DMSI/SYS Administration Windows NT Serveur

8.3 PERMISSIONS SUR LES FICHIERS

Le tableau suivant présente les permissions définies sur les fichiers et les opérations
correspondantes que les utilisateurs peuvent effectuer sur ces fichiers

Contrôle
Modifier
Aucun
accès

total
Lire

Afficher les données du fichier X X X


Afficher les attributs du fichier X X X
Exécuter le fichier s’il s'agit d'un
programme X X X
Afficher les propriétés et les
permissions X X X
Modifier les attributs du fichier X X
Modifier les données du fichier X X
Supprimer le fichier X X
Modifier les permissions affectées
au fichier X

- 79 -
ESAT/DMSI/SYS Administration Windows NT Serveur

8.4 UTILISATION PRATIQUE

8.4.1 Déplacement et copie d’objets

Lors du déplacement de fichiers ou de répertoires sur un même volume, les permissions sont
conservées. Même si l’option Remplacer les permissions pour les fichiers existant est activée
pour un répertoire, les fichiers déplacés dans ce répertoire conservent leurs permissions. La case
à cocher Remplacer les permissions pour les fichiers existant ne caractérise pas un état, mais
bien une option qui peut être exécutée à un moment donné. C’est à l’instant où cette option est
activée que les fichiers héritent des permissions du répertoire et ceci ne se reproduit que lorsque
l’option est à nouveau activée.

Lors du déplacement de fichiers ou de répertoire sur un autre volume ou d’une copie, les fichiers
et les répertoires prennent les permissions du répertoire dans lequel ils sont copiés.

Remarque :

Ceci n'est vrai que si le service pack 4 est installé sur les machines. Si le service pack 5 est
installé les objets déplacés prennent les permissions de l'emplacement où ils sont collés.

8.4.2 Suppression de fichiers

Lorsqu’un fichier est supprimé d’un disque local, il est en réalité déplacé vers la Corbeille où seul
celui qui l’a supprimé peut en annuler la suppression. Lors de la restauration d’un fichier, les
permissions qu’il avait avant sa suppression lui sont restaurées.

8.4.3 Somme des permissions

Les actions qu’un utilisateur peut exercer sur un objet sont déterminées par la somme des
permissions dont il dispose soit par appartenance à des groupes, soit par affectation directe. Par
exemple, René est membre des groupes GRP1, GRP2 et GRP3. qui ont les permissions
suivantes sur un répertoire.

Groupe GRP1 : les membres peuvent Lire (R) (R)


Groupe GRP2 : les membres peuvent Modifier et Ajouter (W) (W)
Groupe GRP3 : les membres peuvent Supprimer (D) (D)

De plus René a la permission Prendre Possession (O) (X). Donc les permissions de René
représentent la somme des permissions, respectivement (RWDO) (RWDX).

8.4.4 Appartenance

Par défaut, le créateur d’un fichier ou d’un dossier en est le propriétaire. Il n’est pas possible de
transférer la propriété d’un fichier ou d’un répertoire à quelqu’un d’autre, mais le propriétaire peut
accorder à un autre utilisateur la permission de prendre possession du fichiers et des autres

- 80 -
ESAT/DMSI/SYS Administration Windows NT Serveur

objets. Pour ouvrir la boite de dialogue Propriétaire, sélectionnez un objet, puis Propriétés dans
le menu Fichier, l’onglet Sécurité et cliquez sur le bouton Appartenance.

Bien qu'un administrateur puisse s'approprier un fichier ou un répertoire, il ne peut pas transférer
la propriété à d'autres personnes, afin de préserver la sécurité. Par exemple, seul un
administrateur pouvant effectuer des appropriations et modifier des permissions peut accéder à
un fichier pour lequel vous avez défini la permission Aucun accès. En vérifiant les informations
de propriété du fichier, vous constatez le changement de propriété et connaissez l'identité de la
personne qui a violé la permission que vous avez définie sur ce fichier. Pour être certain que vos
fichiers sont protégés, vous devez vérifier régulièrement leurs informations de propriété.

8.4.4.1 Appropriation d’un objet


1. Sélectionnez le fichier ou le répertoire dans la fenêtre du Gestionnaire de fichiers. Vous
pouvez sélectionner simultanément plusieurs fichiers ou répertoires.

2. Dans le menu Sécurité, cliquez sur Propriétaire.

3. Cliquez sur le bouton Appropriation


Si vous avez sélectionné un ou plusieurs répertoires, le Gestionnaire de fichiers vous
demande si vous souhaitez vous approprier tous les fichiers et les sous-répertoires des
arborescences des répertoires sélectionnés. Si vous le souhaitez, cliquez sur le bouton
Oui.

4. Pour obtenir de l'aide sur la boîte de dialogue Propriétaire, cliquez sur le bouton Aide ou
appuyez sur F1 lorsque vous êtes dans cette boîte de dialogue.

8.4.5 Conversion du système de fichier.

On peut convertir une partition FAT en une partition NTFS (cette opération est irréversible), la
commande est :

convert [lecteur:] /fs:ntfs [/v] [/nametable:nom_de_fichier]

Paramètres
lecteur
Désigne le lecteur à convertir au système NTFS.

/fs:ntfs
Spécifie la conversion du volume en volume NTFS.

- 81 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/v
Spécifie le mode Verbose. Tous les messages seront affichés au cours de la conversion.
/nametable:nom_de_fichier

Crée une table de traduction des noms sur le répertoire racine du volume converti en
utilisant le nom du fichier spécifié. Utilisez ce commutateur si vous rencontrez des
difficultés au cours de la conversion des fichiers qui ont un nom peu ordinaire.

Remarque :

Une fois la conversion réalisée les permissions sur les répertoires et les fichiers ne sont pas les
même que celles mises en place par le système à l’installation de Windows NT. En effet on
trouve sur tous les dossiers et fichiers une sécurité par défaut, à savoir :

Tout le monde Contrôle total(Tous).

- 82 -
ESAT/DMSI/SYS Administration Windows NT Serveur

9 PARTAGE D’OBJETS
Windows NT vous permet de partager des objets (répertoires, fichiers, imprimantes, lecteur de
CD, …) à travers le réseau. Lorsqu'une ressource est partagée, vous pouvez limiter son accès à
certains utilisateurs du réseau. Ces restrictions, appelées permissions de partage, peuvent varier
d'un utilisateur à l'autre.
Le partage de données est possible grâce au protocole SMB ( Server Message Block ) qui est
pris en charge par Windows NT Serveur et Workstation. Les systèmes exécutant le protocole
SMB communiquent avec les services du redirecteur qui permettent de localiser, d’ouvrir, de lire,
d’écrire et de supprimer des fichiers.

9.1 PARTAGE DES REPERTOIRES

9.1.1 Pour partager un répertoire sur votre ordinateur local :

La création d’un partage s’effectue en attribuant un nom à la ressource que l’on veut partager.
Une même ressource peut avoir un nom différent selon les utilisateurs y accédant.
Il faut ouvrir une session en tant que Administrateurs, ou Opérateur de serveur pour être
autorisé à créer ou modifier des partages.
Cliquez sur le dossier correspondant dans l'Explorateur Windows, puis cliquez sur Propriétés
dans le menu Fichier.

1. Utilisez l'onglet Partage de la boîte de dialogue Propriétés du dossier afin de partager le


répertoire et de définir les permissions adéquates.

- 83 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. La zone Nom de partage montre le nom que les utilisateurs devront spécifier pour se
connecter au répertoire partagé.

Remarque :

Si vous voulez partager le répertoire sous un nom différent, entrez un nouveau nom de partage
dans la zone Nom de partage.

3. Dans la zone Commentaire, entrez un commentaire.


Ce commentaire est facultatif. Les utilisateurs le verront en se connectant au répertoire à
l'aide de la boîte de dialogue Connecter un lecteur réseau.

4. Dans la zone Nombre limite utilisateurs, entrez un nombre fixant une limite au nombre
d'utilisateurs pouvant se connecter simultanément au répertoire partagé.

9.1.2 Partage à partir de l’invite de commande

Pour partager à partir de l’invite de commande, utilisez la commande Net Share selon la syntaxe
suivante :

Net share NomPartage=LettreLecteur :Chemin

Par exemple, on partagera le répertoire C:\pubilc en tant que « Documents », par la commande
suivante :
Net share Documents=C:\public

Liste des options :

- 84 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/REMARK permet d’ajouter un commentaire pour l’explorateur :


net share Documents=C:\PUBLIC /REMARK : « Documents publics »

/UNLIMITED permet de fixer un nombre illimité d’utilisateurs (option par defaut)


net share Documents=C:\PUBLIC /REMARK : « Documents publics » /
UNLIMITED

/USERS permet de définir un nombre restreint d’utilisateurs


net share Documents=C:\PUBLIC /REMARK : « Documents publics » /USERS :5

/DELETE permet l’arrêt d’un partage


net share Documents /DELETE

9.1.3 Pour définir des permissions sur le répertoire partagé

Lors de l’accès à un partage, les permissions du partage et les permission NTFS doivent être
prises en compte. CE SONT TOUJOURS LES PERMISSIONS LES PLUS RESTRICTIVES QUI
CONDITIONNENT L’ACCÈS AU PARTAGE.

1. Choisissez le bouton Permissions.

2. Choisissez OK.

Utilisez la boîte de dialogue Permissions Accès à travers un partage pour définir ou modifier
les permissions des groupes et des utilisateurs.

Pour ajouter un groupe ou un utilisateur à une liste de permissions

1. Dans la boîte de dialogue Permissions-Accès à travers un partage, cliquez sur le bouton


Ajouter.

- 85 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. Sélectionnez des groupes ou des utilisateurs dans la zone Nom, puis cliquez sur le bouton
Ajouter.

Remarque :

Pour voir les noms des utilisateurs d'un ordinateur ou d'un domaine sélectionné, cliquez sur le
bouton Montrer les utilisateurs. Pour voir le contenu d'un groupe local ou global, cliquez sur le
bouton Membres.

3. Dans la zone Type d'accès, sélectionnez une permission à accorder aux groupes et aux
utilisateurs figurant dans la zone Ajouter des noms.

9.1.4 Fin du partage d'un répertoire

Si vous décidez de mettre fin au partage d'un répertoire pendant que les utilisateurs y sont
connectés, ces utilisateurs risquent de perdre leurs données.

Pour mettre fin au partage d'un répertoire

1. Sélectionnez le répertoire dont vous voulez annuler le partage en cliquant sur le bouton droit
de la souris puis sélectionnez l'onglet Partage.

Dans la fenêtre de l'Explorateur, on voit que le répertoire est partagé car il est "posé sur une
main".

- 86 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. Cliquez sur la case Non partagé.

3. Ensuite cliquez sur le bouton OK.

9.2 RESSOURCES PARTAGEES ADMINISTRATIVES.


Windows NT crée automatiquement des partages spéciaux pour les tâches administratives et le
système.

ATTENTION
il convient de ne jamais modifier le partage de ces ressources sous peine de provoquer des
pannes système graves.

- 87 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Nom de partage Description

Répertoire racine d'un périphérique de stockage sur


l'ordinateur.
lettrelecteur$ Seuls les membres des groupes Administrateurs, Opérateurs
de sauvegarde et Opérateurs de serveur peuvent se
connecter à ce type de partage.

Ressource utilisée par le système pendant l'administration à


distance d'un ordinateur. Seuls les membres des groupes
ADMIN$ Administrateurs, Opérateurs de sauvegarde et Opérateurs
de serveur peuvent se connecter à ce partage.
Par défaut %SystemRoot%.

InterProcess Communication Share. Ressource partageant les


IPC$ canaux nommés essentiels à la communication entre les
programmes.

Ressource qui prend en charge les imprimantes partagées. Par


PRINT$
défaut %SystemRoot%\SYSTEM32\SPOOL\DRIVERS.

Ressource créée par le système lorsqu'un ordinateur


Windows NT Server est configuré comme serveur d'exportation
de duplication. Elle est nécessaire pour la duplication
d'exportation.
REPL$ Cette ressource est disponible uniquement pour les ordinateurs
Windows NT Server configurés comme serveurs d'exportation
de duplication. Elle n'est pas fournie pour les ordinateurs
Windows NT Workstation.
Par defaut %SystemRoot%\SYSTEM32\REPL\EXPORT\

Ressource utilisée par le service Accès réseau d'un ordinateur


Windows NT Server pendant le traitement des demandes
d'ouverture de session sur un domaine.
Cette ressource est disponible uniquement pour les ordinateurs
NETLOGON
Windows NT Server. Elle n'est pas fournie pour les ordinateurs
Windows NT Workstation.
Par défaut
%SystemRoot%\SYSTEM32\REPL\IMPORT\SCRIPTS

Les administrateurs et les opérateurs de serveur peuvent créer leurs propres partages cachés
(de sorte que les utilisateurs du réseau ne puissent y accéder) en ajoutant le signe dollar ($) à la
fin du nom de partage.

Remarque :

Utilisez l'icône Serveur du Panneau de configuration dans les Outils d'administration pour
afficher et gérer les propriétés du serveur de cet ordinateur.

- 88 -
ESAT/DMSI/SYS Administration Windows NT Serveur

9.3 CONNEXION AUX REPERTOIRES PARTAGES


Il existe plusieurs moyens de se connecter aux répertoires partagés.

Pour attribuer une lettre de lecteur à un partage dans Poste de travail, utilisez la commande
Connecter un lecteur réseau du menu Outils, disponible dans l'Explorateur.

- 89 -
ESAT/DMSI/SYS Administration Windows NT Serveur

1. Entrez le nom du serveur et le nom du partage dans la zone Chemin, en respectant la


syntaxe suivante :
\\NomStation\NomPartage\NomSousDossier.
2. Dans la zone Lecteur, vous pouvez utiliser la lettre proposée ou en sélectionner une autre
dans la liste déroulante.
3. Ensuite cliquez sur le bouton OK.
Un lecteur supplémentaire vient s'afficher dans l'explorateur et dans la fenêtre du Poste de
travail, il correspond au répertoire partagé sur lequel vous venez de vous connecter.

9.3.1 Connexion a un Partage à partir de l’invite de commande

Pour les ordinateurs MS-DOS comportant le logiciel client LAN Manager, utilisez la commande
Net Use pour établir les connexions au réseau. La syntaxe est la suivante :

NET USE NOMLECTEUR: \\NOMSERVEUR\NOMPARTAGE.

Par exemple pour se connecter à un partage se nommant Documents sur la machine Ntserver
vous devrez taper :

Net use G: \\NTserver\Documents.


Liste des options :

/DELETE permet de mettre fin a une connexion.


Net use G: /DELETE

9.4 EVALUATION ET GESTION DE L'UTILISATION DES RESSOURCES


Dans le Gestionnaire de serveur, utilisez la commande Propriétés pour afficher un résumé de
l'utilisation des ressources et des connexions pour l'ordinateur sélectionné.
La boîte de dialogue Propriétés pour l'ordinateur fournit les indications d'utilisation suivantes :

- 90 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Elément Description

Sessions Nombre d'utilisateurs connectés à distance à l'ordinateur.

Fichiers ouverts Nombre de ressources partagées ouvertes sur l'ordinateur.

Nombres de verrous de fichier placés sur les ressources ouvertes de


Verrous de fichier
l'ordinateur.

Nombre de canaux nommés ouverts sur l'ordinateur.


Canaux nommés Un canaux nommé est un mécanisme de communication interprocessus
ouverts qui permet à un processus de communiquer avec un autre processus
local ou distant.

Pour administrer une propriété associée à l'un des cinq boutons situés dans la partie inférieure
de la boîte de dialogue Propriétés pour l'ordinateur, cliquez sur le bouton concerné.

Cliquez sur le bouton Pour

Afficher une liste de tous les utilisateurs connectés à l'ordinateur via


Utilisateurs
le réseau et les ressources ouvertes par un utilisateur sélectionné.

Afficher une liste des ressources partagées de l'ordinateur et les


Partages
utilisateurs connectés à une ressource sélectionnée via le réseau.

Afficher une liste de ressources partagées, ouvertes sur l'ordinateur.


En cours d’utilisation
Une ressource, ou l'ensemble d'entre elles, peuvent être fermés.

Gérer la duplication de répertoires pour l'ordinateur et spécifier le


Duplication
chemin d'accès aux scripts d'ouverture de session utilisateur.

Afficher et gérer la liste des utilisateurs et des ordinateurs notifiés en


Alertes
cas d'alerte administrative sur l'ordinateur.

9.4.1 Affichage ou déconnexion des sessions utilisateurs

Dans la boîte de dialogue Sessions utilisateur sur Ordinateur vous pouvez déconnecter un ou
tous les utilisateurs. En cliquant sur le bouton Utilisateurs vous obtenez:

- 91 -
ESAT/DMSI/SYS Administration Windows NT Serveur

9.4.2 Affichage ou déconnexion de ressources partagées

Utilisez la boîte de dialogue Ressources partagées sur Ordinateur pour afficher les ressources
partagées disponibles sur l'ordinateur sélectionné.

9.4.3 Affichage des ressources partagées à partir de l’invite de commande

La commande Net view présente une liste des domaines, des ordinateurs ou des ressources
partagées par l'ordinateur spécifié. La syntaxe est la suivante.

NET VIEW [\\NOM_ORDINATEUR | /DOMAIN[:NOM_DOMAINE]]


NET VIEW /NETWORK:NW [\\NOM_ORDINATEUR]

Exemples :

Tapez net view sans paramètres pour afficher la liste des ordinateurs de votre domaine courant.

Tapez net view \\nom_ordinateur pour afficher les ressources partagées de l’ordinateur.

Tapez net view /network:nw pour afficher la liste des serveurs disponibles sur un réseau
NetWare. Si un nom d'ordinateur est spécifié, les ressources disponibles sur cet ordinateur sur le

- 92 -
ESAT/DMSI/SYS Administration Windows NT Serveur

réseau NetWare sont affichées. Des réseaux qui s'ajoutent au système peuvent être spécifiés à
l'aide de ce commutateur.

9.4.4 Affichage ou fermeture des ressources en cours d'utilisation

Utilisez la boîte de dialogue Ressources ouvertes sur Ordinateur pour afficher et fermer des
ressources (affichez les propriétés de l'ordinateur, puis cliquez sur le bouton "En cours
d'utilisation").

Elément Description

Ressources ouvertes Nombre total de ressources ouvertes sur l'ordinateur.

Nombre total de verrous de fichiers placés sur des ressources


Verrous de fichier
ouvertes.
Nom d'utilisateur ou nom d'ordinateur de l'utilisateur ayant ouvert la
Ouverte par
ressource.

Pour Permission accordée lors de l'ouverture de la ressource.

Verrous Nombre de verrous placés sur la ressource.

Chemin Chemin d'accès à la ressource ouverte.

9.4.5 Affichage ou fermeture des ressources en cours d'utilisation à partir de


l’invite de commande

La commande Net file permet d’affiche les noms de tous les fichiers partagés ouverts sur un
serveur et, le cas échéant, le nombre de verrous sur chaque fichier. Cette commande permet
également de fermer des fichiers partagés particuliers et d'enlever des verrous de fichier. La
syntaxe est la suivante :

NET FILE [NUMÉRO [/CLOSE]]

Exemples :

- 93 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour afficher des informations sur les fichiers partagés, tapez :


net file

Pour fermer un fichier ayant pour numéro d'identification 11, tapez :


net file 11 /close

9.5 CONSEIL DE SECURISATION DES PARTAGES


Les partages constituent des points d’entrée dans le système. Les répertoire système de
Windows NT ne doivent être partagés qu’entre les administrateurs.
Lors de la création de partages, tenez bien compte du fait que les permissions NTFS et les
permissions sur les partages s’appliquent simultanément. Lorsque les permission NTFS sont
correctement définies, les permissions sur les partages peuvent être plus souples.
Exemple :
On peut très bien trouver comme permission sur un partage Tout le monde Contrôle total
Alors que les permissions sur le dossier ne laisseront qu’a une seule personne le droit d’accéder
au contenu du dossier.
Permission sur le partage :

Permission sur le dossier :

- 94 -
ESAT/DMSI/SYS Administration Windows NT Serveur

- 95 -
ESAT/DMSI/SYS Administration Windows NT Serveur

10PROFILS UTILISATEURS

10.1 PRINCIPE D'UN PROFIL


Sur les ordinateurs Windows NT, les profils d'utilisateur créent et conservent automatiquement
les paramètres du bureau pour l'environnement de travail de chaque utilisateur sur l'ordinateur
local.
Un profil utilisateur est crée pour chaque utilisateur la première fois qu'il ouvre une session sur un
ordinateur. Il est situé dans C:\WINNT\PROFILES\nomutilisateur et est construit a partir du profil
Default Users.

Le profil contient :
 Un répertoire, énoncé précédemment.
 Un répertoire commun à tous les utilisateurs All Users
 Un profil registre dans Hkey_Users, créé à partir de la clef Défault et copié dans
Hkey_Current_Users lors de l’ouverture de session (une partie de ces clef du registre est
sauvegardé dans Ntuser.dat et dans Ntuser.dat.log).

- 96 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dossier de profil
Contenu
d'utilisateur
Bureau Eléments du bureau, y compris les fichiers et les raccourcis
Données de l'application Données spécifiques à l'application
Envoyer vers (send to) Raccourcis vers des documents, des lecteurs ou des applications

Menu Démarrer Raccourcis vers des programmes

Modèles Raccourcis vers des modèles

Personnel Raccourcis vers des programmes


Raccourcis vers des programmes et vers les emplacements
Préférés
préférés
Récent Raccourcis vers les derniers éléments utilisés

Voisinage d'impression Raccourcis vers des éléments du dossier d'impression

Voisinage réseau Raccourcis vers des éléments du voisinage réseau

Cookies, Historique,
Répertoires installés par le navigateur IE5
Temporary Internet Files

Les menus de démarrer sont constitués par différents menus de profiles.

- 97 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Paramètres enregistrés dans un profil d'utilisateur

Source Paramètres enregistrés

Tous les paramètres définissables par l'utilisateur pour


Explorateur Windows NT
l'explorateur Windows NT

Tous les groupes de programmes personnels et leurs


Barre des tâches propriétés, tous les programmes et leurs propriétés, et tous les
paramètres de la barre des tâches.

Paramètres d'imprimante Connexions aux imprimantes du réseau

Tous les paramètres définis par l'utilisateur dans le Panneau de


Panneau de configuration
configuration

Tous les paramètres d'application spécifiques à l'utilisateur qui


Accessoires
affectent l'environnement Windows NT de l'utilisateur

Toute application spécialement écrite pour Windows peut être


Applications pour Windows
conçue de telle sorte qu'elle recherche les paramètres
NT
d'application spécifiques à un utilisateur

Windows NT prend en charge deux types de groupes de programmes :


 Les groupes de programmes communs sont toujours disponibles sur un ordinateur, quelle
que soit la personne qui a ouvert une session. Seul l'administrateur peut les ajouter, les
supprimer ou les modifier.
 Les groupes de programmes personnels sont la propriété de l'utilisateur qui les crée.
Les groupes de programmes communs sont stockés dans le dossier All Users sous le dossier
Profiles.

10.2 CREATION DE PROFILS D'UTILISATEURS LOCAUX


Le dossier de profil Default User, les dossiers de profil d'utilisateur définis pour chaque utilisateur
et les dossiers de profil All Users se trouvent dans le dossier Profiles situé à la racine du
système (en général %SystemRoot%).
Lorsque l'utilisateur ferme une session, toutes les modifications apportées aux paramètres par
défaut pendant la session sont enregistrées dans le nouveau dossier de profil d'utilisateur.
Chaque profil d'utilisateur commence par une copie de Default User, un profil d'utilisateur par
défaut stocké sur chaque ordinateur Windows NT. Le dossier Default User et les dossiers de
profil d’utilisateurs contiennent un fichier Ntuser.dat ainsi qu’un répertoire de liaisons aux
éléments du bureau.

Remarques

Le fichier Ntuser.dat est la partie Registre du profil d’utilisateur. Il s’agit d’une copie mise en
cache du sous-arbre HKEY_CURRENT_USER du registre, sur l’ordinateur local.
Le fichier Ntuser.dat.log est un fichier journal de transactions.

- 98 -
ESAT/DMSI/SYS Administration Windows NT Serveur

10.3 LES DIFFERENTS TYPES DE PROFILS


Il existe trois types de profils, le premier dit profil local est comme nous venons de le décrire le
type de profil créé par défaut à la première ouverture de session de l’utilisateur. Les deux autres
que nous allons détaillé sont le profil errant et le profil obligatoire.

10.3.1 Les profils errants

Un profil errant se place, par l’intermédiaire d’une copie, sur un poste qui doit être accessible par
l’utilisateur auquel ce profil est affecté. Les modifications qu’il fera seront prises en compte dans
son profil et seront visibles sur les stations où l’utilisateur ouvre une session. Si vous utilisez un
profil errant sur plusieurs ordinateurs simultanément, il conserve les paramètres de la dernière qui
fermeture de session.

La méthode à suivre pour créer un profil errant est la suivante :

1. Création du profil local sur la machine, par le moyen d’une ouverture de session sous le nom
de l’utilisateur. Attention ! assurez vous que tous les fichiers spéciaux ( papiers peints,
économiseurs d’écran, applications ciblées par des raccourcis) incorporés dans le profil sont
présents sur le système cible. Il faut par conséquent veiller à ce que les standards de
déploiement des applications soient précis et surtout respecté.

2. Ouverture d’une session en tant qu’administrateur, allez dans les Propriétés du système sur
l’onglet Profils utilisateurs.

3. Sélectionnez le profil souhaité et cliquez sur le bouton copier vers.

- 99 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4. Sélectionnez le dossier où vous voulez copier le profil. Si vous désirez le placer sur une autre
machine il vous faudra taper un chemin UNC comme suit :

\\Nom_serveur\nom_de_partage_dossier_profils\nom_profil_utilisateur. Vous pouvez en


cliquant sur le bouton modifier changer le ou les propriétaires du profil sélectionné pour par
exemple l’affecter à un groupe d’utilisateurs.

Remarque

Un profil errant peut être affecté à plusieurs utilisateurs ou à un groupe d’utilisateur. Pour cela,
avant de copier votre profil il faudra dans la boîte copier vers cliquer sur le bouton modifier pour
changer les permissions sur le profil.

5. Un fois cette opération terminée il ne vous reste plus qu’a aller dans le gestionnaire des
utilisateurs pour modifier le chemin de recherche du profil. Sélectionnez l’utilisateur,
visualisez ses caractéristiques et cliquez sur le bouton Profil. Tapez dans la partie Chemin
du profil de l’utilisateur le nouvel emplacement. Validez par Ok.

- 100 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Comme les profils errants, les profils obligatoires peuvent être stocké sur une autre machine.

Une fois que vous avez établi un profil réseau, Windows NT maintient tout de même un profil
localement sur la station de travail, ce qui vous permet de retrouver un bureau familier lorsque le
réseau n’est pas disponible. Lorsque vous vous déconnectez du réseau, le système synchronise
vos profils avec des copies de la configuration courante du bureau. On parle de profil mis en
cache local.
Si aucune opération n’est faite sur le registre ce profil est conservé sur la machine. Pour éviter
qu’une copie du profil reste stocké sur la station, on peut modifier ou créer la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
DeleteRoamingCache REG_DWORD
Valeur: 0 ou 1, valeur par défaut : 0
Si la valeur est à 1 le profil mis en cache est détruit quand l’utilisateur ferme sa session.

Point important à noter, certains paramètres du Panneau de configuration stocké dans le


Registre dépendent du matériel. Par exemple, la résolution de l’affichage vidéo. En conséquence,
seuls des machines ayant des caractéristiques matérielles similaires peuvent partager des profils
( vous auriez un certain mal à partager le même profil entre votre moniteur 21 pouces et votre
ordinateur portable).

10.3.1.1 Bascule entre un profil d'utilisateur errant et un profil d'utilisateur local


Cette opération peut être réalisée par tous les utilisateur possédant un profil errant.

1. afficher Propriétés du système.

2. Dans la zone de liste Profils enregistrés sur cet ordinateur, sous l'onglet Profils d'utilisateur,
cliquez sur un profil errant.

3. Cliquez sur Modifier le type.

- 101 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4. Cliquez sur Profil local ou sur Profil Errant.

Remarques :

Si la connexion réseau est lente, cliquez sur Profil Errant, puis activez la case à cocher Utiliser
des profils mis en cache pour les connexions lentes afin d'éviter le téléchargement du profil
errant.

Si Profil errant n'est pas disponible, cela signifie que le profil est un profil local.

10.3.2 Les profils obligatoires

Un profil obligatoire est par nature imposé a l’utilisateur. Il est construit a partir d’un profil errant
existant en renommant le fichier Ntuser.dat en Ntuser.man. Le profil ainsi modifier pourra être
transformé par l’utilisateur en cour de session, mais à chaque nouvelle ouverture de session
l’utilisateur perdra ses modifications pour retrouver le profil obligatoire. Voilà qui fait l’affaire
lorsqu’il s’agit de fixer un environnement uniforme pour un grand nombre d’opérateur de saisie,
ou de réduire les appels au support technique parce que quelqu’un a supprimé une icône ou
dérangé un paramètre.

Remarque :

- 102 -
ESAT/DMSI/SYS Administration Windows NT Serveur

L'utilisation de profils errants ou de profils obligatoire génère un important traffic sur le réseau. Si
tous les utilisateurs d'un domaine ouvre leur session en même temps la charge du réseau sera
trop grande.

10.4 SUPPRESSION D’UN PROFIL


Sur un serveur ou une station dès qu’un utilisateur ouvre une session un profil existant est chargé
ou un nouveaux profil est créé. On arrive vite a un dossier Profiles assez important. Pour
supprimer les profils qui ne sont plus utilisé, vous devez passer par la boîte Propriétés du
système. Si vous supprimez ces profil directement en passant par l’Explorateur la partie des
information relatif aux profils, et contenu dans la base de registre, reste inchangée.

