Académique Documents
Professionnel Documents
Culture Documents
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
MS-DOS®, le logo Microsoft, Microsoft ® Windows 3.11, Microsoft ® Windows 95, Microsoft ® Windows 98, Microsoft
Windows NT® et Microsoft ® Windows 2000 sont des marques déposées de la société Microsoft®.
Tous les noms de produits ou de marques cités dans cet ouvrage sont des marques déposées de leurs propriétaires
respectifs.
-2-
ESAT/DMSI/SYS Administration Windows NT Serveur
1 INTRODUCTION........................................................................................................10
1.1 LES OBJECTIFS DE WINDOWS NT.....................................................................10
1.1.1 Système d’exploitation client/serveur.........................................................................................10
1.1.2 Modèle de mémoire linéaire 32 bits............................................................................................10
1.1.3 Fiabilité de la mémoire en mode protégé...................................................................................10
1.1.4 Multitâche préemptif...................................................................................................................10
1.1.5 Portabilité....................................................................................................................................11
1.1.6 Le multiprocesseur.....................................................................................................................11
1.1.7 Sécurité.......................................................................................................................................11
1.1.8 Tolérance de pannes..................................................................................................................11
1.1.9 Prise en charge des réseaux......................................................................................................11
1.1.10 Service d’accès distant.............................................................................................................12
1.2 DOMAINES ET GROUPES DE TRAVAIL..............................................................12
1.3 ORDINATEUR DANS UN DOMAINE.....................................................................12
1.3.1 Définitions...................................................................................................................................13
2 LES SERVEURS........................................................................................................15
2.1 LES CONTROLEURS DE DOMAINE.....................................................................15
2.1.1 Le contrôleur principal de domaine............................................................................................15
2.1.2 Un contrôleur secondaire de domaine........................................................................................15
2.2 LES SERVEURS MEMBRES.................................................................................16
2.2.1 serveur membre dans un domaine.............................................................................................17
2.2.2 serveur membre hors domaine..................................................................................................17
2.3 LA BASE DE DONNEES D'ANNUAIRES...............................................................17
2.3.1 Taille de la base de données d'annuaires..................................................................................17
-3-
ESAT/DMSI/SYS Administration Windows NT Serveur
6 STRATEGIES DE SECURITE....................................................................................48
6.1 STRATEGIE DE COMPTE.....................................................................................48
6.1.1 La limitation du mot de passe.....................................................................................................49
6.1.2 Verrouillage de compte...............................................................................................................50
6.1.3 Les utilisateurs doivent ouvrir une session pour changer de mot de passe..............................51
6.1.4 Déconnection de force des utilisateurs .....................................................................................51
6.2 STRATEGIE DES DROITS DE L’UTILISATEUR...................................................51
6.2.1 Liste des droits de l’utilisateur....................................................................................................52
6.2.2 Droits de l’utilisateur avancé.......................................................................................................55
6.2.3 Modifier les droits des utilisateurs..............................................................................................57
6.3 STRATEGIE D’AUDIT............................................................................................58
6.3.1 Liste des événements qui peuvent être audités.........................................................................59
6.3.2 Audit des objets..........................................................................................................................59
6.3.3 Evénements de fichier audités...................................................................................................61
6.3.4 Ajout d'utilisateurs et de groupes aux listes de permissions et d'audits....................................61
6.3.5 Affichage des événements audités............................................................................................64
7 OBSERVATEUR D’EVENEMENTS...........................................................................66
7.1 DEMARRER L’OBSERVATEUR D’EVENEMENTS...............................................66
7.1.1 Comprendre la fenêtre de l’observateur.....................................................................................67
7.2 VISUALISER UN JOURNAL...................................................................................67
-4-
ESAT/DMSI/SYS Administration Windows NT Serveur
9 PARTAGE D’OBJETS...............................................................................................83
9.1 PARTAGE DES REPERTOIRES...........................................................................83
9.1.1 Pour partager un répertoire sur votre ordinateur local :.............................................................83
9.1.2 Partage à partir de l’invite de commande...................................................................................84
9.1.3 Pour définir des permissions sur le répertoire partagé.............................................................85
9.1.4 Fin du partage d'un répertoire....................................................................................................86
9.2 RESSOURCES PARTAGEES ADMINISTRATIVES..............................................87
9.3 CONNEXION AUX REPERTOIRES PARTAGES..................................................89
9.3.1 Connexion a un Partage à partir de l’invite de commande........................................................90
9.4 EVALUATION ET GESTION DE L'UTILISATION DES RESSOURCES................90
9.4.1 Affichage ou déconnexion des sessions utilisateurs..................................................................91
9.4.2 Affichage ou déconnexion de ressources partagées.................................................................92
9.4.3 Affichage des ressources partagées à partir de l’invite de commande.....................................92
9.4.4 Affichage ou fermeture des ressources en cours d'utilisation....................................................93
9.4.5 Affichage ou fermeture des ressources en cours d'utilisation à partir de l’invite de commande93
9.5 CONSEIL DE SECURISATION DES PARTAGES.................................................94
10 PROFILS UTILISATEURS.......................................................................................96
10.1 PRINCIPE D'UN PROFIL.....................................................................................96
10.2 CREATION DE PROFILS D'UTILISATEURS LOCAUX.......................................98
10.3 LES DIFFERENTS TYPES DE PROFILS............................................................99
10.3.1 Les profils errants.....................................................................................................................99
10.3.1.1 Bascule entre un profil d'utilisateur errant et un profil d'utilisateur local.........................101
-5-
ESAT/DMSI/SYS Administration Windows NT Serveur
11 DUPLICATION DE RÉPERTOIRES......................................................................104
11.1 FONCTIONNEMENT DE LA DUPLICATION DE REPERTOIRES.....................104
11.2 CONNAISSANCES PRÉALABLES RELATIVES A LA DUPLICATION..............105
11.3 CONFIGURATION D'UN SERVEUR D'EXPORTATION....................................106
11.3.1 Gestion des sous-répertoires exportés..................................................................................107
11.4 CONFIGURATION D'UN ORDINATEUR D'IMPORTATION...............................108
11.4.1 Gestion des verrous et affichage de l'état des sous-répertoires d'importation......................109
11.5 PARAMÉTRAGE DU SERVICE DE DUPLICATION..........................................110
12 STRATÉGIE SYSTÈME.........................................................................................111
12.1 FONCTIONNEMENT DE LA STRATEGIE SYSTEME.......................................111
12.1.1 Exemple de stratégie système...............................................................................................111
12.2 CRÉATION D'UNE NOUVELLE STRATÉGIE....................................................112
12.2.1 Pour créer une nouvelle stratégie pour un domaine :............................................................112
12.2.2 PARAMETRES DE STRATEGIE SYSTEME PAR DEFAUT..................................................113
12.2.3 DÉFINITION DES RESTRICTIONS DES PROFILS D'UTILISATEUR..................................114
12.2.4 STRATÉGIE D'ORDINATEUR................................................................................................115
12.2.5 Utilisation de l'éditeur de stratégie système pour modifier le registre....................................115
12.3 PRIORITE DES STRATEGIES...........................................................................116
12.3.1 Evaluation du profil pour des utilisateurs et des ordinateurs.................................................117
12.3.2 Utilisation du mode de mise à jour manuelle..........................................................................117
12.4 CONSTRUCTION D'UN FICHIER ADM :...........................................................118
13 ADMINISTRATEUR DE DISQUES........................................................................121
13.1 AFFICHER L’ADMINISTRATEUR DE DISQUES...............................................121
13.1.1 Les différents modes d’affichage............................................................................................122
13.2 CRÉER UNE PARTITION.................................................................................122
13.2.1 Créer une partition principale..................................................................................................122
13.2.2 Créer une partition étendue....................................................................................................123
13.2.3 Créer un lecteur logique.........................................................................................................124
13.2.4 Formater une partition...........................................................................................................124
13.2.4.1 Taille des clusters............................................................................................................125
13.2.5 Affecter une lettre à une partition...........................................................................................126
13.2.6 Changer le nom d’un volume.................................................................................................127
13.2.7 Supprimer une partition.........................................................................................................128
13.3 LES AGRÉGATS DE PARTITIONS...................................................................128
13.3.1 Créer un agrégat de partitions...............................................................................................129
13.3.2 Étendre un agrégat de partitions............................................................................................129
13.3.3 Supprimer un agrégat de partitions........................................................................................130
13.4 TOLÉRANCE DE PANNES................................................................................131
13.5 LE STANDARD RAID.........................................................................................131
13.5.1 Spécificité des niveaux RAID..................................................................................................131
13.5.2 Windows NT et le RAID..........................................................................................................132
13.6 LES AGRÉGATS PAR BANDES (RAID NIVEAU 0).........................................133
-6-
ESAT/DMSI/SYS Administration Windows NT Serveur
14 ANALYSEUR DE PERFORMANCES....................................................................141
14.1 FONCTIONS DE L’ANALYSEUR DE PERFORMANCES..................................141
14.2 PARAMÉTRAGE DU TYPE D’AFFICHAGE......................................................141
14.3 CONFIGURER DES ALERTES..........................................................................143
14.3.1 Visualiser le journal d’alerte....................................................................................................144
14.4 CRÉER UN JOURNAL......................................................................................145
14.4.1 Créer les paramètres pour un Journal..................................................................................145
14.4.2 Créer un fichier journal...........................................................................................................146
14.4.3 Ajouter des signets................................................................................................................146
14.5 CRÉER UN RAPPORT......................................................................................147
14.5.1 Exporter des données..........................................................................................................148
14.6 SÉLECTION D'UN FICHIER JOURNAL EXISTANT..........................................150
14.6.1 Modification de la fenêtre temporelle...................................................................................150
16 GESTIONNAIRE DE SAUVEGARDES.................................................................159
16.1 ETABLISSEMENT D'UN PLAN DE SAUVEGARDE RÉSEAU...........................159
16.1.1 Remarques relatives à la stratégie.........................................................................................159
16.1.2 Remarques relatives au matériel............................................................................................160
16.1.3 Remarques relatives à l'emplacement...................................................................................161
16.2 SAUVEGARDE DES FICHIERS D'UN DISQUE SUR UNE BANDE..................162
16.2.1 Types de sauvegardes...........................................................................................................162
16.3 FRÉQUENCE DE SAUVEGARDE.....................................................................163
16.3.1 Rotation des bandes...............................................................................................................164
16.3.1.1 Sauvegarde sur 12 semaines..........................................................................................164
16.3.1.2 Sauvegarde sur une année.............................................................................................164
16.3.2 Vérification des sauvegardes..................................................................................................165
-7-
ESAT/DMSI/SYS Administration Windows NT Serveur
18 ASSISTANTS D'ADMINISTRATION.....................................................................191
-8-
ESAT/DMSI/SYS Administration Windows NT Serveur
19.3.3 Attribution d'un nouveau nom d'ordinateur à une station de travail ou à un serveur............200
19.3.4 Attribution d'un nouveau nom à un domaine..........................................................................201
19.3.5 Déplacement d'un ordinateur vers un domaine différent.......................................................201
19.4 RELATIONS D'APPROBATION ENTRE DOMAINES........................................202
19.4.1 création d’une relation d’approbation.....................................................................................203
19.4.2 Suppression d'une relation d'approbation entre deux domaines...........................................204
21 BIBLIOGRAPHIE...................................................................................................229
22 INDEX.....................................................................................................................230
-9-
1 INTRODUCTION
Dans un modèle client/serveur, le système d’exploitation est divisé en unité indépendantes qui
communiquent entre elles par des requêtes. Une unité ayant besoin d’un service envoie une
requête à l’unité capable de fournir ce service. Le demandeur représente le client et le
fournisseur le serveur.
Les programmes utilisateurs sont des clients. Ils demandent des services au sous-système
protégé qui, dans ce cas, représente le serveur.
Chaque portion du système d’exploitation tourne dans son propre espace mémoire protégé et se
trouve isolé des autres programmes tournant sur le système. Ainsi, si un seul serveur tombe en
panne, le reste du système fonctionne normalement.
Windows est un système 32 bits, il utilise un adressage sur 32 bits pour accéder aux objets. Il
en résulte plusieurs avantages dont l’adressage linéaire de la mémoire jusqu’à 4 194 304 Ko (4
Giga Octets).
Dans le modèle de mémoire de Windows NT, tous les processus possèdent leur propre espace
d’adressage 32 bits. L’espace de 4 Go est divisé en deux et les applications ne peuvent
réellement utiliser que 2 Go de l’espace mémoire. La partie supérieure de la mémoire est
réservée à l’interfaçage avec les autres module du système. De cette façon, chaque processus
tourne indépendamment des autres. Il n’est plus possible qu’un processus aille lire ou écrire en
dehors de son espace mémoire. Il en résulte deux avantages : au moins 90 % des plantages de
Windows 3.x sont évités, et chaque processus est sécurisé.
La base de ce modèle repose sur un micro noyau, comme sous Unix. Le micro noyau contrôle
constamment le système. Il attribue à chaque processus une durée précise pour s’exécuter. A
la fin du temps alloué, le micro noyau retire le contrôle au processus et le passe au processus
suivant.