Choisissez l’onglet Profils Utilisateurs.

Choisissez un Profil dans la liste et cliquez sur supprimer.

Rappel

Vous devez avoir ouvert une session en tant que membre du groupe administrateur pour pouvoir
supprimer un profil utilisateur.

- 103 -
ESAT/DMSI/SYS Administration Windows NT Serveur

11DUPLICATION DE RÉPERTOIRES
La mise à jour des ressources partagées est une tâche utile réalisée par le service Duplicateur
de répertoires de Windows NT Server. Si vous disposez d'un ensemble de fichiers que vous
voulez répartir entre de nombreux utilisateurs, vous pouvez créer et mettre à jour des
arborescences similaires sur plusieurs serveurs et stations de travail, puis répartir la charge entre
les différents ordinateurs.

Configurez un serveur en tant que serveur d'exportation, sur lequel vous placerez les copies
principales des fichiers. Configurez les autres ordinateurs en tant qu'ordinateurs d'importation.
Une seule copie de chaque fichier doit être mise à jour, mais tout ordinateur concerné dispose
d'une copie identique de cet ensemble de fichiers. Chaque serveur d'exportation assure la mise à
jour d'une liste d'ordinateurs vers lesquels sont exportés les sous-répertoires, et chaque
ordinateur d'importation met à jour une liste des ordinateurs à partir desquels sont importés les
sous-répertoires.

Lorsque vous mettez à jour un fichier dans l'arborescence d'un serveur (serveur d'exportation), le
fichier mis à jour est automatiquement copié sur tous les autres ordinateurs (ordinateurs
d'importation). Seuls les serveurs exécutant Windows NT Server peuvent être des serveurs
d'exportation. Les ordinateurs d'importation, quant à eux, peuvent exécuter Windows NT Server
ou Windows NT Workstation.
Un fichier est dupliqué lorsqu'il est ajouté pour la première fois dans un répertoire d'exportation,
puis chaque fois qu'une modification est enregistrée sur le serveur d'exportation.

Vous pouvez même dupliquer des répertoires sur des ordinateurs appartenant à des domaines
différents. Les serveurs d'exportation peuvent exporter vers des noms de domaine, et les
ordinateurs d'importation peuvent importer à partir de ces noms. C'est un moyen pratique de
configurer la réplication de répertoires pour de nombreux ordinateurs. Pour les opérations
d'exportation et d'importation, les ordinateurs concernés doivent juste spécifier quelques noms de
domaine, au lieu d'une longue liste de noms d'ordinateurs.

11.1 FONCTIONNEMENT DE LA DUPLICATION DE REPERTOIRES


La duplication de répertoires est lancée et exécutée par le service Duplicateur de répertoires.
Ce service fonctionne sur chaque serveur d'exportation et ordinateur d'importation concerné par
la duplication et se connecte au même compte d'utilisateur, créé à cet effet.

Vous configurez un serveur d'exportation et des ordinateurs d'importation pour envoyer et


recevoir les fichiers mis à jour. Un répertoire d'exportation situé sur le serveur d'exportation

- 104 -
ESAT/DMSI/SYS Administration Windows NT Serveur

contient tous les répertoires et sous-répertoires dans lesquels se trouvent les fichiers à dupliquer.
Lorsque des modifications sont enregistrées dans ces fichiers, les nouveaux fichiers remplacent
automatiquement les fichiers existants, sur tous les ordinateurs d'importation.
Vous pouvez également spécifier que le serveur d'exportation transmette immédiatement les
modifications apportées aux fichiers ou, pour éviter d'exporter des arborescences partiellement
modifiées, qu'il attende qu'un sous-répertoire d'exportation soit stable pendant deux minutes
avant de procéder à l'exportation.

Par ailleurs, vous pouvez, le cas échéant, verrouiller un répertoire d'importation ou d'exportation.
Les modifications d'un répertoire verrouillé ne seront exportées ou importées que si celui-ci est au
préalable déverrouillé.
Sur le serveur d'exportation, vous pouvez également préciser quels ordinateurs ou domaines
recevront les copies dupliquées des répertoires exportés par ce serveur.

Le chemin d'exportation par défaut d'un serveur d'exportation est le suivant :

C:\%SystemRoot%\System32\Repl\Export

Tous les répertoires à dupliquer sont exportés sous forme de sous-répertoires créés dans le
chemin d'exportation. Ces sous-répertoires ainsi que les fichiers placés dans ceux-ci sont
automatiquement exportés. Les serveurs d'exportation peuvent dupliquer un nombre illimité de
sous-répertoires (en fonction de la mémoire disponible), chaque sous-répertoire exporté pouvant
avoir au maximum 32 niveaux de sous-répertoires dans son arborescence.

Le chemin d'importation par défaut d'un ordinateur d'importation est le suivant :

C:\%SystemRoot%\System32\Repl\Import.

Les sous-répertoires importés et leurs fichiers sont automatiquement placés à cet endroit. Vous
n'avez pas besoin de créer les sous-répertoires d'importation, ils le sont automatiquement lors de
la duplication.

Un réseau peut avoir plusieurs serveurs d'exportation. En règle générale, pour assurer l'intégrité
des informations dupliquées, les sous-répertoires dupliqués ne sont pas exportés. Chaque sous-
répertoire d'exportation maître est souvent mis à jour et exporté par un seul serveur d'exportation.
Il est possible de configurer plusieurs serveurs exportant le même sous-répertoire, mais les
fichiers exportés dans ces sous-répertoires maîtres multiples peuvent ne pas être identiques.

11.2 CONNAISSANCES PRÉALABLES RELATIVES A LA DUPLICATION


Avant qu'un ordinateur puisse participer aux opérations de duplication, vous devez créer un
compte d'utilisateur spécial. Ensuite, configurez le service Duplicateur de répertoires de chaque
ordinateur d'un domaine, participant à la duplication, afin qu'ils ouvrent une session à l'aide de ce
compte spécial :

 Dans le Gestionnaire des utilisateurs pour les domaines, créez un compte d'utilisateur
du domaine pour le service Duplicateur de répertoires, qui sera utilisé pour l'ouverture de
session. Assurez-vous que la case à cocher Le mot de passe n'expire jamais est activée
pour ce compte d'utilisateur, que tous les horaires d'ouverture de session sont autorisés, et
que le compte appartient bien aux groupes Opérateurs de sauvegarde du domaine et
Duplicateur.

- 105 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Après la création du compte d'utilisateur pour chaque ordinateur qui sera configuré
comme serveur d'exportation ou ordinateur d'importation, utilisez l'icône Service du panneau
de configuration pour paramétrer le service Duplicateur de répertoires afin qu'il démarre
automatiquement et ouvre une session à l'aide de ce compte d'utilisateur. Assurez-vous que le
mot de passe correspondant à ce compte d'utilisateur est tapé correctement.

11.3 CONFIGURATION D'UN SERVEUR D'EXPORTATION


Tout ordinateur exécutant Windows NT Server peut être configuré comme serveur d'exportation,
contrairement aux ordinateurs exécutant Windows NT Workstation.

Avant de configurer un serveur d'exportation, vous devez effectuer les tâches suivantes sur le
serveur d'exportation :

 Affectez un compte d'ouverture de session au service Duplicateur de répertoires du


serveur d'exportation.

- 106 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Créez les répertoires à exporter. Il doit s'agir de sous-répertoires placés dans le chemin
d'exportation de duplication (en général, C:\%SystemRoot%\ System32\Repl\Export).

Remarque :

Seul les sous dossiers se trouvant dans le répertoire Export et leur contenu seront dupliqués.

Utilisez la boîte de dialogue Duplication de répertoires pour configurer un serveur d'exportation.

11.3.1 Gestion des sous-répertoires exportés

Lorsque, dans la boîte de dialogue Duplication de répertoires, vous cliquez sur le bouton
Gérer, sous Exporter les répertoires, vous pouvez gérer certaines fonctionnalités liées à la
duplication des sous-répertoires par le serveur d'exportation.

 Vous pouvez verrouiller un sous-répertoire pour empêcher qu'il soit exporté vers n'importe
quel ordinateur d'importation. Par exemple, si vous savez qu'un répertoire recevra une
série de modifications que vous ne voulez pas dupliquer partiellement, vous pouvez
placer un ou plusieurs verrous sur le sous-répertoire, dans le chemin d'exportation. Ce
sous-répertoire ne sera pas dupliqué avant que vous n'ayez supprimé le ou les verrous.
La date et l'heure de verrouillage sont affichées afin que vous sachiez depuis combien de
temps un verrou est actif.

- 107 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Lorsque vous stabilisez un sous-répertoire, le serveur d'exportation attend deux minutes


après la réalisation des modifications pour procéder à l'exportation du sous-répertoire.
Cette période d'attente permet la prise en compte des dernières modifications effectuées
afin que toutes les modifications souhaitées soient enregistrées avant la duplication.

 Vous précisez si vous souhaitez exporter la sous-arborescence complète (à savoir le


sous-répertoire d'exportation et tous ses sous-répertoires), ou juste le sous-répertoire de
premier niveau du chemin du répertoire d'exportation.

11.4 CONFIGURATION D'UN ORDINATEUR D'IMPORTATION


Les ordinateurs Windows NT Server et Windows NT Workstation peuvent être configurés comme
ordinateurs d'importation. Un ordinateur exécutant Windows NT Server et configuré comme
serveur d'exportation peut également être configuré comme ordinateur d'importation.

Avant de configurer un ordinateur d'importation, vous devez attribuer un compte d'ouverture de


session au service Duplicateur de répertoires de l'ordinateur concerné.
Sur l'ordinateur d'importation, vous n'avez pas besoin de créer de sous-répertoire d'importation.
Un sous-répertoire est automatiquement créé lors de la première importation.
Utilisez la boîte de dialogue Duplication de répertoires pour configurer un ordinateur
d'importation. La version Windows NT Server de cette boîte de dialogue est légèrement différente
de la version Windows NT Workstation. Cette dernière contient uniquement les éléments liés aux
répertoires importés.

- 108 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Conseil Vous pouvez configurer un serveur pour qu'il duplique une arborescence de son
répertoire d'exportation vers son répertoire d'importation. Cette duplication peut servir de
sauvegarde locale des fichiers. Vous pouvez également utiliser la version importée de ces
fichiers comme autre source d'accès pour les utilisateurs, tout en conservant la version
d'exportation de ces fichiers comme source principale.

11.4.1 Gestion des verrous et affichage de l'état des sous-répertoires d'importation

Vous pouvez utiliser des verrous pour empêcher les importations vers des sous-répertoires d'un
ordinateur d'importation. L'importation d'un sous-répertoire verrouillé vers un tel ordinateur est
impossible tant que le verrou est en place. Le verrouillage d'un sous-répertoire sur un ordinateur
d'importation affecte uniquement la duplication vers cet ordinateur et ne concerne pas les autres
ordinateurs d'importation.

Vous pouvez gérer les verrous placés sur les sous-répertoires et également afficher l'état de
chaque sous-répertoire en cliquant sur le bouton Gérer, sous Importer les répertoires, dans la
boîte de dialogue Duplication de répertoires.

La colonne Etat peut contenir une des quatre entrées suivantes :

 OK indique que le sous-répertoire reçoit régulièrement des mises à jour provenant d'un
serveur d'exportation et que les données importées sont identiques à celles exportées.

 Sans maître indique que le sous-répertoire ne reçoit pas de mises à jour. Il est possible
que le serveur d'exportation soit arrêté, ou qu'il soit verrouillé.

 Pas de synchronisation indique que bien que le sous-répertoire ait reçu des mises à
jour, les données ne sont pas à jour. Cette situation peut être due à une défaillance de
communication, à des fichiers ouverts sur l'ordinateur d'importation ou le serveur
d'exploitation, à l'interdiction pour l'ordinateur d'importation d'accéder au serveur
d'exportation ou à un mauvais fonctionnement du serveur d'exportation.

 Aucune entrée (vide) indique qu'il n'y a jamais eu de duplication pour ce sous-répertoire.
Il est possible que la duplication ne soit pas convenablement configurée pour cet
ordinateur d'importation et/ou pour le serveur d'exportation.

La colonne Dernière mise à jour indique la date et l'heure de la dernière modification apportée
au sous-répertoire d'importation ou à l'un de ses sous-répertoires.

- 109 -
ESAT/DMSI/SYS Administration Windows NT Serveur

11.5 PARAMÉTRAGE DU SERVICE DE DUPLICATION.


Par l'intermédiaire de la clé suivante vous pouvez paramétrer le service de duplication de
répertoire.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Replicator\Param
eters

Les valeurs suivante permet d'accéder à des réglages non disponible dans les applets
graphiques.

GuardTime REG_DWORD

Domaine de variation : de 0 à la moitié de la valeur Interval en minutes (par défaut : 2 minutes)

Définit le nombre de minutes où le répertoire d'exportation doit être stable (pas de changement
dans le contenu des fichiers) avant la duplication.

Interval REG_DWORD

Domaine de variation : 1 – 60 minutes (par défaut : 5 minutes)

Définit la fréquence de contrôle par un serveur d'exportation des modifications effectuées dans
les répertoires dupliqués.

Remarque :

Vous n'est pas obligé d'utiliser le service de duplication pour copier des fichiers d'un serveur à un
autre. Vous pouvez très bien utiliser des connections aux partages administratifs de vos
machines.

- 110 -
ESAT/DMSI/SYS Administration Windows NT Serveur

12STRATÉGIE SYSTÈME
Sur les ordinateurs Windows NT Workstation ou Windows NT Server, le contenu du profil
d'utilisateur est issu de la partie utilisateur du Registre Windows NT. Une autre partie du Registre,
relative à l'ordinateur local, contient les paramètres de configuration, ainsi que les profils
d'utilisateur, qui peuvent être gérés à l'aide de l'Editeur de stratégie système. Cet outil vous
permet de créer une stratégie système pour contrôler les environnements de travail et les actions
de l'utilisateur, et d'appliquer la configuration système à tous les ordinateurs Windows NT
Workstation et Windows NT Server.

La stratégie système vous permet de contrôler certains aspects des environnements de travail de
l'utilisateur sans appliquer les restrictions d'un profil d'utilisateur obligatoire.

Vous pouvez limiter les actions que les utilisateurs peuvent effectuer à partir du bureau, par
exemple en limitant certaines options du Panneau de configuration, en personnalisant certaines
parties du bureau ou en configurant des paramètres de réseau.

12.1 FONCTIONNEMENT DE LA STRATEGIE SYSTEME


Les entrées de l'Éditeur de stratégie système modifient les paramètres de Registre de
l'ordinateur local de la manière suivante :

Les paramètres du bureau définis pour Utilisateur par défaut dans l'Éditeur de stratégie
système modifient la clé HKEY_CURRENT_USER du Registre, qui définit le contenu du profil
d'utilisateur en vigueur pour l'ordinateur (fichier ntuser.dat ).

Les paramètres d'ouverture de session et d'accès réseau définis par Ordinateur par défaut dans
l'Éditeur de stratégie système modifient la clé HKEY_LOCAL_MACHINE du Registre.

L'Éditeur de stratégie système crée un fichier appelé Ntconfig.pol, qui contient des paramètres
pour les utilisateurs (profils d'utilisateur) et les ordinateurs.

Remarque :

La stratégie système contrôle les paramètres du profil d'utilisateur pour l'ensemble du domaine.

12.1.1 Exemple de stratégie système

Des exemples de stratégie système sont connus sous %SystemRoot%\inf. Ces fichiers modèle
sont installés automatiquement.

Winnt.adm Contient des paramètres spécifique à Windows NT

Windows.adm Contient des paramètres spécifique à Windows 95

- 111 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Contient des paramètres spécifique à Windows 95 et


Common.adm à Windows NT mais non contenu dans Winnt.adm et
Windows.adm.

Les fichiers de stratégie système créés sur des ordinateurs Windows NT ne peuvent pas être
utilisés sur des ordinateurs Windows 95, et vice versa.

12.2 CRÉATION D'UNE NOUVELLE STRATÉGIE

12.2.1 Pour créer une nouvelle stratégie pour un domaine :

1. Dans le menu Fichier, cliquez sur Nouvelle stratégie.

2. Pour spécifier les ordinateurs auxquels s'appliqueront vos modifications des paramètres
du Registre, vous pouvez effectuer les opérations suivantes :
 Double-cliquez sur l'icône Utilisateur par défaut ( ) afin de modifier les
paramètres du Registre définis pour HKEY_CURRENT_USER pour tous les
ordinateurs du domaine.

 Double-cliquez sur l'icône Ordinateur par défaut ( ) afin de modifier les


paramètres du Registre définis pour HKEY_LOCAL_MACHINE pour tous les
ordinateurs du domaine.
3. Pour ajouter des paramètres dans le Registre, cliquez dans le menu modifier pour
effectuer les opérations suivantes :
 Pour modifier HKEY_CURRENT_USER pour des utilisateurs spécifiques, cliquez
sur Ajouter un utilisateur ( ), et entrez le nom de l’utilisateur à ajouter. Vous
pouvez en utilisant le bouton parcourir visualiser l’ensemble des utilisateurs du
domaine.
 Pour modifier HKEY_LOCAL_MACHINE pour des ordinateurs spécifiques, cliquez
sur Ajouter un ordinateur ( ), et entrez le nom de l’ordinateur à ajouter. Vous
pouvez en utilisant le bouton parcourir visualiser l’ensemble des ordinateurs du
domaine.

- 112 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Pour modifier HKEY_CURRENT_USER pour des groupes spécifiques, cliquez sur


Ajouter un groupe ( ).
4. Si nécessaire, finissez de configurer les paramètres de stratégie pour tous les autres
fichiers que vous avez ajoutés. Cliquez dans le menu Fichier sur Enregistrer sous.
5. Dans la zone Enregistrer sous, spécifiez le dossier Netlogon sur le contrôleur principal
de domaine : %systemroot%\SYSTEM32\REPL\IMPORT\SCRIPTS.
6. Dans la zone Nom du fichier, tapez NTconfig.pol, puis cliquez sur le bouton
Enregistrer.

Remarques :

Les fichiers de stratégies système devront être présent sur tous les contrôleurs du domaine. Si
un utilisateur ouvre une session dans son domaine et se fait authentifier par un contrôleur de
domaine ne possédant pas le fichier de stratégie système celui-ci ne sera pas chargé.

Le nom du fichier Ntconfig.pol est le seul qui déclenche une stratégie.

12.2.2 PARAMETRES DE STRATEGIE SYSTEME PAR DEFAUT

Lorsque vous cliquez sur l'icône Ordinateur par défaut, soit sur l'icône Utilisateur par défaut,
une représentation graphique des catégories de la partie associée du Registre s'affiche.

Outre la nature activée / désactivée habituelle des cases à cocher, celles de l'Editeur de
stratégie système disposent d'un troisième paramètre, qui est l'état estompé. Ce paramètre sert
à indiquer que la valeur précédente du paramètre dans le Registre reste inchangée.

- 113 -
ESAT/DMSI/SYS Administration Windows NT Serveur

12.2.3 DÉFINITION DES RESTRICTIONS DES PROFILS D'UTILISATEUR

L'option Utilisateur par défaut vous permet de contrôler les paramètres du profil d'utilisateur.

Panneau de configuration

Interface

Système

- 114 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Système Windows NT

12.2.4 STRATÉGIE D'ORDINATEUR

L'option Ordinateur par défaut vous permet de contrôler les paramètres d'ouverture de session
et d'accès réseau pour les ordinateurs.

Réseau Vous pouvez spécifier une mise à jour à distance des


stratégies système au lieu d'une mise à jour à partir du fichier
Ntconfig.pol sur les contrôleurs de domaine.
Système Vous pouvez spécifier le contenu des entrées Exécuter et
Exécuter une fois qui sont utilisées pour indiquer les
applications qui doivent être exécutées au démarrage.

Imprimantes Windows NT Pour les serveurs d'impression, vous pouvez désactiver le


processus d'exploration du spouler d'impression qui envoie
périodiquement des informations aux autres serveurs
d'impression sur les imprimantes partagées sur le serveur.

Accès distant Windows NT Lors de l'utilisation d'un serveur d'accès distant, vous pouvez
définir un nombre et un délai maximaux pour les nouvelles
tentatives consécutives à un échec d'authentification.

12.2.5 Utilisation de l'éditeur de stratégie système pour modifier le registre

Vous pouvez utiliser la commande Ouvrir le Registre du menu Fichier de l'Editeur de stratégie
système pour modifier les paramètres du Registre Windows NT sur l'ordinateur local.
1. Dans le menu Fichier, cliquez sur Ouvrir le registre.

- 115 -
ESAT/DMSI/SYS Administration Windows NT Serveur

2. Double-cliquez sur l'icône Utilisateur par défaut pour modifier les paramètres de
Registre définis pour HKEY_CURRENT_USER.
3. Double-cliquez sur l'icône Ordinateur par défaut pour modifier les paramètres de
Registre définis pour HKEY_LOCAL_MACHINE.
4. Dans le menu Fichier, cliquez sur Enregistrer.
5. Dans le menu Fichier, cliquez sur Fermer.

12.3 PRIORITE DES STRATEGIES


Si certains utilisateurs, groupes ou ordinateurs particuliers nécessitent des paramètres autres que
les paramètres par défaut, vous pouvez modifier ces derniers pour répondre à des besoins
particuliers et ajouter les utilisateurs, les groupes et ordinateurs appropriés. Ceux que vous
ajoutez reçoivent des entrées distinctes dans le fichier Ntconfig.pol, qui contiennent les
paramètres qui diffèrent de ceux de la stratégie système par défaut. Lorsqu'un utilisateur ou le
membre d'un groupe pour lequel des paramètres de stratégie particuliers sont définis dans le
fichier Ntconfig.pol ouvre une session, le système recherche Ntconfig.pol ainsi que les
paramètres spéciaux qui s'appliquent spécifiquement à cet utilisateur ou membre du groupe. De
même, si un ordinateur est ajouté et que des paramètres spéciaux sont définis dans l'Editeur de
stratégie système, toute personne ouvrant une session sur cet ordinateur reçoit ces paramètres
d'ordinateur.

Remarque

La stratégie d'ordinateur est appliquée lorsque l'utilisateur ouvre une session. Cette stratégie est
issue du domaine d'ouverture de session de l'utilisateur, et non du domaine de l'ordinateur. Cela
peut générer certains problèmes lorsque des utilisateurs ouvrent des sessions sur différents
domaines et que tous les domaines n'utilisent pas la stratégie système.

Par exemple:
Monsieur X a un compte d'utilisateur sur le domaine DOM1 et se rend sur le site DOM2. Lorsqu'il
ouvre une session sur un ordinateur du domaine DOM2, elle est validée par un serveur
d'ouverture de session du domaine DOM1. Si Monsieur Y, qui a un compte d'utilisateur sur le
domaine DOM2, ouvre une session lorsque Monsieur X a fermé sa session et que le domaine
DOM2 n'utilise pas la stratégie système, le profil d'ordinateur du domaine DOM1 n'est pas
remplacé et reste actif. Pour remédier à ce problème, mettez en oeuvre la stratégie système sur
tous les domaines ou utilisez le mode de mise à jour manuel pour charger une stratégie
spécifique sur les ordinateurs concernés.

- 116 -
ESAT/DMSI/SYS Administration Windows NT Serveur

12.3.1 Evaluation du profil pour des utilisateurs et des ordinateurs

Lorsque plusieurs profils s'appliquent à un utilisateur, un profil d'utilisateur pour un utilisateur


spécifique est prioritaire par rapport à un profil d'utilisateur pour un groupe dont cet utilisateur est
membre.
 Si aucun profil d'utilisateur spécifique n'a été défini pour l'utilisateur, un profil de groupe
pour un groupe comprenant cet utilisateur est utilisé, s'il est disponible, avant le profil
Utilisateur par défaut.
 Si aucun profil d'ordinateur n'est défini pour un ordinateur spécifique, le profil Ordinateur
par défaut est utilisé.
 Si plusieurs profils de groupe s'appliquent à un utilisateur, ils sont appliqués dans l'ordre
spécifié dans la boîte de dialogue Priorité du Groupe. Pour accéder à cette boîte allez
dans Option, Priorité de groupe.

12.3.2 Utilisation du mode de mise à jour manuelle

Le mode de mise à jour manuelle garantit que la stratégie système est toujours copiée à partir
d'un serveur spécifique, quelle que soit la personne qui ouvre une session. Lorsque vous pouvez
faire passer le mode de mise à jour à distance d'automatique à manuelle du fichier de stratégie
système, vous spécifiez un autre chemin que le dossier Netlogon sur les Contrôleurs de
domaine. Cette solution peut être adoptée pour des contraintes de débit du réseau par exemple.

Pour utiliser cette fonctionnalité, vous devez recourir à l'Editeur de stratégie système sur des
ordinateurs individuels afin de modifier le chemin de mise à jour. ( copier les fichiers qui compose
l'éditeur de stratégie. A savoir le fichier Poledit.exe sous %SystemRoot% et les fichiers
Winnt.adm, Windows.adm, Common.adm sous %SystemRoot%\inf.

Pour que les clients reçoivent les mises à jour de stratégies à partir de serveurs autres que les
contrôleurs
1 Sur l'ordinateur individuel, cliquez dans le menu Fichier sur Ouvrir le Registre.
Ou, dans le menu Fichier, cliquez sur Connecter, puis spécifiez le nom d'un ordinateur.
2 Double-cliquez sur l'icône Ordinateur par défaut.
3 Cliquez sur le signe plus en regard de Réseau.

- 117 -
ESAT/DMSI/SYS Administration Windows NT Serveur

4 Cliquez sur le signe plus en regard de Mise à jour des stratégies système, puis cliquez
sur Mise à jour à distance.

5 Pour que des messages d'erreur de traitement du Registre s'affichent sur les ordinateurs
client, activez la case à cocher Afficher les messages d'erreur.
6 Pour télécharger le fichier de stratégie à partir d'un serveur autre que les contrôleurs de
domaine, cliquez dans la zone Mode de mise à jour sur Manuelle (Utiliser un chemin
spécifique), puis indiquez le chemin spécifique. Ce chemin peut être un chemin réseau ou
un chemin local.
7 Si nécessaire, finissez de configurer les paramètres de stratégie pour tous les autres
fichiers de stratégie de l'ordinateur, puis enregistrez les fichiers de stratégie dans le
dossier approprié.
Assurez-vous que le fichier de stratégie porte l'extension .pol.

Remarque

Vous ne pouvez accéder au Registre que sur des ordinateurs pour lesquels vous disposez de
permissions d'administrateur.

12.4 CONSTRUCTION D'UN FICHIER ADM :


La construction d'un fichier ADM va se faire par un exemple. Le problème à résoudre est le
suivant :

- 118 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Lorsque l’on verrouille la touche Caps-Lock cela verrouille les Majuscules. Pour
déverrouiller les Majuscules, il est nécessaire de ré appuyer sur Caps-Lock.
Solution :

- Installer d’abord le Service Pack 4, si vous n’avez que le Service Pack 4 alors
télécharger un hotfix à cette adresse :
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/frn/nt40/hotfixes-ostSP3/getadmin-fix/

- Utilisez l’Editeur du Registre :

- Ouvrir la branche HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\


Keyboard Layouts \ 0000040C ( Clavier français )
- Cliquer sur Edition, Ajouter une valeur
- Nom : Attributes
- Type : REG_DWORD
- Valeur : 0x00010000 ( Hex ) (Taper simplement 00010000), puis Relancer
la machine.

Fichier ADM correspondant :

CLASS MACHINE
CATEGORY !!Cla
POLICY !!Caplock
KEYNAME"System\Currentcontrolset\Control\Keyboard
Layouts\0000040C"
VALUENAME "Attributes"
PART !!cltip1 TEXT END PART
PART !!cltip2 TEXT END PART
VALUEON NUMERIC 65536
END POLICY
END CATEGORY ; Cla

[Strings]
cltip1="Permet à NT de retrouver un fonctionnement normal"
cltip2="de la touche Caps Lock"
Cla="Clavier"
Caplock="CAPS LOCK"

Attention :
La valeur 0x10000 ne peut être passée directement. En effet, si l’on crée une ligne VALUEON
10000, c’est une valeur de type REG_SZ qui est crée. Il faut donc passer par l’équivalent décimal
de 0x10000.

1. Le fichier ADM doit être ouvert avec l'éditeur de stratégie système par Options / Exemple de
stratégie.

- 119 -
ESAT/DMSI/SYS Administration Windows NT Serveur

…avant d’ouvrir le fichier NTconfig.POL pour que les nouvelles rubriques apparaissent :

2. Validez cette option dans une machine donnée ou dans le « Default Computer » puis
enregistrer sous le Ntconfig.pol du serveur pour que la modification apparaisse sur les
machines concernées.

Remarque :

Il est possible d’étendre cette méthode à toutes les modifications du registre

- 120 -
ESAT/DMSI/SYS Administration Windows NT Serveur

13ADMINISTRATEUR DE DISQUES
L’Administrateur de disque est un outil graphique permettant d’organiser et de gérer les disques
sur votre ordinateur. Vous pouvez l’utiliser pour effectuer de nombreuses tâches, dont :
 Créer et supprimer des partitions sur un disque dur et des lecteurs logiques dans une
partition étendue.
 Formater des volumes et leur affecter un nom.
 Lire des informations d'état sur les disques, par exemple les tailles des partitions et
l'espace libre disponible pour créer d'autres partitions.
 Lire des informations d'état sur les volumes Windows NT, par exemple la lettre de lecteur,
le nom, le type de système de fichiers et la taille du volume.
 Réaliser et modifier les affectations de lettre de lecteur aux volumes de disque dur et aux
lecteurs de CD-ROM.
 Créer et supprimer des agrégats de partitions.
 Étendre des volumes et des agrégats de partitions.
 Créer et supprimer des agrégats par bandes avec ou sans parité.
 Régénérer un membre manquant ou incorrect d'un agrégat par bandes avec parité.
 Établir ou rompre des disques miroir.