- 10 -
ESAT/DMSI/SYS Administration Windows NT Serveur
1.1.5 Portabilité
Elle permet à Windows NT de tourner non seulement sur les processeurs de la famille x86, mais
aussi sur des processeurs RISC ( Reduced Instruction Set Computing ) comme le DEC Alpha
AXP, le Motorola PowerPC.
La couche d’abstraction matérielle (HAL) est l’une des clés de la portabilité de Windows NT, car
elle masque le matériel à la couche supérieure du système d’exploitation. En quelque sorte, elle
permet à tous les matériels d’apparaître identique au reste de Windows NT, elle se comporte
comme un pilote vis à vis d'un périphérique.
1.1.6 Le multiprocesseur
1.1.7 Sécurité
Windows NT Server vous offre plusieurs moyens de contrôler les actions des utilisateurs tout en
les laissant utiliser les ressources dont ils ont besoin. Le système de sécurité Windows NT repose
sur la protection de toutes les ressources et actions par un contrôle d'accès discrétionnaire.
Vous pouvez autoriser certains utilisateurs à se connecter à une ressource ou à exécuter une
action tout en interdisant à d'autres de le faire. Par exemple, vous pouvez définir des permissions
pour différents fichiers à l'intérieur d'un même répertoire.
La sécurité Windows NT Server n'est pas un composant. En fait, elle est intégrée dans le
système d'exploitation. Vos fichiers et autres ressources sont protégés contre les utilisateurs non
autorisés qui travaillent sur l'ordinateur où se trouve la ressource concernée et ceux qui se
connectent à cette ressource via le réseau. La sécurité est même fournie au niveau des fonctions
élémentaires du système, telles que le réglage de l'horloge système.
Ensemble, le compte d'utilisateur, les droits d'utilisateur et les permissions pour les
ressources fournissent à chaque utilisateur l'accès aux ressources et les restrictions appropriées
- 11 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le service pour Apple Macintosh permet de partager des fichiers, des imprimantes et des
applications client-serveur entre Macintosh et PC.
Les utilisateurs peuvent accéder aux mêmes ressources, qu’ils soient en déplacement, ou à leur
domicile. Il leur suffit d’établir une connexion réseau par l’intermédiaire d’une ligne téléphonique
asynchrone ou d’un réseau numérique à l’intégration de services (RNIS), et cela à partir d’un
ordinateur exécutant MS-DOS, Windows pour Workgroups ou Windows NT. Le service
d’accès distant est compatible avec les réseaux X25.
En tant que membre d’un domaine, un ordinateur Windows NT peut partager des ressources. Le
domaine fournit une approche centralisée en matière d’administration et de gestion des comptes.
Dans les groupes de travail, chaque ordinateur a accès uniquement à sa propre base de
données d’annuaire contenant des informations sur les comptes d’utilisateur et la sécurité.
Chaque domaine gère sa propre base de données d’annuaire. Il suffit à l’administrateur de créer
une seule fois un compte d’utilisateur dans la base de données d’annuaire au niveau du
contrôleur principal de domaine (CPD ou en anglais PDC, Primary Domain Controler).
Lorsqu’un utilisateur se connecte au domaine, un contrôleur de domaine valide la connexion. Il
examine la base de données d’annuaire à la recherche du nom d’utilisateur, du mot de passe et
des restrictions de connexion.
Toute modification apportée aux informations relatives aux comptes sont répercutées au niveau
du contrôleur principal de domaine. Celui-ci copie sa base de données d’annuaire sur les autres
ordinateurs Windows NT Server du domaine, désignés comme contrôleurs secondaires de
domaine (CSD ou en anglais BDC, Backup Domain Controler). Un contrôleur de domaine
peut authentifier l’ouverture de session des utilisateurs du domaine, cela peut être le PDC ou un
BDC.
- 12 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le fait de regrouper des ordinateurs par domaines offre deux avantages principaux aux
administrateurs et aux utilisateurs d'un réseau.
Le premier avantage et le plus important réside dans le fait que les serveurs contrôleurs de
domaine, contenus dans un domaine, forment une seule entité administrative dans la mesure où
ils partagent les informations relatives à la sécurité et aux comptes d'utilisateur. Les
administrateurs doivent gérer un seul compte par utilisateur, et chaque utilisateur ne doit utiliser
qu'un seul compte (et mémoriser un seul mot de passe). En étendant l'entité administrative de
différents serveurs à l'ensemble d'un domaine, Windows NT Server permet aux administrateurs et
aux utilisateurs de gagner du temps et de limiter leurs efforts.
Le second avantage lié à l'utilisation de domaines concerne l'utilisateur. En effet, lorsque les
utilisateurs parcourent le réseau à la recherche des ressources disponibles, ils visualisent le
réseau regroupé par domaines au lieu de visualiser à la fois tous les serveurs et toutes les
imprimantes connectés au réseau. Cet avantage est identique à celui du concept de groupe de
travail utilisé sous Microsoft Windows® pour Workgroups et Windows 95/98.
1.3.1 Définitions
Compte utilisateur :
Il réunit toutes les informations qui définissent un utilisateur pour Windows NT, et en particulier :
le nom de l'utilisateur et le mot de passe que l'utilisateur doit fournir pour ouvrir une
session,
les groupes dont fait partie le compte de l'utilisateur,
les droits qui déterminent la marge de manœuvre de l'utilisateur sur le système.
Utilisateur :
personne pouvant ouvrir une session de travail.
Groupe :
ensemble d’utilisateurs (locaux) possédant les mêmes droits et/ou accédant aux mêmes objets
(ressources).
Groupe local :
Un groupe de ce type ne peut recevoir des permissions et des droits que pour les contrôleurs de
son propre domaine. Il peut cependant contenir des comptes d'utilisateur et des groupes globaux
de son propre domaine et des domaines approuvés.
Groupe global :
Un groupe de ce type peut recevoir des permissions et des droits pour les contrôleurs de
domaine, d'autres stations de travail et membres de son propre domaine ainsi que pour les
domaines autorisés à approuver et peut devenir membre des groupes locaux de ces domaines. Il
ne peut cependant contenir que les comptes d'utilisateurs de son propre domaine.
Partage :
Possibilité de rendre des ressources locales disponibles par d’autres utilisateurs via le réseau.
- 13 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La base de données d'annuaires stocke toutes les informations relatives à la sécurité et aux
comptes d'utilisateur pour un domaine particulier. (D'autres documents Windows NT peuvent faire
référence à la base de données d'annuaires sous le nom « base de données SAM [Security
Accounts Manager] ».) La copie principale de la base de données d'annuaires est stockée sur
un serveur et copiée à intervalles réguliers sur des serveurs de sauvegarde et synchronisées afin
de garantir une sécurité centralisée. Lorsqu'un utilisateur ouvre une session sur un domaine, le
sous système de sécurité de Windows NT Server compare le nom et le mot de passe de
l'utilisateur avec les informations contenues dans la base de données d'annuaires.
Relation d'approbation :
Une relation d'approbation est une liaison entre deux domaines Windows NT Server. On peut
justifier la création de plusieurs domaine par la taille limite de la base de données SAM, ou raison
de sécurité, ou de facilité d'administration.
Vous pouvez utiliser une Relation d'approbation pour ajouter et supprimer des domaines
autorisés à approuver (domaines de ressources) et des domaines approuvés (domaines de
comptes).
Les domaines autorisés à approuver permettent l'utilisation de leurs ressources par des
comptes faisant partie d'autres domaines (approuvés).
Les utilisateurs des domaines approuvés et les groupes globaux peuvent détenir des
droits d'utilisateur, des permissions d'accès aux ressources et l'appartenance à des
groupes locaux sur le domaine approuvé.
Remarque :
- 14 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2 LES SERVEURS
Au cours de l'installation de Windows NT Server, un choix de configuration de serveur est
obligatoire. Vous disposez de 3 possibilités :
un contrôleur principal de domaine,
un contrôleur secondaire
un serveur autonome.
Les contrôleurs de domaine utilisent les informations contenues dans la base de données
d'annuaires pour authentifier les ouvertures de session effectuées par les utilisateurs sur les
comptes d'un domaine. Il existe deux types de contrôleurs de domaine :
Le contrôleur principal de domaine (CPD) effectue le suivi des modifications apportées aux
comptes du domaine. Chaque fois qu'un administrateur modifie l'un des comptes d'un domaine,
la modification est enregistrée dans la base de données d'annuaires sur le contrôleur principal de
domaine. Ce dernier est le seul serveur de domaine qui reçoit directement ce type de
modifications. Un domaine dispose d'un seul contrôleur principal de domaine.
Vous créez un domaine lorsque vous installez Windows NT Server sur un ordinateur et que
vous le désignez comme contrôleur principal de domaine. Un domaine peut contenir autant de
contrôleurs secondaires de domaine que nécessaire pour partager la charge de travail liée à
l'authentification des ouvertures de session sur le réseau, mais il aura toujours un seul CPD. Sur
un site de petite taille, un seul CPD (et un seul CSD) dans un domaine peu t s'avérer suffisant.
La relation d’approbation qui existait sur le serveur principal (avec un autre domaine) est
reprise automatiquement par le secondaire au moment de l’installation.
Les imprimantes créées sur le serveur principal ne figurent pas sur le serveur secondaire
après son installation. Il faut créer localement les imprimantes réseau sur le serveur
- 15 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Les contrôleurs secondaires de domaine LAN Manager 2.x ne peuvent pas être promus
contrôleur principal de domaine d'un domaine Windows NT Server.
Pour configurer un serveur membre, lors de l'installation de Windows NT Server, activez l'option
Serveur autonome pour le type de serveur.
Vous pouvez configurer un ordinateur en tant que serveur membre dans les cas suivants :
Si le serveur exécute des tâches extrêmement urgentes et que vous ne voulez pas qu'il passe du
temps à autoriser les tentatives d'ouverture de session sur un domaine ou à recevoir des copies
synchronisées de la base de données d'annuaires du domaine. C'est le cas, par exemple, des
serveurs web, des serveurs de messagerie, des serveurs de base de données ou bien des
serveurs de fichiers et des serveurs d'impression.
Si vous voulez qu'un serveur dispose d'un administrateur ou de comptes d'utilisateur différents
des autres serveurs d'un domaine. Par exemple, vous pouvez avoir une personne chargée de
l'administration d'une base de données. Si vous configurez l'ordinateur en tant que serveur
membre, vous pouvez autoriser cette personne à gérer la base de données sans toutefois lui
permettre de contrôler la base de données d'annuaires du domaine ni les autres serveurs.
Les serveurs membres peuvent faire partie d'un domaine, même si cela n'est pas obligatoire.
- 16 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Un serveur membre qui fait partie d'un domaine ne stocke pas de copie de la base
de données d'annuaires. Toutefois, il est possible d'attribuer des permissions pour les
ressources du serveur qui permettent aux utilisateurs de se connecter au serveur et d'utiliser ses
ressources. Dans la mesure où l'ordinateur est lui-même membre du domaine, il conserve une
relation d'approbation avec ce domaine et avec tous les domaines qu'il approuve. Par
conséquent, les permissions pour les ressources peuvent être attribuées aussi bien à des
utilisateurs et des domaines de groupes globaux qu'à des utilisateurs et des domaines de
groupes locaux.
Un serveur membre qui ne fait pas partie d'un domaine ne dispose que de sa propre
base de données d'utilisateurs et traite lui-même les demandes d'ouverture de session. Ce
serveur fait partie d'un Workgroupe. Il ne partage pas d'informations sur les comptes avec un
autre ordinateur et ne peut pas autoriser l'accès à des comptes de domaine. Seuls les comptes
d'utilisateur créés sur le serveur proprement dit peuvent être utilisés pour ouvrir des sessions ou
recevoir des droits et des permissions pour utiliser les ressources du serveur. Ces serveurs
contiennent les même types de comptes d'utilisateur et de comptes de groupe local intégrés que
les ordinateurs exécutant Windows NT Workstation plutôt que les types de comptes de groupe
intégrés des contrôleurs de domaine Windows NT Server.
Si vous gérez un site de petite ou de moyenne taille, vous n'avez probablement pas besoin de
vous préoccuper des limites d'un domaine Windows NT Server. Toutefois, si vous avez prévu une
extension de votre site, vous devez tenir compte des chiffres suivants.
Le facteur qui limite la taille d'un domaine est le nombre de comptes d'utilisateur pouvant être pris
en charge par une seule base de données d'annuaires. En effet, la taille maximale
recommandée pour un fichier de base de données d'annuaires est de 40 Mo. Ce qui
explique que l'on est besoin parfois de créer plusieurs domaine NT, pour l'administration des
utilisateurs.