13.1 AFFICHER L’ADMINISTRATEUR DE DISQUES.


Pour exécuter l’Administrateur de disque vous devez être membre du groupe administrateur.

Démarrez l’Outils d’administration(commun). Sélectionnez l’Administrateur de disque.

- 121 -
ESAT/DMSI/SYS Administration Windows NT Serveur

La première fois que vous utilisez l’Administrateur de disque, une boîte, de dialogue s’affiche
pour vous demander si vous voulez apposer une signature sur le disque principal ; choisissez
Oui pour avoir accès à l’administrateur.

13.1.1 Les différents modes d’affichage.

Vous pouvez afficher les disques dans l’Administrateur de disques, en utilisant l’aperçu de
volumes, l’affichage de disques ou en détail à travers l’affichage des Propriétés.
Pour passer d’un mode d’affichage à un autre, vous pouvez utiliser les boutons :

Affichage de volume.

Affichage de disque.

Affichage des propriétés du volume sélectionné.

Vous pouvez également passer par les commandes Volume ou Configuration du disque du
menu Aperçu. L’affichage des Propriétés du disque peut aussi se faire par la commande
Propriété du menu Outil, ou simplement en positionnant le curseur de la souri sur un volume et
en utilisant le clic droit.

13.2 CRÉER UNE PARTITION.

13.2.1 Créer une partition principale

Vous pouvez créer sur un disque une partition principale en suivant les étapes suivantes :

1. Sélectionnez une zone d'espace libre sur un disque.

1. Dans le menu Partition, cliquez sur Créer.

2. Si l'espace que vous sélectionnez n'est pas la première partition principale créée sur le
disque, cliquez sur Oui en réponse au message qui apparaît pour vous demander de
confirmer la création d'une autre partition principale, devenue nécessaire parce que la
partition du disque ne peut pas être reconnue par MS-DOS.

3. L'Administrateur de disques indique la taille minimale et maximale possible pour la


partition principale.

4. Dans la zone Créer une partition de, tapez la taille de la partition principale que vous
voulez créer, puis cliquez sur OK.

Une lettre de lecteur est attribuée à la nouvelle partition principale, qui n'est pas encore formatée.

- 122 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Votre nouvelle partition a été créée mais ne peut être utilisée car elle n’est pas formatée. Les
modifications que vous avez effectuées ne seront pas enregistrées tant que vous n'aurez pas
cliqué sur Appliquer les changements maintenant ou quitté l'Administrateur de disques.

13.2.2 Créer une partition étendue

1. Sélectionnez une zone d'espace libre sur un disque.


2. Dans le menu Partition, cliquez sur Créer une partition étendue. L'Administrateur de
disques indique la taille minimale et maximale possibles pour la partition étendue.
3. Tapez la taille de la partition étendue que vous voulez créer, puis cliquez sur OK

- 123 -
ESAT/DMSI/SYS Administration Windows NT Serveur

remarque :

Repérer une partition étendue d’un espace libre n’est pas évident pour tout le monde. En effet
Microsoft pour facilité la représentation de ces deux entités a choisi de figurer un espace libre
avec des hachures inclinées à droite et une partition étendue avec des hachures inclinées à
gauche.

13.2.3 Créer un lecteur logique

1 Sélectionnez une zone d'espace libre dans une partition étendue.


2 Dans le menu Partition, cliquez sur Créer. L'Administrateur de disques indique la
taille minimale et maximale possibles pour le lecteur logique.
3 Tapez la taille du lecteur logique que vous voulez créer, puis OK.

Remarque :
Les modifications que vous avez effectuées ne seront pas enregistrées tant que vous n'aurez pas
cliqué sur Appliquer les changements maintenant ou quitté l'Administrateur de disques.

13.2.4 Formater une partition.

De la même manière que vous formatez une disquette, vous devez formater chaque partition ou
lecteur logique avant de l’utiliser. Vous devez indiquer le système de fichiers à utiliser pour
chaque partition, ainsi qu’éventuellement un nom décrivant ce qu’elle contient.

Pour formater une partition suivez les étapes ci-après :

Sélectionnez la partition ou le lecteur a formater.

- 124 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans la boîte de dialogue Formater, indiquez :


 Le type de système de fichiers souhaités (FAT16 ou NTFS).
 La Taille d'unité d'allocation (tailles des clusters)
 Le Nom de volume (pas plus de 16 caractères).
Évitez de choisir l’option de Formatage rapide. Même si cette option vous fait gagner du temps,
elle reste tout de même dangereuse. Les secteurs défectueux pourront être utilisés pour stocker
des données.
Vous pouvez choisir d'activer une compression des données. Cette compression est directement
liée au système de fichier NTFS et n'est donc pas disponible en FAT16.

Cliquez sur OK. Une boîte de confirmation s’affiche, cliquez sur Oui pour formater la partition.

13.2.4.1 Taille des clusters.


Lors du formatage d'une partition le système d'exploitation ou l'administrateur peut définir une
taille pour les unités d'allocation (clusters). Deux cas se présente suivant le système de fichier
choisi FAT16 ou NTFS.

En FAT16 la taille par défaut du cluster est déterminée par la taille du volume et peut aller jusqu'à
64 Ko. La taille du cluster doit être une puissance de 2 comprise entre 512 et 65 536 octets. Le
tableau suivant donne la taille des clusters par défaut pour les volumes FAT16. Vous pouvez
définir une taille de cluster différente si vous formatez le volume avec la commande FORMAT à
partir de la ligne de commande cependant la taille que vous choisissez doit figurer dans le
tableau.

Taille du volume (en Mo) Secteurs par clusters Taille du clusters (en Ko)
0 – 32 1 0.512

- 125 -
ESAT/DMSI/SYS Administration Windows NT Serveur

33 – 64 2 1
65 – 128 4 2
129 – 255 8 4
256 – 511 16 8
512 – 1 023 32 16
1 024 – 2 047 64 32
2 048 – 4 095 128 64

La FAT16 n'est pas recommandée pour les volumes supérieurs à 511 Mo, car quand des fichiers
relativement petits sont créés sur un volume FAT16, la FAT utilise l'espace disque de manière
inefficace. Vous ne pouvez pas utiliser la FAT16 sur des volumes supérieurs à 4 Go, quel que
soit la taille des clusters.

Tout comme le système de fichier FAT, NTFS se sert des clusters comme unité d'allocation de
disque. Dans l'applet de Formatage vous pouvez spécifier une taille de clusters jusqu'à 4 Ko. Si
vous passez par la commande FORMAT sans spécifier une taille d'unité d'allocation en utilisant
le commutateur /a :<taille>, vous obtiendrez les valeurs par défaut apparaissant dans le tableau
suivant.

Taille du volume (en Mo) Secteurs par clusters Taille du clusters (en octets)
Inférieure ou égale à 512 1 512
513 – 1 024 2 1 024
1 025 – 2 048 4 2 048
Supérieure à 2 049 8 4 096

Remarque :

Windows NT 4.0 prend en charge la compression des fichiers. Dans la mesure où la compression
des fichiers n'est pas prise en charge sur les clusters dont la taille est supérieure à 4 Ko la taille
par défaut des clusters ne dépasse jamais 4 Ko.

13.2.5 Affecter une lettre à une partition.

Vous pouvez affecter de nouvelles lettres de lecteurs aux partitions ou lecteurs logiques. Les
lettres A et B sont affectées aux lecteurs de disquettes ; C est généralement la partition système
active. Les autres lecteurs, partitions et lecteurs logiques peuvent être affectés à des lettres
restantes de l’alphabet. Vous pouvez créer des partitions sans leur affecter de lettre.
Pour changer la lettre d’un volume, suivez ces étapes :

Sélectionnez la partition ou le lecteur logique que vous voulez changer.

- 126 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Choisissez la commande Assigner une lettre de lecteur dans le menu Outil.

Dans la fenêtre Affectation d’une lettre de lecteur, sélectionnez une lettre dans la liste.

Cliquez sur OK.

13.2.6 Changer le nom d’un volume.

Le changement de nom d’un volume est toujours possible après un formatage.

Sélectionnez la partition ou le lecteur logique que vous voulez modifier. Lancez la fenêtre
Propriétés. Puis tapez le nouveau nom dans Nom de volume.

- 127 -
ESAT/DMSI/SYS Administration Windows NT Serveur

13.2.7 Supprimer une partition.

Vous pouvez supprimer une partition à l’aide de l’administrateur de disques. Lorsque vous
effacez une partition, l’espace qu’elle occupait est transformée en espace libre. Vous pouvez
ensuite y créer une nouvelle partition et la formater avant de l’utiliser.
Windows NT ne vous autorisera pas à effacer une partition, un volume où se trouvent des objets
que le système ou vous-même être en train de manipuler.

Pour effacer une partition ou un lecteur logique, suivez ces étapes :

Sélectionnez la partition ou le lecteur logique à effacer.

Choisissez la commande Supprimer dans le menu Partition. L’Administrateur de disques affiche


un message de confirmation.

Cliquez sur Oui pour confirmer votre choix.

13.3 LES AGRÉGATS DE PARTITIONS.


Vous pouvez créer des partitions et des lecteurs logiques sur tout disques dur. Cependant,
parfois vous pourriez avoir des parcelles d’espace libre sur deux ou plusieurs lecteurs (aucun
d’entre eux n’étant assez grand pour être utilisé comme une seule partition mais représentant
néanmoins assez d’espace libre que vous ne voulez pas gaspiller). Vous pouvez collecter
l’espace libre de plusieurs disques et l’incorporer en un agrégat de partitions.

Un agrégat de partitions peut rassembler jusqu'à 32 zones d’espace libre, à partir d’un disque
physique unique ou de multiples disques physiques, et en une seule partition logique. Windows
NT affecte une lettre de lecteur unique à l’agrégat de partition qui est considéré par le système et
les applications comme un seul lecteur logique. Il n’y a pas de conditions requise quant au type
de contrôleur ; l’espace libre peut être combiné à partir de disques IDE, ESDI, EIDE et SCSI, et
l’agrégat qui en résulte pourra être formaté FAT ou NTFS .

- 128 -
ESAT/DMSI/SYS Administration Windows NT Serveur

13.3.1 Créer un agrégat de partitions

Pour créer un agrégat de partitions, suivez ces étapes.

1. Dans l’Administrateur de disques sélectionnez deux ou plusieurs zones d’espace libre sur
des disques durs disponibles, en choisissant la première zone, en appuyant sur Ctrl, et en
choisissant les suivantes (jusqu'à 32 disques peuvent être utilisés).

2. Choisissez Partition, Créer un agrégat de partitions. La boîte de dialogue Créer un


agrégat de partition apparaît.

3. Sélectionnez la taille de votre partition (Si vous choisissez d’utiliser moins d’espace libre que
disponible, l’espace restant est également divisé entre les zones choisies).

4. Cliquez sur OK pour valider.

13.3.2 Étendre un agrégat de partitions.

Vous pouvez ajouter de l’espace libre à une partition NTFS existante (sauf la partition système)
ou à un agrégat de partitions existant formaté en NTFS.

Pour étendre un agrégat de partitions, suivez ces étapes.

1. Sélectionnez l’agrégat de partitions existant ou le volume actuel, ainsi que l’espace libre que
vous voulez ajouter.

2. Choisissez la commande Étendre un agrégat de partitions dans le menu Partition. Dans la


boîte Étendre l’agrégat de partitions, rentrez la taille souhaitée.

- 129 -
ESAT/DMSI/SYS Administration Windows NT Serveur

3. Cliquez sur OK. Le système redémarre pour formater en NTFS l’espace libre ajouté a la
partition existante (le système réalise un AUTOCHK du volume puis un CHKDSK , et fait un
formatage classique de la partition).

13.3.3 Supprimer un agrégat de partitions.

Vous pouvez effacer un agrégat de partition afin que l’espace redevienne libre. Soyez certain de
sauvegarder toutes les données que vous voulez conserver avant de supprimer un agrégat de
partitions.

Pour supprimer un agrégat de partitions procédez de la manière suivant.

1. Sélectionnez l’agrégat de partitions à supprimer.

2. Choisissez Partition, Supprimer. Un message de confirmation apparaît.

3. Choisissez Oui pour supprimer l’agrégat de partitions.

- 130 -
ESAT/DMSI/SYS Administration Windows NT Serveur

13.4 TOLÉRANCE DE PANNES.


La tolérance de pannes est la capacité d'un système à poursuivre son bon fonctionnement
lorsqu'une partie de celui-ci est défaillante. Normalement, l'expression « tolérance de pannes »
est employée pour décrire des sous-systèmes de disques, mais elle peut également s'appliquer à
d'autres parties du système, voire à la totalité de celui-ci. Les systèmes à tolérance de pannes
intégrale utilisent des sources d'alimentation et des contrôleurs de disques redondants ainsi que
des sous-systèmes de disques à tolérance de pannes. Vous pouvez également employer des
sources d'alimentation de secours (UPS) pour prévenir tout risque de panne de courant.

Bien que dans un système à tolérance de pannes, les données soient toujours disponibles et à
jour, il demeure nécessaire d'effectuer des sauvegardes sur bandes, afin de protéger les
informations enregistrées sur votre sous-système de disque contre des événements destructeurs
tels que le feu, les séismes, les tornades, les inondations et les erreurs des utilisateurs. La
tolérance de pannes à l'aide de disques ne permet pas de s'affranchir totalement d'une stratégie
de sauvegarde avec stockage hors site.

La tolérance de pannes a pour objectif de répondre à des problèmes liés aux défaillances des
disques, aux pannes de courant ou à l'endommagement des systèmes d'exploitation, que ce
dernier concerne les fichiers d'amorçage, le système d'exploitation lui-même ou des fichiers
système.

Les systèmes de disques à tolérance de pannes sont normalisés et regroupés en plusieurs


niveaux RAID (Redundant Arrays of Inexpensive Disks) allant du niveau 0 au niveau 5.
Chaque niveau offre certaines caractéristiques en termes de performances, de fiabilité et de coût.
L'Administrateur de disques prend en charge les niveaux RAID 0, 1 et 5. Seuls les niveaux
1 et 5 offrent une fonctionnalité de tolérance de pannes.

Les stratégies RAID peuvent être mises en œuvre au moyen de solutions logicielles ou
matérielles. Dans le cas d'une solution matérielle, l'interface du contrôleur gère la création et la
régénération d'informations redondantes. Sous Windows NT Server, cette opération peut être
effectuée au niveau du logiciel. Du point de vue des performances, la mise en œuvre matérielle
d'une stratégie RAID peut présenter des avantages par rapport à la mise en œuvre logicielle
incluse dans Windows NT Server.

13.5 LE STANDARD RAID.


Avec un système RAID, plusieurs disques durs sont combinés à travers des manipulations
logiques, ce qui accroît d’autant la sécurité et/ou la rapidité du sous-système des entrées/sorties.
La sécurité ici consiste à dupliquer les données sur plusieurs disques ou à pouvoir les recalculer
de plusieurs façons. On arrive ainsi à la notion de redondance de données.

13.5.1 Spécificité des niveaux RAID.

Il existe plusieurs niveaux de systèmes RAID. Voici les principaux d’entre eux :

- 131 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Niveau RAID Sécurité / Rapidité

Le contrôleur découpe les données en plusieurs segments et les répartit sur


les disques durs. Les E/S avec plusieurs disques durs sont plus rapides
0 qu’avec un seul, mais il n’y a aucun mécanisme de protection des données.
Ce procédé est connu sous le nom d’agrégat par bandes. (stripe set). Sous
Windows NT, on peut le faire de manière logicielle.

Mécanisme appelé miroitage. (mirroring) ou duplexage. (duplexing). Les


données sont stockées deux fois, sur deux disques différents. Lorsque chacun
des deux disques dispose de son propre contrôleur, on parle de duplexage.
1
L’inconvénient ici tient au coût élevé du Mo, car on ne peut utiliser que la
moitié de la capacité des disques durs. La rapidité est la même qu’avec un
seul disque dur.

Comme dans le niveau 0, les données sont réparties sur plusieurs disques
durs. En outre, on enregistre sur un disque spécifique des sommes de contrôle
des données écrites. Ce mécanisme permet de corriger des erreurs sur le
2
disque dur. L’inconvénient en est le temps de calcul des sommes de contrôle
et donc de la dégradation des performances des E/S. On rencontre peut
souvent ce niveau dans la pratique.

Comme avec le niveau 0, les données sont gérées en parallèle sur plusieurs
disques. Mais ici on trouve un disque de parité pour deux (ou quatre) disques.
Le disque de parité contient une somme de contrôle réalisée à l’aide d’un ou
3
logique exclusif (XOR). Si un disque dur tombe en panne, la somme de
contrôle permet de reconstruire les données. Contrairement au RAID 1, le
RAID 3 apporte une bonne protection des données. Pour un coût minime.

Contrairement au RAID 3, les données ici ne sont pas éclatées sur plusieurs
4 disques, mais écrites en continu sur un disque. Cette méthode est
avantageuse, par rapport au RAID 3, pour les petits blocs de données.

Contrairement au RAID 3, le RAID 5 n’a pas de disque dédié aux contrôles de


parité. Les sommes de contrôle XOR sont, comme les données, réparties sur
les disques durs. On élimine ainsi le goulet d’étranglement dû à l’écriture des
5 sommes de contrôles et on atteint un plus haut débit.
L’inconvénient ici tient au délai de reconstruction qui est plus élevé qu’avec le
RAID 3, car les blocs de parité sont distribués sur tous les disques. L’avantage
est que l’on peut gérer un nombre de disques quelconque.

Certains constructeurs proposent des niveaux qui leur sont propres et qui en général sont une
combinaison des niveaux officiels.

13.5.2 Windows NT et le RAID.

Windows NT permet de réaliser des fonctionnalités RAID au niveau logiciel. Dans le gestionnaire
des E/S, on peut combiner logiquement les disques et faire gérer la coordination des blocs de
données par le système lui-même. L’inconvénient de cette approche est que le ou les

- 132 -
ESAT/DMSI/SYS Administration Windows NT Serveur

processeurs doivent prendre en charge les calculs requis, ce qui dégrade leurs performances.
Les solutions matérielles sont plus onéreuses mais apportent de meilleures performances.
L’approche logicielle du RAID ne convient pas aux serveurs. Mais elle peut aller pour des stations
ayant certaines exigences en matière de protection des données. Ici la dégradation des temps
d’accès en écriture n’est pas dramatique, les supports étant bien moins sollicités qu’avec les
serveurs.
Pour les serveurs on optera pour des solutions matérielles. Certes les contrôleurs RAID sont plus
chers, mais ils apportent de meilleures performances et des fonctionnalités optimales de sécurité.
Le gros avantage du RAID matériel, c’est que le processeur intégré à l’équipement RAID diminue
la charge du processeur principal. Maint contrôleurs RAID apportent encore d’autres
fonctionnalités, par exemple :

Cache spécifique
Pour augmenter le traitement des requêtes de lecture-écriture.

Hot-plugging
Le contrôleur autorise l’ajout de disques à chaud.

Remplacement à chaud (on line recovery)


On peut remplacer à chaud un disque défectueux. De plus, on reconstruit la redondance des
données sans arrêter le serveur. Lors de la reconstruction, les disques restent disponibles même
si les temps d’accès sont dégradés.

Hot-spare drive
Un hot-spare drive est un disque qui prend le relais d’un disque défectueux dès que le contrôleur
détecte l’anomalie. En principe, ce mécanisme permet de reconstruire automatiquement la
redondance.

Divers
Certains contrôleurs apportent des utilitaires qui permettent de surveiller, depuis le serveur ou
depuis une station, l’ensemble des disques RAID. On peut ainsi, à tout moment, connaître l’état
des disques et des liaisons RAID, ce qui permet de prévenir des situations critiques.

13.6 LES AGRÉGATS PAR BANDES (RAID NIVEAU 0).


Les agrégats par bandes sont créés en combinant des zones d'espace libre, situées sur 3 à 32
disques, afin de former un seul volume logique de grande taille. . Les données sont lues et
écrites dans l’agrégat par bande en bloc physique distinct de 64 Ko, disque par disque, ligne par
ligne selon un ordre défini sur tous les disques de l'ensemble.

Les agrégats par bandes de niveau 0 n'offrent aucune fonctionnalité de tolérance de pannes.

Sous Windows NT, les agrégats par bandes écrivent les données sur plusieurs partitions, comme
dans le cas des agrégats de partitions. Cependant, à la différence de ces derniers, l'écriture des

- 133 -
ESAT/DMSI/SYS Administration Windows NT Serveur

fichiers est effectuée sur tous les disques, de sorte que les données sont ajoutées sur chaque
disque de l'agrégat à la même vitesse.

De toutes les stratégies de gestion de disque sous Windows NT Server, y compris les agrégats
de partitions, les agrégats par bandes offrent les meilleures performances. Cependant, à l'instar
des agrégats de partitions, les agrégats par bandes n'offrent aucune fonctionnalité de
tolérance de pannes. Si l'une des partitions de l'agrégat est défaillante, toutes les données sont
perdues.

13.6.1 Créer un agrégat par bandes

Créez un agrégat par bande pour augmenter le rendement de vos lecteurs de disques.
L’Administrateur de disques détermine la taille des zones d’espace libre et la divise pour que
chaque zone ait la même taille.

Remarque :

Vous devez disposer de disques de même type EIDE ou SCSI. Il est impossible de réaliser
des agrégats par bande avec des disque IDE

Pour créer un agrégat par bandes, suivez ces étapes.


1. Sélectionnez au moins trois zones d’espace libre, chacune sur un disque physique séparé.
Maintenez la touche Ctrl tout en cliquant sur chaque zone pour sélectionner plusieurs zones
d’espace libre.
2. Choisissez Partition, Créer un agrégat par bandes. La boîte de dialogue Créer un agrégat
par bandes apparaît ; elle est semblable à la boîte de dialogue utilisée pour la création des
agrégats de partitions.
3. Dans la zone de texte Créer un agrégat par bandes de taille totale, la taille totale de
l’agrégat par bandes est indiquée. Vous pouvez changer cette taille si vous le voulez.
4. Choisissez OK, et l’Administrateur de disque crée l’agrégat par bandes des zones d’espace
libre choisies. Vous devez formater l’agrégat par bandes avant de pouvoir l’utiliser.

Remarque :

Les systèmes d'exploitation qui ne comportent pas de fonctionnalité d'agrégat par bandes, tels
que MS-DOS, ne peuvent pas reconnaître les agrégats par bandes créés par Windows NT. Par
conséquent, si vous créez un agrégat par bandes sur un ordinateur à amorçage double, les
partitions considérées seront inutilisables pour MS-DOS.

13.6.2 Supprimer un agrégat par bandes.

Vous pouvez supprimer un agrégat par bandes dans l’administrateur de disques. Cependant,
assurez-vous de faire des sauvegardes de toutes les données stockées avant de supprimer le
volume.
Pour supprimer un agrégat par bandes, suivez ces étapes :

- 134 -
ESAT/DMSI/SYS Administration Windows NT Serveur

1. Sélectionnez l’agrégat par bandes que vous voulez supprimer.


2. Choisissez Partition, Supprimer. L’Administrateur de disques affiche une boîte de dialogue
de confirmation.
3. Choisissez Oui pour supprimer l’agrégat par bandes.

13.7 LES MIROIRS (RAID NIVEAU 1)


Des jeux de disques en miroir fournissent une copie parfaite d'un disque sélectionné. Toutes les
données écrites sur le disque principal le sont également sur le disque miroir, ce qui se traduit par
une utilisation de seulement 50 % de l'espace disque. Si un disque est défaillant, le système
emploie les données stockées sur l'autre disque.

Les jeux de disques en miroir permettent de protéger une partition contre les défaillances de
support, et éventuellement de contrôleur, en maintenant à jour une copie totalement redondante
des données de cette partition sur un autre disque. Quand une partition mise en miroir est
défaillante, vous devez rompre le jeu de disques en miroir pour établir la partition restante en tant
que volume distinct, disposant de sa propre lettre de lecteur. Ce volume devient alors la partition
principale et vous pouvez établir une nouvelle relation de miroir en utilisant de l'espace libre
inutilisé de même taille, ou plus grand, situé sur un autre disque.

Les jeux de disques en miroir sont créés par duplication d'une partition en utilisant de l'espace
libre situé sur un autre disque. Si la deuxième partition est plus grande, l'espace restant devient
de l'espace libre. La même lettre de lecteur est utilisée pour les deux partitions. Toute partition
existante, y compris les partitions d'amorçage et système, peut être mise en miroir sur une autre
partition de même taille, ou plus grande, située sur un autre disque desservi par le même
contrôleur, ou un contrôleur différent. Pour créer des jeux de disques en miroir, il est préférable
d'employer des disques identiques en termes de taille, de modèle et de constructeur.

Les jeux de disques en miroir présentent généralement de meilleures performances en


lecture/écriture que les agrégats par bandes avec parité, correspondant au niveau 5. Ils ont
comme autre avantage par rapport aux agrégats par bandes avec parité de n'entraîner aucune
perte de performances, en cas de défaillance d'un de ses membres. Le coût par mégaoctet d'un
jeu de disques en miroir est plus élevé, dans la mesure où l'utilisation de l'espace disque est plus
réduite. Cependant, son coût de mise en œuvre initiale est inférieur, puisqu'il ne nécessite que
deux disques, alors qu'un agrégat par bandes avec parité en requiert trois ou plus.

Les jeux de disques en miroir réduisent les risques d'erreur irrécupérable, en garantissant
l'existence d'un jeu de données en double, ce qui multiplie par deux le nombre de disques requis
et les entrées/sorties (E/S) effectuées lors des opérations d'écriture sur le disque. En revanche,
certains gains de performances sont réalisés pour la lecture des données du fait de la répartition
de la charge des demandes d'E/S sur les deux partitions.

- 135 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Si vous voulez employer l'espace d'un jeu de disques en miroir pour d'autres usages, vous devez
d'abord rompre le jeu de disques en miroir, puis supprimer la partition considérée. Ce faisant, les
informations stockées sur les partitions concernées ne sont pas supprimées, mais il est tout de
même plus prudent d'effectuer, au préalable, une sauvegarde de ces données. Vous pouvez
alors supprimer l'une des partitions qui constituaient le jeu de disques en miroir, pour libérer de
l'espace.

13.7.1 Création d’un miroir

Toute partition, y compris les partitions d’amorçage et système peuvent être mises en miroir.

Par le passé, la mise en miroir était l’une des solutions les plus chères de protection contre la
défaillance disque. Cependant, puisqu’un miroir ne demande que deux disques durs pour
l’implémentation et qu’on obtient de bonnes réductions globales lors de l’achat de disques par
quantité, cette méthode est maintenant une alternative effective aux autres formes de tolérance
de pannes.
La création d’un miroir par l’administrateur de disques s’effectue selon les étapes suivantes :
1. Sélectionnez au moins deux zones d’espace libre sur des disques différents.
2. Choisissez Tolérance de pannes, Mettre en miroir.

L’Administrateur de disques peut alors créer des espaces de taille égale sur les deux disques et
leur affecter une lettre de lecteur.

Remarque :

Pour utiliser le mirroring vous devez disposer d’un disque SCSI.

- 136 -
ESAT/DMSI/SYS Administration Windows NT Serveur

13.7.2 Bris d’un miroir.

Lorsqu’une partition d’un ensemble de disques a une défaillance, elle devient orpheline. Pour
maintenir le service jusqu’à ce que le miroir soit réparé, le mécanisme de tolérance de pannes
dirige toutes requêtes d’Entrées/Sorties vers la partition qui se porte bien. Si la partition
d’amorçage et/ou la partition système sont impliquées, un disque d’amorçage à tolérance de
pannes est requis pour redémarrer le système. La création d’un tel disque se fait selon les étapes
suivantes :

1. Formatez une disquette sous Windows NT.

2. Si vous êtes sur un système i386, copiez NTLDR, NTDETECT.COM, NTBOOTDD.SYS


(seulement dans le cas de disque SCSI, et si le BIOS de la carte SCSI a été désactivé) et
BOOT.INI sur la disquette.

Sur un ordinateur RISC, copiez OSLOADER.EXE et HAL.DLL.

3. Modifiez le fichier BOOT.INI afin qu’il pointe vers la copie miroir de la partition d’amorçage.

Pour réparer un ensemble miroir, il faut d’abord la casser en sélectionnant Tolérance de


pannes, Briser le miroir. Cette action expose la partition restante comme un volume séparé. La
partition valide reçoit la lettre qui lui était précédemment affectée, et la partition orpheline reçoit la
lettre de lecteur logique suivante, ou une que vous aurez choisie manuellement.

Après le rétablissement du miroir en tant que partition primaire, une nouvelle relation peut être
formée en sélectionnant de l’espace libre supplémentaire et en redémarrant le processus de
création d’un ensemble miroir.

13.8 AGRÉGAT PAR BANDE AVEC PARITÉ (RAID NIVEAU 5)


Le niveau RAID 5 est connu sous le terme agrégats par bandes avec parité. Les données sont
réparties en bandes, dans des grands blocs s'étendant sur tous les disques de l'ensemble.

A la différence des autres niveaux, le niveau 5 écrit les informations de parité sur tous les
disques. La redondance des données est assurée par ces informations de parité. Les données et
les informations de parité sont disposées sur l'ensemble de disques de sorte qu'elles soient
toujours situées sur des disques différents.

- 137 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les agrégats par bandes avec parité présentent de meilleures performances de lecture que les
jeux de disques en miroir. Cependant, si l'un des membres de l'agrégat est manquant (en cas de
défaillance d'un des disques, par exemple), les performances de lecture se dégradent en raison
de la nécessité de récupérer les données avec les informations de parité.

Néanmoins, cette stratégie est préférable aux jeux de disques en miroir dans le cas d'applications
nécessitant une redondance des données et utilisées principalement pour des opérations de
lecture. Les performances d'écriture sont réduites par le calcul de parité.
En outre, du fait de ce calcul, une opération d'écriture requiert dans des conditions d'utilisation
normales trois fois plus d'espace mémoire qu'une opération de lecture et la lecture nécessite au
moins trois fois plus de mémoire qu'habituellement si l'une des partitions est défaillante.

13.8.1 Description de l'utilisation de la parité sous Windows NT.

La méthode de redondance des données employée sous Windows NT Server pour créer des
agrégats par bandes avec parité est une fonction de l'opération booléenne OU exclusif,
également appelée XOR. Le concept essentiel à retenir au sujet de la parité est le suivant :

la procédure de régénération utilise les informations de parité et les données enregistrées sur les
disques en bon état pour récréer les données stockées sur le disque défaillant. Le type de
tolérance de pannes offert par les agrégats par bandes avec parité sous Windows NT Server
permet de maintenir une « version XOR » de l'ensemble des données. Cette méthode offre la
possibilité de reconstruire les données manquantes (sur un secteur ou un disque défectueux) à
partir des autres disques de l'agrégat par bandes avec parité.

Remarque :

Les agrégats par bandes avec parité requièrent plus de mémoire système que les jeux de
disques en miroir. La quantité de mémoire vive recommandée est au minimum de 16 Mo.

Les agrégats par bandes avec parité incluent une bande de parité par ligne. Par conséquent, au
moins trois disques, au lieu de deux, doivent être utilisés pour permettre l'enregistrement
des informations de parité. Comme l'indique la figure suivante, les bandes de parité sont
réparties sur toutes les partitions afin d'équilibrer la charge d'E/S. La protection des données
assurée par cette méthode est aussi fiable que celle offerte par la mise en miroir et assure la
redondance des données à un coût correspondant à seulement un disque supplémentaire pour
l'agrégat. Cependant, en cas de défaillance d'un des disques, le temps de récupération est plus
long avec cette technique qu'avec l'utilisation de jeux de disques en miroir.

La figure suivante présente un ensemble de six disques durs et la manière dont les bandes de
parité sont réparties sur les différentes partitions.

- 138 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Si vous voulez récupérer à d'autres fins l'espace utilisé par un agrégat par bandes avec parité,
vous devez d'abord sauvegarder les données qu'il contient si vous souhaitez les employer
ultérieurement. Vous pourrez ensuite supprimer l'agrégat par bandes.

13.8.2 Création d’un agrégat par bandes avec parité.

La création d’un agrégat par bandes avec parité se fait selon les étapes suivantes :

Remarque :

Vous devez disposer de disques de même type EIDE ou SCSI. Il est impossible de réaliser
des agrégats par bande avec des disques IDE

Sélectionnez une zone d’espace disque disponible sur 3 et 32 disques.

Sélectionnez Tolérance de pannes, Création d’un agrégat par bandes avec parité.
Une boîte de dialogue indique la taille maximale et minimale possibles pour une nouvelle partition
étendue.

Dans la boîte de dialogue Création d’un agrégat par bandes avec parité, entrez la taille de la
bande et validez par OK.

L’Administrateur de disque calcule l’agrégat par bandes avec la taille totale de la parité, en
fonction du nombre de disques sélectionnés et crée un espace égale sur chaque disque. Il
combine ensuite les disques en un seul volume logique. Si vous avez sélectionné des zones
disproportionnées, l’Administrateur de disques arrondit à la valeur la plus proche.

Comme pour les autres nouveaux volumes, il faut formater l’agrégat par bandes avant de
l’utiliser. Pour formater le nouveau volume, enregistrez les modifications en sélectionnant
Partitions, Appliquer les changements maintenant ou en quittant l’Administrateur de
disques lorsque vous y êtes invité. Il faut aussi redémarrer le système avant de formater.

- 139 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarques :

Du fait de l’ajout des informations de parité dans un agrégat par bande il faut trois fois plus de
mémoire.

Les systèmes d'exploitation qui ne comportent pas de fonctionnalité d'agrégat par bandes, tels
que MS-DOS, ne peuvent pas reconnaître les agrégats par bandes créés par Windows NT. Par
conséquent, si vous créez un agrégat par bandes sur un ordinateur à amorçage double, les
partitions considérées seront inutilisables pour MS-DOS.

13.8.3 Reconstitution d’un agrégat par bandes avec parité.

Comme pour un ensemble de miroirs, la partition défaillante dans un agrégat par bandes avec
parité devient orpheline. Là aussi, le mécanisme de tolérance de pannes dirige les
entrées/sorties vers les partitions restantes pour la reconstruction, et pour ce faire, les données
sont stockées en RAM en utilisant les bits de parité (ce qui peut affecter les performances du
système).

La reconstruction d’un agrégat par bandes avec parité s’établit selon les étapes suivantes :

1. Cliquez sur l’agrégat par bandes avec parité pour le sélectionner.

2. Sélectionnez une zone d’espace libre de taille égale ou supérieur à l’agrégat par
bandes.

3. Sélectionnez Tolérance de pannes, Régénérer.

Il faut sortir de l’Administrateur de disques et redémarrer le système avant que le processus


puisse s’enclencher. Après redémarrage du système, l’information contenue dans les partitions
de l’agrégat par bandes est lue en mémoire et créée sur le nouveau membre. Ce processus se
termine en tâche de fond, et l’agrégat par bande avec parité n’est pas utilisable tant que
l’Administrateur de disques n’a pas terminé.

- 140 -
ESAT/DMSI/SYS Administration Windows NT Serveur

14ANALYSEUR DE PERFORMANCES
L’Analyseur de performances analyse en détail les processus du système. Ce programme
permet :
 D’obtenir une représentation graphique des données relatives à différents objets (UC,
mémoire, processus, services) en fonction du temps.
 De déterminer la charge à partir de laquelle ces objets doivent émettre un message
d’alerte.
 De créer des fichiers d’événements pour les caractéristiques de ces objets.
 D’établir des rapports sur le travail de ces objets.

Les nombreux contrôles de surveillance du système permettent de vérifier la charge du système


d’exploitation à travers les différents processus. Mais l’analyseur de performances ne permet pas
d’intervenir sur ces processus ni de les terminer. Pour accéder à l’analyseur :

14.1 FONCTIONS DE L’ANALYSEUR DE PERFORMANCES.


L’analyseur de performances permet de basculer entre différentes fonctions de protocole et
d’évaluations. Les commandes nécessaires sont accessibles par le menu Affichage, par les
boutons de la barre d’outils. Quatre modes d’affichage sont possibles :

14.2 PARAMÉTRAGE DU TYPE D’AFFICHAGE.

Pour chaque affichage, utilisez le bouton ou la commande Ajouter au du menu Édition


pour définir les propriétés et actions système a prendre en compte. La fenêtre Ajouter au
apparaît.

- 141 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans la fenêtre d’Ajout de propriétés ou d’événements, précisez le nom de l’ordinateur que


vous analysez. Les ordinateurs disponibles peuvent être visualisés par un clic sur la flèche
accolée à la zone de texte Ordinateur.

Sélectionner l’objet à visualiser.

Sélectionner les propriétés à observer. Windows NT décompose certains objets en instance,


dans ce cas indiquez l’instance nécessaire.

Définissez les options.

 Pour un graphique, choisissez la couleur et le style de trait

 Pour un message d’alerte, indiquez l’intervalle d’alerte.

 Pour un journal, précisez les objets.

Cliquez sur le bouton Expliquer pour obtenir des informations sur la source choisie.

Une fois les options réglées, l’analyseur de performances enregistre les données. Pour éviter
d’avoir à redéfinir ces mêmes options à chaque démarrage de ce programme, préservez-les avec
la commande Enregistrer les paramètres du menu Fichier (ou Enregistrer les paramètres
sous). L’analyseur de performance enregistre les paramètres dans des fichiers distincts selon
qu’il s’agit d’un graphe, d’une alerte, d’un journal ou d’un rapport. Les fichiers reçoivent les
extensions suivantes :

PMC : graphe.
PMA : alerte.
PML : journal.
PMR : rapport

Choisissez la commande Enregistrer l’espace de travail du menu Fichier pour valider en une
seule fois toutes les définitions. L’analyseur de performances crée alors un fichier d’extension
PMW.

Exemple de graphe de l’analyseur de performances.

- 142 -
ESAT/DMSI/SYS Administration Windows NT Serveur

L’analyseur de performance est un outil très puissant permettant de vérifier la charge de


l’ordinateur. Il faut donc laisser à ce programme le temps de s’exécuter pendant une durée
relativement longue. Mais l’analyseur de performances consomme une quantité importante de
mémoire.

14.3 CONFIGURER DES ALERTES.


Les alertes permettent d’établir les conditions pour que les compteurs qui sont au-dessus ou au-
dessous de vos spécifications enregistrent cet événement. Alors vous pouvez examiner le journal
afin de diagnostiquer les problèmes du système.

Passez à une fenêtre d’alerte en cliquant sur le bouton Afficher les alerte ou en choisissant
Affichage, Alerte. Pour configurer les paramètres d’alerte :
Choisissez Fichier, Nouveaux paramètres d’alerte pour voir une fenêtre d’alerte vide.
Cliquez sur le bouton Ajouter un compteur pour voir la boîte de dialogue Ajouter aux alertes.
Les choix d’Objet, de Compteur, et d’Instance sont les mêmes que ceux de la fenêtre du
graphe.

- 143 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour chaque compteur, spécifier une valeur dans la boîte Alerte si, demandant une alerte soit
lorsqu’un compteur est au-dessus de cette valeur, soit lorsqu’il est au-dessus.

Dans la boîte Lancer le programme au moment de l’alerte, précisez le nom d’un programme
ou d’un fichier de commande que vous voulez exécuter dès que les conditions d’alerte
surviennent (optionnel).

Choisissez Terminer quand vous avez paramètré vos alertes.

Enregistrez vos paramètres en choisissant Fichier, Enregistrer les paramètres d’alerte. Le


fichier est mémorisé avec l’extension PMA.

14.3.1 Visualiser le journal d’alerte.

Pour voir un journal de toute activité ne respectant pas les seuils que vous avez configurés,
choisissez Affichage, Alerte pour ouvrir la fenêtre d’alerte.

Le journal qui s’affiche montre ces éléments :

Un cercle coloré à la gauche de chaque listing qui correspond à la couleur que vous avez
sélectionnée pour ce compteur.
 La date et l’heure où le compteur dévie du seuil que vous fixez.
 La valeur que le compteur atteint, mettant hors fonction l’alerte.

 Une indication comme quoi la valeur est supérieure ou inférieure à votre seuil.
 Le seuil que vous fixez.
 Le nom du compteur.
 L’ordinateur sur lequel ce compteur était mesuré.

Le bas de la fenêtre contient l’explication de l’alerte et vous pouvez double-cliquer sur tout
compteur pour changer la configuration.

- 144 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Vous pouvez cliquer sur le bouton Ajouter un compteur pour ajouter des objets et compteur
supplémentaires à cette configuration d’alerte.
Le journal peut maintenir 1 000 événements d’alerte. Une fois ce nombre atteint, le plus ancien
événement d’alerte est supprimé lorsqu’un nouvel événement est ajouté.

14.4 CRÉER UN JOURNAL.


Le but d’un journal est de garder des informations sur l’activité de certains objets choisis, pour
que vous puissiez afficher et analyser les données que vous avez collectées. C’est un journal
spécifique, gardé dans un fichier spécifique, par opposition au journal gardé dans une fenêtre
d’alerte.
Pour obtenir l’utilisation maximum d’un journal, fixez une intervalle de mise à jour suffisamment
large, et suivez les informations sur une période étendue de temps.

Pour créer un journal, vous devez suivre deux étapes séparées :

 Créer un fichier de paramètres pour spécifier les objets sur lesquels vous voulez garder
l’œil.

 Créer un fichier Journal pour contenir les informations.

14.4.1 Créer les paramètres pour un Journal.

Créer un fichier de paramètres pour un journal consiste simplement à spécifier les objets dont
vous voulez garder les archives :

Passez à une fenêtre de journal vide, et cliquez sur le bouton Ajouter un compteur pour voir la
boîte de dialogue Ajouter un journal.

Choisissez chaque objet que vous voulez surveiller, et cliquez sur Ajouter. Quand vous avez
choisi tous vos objets, cliquez sur Terminer.

Vous pouvez supprimer un objet en le sélectionnant et en appuyant sur la touche Suppr, ou en


ajouter en cliquant sur le bouton Ajouter un compteur.

Choisissez Fichier, Enregistrer les paramètres du journal, et nommez le fichier. Le fichier


comporte une extension PML.

- 145 -
ESAT/DMSI/SYS Administration Windows NT Serveur

14.4.2 Créer un fichier journal.

Vous devez créer le fichier journal et spécifier les conditions de collecte des informations :

Choisissez Options, Journal pour visualiser la boîte de dialogue Options du journal.

Précisez les conditions pour la création du journal.

Dans la boîte Nom de fichier, enregistrez un chemin et un nom de fichier pour le journal.

Dans la section Fréquence de mise à jour, spécifier un intervalle et une fréquence.

Si vous voulez commencer le processus aussitôt, cliquez sur Démarrer le journal. Sinon,
choisissez OK.

Quand vous voulez démarrer le journal, ouvrez la fenêtre Journal et cliquez sur le bouton Option,
puis sur Démarrer le journal. Si vous avez déjà commencé le journal, ce bouton se transforme
en Arrêter.

14.4.3 Ajouter des signets.

Un signet est un commentaire placé dans le fichier journal. Les signets ne sont disponibles que si
le journal est actif. Pour ajouter un signet au journal :
Cliquez sur le bouton Signet ou choisissez Options, Signet.
Entrez votre annotation. Cliquez sur Ajouter pour affecter le signet au fichier journal.

Remarque :

L’opération d’ajout de signet peut se faire pendant tous les types d’affichage, graphe, alerte,
journal ou rapport.

- 146 -
ESAT/DMSI/SYS Administration Windows NT Serveur

14.5 CRÉER UN RAPPORT.


Outre de suivre l’activité actuelle, vous avez la possibilité de concevoir un rapport pour qu’il
visualise des informations d’un fichier journal établi. Pour commencer :

Passez à une fenêtre de rapport en cliquant sur le bouton Afficher le rapport sur la barre des
tâches ou, en choisissant Affichage, Rapport.

A ce point, vous devez décider si vous voulez construire un rapport pour voir l’activité actuelle ou
pour voir la sortie du fichier journal créé dans la fenêtre du journal. Pour faire un choix, choisissez
Options, Données depuis.

Commencez à fixer les paramètres en cliquant sur le bouton Ajouter un compteur (ou en
choisissant Édition, Ajouter au rapport).

Choisissez un objet de la liste Objets, choisissez alors un compteur pour cet objet de la boîte de
liste Compteurs.

Une fois vos choix fait, cliquez sur Terminer.

- 147 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Le rapport apparaît dans votre fenêtre, et vous pouvez le visualiser ou l’exporter. Le fichier
mémorisé aura une extension PMR.

14.5.1 Exporter des données.

Cette fonction va vous permettre de travailler vos fichiers rapport, graphe, alerte, et journal avec
des applications spécifiques comme des gestionnaires de base de données, des tableurs ou des
traitements de texte. Procédez de la manière suivante :
Choisissez Fichier, Exporter le pour faire apparaître la boîte de dialogue Exporter sous.

Dans la zone Enregistrer sous, cliquez sur TSV exportés (*.TSV) ou CSV exportés (*.CSV),
pour choisir votre format.
Tapez le chemin d'accès (y compris l'extension appropriée du délimiteur de colonne) du fichier
que vous souhaitez exporter, puis cliquez sur Enregistrer.
Vous pouvez désormais ouvrir le fichier exporté dans un tableur ou un programme de base de
données et utiliser les informations qu'il contient.
Remarque
Les colonnes dans les fichiers .TSV sont séparées par des tabulations. Dans les fichiers .CSV,
elles sont séparées par des virgules. Le format CSV est reconnu par Excel 97 mais le format TSV
est plus pratique à l’usage (évite la confusion entre virgule délimiteur et virgule numérique).

Exemple de journal exporté au format .CSV sous Excel 97.

- 148 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Exemple de journal exporté au format .TSV sous Excel 97.

- 149 -
ESAT/DMSI/SYS Administration Windows NT Serveur

14.6 SÉLECTION D'UN FICHIER JOURNAL EXISTANT


Pour sélectionner un fichier journal existant

Dans le menu Options, cliquez sur Données depuis. Les fichiers journaux sont de type .LOG.

Dans la zone Les valeurs affichées proviennent de, sélectionnez Fichier journal.

Dans la zone Fichier journal, tapez le nom du fichier journal que vous souhaitez afficher. Cliquez
sur OK.

Remarques :

La commande Fenêtre temporelle du menu Édition s'active.

Vous pouvez vous déplacer dans un fichier journal (en d'autres termes, changer les heures de
départ et d'arrêt) à l'aide de la commande Fenêtre temporelle du menu Édition de l'affichage.
Les heures sélectionnées s'appliquent aux quatre affichages.

14.6.1 Modification de la fenêtre temporelle

Pour modifier la fenêtre temporelle pour les informations enregistrées

Dans le menu Édition, cliquez sur Fenêtre temporelle.

Dans la boîte de dialogue Fenêtre temporelle, utilisez l'une et/ou l'autre des méthodes suivantes
pour indiquer les informations que vous souhaitez afficher.

- 150 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour changer les points de départ et d'arrêt, faites glisser l'extrémité correspondante du curseur
d'intervalle.

Pour utiliser les signets comme points de départ ou d'arrêt, sélectionnez le signet approprié, puis
cliquez sur Déclarer comme départ ou Déclarer comme arrêt. Cliquez sur OK.

L'affichage de l'écran change de façon à refléter la fenêtre temporelle sélectionnée.

Remarques :

Il est plus facile de changer les heures dans la fenêtre Graphe. Ajoutez d'abord vos sélections au
graphe. Vous pouvez ensuite déplacer la boîte de dialogue Fenêtre temporelle afin de voir les
lignes verticales grises se déplacer sur le graphe lorsque vous déplacez les extrémités de la
barre de défilement. A l'aide de cette méthode, définissez une fenêtre temporelle répondant à vos
besoins, puis définissez vos alertes, créez des rapports ou enregistrez à nouveau les données.

Dans un graphe, lorsque vous faites glisser les extrémités du curseur, vous déplacez également
deux lignes verticales grises sur le graphe.

- 151 -
ESAT/DMSI/SYS Administration Windows NT Serveur

15DIAGNOSTICS WINDOWS NT.


Les diagnostics Windows NT offrent une interface bien ordonnée aux informations du sous arbre
HKEY_LOCAL_MACHINE du registre. Comme son prédécesseur, MSD sous Windows 3.1, les
diagnostics Windows NT peuvent créer des rapports d’informations très détaillés et précieux sur
la configuration du système.

Cette boite de dialogue comporte neuf onglets :

15.1 VERSION.
Affiche les informations se trouvant dans :

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSI
ON

Et dont le numéro de version du code, le propriétaire déclaré, la clé d’accès et les informations de
mise à jour du produit.

15.2 SYSTÈME.
Affiche les informations se trouvant dans :

HKEY_LOCAL_MACHINE\HARDWARE

Dont le numéro d’UC et autres informations d’identification des périphériques.

- 152 -
ESAT/DMSI/SYS Administration Windows NT Serveur

15.3 AFFICHAGE.
Donne des informations sur la carte vidéo et ses paramètres.

- 153 -
ESAT/DMSI/SYS Administration Windows NT Serveur

15.4 LECTEURS.
Liste toutes les lettres de lecteurs utilisées et
leur types, y compris les lettres de lecteurs
de disquettes, de disques durs, de CD-ROM,
de disques optiques et de lecteurs réseau.
Double-cliquez sur une lettre de lecteurs
pour afficher la boîte de dialogue Propriété
du lecteur. L’onglet Général montre les
informations sur les clusters et les octets
libres/utilisés du disque. L’onglet Systèmes
de fichiers montre les informations sur les
systèmes de fichiers.

- 154 -
ESAT/DMSI/SYS Administration Windows NT Serveur

15.5 MÉMOIRE.
Affiche la charge mémoire courante, ainsi que les statistiques sur la mémoire physique et
virtuelle.

15.6 SERVICES.
Affiche les informations sur les services se trouvant dans :

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES
Dont leur état. Cliquez sur le bouton Périphériques pour afficher l’information se trouvant dans :

- 155 -
ESAT/DMSI/SYS Administration Windows NT Serveur

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL

15.7 RESSOURCES.
Affiche l’information concernant les périphériques par interruption et par port, ainsi que les
canaux DMA et les emplacements UMB utilisés.

Remarque :

Le fait de cocher "inclure les ressources


HAL" permet de mettre en évidence le
comportement de la HAL comme un pilote
entre la machine et le système.

- 156 -
ESAT/DMSI/SYS Administration Windows NT Serveur

15.8 ENVIRONNEMENT.
Affiche les variables d’environnement pour les sessions ;SCS (émulateur de terminal) : voir le
panneau de configuration système.

15.9 RÉSEAU.
Affiche les informations de configuration et d’état des composants réseau, pour la session
ouverte.

- 157 -
ESAT/DMSI/SYS Administration Windows NT Serveur

- 158 -
ESAT/DMSI/SYS Administration Windows NT Serveur

16GESTIONNAIRE DE SAUVEGARDES
En sauvegardant régulièrement les serveurs et disques durs locaux, vous éviterez les pertes et
endommagements de données causés par des défaillances au niveau des disques durs, pannes
d'électricité, infections par virus et autres problèmes graves éventuels liés au réseau. Les
opérations de sauvegarde basées sur une planification minutieuse et un équipement fiable
permettent de récupérer les fichiers assez aisément.

Windows NT est doté d'un Gestionnaire de sauvegardes, outil graphique qui vous permet
d'utiliser un lecteur de bande pour sauvegarder et restaurer les fichiers importants, aussi bien sur
des partitions du système de fichiers Windows NT (NTFS) que sur des partitions de la table
d'allocation des fichiers (FAT). Le Gestionnaire de sauvegardes simplifie également les
opérations d'archivage. Vous pouvez facilement enregistrer des données dans un but historique
ou légal et supprimer sans crainte des fichiers plus anciens ou que vous n'utilisez plus, sachant
que vous avez toujours la possibilité de les récupérer si nécessaire.

16.1 ETABLISSEMENT D'UN PLAN DE SAUVEGARDE RÉSEAU


Les plans de sauvegarde réseau sont plus efficaces lorsqu'ils reposent sur les besoins du
système et sur une stratégie. Lorsque vous élaborez un plan de sauvegarde sur bande, vous
devez vous poser les questions suivantes :
Quelle stratégie de sauvegarde correspond le mieux à mon environnement ?
Quel est le matériel requis pour mettre en œuvre cette stratégie ?
Quel est le meilleur emplacement pour un lecteur de bande ?

16.1.1 Remarques relatives à la stratégie

Parmi les stratégies de sauvegarde répertoriées ci-après, quelle est celle qui correspond le mieux
à votre environnement ? (Si vous n'êtes pas sûr de la réponse, étudiez les avantages et les
inconvénients de chacune d'elles à l'aide des tableaux proposés après la liste suivante.)

Sauvegarde du réseau ou de serveurs uniquement. Prévoyez-vous de sauvegarder la


totalité du réseau, avec des lecteurs de bande associés uniquement à certains serveurs sur
lesquels les utilisateurs copient leurs fichiers importants ?

Sauvegarde individuelle ou de stations de travail locales. Toutes les stations de travail et


tous les utilisateurs sont-ils équipés d'un lecteur de bande et sont-ils responsables de la
sauvegarde de leur ordinateur ?

Sauvegarde de stations de travail et de serveurs. Une seule personne sera-t-elle chargée


de sauvegarder tous les ordinateurs d'un groupe ? (Par exemple, le bureau chancelerie et
le service trésorerie disposeront-ils chacun d'un lecteur de bande ?)

Sauvegarde de serveurs uniquement

- 159 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Avantages Inconvénients

Vous avez besoin de moins de lecteurs de Les Registres et journaux des événements des
bande. ordinateurs distants ne sont pas sauvegardés.

Vous avez moins de supports à gérer car un Les opérations de sauvegarde et de


plus grand nombre de sauvegardes sont restauration sont plus lentes en raison des
stockées sur bande. limites de débit du réseau.

Les opérations de sauvegarde et de


restauration doivent être minutieusement
En fonction de la taille de votre réseau, seules
planifiées et préparées. Elles doivent être
les sauvegardes de serveurs peuvent être
effectuées lorsque le trafic réseau est moins
moins onéreuses que les sauvegardes
dense ou lorsque des informations importantes
individuelles de chaque station de travail.
peuvent être sauvegardées aussi rapidement
que possible.

Sauvegarde de stations de travail locales

Avantages Inconvénients

Moins de ressources réseau sont concernées L'utilisation d'un plus grand nombre de lecteurs
par une procédure de sauvegarde longue. de bande est plus onéreuse.

La récupération des fichiers est plus rapide.

Les sauvegardes de stations de travail et de serveurs combinent les avantages et les


inconvénients des sauvegardes de serveurs uniquement et des sauvegardes de stations de
travail locales.

16.1.2 Remarques relatives au matériel

Le support le plus couramment utilisé pour effectuer des sauvegardes et dont se sert également
le Gestionnaire de sauvegardes Windows NT est la bande magnétique. Celle-ci est très
employée car elle présente un excellent rapport performances/prix. Les principaux types de
lecteurs de bande utilisés pour effectuer des sauvegardes sont les cartouches quart de pouce
(QIC), les bandes audionumériques (DAT) et les cassettes 8 mm. Les lecteurs de bande hautes
performances et à haute capacité utilisent en règle générale des contrôleurs SCSI.

La technologie relative aux bandes évoluant rapidement, il est donc conseillé d'étudier les
avantages de chaque type de support avant d'acheter votre équipement. Lorsque vous
choisissez un lecteur de bande, tenez compte du coût du support et du lecteur ainsi que de leur
fiabilité et capacité. Dans l'absolu, la capacité d'un lecteur de bande doit au minimum permettre
de sauvegarder les données de votre plus grand serveur. Par ailleurs, les lecteurs de bande
doivent être dotés de systèmes de détection et de correction d'erreurs, actifs lors des opérations
de sauvegarde et de restauration.

Combien de lecteurs de bande vous sont nécessaires ?

- 160 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Ce nombre dépend de votre stratégie de sauvegarde générale. Les cartouches de bande étant
disponibles dans des tailles supérieures à 5 gigaoctets, vous pouvez certainement sauvegarder
l'ensemble de votre réseau à l'aide de quelques bandes et d'un seul lecteur rapide. Cependant,
étant donné la récente apparition sur le marché de lecteurs de bande moins onéreux, la
sauvegarde individuelle des données des stations de travail peut également être considérée
comme une méthode très valable.

16.1.3 Remarques relatives à l'emplacement

Vous pouvez connecter votre lecteur de bande à une station de travail ou à un serveur. Chacune
de ces configurations présente des avantages et des inconvénients :

Si vous effectuez vos sauvegardes à partir d'un serveur, vous pouvez sauvegarder et
restaurer les données de ce serveur très rapidement car vos sauvegardes comprennent le
Registre du serveur. En revanche, si votre réseau possède plusieurs serveurs, l'avantage de la
rapidité est perdu.

Les serveurs conçus pour fonctionner 24 heures sur 24 sont tous indiqués pour effectuer
les sauvegardes pendant les heures creuses. Cependant, en cas de problème avec le matériel
de sauvegarde, vous devrez couper l'alimentation de votre serveur.

En règle générale, si la majeure partie de vos informations se situe sur un seul serveur, il
est conseillé d'effectuer les sauvegardes à partir de celui-ci.

Selon que vous effectuez des sauvegardes distantes à partir d'une station de travail ou d'un
serveur, il est utile de placer un lecteur de bande sur la partie du réseau dotée de la bande
passante la plus large (fréquence de transmission la plus élevée). Pour garantir la sécurité des
données, vous serez peut-être amené à placer le lecteur de bande en lieu sûr.

- 161 -
ESAT/DMSI/SYS Administration Windows NT Serveur

16.2 SAUVEGARDE DES FICHIERS D'UN DISQUE SUR UNE BANDE


Les informations étant la ressource essentielle d'un ordinateur ou d'un réseau, l'une des fonctions
les plus importantes d'un administrateur consiste à assurer leur sauvegarde et leur récupération.
Par ailleurs, il est important de définir des stratégies de sauvegarde et de maintenance du
matériel standard afin de prévenir les problèmes, au lieu d'avoir à les résoudre. En élaborant ces
stratégies, vous devez vous poser les questions suivantes :
Quelle procédure de sauvegarde est la plus appropriée ?
A quelle fréquence doivent être effectuées les sauvegardes ?
Quel est le meilleur endroit pour stocker les bandes ?

Les réponses à ces questions vous permettront de déterminer les mesures à prendre pour
garantir la sécurité des données importantes. Ces mesures peuvent aller de la simple
sauvegarde effectuée avec le Gestionnaire de sauvegardes Windows NT à l'utilisation de
méthodes de tolérance de pannes au niveau des disques. Vous devrez ensuite définir un
calendrier d'estimations des risques, évaluer le niveau d'importance des diverses opérations, puis
déterminer les nouvelles zones à risques.

16.2.1 Types de sauvegardes

Il existe cinq types de sauvegardes : normale, par duplication, incrémentielle, différentielle et


quotidienne. Les plus utilisées sont les sauvegardes normales (complètes), incrémentielles et
différentielles.

Une sauvegarde normale copie tous les fichiers sélectionnés et les marque comme
ayant été sauvegardés (attribut Archive : A pour chaque fichier). Les sauvegardes
normales vous permettent de restaurer rapidement les fichiers, car ceux qui se trouvent
sur la dernière bande sont les plus courants.