- 17 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Compte d'utilisateur 1 Ko
Pour un seul domaine, voici quelques exemples de la façon dont les objets peuvent être répartis :
Comptes de
Comptes Comptes
groupe Taille totale du
d'utilisateur d'ordinateur
(4 Ko par répertoire
(1 Ko par compte) (0,5 Ko par compte)
compte)
Une station de
2 000 2 000 30 3,12 Mo
travail par utilisateur
Deux stations de
5 000 10 000 100 10,4 Mo
travail par utilisateur
Deux utilisateurs
10 000 5 000 150 13,1 Mo
par station de travail
Une station de
25 000 25 000 200 38,3 Mo
travail par utilisateur
Une station de
26 000 26 000 250 40 Mo
travail par utilisateur
Une station de
40 000 0 0 40 Mo
travail par utilisateur
- 18 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 19 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous trouvez en haut la liste des comptes d'utilisateurs existants. Toute personne devant
accéder à une ressource du domaine possède son propre compte d'utilisateur. Chaque compte
d’utilisateur est représenté par l’icône suivant Pour examiner les caractéristiques d'un compte
d'utilisateur en détail, il suffit de faire un double-clic sur le compte (ou sélectionner le compte et
appuyer sur entrée).
Vous trouvez en bas la liste des groupes locaux (représentés par l’icône suivant ) et des
groupes globaux (représentés par l’icône suivant ) définis sur ce serveur.
De même que pour les utilisateurs vous pouvez double-cliquer sur un groupe pour ouvrir sa
fenêtre de propriétés.
Ces comptes ont été créés pendant l'installation de Windows NT. Les comptes prédéfinis ne
peuvent pas être effacés, car ils font partie de la configuration de base du système d'exploitation.
Remarque :
Comptes Signification
- 20 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Lorsque vous administrez un ordinateur Windows NT Server qui n'est pas un contrôleur de
domaine mais un serveur membre, la liste des groupes contient uniquement les groupes locaux.
Ces serveur ne gèrent en effet pas les groupes globaux.
Les groupes sont un moyen pour les administrateurs, d’attribuer des droits et des permissions
plus efficacement (l’administrateur attribue des droits et des permissions à un groupe, puis
affecte des utilisateurs à ce dernier).
Votre serveur comporte déjà un certain nombre de groupes locaux, avec lesquels vous pouvez
construire une hiérarchie rudimentaire, en incluant les comptes d'utilisateur dans les groupes
correspondants. La liste qui suit indique les droits et les privilèges de ces groupes prédéfinis :
- 21 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Votre serveur comporte déjà un certain nombre de groupes globaux, avec lesquels vous pouvez
construire une hiérarchie rudimentaire, en incluant les comptes d'utilisateur dans les groupes
correspondants. La liste qui suit indique les droits et les privilèges de ces groupes prédéfinis :
- 22 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 23 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Champ Signification
Nom sous lequel l'utilisateur se connecte. Il s'agit de son
identification sur la machine, qui doit donc être unique. Longueur
maximale : 20 caractères, ce nom peut contenir tout caractère
Utilisateur majuscule ou minuscule, sauf, " / \ [ ] : ; | - , + * ?
< >.
Un bon choix consiste à utiliser le nom suivi de l'initiale du prénom
ou l’inverse.
Ce champ contient plus de place que le champ Utilisateur. Les
comptes d'utilisateur sont triés par ce champ, il vaut donc mieux
Nom détaillé indiquer le nom de famille suivi du prénom, en séparant le nom du
prénom, si vous voulez trier par nom de famille. Cette entrée,
quoique facultative, est fortement recommandée.
Comme le mot de passe est masqué par des étoiles, il doit être
Confirmer le mot de passe
saisi une deuxième fois pour éviter les fautes de frappe.
Remarque :
Les majuscules et minuscules ne sont pas équivalentes dans le cas des mots de passe. Les
attributs de mot de passe sont gérés par la stratégie de compte.
Option Description
- 24 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Option Description
Bouton Signification
- 25 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Bouton Signification
Il est facile de copier des comptes d'utilisateur, en particulier si plusieurs comptes doivent être
créés en même temps. Il n'est alors pas nécessaire de renseigner complètement chacun de ces
nouveaux comptes. Ces derniers héritent des paramètres du compte que vous copiez. Il suffit
alors, de leur donner un nouveau nom d'utilisateur, un mot de passe et de préciser les
informations de détail.
Sélectionnez dans la liste du haut le compte d'utilisateur que vous voulez copier.
Remarques :
Pour éviter de donner à un compte d'utilisateur des droits d'accès que vous ne voulez pas lui
accorder. Copiez un compte utilisateur que si vous en connaissez bien les droits d'accès
(l’appartenance aux groupes est copiée).
- 26 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Cliquez sur le compte d'utilisateur que vous voulez effacer dans la liste du haut, puis tapez sur la
touche Suppr. Vous pouvez également utiliser la commande Supprimer du menu Utilisateur.
Windows NT Server gère les comptes utilisateurs en interne sur la base d'un numéro
d'identification de sécurité (SID) et définit les droit d'accès au serveur à partir de ce numéro. Si un
compte d'utilisateur est effacé, le SID correspondant l'est également. Tous les droits d'accès de
cet utilisateur sont perdus. Si un nouveau compte est créé ultérieurement sous le même nom, les
droits d'accès ne sont pas récupérés. Cela signifie qu'un utilisateur ne peut plus accéder aux
ressources ( par exemple des fichiers qu'il a créés sous son ancien compte d'utilisateur).
Remarque :
Il faut donc effacer un compte d'utilisateur uniquement si l'utilisateur ne travaille plus sur le
système et qu'il n'y possède plus de fichiers importants. Dans le cas contraire, il vaut mieux
désactiver le compte, pour pouvoir le réutiliser.
Vous pouvez renommer un compte d'utilisateur sans conséquence sur les droits d'accès ni sur la
fonctionnalité du compte. Vous pouvez par exemple renommer le compte d'utilisateur prédéfini
comme Administrateur, afin que des intrus n'aient pas seulement à trouver le mot de passe,
mais également le nom du compte de l'administrateur.
- 27 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Taper le nouveau nom d'utilisateur dans le champ Nouveau nom, puis cliquez sur OK.
Chaque compte d'utilisateur peut recevoir un dossier de base, qui porte normalement le même
nom que le compte d'utilisateur. Si le nom de l'utilisateur est modifié, le nom du dossier de base
ne change pas. Il faut éventuellement le modifier à la main dans l'Explorateur, puis dans le profil
du compte d'utilisateur. Vous pouvez également laisser le dossier de base comme il est.
- 28 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lorsque le Gestionnaire des utilisateurs pour les domaines démarre, il affiche le domaine
dans lequel votre compte d'utilisateur est défini. Cliquez sur Choisir un domaine pour afficher un
domaine différent.
Vous pouvez afficher un ordinateur individuel, mais seulement s'il tient à jour sa propre base de
données de sécurité, tel qu'un ordinateur Windows NT Workstation, un ordinateur Windows NT
Server non contrôleur de domaine (serveur membre) ou un serveur Microsoft LAN Manager. Si
vous spécifiez un contrôleur principal ou secondaire de domaine, le domaine s'affiche.
Dans la boîte de dialogue Appartenance aux groupes, la zone "Membre de" indique les
groupes auxquels appartient ce compte d'utilisateur et la zone "Non membre de" indique les
groupes dont il ne fait pas partie.
- 29 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour supprimer le compte utilisateur d'un ou plusieurs groupes, sélectionnez le ou les groupes
dans la zone "Membre de", puis choisissez le bouton "Enlever". Vous pouvez aussi sélectionner
le ou les groupes dans la zone "Membre de", puis déplacer l'une des icônes de groupe
sélectionnées jusqu'à la zone "Non membre de". Vous ne pouvez pas enlever le groupe
principal.
Pour changer le groupe principal d'un compte d'utilisateur, sélectionnez un groupe global dans la
zone "Membre de", puis choisissez le bouton "Fixer groupe principal". Un groupe principal est
employé lorsqu'un utilisateur qui exécute les Services pour Macintosh de Windows NT ou des
applications POSIX ouvre une session. Seul un groupe global peut être défini comme groupe
principal. Il est impossible de supprimer l'appartenance d'un compte d'utilisateur à son groupe
principal.
Parmi ces paramètres figurent ceux qui sont spécifiques à un utilisateur de l'environnement
Windows, c'est-à-dire :
Le profil de l’utilisateur et son emplacement. Il contient les couleurs de l'écran, les connexions
au réseau et aux imprimantes, les paramètres de la souris, les raccourcis, la taille et la position
des fenêtres.
- 30 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Permet de taper un chemin d'accès réseau lors de l'activation d'un profil utilisateur errant ou
obligatoire pour un utilisateur sélectionné.
Vous pouvez spécifier le Nom d’un script d’ouverture de session. Ce script pourra être un fichier
exécutable au format BAT (fichier de commandes au format 16 bits) CMD (fichier de commandes
au format 32 bits) ou EXE (fichier exécutable compilé).
Vous n’avez pas a donner le chemin d’accès de ce script car celui ci est toujours stocké dans le
même dossier. A l'ouverture de session, le serveur chargé d'authentifier celle-ci localise le script
d'ouverture de session (s'il existe) en recherchant le fichier spécifié à la suite du chemin du script
d'ouverture de session local de ce serveur ( %systemRoot%\System32\Repl\Import\Scripts). Si
un chemin relatif est spécifié avant le nom de fichier (par exemple, dossier\Durand.bat), le
serveur recherche le script d'ouverture de session dans ce sous-répertoire du chemin du script
d'ouverture de session.
- 31 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques :
Le script d’ouverture de session doit se trouver sur le contrôleur de domaine qui valide la
demande d’ouverture de session de l’utilisateur. Pour synchroniser les scripts qui se trouve sur
les différents serveur vous devez mettre en œuvre la duplication de répertoires.
Les ordinateurs exécutant Client MS-DOS pour les réseaux Microsoft (version 3.0), Windows NT
pour Workgroups, Windows NT version 3.1 et LAN Manager 2.x doivent utiliser l'extension de
nom de fichier.bat.
C’est un répertoire qui est utilisé par défaut pour enregistrer des fichiers par les applications qui
ne définissent pas de répertoire de travail. Par exemple si vous créez un fichier avec le Bloc-note
son enregistrement aura lieu, par défaut dans ce répertoire ; par contre les produits du Pack
Office possèdent leur propre répertoire qui est par défaut le dossier Personnel du profil de
l'utilisateur.
Le répertoire de base peut être un répertoire local sur l'ordinateur de l'utilisateur ou un répertoire
partagé sur le réseau. Il peut être attribué à un ou plusieurs utilisateurs.
Si le répertoire de base doit être placé sur un serveur, vous devez d'abord créer le partage, puis
ajouter au compte de l'utilisateur le chemin d'accès du partage (y compris le nom du répertoire de
base).
En règle générale, le Gestionnaire des utilisateurs pour les domaines crée le répertoire de base si
vous lui attribuez un chemin d'accès. La formulation sera de type UNC \\NomMachine ou
adresse IP\NomPartage\SousDossier, cette connexion sera visible dans l’explorateur avec
l’affectation de la lettre que vous avez choisi d’affecter.
- 32 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Dans le cas ou vous voudriez créer un répertoire de base pour plusieurs utilisateurs. Sélectionner
les tous puis utiliser la variable %username% pour remplacer le nom de dossier. Un dossier sera
créé portant le nom de l'utilisateur.
Remarque :
Si l'utilisateur s'est connecté à un serveur et que les heures d'ouverture de session sont
dépassées, il sera soit déconnecté des serveurs, soit autorisé à rester connecté, mais il lui sera
interdit d'établir de nouvelles connexions, en fonction de l'état d'une option de la boîte de
dialogue Stratégie de compte.
- 33 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Si vous avez sélectionné l'option "L'utilisateur peut ouvrir une session sur ces stations de
travail", tapez les noms d'ordinateur voulus dans les zones numérotées (le nombre de ces noms
doit être compris entre 1 et 8).
Choisissez "OK".
Remarque :
- 34 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Un compte assorti d'une date d'expiration est désactivé automatiquement à la fin du jour fixé.
Lorsqu'un compte expire, l'utilisateur qui est connecté le demeure, mais il ne peut pas établir de
nouvelles connexions sur le réseau. Une fois la session fermée, l'utilisateur ne peut plus ouvrir
une nouvelle session. (Les comptes expirés ne sont pas supprimés, mais seulement désactivés).
Compte local
Un compte local ( )est un compte fourni dans ce domaine pour un utilisateur dont le compte
habituel ne se trouve pas dans un domaine approuvé. Il peut s'agir d'un domaine Windows NT
Server qui n'est pas approuvé par ce domaine, d'un domaine LAN Manager ou d'un autre type de
domaine ou de réseau.
Les compte locaux peuvent être utilisés pour accéder à des ordinateurs exécutant Windows NT
Workstation ou Windows NT Server sur le réseau et peuvent se voir accorder des permissions
d'accès aux ressources et des droits d'utilisateur. Cependant, les comptes locaux ne peuvent pas
être utilisés pour ouvrir une session de façon interactive. Les comptes locaux créés dans un
domaine ne peuvent pas être utilisés dans des domaines autorisés à approuver et ne figurent
pas dans les boîtes de dialogue Ajouter des utilisateurs et des groupes de ces derniers.