Une sauvegarde par duplication copie tous les fichiers sélectionnés mais ne les marque
pas comme ayant été sauvegardés. La duplication est utile si vous souhaitez employer un
type de sauvegarde situé entre la sauvegarde normale et la sauvegarde incrémentielle car
elle n'invalide pas ces autres opérations de sauvegarde.

Une sauvegarde incrémentielle concerne uniquement les fichiers créés ou modifiés


depuis la dernière sauvegarde incrémentielle ou normale. Elle marque les fichiers comme
ayant été sauvegardés. Si vous utilisez une combinaison de sauvegardes normales et
incrémentielles et que vous procédez à une restauration, vous devrez commencer par la
dernière sauvegarde normale, puis utiliser les bandes contenant les sauvegardes
incrémentielles.

Une sauvegarde différentielle copie les fichiers créés ou modifiés depuis la dernière
sauvegarde normale (ou incrémentielle). Elle ne marque pas les fichiers comme ayant été
sauvegardés. Si vous effectuez des sauvegardes normales et différentielles, et que vous
procédez à une restauration, vous avez uniquement besoin de la dernière bande de
sauvegarde différentielle et de la dernière bande de sauvegarde normale.

Une sauvegarde quotidienne copie tous les fichiers sélectionnés ayant été modifiés le
jour où la sauvegarde quotidienne est effectuée. Les fichiers sauvegardés ne sont pas
marqués comme ayant été sauvegardés.

- 162 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Le tableau ci-après répertorie les avantages et les inconvénients liés aux types de sauvegardes
les plus courants.

Type de sauvegarde Avantages Inconvénients

Les fichiers sont faciles à trouver


car ils sont toujours situés dans une
Type de sauvegarde nécessitant le
Normale sauvegarde courante du système,
plus de temps.
sur une bande ou sur un jeu de
bandes.

Une seule bande, ou un seul jeu de Si les fichiers ne sont pas


bandes, est nécessaire pour fréquemment modifiés, ces
procéder à la récupération. sauvegardes sont redondantes.

L'espace nécessaire pour le Les fichiers sont difficiles à trouver


Incrémentielle stockage des données est le moins car ils peuvent être situés sur
important. plusieurs bandes.

Type de sauvegarde qui nécessite


le moins de temps.

Le processus de récupération est


Nécessite moins de temps qu'une
Différentielle plus long que si les fichiers se
sauvegarde normale.
trouvent sur une seule bande.

Si une quantité importante de


Pour procéder à la récupération, il
données est modifiée
vous suffit de disposer des bandes
quotidiennement, ce type de
contenant la dernière sauvegarde
sauvegarde peut prendre plus de
normale et la dernière sauvegarde
temps que les sauvegardes
différentielle.
incrémentielles.

Remarque :

Effectuez des sauvegardes régulières lorsque le réseau est peu utilisé. Si de nombreux fichiers
sont en cours d'utilisation, il est possible qu'une sauvegarde ne soit pas le reflet exact de votre
réseau.

16.3 FRÉQUENCE DE SAUVEGARDE


En règle générale, il est conseillé de réaliser trois copies des données importantes pour pallier les
défaillances ou pertes de bandes. En revanche, la fréquence à laquelle il convient d'effectuer ces
sauvegardes dépend de celle à laquelle sont modifiées vos données et de la valeur que ces
données ont pour vous. Les sauvegardes peuvent comprendre une sauvegarde hebdomadaire,
une sauvegarde mensuelle et une sauvegarde d'archivage. La bande d'archivage peut être une
simple copie, et non une sauvegarde complète.

Remarque :

- 163 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les sauvegardes représentent également une garantie contre les virus. Dans la mesure où
certains virus n'apparaissent pas avant plusieurs semaines, gardez les bandes contenant les
sauvegardes normales pendant au moins un mois pour être sûr de pouvoir restaurer un système
tel qu'il était avant infection.

16.3.1 Rotation des bandes

En alternant les bandes de sauvegarde, vous réduisez le coût des opérations de sauvegarde.
Les chapitres ci-après présentent un planning de sauvegarde par rotation de bandes établi sur 12
semaines et un autre sur une année. La durée de vie d'une bande dépend du fabricant et des
conditions de stockage.

16.3.1.1 Sauvegarde sur 12 semaines


Le planning établi sur 12 semaines utilise une nouvelle bande de sauvegarde tous les jours
pendant deux semaines, puis la première bande est utilisée de nouveau au début de la troisième
semaine. Les sauvegardes incrémentielles sont effectuées du lundi au jeudi, après une première
sauvegarde normale. Les sauvegardes normales sont exécutées le vendredi avec la toute
dernière sauvegarde normale stockée sur site. La sauvegarde normale de la semaine précédente
est stockée hors du site. Au bout des 12 semaines, le cycle recommence avec un nouveau jeu de
bandes.

16.3.1.2 Sauvegarde sur une année


Un type de planning de sauvegarde par rotation de bandes très employé utilise 19 bandes sur
une année. Quatre bandes servent du lundi au jeudi pour effectuer les sauvegardes
incrémentielles (ou différentielles) et trois bandes sont utilisées pour les sauvegardes normales
hebdomadaires (effectuées le vendredi). Les 12 autres bandes sont réservées aux sauvegardes
normales mensuelles et sont stockées hors du site.

- 164 -
ESAT/DMSI/SYS Administration Windows NT Serveur

16.3.2 Vérification des sauvegardes

Une opération de vérification compare les fichiers situés sur le disque avec ceux copiés sur
bande. Ce type de vérification a lieu lorsque tous les fichiers sont sauvegardés ou restaurés et
prend autant de temps que la procédure de sauvegarde elle-même. Il est conseillé d'effectuer
une opération de ce type après chaque sauvegarde. Si vous utilisez un jeu de bandes qui sera
stocké pendant une longue durée, procédez à une vérification. Il est également recommandé
d'effectuer un contrôle après la récupération des fichiers.

Remarque :

Si une procédure de vérification échoue pour un fichier donné, regardez à quelle date celui-ci a
été modifié pour la dernière fois. S'il a fait l'objet d'un changement entre une sauvegarde et une
opération de vérification, la procédure de vérification échoue.

16.3.3 Stockage des bandes de sauvegarde

Vous devez trouver un lieu hors du site où stocker les bandes de sauvegarde et d'archivage. Cet
emplacement peut être un coffre-fort ou un autre endroit qui protège les bandes contre le feu,
l'eau, le vol et autres risques. Si vous utilisez un emplacement ignifugé, assurez-vous qu'il est
spécialement conçu pour protéger les supports magnétiques.

- 165 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les bandes durent plus longtemps lorsqu'elles se trouvent dans des lieux frais, dont le taux
d'humidité est contrôlé. Les zones de stockage doivent être dépourvues de champs
magnétiques, tels que ceux se trouvant à l'arrière des écrans et des téléphones analogiques.

16.3.4 Informations relatives aux opérations de sauvegarde

Il est important de répertorier avec précision les opérations de sauvegarde afin de retrouver
rapidement des informations manquantes, particulièrement si vous avez accumulé de
nombreuses bandes de taille importante. Pour ce faire, vous pouvez utiliser des étiquettes de
bande accompagnées d'un journal, de catalogues et de fichiers journaux.

Étiquettes de bande

Les étiquettes de bande doivent mentionner la date et le type de sauvegarde (normale,


incrémentielle ou différentielle) effectuée et fournir des informations précises sur le contenu de la
bande. Il est important d'indiquer le type de sauvegarde effectué car, si vous procédez à une
restauration à partir de bandes de sauvegardes incrémentielles ou différentielles, vous devez
pouvoir localiser la bande contenant la dernière sauvegarde normale ainsi que celle contenant la
dernière sauvegarde différentielle ou toutes les bandes contenant les sauvegardes
incrémentielles créées depuis la dernière sauvegarde normale. Vous avez également la
possibilité d'étiqueter les bandes l'une après l'autre et de créer un journal indiquant le contenu
des bandes.

Catalogues

La plupart des logiciels de sauvegardes sont dotés d'un mécanisme permettant de cataloguer les
fichiers de sauvegarde. Le Gestionnaire de sauvegardes Windows NT stocke les catalogues de
sauvegarde sur bande en les chargeant temporairement en mémoire pendant les sessions
programme. Des catalogues sont créés pour chaque jeu de sauvegardes (groupe de fichiers du
lecteur sauvegardé). Les catalogues ne peuvent pas être imprimés ni sauvegardés sur disque.

Fichiers journaux

Outre le catalogue en ligne, toutes les informations relatives aux opérations peuvent être
enregistrées dans un fichier. Le fichier journal peut contenir le nom de tous les fichiers et
répertoires ayant été sauvegardés et restaurés avec succès.

16.4 INSTALLATION D’UN LECTEUR DE BANDES


Pour charger un pilote de bande

Dans le Panneau de configuration, double-cliquez sur Périphériques à bandes.

Cliquez sur Détecter.

Lorsqu'un message vous y invite, cliquez sur OK pour installer le pilote détecté par l'option
Périphériques à bandes.

- 166 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les fichiers de pilotes se trouvent sur le CD-ROM de Windows NT. Par conséquent, gardez le
CD-ROM à portée de main. Vous pouvez installer plusieurs périphériques à bande et basculer
entre ces périphériques avec le gestionnaire de sauvegardes.

Pour changer de lecteur de sauvegarde sur bande

Dans le menu Opérations du Gestionnaire de sauvegardes, cliquez sur Configurer le


matériel.

Dans la boîte de dialogue Configuration du matériel, sélectionnez le nouveau lecteur de bande.


Cliquez sur OK.

Remarques :

Le système vérifie automatiquement les lecteurs de bande lorsque vous exécutez Windows NT et
initialise le matériel à chaque fois que vous démarrez le Gestionnaire de sauvegardes.
Cependant, le lecteur de bande doit être mis en marche avant le démarrage de Windows NT pour
que les pilotes soient convenablement chargés. Windows NT supporte jusqu'à dix unités de
bandes.

- 167 -
ESAT/DMSI/SYS Administration Windows NT Serveur

16.5 SAUVEGARDER DES FICHIERS

16.5.1 Pour sauvegarder tous les fichiers sur un disque

Dans la fenêtre Lecteurs, sélectionnez le lecteur que vous voulez sauvegarder.

Dans le menu Sélection, cliquez sur Sélectionner.

Dans le menu Opérations, cliquez sur Sauvegarder.

Remarque

Tous les fichiers qui se trouvent sur un lecteur affiché dans la fenêtre Lecteurs peuvent être
sauvegardés. Toutefois, le programme ne sauvegardera pas les fichiers (y compris les fichiers
cachés) et les répertoires dont vous n'êtes pas propriétaire ou dont l'accès a été restreint, même
lorsqu'un tel lecteur est sélectionné. L'icône des fichiers cachés est accompagnée d'un point
d'exclamation. Tous les attributs de fichiers, y compris les permissions, sont préservés.

16.5.2 Pour sauvegarder des fichiers individuels

Dans la fenêtre Lecteurs, double-cliquez sur le lecteur dans lequel se trouvent les fichiers.

Sélectionnez tous les fichiers individuels que vous voulez sauvegarder, en cliquant sur ceux qui
vous intéresse. Pour supprimer les coches de tous les fichiers sélectionnés, cliquez dans le menu
Sélection sur Ne pas sélectionner. Une coche apparaît dans la case à cocher située en regard
de chaque fichier sélectionné. Pour supprimer la coche d'un fichier individuel, désactivez la case
à cocher correspondante.

- 168 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans le menu Opérations, cliquez sur Sauvegarder.

Remarques

Lorsque seuls certains fichiers sont sélectionnés, les cases à cocher des lecteur et répertoire
correspondants sont estompées.

Cocher la case en regard d’un répertoire ne sélectionne pas le contenu du répertoire. En faisant
cette opération vous ne sauvegarderez que l’arborescence.

16.5.3 Fichiers non sauvegardés

Le Gestionnaire de sauvegardes Windows NT n'effectue pas les opérations de sauvegarde et de


restauration des fichiers au hasard : il respecte les règles qui garantissent la sécurité du système
et l'intégrité des données.

Les types de fichiers suivants ne sont pas automatiquement sauvegardés lorsque vous exécutez
le Gestionnaire de sauvegardes Windows NT :

Les fichiers que vous ne pouvez pas lire. Seules les personnes disposant de droits de
sauvegarde peuvent copier des fichiers ne leur appartenant pas.

Les fichiers d'échange (fichiers temporaires utilisés pour représenter l'espace d'adresse virtuelle).

Les bases des Registres situés sur des ordinateurs distants. Windows NT sauvegarde
uniquement la base de registres locale.

Les fichiers verrouillés par le logiciel d'application. Le Gestionnaire de sauvegardes Windows NT


ne peut pas copier ces fichiers. En revanche, il peut prendre en charge la sauvegarde de tous les

- 169 -
ESAT/DMSI/SYS Administration Windows NT Serveur

fichiers appartenant au système d'exploitation. Windows NT verrouille deux types de fichiers : les
journaux des événements et les fichiers de la base de registre.

Si le Gestionnaire de sauvegardes Windows NT rencontre un fichier ouvert en mode


partage/lecture, il sauvegarde sa dernière version enregistrée.

16.5.4 Paramétrage de la sauvegarde.

Lorsque vous lancez une sauvegarde la fenêtre Information de sauvegarde apparaît. Elle vous
permet de paramétrer la sauvegarde que vous effectué.

16.5.4.1 Définition des options de bande


La partie supérieure de cette boîte de dialogue fournit des informations sur la bande chargée, la
date l’heure de création et le nom du propriétaire (utilisateur qui a créé la bande).

Dans la zone Nom de la bande, tapez un nom de moins de 32 caractères pour la nouvelle
bande.

Dans Opération, cliquez sur Ajouter à la fin pour placer le nouveau jeu de sauvegardes à la fin
du dernier jeu de sauvegardes. Ou, cliquez sur Remplacer pour remplacer toutes les
informations situées sur la bande.

Cliquez sur les paramètres souhaités, de la manière suivante :

- 170 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour confirmer que la bande a été sauvegardée correctement, activez la case à cocher Vérifier
après sauvegarde. L’utilisation de cette option double le temps nécessaire à l’opération et, si
vous sauvegardez une zone de partage de réseau, elle doublera également l’intensité du trafic
sur le réseau.

Pour ajouter une copie de votre Registre au jeu de sauvegardes, activez la case à cocher
Sauvegarder le Registre local. L’opération copiera tous les fichiers répondant aux critères
%system_root%\system32\config\*.*. De façon générale, vous devriez toujours sauvegarder le
registre en même temps que votre partition système.

Pour limiter l'accès aux fichiers situés sur le bande, activez la case à cocher Limiter l'accès au
propriétaire ou à l'administrateur. Les données sur la bandes ne sont pas codées et, par
conséquent, peuvent être lues par d’autres moyens. L’utilisation de cette option ne dispense pas
des mesures de protection nécessaires pour les bandes de sauvegarde contenant des données
sensibles.

Pour que le lecteur de bande compresse les données sur le support de bande, activez la case à
cocher Compression physique. Assurez vous que votre unité de bande supporte la
compression matérielle.

Remarques:

L'option Sauvegarder le Registre local n'est disponible que si le lecteur contenant la base de
registre local est sélectionné. Le Gestionnaire de sauvegardes ne peut pas être utilisé pour
sauvegarder des registres se trouvant sur des ordinateurs distants.

L’option Limiter l’accès au propriétaire ou à l’administrateur n’est disponible que lorsque vous
effectuez une opération de remplacement.

16.5.4.2 Définition des informations relatives aux jeux de sauvegardes


Dans Informations sur le jeu de sauvegardes, tapez une description du jeu de sauvegardes. Si
vous sélectionnez plusieurs lecteurs de disque, le Gestionnaire de sauvegardes propose une
barre de défilement permettant de passer d'un jeu de sauvegardes à l'autre afin que vous
puissiez taper des descriptions distinctes (jusqu'à 32 caractères) et sélectionner différents types
de sauvegardes pour chacun.

Lorsque vous décidez du type de sauvegarde à utiliser, vous devez savoir si vous voulez ou non
que les fichiers soient marqués comme ayant été sauvegardés. Windows NT met à jour une
marque (appelée bit d'archivage, attribut A sur les fichiers) pour chaque fichier permettant aux
programmes de sauvegarde de marquer les fichiers après les avoir sauvegardés. Lorsqu'un
fichier est modifié, Windows NT le marque comme ayant besoin d'être sauvegardé de nouveau.
Avec le Gestionnaire de sauvegardes Windows NT, vous choisissez de sauvegarder uniquement
les fichiers accompagnés de cette marque et décidez de marquer ou non ces fichiers comme
ayant été sauvegardés.

Il est préférable d'effectuer une sauvegarde normale (ou complète) lorsque de nombreuses
données ont été modifiées depuis la dernière sauvegarde ou pour fournir un point de référence
pour les autres types de sauvegardes.

- 171 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Les sauvegardes incrémentielles sont recommandées si vous avez besoin d'enregistrer


l'évolution des données fréquemment modifiées. Les sauvegardes différentielles simplifient le
processus de restauration des fichiers.

Pour stocker vos informations sur une longue durée en utilisant moins de bandes, vous pouvez
utiliser une combinaison composée d'une sauvegarde normale et de sauvegardes
incrémentielles ou différentielles.

Pour plus d'informations sur les différents types de sauvegardes reportez-vous au chapitre 17.2.1
Types de sauvegardes.

16.5.4.3 Définition des options du fichier journal


Vous pouvez créer un fichier journal pour enregistrer les informations de sauvegarde. Par
défaut, les données sont consignées vers le fichier %system_root%\backup.log. Il est conseillé
de déplacer se fichier et de le protéger.Ce fichier journal contient par défaut le nombre de fichiers
et d’octets sauvegardés, la date et l’heure de début et de fin de tâche, la durée de l’opération, le
nom de chaque répertoire et une liste d’exceptions. Si vous choisissez l’option tous les détails,
vous rajouté le nom de tous les fichiers sauvegardé (seul les 21 premier caractères du nom du
fichier apparaitront). Ce choix fait croitre de manière très rapide la taille du fichier journal.

16.5.4.4 Etat de la sauvegarde

Après avoir terminé la configuration des options de sauvegarde, cliquez sur OK pour débuté
l’opération. Si vous avez choisi l’option remplacer les informations une fenêtre vous précise
que tous les données précédament contenues sur la bande seront détruites.

- 172 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pendant la durée de la sauvegarde une fenêtre d’état vous informe du déroulement de


l’opération, que vous pouvez abandonner a tous moments.

Lorsqu’un fichier ouvert est rencontré durant l’opération, le programme de sauvegarde attend 30
secondes la fermeture de celui-ci. Si elle n’intervient pas le programme l’ignore et consigne
l’événement dans le journal de sauvegarde.

Remarque :

Le gestionnaire de sauvegardes génère une écriture d’audit dans le journal d’applications de


NT au début et en fin de chaque ensemble de sauvegarde. Ceci signifie que si vous sauvegardez
deux volumes, il en résultera quatre événements consignés dans le journal d’applications.

- 173 -
ESAT/DMSI/SYS Administration Windows NT Serveur

16.6 PRIVILÈGES DE SAUVEGARDE ET DE RESTAURATION


Sous Windows NT, l'accès aux fichiers est limité par les permissions sur les fichiers NTFS (Aucun
accès, Lister, Lire, Ajouter, Ajouter&lire, Modifier, Contrôle total, Accès spécial à un répertoire
spécifique, Accès spécial à un fichier), les permissions partagées (Aucun accès, Lire, Modifier,
Contrôle total) et les attributs de fichier (Lire seulement, Caché, Système). FAT ne fournit pas de
permissions sur les fichiers.
Toutefois, les permissions et les attributs peuvent être remplacés si certains droits d'utilisateur
vous sont accordés dans le Gestionnaire des utilisateurs pour les domaines. Deux des droits
d'utilisateurs, Sauvegarder les fichiers et les répertoires et Restaurer les fichiers et les répertoires,
sont utilisés par le programme de sauvegarde pour vous permettre de sauvegarder ou de
restaurer des données, quels que soient les permissions ou les attributs définis pour ces fichiers.
Si les droits ne sont pas accordés, vous ne pouvez pas sauvegarder ou restaurer les fichiers et
les répertoires auxquels vous n'avez pas accès sauf si vous êtes membre du groupe
Administrateurs ou Opérateurs de sauvegarde. Ces groupes disposent en effet de ces droits par
défaut.
Les droits de sauvegarde et de restauration sont indépendants les uns des autres. Toutefois, il
est conseillé de ne pas accorder l'un sans l'autre. Autorisez avec prudence les droits de
restauration dans la mesure où les conflits affectant les permissions normales sur les fichiers ne
sont pas pris en compte lors de la restauration ; des fichiers existant peuvent alors être
remplacés.
Les droits de sauvegarde et/ou de restauration doivent être réservés à ceux qui sont
régulièrement chargés de sauvegarder le réseau. Dans le cas de sites de grande taille, il peut
s'avérer utile de créer deux groupes d'opérateurs de sauvegarde : un groupe disposant
uniquement de droits de sauvegarde et un groupe bénéficiant des droits de sauvegarde et de
restauration.

16.7 RESTAURER DES FICHIERS

16.7.1 Choix des éléments à restaurer

Vous pouvez restaurer la bande courante, un ou plusieurs jeux de sauvegardes ou des fichiers
individuels. Ouvrez la fenêtre Bandes et effectuez votre choix, comme vous le feriez pour une
opération de sauvegarde.

- 174 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Toutes les informations du catalogue sont mises à jour sur la bande correspondant à ce jeu de
sauvegardes. Dans le cas de jeux par famille, ces informations se trouvent sur la dernière bande.
Le nom de la bande apparaît dans la partie gauche de la fenêtre Bandes, à droite de l'icône
correspondant à chaque bande. La partie droite de cette fenêtre fournit les informations
suivantes:
 lecteur sauvegardé ;
 numéro du jeu de sauvegardes ;
 numéro de la bande et position au sein du jeu de bandes ;
 type de sauvegarde ;
 date et heure de la sauvegarde ;
 description de la sauvegarde.

Lorsque vous insérez une bande pour restaurer des informations, seules celles correspondant au
premier jeu de sauvegardes s'affichent dans la partie droite de la fenêtre jusqu'à ce que vous
chargiez le catalogue de la bande. Pour restaurer la totalité d'une bande, vous devez d'abord
charger son catalogue afin d'afficher la liste complète des autres jeux de sauvegardes de la
bande. Si vous ne procédez pas ainsi, lorsque vous sélectionnez une bande complète, vous
choisissez en fait uniquement les jeux déjà affichés. Pour savoir quels fichiers se trouvent dans
chaque jeu de sauvegardes, vous devez charger les catalogues individuels correspondant à
chaque jeu de sauvegardes.

16.7.2 Fichiers dont la restauration n'est pas automatique

Le Gestionnaire de sauvegardes Windows NT restaure tous les fichiers, à l'exception des


suivants:

Des fichiers sur bande plus anciens que les fichiers situés sur le disque. Si un fichier en cours de
restauration existe déjà sur le disque, et s'il est plus récent que le fichier sur bande, le
Gestionnaire de sauvegardes vous demande de confirmer le remplacement.

- 175 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Un fichier devant être restauré dans un répertoire auquel vous n'avez pas accès. Si vous ne
disposez pas des autorisations nécessaires pour écrire dans un fichier, vous ne pouvez pas le
restaurer. Ces restrictions ne sont pas valables si vous bénéficiez des droits de restauration.

16.7.3 Paramétrage de la restauration

Lorsque vous avez sélectionné un(e) ou plusieurs bandes, jeux de sauvegardes ou fichiers à
restaurer, cliquez dans le menu Opérations sur la commande Restaurer pour ouvrir la boîte de
dialogue Informations de restauration.

La première partie de cette boîte de dialogue fournit des informations sur les jeux de
sauvegardes situés sur la bande chargée et précise combien de bandes constituent ce jeu par
famille. Vous devez spécifier, pour chaque jeu de sauvegardes, sur quel lecteur vous voulez
restaurer les informations.

Vous pouvez également spécifier un autre chemin de répertoire pour placer les fichiers d'un jeu
de sauvegardes dans un répertoire différent du répertoire d'origine, sur le lecteur par défaut.
Cette opération peut permettre de comparer ces fichiers avec ceux qui se trouvent sur le disque.
Le bouton Parcourir, disponible au bas de la zone Chemin différent, peut vous aider à trouver
le bon chemin.
Pour comparer le contenu des fichiers restaurés avec celui des fichiers situés sur la bande et
enregistrer les différences détectées, activez la case à cocher Vérifier après restauration.

Lorsque vous activez la case à cocher Restaurer les permissions d'accès aux fichiers, le
système restaure les informations relatives aux permissions en même temps que le fichier, si les
fichiers sont restaurés sur une partition NTFS. Dans le cas contraire, les fichiers héritent des
informations de permissions associées au répertoire dans lequel ils sont restaurés.

- 176 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour restaurer les fichiers du Registre, activez la case à cocher Restaurer le Registre local.
Cependant, vous devrez redémarrer votre ordinateur pour que les informations restaurées entrent
en vigueur.

Les permissions relatives aux fichiers (ou paramètres de sécurité), telles que l'appartenance ou
les permissions d'accès, peuvent être restaurées uniquement lorsque les fichiers restaurés ont
été sauvegardés et restaurés sur une partition NTFS. Cependant, vous devez restaurer les
permissions d'accès aux fichiers uniquement si vous restaurez ces fichiers sur des ordinateurs
situés sur le même domaine que celui du compte du propriétaire initial.
Par exemple, vous pouvez restaurer des fichiers sur d'autres ordinateurs d'un domaine si les
permissions initialement affectées à ces fichiers donnent accès à un compte d'utilisateur situé sur
ce domaine.

Remarque:

Ne restaurez pas les permissions des fichiers dans les cas suivants :

Si vous utilisez la bande de sauvegarde pour transférer des fichiers sur un ordinateur situé sur un
domaine différent de celui d'origine.

Si vous restaurez des fichiers sur un ordinateur n'ayant pas été entièrement restauré, à la suite
d'une dégradation du système d'exploitation.

16.7.4 Restauration du Registre local

Avant de procéder à la restauration du Registre, vous devez prendre en compte les points
suivants :

Après avoir restauré le Registre, vous devez redémarrer votre ordinateur, ce qui signifie la perte
de toutes les modifications de configuration effectuées depuis la dernière sauvegarde du
Registre.

Pour restaurer un Registre sur un nouvel ordinateur (si, par exemple, votre disque dur est
inutilisable), vous devez d'abord réinstaller Windows NT sur ce nouvel ordinateur. Ensuite, vous
pourrez restaurer l'ensemble de la bande de sauvegarde sur votre disque dur.

16.8 LE GESTIONNAIRE DE SAUVEGARDES À PARTIR DE L’INVITE DE COMMANDES


Les opérations de sauvegarde peuvent également être effectuées au niveau de l'invite de
commandes, à l'aide de la commande ntbackup. La plupart des paramètres de commandes ne
demandent pas d'informations aux utilisateurs; il suffit de les mettre en oeuvre dans des fichiers
de commandes. La syntaxe est la suivante:

Les paramètres suivants peuvent être tapés par les utilisateurs :

Syntaxe

ntbackup [/nopoll] [/missingtape]

- 177 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/NOPOLL Spécifie que la bande doit être effacée.


Attention N'utilisez pas /nopoll avec d'autres paramètres.

/MISSINGTAPE Spécifie qu'il manque une bande du jeu de sauvegardes lorsque le jeu est
composé de plusieurs bandes. Ainsi, chaque bande devient une unité simple, par opposition à
son appartenance à un jeu

Vous pouvez créer un fichier de commandes pour sauvegarder régulièrement un ou plusieurs


lecteurs. Cependant, l'utilisation de fichiers de commandes vous permet de sauvegarder
uniquement des répertoires avec leurs fichiers (et non des fichiers individuels). De même, ces
fichiers n'acceptent pas les caractères génériques.

Les paramètres suivants ne doivent pas être tapés par les utilisateurs et sont utiles dans les
fichiers de commandes.

ntbackup opération chemin [/a] [/v] [/r] [/d "texte"] [/b] [/hc:{on|off}] [/t{"option"}] [/l "nom de fichier"]
[/e] [/tape:{N}]

Liste des paramètres :

Opération Spécifie l'opération à effectuer :


BACKUP (avec options) sauvegarde
RESTORE (avec options) restauration
EJECT [/bande N] Ejecte la bande n°N

Chemin Spécifie le ou les chemins des répertoires à sauvegarder.

/a Ajoute les nouveaux jeux de sauvegardes après le dernier jeu de la bande. Lorsque /a
n'est pas spécifié, le programme remplace les anciennes données. Lorsque plusieurs lecteurs
sont spécifiés, mais que /a ne l'est pas, le programme remplace le contenu de la bande avec les
informations provenant du premier lecteur sélectionné, puis ajoute les jeux de sauvegardes des
autres lecteurs.

/v Vérifie que toute les données sont sauvegardées.

/r Limite l'accès. Les bandes ne peuvent être lues que par le propriétaire et les membres
des groupes Opérateurs de sauvegarde et Administrateurs. Le paramètre /r est ignoré si /a est
également spécifié.

/d "texte" Demande la description du contenu de la sauvegarde.

/b Demande la sauvegarde de la base de Registres locale.

/hc:{on|off} met en ou hors service la compression matérielle. Il n'est pas utilisable


lorsque l'option /a est employée, car si vous ajoutez votre sauvegarde à la suite des données
déjà sur bande, le programme choisira automatiquement l'option de compression qui avait été
utilisée pour la première tâche de sauvegarde sur la bande.

/t {option} Spécifie le type de sauvegarde. Les valeurs du paramètre option peuvent


être les suivantes :NORMAL (normale), COPY (par duplication), INCREMENTIAL
(incrémentielle), DIFFERENTIAL (différentielle), et DAILY (quotidienne).

- 178 -
ESAT/DMSI/SYS Administration Windows NT Serveur

/l "nom fichier" Spécifie le nom du fichier pour le journal de sauvegarde.

/e Indique que le journal de sauvegarde doit uniquement contenir les exceptions.

/tape:{N} Indique sur quel lecteur de bande doivent être sauvegardés les fichiers. N est un
nombre compris entre 0 et 9, qui correspond au numéro attribué au lecteur de bande lors de
l'installation. Par défaut N vaut 0.

16.8.1 Exemples de planification de sauvegardes

Vous pouvez utiliser le service Planning pour exécuter automatiquement des opérations de
sauvegarde régulières.

Avant de pouvoir planifier ces opérations, vous devez vous assurez que ce service a été démarré
et que l'utilisateur du service détient les droits appropriés sur le système local et sur tous les
systèmes devant être sauvegardés.

Exemple 1:
Votre système possède deux volumes C et D. Pour exécuter une sauvegarde complète de votre
système chaque vendredi soir à 22h et une sauvegarde différentielle chaque lundi, mardi,
mercredi, et jeudi soirs à 22h, vous devez utiliser deux scripts.

Comp.bat

Ntbackup backup c: d: /v /d "sauvegarde système complète" /b /t


normal /l "c:\users\backup\comp.log /e

Diff.bat

Ntbackup backup c: d: /v /d "sauvegarde système différentielle" /b /t


differential /l "c:\users\backup\diff.log /e

- 179 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Vous pouvez placer ces deux fichiers dans un répertoire c:\users\backup.

Vous définissez les tâches a plannifier en émettant les deux commandes suivantes:

AT 22:00 / INTERACTIVE /EVERY:V "C:\USERS\BACKUP\COMP.BAT


AT 22:00 / INTERACTIVE /EVERY:L,M,ME,V,S "C:\USERS\BACKUP\DIFF.BAT

Exemple 2:
Vous pouvez utiliser le service Planning et Ntbackup pour sauvegarder des volumes distants,
mais il vous faut utiliser un compte avec ce service qui vous permet de réaliser une connexion
réseau distante.

Une fois que ce service a été démarré vec les droits requis pour accéder aux zones de partages
que vous souhaitez sauvegarder, vous pouvez créer un fichier batch.
Dans l'exemple suivant le partage s'appel BASE CLIENTS et se trouve sur la machine C201-
113A-0856. La sauvegarde doit être réalisée chaque nuit de la semaine à 22h.

Sauvclie.bat

Net use k: \\C201-113A-0856\BASE CLIENTS


Ntbackup backup k: /v /d "sauvegarde de \\C201-113A-0856\BASE
CLIENTS" /t normal /l "c:\users\backup\sauvclie.log" /e
Net use k: /d

Vous pouvez placer ce fichier dans un répertoire c:\users\backup.

Vous définissez la tâche a plannifier en émettant la commande suivante:

AT 22:00 /INTERACTIVE /EVERY:L,M,ME,J,V "C:\USERS\BACKUP\SAUVCLIE.BAT"

- 180 -
ESAT/DMSI/SYS Administration Windows NT Serveur

- 181 -
ESAT/DMSI/SYS Administration Windows NT Serveur

17LA GESTION DES LICENCES


Une solution réseau regroupe en règle générale deux composants :
 des serveurs qui contiennent les informations et offrent des services ;
 des clients qui accèdent à ces informations et services.

Avec le modèle de licence Microsoft BackOffice, ces composants font l'objet d'une licence
séparée, ce qui vous permet de n'acheter que le nécessaire pour constituer une solution réseau
qui réponde aux besoins de votre société. Chaque serveur doit disposer d'une licence, de même
que chaque ordinateur client accédant à un serveur (licence d'accès client).

Le suivi manuel des licences sur des ordinateurs locaux ou dans un domaine peu étendu
nécessite beaucoup de temps mais reste possible. En revanche, le suivi des licences sans outil
automatisé dans toute une société qui comprend de nombreux domaines peut s'avérer difficile, et
coûteux en temps et en argent. Un outil de gestion et de suivi de ces licences et de leur utilisation
dans une société peut aider à réduire ces coûts.

Windows NT Server 4.0 comprend deux outils administratifs permettant de réduire ces coûts et la
surcharge de travail administratif inhérente au suivi des licences :

 l'icône Licence du Panneau de configuration ;

 le programme Gestionnaire de licences.

Ces outils vous permettent de dupliquer automatiquement les informations de licence de tous les
contrôleurs principaux de domaine (PDC) de votre site dans une base de données centralisée
située sur un serveur maître spécifié, facilitant ainsi le respect de la législation en vigueur.

17.1 LES MODES DE LICENCE

17.1.1 Licence Par serveur

Avec la licence Par serveur, chaque licence d'accès client est accordée à un service (produit)
donné sur un serveur donné et permet une connexion à ce service, par exemple, des services
réseau de base. Pour Windows NT Server, les services réseau de base sont notamment les
suivants :

 Services de fichiers : partage et gestion de fichiers et/ou d'espace disque.


 Services d'impression : partage et gestion d'imprimantes.
 Connectivité Macintosh : partage de fichiers et services d'impression.
 Connectivité des services de fichiers et d'impression pour NetWare : partage de fichiers et
services d'impression pour les clients NetWare.
 Services d'accès distant : accès au serveur à partir d'un emplacement distant via un lien
de communication.

- 182 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Vous remarquerez que, dans ce cas, une connexion est établie avec un serveur, et non
seulement avec un point de partage de ce serveur ou une imprimante qui y est connectée. Si
vous vous connectez à \\SVR1COURSNT\DONNEES et à \\SVR1COURSNT\PUBLIC, en termes
de licence, il s'agit d'une seule connexion. En revanche, si vous vous connectez en mode Par
serveur à un serveur à partir de deux ordinateurs et sous le même nom d'utilisateur, il y a bien
deux connexions.
Vous devez avoir au moins autant de licences d'accès client réservées à un service sur cet
ordinateur que le nombre maximal d'ordinateurs client susceptibles de se connecter à ce serveur
à un instant quelconque. Si vous activez l'option Par serveur, vous devez spécifier lors de
l'installation ou au moment de l'achat de nouvelles licences d'accès client le nombre de licences
d'accès client (qui correspond au nombre de connexions concomitantes) que vous avez achetées
pour ce serveur.

Avec la licence Par serveur, une fois que la limite spécifiée pour le nombre de connexions
concomitantes est atteinte, le serveur renvoie une erreur à l'ordinateur client et n'autorise plus
aucun ordinateur à se connecter au serveur. Les connexions effectuées par les administrateurs
sont comptabilisées comme connexions concomitantes. Cependant, lorsque la limite est atteinte,
un administrateur est encore autorisé à se connecter pour gérer le verrouillage. Aucun nouvel
utilisateur ne peut se connecter avant qu'un nombre suffisant d'utilisateurs (dont des
administrateurs) se soient déconnectés afin de repasser sous la limite spécifiée.

Remarque:

Vous pouvez également contrôler le journal d'application dans l'Observateur d'événements du


serveur maître pour afficher toutes les alertes de non-respect des licences, qui apparaissent
toutes les six heures avec le code d'erreur 71 et le numéro d'événement 202.

Le mode Par serveur est souvent le plus économique pour les réseaux dont les clients se
connectent généralement à un seul serveur ou bien à des serveurs utilisés occasionnellement ou
à des fins précises, et n'ont donc pas besoin de se connecter tous simultanément. Si un
environnement réseau comprend plusieurs serveurs, chaque serveur sous licence en mode Par
serveur doit avoir au moins autant de licences d'accès client qui lui sont réservées que le
nombre maximal de clients susceptibles de s'y connecter à un instant quelconque.

17.1.2 Licence Par siège

Le mode de licence Par siège requiert une licence d'accès client pour chaque ordinateur qui
accédera à un produit BackOffice donné sur un serveur quelconque. Une fois qu'un ordinateur
est sous licence pour un produit donné, il peut être utilisé pour accéder à ce produit sur tout
ordinateur exécutant Windows NT Server. Plusieurs utilisateurs peuvent également ouvrir une
session sur ce même ordinateur.

Cependant, une licence d'accès client valide en mode Par siège ne vous garantit pas que vous
pourrez accéder à un ordinateur sous licence en mode Par serveur qui a atteint sa limite
spécifiée. Une telle connexion utilise également une des licences Par serveur disponibles. Vous
ne pouvez donc vous connecter que si des licences Par serveur sont disponibles.

- 183 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Par exemple, si un serveur en mode Par serveur dispose de 50 licences qui lui sont réservées et
que moins de 50 clients y sont connectés simultanément, des clients supplémentaires peuvent se
connecter. En revanche, si ce serveur a atteint sa limite spécifiée, aucun client supplémentaire ne
peut se connecter, même s'il possède une licence valide en mode Par siège pour ce service.

Si vous choisissez le mode de licence Par siège, un nombre illimité d'ordinateurs sous licence
peut se connecter à n'importe quel moment à un serveur Windows NT quelconque. Cependant,
pensez à acquérir une licence d'accès client pour chaque ordinateur même si vous utilisez un
système d'exploitation client provenant de Microsoft (par exemple, Microsoft Windows 98 ou
Microsoft Windows NT Workstation) ou d'un autre fournisseur, ou que vous utilisez un autre
logiciel client pris en charge par Windows NT Server. Le mode Par siège est souvent le plus
économique pour les réseaux dont les clients se connectent généralement à plusieurs serveurs.

Remarque:

Aucune licence d'accès client n'est fournie avec Windows 95/98 ou Windows NT Workstation.
Une licence doit être acquise séparément en plus du système d'exploitation.

17.1.2.1 Groupes de licences


Pour obtenir des informations correctes concernant les licences avec des licences Par siège, il
peut être préférable de regrouper certains utilisateurs et de les intégrer dans un groupe de
licences.

Les groupes de licences indiquent une relation (également appelée mappage) entre des
utilisateurs et des ordinateurs, et ne doivent être utilisés que dans l'un des cas suivants :

Plusieurs personnes utilisent un même ordinateur, par exemple, elles partagent un même travail
ou elles se relaient sur le même ordinateur.

De nombreuses personnes utilisent de nombreux ordinateurs, mais le nombre d'utilisateurs et


celui d'ordinateurs ne sont pas identiques, par exemple, dans le laboratoire informatique d'une
université ou dans un grand magasin.

Une personne utilise plusieurs ordinateurs, par exemple dans un service de conception de
logiciels où le développement s'effectue sur un ordinateur, et le test sur plusieurs ordinateurs
fonctionnant sous différentes plates-formes matérielles.

Un groupe de licences se compose des éléments suivants :


 nom descriptif unique pour le groupe ;
 nombre spécifié de licences Par siège accordées au groupe ;
 liste spécifique des utilisateurs membres de ce groupe.

Le nombre de licences accordées doit être identique au nombre d'ordinateurs membres du


groupe de licences. Ce nombre ne doit pas nécessairement correspondre au nombre
d'utilisateurs contenus dans le groupe.
Dans le premier exemple (plusieurs utilisateurs et un seul ordinateur), une seule licence d'accès
client est nécessaire. En effet, la licence porte sur le nombre d'ordinateurs, et non le nombre
d'utilisateurs.

- 184 -
ESAT/DMSI/SYS Administration Windows NT Serveur

La même logique s'applique dans le deuxième cas. Par exemple, si vous avez 100 utilisateurs qui
ont accès à dix ordinateurs, vous ne devrez acheter que dix licences d'accès client pour couvrir
ces dix ordinateurs. En revanche, il peut être intéressant d'effectuer le suivi de l'ensemble des
100 utilisateurs afin de savoir selon quelle fréquence ils utilisent chaque ordinateur pour accéder
à différents serveurs. Le groupe de licences que vous créez se voit accorder dix licences d'accès
client et il contient 100 utilisateurs.

Dans le dernier cas, ce seul utilisateur a besoin de plusieurs licences d'accès client pour être en
conformité avec la législation sur les licences et ce, bien que le Gestionnaire de licences
n'affiche qu'un seul utilisateur. Dans ce cas, le groupe de licences ne comprend qu'un seul
utilisateur auquel sont accordées plusieurs licences d'accès client.

Pour créer des groupes de licences allez dans Option, Avancées, Nouveau groupe de
licences.

17.1.3 Choix entre les modes de licences

Le mode de licence que vous choisissez dépend des applications que vous utiliserez. Par
exemple, si vous utilisez Windows NT Server essentiellement pour le partage de fichiers et
d'impression, optez de préférence pour le mode Par siège. En revanche, si vous l'utilisez comme
ordinateur serveur d'accès distant, optez pour les connexions concomitantes Par serveur.

Observez les consignes suivantes pour choisir un mode de licence :

Si vous disposez d'un seul serveur, choisissez le mode Par serveur, car vous pourrez passer
ensuite au mode Par siège, à raison d'une seule fois.

Si vous possédez plusieurs serveurs et que le nombre total de licences d'accès client sur tous les
serveurs à prendre en charge le mode Par serveur est supérieur ou égal au nombre
d'ordinateurs ou de stations de travail, choisissez le mode Par siège ou effectuez une conversion
vers ce mode.

Remplissez le tableau suivant pour choisir le mode de licence approprié :

Par serveur
Nombre de serveurs A_________________________
Nombre de stations de travail connectées
B_________________________
simultanément à chaque serveur
Sur la ligne C, inscrivez (A x B) C_________________________

Par siège
Nombre de sièges (ordinateurs) qui accéderont
D_________________________
à chaque serveur

Si C est inférieur à D, optez pour la licence Par serveur. La ligne C indique le nombre de
licences d'accès client nécessaires.

Si D est inférieur à C, choisissez la licence Par siège. La ligne D indique le nombre de licences
d'accès client nécessaires.

- 185 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans les deux cas, la ligne A indique le nombre de licences serveur nécessaires.

Vous remarquerez que sur un même site, vous pouvez également combiner les modes Par
serveur et Par siège, car votre choix dépend du taux d'utilisation des différents produits serveur
dans chaque service. Vous pouvez également combiner les modes Par serveur et Par siège sur
un même serveur si vous utilisez plusieurs produits serveur. Cependant, un produit serveur
donné, comme SQL Server, ne peut pas fonctionner simultanément dans les deux modes sur le
même serveur.

Si vous n'êtes pas encore certain du mode de licence à choisir, optez pour le mode Par serveur.
En effet, si le trafic sur votre réseau augmente ultérieurement et que davantage de clients doivent
se connecter simultanément, vous êtes légalement autorisé à passer du mode Par serveur au
mode Par siège sans frais supplémentaires. Cette conversion n'est possible qu'une seule fois et
dans un seul sens, et uniquement pour Windows NT Server, Microsoft Exchange Server, SQL
Server et SNA Server.

Si vous décidez d'effectuer ce changement, il n'est pas nécessaire d'en avertir Microsoft.
Cependant, vous devrez insérer de nouveau les informations de licence dans le Gestionnaire de
licences par l'intermédiaire de la boîte de dialogue Nouvelle licence d'accès client. Vous
n'êtes pas autorisé légalement à passer du mode de licence Par siège au mode Par serveur.

17.2 OUTIL LICENCE DU PANNEAU DE CONFIGURATION


Après la première procédure d'installation, vous pouvez utiliser l'icône Licence du Panneau de
configuration pour faire passer la licence de cet ordinateur du mode Par serveur au mode Par
siège (conversion possible une seule fois). Vous pouvez également l'utiliser pour configurer la
duplication des informations de licence pour cet ordinateur et pour ajouter ou supprimer des
licences Par serveur pour chaque produit de la famille BackOffice installé sur le serveur.

Remarque:

Les licences Par siège ne peuvent être administrées que par l'intermédiaire du Gestionnaire de
licences.

17.3 GESTIONNAIRE DE LICENCES


A l'aide du Gestionnaire de licences, les administrateurs peuvent (localement ou à distance)
faire passer la licence des produits de la famille BackOffice du mode Par serveur au mode Par
siège, ajouter ou supprimer des licences d'accès client pour les produits BackOffice, créer des
groupes de licences et afficher les informations de licence à plusieurs niveaux.

Pour démarrer le Gestionnaire de licences

Dans le menu Démarrer, cliquez sur Programmes, puis sur Outils d'administration (commun).

Cliquez sur Gestionnaire de licences.

- 186 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Au démarrage du Gestionnaire de licences, vous voyez apparaître un écran d'ouverture avec


les onglets suivants qui fournissent des informations générales et le chemin d'accès des
principales fonctions de gestion de cet utilitaire :
 Historique des achats ;
 Affichage des produits ;
 Clients (par siège) ;
 Explorateur de serveur.

Chacun des onglets présente sous une forme différente (produits, licences de produits, clients et
serveurs) les informations dont le Gestionnaire de licences effectue le suivi et permet d'accéder
à diverses fenêtres de propriétés également dotées d'onglets au moyen desquels vous pouvez
afficher des informations spécifiques à un élément donné.

17.3.1 Historique des achats

Cet onglet propose un récapitulatif de l'historique des licences achetées pour les produits
installés dans la société ou le domaine choisi. Il affiche également la quantité de licences
achetées et supprimées, la date de l'installation ou de la suppression ainsi que l'identité de
l'administrateur (celui qui a certifié que la société avait acheté la licence) qui a installé ou
supprimé la licence du produit. Il présente enfin les commentaires spécifiés lors de l'installation
ou de la suppression de licences.

17.3.2 Affichage des produits

Il s'agit du deuxième onglet principal. Il contient des informations sur les produits du domaine
choisi ou de l'ensemble du site. Les informations affichées dépendent du mode de licence de
chaque produit :

Dans le cas du mode Par siège, il s'agit du nombre de licences achetées pour le produit et du
nombre de licences accordées aux ordinateurs des utilisateurs pour tous les produits.

- 187 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans le cas du mode Par serveur, il s'agit du nombre total de licences achetées pour chaque
produit sur tous les serveurs du domaine ou de la société sur lesquels ce produit est installé.
Parmi les informations affichées figure également le nombre maximal de connexions
concomitantes atteint à ce jour sur tous les serveurs du domaine ou du site sur lesquels se trouve
ce produit.

Vous pouvez utiliser les nombres et les icônes affichés pour déterminer les éléments suivants :

produits en conformité avec la législation sur les licences ;

produits en infraction avec la législation sur les licences ;

produits qui ont atteint la limite légale et pour lesquels vous devez acheter des licences
supplémentaires.

A partir de cet onglet, vous pouvez également :

ajouter de nouvelles licences d'accès client, Licence, Nouvelle licence...;

supprimer des licences d'accès client pour un produit, Licence, Supprimer;

ouvrir la feuille de propriétés correspondant au produit choisi, Licence, Propriétés.

Pour ouvrir la feuille de propriétés correspondant à un produit, double-cliquez sur le nom du


produit souhaité. Vous pourrez alors accéder à trois onglets supplémentaires contenant des
informations spécifiques à ce produit (clients par siége, historique des achats, explorateur de
serveur).

17.3.3 Clients (par siège)

Il s'agit du troisième onglet. Il présente des informations sur une liste de clients (ou d'utilisateurs)
qui ont utilisé les produits dans ce domaine ou cette société. Il indique également combien des
produits énumérés (sous licence en mode Par siège) possèdent la licence d'utilisation et
combien ne la possèdent pas.

- 188 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Ces utilisateurs peuvent être des utilisateurs individuels ou des membres de groupes de licences.
(Pour savoir quels utilisateurs sont membres d'un groupe de licences donné, cliquez dans le
menu Options sur Avancées, puis sur Modifier le groupe de licences).

Vous pouvez utiliser les nombres et les icônes affichés pour déterminer les éléments suivants :

utilisateurs en conformité avec la législation sur les licences ;

utilisateurs en infraction avec la législation sur les licences.

A partir de cet onglet, vous pouvez également :

ajouter de nouvelles licences d'accès client, Licence, Nouvelle licence... ;

supprimer un utilisateur, Licence, Supprimer;

créer, afficher et modifier des groupes de licences, Options, Avancées, Modifier le groupe de
licences .

Pour ouvrir la feuille de propriétés correspondant à un utilisateur, double-cliquez sur le nom de


l'utilisateur souhaité. Vous pourrez alors accéder à l'onglet Affichage des produits, qui indique
quels produits du domaine ou de la société sont utilisés par cet utilisateur, la date de leur
dernière utilisation et combien de fois l'utilisateur les a utilisés.

17.3.4 Explorateur de serveur

Il s'agit du dernier onglet. Il présente la liste de tous les domaines et serveurs du site. Cet onglet
vous permet d'afficher et de modifier les informations de licence des serveurs et des produits
serveur de tous les domaines sur lesquels vous avez des droits administratifs.

A partir de cet onglet, vous pouvez accéder à trois niveaux et effectuer les tâches suivantes :

à tous les niveaux, ajouter de nouvelles licences d'accès client ;

au niveau des serveurs et des produits, ouvrir la fenêtre de propriétés correspondant à l'élément
choisi.

- 189 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour afficher la liste de tous les serveurs d'un domaine, double-cliquez sur le nom du domaine
souhaité. De même, pour afficher la liste de tous les produits installés sur un serveur, double-
cliquez sur le nom du serveur voulu. Pour changer le mode de licence d'un produit, double-
cliquez sur le nom du produit souhaité afin d'afficher la boîte de dialogue Choix du mode de
licence.

- 190 -
ESAT/DMSI/SYS Administration Windows NT Serveur

18ASSISTANTS D'ADMINISTRATION
Les Assistants d'administration regroupent les outils d'administration de serveur classiques en
un endroit unique et vous guident à travers les étapes nécessaires pour chaque tâche. Windows
NT Server 4.0 inclut les Assistants suivants :

Assistant Ajouter un compte utilisateur : crée de nouveaux comptes d’utilisateurs dans le


domaine ou dans un domaine sécurisé. Habituellement, c’est le gestionnaire des utilisateurs pour
les domaines qui est responsable de cette tâche.

- 191 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Assistant Gérer les groupes : crée, modifie et supprime des groupes d’utilisateurs sur
l’ordinateur local, dans les domaines privés et sécurisés. Habituellement, c’est le gestionnaire des
utilisateurs pour les domaines qui est responsable de cette tâche.

Assistant Gérer les accès aux fichiers et aux dossiers : réglemente l’accès aux fichiers et
dossiers partagés sur l’ordinateur local ou sur les ordinateurs du réseau. Permet de partager des
lecteurs et des dossiers pour les clients réseau Macintosh®, Microsoft Network et Novell® en une
seule étape, paramètres de sécurité inclus. Cette tâche peut être accomplie également par
l’Explorateur ou le Gestionnaire de serveurs.

Assistant Ajouter une imprimante : installe des imprimantes locales et réseau. Configure et
partage les imprimantes connectées à votre ordinateur ou au réseau. Installe des pilotes
d'imprimante sur le serveur pour l'installation " pointer-imprimer " sur les clients. Cette option
correspond à l’icône Imprimantes du Panneau de configuration ou de l’Explorateur.
Assistant Ajouter/Supprimer des programmes : installe ou supprime des programmes sur votre
ordinateur et adapte l’installation de Windows NT. Cette option correspond à l’icône du même
nom du Panneau de configuration.
Assistant Installer un nouveau modem : installe, configure et détecte les modems connectés à
votre ordinateur. Cette option correspond à l’icône Modems du Panneau de configuration.

- 192 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Assistant Administrateur de client réseau : installe ou met à jour les postes de travail des
clients réseau par le biais du réseau ou des disquettes de démarrage. Ce programme peut être
appelé également par la commande Outils d’administration du menu Démarrer.

Assistant Conformité de Licence : Aide les administrateurs à assurer le suivi des licences
logicielles serveurs et clients. Vérifie la licence d’utilisation des logiciels installés sur l’ordinateur.
Cette information peut être obtenue également par le Gestionnaire de licences des Outils
d’administration.

On remarquera que certaines de ces applications ne sont que des renvois aux programmes et
aux icônes du Panneau de configuration ou de la commande Outils d’administration. Les
premières options de l’Administrateur d’assistants appellent néanmoins des assistants qui vous
épaulent tout au long de la définition des paramètres.

Remarque:

L'utilisation de l'assistant d'administration ne peut pas remplacer la connaissance et l'utilisation


des outils d'administration

- 193 -
ESAT/DMSI/SYS Administration Windows NT Serveur

19GESTION DES DOMAINES


Lorsque vous avez créé un ou plusieurs domaines, vous employez les utilitaires Windows NT
Server pour exécuter les tâches inhérentes à la gestion des domaines :
 promotion et rétrogradation de contrôleurs de domaine ;
 synchronisation de contrôleurs secondaires de domaine avec le contrôleur principal de
domaine ;
 synchronisation de la totalité des serveurs de domaines ;
 ajout, suppression et attribution d'un nouveau nom à des ordinateurs appartenant à un
domaine
 gestion des relations d'approbation (avec plusieurs domaines).

Ces opération se font a travers deux outils, le gestionnaire de serveurs et le gestionnaire des
utilisateurs pour les domaines.

19.1 PROMOTION ET RÉTROGRADATION DE CONTRÔLEURS DE


DOMAINE
Outre le contrôleur principal de domaine, vous devez posséder un ou plusieurs contrôleurs
secondaires de domaine par domaine.

Si le contrôleur principal de domaine n'est pas disponible, un contrôleur secondaire de domaine


peut être promu contrôleur principal de domaine sans interrompre le fonctionnement du domaine.
Dans une telle situation, les règles suivantes s'appliquent :

Lorsqu'un contrôleur secondaire de domaine est promu contrôleur principal de domaine, une
copie à jour de la base de données d'annuaires du domaine de l'ancien contrôleur principal de
domaine est transférée vers le nouveau contrôleur principal de domaine, et l'ancien contrôleur
principal de domaine est rétrogradé contrôleur secondaire de domaine.
Si un contrôleur secondaire de domaine est promu contrôleur principal de domaine, alors que le
contrôleur principal de domaine existant n'est pas disponible (par exemple, s'il est en cours de
réparation) et que le contrôleur principal de domaine précédent fonctionne de nouveau, vous
devez le rétrograder contrôleur secondaire de domaine. Tant que cette opération n'a pas été
effectuée, le contrôleur secondaire de domaine ne pourra ni exécuter le service Accès réseau, ni
procéder à l'authentification des ouvertures de session effectuées par les utilisateurs. L'icône
correspondante, qui se trouve dans la fenêtre Gestionnaire de serveurs, est désactivée
(estompée).

Remarque:

En règle générale, lorsqu'un contrôleur secondaire de domaine est promu contrôleur principal de
domaine, le système rétrograde automatiquement le contrôleur principal de domaine d'origine au
titre de contrôleur secondaire de domaine. Toutefois, si le Gestionnaire de serveurs ne parvient
pas à trouver le contrôleur principal de domaine, celui-ci n'est pas rétrogradé, et l'utilisateur reçoit
un message indiquant cette situation. L'utilisateur peut alors choisir entre poursuivre la procédure
sans rétrograder le contrôleur principal de domaine et attendre jusqu'à ce qu'il soit rétrogradé.

- 194 -
ESAT/DMSI/SYS Administration Windows NT Serveur

19.1.1 Promotion d'un CSD au rang de CPD

Pour promouvoir un contrôleur secondaire de domaine au rang de contrôleur principal de


domaine

1 Dans la fenêtre Gestionnaire de serveur, sélectionnez un contrôleur secondaire de


domaine dans la liste des ordinateurs.

Choisissez un ordinateur capable de traiter avec fiabilité des charges de trafic réseau élevées.

2 Dans le menu Ordinateur, cliquez sur Promouvoir au titre de contrôleur principal de


domaine.

S'il est disponible, le contrôleur principal de domaine précédent est rétrogradé au rang de
contrôleur secondaire de domaine.

19.1.2 Rétrogradation d'un CPD au rang de CSD

Pour rétrograder un contrôleur principal de domaine au rang de contrôleur secondaire de


domaine

1 Dans la fenêtre Gestionnaire de serveur, sélectionnez le contrôleur principal de domaine


précédent dans la liste des ordinateurs.

La commande Promouvoir au titre de contrôleur principal de domaine du menu Ordinateur est


remplacée par la commande Rétrograder à contrôleur secondaire de domaine.

2 Dans le menu Ordinateur, cliquez sur Rétrograder à contrôleur secondaire de domaine.

Remarques:

En général, quand un serveur est promu au rang de contrôleur principal de domaine, vous ne
devez exécuter aucune action particulière pour rétrograder le précédent contrôleur principal de
domaine au rang de contrôleur secondaire de domaine, car le système effectue automatiquement
cette opération.
Néanmoins, si un serveur est promu au rang de contrôleur principal de domaine alors que le
contrôleur principal existant n'est pas disponible (par exemple, s'il est en réparation) et que le
contrôleur principal de domaine précédent redevient ultérieurement opérationnel, vous devez
exécuter manuellement la rétrogradation.

- 195 -
ESAT/DMSI/SYS Administration Windows NT Serveur

19.2 SYNCHRONISATION DE LA BASE DE DONNÉES D'ANNUAIRES


La base de données d'annuaires est synchronisée automatiquement par Windows NT Server.
Conformément aux paramètres contenus dans le registre, le contrôleur principal de domaine
envoie des signaux synchronisés indiquant aux contrôleurs secondaires de domaine qu'ils
doivent demander les modifications qu'il a apportées aux annuaires. Les signaux sont différés, ce
qui évite que tous les contrôleurs secondaires de domaine demandent les modifications
simultanément. Lorsque le contrôleur secondaire de domaine demande les modifications, il
informe le contrôleur principal de domaine de la dernière modification qu'il a reçue. Ainsi, le
contrôleur principal de domaine sait toujours quel contrôleur secondaire de domaine doit être mis
à jour. Si un contrôleur secondaire de domaine est à jour, son service Accès réseau ne
demande pas de modification.