Il est recommandé qu'un compte local utilise le même mot de passe dans son compte local et
dans son domaine de base.
Remarque :
Par défaut les comptes sont des comptes globaux. Affectez des comptes locaux seulement
quand il n'existe pas de relation d'approbation avec le domaine de base de l'utilisateur.
- 35 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Choix Signification
Remarques :
N'attribuez pas de permission de rappel aux utilisateurs qui se connectent au réseau via un
standard.
Prédéfini au interfère avec la possibilité de faire des appels à liaisons multiples si l'équipement
de l'utilisateur requiert plusieurs numéros de téléphone pour le groupe de lignes à liaisons
multiples.
- 36 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La commande Net User ajoute ou modifie des comptes d'utilisateur, ou bien affiche des
informations concernant les comptes d'utilisateur. Cette commande peut également s'écrire net
users. La syntaxe de la commande est la suivante :
Tapez net user sans paramètres pour afficher la liste des comptes d'utilisateur sur l'ordinateur.
MOT DE PASSE. Définit ou change le mot de passe du compte d'utilisateur. Le mot de passe
doit satisfaire au critère de longueur minimale établi par l'option /minpwlen de la commande net
accounts et ne peut dépasser 14 caractères de long.
*. Crée une invite pour le mot de passe. Ce dernier n'est pas affiché lorsque vous le tapez après
l'invite.
Remarque :
Cette action est exécutée sur le contrôleur principal de domaine du domaine principal de
l'ordinateur. Celui-ci ne correspond pas forcément au domaine sur lequel vous avez ouvert une
session.
- 37 -
ESAT/DMSI/SYS Administration Windows NT Serveur
/EXPIRES:{DATE | NEVER}. Si une date est fixée, elle détermine l'expiration du compte
d'utilisateur ; si vous choisissez never , le compte d'utilisateur n'est sujet à aucune limite de
durée. Les dates d'expiration peuvent s'écrire en format mm,jj,aa ou jj,mm,aa, selon la valeur de
l'option /countrycode spécifiée.
Remarque :
le compte expire au début de la date indiquée. Les mois peuvent être représentés par leur
numéro, leur nom ou leur abréviation en trois lettres. Les années peuvent être exprimées par 2
ou 4 chiffres. Servez-vous de virgules ou de barres obliques (mais pas d'espaces vides) pour
séparer les éléments de la date. Si vous omettez aa, la date retenue correspond à la prochaine
fois que la date spécifiée se présentera (selon le calendrier-horloge de votre ordinateur). Par
exemple, les dates suivantes sont équivalentes si elles sont entrées entre le 10 janvier 1994 et le
8 janvier 1995 : 9,jan, 9/1/95, 9,janvier,1995, 9/1
/FULLNAME:"NOM". Ajoute le nom complet d'un utilisateur au lieu de son nom d'utilisateur.
Tapez le nom entre guillemets (" ").
/PASSWORDCHG:{YES | NO}. Spécifie si les utilisateurs peuvent ou non changer leur propre
mot de passe. Paramètre par défaut : yes.
- 38 -
ESAT/DMSI/SYS Administration Windows NT Serveur
multiples de la liste par des virgules. Si /stations de travail ne contient pas de liste, ou si la liste
est représentée par un astérisque (*), l'utilisateur peut ouvrir une session à partir de n'importe
quel ordinateur.
4.8.1 Exemples
Afin d'ajouter un compte d'utilisateur pour Henri Dupont, lui donnant droit d'accès de 8 à 17 h du
lundi au vendredi (pas d'espaces dans les définitions de temps), avec un mot de passe
obligatoire et le nom véritable de l'utilisateur, tapez
Le nom d'utilisateur (henrid) est entré la deuxième fois en tant que mot de passe.
- 39 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Au moyen des groupes locaux, vous pouvez regrouper des comptes d'utilisateur auxquels vous
pourrez attribuer les permissions qui leur permettront d'utiliser des objets sur plusieurs domaines
et stations de travail.
Par exemple, dans le cas de plusieurs domaines, vous pouvez considérer les groupes globaux
comme des moyens permettant d'ajouter des utilisateurs dans des groupes locaux appartenant à
des domaines autorisés à approuver. Pour étendre les droits et permissions des utilisateurs aux
ressources d'autres domaines, ajoutez leurs comptes dans un groupe global de votre domaine,
puis ajoutez ce groupe dans un groupe local d'un domaine autorisé à approuver.
Même dans le cas d'un seul domaine, si vous gardez à l'esprit que des domaines seront peut-
être ajoutés ultérieurement, vous pouvez utiliser des groupes globaux ajoutés dans des groupes
locaux pour accorder tous les droits et permissions. Si, plus tard, vous créez un autre domaine,
vous pouvez appliquer les droits et permissions octroyés à vos groupes locaux aux utilisateurs du
nouveau domaine en créant une relation d'approbation et en ajoutant dans vos groupes locaux
des groupes globaux appartenant au nouveau domaine. De même, si le nouveau domaine
approuve votre domaine, vos groupes globaux peuvent être ajoutés dans des groupes locaux du
nouveau domaine.
Les groupes globaux de domaine peuvent également servir à des fins administratives sur des
ordinateurs exécutant Windows NT Workstation ou sur des serveurs membres exécutant
Windows NT Server. Par exemple, le groupe global Admins du domaine est ajoute par défaut
dans le groupe local Administrateurs intégré sur chaque station de travail ou serveur qui se joint
au domaine existant. L'appartenance au groupe Administrateurs local d'une station de travail ou
d'un serveur membre permet à l'administrateur de réseau de gérer l'ordinateur à distance, en
créant des groupes de programmes, en installant des logiciels et en résolvant les problèmes de
l'ordinateur.
Le tableau suivant donne des directives sur l'utilisation de groupes globaux et locaux.
Regrouper les utilisateurs de ce domaine Le groupe global peut être ajouté dans
dans une seule entité en vue de l'utiliser des groupes locaux ou recevoir des
Global
dans d'autres domaines ou stations de permissions et des droits directement
travail d'utilisateurs dans d'autres domaines.
- 40 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Nécessite des permissions sur des Les groupes globaux d'un domaine
ordinateurs exécutant Windows NT peuvent recevoir des permissions sur ces
Global
Workstation ou sur des serveurs ordinateurs, contrairement aux groupes
membres locaux d'un domaine.
- 41 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La fenêtre nouveau groupe local apparaît. Donner un nom au groupe nouvellement créé. Ce
groupe possède les mêmes propriétés et les mêmes utilisateurs que celui qui a été sélectionné.
Cliquez sur OK
Pour ajouter des utilisateurs ou des groupes globaux à un groupe local, cliquez sur Ajouter dans
la fenêtre Nouveau groupe local. La fenêtre Ajouter des utilisateurs et des groupes apparaît.
Le champ Lister les noms de contient la liste des noms de domaine et d'ordinateur et affiche le
nom sélectionné. Lorsqu'un astérisque (*) s'affiche en regard d'un nom de domaine ou
d'ordinateur, les groupes locaux de ce domaine ou de cet ordinateur peuvent être répertoriés
dans la liste Noms.
L'absence d'astérisque signifie qu'il n'est pas possible de répertorier ces groupes locaux.
Sélectionner les utilisateurs ou les groupe globaux que vous voulez copier.
- 42 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La commande Net localgroup sert à ajouter, afficher ou modifier des groupes locaux.
net localgroup [nom_groupe [/comment:"texte"]] [/domain]
net localgroup nom_groupe {/add [/comment:"texte"] | /delete} [/domain]
net localgroup nom_groupe nom [ ...] {/add | /delete} [/domain]
Liste des paramètres :
Tapez net localgroup sans paramètres pour afficher le nom du serveur et les noms des groupes
locaux figurant sur l'ordinateur.
NOM_GROUPE. Nom du groupe local à ajouter, développer ou supprimer. Indiquez simplement
un nom_groupe pour afficher la liste des utilisateurs ou des groupes globaux qui font partie du
groupe local.
/COMMENT:"TEXTE". Ajoute un commentaire au sujet d'un groupe nouveau ou existant. Le
commentaire peut être d'une longueur maximale de 48 caractères. Entourez le texte de
guillemets (" ").
/DOMAIN. Exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local.
- 43 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ce paramètre ne s'applique qu'aux ordinateurs Windows NT Workstation qui font partie d'un
domaine Windows NT Server. Les ordinateurs Windows NT Server exécutent par défaut les
opérations sur le contrôleur principal de domaine.
NOM [ ...]. Indique un ou plusieurs noms d'utilisateur ou de groupe à ajouter dans un groupe
local ou à supprimer. Séparez les entrées multiples par un espace. Les noms peuvent
correspondre à des utilisateurs locaux, des utilisateurs d'autres domaines ou des groupes
globaux, mais pas à d'autres groupes locaux. Si un utilisateur est sur un autre domaine, faites
précéder le nom d'utilisateur par le nom du domaine (par exemple, NOC\Durand).
/ADD. Ajoute un nom de groupe global ou d'utilisateur à un groupe local. Il faut qu'un compte soit
établi pour les utilisateurs ou les groupes globaux avant qu'ils soient ajoutés à un groupe local
par cette commande.
/DELETE. Enlève un nom de groupe ou d'utilisateur d'un groupe local.
Exemples :
Pour ajouter le groupe local Operateur à la base de données des comptes d'utilisateur (SAM)
locale, tapez
net localgroup Operateur /add
Pour ajouter le groupe local Operateur à la base de données des comptes d'utilisateur (SAM) du
domaine Windows NT Server, tapez
net localgroup Operateur /add /domain
Pour ajouter les comptes d'utilisateur déjà existants Durand, Jacques et Paul au groupe
Operateur d'un domaine Windows NT Server, tapez
net localgroup Operateur Durand Jacques Paul /add /domain
- 44 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La fenêtre nouveau groupe global apparaît. Donner un nom au groupe nouvellement créé. Ce
groupe possède les mêmes propriétés et les mêmes utilisateurs que celui qui a été sélectionné.
Vous pouvez ajouter des utilisateurs à ce groupe.
Cliquez sur OK
Validez par OK
- 45 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La commande Net group ajoute, affiche ou modifie des groupes globaux sur les domaines
Windows NT Server. Cette commande n'est disponible que pour les domaines de ce type.
net group [nom_groupe [/comment:"texte"]] [/domain]
net group nom_groupe {/add [/comment:"texte"] | /delete} [/domain]
net group nom_groupe nom_utilisateur[ ...] {/add | /delete} [/domain]
Tapez net group sans paramètres pour afficher le nom d'un serveur et les noms des groupes
figurant sur ce serveur.
/DOMAIN. Exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local.
Ce paramètre ne s'applique qu'aux ordinateurs Windows NT Workstation qui font partie d'un
domaine Windows NT Server. Les ordinateurs Windows NT Server exécutent par défaut les
opérations sur le contrôleur principal de domaine .
/ADD. Ajoute un groupe ou ajoute un nom d'utilisateur à un groupe. Il faut qu'un compte soit
établi pour chacun des utilisateurs ajoutés à un groupe par cette commande.
- 46 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Exemples :
Pour ajouter les comptes d'utilisateur déjà existants Pierre, Virginie et isabelle au groupe
Cadres sur l'ordinateur local, tapez
Pour ajouter les comptes d'utilisateur déjà existants Pierre, Virginie et isabelle au groupe
Cadres d'un domaine Windows NT Server à partir d'un ordinateur sur lequel le logiciel Windows
NT Workstation est installé, tapez
- 47 -
ESAT/DMSI/SYS Administration Windows NT Serveur
6 STRATEGIES DE SECURITE
Les stratégies de sécurité sont présentes au niveau des comptes utilisateurs et au niveau des
comptes de groupe.
On peut sous Windows NT Server définir trois stratégies différentes.
Stratégie de compte :
Définit la façon de gérer les mots de passe.
Contrôle les accès à la station.
Audit :
Définit les types de contrôles à effectuer et à enregistrer.
2. Dans le menu Stratégie, cliquez sur Compte. La fenêtre Stratégie de compte s’ouvre.
Cette fenêtre contient tous les paramètres pouvant s’appliquer à la sécurité de tous les comptes
utilisateur y compris celui de l’administrateur. Vous pouvez, en utilisant la commande net
accounts visualiser ces informations.
- 48 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Choix Option
Vous pouvez par la commande Net accounts associée aux paramètres adéquates réaliser les
mêmes fonctions. Le service Accès réseau doit être en cours d'exécution sur l'ordinateur pour
lequel vous désirez modifier les paramètres de compte. La syntaxe est la suivante :
- 49 -
ESAT/DMSI/SYS Administration Windows NT Serveur
/MINPWAGE:JOURS fixe le délai minimal (en jours) devant s'écouler avant qu'un utilisateur
puisse changer le mot de passe. La valeur 0 ne fixe pas de délai minimal. Plage : 0 à 49 710
jours ; valeur par défaut : 0.