19.2.1 Stockage des modifications dans le journal des modifications

Les modifications apportées à la base de données d'annuaires sont les mots de passe nouveaux
ou modifiés, les comptes d'utilisateur et les comptes de groupe nouveaux ou modifiés, ainsi que
toute autre modification concernant les membres d'un groupe et les droits attribués aux
utilisateurs.

Les modifications apportées à la base de données d'annuaires sont enregistrées dans le journal
des modifications. La taille de ce journal détermine la durée pendant laquelle les modifications
peuvent être conservées. Le journal contient un certain nombre de modifications. Chaque fois
qu'une nouvelle modification est ajoutée, la modification la plus ancienne est supprimée.
Lorsqu'un contrôleur secondaire de domaine demande des modifications, celles qui ont eu lieu
depuis la dernière synchronisation sont copiées vers ce contrôleur. Étant donné que le journal
des modifications ne conserve que les modifications les plus récentes, si un contrôleur
secondaire de domaine ne demande pas une modification à temps, la totalité de la base de
données d'annuaires doit alors être copiée vers ce contrôleur.
Par exemple, si un contrôleur secondaire de domaine est désactivé temporairement, des
modifications peuvent avoir lieu pendant ce temps et être stockées dans le journal des
modifications.

19.2.2 Synchronisations partielle et totale

La duplication automatique et différée sur tous les contrôleurs secondaires de domaine des
modifications apportées à la base de données d'annuaires qui ont eu lieu depuis la dernière
synchronisation s'appelle synchronisation partielle. Vous pouvez utiliser le Gestionnaire de
serveurs pour forcer une synchronisation partielle de tous les contrôleurs secondaires du
domaine.

Par exemple, si un nouvel utilisateur est ajouté dans un domaine et qu'il a besoin de certaines
ressources, vous pouvez exécuter une synchronisation partielle afin que le nouveau compte
d'utilisateur soit ajouté à tous les contrôleurs secondaires de domaine le plus tôt possible.

Si besoin, vous pouvez utiliser le Gestionnaire de serveurs pour forcer manuellement une
synchronisation partielle d'un contrôleur secondaire de domaine spécifique avec le contrôleur
principal de domaine.

- 196 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Par exemple, si l'accès est refusé en raison d'un problème lié au mot de passe du compte
d'ordinateur du contrôleur secondaire de domaine (confirmé par des messages du type « access
denied » [accès refusé] du journal des événements), une synchronisation partielle du contrôleur
secondaire de domaine avec le contrôleur principal de domaine résout le problème de mot de
passe et rétablit un canal de communication protégé.

L'envoi d'une copie de la totalité de la base de données d'annuaires à un contrôleur secondaire


de domaine s'appelle synchronisation totale. La synchronisation totale a lieu automatiquement
lorsqu'un nouveau contrôleur secondaire de domaine est ajouté dans un domaine.
Au moyen des paramètres par défaut du service Accès réseau pour la planification des mises à
jour (toutes les cinq minutes) et la taille du journal des modifications (environ 2 000
modifications), le recours à une synchronisation totale n'est pas nécessaire dans la plupart des
conditions de fonctionnement.

Remarque:

La synchronisation totale sur une liaison de réseau étendu lente est longue et coûteuse. Pour
éviter une synchronisation totale non planifiée, vous pouvez augmenter la taille du journal des
modifications.

19.2.3 Synchronisation des contrôleurs de domaine

Dans le Gestionnaire de serveurs, la commande du menu Ordinateur permettant de


synchroniser les modifications dépend du type d'ordinateur sélectionné :

Lorsque le contrôleur principal de domaine est sélectionné, la commande Synchroniser tout le


domaine est disponible dans le menu Ordinateur. Cette commande copie les derniers
changements apportés dans la base de données d'annuaires du contrôleur principal de domaine
vers le contrôleur secondaire de domaine du domaine. La commande Synchroniser tout le
domaine permet de commencer la synchronisation de tous les contrôleurs secondaires de
domaine sans attendre que la synchronisation en cours soit terminée.

Lorsqu'un contrôleur secondaire de domaine est sélectionné, la commande Synchroniser avec


le contrôleur principal de domaine est disponible dans le menu Ordinateur. Cette commande

- 197 -
ESAT/DMSI/SYS Administration Windows NT Serveur

permet de copier les dernières modifications apportées à la base de données d'annuaires


uniquement vers le contrôleur secondaire de domaine sélectionné.

19.3 AJOUT ET SUPPRESSION D'ORDINATEURS DANS UN DOMAINE


Un domaine est créé en installant Windows NT Server et en définissant un ordinateur comme
contrôleur de domaine. D'autres ordinateurs peuvent être ajoutés au domaine.

Avant qu'un ordinateur exécutant Windows NT Workstation ou Windows NT Server ne soit


membre d'un domaine et ne participe à la sécurité du domaine, il doit y être ajouté. Lorsqu'un
ordinateur est ajouté dans un domaine, Windows NT Server crée un compte pour l'ordinateur. Si
l'ordinateur ajouté est un contrôleur secondaire de domaine, il demande une copie de la base de
données d'annuaires du domaine.
Lorsque vous retirez d'un domaine un ordinateur exécutant Windows NT Workstation ou sous
Windows NT Server, le compte de l'ordinateur est supprimé. Pour ajouter un ordinateur dans un
autre domaine, vous devez créer un compte d'ordinateur afin que l'ordinateur puisse être intégré
dans ce domaine.

Remarque:

Pour retirer d'un domaine un contrôleur secondaire de domaine, vous devez supprimer le compte
d'ordinateur et réinstaller Windows NT Server sur cet ordinateur en indiquant le nouveau
domaine.

19.3.1 Ajout de stations de travail et de serveurs dans un domaine

Pour ajouter un ordinateur dans un domaine, vous devez avoir ouvert une session sur un compte
d'utilisateur disposant des droits appropriés.

S'ils disposent des droits appropriés, les utilisateurs peuvent ajouter des stations de travail et des
serveurs dans des domaines pendant ou après l'installation :

Une fois qu'un domaine a été créé, un membre du groupe Administrateurs ou Opérateurs de
compte local peut ajouter dans le domaine un contrôleur secondaire de domaine. Des
contrôleurs principaux et secondaires de domaine ne peuvent être ajoutés que lors de
l'installation.

Remarque:

Il est impossible d'ajouter un contrôleur principal de domaine dans un domaine existant. Il ne y


avoir qu'un seul CPD par domaine NT.

Lors de l'installation de Windows NT Server, un membre du groupe Administrateurs ou du


groupe opérateurs de compte ou bien un utilisateur disposant du droit Ajout d'une station de
travail dans un domaine peut ajouter un ordinateur exécutant Windows NT Server dans un
domaine, en tant que serveur membre; et/ou un ordinateur exécutant Windows NT Workstation.
Après l'installation, un membre du groupe Administrateurs ou Opérateurs de compte ou un
utilisateur disposant du droit Ajout d'une station de travail dans un domaine peut ajouter dans

- 198 -
ESAT/DMSI/SYS Administration Windows NT Serveur

un domaine un ordinateur exécutant Windows NT Workstation ou un serveur membre par


l'intermédiaire de l'icône Réseau du Panneau de configuration de l'ordinateur qui sera ajouté.

Après l'installation, un membre du groupe Administrateurs ou Opérateurs de compte, ou un


utilisateur disposant du droit Ajout d'une station de travail dans un domaine peut utiliser la
commande Ajouter au domaine du Gestionnaire de serveurs pour ajouter un compte
d'ordinateur dans la base de données de sécurité du domaine.

Ensuite, l'utilisateur permet à l'ordinateur de rejoindre le domaine en tapant le nom du domaine


par l'intermédiaire de l'icône Réseau du Panneau de configuration de l'ordinateur qui sera
ajouté.

- 199 -
ESAT/DMSI/SYS Administration Windows NT Serveur

19.3.2 Suppression d'un ordinateur d'un domaine

Vous pouvez retirer des stations de travail, des contrôleurs secondaires de domaine et des
serveurs membres d'un domaine, mais vous ne pouvez pas faire de même avec le contrôleur
principal de domaine tant que vous n'avez pas promu un contrôleur secondaire de domaine
contrôleur principal de domaine.

Lorsque vous retirez d'un domaine Windows NT Server un ordinateur exécutant Windows NT
Workstation ou un serveur membre, vous supprimez le compte de l'ordinateur de la base de
données d'annuaires, et l'ordinateur ne peut plus participer à la sécurité du domaine. Une fois
que le compte d'ordinateur est retiré du domaine, un administrateur de l'ordinateur doit supprimer
le nom de domaine par l'intermédiaire de l'icône Réseau du Panneau de configuration.
L'administrateur peut alors ajouter un nom de domaine ou un nom de groupe de travail différent.

Attention:

Pour retirer d'un domaine un contrôleur secondaire de domaine, vous devez supprimer le compte
d'ordinateur et réinstaller Windows NT Server ou Windows NT Workstation sur l'ordinateur, en
indiquant le nouveau domaine. N'utilisez plus un contrôleur secondaire de domaine qui a été
retiré d'un domaine tant que vous n'avez pas réinstallé le système d'exploitation (le serveur garde
une rémanence de l'ancienne base de données d'annuaires).

19.3.3 Attribution d'un nouveau nom d'ordinateur à une station de travail ou à un


serveur

Pour changer un nom d'ordinateur, ajoutez d'abord l'ordinateur concerné dans le domaine en tant
que nouveau compte d'ordinateur. Changez ensuite le nom d'ordinateur au niveau de la station
de travail ou du serveur, par l'intermédiaire de l'icône Réseau du Panneau de configuration. A
partir de votre ordinateur, vous pouvez alors retirer du domaine l'ancien compte d'ordinateur.

- 200 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Si vous changez le nom d'un contrôleur secondaire de domaine, assurez-vous que le nouveau
nom d'ordinateur figure dans la base de données d'annuaires avant d'y supprimer l'ancien
compte d'ordinateur. Utilisez le contrôleur principal de domaine ou un contrôleur secondaire de
domaine pour synchroniser la base de données d'annuaires.

19.3.4 Attribution d'un nouveau nom à un domaine

Pour changer le nom d'un domaine Windows NT Server, tapez de nouveau le nom du domaine
sur chaque serveur et station de travail appartenant au domaine, et rétablissez les relations
d'approbation existantes. L'identificateur de sécurité (SID, Security Identifier) du domaine n'est
pas modifié.

Vous pouvez utiliser cette procédure pour changer le nom de domaine sur tous les ordinateurs
faisant partie d'un domaine. En revanche, vous ne pouvez pas l'utiliser dans les cas suivants :
 pour déplacer un contrôleur de domaine d'un domaine vers un autre,
 pour scinder un domaine en deux domaines différents,
 pour fusionner deux domaines en un seul.

19.3.5 Déplacement d'un ordinateur vers un domaine différent

Un contrôleur secondaire de domaine ne peut pas modifier les domaines à moins que Windows
NT Server ne soit réinstallé sur le contrôleur. Les serveurs membres et les ordinateurs exécutant
Windows NT Workstation peuvent modifier les domaines sans que la réinstallation de Windows
NT soit nécessaire.

Pour déplacer une station de travail ou un serveur membre d'un domaine Windows NT Server
vers un autre, retirez l'ordinateur de l'ancien domaine et ajoutez-le dans le nouveau.

- 201 -
ESAT/DMSI/SYS Administration Windows NT Serveur

19.4 RELATIONS D'APPROBATION ENTRE DOMAINES


En regroupant des ordinateurs par domaines, les administrateurs et les utilisateurs du réseau
bénéficient de deux avantages principaux :

Les serveurs d'un domaine forment une seule entité administrative, partagent les informations
relatives à la sécurité et aux comptes d'utilisateur, ce qui permet aux administrateurs et aux
utilisateurs de gagner du temps et de réduire leurs efforts.

Les utilisateurs qui parcourent le réseau à la recherche des ressources disponibles visualisent le
réseau regroupé par domaines au lieu de visualiser à la fois tous les serveurs et toutes les
imprimantes connectés au réseau.

Les relations d'approbation apportent au niveau du réseau, plutôt qu'au niveau du domaine
uniquement, les avantages de l'administration centralisée. L'établissement de relations
d'approbation entre les domaines de votre réseau permet d'utiliser les comptes d'utilisateur et les
groupes globaux dans des domaines autres que ceux dans lesquels ils sont stockés. Vous ne
devez créer chaque compte d'utilisateur qu'une seule fois, et dans la mesure où les services
d'annuaires permettent de synchroniser toutes les données relatives à la sécurité contenues
dans la base de données d'annuaires, le compte peut accéder à tous les ordinateurs du réseau,
et non être limité aux seuls ordinateurs appartenant à un domaine.
Les relations d'approbation sont créées uniquement entre les domaines Windows NT Server.
Lors de l'administration des serveurs membres, les ordinateurs exécutant Windows NT
Workstation ou un domaine LAN Manager 2.x, la commande Relations d'approbation n'est pas
disponible.
L'illustration suivante représente une relation d'approbation entre deux domaines qui contiennent
à la fois des ressources et des comptes.

Remarque :

Les flèches qui figurent dans l'illustration pointent toujours des ressources pouvant être
utilisées vers les comptes approuvés pour les utiliser.

Dans l'illustration précédente, les comptes d'utilisateur du domaine Ventes peuvent:


 utiliser les ressources du domaine Production.

- 202 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 ouvrir une session sur leur domaine et accéder aux serveurs du domaine Production et
ce, à partir de n'importe quelle station de travail de leur domaine.
 être ajoutés dans des groupes locaux du domaine Production.
 Toutefois, les utilisateurs du domaine Production ne peuvent pas:
 appartenir à des groupes locaux du domaine Ventes,
 ouvrir une session sur le domaine Production à partir des stations de travail du domaine
Ventes,
 se connecter aux serveurs du domaine Ventes.

Un exemple type de relation d'approbation unidirectionnelle est un domaine contenant des


comptes devant être approuvés par un ou plusieurs domaines de ressources. Dans ce type
d'approbation, tous les comptes sont approuvés pour utiliser toutes les ressources.

19.4.1 création d’une relation d’approbation

Pour créer des relations d'approbation, vous devez utiliser la commande Relations
d'approbation du menu Stratégies du Gestionnaire des utilisateurs pour les domaines pour
ajouter et enlever des noms de domaines dans la liste des domaines approuvés et dans celle des
domaines autorisés à approuver.

Pour établir une relation d'approbation unidirectionnelle, deux étapes doivent être effectuées,
chacune dans un domaine différent :

Dans un premier temps, le domaine qui sera le domaine approuvé ajoute un domaine dans sa
liste de domaines autorisés à approuver.

Ensuite, le domaine autorisé à approuver doit ajouter le premier domaine dans sa liste de
domaines approuvés.

- 203 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Il est préférable d'établir la relation Autorisés à approuver ce domaine en premier et la relation


Domaine approuvé en dernier. Cet ordre permet de vérifier immédiatement le mot de passe
utilisé pour établir la relation d'approbation lorsque celle-ci est utilisée pour la première fois.

Pour établir une relation à double sens (dans laquelle chaque domaine approuve l'autre), ces
deux étapes doivent être effectuées deux fois, à savoir une fois dans chaque domaine.

Remarques :

L'établissement d'une relation d'approbation exige que les deux administrateurs de domaine
exécutent des actions sur leurs domaines respectifs.

Un nom de domaine peut être saisi en lettres majuscules et minuscules, mais celui-ci s'affiche
toujours en lettres majuscules.

19.4.2 Suppression d'une relation d'approbation entre deux domaines

La suppression d'une relation d'approbation exige également deux étapes, c'est-à-dire une dans
chaque domaine :

 Le domaine approuvé doit supprimer le deuxième domaine de sa liste de domaines


autorisés à approuver.

 Le domaine autorisé à approuver doit supprimer le premier domaine de sa liste de


domaines approuvés.

L'ordre d'exécution de ces deux étapes est sans importance.

- 204 -
ESAT/DMSI/SYS Administration Windows NT Serveur

20CONFIGURATION DES SERVEURS D'IMPRESSION

20.1 INFORMATIONS GÉNÉRALES SUR L'IMPRESSION SOUS NT


Windows NT offre plusieurs fonctionnalités avancées :

Les clients peuvent parcourir le réseau pour rechercher les imprimantes réseau Windows
disponibles. Vous pouvez effectuer cette opération à partir de l'icône Voisinage réseau, de
l'Assistant d'ajout d'une imprimante, voire, d'une manière encore plus simple, à l'aide de la boîte
de dialogue Configuration de l'impression des applications Windows NT et Windows 95.

Les clients peuvent parcourir le réseau pour rechercher les serveurs d'impression exécutant
d'autres systèmes d'exploitation. Par exemple, vous pouvez rechercher les serveurs d'impression
LAN Manager 2.x et vous connecter à des partages d'impression sur ces serveurs. Dans ce cas,
Windows NT vous demande d'installer le pilote d'imprimante approprié, si ce n'est déjà fait.

En tant qu'administrateur, vous pouvez gérer à distance les serveurs d'impression, les
imprimantes, les documents et les pilotes d'impression Windows NT.

En tant qu'administrateur, vous n'avez pas besoin d'installer des fichiers de pilote d'impression
sur un ordinateur client Windows NT afin de permettre à ce dernier d'utiliser un serveur
d'impression Windows NT. Si tous les clients exécutent Windows NT ou Windows 95, il vous suffit
d'installer ces fichiers uniquement sur le serveur d'impression.

Utilisation du serveur d'impression Windows NT Workstation.

Windows NT Workstation et Windows NT Server peuvent fonctionner soit en tant que client, soit
en tant que serveur d'impression. Cependant, dans la mesure où Windows NT Workstation
n'accepte que dix connexions et qu'il ne prend pas en charge les Services pour Macintosh et le
Service passerelle pour NetWare, il ne constitue un serveur d'impression approprié que pour les
réseaux de petite taille. Sauf indication contraire, toutes les sections de ce chapitre concernent
Windows NT Workstation et Windows NT Server.

20.2 TERMINOLOGIE DE L'IMPRESSION SOUS NT


Sous Windows NT, un périphérique d'impression désigne le matériel qui produit la sortie
imprimée. Une imprimante fait référence à l'interface logicielle située entre le système
d'exploitation et le périphérique d'impression. L'imprimante définit l'emplacement vers lequel le
document est envoyé avant d'atteindre le périphérique d'impression (un port local, un fichier ou
un partage d'impression distant), le moment de son envoi et les autres aspects de la procédure
d'impression. Lorsque les utilisateurs se connectent à des imprimantes, ils se connectent aux
noms d'imprimante logiques qui représentent un ou plusieurs périphériques d'impression.

Un pilote d'imprimante est un programme qui convertit les commandes graphiques en langage
d'imprimante spécifique, tel que PostScript ou PCL. Windows NT fournit des pilotes pour les
périphériques d'impression les plus courants. Lorsque vous créez une imprimante, vous
installez un pilote d'impression et vous avez la possibilité de la partager.
La résolution d'un périphérique d'impression est mesurée en points par pouce (ppp). Plus le
nombre de points par pouce est élevé, plus la résolution est bonne.

- 205 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Dans la terminologie Windows NT, une file d'attente d'impression est un groupe de documents
en attente d'impression. Dans les environnements NetWare et OS/2, les files d'attente
représentent l'interface logicielle principale entre l'application et le périphérique d'impression : les
utilisateurs envoient des documents vers une file d'attente d'impression. Cependant, avec
Windows NT, l'imprimante correspond à cette interface, et le document est envoyé vers
l'imprimante, non vers la file d'attente.

Le spouleur d'impression est un groupe de bibliothèques de liaisons dynamiques (DLL) qui


reçoit, traite, planifie et distribue les documents.

Mettre en spoule est la procédure qui consiste à écrire le contenu d'un document dans un fichier
sur un disque. Ce fichier est appelé fichier spoulé.

Le serveur d'impression est l'ordinateur qui reçoit les documents des clients.

Les périphériques d'impression à interface réseau sont des périphériques d'impression


intégrant des cartes réseau. Ils ne sont pas connectés physiquement à un serveur d'impression,
mais directement au réseau.

20.3 PLANIFICATION DE VOS OPÉRATIONS D'IMPRESSION

20.3.1 Choix des ordinateurs utilisés comme serveurs d'impression

Quelle que soit la taille du réseau, vous serez probablement amené à regrouper l'installation des
imprimantes sur quelques serveurs choisis. Un ordinateur fonctionnant en tant que serveur
d'impression peut également jouer le rôle d'un serveur de fichiers ou d'un serveur de base de
données. Aucune configuration matérielle particulière n'est requise. Seuls les ports de sortie
correspondant au périphérique d'impression, série ou parallèle, doivent être appropriés.

Un minimum de 32 Mo de mémoire vive est nécessaire à un ordinateur utilisé comme serveur


d'impression, qui gère un petit nombre de périphériques d'impression. L'administration d'un grand
nombre d'imprimantes ou de documents importants requiert plus de mémoire. Un espace disque
minimal est nécessaire sauf dans le cas où un grand nombre de documents ou des documents
de grande taille sont gérés.

20.3.2 Association des services de fichiers et d'impression

Lorsque vous utilisez Windows NT pour le partage de fichiers et d'impression, les fichiers sont
traités en priorité. Les impressions ne ralentissent jamais l'accès aux fichiers. De plus, les
opérations réalisées sur les fichiers ont une incidence négligeable sur les imprimantes attachées
directement au serveur. Ce sont les ports série ou parallèle qui provoquent les goulets
d'étranglement. Un serveur d'impression dédié peut être nécessaire si le serveur doit gérer des
imprimantes très utilisées.

- 206 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Le choix de l'association des serveurs de fichiers et d'impression dépend des problèmes de


sécurité. Les utilisateurs doivent pouvoir avoir un accès permanent aux imprimantes, mais vous
pouvez protéger le serveur de fichiers en limitant l'accès physique à celui-ci (par exemple, en le
plaçant dans une pièce sûre).

20.3.3 Planification de l'accès des utilisateurs aux imprimantes

Avant d'installer des imprimantes sur un serveur, vous devez connaître les options de
configuration qui vous permettent d'améliorer la souplesse et l'efficacité des impressions réseau.
Après avoir étudié ces options, vous pourrez utiliser le dossier Imprimantes pour installer et
configurer les imprimantes.

Sous Windows NT, il n'est pas nécessaire d'établir une relation un à un entre les imprimantes (le
logiciel) et les périphériques d'impression (l'imprimante physique). En associant les imprimantes
et les périphériques d'impression de plusieurs manières, vous offrez davantage de souplesse aux
utilisateurs pour leurs impressions. Plusieurs configurations sont possibles, comme indiqué dans
les schémas ci-dessous.

Une imprimante à un périphérique d'impression

Plusieurs imprimantes à un périphérique d'impression

- 207 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Une imprimante à plusieurs périphériques d'impression

La possibilité d'attribuer plusieurs imprimantes à un périphérique d'impression offre une plus


grande souplesse aux utilisateurs pour l'impression de leurs documents. Par exemple, deux
imprimantes associées à un seul périphérique d'impression peuvent avoir des propriétés
d'impression différentes : l'une peut imprimer des pages de séparation et l'autre non, ou bien
l'une peut conserver les documents en mémoire et les imprimer la nuit, tandis que l'autre
fonctionne 24 heures sur 24.

20.3.3.1 Mise en attente des documents


L'utilisation optimale des périphériques d'impression peut être obtenue en échelonnant les heures
d'impression. Par exemple, si le trafic sur l'imprimante est important pendant la journée, vous
pouvez reporter l'impression de documents peu importants en les dirigeant vers une imprimante
qui imprime uniquement en dehors des heures de bureau.

Pour ce faire, utilisez l'onglet Planification de la feuille de propriétés de l'imprimante pour définir
les heures d'impression des documents. Lorsque vous indiquez des heures d'impression, le
spouleur d'impression accepte les documents à toute heure, mais ne les imprime sur le
périphérique de destination qu'à l'heure indiquée. A la fin de la période d'impression, le spouleur
n'envoie plus de documents vers le périphérique d'impression et enregistre les documents
restants jusqu'à la période d'impression suivante.

En continu 24h sur 24

De minuit à 6 h du matin

20.3.3.2 Attribution de niveaux de priorité aux imprimantes


Vous devez parfois imprimer un document immédiatement et passer outre la file d'attente pour un
périphérique d'impression. Pour ce faire, vous pouvez créer des imprimantes et leur attribuer des
niveaux de priorité différents. (Les priorités d'impression sont définies sous l'onglet Planification
de la feuille de propriétés de l'imprimante.) Si deux imprimantes sont associées à un seul
périphérique d'impression, les documents routés vers l'imprimante ayant le niveau de priorité le
plus élevé (numéro le plus grand) s'impriment en premier.

- 208 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Pour profiter pleinement des niveaux de priorité d'impression, créez plusieurs imprimantes
connectées à un périphérique d'impression. Attribuez à chaque imprimante un niveau de priorité,
puis créez un groupe d'utilisateurs correspondant à chaque imprimante. Par exemple, les
utilisateurs du groupe 1 ont accès à une imprimante de niveau de priorité 1, les utilisateurs du
groupe 2, à une imprimante de niveau de priorité 2, etc. Ainsi, vous pouvez attribuer une priorité
aux documents en fonction des utilisateurs qui les soumettent à l'impression.

20.3.3.3 Utilisation d'un pool d'impression


Un pool d'impression est composé de plusieurs périphériques d'impression identiques associés
à une imprimante. Pour définir un pool, créez une imprimante à l'aide de l'Assistant d'ajout d'une
imprimante et affectez-la à tous les ports de sortie correspondant aux différents périphériques
d'impression. (Windows NT n'impose aucune limite quant au nombre d'imprimantes pouvant faire
partie d'un pool.) Le périphérique d'impression en attente reçoit le document suivant. Cette
configuration permet une utilisation optimale des périphériques d'impression tout en réduisant au
minimum le temps nécessaire à l'impression des documents.

Les pools d'impression possèdent les caractéristiques suivantes :

 Tous les périphériques du pool sont du même type matériel et représentent une seule
unité. Les paramètres d'impression s'appliquent à l'ensemble du pool.

- 209 -
ESAT/DMSI/SYS Administration Windows NT Serveur

 Les ports d'imprimante peuvent être du même type ou mélangés (parallèle, série et
réseau).

 Lorsqu'un document arrive sur le pool d'impression, le spouleur contrôle la sortie


imprimante afin de savoir quel périphérique est en attente.

 Si un périphérique du pool arrête l'impression, par exemple en raison d'un manque de


papier, seul ce document sera conservé en mémoire sur ce périphérique. Les autres
documents s'impriment sur les autres périphériques du pool tant que ce périphérique n'est
pas disponible ou que l'impression du document n'a pas été relancée.

Il est impossible de savoir quelle imprimante du pool reçoit un document donné. Cependant, si le
service Messagerie de Windows NT est activé, une station de travail reçoit des messages
indiquant que les documents sont imprimés et identifiant l'imprimante par son port de sortie. Au
cas où les utilisateurs n'utilisent pas ces messages, il est préférable de regrouper les
périphériques d'impression au même endroit.

Comme indiqué dans la figure suivante, une configuration particulièrement souple vous permet
d'accéder à un périphérique d'impression à la fois directement et à l'intérieur d'un pool
d'impression. Une telle configuration allie la capacité de production élevée d'un pool d'impression
et la souplesse de plusieurs imprimantes.

20.4 CONNEXION DES IMPRIMANTES


Une fois arrêtée la façon dont les utilisateurs doivent partager les imprimantes du réseau, vous
devez connecter les périphériques d'impression au réseau. Les imprimantes partagées sont
connectées aux ports série ou parallèle du serveur d'impression ou directement au réseau si elles
possèdent une carte réseau intégrée.

20.4.1 Configuration des imprimantes parallèles

Les périphériques d'impression sont connectés aux ordinateurs au moyen de ports parallèles.
Les câbles parallèles ont une longueur inférieure à six mètres. Les ordinateurs standard prennent
en charge trois ports parallèles.

Remarque :

Bien que les ordinateurs standard prennent en charge trois ports parallèle, en règle générale, un
seul est installé. Pour une installation, une configuration et un support plus faciles ou pour des
périphériques d'impression sans interface, utilisez le premier port parallèle (LPT1).

- 210 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Vous pouvez déclarer une imprimante lorsque vous installez le système ou ultérieurement à l’aide
de l’Explorateur, du Poste de travail ou du Panneau de configuration. Dans les deux cas, la
procédure ne pose aucune difficulté majeure.

Remarque :

Par défaut seul l’administrateur peut installer une imprimante local à la station. Les utilisateurs
peuvent uniquement accéder à des imprimantes déjà existantes.

Raccorder votre imprimante sur le port parallèle de votre machine (ne pas oublier de l’alimenter
en courant, papier et cartouches d’encre). Assurez vous que vous disposez du pilote de votre
périphérique.

Allez dans le panneau de configuration et double-cliquez sur l’icône « imprimantes ».

La fenêtre imprimante apparaît. Double-cliquer sur l’icône «Ajout d’imprimante ».

Indiquez d’abord si vous raccordez une imprimante locale à votre ordinateur ou s’il s’agit d’une
imprimante réseau. Nous installons ici une imprimante locale.

- 211 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Choisissez un port, puis sélectionnez votre imprimante dans la liste des imprimantes. Le port
d’impression peut être un port local (LPT1 : , LPT2 : , COM1 : , etc.) ou un port virtuel piloté par
un protocole complémentaire (dans notre cas, c’est le port LPT1 ; premier port parallèle).

- 212 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Si votre imprimante n’apparaît pas dans la liste cela veut dire que son pilote ne se trouve pas sur
le CD-ROM d’installation de Windows NT. Vous devez alors cliquer sur le bouton « Disquette
fournie... » et spécifier le chemin du lecteur ou est stocké le pilote.

Ensuite, il vous faudra choisir un nom pour l’imprimante (c’est par ce nom que l’imprimante sera
visible sur le réseau), et choisir si cette imprimante sera l’imprimante par défaut.

La dernière phase de l’installation permettra de partager l’imprimante, de choisir le nom de


partage et de définir les systèmes d’exploitation utilisée par les clients.

- 213 -
ESAT/DMSI/SYS Administration Windows NT Serveur

L’installation se finit par l’impression du page de test pour valider le bon fonctionnement de
l’ensemble.

Après l’installation, l’imprimante apparaît dans le dossier Imprimantes de l’Explorateur.


Visualisez ou modifier ses propriétés par le menu contextuel ou la commande
Fichier/Propriétés. Un double-clic sur l’icône de l’imprimante permet d’afficher la file d’attente.

Nous ne décrivons pas ici en détail les propriétés des imprimantes. Elles varient fortement d’un
modèle à l’autre. Les imprimantes standard simples peuvent généralement être pilotées
directement avec les réglages par défaut. Par contre, si vous utilisez une imprimante recto-verso
avec trois bacs d’alimentation, vous devez indiquer toutes ses propriétés complémentaires.

- 214 -
ESAT/DMSI/SYS Administration Windows NT Serveur

20.4.2 Configuration des imprimantes à interface réseau

Contrairement aux périphériques série et parallèle, les périphériques d'impression avec cartes
réseau intégrées n'ont pas besoin d'être connectés physiquement au serveur d'impression. Leur
emplacement n'a aucune incidence sur les performances d'impression tant que les utilisateurs et
les périphériques d'impression ne se trouvent pas de chaque côté d'un pont ou d'une passerelle.
Un serveur d'impression Windows NT peut contrôler des douzaines d'imprimantes à interface
réseau, en fonction de sa capacité de traitement, de la mémoire installée ainsi que de la taille et
du nombre de documents qui sont envoyés vers le serveur d'impression. Afin de maintenir une
capacité élevée, ajoutez de la mémoire au fur et à mesure que vous ajoutez des périphériques.

Les périphériques d'impression à interface réseau sont connectés au réseau au moyen d'une
carte intégrée ou d'une carte additionnelle. Afin d'utiliser une imprimante à interface réseau,
installez le protocole DLC (Data Link Control) ou le service Impression Microsoft TCP/IP, en
fonction des méthodes d'impression prises en charge par votre périphérique d'impression. Les
imprimantes AppleTalk utilisent le protocole AppleTalk. Les imprimantes TCP/IP LPR (Line
Printer Remote Queue) utilisent le protocole TCP/IP et le service d'impression Microsoft TCP/IP.
Ce service présuppose que l’imprimante est raccordée à un ordinateur permettant le
fonctionnement d’un démon LPD (Line Printer Deamon). C’est un serveur d’impression sous

- 215 -
ESAT/DMSI/SYS Administration Windows NT Serveur

UNIX. L’impression via LPR est une application client/serveur. Utilisez l'icône Réseau du
Panneau de configuration pour installer ces protocoles et ces services lors du programme
d'installation ou ultérieurement.

En règle générale, vous devez déterminer l'adresse du périphérique d'impression réseau avant
d'installer le serveur d'impression Windows NT. Si vous imprimez via TCP/IP, vous avez
généralement besoin de l'adresse TCP/IP du périphérique d'impression. Si vous imprimez vers un
périphérique d'impression Hewlett-Packard à interface réseau, exécutez un autotest afin d'obtenir
l'adresse de la carte réseau. Si vous imprimez vers un périphérique d'impression AppleTalk, vous
devez connaître son emplacement.

20.4.2.1 Installation du service Lpd


1. Ouvrez le Panneau de configuration. Double cliquez sur Réseau. Activez l’onglet Services.

2. Cliquez sur Ajouter. Sélectionnez le service Impression Microsoft TCP/IP

3. Validez vos définitions. Redémarrez l’ordinateur pour mettre à jour les modifications.

20.4.2.2 Port Lpr


La plus facile des solutions pour piloter une imprimante TCP/IP consiste à passer part le port Lpr.
Reliez à ce port une imprimante déjà installée sous Windows NT ou une nouvelle imprimante.
Pour imprimer des fichiers sur cette imprimante TCP/IP, utilisez comme d’habitude la commande
Imprimer de l’application NT.

Pour configurer un port Lpr, il vous faut l’adresse IP ou le nom du serveur d’impression (c’est
l’endroit où fonctionne le programme Lpd) et le nom de l’imprimante ou de la file d’attente sur le
serveur d’impression TCP/IP.

Remarque :

En règle générale, le nom de l’imprimante ou de la file d’attente sur le serveur TCP/IP ne


concorde pas avec le nom de l’imprimante. Le service Lpr ne fonctionne pas si le nom n’est pas
spécifié correctement

- 216 -
ESAT/DMSI/SYS Administration Windows NT Serveur

20.4.2.3 Affectation d’une adresse IP


Affecter une adresse IP à une carte suppose, soit de posséder une interface graphique disposant
du champ de saisie adéquate, soit d’utiliser la commande ARP (Address Resolution Protocol).
Cette commande n'est disponible que si le protocole TCP/IP est installé.

La syntaxe de la commande est la suivante :

arp -a [addr_inet] [-N [addr_if]]


arp -d addr_inet [addr_if]
arp -s addr_inet addr_ether [addr_if]

Paramètres

-a : Affiche les entrées ARP courantes par interrogation de TCP/IP. Si addr_inet est spécifié,
seules les adresses physiques et IP de la machine spécifié apparaissent.

-g: Idem -a.

addr_inet : Spécifie une adresse IP en notation décimale pointée ( par exemple 160.210.30.10).

-N : Affiche les entrées ARP pour l'interface réseau spécifiée par addr_if.

addr_if : Spécifie, le cas échéant, l'adresse IP de l'interface dont la table de conversion


d'adresses est à modifier. Si elle n'est pas spécifiée, la modification est faite sur la première
interface rencontrée.

-d : Supprime l'entrée spécifiée par addr_inet.

-s : Ajoute une entrée dans la mémoire cache ARP ( table de correspondance entre les adresses
IP et les adresses MAC) afin d'associer l'adresse IP addr_inet à l'adresse physique addr_ether.
L'adresse physique se compose de six octets hexadécimaux séparés par des tirets. L'adresse IP
est spécifiée en notation décimale pointée. L'entrée est permanente (elle n'est pas supprimée
systématiquement du cache à l'expiration de la temporisation).

addr_ether : Spécifie une adresse physique (adresse MAC).

Exemple :
La commande ARP –s est employée pour ajouter au cache de la seconde interface une entrée
statique correspondant à l’hôte dont l’adresse IP est 10.57.10.32 et l’adresse Mac 00-60-8c-0 e-
6c-6a.

Remarque :
Vous pouvez être amené à taper plusieurs fois la commande ARP –s pour qu’elle soit prise en
compte dans la cache ARP, ou vous pouvez faire suivre la commande ARP d’un Ping sur la
nouvelle adresse IP.

- 217 -
ESAT/DMSI/SYS Administration Windows NT Serveur

20.4.2.4 Comment relier un imprimante NT au port Lpr ?


1. Installez une nouvelle imprimante ou appelez les propriétés d’une imprimante déjà installée.

2. Dans l’onglet Ports, cliquez sur Ajouter un port. Le port LPR est disponible, sélectionner le
et cliquez sur nouveau port

3. Dans la boîte de dialogue qui suit, indiquez l’adresse IP ou le nom du serveur d’imprimante et
le nom de l’imprimante ou de la file d’attente sur ce serveur.

4. Validez vos définitions. Un nouveau port a été créé, il est disponible dans l’assistant
d’installation d’imprimante. Sélectionné le, et continuer l’installation comme pour une
imprimante en locale.

- 218 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Mise à disposition de la connexion TCP/IP


Windows NT tente d’établir une connexion avec ce serveur d’impression. Vérifiez que cette
connexion TCP/IP est disponible afin de pouvoir exécuter la commande. Windows NT renvoie un
message d’erreur si la connexion ne s’établit pas ou si le nom de la file d’attente est incorrect.

Utilisez la commande Lpr, décrite ci-après, pour créer des fichiers d’impression que vous voulez
envoyer vers l’imprimante distante.

20.4.2.5 Commandes Lpr et Lpq


Lpr sert à envoyer des fichiers existants vers un serveur d’impression TCP/IP. Lpq permet
d’interroger l’état actuel des files d’attente disponibles.

Syntaxe et paramètres de la commande Lpr :


Lpr –SServeur -PImprimante [-CClasse] [-JTravail] [-OOption] nom de fichier

Paramètre Résultat
-SServeur Nom ou adresse IP du serveur d’impression
-PImprimante Nom de l’imprimante ou de la file d’attente sur le serveur lpd
-CClasse Affiche le contenu de la page de séparation (facultatif)
-JTravail Nom de l’ordre d’impression (facultatif)
Type du fichier que vous envoyez, par défaut fichier texte. Utilisez l’option –O
-OOption
pour un fichier binaire (fichier PostScript binaire)

Exemple :

Lpr –Sservimpr1.resentr.fr –Pps1 sortie.ps

Envoie le fichier sortie.ps vers l’imprimante ps1 du serveur d’impression servimpr1.resentr.fr.

- 219 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Remarque :

Espace interdit : N’ajoutez pas d’espace entre les paramètres –S, -P, -C, -O et les options
correspondantes

Avec la commande Lpq, contrôlez l’état de la file d’attente d’impression sur un ordinateur distant.

Syntaxe et paramètres de la commande Lpq :


Lpq –SServeur -PImprimante [-l]

Les deux premiers paramètres sont identiques à ceux de Lpr. Avec –l, indiquez si vous voulez un
affichage détaillé des données ou non.

20.5 DEFINITION DES PROPRIETES D'UNE IMPRIMANTE


Vous définissez les propriétés d'une imprimante à la dernière étape de l'Assistant d'ajout d'une
imprimante et à n'importe quel moment en affichant les feuilles de propriétés d'une imprimante.
La feuille de propriétés d'une imprimante comprend :
les propriétés générales (paramètres du pilote d'imprimante et de la page de séparation) ;
les sélections et les propriétés du port ;
les propriétés de planification et de mise en spoule de documents ;
les paramètres de nom de partage d'imprimante et du lecteur optionnel d'imprimante ;
les paramètres de sécurité ;
les propriétés spécifiques aux périphériques.

Pour afficher la feuille de propriétés d'une imprimante, ouvrez le dossier Imprimantes, cliquez
sur l'imprimante, puis cliquez dans le menu Fichier sur Propriétés.

- 220 -
ESAT/DMSI/SYS Administration Windows NT Serveur

20.5.1 Définition des propriétés générales d'une imprimante

Utilisez l'onglet Général de la feuille de propriétés d'une imprimante pour :


définir ou changer l'emplacement ou les commentaires relatifs à l'imprimante ;
définir ou changer le type de périphérique d'impression ;
changer le pilote utilisé par l'imprimante ;
choisir une page de séparation ;
choisir un processeur d'impression ;
imprimer une page de test.

Le texte de commentaire permet d'indiquer l'emplacement du périphérique d'impression aux


clients Windows NT qui parcourent le réseau pour rechercher une imprimante.
Vous pouvez installer un pilote mis à jour ou un processeur d'impression à l'aide des boutons
Nouveau pilote et Processeur d'impression.

20.5.1.1 Page de séparation


Les travaux d’impression ne sont pas toujours récupérés immédiatement par les collaborateurs.
Afin de pouvoir facilement trier les documents dans le tas de papier en faisant un minimum
d’erreurs, vous pouvez imprimer une page de séparation au début de chaque tâche d’impression.
Celle-ci contient des informations sur le nom du donneur d’ordre, son service et la date de la
demande d’impression. Windows NT ne permet pas de sélectionner un papier différent lors de
l’impression des pages de séparation. Cela aurait permis une meilleure visibilité dans les paquets
volumineux.

Le tableau suivant indique les noms des fichiers de page de séparation fournis avec Windows
NT, la fonction de chacun et le type d'imprimante avec lequel ils sont compatibles. Ces trois
pages de séparation peuvent être modifiées. Par défaut, les fichiers de page de séparation sont
stockés dans le dossier racinesystème\System32.

Nom de fichier Fonction Compatible

Imprime une page avant chaque


Sysprint.sep PostScript
document.
Fait passer l'imprimante sur
Pcl.sep l'impression PCL et imprime une page PCL
avant chaque document.

- 221 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Nom de fichier Fonction Compatible


Fait passer l'imprimante sur
l'impression PostScript, mais
Pscript.sep PostScript
n'imprime pas de page de séparation
avant chaque document.

20.5.1.1.1Utilisation de pages de séparation personnalisées


Pour personnaliser une page de séparation, attribuez un nouveau nom et modifiez l'un des
fichiers de page de séparation fournis. Le tableau suivant indique les délimiteurs de commande
que vous devez inclure dans un fichier de page de séparation. Windows NT remplace ces
délimiteurs de commande par les données appropriées qu'il envoie directement à l'imprimante.
Les délimiteurs de commande commencent par un caractère spécifique et terminent par une
lettre ou un chiffre. La première ligne de votre page de séparation personnalisée doit contenir
uniquement le délimiteur de commande.

Commande Fonction

\ La première ligne du fichier de séparation est un caractère unique. L'interpréteur de fichier


de séparation le considère comme le délimiteur de commande du fichier de
séparation. Dans ce tableau, ce caractère est une barre oblique inverse (\).

\N Imprime le nom d'utilisateur de la personne qui a soumis le document.

\I Imprime le numéro du document.

\D Imprime la date d'impression du document. Le format de la date est identique à celui de


l'onglet Date de la feuille Propriétés de Paramètres régionaux du Panneau de
configuration.

\T Imprime l'heure d'impression du document. Le format de l'heure est identique à celui de


l'onglet Heure de la feuille Propriétés de Paramètres régionaux du Panneau de
configuration.

\LxxxxImprime tous les caractères (xxxx) qui le suive jusqu'à ce qu'un autre délimiteur de
commande soit rencontré ou jusqu'à ce qu'une page de séparateur indiquant le
nombre de caractères par ligne soit rencontrée. (Voir \Wnn.)

\Fpathname Imprime le contenu du fichier spécifié dans le chemin, en commençant sur une
ligne vide. Le contenu de ce fichier est copié directement sur l'imprimante sans
aucun traitement.

\Hnn Définit une séquence de contrôle qui dépend de l'imprimante, où nn est un code ASCII
hexadécimal envoyé directement à l'imprimante. Pour déterminer ces chiffres,
consultez le manuel de l'imprimante.

\Wnn Définit la largeur, en nombre de caractères, de la page de séparation. La largeur par


défaut est 80. La valeur maximale est 256. Tous les caractères au-delà de cette
largeur sont tronqués.

\B\S Imprime le texte sous la forme d'un bloc de caractères à longueur unique jusqu'à ce que
\U soit rencontré.

- 222 -
ESAT/DMSI/SYS Administration Windows NT Serveur

\E Ejecte une page de l'imprimante. Utilisez ce code pour démarrer une nouvelle page de
séparation ou pour terminer le fichier de page de séparation. Si vous obtenez une
page de séparation supplémentaire vierge lorsque vous imprimez, supprimez ce
code de votre fichier de page de séparation.

\n Passe un nombre n de lignes (de 0 à 9). Si vous passez 0 ligne, vous passez simplement
à la ligne suivante.

\B\M Imprime le texte dans un bloc de caractères à largeur double jusqu'à ce que \U soit
rencontré.

\U Désactive l'impression en bloc de caractères.

20.5.2 Ajout, suppression et configuration des ports

Utilisez l'onglet Ports de la feuille de propriétés de l'imprimante pour :


augmenter ou diminuer le nombre d'imprimantes d'un pool d'imprimantes ;
changer le port d'impression ;
ajouter un nouveau port ;
supprimer un port ;
modifier les paramètres d'un port.

Remarque :

- 223 -
ESAT/DMSI/SYS Administration Windows NT Serveur

La modification des paramètres d'un port série ou parallèle, ou l'ajout ou la suppression de ports
a une incidence non seulement sur l'imprimante choisie, mais également sur tout le système.

20.5.3 Modification des paramètres de planification et de spoule

Utilisez l'onglet Planification de la feuille de propriétés de l'imprimante pour modifier les


paramètres de planification et de spoule. Vous pouvez définir :
la plage de temps pendant laquelle l'imprimante est disponible ;
la priorité du document ;
les options de spoule du document ;
les options de gestion des files d'impression.

Le tableau suivant indique les options disponibles sous l'onglet Planification de la feuille de
propriétés de l'imprimante.

Option Description
Disponible Indique la disponibilité de l'imprimante.
Définit une file d'impression en fonction de la priorité du
Priorité
document.

Commencer l'impression après


Empêche les délais lorsqu'un serveur d'impression imprime les
que la dernière page ait été
pages plus rapidement qu'elles ne sont fournies par les clients.
spoulée

Commencer l'impression
Imprime les documents le plus vite possible (par défaut).
immédiatement

- 224 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Option Description

Imprimer directement sur Envoie des documents au périphérique d'impression sans les
l'imprimante écrire au préalable sur le disque dur du serveur d'impression.

Le spouleur conserve les documents s'ils ne correspondent pas


Maintenir les documents non
au formulaire disponible. Cela permet aux autres documents
conformes
d'être imprimés jusqu'à ce que le bon formulaire soit chargé.

Le spouleur imprime les documents dans l'ordre selon lequel ils


Imprimer d'abord les
ont été spoulés. Utilisez cette option avec l'option Commencer
documents spoulés
l'impression immédiatement.

Conserver les documents Permet aux utilisateurs de soumettre à nouveau un document à


après leur impression partir de la file d'impression plutôt qu'à partir d'une application.

20.5.4 Partage d’une imprimante.

Comme un dossier une imprimante peut être partagée. Si vous choisissez de partager votre
imprimante pendant l’installation, il vous suffit de lui donner un nom de partage. Ce nom sera
alors visible sur le réseau.

Votre imprimante peut aussi être utilisée par des machines ne fonctionnant pas avec Windows
NT. Vous devrez sélectionner les systèmes d’exploitation de tous les ordinateurs qui imprimeront
avec ce périphérique.

Attention :

- 225 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Sur une station de travail le nombre de connexion a un partage est limité à 10. Donc seulement
10 utilisateurs pourront demander des impressions simultanément.

20.5.5 Sécurité

20.5.5.1 Permissions
Vous pouvez accorder des droits d’accès à une imprimante sur le réseau au même titre qu’un
fichier ou un dossier. Windows NT propose pour les imprimantes, en plus de ceux du partage,
des paramètres de sécurité pour les droits d’utilisation et les contrôles d’accès, comme les
ressources NTFS.

Ces réglages ressemblent à ceux des fichiers et des dossiers. Aucun utilisateur ou groupe
d’utilisateurs n’est affecté lors du partage d’une imprimante (à l’opposé du partage de fichiers ou
de dossiers). Ce serait superflu, car vous pouvez restreindre les accès à une imprimante dans les
réglages de sécurité. Une imprimante peut apparaître sans problème dans la liste des ressources
de tous les utilisateurs.

Les paramètres de sécurité servent à définir les droits d’accès aux imprimantes. Voici les
différentes options concernant les utilisateurs et les groupes d’utilisateurs :

Aucun accès :
ce groupe ou ses membres ne peuvent pas utiliser cette imprimante.

Imprimer :
les utilisateurs du domaine peuvent envoyer des travaux d’impression.

Gestion des documents :


les membres ont le droit de modifier les paramètres de la file d’attente d’impression et
d’effacer les travaux dans cette file. Ils ont bien entendu le droit d’imprimer.

Contrôle total :

- 226 -
ESAT/DMSI/SYS Administration Windows NT Serveur

en plus des propriétés de gestion des documents, les membres peuvent supprimer ou
installer une imprimante. Le bouton Permissions vous amène alors dans une boîte de
dialogue où vous spécifiez les droits d’accès.

Par défaut, les groupes Administrateurs, Opérateurs d'impression et Opérateurs de serveur


ont des droits d'accès Contrôle total sur un serveur, les groupes Administrateurs et Utilisateurs
avec pouvoir ont des droits d'accès Contrôle total sur les stations de travail. Tous les utilisateurs
peuvent gérer leurs documents

20.5.5.2 Audit
Lorsque vous réalisez un audit sur une imprimante, vous contrôlez son utilisation. Pour une
imprimante donnée, vous pouvez indiquer quels groupes ou utilisateurs et actions auditer. Vous
pouvez contrôler les actions réussies comme celles qui ont échoué. Windows NT stocke les
informations produites par l'audit dans un fichier. Vous pouvez afficher ces informations à l'aide
de l'Observateur d'événements.

Pour effectuer un audit sur les activités d'une imprimante, voici les différentes options concernant
les utilisateurs et les groupes d’utilisateurs :

Imprimer
Audit l'impression des documents

Contrôle total
Audit le changement des paramètres pour l'impression des documents, la connection
d'une imprimante, le changement des propriétés de l'imprimante, et la modification des
paramètres de la file d’attente d’impression

Supprimer
Audit la suppression d'une imprimante

Modifier

- 227 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Audit le changement des permissions de l'imprimante

Appropriation
Audit l'appropriation

Remarque :

Pour auditer une imprimante, vous devez définir la stratégie d'audit afin que celui-ci porte sur
l'accès aux fichiers et aux objets. Définissez la stratégie à l'aide du Gestionnaire des
utilisateurs pour les domaines

20.5.5.3 Appropriation
Utilisez le bouton Appartenance pour connaître le propriétaire de l'imprimante ou pour vous
approprier celle-ci. Vous pouvez vous approprier une imprimante si vous avez la permission
Contrôle total sur celle-ci ou si vous avez ouvert une session en tant que membre du groupe
Administrateurs. La propriété vous permet de définir les permissions pour l'imprimante.

- 228 -
ESAT/DMSI/SYS Administration Windows NT Serveur

21BIBLIOGRAPHIE
Complément sur la gestion des réseaux
Microsoft

Aide Microsoft Windows Concepts et planification


Microsoft

Philippe Banquet
Guide de formation NT4
Tsoft

James G.Jumes, Neil F.Cooper, Paula Chamoun, Todd M.Feimann


PricewaterhouseCoopers :
Microsoft Windows NT 4.0 – Sécurité Audit et Contrôle
Microsoft Press janvier 1999

Eric Pearce
Windows NT in a nutshell. A desktop quick reference for system administrators
O’Reilly juin 1997

Dennis Maione
Windows NT Workstation 4
CampusPress 1998

David A.Solomon
Au coeur de Microsoft Windows NT
Microsoft Press 1998.

Paul Sanna
Windows NT Workstation 4.0
Simon & Schuster Macmillan 1996

Andreas Maslo
Microsoft Windows NT 4 de la programmation à l’expertise
Micro Application décembre 1996

Kit de Ressources Techniques


Microsoft® Windows 2000 Server – Architecture TCP / IP
Microsoft® Press mai 2000

Kit de Ressources Techniques


Microsoft® Windows 2000 Server – Administration des serveurs
Microsoft® Press mai 2000

- 229 -
ESAT/DMSI/SYS Administration Windows NT Serveur

22INDEX

A CREATION D'UN COMPTE UTILISATEUR


Administrateur de disques........................121 ................................................................23
adressage..................................................10 CSD............................................................12
Affectation d’une lettre de lecteur.............127 D
AFFICHAGE.............................................153 Date d’expiration........................................34
Affichage des événements.........................64 Default Users..............................................96
AGRÉGAT PAR BANDE AVEC PARITÉ. 137 démon LPD..............................................215
AGRÉGATS DE PARTITIONS.................128 DIAGNOSTICS.........................................152
AGRÉGATS PAR BANDES.....................133 domaine.....................................................12
Ajout de stations.......................................198 droits de l’utilisateur....................................52
Ajouter........................................................76 Droits de l’utilisateur avancé......................55
Ajouter & lire...............................................76 Duplication................................................104
alimentations secourues.............................11 E
Analyseur de performances.....................141 Effacer un compte......................................27
annuaire.....................................................12 ENVIRONNEMENT..................................157
annuaires.............................................13, 17 Étiquettes de bande.................................166
Appropriation..............................................81 F
ARP..........................................................217 FICHIER ADM..........................................118
Assistants d'administration.......................191 Fichiers journaux......................................166
At180 file d'attente d'impression.........................206
Aucun accès...............................................76 File Delete Child.........................................78
Audit des objets..........................................59 Formater...................................................124
B G
BDC............................................................12 Gestion des domaines.............................194
C Gestionnaire de licences..........................182
Catalogues...............................................166 Gestionnaire de sauvegardes..................159
client/serveur..............................................10 Gestionnaire de serveur.............................90
clusters.....................................................125 Gestionnaire des utilisateurs pour les
Common.adm...........................................112 domaines................................................19
Compte global............................................35 Groupe.......................................................13
Compte local..............................................35 Groupe global.............................................13
Compte utilisateur......................................13 Groupe local...............................................13
Comptes Utilisateurs..................................20 GROUPES.................................................40
configuration des ports.............................223 Groupes de licences................................184
CONNEXION AUX PARTAGES.................89 groupes de travail.......................................12
connexions simultanées.............................16 Groupes globaux........................................22
contrôle d'accès.........................................11 GROUPES GLOBAUX...............................44
Contrôle total..............................................77 Groupes locaux..........................................21
contrôleur principal de domaine...........12, 15 GROUPES LOCAUX..................................41
contrôleur secondaire de domaine.............15 H
CONTROLEURS DE DOMAINE................15 HAL............................................................11
contrôleurs de domaine..............................12 HORRAIRES D'ACCES.............................33
contrôleurs secondaires de domaine.........12 I
Conversion.................................................81 imprimantes parallèles.............................210
convert.......................................................81 imprimantes réseau..................................215
Copier un compte.......................................26 INFORMATIONS DE NUMEROTATION....35
couche d’abstraction matérielle..................11 INFORMATIONS SUR LES COMPTES.....34
J

- 230 -
ESAT/DMSI/SYS Administration Windows NT Serveur

jeux de sauvegardes................................171 Port Lpr....................................................216


journal d’alerte..........................................144 PRIORITE DES STRATEGIES................116
L processeurs................................................11
lecteur logique..........................................124 profil de l’utilisateur.....................................30
LECTEURS..............................................154 profils errants..............................................99
Licence Par serveur.................................182 profils obligatoires....................................102
Licence Par siège.....................................183 PROFILS UTILISATEURS.........................96
limitation du mot de passe..........................49 Promotion de serveurs.............................195
Lire.............................................................76 PROPRIETES D'UNE IMPRIMANTE.......220
Lister..........................................................76 protocole DLC..........................................215
LPR..........................................................215 R
M RAID.........................................................131
Macintosh...................................................16 Relation d'approbation...............................14
mémoire.....................................................10 RELATIONS D'APPROBATION...............202
MÉMOIRE................................................155 Renommer un compte................................27
micro noyau................................................10 Répertoire de base.....................................32
MIROIRS..................................................135 RÉSEAU...................................................157
mirroring.....................................................11 réseaux......................................................11
mise à jour manuelle................................117 RESSOURCES........................................156
modes de licences....................................185 Ressources ouvertes..................................93
Modifier.......................................................76 RESTAURER DES FICHIERS.................174
multiprocesseur..........................................11 Rétrogradation de serveur........................195
multiprocessing symétrique........................11 RNIS...........................................................12
Multitâche...................................................10 S
N SAM...........................................................14
Net accounts..............................................49 SAUVEGARDE DES FICHIERS..............162
net file.........................................................93 sauvegarde différentielle..........................162
Net group...................................................46 sauvegarde incrémentielle.......................162
Net localgroup............................................43 sauvegarde normale................................162
Net share....................................................84 sauvegarde par duplication......................162
Net use.......................................................90 sauvegarde quotidienne...........................162
Net User.....................................................37 script d’ouverture de session......................31
net view......................................................92 Sécurité......................................................73
Nom de volume........................................127 Security Accounts Manager.......................14
ntbackup...................................................177 Serveur autonome......................................16
Ntconfig.pol..............................111, 115, 116 SERVEUR D'EXPORTATION..................106
NTFS..........................................................11 serveurs......................................................15
O serveurs d'impression.........................16, 205
OBSERVATEUR D’EVENEMENTS...........66 serveurs de fichiers....................................16
ORDINATEUR D'IMPORTATION.............108 serveurs membres......................................12
P SERVEURS MEMBRES.............................16
Page de séparation..................................221 Service d’accès distant...............................12
Partage.......................................................13 service Impression Microsoft TCP/IP.......215
PARTAGE..................................................83 SERVICES...............................................155
PARTAGE ADMINISTRATIF......................87 SMP...........................................................11
Partage d’une imprimante........................225 Somme des permissions............................80
partition étendue......................................123 spouleur...................................................206
partition principale....................................122 STRATÉGIE D'ORDINATEUR.................115
PERMISSION.............................................73 STRATEGIE D’AUDIT................................58
Permission sur le partage...........................94 STRATEGIE DE COMPTE.........................48
pilote d'imprimante...................................205 STRATEGIE DES DROITS........................51
Planning...................................................180 Stratégie système.....................................111
pool d'impression.....................................209 STRATEGIES DE SECURITE....................48

- 231 -
ESAT/DMSI/SYS Administration Windows NT Serveur

Suppression d'un ordinateur....................200


SUPPRESSION D’UN PROFIL................103
SYNCHRONISATION...............................196
SYSTÈME................................................152
T
téléamorçage.............................................16
threads.......................................................11
tolérance de pannes...................................16
TOLÉRANCE DE PANNES......................131
Type de compte.........................................35
U
UPS............................................................11
Utilisateur...................................................13
V
Verrouillage de compte..............................50
VERSION.................................................152
W
Windows.adm...........................................111
Winnt.adm................................................111

- 232 -