/DOMAIN exécute l'opération sur le contrôleur principal de domaine du domaine courant. Sinon,
l'opération est effectuée sur l'ordinateur local. Ce paramètre s'applique uniquement aux
ordinateurs Windows NT Workstation qui font partie d'un domaine Windows NT Server. Par
défaut, les ordinateurs Windows NT Server exécutent les opérations sur le contrôleur principal de
domaine.
Par exemple :
fait expirer le mot de passe de tous les utilisateurs dans 30 jours, autorise un modification après
10 jours et spécifie un longueur minimale de 8 caractères pour le mot de passe. Pour effectuer la
tâche précédente sur un ordinateur Windows NT Workstation et s'assurer que les paramètres
entrent en vigueur sur le domaine Windows NT Server auquel est connecté l'ordinateur, l’option
/domain est ajoutée.
Si cette option est sélectionnée, les comptes d'utilisateur ne sont jamais verrouillés, quelque soit
le nombre de tentatives d'accès infructueuses sur un compte d'utilisateur.
Verrouillage de compte
Si cette option est sélectionnée, tous les comptes d'utilisateur sont soumis au verrouillage. Un
compte d'utilisateur sera verrouillé après un certain nombre de tentatives d'accès infructueuses à
l'intérieur du délai de réponse spécifié. Un compte verrouillé ne peut pas ouvrir de session.
Si vous sélectionnez l'option Verrouillage de compte, procédez comme suit :
2. Dans la zone Réinitialiser le compte après, tapez le nombre maximal de minutes autorisé
entre deux tentatives d'accès avant le verrouillage du compte. La plage est de 1 à 99999.
3. Cliquez sur l'option Durée et tapez en minutes le délai pendant lequel les comptes resteront
verrouillés avant le déverrouillage automatique. La plage est de 1 à 99999.
- ou -
4. Cliquez sur l'option Permanente dans la zone Durée de verrouillage
- 50 -
ESAT/DMSI/SYS Administration Windows NT Serveur
afin que les comptes verrouillés le demeurent jusqu'à ce qu'un administrateur les
déverrouille.
6.1.3 Les utilisateurs doivent ouvrir une session pour changer de mot de passe
Si cette option est sélectionnée, les utilisateurs doivent ouvrir une session avant de changer de
mot de passe. A l'expiration du mot de passe de l'utilisateur, celui-ci ne pourra pas le changer ;
l'administrateur devra s'en charger.
Si cette option est désactivée, les utilisateurs peuvent changer de mot de passe sans en avertir
l'administrateur.
Lorsque l'option Déconnecter de force les utilisateurs distants du serveur lorsque l'horaire
d'accès est dépassé est activée, elle permet déconnecte un compte d'utilisateur de tous les
serveurs du domaine une fois dépassés ses horaires d'ouverture de session.
Lorsqu'elle est désactivée, elle n'autorise pas le compte d'utilisateur à établir de nouvelles
connexions une fois dépassés ses horaires d'ouverture de session, mais elle ne le déconnecte
pas. Déconnecter de force les utilisateurs distants du serveur lorsque l'horaire d'accès est
dépassé
Cette option entre en interaction avec les horaires d'accès définis pour un compte d'utilisateur.
L’option / FORCELOGOFF:{MINUTES | NO} définit le délai (en minutes) devant s'écouler avant
que ne soit fermée la session d'un utilisateur sur un serveur lorsque le compte utilisateur ou le
temps d'ouverture de session valide expire. L'option NO empêche la fermeture forcée de la
session ; elle constitue l'option par défaut.
Un droit autorise un utilisateur à effectuer certaines actions sur le système. Lorsqu'un utilisateur
n'a pas les droits requis, Windows NT bloque toute tentative d'exécution de ces actions. Les
droits s'appliquent à l'ensemble du système et sont différents des permissions, qui ne
s'appliquent qu'à des objets spécifiques.
Les droits attribués à un groupe sont accordés aux membres de ce groupe. Dans la plupart des
cas, le moyen le plus simple d'accorder des droits à un utilisateur consiste à ajouter le compte de
ce dernier à l'un des groupes intégrés possédant déjà les droits nécessaires, plutôt qu'à gérer la
stratégie des droits de l'utilisateur.
- 51 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour accéder aux stratégies des droits de l'utilisateur utiliser la commande Droits de l’utilisateur
dans le menu Stratégie du Gestionnaire des utilisateurs des domaines.
La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.
Droits Signification
- 52 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Droits Signification
- 53 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Droits Signification
- 54 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Outre les droits listés ci-dessus, certains droits d'utilisateur avancés sont aussi gérés à l'aide de
la Stratégie des droits de l'utilisateur. La plupart de ces droits ne sont utiles qu'aux
programmeurs qui écrivent des applications pour des ordinateurs exécutant
Windows NT Workstation ou Windows NT Server. Ils ne sont généralement pas accordés à un
groupe ou un utilisateur.
Les droit avancé des utilisateurs, comme les droits standards, sont affectés dans la boite de
dialogue Stratégie des droits de l’utilisateur. Vous pouvez visualiser les droits avancés en
cochant la case Afficher les droits avancés des utilisateurs.
La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.
- 55 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ouvrir une session en tant que Les utilisateurs peuvent ouvrir une session en utilisant la
tâche fonction de file d’attente de commandes. Ce droit n’est pas
( SeBatchSid ) encore mis en œuvre.
Régler les performances système Permet aux utilisateurs d’employer les outils d’analyse des
(SeSystemProfilePrivilege) performances.
- 56 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans la rubrique Accorder à vous pouvez enlever ou ajouter un utilisateur ou un groupe (il est
conseillé de travailler avec des groupes d’utilisateurs).
1. Sélectionnez le membre.
- 57 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. La fenêtre Ajouter des utilisateurs et des groupes apparaît. Pour visionner les utilisateurs
dans la partie supérieur de la fenêtre cliquez sur Montrer les utilisateurs.
4. Cliquez sur Ajouter. Le membre ajouté apparaît dans la rubrique Ajouter des noms.
Les résultats du journal sécurité peuvent être affichés dans l'Observateur d'événements. La
taille des journaux de sécurité étant limitée, sélectionnez judicieusement les événements à
auditer. La taille maximale du journal sécurité est définie dans l'Observateur d'événements.
3. Cochez les choix souhaités. Les événements sélectionnés seront enregistrés dans le journal
sécurité.
- 58 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Choix Signification
Utilisation des droits de Un utilisateur s'est servi d'un droit d'utilisateur (à l'exception
l’utilisateur. des droits relatifs à l'ouverture et à la fermeture de session).
L’audit des fichiers et des répertoires, comme l’audit du système, offre des contrôles efficaces
pour la surveillance de la sécurité. L’analyse des rapport est également très importante. En son
absence, les contrôles de sécurité ne seront pas efficaces.
L’audit des fichiers et des répertoires est granulaire, en ce sens qu’il est possible d’assurer le
suivi des accès d’un utilisateur à un répertoire ou un fichier.
Pour activer l’audit des fichiers et des répertoires :
- 59 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Cliquez sur le bouton droit de la souri pour ouvrir le menu contextuel, puis sélectionnez
Propriétés.
Cliquez sur l’onglet Sécurité, puis sur le bouton Audit, la fenêtre suivante apparaît.
La première colonne du tableau présente les noms courants des droits d’utilisateur, suivis du nom
interne entre parenthèses. C’est ce nom qui apparaîtra dans l’observateur d’événement si vous
auditez l’utilisation de ces droits d’utilisateur.
Répertoire
Affiche le nom du ou des répertoire(s) sélectionné(s) (vérifiez toujours que vous paramétrez
la sécurité de l’objet que vous avez sélectionné).
Nom
Affiche les noms des groupes et des utilisateurs audités.
Evénements à auditer
- 60 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour un répertoire particulier, vous pouvez auditer les événements qui ont réussi ainsi que
ceux qui ont échoué.
Bouton Ajouter
Pour ajouter des groupes ou des utilisateurs dans la liste d'audits, cliquez sur le bouton
Ajouter.
Bouton Supprimer
Pour supprimer un groupe ou un utilisateur de la liste d'audits, sélectionnez celui-ci, puis
cliquez sur le bouton Supprimer.
Vous pouvez sélectionner les événements suivants pour auditer les actions d'un fichier :
Lire
Audite l'affichage des données des attributs, des permissions et du propriétaire du fichier.
Ecrire
Audite les modifications apportées aux attributs ou aux données du fichier, ainsi que
l'affichage des permissions et du propriétaire.
Exécuter
Audite l'exécution des fichiers programme ainsi que l'affichage des attributs, des
permissions et du propriétaire.
Supprimer
Audite la suppression du fichier.
Prendre possession
Audite les modifications de propriété du fichier.
La boîte de dialogue Ajouter des utilisateurs et des groupes est disponible à partir des boîtes
de dialogue qui vous permettent de modifier et de supprimer des permissions et des audits pour
des utilisateurs et des groupes. Vous l'utilisez pour ajouter des utilisateurs et des groupes à la
liste des permissions ou des audits, rechercher les membres d'un groupe et trouver le domaine
auquel appartient un groupe ou un utilisateur.
- 61 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La boîte de dialogue Ajouter des utilisateurs et des groupes affiche les groupes de l'ordinateur
ou du domaine qui apparaît dans la zone Lister les noms de. Les groupes sont affichés pour
l'ordinateur ou le domaine dont le nom est suivi d'un astérisque (*). Vous pouvez sélectionner un
autre domaine à l'aide de la zone Lister les noms de.
Les domaines ne sont affichés que si votre ordinateur est membre d'un domaine sur un réseau
Windows NT Server.
Pour ajouter un utilisateur ou un groupe à une liste des permissions ou des audits
Dans la boîte de dialogue des permissions ou des audits, cliquez sur le bouton Ajouter.
Vous pouvez utiliser les options de la boîte de dialogue Ajouter des utilisateurs et des groupes
pour afficher des utilisateurs, rechercher les utilisateurs d'un groupe ou trouver le domaine auquel
appartient un groupe ou un utilisateur.
Pour afficher les noms des utilisateurs sur le domaine ou l'ordinateur sélectionné, cliquez sur le
bouton Montrer les utilisateurs.
Pour afficher le contenu d'un groupe, sélectionnez ce dernier, puis cliquez sur le bouton
Membres. Les utilisateurs sont énumérés dans une nouvelle boîte de dialogue. Sur un réseau
Windows NT Server, les groupes globaux qui sont membres d'un groupe local apparaissent dans
la liste. Pour afficher les utilisateurs d'un groupe local, sélectionnez ce dernier, puis cliquez sur le
bouton Membres. Pour inclure le groupe dans la boîte de dialogue Ajouter des utilisateurs et
des groupes, cliquez sur le bouton Ajouter. Pour inclure certains utilisateurs du groupe
uniquement, sélectionnez-les, puis cliquez sur le bouton Ajouter.
- 62 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour ajouter un groupe ou un utilisateur, vous devez connaître le domaine qui contient le compte
du groupe ou de l'utilisateur. Sur un réseau Windows NT Server, cliquez sur le bouton
Rechercher pour rechercher le domaine d'un groupe ou d'un utilisateur.
Dans la boîte de dialogue Recherche d'un compte, tapez le nom du groupe ou de l'utilisateur
dans la zone Rechercher un utilisateur ou un groupe, spécifiez les domaines faisant l'objet de
la recherche, puis cliquez sur le bouton Rechercher. Pour inclure les groupes ou les utilisateurs
dans la boîte de dialogue Ajouter des utilisateurs et des groupes, sélectionnez ceux-ci dans la
zone Résultats de la recherche, puis cliquez sur le bouton Ajouter.
- 63 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour ajouter des groupes ou des utilisateurs à la liste, sélectionnez-les dans la zone Noms, puis
cliquez sur le bouton Ajouter, ou double-cliquez sur le nom du groupe ou de l'utilisateur. Vous
pouvez aussi taper les noms des groupes et des utilisateurs dans la zone Ajouter des noms, en
les séparant par un point-virgule.
Si vous ajoutez des utilisateurs ou des groupes à une liste de permissions, sélectionnez la
permission pour les groupes ou les utilisateurs qui est affichée dans la zone Ajouter des noms à
l'aide de la zone Type d'accès. Cliquez sur OK.
Pour visualiser tous les détails faites un double-clic sur l’événement. La fenêtre suivante apparaît.
- 64 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les fichiers suivants sont les journaux qui sont dans le répertoire %systemroot
%\system32\CONFIG :
APPEVENT.EVT journal des événements Application.
SECEVENT.EVT journal des événements Sécurité.
SYSEVENT.EVT journal des événements Système.
- 65 -
ESAT/DMSI/SYS Administration Windows NT Serveur
7 OBSERVATEUR D’EVENEMENTS.
L’Observateur d’événements vous permet de visualiser trois journaux différents dans lesquels
sont enregistrés des informations significatives. Vous pouvez choisir le journal à visualiser,
prendre des options sur les types d’événements à enregistrer et enregistrer les journaux pour les
comparer ultérieurement.
Le journal système :
Enregistre les événements concernant les composants système tels que les pilotes, les
imprimantes, le matériel, etc.
Le journal sécurité :
Enregistre les événements qui sont des atteintes possibles à la sécurité tels que des
essais infructueux de connexion.
Le journal application :
Enregistre les événements concernant les applications telles que les erreurs de fichiers,
etc.
- 66 -
ESAT/DMSI/SYS Administration Windows NT Serveur
En plus du titre dans la fenêtre de l’Observateur d’événements, vous pouvez utiliser les icônes à
l’intérieur de chaque événement pour déterminer son type.
Evénement Description
- 67 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour choisir le journal que vous voulez consulter, choisissez Journal dans la barre de menu et
sélectionner un des trois journaux, système, sécurité ou application. Le journal courant apparaît
dans la barre de titre et une marque est positionnée sur son nom dans la liste.
Vous pouvez aussi lire les événements sur un autre ordinateur si vous avez les droits d’accès :
vous devez avoir les droits d’administrateur si vous voulez accéder à un autre ordinateur sur le
réseau.
2. Dans la liste, choisissez l’ordinateur que vous désirez consulter ; si son nom n’apparaît pas
dans la liste, tapez son chemin d’accès dans la boîte.
- 68 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. L’information en haut de la boîte de dialogue est la même que dans le journal ; cependant on
peut lire le texte de description pour plus d’information
3. Si l’option Octets est sélectionnée, la zone Données de la boîte de dialogue inclut des
données binaires au format hexadécimal ; pour voir les données en DWORDS, cochez
l’option Mots.
Lorsque vous ouvrez l’Observateur d’événements, le journal est automatiquement mis à jour.
Ce n’est pas le cas lorsque vous changez de journal pendant une session. Les événements
survenus entre temps n’apparaîtront qu’à la réouverture du journal. Pour actualiser l’affichage
choisissez Affichage, Actualiser ou pressez F5.
Vous pouvez changer la taille de chacun des journaux et la manière dont Windows NT les gère
lorsqu’ils sont pleins.
Pour changer les paramètres des journaux, procédez de la manière suivante :
1. Choisissez Journal, Paramètres du journal. La boîte de dialogue correspondante apparaît.
- 69 -
ESAT/DMSI/SYS Administration Windows NT Serveur
3. Dans la Taille maximale du journal, utilisez les flèches pour déterminer la taille que vous
voulez affecter à ce journal (en Kilo-octets).
4. Dans la zone de Bouclage du journal des événements, choisissez une des options
suivantes :
Ecraser les événements si nécessaire. Cette option assure que tous les événements
seront écrits dans le journal ; lorsque celui-ci est plein, chaque nouvel événement
remplace le plus ancien.
Ne pas écraser les événements (nettoyage manuel du journal). Vous avez toute
liberté pour nettoyer le fichier.
Vous pouvez trier les événements par date. Choisissez Affichage, Plus récent d’abord ou plus
vieux d’abord, selon votre choix. L’option en vigueur est cochée.
Cette option vous permet de n’afficher que certain type d’événement, pour rendre vos journaux
plus lisibles.
- 70 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Premier événement. Cette option montre tous les événements depuis le premier listé
dans le journal.
Evénement du. Pour visualiser la date à partir de laquelle vous souhaitez visualiser
les événements.
4. Dans la boîte Type, cochez les choix pour afficher ou non certains événements.
Pour rechercher un type précis d’événements, tel que les avertissements, les erreurs, ainsi que
des catégories ou sources spécifiques d’événements, procédez de la manière suivante :
1. Dans l’Observateur d’événements choisissez Affichage, Rechercher ou pressez F3. La
boîte de dialogue Rechercher apparaît
- 71 -
ESAT/DMSI/SYS Administration Windows NT Serveur
5. Choisissez Suivant. Le premier événement qui correspond aux critères entrés est en sur
brillance dans le journal.
- 72 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Ce type de restriction d'accès n'est pas disponible pour les fichiers situés sur des
volumes
FAT.
Cliquez sur l’objet correspondant dans l'Explorateur Windows, puis cliquez sur Propriétés, et
sur l'onglet Sécurité (cet onglet n'existe pas sur les partitions en FAT).
Utilisez le bouton Permissions de la boîte de dialogue Propriétés afin de définir les permissions
adéquates.
Répertoire
Affiche le nom du répertoire sélectionné (vérifiez toujours que vous paramétrez la sécurité
de l’objet que vous avez sélectionné).
- 73 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Propriétaire
Affiche le nom du propriétaire du répertoire (par défaut le propriétaire est la personne qui
a créée l’objet).
Nom
Affiche les noms des groupes et des utilisateurs ainsi que leurs permissions courantes.
Pour modifier une permission, sélectionnez le groupe ou l'utilisateur, puis cliquez sur une
permission dans la zone Type d'accès.
Les boutons Ajouter et Supprimer permettent de modifier la liste des groupes d’utilisateurs ou
des utilisateurs figurant dans la zone Nom.
- 74 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les permissions peuvent s’appliquer soit en utilisant des types d’accès standard soit en utilisant
des permissions d’accès spécial. La boite de dialogue Accès spécial à un répertoire s’ouvre
après sélection d’Accès spécial à un répertoire comme type de permission.
Les permission d’Accès spécial à un répertoire sont identique à celle qui s’appliquent aux fichiers.
tableau donnant les permissions standard.
permissions ( P )
possession ( O )
Supprimer ( D )
Exécuter ( X )
Changer les
Ecrire ( W )
Lire ( R )
Prendre
- 75 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Quand un astérisque (*) s'affiche en regard du jeu de permissions de répertoire, par exemple
(Tous)*, cela signifie que les sous-répertoires n'héritent pas des permissions octroyées à ce
groupe ou cet utilisateur.
Vous pouvez définir les ensembles de permissions d’Accès standard suivants sur les répertoires :
- 76 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Chaque fois que cela est possible les permissions doivent être accordées à des groupes et non à
des utilisateurs individuellement. Si plusieurs utilisateurs exploitent le même ensemble de fichiers,
ils peuvent être placés dans un groupe auquel les permissions nécessaires seront ensuite
accordées. Par la suite, si un nouvel utilisateur a besoin du même type d’accès, il suffit
simplement de l’ajouter au groupe, ce qui évite d’avoir à lui accorder des permissions fichier par
fichier.
Contrôle total
Aucun accès
Modifier
Ajouter
Lister
Lire
- 77 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ajouter et Lire
Contrôle total
Aucun accès
Modifier
Ajouter
Lister
Lire
Supprimer tout fichier ou sous-
répertoire vide du répertoire X
Modifier les permissions affectées au
répertoire X
s'approprier le répertoire X
Par défaut, les fichiers créés dans un répertoire héritent des permissions définies à l’intérieur du
second jeu de parenthèses.
Attention :
la permission Contrôle Total (Tous) (Tous) est différente de Accès spécial (RWXDPO)
(RWXDPO).
La permission Contrôle Total comprend une permission spéciale ‘cachée’ FDC (File Delete
Child) qui, si les propriétaires de fichiers n’en tiennent pas compte, peut générer une faille de
sécurité. En effet, tous les comptes d’utilisateur disposant de la permission Contrôle Total sur un
répertoire sont autorisés à supprimer les fichiers dans ce répertoire même si les types d’accès
sont plus restrictifs. Pour éviter les effets de la permission FDC, il faut contrôler l’accès aux
répertoires en accordant des permissions Accès Spécial à un répertoire au lieu des permissions
Contrôle Total.
La permission FDC est nécessaire pour des raisons de conformité à la norme POSIX. Les
spécifications POSIX requièrent qu’un utilisateur disposant du droit d’écrire sur un répertoire
puisse supprimer tous les fichiers de ce répertoire, quelles que soient les permissions de ces
fichiers. Cette permission ne s’applique qu’aux fichiers d’un répertoire, pas à ses sous
répertoires.
Le groupe Créateur Propriétaire peut être utilisé lors de l’attribution des permissions d’accès à un
répertoire afin de permettre aux utilisateurs de contrôler uniquement les fichiers et les sous
répertoires qu’ils créent dans ce répertoire. Les permissions définies pour le groupe Créateur
Propriétaire sont transférées à l’utilisateur qui crée ou qui est propriétaire d’un fichier ou d’un
sous répertoire dans ce répertoire.
- 78 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le tableau suivant présente les permissions définies sur les fichiers et les opérations
correspondantes que les utilisateurs peuvent effectuer sur ces fichiers
Contrôle
Modifier
Aucun
accès
total
Lire
- 79 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lors du déplacement de fichiers ou de répertoires sur un même volume, les permissions sont
conservées. Même si l’option Remplacer les permissions pour les fichiers existant est activée
pour un répertoire, les fichiers déplacés dans ce répertoire conservent leurs permissions. La case
à cocher Remplacer les permissions pour les fichiers existant ne caractérise pas un état, mais
bien une option qui peut être exécutée à un moment donné. C’est à l’instant où cette option est
activée que les fichiers héritent des permissions du répertoire et ceci ne se reproduit que lorsque
l’option est à nouveau activée.
Lors du déplacement de fichiers ou de répertoire sur un autre volume ou d’une copie, les fichiers
et les répertoires prennent les permissions du répertoire dans lequel ils sont copiés.
Remarque :
Ceci n'est vrai que si le service pack 4 est installé sur les machines. Si le service pack 5 est
installé les objets déplacés prennent les permissions de l'emplacement où ils sont collés.
Lorsqu’un fichier est supprimé d’un disque local, il est en réalité déplacé vers la Corbeille où seul
celui qui l’a supprimé peut en annuler la suppression. Lors de la restauration d’un fichier, les
permissions qu’il avait avant sa suppression lui sont restaurées.
Les actions qu’un utilisateur peut exercer sur un objet sont déterminées par la somme des
permissions dont il dispose soit par appartenance à des groupes, soit par affectation directe. Par
exemple, René est membre des groupes GRP1, GRP2 et GRP3. qui ont les permissions
suivantes sur un répertoire.
De plus René a la permission Prendre Possession (O) (X). Donc les permissions de René
représentent la somme des permissions, respectivement (RWDO) (RWDX).
8.4.4 Appartenance
Par défaut, le créateur d’un fichier ou d’un dossier en est le propriétaire. Il n’est pas possible de
transférer la propriété d’un fichier ou d’un répertoire à quelqu’un d’autre, mais le propriétaire peut
accorder à un autre utilisateur la permission de prendre possession du fichiers et des autres
- 80 -
ESAT/DMSI/SYS Administration Windows NT Serveur
objets. Pour ouvrir la boite de dialogue Propriétaire, sélectionnez un objet, puis Propriétés dans
le menu Fichier, l’onglet Sécurité et cliquez sur le bouton Appartenance.
Bien qu'un administrateur puisse s'approprier un fichier ou un répertoire, il ne peut pas transférer
la propriété à d'autres personnes, afin de préserver la sécurité. Par exemple, seul un
administrateur pouvant effectuer des appropriations et modifier des permissions peut accéder à
un fichier pour lequel vous avez défini la permission Aucun accès. En vérifiant les informations
de propriété du fichier, vous constatez le changement de propriété et connaissez l'identité de la
personne qui a violé la permission que vous avez définie sur ce fichier. Pour être certain que vos
fichiers sont protégés, vous devez vérifier régulièrement leurs informations de propriété.
4. Pour obtenir de l'aide sur la boîte de dialogue Propriétaire, cliquez sur le bouton Aide ou
appuyez sur F1 lorsque vous êtes dans cette boîte de dialogue.
On peut convertir une partition FAT en une partition NTFS (cette opération est irréversible), la
commande est :
Paramètres
lecteur
Désigne le lecteur à convertir au système NTFS.
/fs:ntfs
Spécifie la conversion du volume en volume NTFS.
- 81 -
ESAT/DMSI/SYS Administration Windows NT Serveur
/v
Spécifie le mode Verbose. Tous les messages seront affichés au cours de la conversion.
/nametable:nom_de_fichier
Crée une table de traduction des noms sur le répertoire racine du volume converti en
utilisant le nom du fichier spécifié. Utilisez ce commutateur si vous rencontrez des
difficultés au cours de la conversion des fichiers qui ont un nom peu ordinaire.
Remarque :
Une fois la conversion réalisée les permissions sur les répertoires et les fichiers ne sont pas les
même que celles mises en place par le système à l’installation de Windows NT. En effet on
trouve sur tous les dossiers et fichiers une sécurité par défaut, à savoir :
- 82 -
ESAT/DMSI/SYS Administration Windows NT Serveur
9 PARTAGE D’OBJETS
Windows NT vous permet de partager des objets (répertoires, fichiers, imprimantes, lecteur de
CD, …) à travers le réseau. Lorsqu'une ressource est partagée, vous pouvez limiter son accès à
certains utilisateurs du réseau. Ces restrictions, appelées permissions de partage, peuvent varier
d'un utilisateur à l'autre.
Le partage de données est possible grâce au protocole SMB ( Server Message Block ) qui est
pris en charge par Windows NT Serveur et Workstation. Les systèmes exécutant le protocole
SMB communiquent avec les services du redirecteur qui permettent de localiser, d’ouvrir, de lire,
d’écrire et de supprimer des fichiers.
La création d’un partage s’effectue en attribuant un nom à la ressource que l’on veut partager.
Une même ressource peut avoir un nom différent selon les utilisateurs y accédant.
Il faut ouvrir une session en tant que Administrateurs, ou Opérateur de serveur pour être
autorisé à créer ou modifier des partages.
Cliquez sur le dossier correspondant dans l'Explorateur Windows, puis cliquez sur Propriétés
dans le menu Fichier.
- 83 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. La zone Nom de partage montre le nom que les utilisateurs devront spécifier pour se
connecter au répertoire partagé.
Remarque :
Si vous voulez partager le répertoire sous un nom différent, entrez un nouveau nom de partage
dans la zone Nom de partage.
4. Dans la zone Nombre limite utilisateurs, entrez un nombre fixant une limite au nombre
d'utilisateurs pouvant se connecter simultanément au répertoire partagé.
Pour partager à partir de l’invite de commande, utilisez la commande Net Share selon la syntaxe
suivante :
Par exemple, on partagera le répertoire C:\pubilc en tant que « Documents », par la commande
suivante :
Net share Documents=C:\public
- 84 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lors de l’accès à un partage, les permissions du partage et les permission NTFS doivent être
prises en compte. CE SONT TOUJOURS LES PERMISSIONS LES PLUS RESTRICTIVES QUI
CONDITIONNENT L’ACCÈS AU PARTAGE.
2. Choisissez OK.
Utilisez la boîte de dialogue Permissions Accès à travers un partage pour définir ou modifier
les permissions des groupes et des utilisateurs.
- 85 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. Sélectionnez des groupes ou des utilisateurs dans la zone Nom, puis cliquez sur le bouton
Ajouter.
Remarque :
Pour voir les noms des utilisateurs d'un ordinateur ou d'un domaine sélectionné, cliquez sur le
bouton Montrer les utilisateurs. Pour voir le contenu d'un groupe local ou global, cliquez sur le
bouton Membres.
3. Dans la zone Type d'accès, sélectionnez une permission à accorder aux groupes et aux
utilisateurs figurant dans la zone Ajouter des noms.
Si vous décidez de mettre fin au partage d'un répertoire pendant que les utilisateurs y sont
connectés, ces utilisateurs risquent de perdre leurs données.
1. Sélectionnez le répertoire dont vous voulez annuler le partage en cliquant sur le bouton droit
de la souris puis sélectionnez l'onglet Partage.
Dans la fenêtre de l'Explorateur, on voit que le répertoire est partagé car il est "posé sur une
main".
- 86 -
ESAT/DMSI/SYS Administration Windows NT Serveur
ATTENTION
il convient de ne jamais modifier le partage de ces ressources sous peine de provoquer des
pannes système graves.
- 87 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les administrateurs et les opérateurs de serveur peuvent créer leurs propres partages cachés
(de sorte que les utilisateurs du réseau ne puissent y accéder) en ajoutant le signe dollar ($) à la
fin du nom de partage.
Remarque :
Utilisez l'icône Serveur du Panneau de configuration dans les Outils d'administration pour
afficher et gérer les propriétés du serveur de cet ordinateur.
- 88 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour attribuer une lettre de lecteur à un partage dans Poste de travail, utilisez la commande
Connecter un lecteur réseau du menu Outils, disponible dans l'Explorateur.
- 89 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour les ordinateurs MS-DOS comportant le logiciel client LAN Manager, utilisez la commande
Net Use pour établir les connexions au réseau. La syntaxe est la suivante :
Par exemple pour se connecter à un partage se nommant Documents sur la machine Ntserver
vous devrez taper :
- 90 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Elément Description
Pour administrer une propriété associée à l'un des cinq boutons situés dans la partie inférieure
de la boîte de dialogue Propriétés pour l'ordinateur, cliquez sur le bouton concerné.
Dans la boîte de dialogue Sessions utilisateur sur Ordinateur vous pouvez déconnecter un ou
tous les utilisateurs. En cliquant sur le bouton Utilisateurs vous obtenez:
- 91 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Utilisez la boîte de dialogue Ressources partagées sur Ordinateur pour afficher les ressources
partagées disponibles sur l'ordinateur sélectionné.
La commande Net view présente une liste des domaines, des ordinateurs ou des ressources
partagées par l'ordinateur spécifié. La syntaxe est la suivante.
Exemples :
Tapez net view sans paramètres pour afficher la liste des ordinateurs de votre domaine courant.
Tapez net view \\nom_ordinateur pour afficher les ressources partagées de l’ordinateur.
Tapez net view /network:nw pour afficher la liste des serveurs disponibles sur un réseau
NetWare. Si un nom d'ordinateur est spécifié, les ressources disponibles sur cet ordinateur sur le
- 92 -
ESAT/DMSI/SYS Administration Windows NT Serveur
réseau NetWare sont affichées. Des réseaux qui s'ajoutent au système peuvent être spécifiés à
l'aide de ce commutateur.
Utilisez la boîte de dialogue Ressources ouvertes sur Ordinateur pour afficher et fermer des
ressources (affichez les propriétés de l'ordinateur, puis cliquez sur le bouton "En cours
d'utilisation").
Elément Description
La commande Net file permet d’affiche les noms de tous les fichiers partagés ouverts sur un
serveur et, le cas échéant, le nombre de verrous sur chaque fichier. Cette commande permet
également de fermer des fichiers partagés particuliers et d'enlever des verrous de fichier. La
syntaxe est la suivante :
Exemples :
- 93 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 94 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 95 -
ESAT/DMSI/SYS Administration Windows NT Serveur
10PROFILS UTILISATEURS
Le profil contient :
Un répertoire, énoncé précédemment.
Un répertoire commun à tous les utilisateurs All Users
Un profil registre dans Hkey_Users, créé à partir de la clef Défault et copié dans
Hkey_Current_Users lors de l’ouverture de session (une partie de ces clef du registre est
sauvegardé dans Ntuser.dat et dans Ntuser.dat.log).
- 96 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dossier de profil
Contenu
d'utilisateur
Bureau Eléments du bureau, y compris les fichiers et les raccourcis
Données de l'application Données spécifiques à l'application
Envoyer vers (send to) Raccourcis vers des documents, des lecteurs ou des applications
Cookies, Historique,
Répertoires installés par le navigateur IE5
Temporary Internet Files
- 97 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques
Le fichier Ntuser.dat est la partie Registre du profil d’utilisateur. Il s’agit d’une copie mise en
cache du sous-arbre HKEY_CURRENT_USER du registre, sur l’ordinateur local.
Le fichier Ntuser.dat.log est un fichier journal de transactions.
- 98 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Un profil errant se place, par l’intermédiaire d’une copie, sur un poste qui doit être accessible par
l’utilisateur auquel ce profil est affecté. Les modifications qu’il fera seront prises en compte dans
son profil et seront visibles sur les stations où l’utilisateur ouvre une session. Si vous utilisez un
profil errant sur plusieurs ordinateurs simultanément, il conserve les paramètres de la dernière qui
fermeture de session.
1. Création du profil local sur la machine, par le moyen d’une ouverture de session sous le nom
de l’utilisateur. Attention ! assurez vous que tous les fichiers spéciaux ( papiers peints,
économiseurs d’écran, applications ciblées par des raccourcis) incorporés dans le profil sont
présents sur le système cible. Il faut par conséquent veiller à ce que les standards de
déploiement des applications soient précis et surtout respecté.
2. Ouverture d’une session en tant qu’administrateur, allez dans les Propriétés du système sur
l’onglet Profils utilisateurs.
- 99 -
ESAT/DMSI/SYS Administration Windows NT Serveur
4. Sélectionnez le dossier où vous voulez copier le profil. Si vous désirez le placer sur une autre
machine il vous faudra taper un chemin UNC comme suit :
Remarque
Un profil errant peut être affecté à plusieurs utilisateurs ou à un groupe d’utilisateur. Pour cela,
avant de copier votre profil il faudra dans la boîte copier vers cliquer sur le bouton modifier pour
changer les permissions sur le profil.
5. Un fois cette opération terminée il ne vous reste plus qu’a aller dans le gestionnaire des
utilisateurs pour modifier le chemin de recherche du profil. Sélectionnez l’utilisateur,
visualisez ses caractéristiques et cliquez sur le bouton Profil. Tapez dans la partie Chemin
du profil de l’utilisateur le nouvel emplacement. Validez par Ok.
- 100 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Comme les profils errants, les profils obligatoires peuvent être stocké sur une autre machine.
Une fois que vous avez établi un profil réseau, Windows NT maintient tout de même un profil
localement sur la station de travail, ce qui vous permet de retrouver un bureau familier lorsque le
réseau n’est pas disponible. Lorsque vous vous déconnectez du réseau, le système synchronise
vos profils avec des copies de la configuration courante du bureau. On parle de profil mis en
cache local.
Si aucune opération n’est faite sur le registre ce profil est conservé sur la machine. Pour éviter
qu’une copie du profil reste stocké sur la station, on peut modifier ou créer la clé suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
DeleteRoamingCache REG_DWORD
Valeur: 0 ou 1, valeur par défaut : 0
Si la valeur est à 1 le profil mis en cache est détruit quand l’utilisateur ferme sa session.
2. Dans la zone de liste Profils enregistrés sur cet ordinateur, sous l'onglet Profils d'utilisateur,
cliquez sur un profil errant.
- 101 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques :
Si la connexion réseau est lente, cliquez sur Profil Errant, puis activez la case à cocher Utiliser
des profils mis en cache pour les connexions lentes afin d'éviter le téléchargement du profil
errant.
Si Profil errant n'est pas disponible, cela signifie que le profil est un profil local.
Un profil obligatoire est par nature imposé a l’utilisateur. Il est construit a partir d’un profil errant
existant en renommant le fichier Ntuser.dat en Ntuser.man. Le profil ainsi modifier pourra être
transformé par l’utilisateur en cour de session, mais à chaque nouvelle ouverture de session
l’utilisateur perdra ses modifications pour retrouver le profil obligatoire. Voilà qui fait l’affaire
lorsqu’il s’agit de fixer un environnement uniforme pour un grand nombre d’opérateur de saisie,
ou de réduire les appels au support technique parce que quelqu’un a supprimé une icône ou
dérangé un paramètre.
Remarque :
- 102 -
ESAT/DMSI/SYS Administration Windows NT Serveur
L'utilisation de profils errants ou de profils obligatoire génère un important traffic sur le réseau. Si
tous les utilisateurs d'un domaine ouvre leur session en même temps la charge du réseau sera
trop grande.
Rappel
Vous devez avoir ouvert une session en tant que membre du groupe administrateur pour pouvoir
supprimer un profil utilisateur.
- 103 -
ESAT/DMSI/SYS Administration Windows NT Serveur
11DUPLICATION DE RÉPERTOIRES
La mise à jour des ressources partagées est une tâche utile réalisée par le service Duplicateur
de répertoires de Windows NT Server. Si vous disposez d'un ensemble de fichiers que vous
voulez répartir entre de nombreux utilisateurs, vous pouvez créer et mettre à jour des
arborescences similaires sur plusieurs serveurs et stations de travail, puis répartir la charge entre
les différents ordinateurs.
Configurez un serveur en tant que serveur d'exportation, sur lequel vous placerez les copies
principales des fichiers. Configurez les autres ordinateurs en tant qu'ordinateurs d'importation.
Une seule copie de chaque fichier doit être mise à jour, mais tout ordinateur concerné dispose
d'une copie identique de cet ensemble de fichiers. Chaque serveur d'exportation assure la mise à
jour d'une liste d'ordinateurs vers lesquels sont exportés les sous-répertoires, et chaque
ordinateur d'importation met à jour une liste des ordinateurs à partir desquels sont importés les
sous-répertoires.
Lorsque vous mettez à jour un fichier dans l'arborescence d'un serveur (serveur d'exportation), le
fichier mis à jour est automatiquement copié sur tous les autres ordinateurs (ordinateurs
d'importation). Seuls les serveurs exécutant Windows NT Server peuvent être des serveurs
d'exportation. Les ordinateurs d'importation, quant à eux, peuvent exécuter Windows NT Server
ou Windows NT Workstation.
Un fichier est dupliqué lorsqu'il est ajouté pour la première fois dans un répertoire d'exportation,
puis chaque fois qu'une modification est enregistrée sur le serveur d'exportation.
Vous pouvez même dupliquer des répertoires sur des ordinateurs appartenant à des domaines
différents. Les serveurs d'exportation peuvent exporter vers des noms de domaine, et les
ordinateurs d'importation peuvent importer à partir de ces noms. C'est un moyen pratique de
configurer la réplication de répertoires pour de nombreux ordinateurs. Pour les opérations
d'exportation et d'importation, les ordinateurs concernés doivent juste spécifier quelques noms de
domaine, au lieu d'une longue liste de noms d'ordinateurs.
- 104 -
ESAT/DMSI/SYS Administration Windows NT Serveur
contient tous les répertoires et sous-répertoires dans lesquels se trouvent les fichiers à dupliquer.
Lorsque des modifications sont enregistrées dans ces fichiers, les nouveaux fichiers remplacent
automatiquement les fichiers existants, sur tous les ordinateurs d'importation.
Vous pouvez également spécifier que le serveur d'exportation transmette immédiatement les
modifications apportées aux fichiers ou, pour éviter d'exporter des arborescences partiellement
modifiées, qu'il attende qu'un sous-répertoire d'exportation soit stable pendant deux minutes
avant de procéder à l'exportation.
Par ailleurs, vous pouvez, le cas échéant, verrouiller un répertoire d'importation ou d'exportation.
Les modifications d'un répertoire verrouillé ne seront exportées ou importées que si celui-ci est au
préalable déverrouillé.
Sur le serveur d'exportation, vous pouvez également préciser quels ordinateurs ou domaines
recevront les copies dupliquées des répertoires exportés par ce serveur.
C:\%SystemRoot%\System32\Repl\Export
Tous les répertoires à dupliquer sont exportés sous forme de sous-répertoires créés dans le
chemin d'exportation. Ces sous-répertoires ainsi que les fichiers placés dans ceux-ci sont
automatiquement exportés. Les serveurs d'exportation peuvent dupliquer un nombre illimité de
sous-répertoires (en fonction de la mémoire disponible), chaque sous-répertoire exporté pouvant
avoir au maximum 32 niveaux de sous-répertoires dans son arborescence.
C:\%SystemRoot%\System32\Repl\Import.
Les sous-répertoires importés et leurs fichiers sont automatiquement placés à cet endroit. Vous
n'avez pas besoin de créer les sous-répertoires d'importation, ils le sont automatiquement lors de
la duplication.
Un réseau peut avoir plusieurs serveurs d'exportation. En règle générale, pour assurer l'intégrité
des informations dupliquées, les sous-répertoires dupliqués ne sont pas exportés. Chaque sous-
répertoire d'exportation maître est souvent mis à jour et exporté par un seul serveur d'exportation.
Il est possible de configurer plusieurs serveurs exportant le même sous-répertoire, mais les
fichiers exportés dans ces sous-répertoires maîtres multiples peuvent ne pas être identiques.
Dans le Gestionnaire des utilisateurs pour les domaines, créez un compte d'utilisateur
du domaine pour le service Duplicateur de répertoires, qui sera utilisé pour l'ouverture de
session. Assurez-vous que la case à cocher Le mot de passe n'expire jamais est activée
pour ce compte d'utilisateur, que tous les horaires d'ouverture de session sont autorisés, et
que le compte appartient bien aux groupes Opérateurs de sauvegarde du domaine et
Duplicateur.
- 105 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Après la création du compte d'utilisateur pour chaque ordinateur qui sera configuré
comme serveur d'exportation ou ordinateur d'importation, utilisez l'icône Service du panneau
de configuration pour paramétrer le service Duplicateur de répertoires afin qu'il démarre
automatiquement et ouvre une session à l'aide de ce compte d'utilisateur. Assurez-vous que le
mot de passe correspondant à ce compte d'utilisateur est tapé correctement.
Avant de configurer un serveur d'exportation, vous devez effectuer les tâches suivantes sur le
serveur d'exportation :
- 106 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Créez les répertoires à exporter. Il doit s'agir de sous-répertoires placés dans le chemin
d'exportation de duplication (en général, C:\%SystemRoot%\ System32\Repl\Export).
Remarque :
Seul les sous dossiers se trouvant dans le répertoire Export et leur contenu seront dupliqués.
Lorsque, dans la boîte de dialogue Duplication de répertoires, vous cliquez sur le bouton
Gérer, sous Exporter les répertoires, vous pouvez gérer certaines fonctionnalités liées à la
duplication des sous-répertoires par le serveur d'exportation.
Vous pouvez verrouiller un sous-répertoire pour empêcher qu'il soit exporté vers n'importe
quel ordinateur d'importation. Par exemple, si vous savez qu'un répertoire recevra une
série de modifications que vous ne voulez pas dupliquer partiellement, vous pouvez
placer un ou plusieurs verrous sur le sous-répertoire, dans le chemin d'exportation. Ce
sous-répertoire ne sera pas dupliqué avant que vous n'ayez supprimé le ou les verrous.
La date et l'heure de verrouillage sont affichées afin que vous sachiez depuis combien de
temps un verrou est actif.
- 107 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 108 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Conseil Vous pouvez configurer un serveur pour qu'il duplique une arborescence de son
répertoire d'exportation vers son répertoire d'importation. Cette duplication peut servir de
sauvegarde locale des fichiers. Vous pouvez également utiliser la version importée de ces
fichiers comme autre source d'accès pour les utilisateurs, tout en conservant la version
d'exportation de ces fichiers comme source principale.
Vous pouvez utiliser des verrous pour empêcher les importations vers des sous-répertoires d'un
ordinateur d'importation. L'importation d'un sous-répertoire verrouillé vers un tel ordinateur est
impossible tant que le verrou est en place. Le verrouillage d'un sous-répertoire sur un ordinateur
d'importation affecte uniquement la duplication vers cet ordinateur et ne concerne pas les autres
ordinateurs d'importation.
Vous pouvez gérer les verrous placés sur les sous-répertoires et également afficher l'état de
chaque sous-répertoire en cliquant sur le bouton Gérer, sous Importer les répertoires, dans la
boîte de dialogue Duplication de répertoires.
OK indique que le sous-répertoire reçoit régulièrement des mises à jour provenant d'un
serveur d'exportation et que les données importées sont identiques à celles exportées.
Sans maître indique que le sous-répertoire ne reçoit pas de mises à jour. Il est possible
que le serveur d'exportation soit arrêté, ou qu'il soit verrouillé.
Pas de synchronisation indique que bien que le sous-répertoire ait reçu des mises à
jour, les données ne sont pas à jour. Cette situation peut être due à une défaillance de
communication, à des fichiers ouverts sur l'ordinateur d'importation ou le serveur
d'exploitation, à l'interdiction pour l'ordinateur d'importation d'accéder au serveur
d'exportation ou à un mauvais fonctionnement du serveur d'exportation.
Aucune entrée (vide) indique qu'il n'y a jamais eu de duplication pour ce sous-répertoire.
Il est possible que la duplication ne soit pas convenablement configurée pour cet
ordinateur d'importation et/ou pour le serveur d'exportation.
La colonne Dernière mise à jour indique la date et l'heure de la dernière modification apportée
au sous-répertoire d'importation ou à l'un de ses sous-répertoires.
- 109 -
ESAT/DMSI/SYS Administration Windows NT Serveur
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Replicator\Param
eters
Les valeurs suivante permet d'accéder à des réglages non disponible dans les applets
graphiques.
GuardTime REG_DWORD
Définit le nombre de minutes où le répertoire d'exportation doit être stable (pas de changement
dans le contenu des fichiers) avant la duplication.
Interval REG_DWORD
Définit la fréquence de contrôle par un serveur d'exportation des modifications effectuées dans
les répertoires dupliqués.
Remarque :
Vous n'est pas obligé d'utiliser le service de duplication pour copier des fichiers d'un serveur à un
autre. Vous pouvez très bien utiliser des connections aux partages administratifs de vos
machines.
- 110 -
ESAT/DMSI/SYS Administration Windows NT Serveur
12STRATÉGIE SYSTÈME
Sur les ordinateurs Windows NT Workstation ou Windows NT Server, le contenu du profil
d'utilisateur est issu de la partie utilisateur du Registre Windows NT. Une autre partie du Registre,
relative à l'ordinateur local, contient les paramètres de configuration, ainsi que les profils
d'utilisateur, qui peuvent être gérés à l'aide de l'Editeur de stratégie système. Cet outil vous
permet de créer une stratégie système pour contrôler les environnements de travail et les actions
de l'utilisateur, et d'appliquer la configuration système à tous les ordinateurs Windows NT
Workstation et Windows NT Server.
La stratégie système vous permet de contrôler certains aspects des environnements de travail de
l'utilisateur sans appliquer les restrictions d'un profil d'utilisateur obligatoire.
Vous pouvez limiter les actions que les utilisateurs peuvent effectuer à partir du bureau, par
exemple en limitant certaines options du Panneau de configuration, en personnalisant certaines
parties du bureau ou en configurant des paramètres de réseau.
Les paramètres du bureau définis pour Utilisateur par défaut dans l'Éditeur de stratégie
système modifient la clé HKEY_CURRENT_USER du Registre, qui définit le contenu du profil
d'utilisateur en vigueur pour l'ordinateur (fichier ntuser.dat ).
Les paramètres d'ouverture de session et d'accès réseau définis par Ordinateur par défaut dans
l'Éditeur de stratégie système modifient la clé HKEY_LOCAL_MACHINE du Registre.
L'Éditeur de stratégie système crée un fichier appelé Ntconfig.pol, qui contient des paramètres
pour les utilisateurs (profils d'utilisateur) et les ordinateurs.
Remarque :
La stratégie système contrôle les paramètres du profil d'utilisateur pour l'ensemble du domaine.
Des exemples de stratégie système sont connus sous %SystemRoot%\inf. Ces fichiers modèle
sont installés automatiquement.
- 111 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les fichiers de stratégie système créés sur des ordinateurs Windows NT ne peuvent pas être
utilisés sur des ordinateurs Windows 95, et vice versa.
2. Pour spécifier les ordinateurs auxquels s'appliqueront vos modifications des paramètres
du Registre, vous pouvez effectuer les opérations suivantes :
Double-cliquez sur l'icône Utilisateur par défaut ( ) afin de modifier les
paramètres du Registre définis pour HKEY_CURRENT_USER pour tous les
ordinateurs du domaine.
- 112 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques :
Les fichiers de stratégies système devront être présent sur tous les contrôleurs du domaine. Si
un utilisateur ouvre une session dans son domaine et se fait authentifier par un contrôleur de
domaine ne possédant pas le fichier de stratégie système celui-ci ne sera pas chargé.
Lorsque vous cliquez sur l'icône Ordinateur par défaut, soit sur l'icône Utilisateur par défaut,
une représentation graphique des catégories de la partie associée du Registre s'affiche.
Outre la nature activée / désactivée habituelle des cases à cocher, celles de l'Editeur de
stratégie système disposent d'un troisième paramètre, qui est l'état estompé. Ce paramètre sert
à indiquer que la valeur précédente du paramètre dans le Registre reste inchangée.
- 113 -
ESAT/DMSI/SYS Administration Windows NT Serveur
L'option Utilisateur par défaut vous permet de contrôler les paramètres du profil d'utilisateur.
Panneau de configuration
Interface
Système
- 114 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Système Windows NT
L'option Ordinateur par défaut vous permet de contrôler les paramètres d'ouverture de session
et d'accès réseau pour les ordinateurs.
Accès distant Windows NT Lors de l'utilisation d'un serveur d'accès distant, vous pouvez
définir un nombre et un délai maximaux pour les nouvelles
tentatives consécutives à un échec d'authentification.
Vous pouvez utiliser la commande Ouvrir le Registre du menu Fichier de l'Editeur de stratégie
système pour modifier les paramètres du Registre Windows NT sur l'ordinateur local.
1. Dans le menu Fichier, cliquez sur Ouvrir le registre.
- 115 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. Double-cliquez sur l'icône Utilisateur par défaut pour modifier les paramètres de
Registre définis pour HKEY_CURRENT_USER.
3. Double-cliquez sur l'icône Ordinateur par défaut pour modifier les paramètres de
Registre définis pour HKEY_LOCAL_MACHINE.
4. Dans le menu Fichier, cliquez sur Enregistrer.
5. Dans le menu Fichier, cliquez sur Fermer.
Remarque
La stratégie d'ordinateur est appliquée lorsque l'utilisateur ouvre une session. Cette stratégie est
issue du domaine d'ouverture de session de l'utilisateur, et non du domaine de l'ordinateur. Cela
peut générer certains problèmes lorsque des utilisateurs ouvrent des sessions sur différents
domaines et que tous les domaines n'utilisent pas la stratégie système.
Par exemple:
Monsieur X a un compte d'utilisateur sur le domaine DOM1 et se rend sur le site DOM2. Lorsqu'il
ouvre une session sur un ordinateur du domaine DOM2, elle est validée par un serveur
d'ouverture de session du domaine DOM1. Si Monsieur Y, qui a un compte d'utilisateur sur le
domaine DOM2, ouvre une session lorsque Monsieur X a fermé sa session et que le domaine
DOM2 n'utilise pas la stratégie système, le profil d'ordinateur du domaine DOM1 n'est pas
remplacé et reste actif. Pour remédier à ce problème, mettez en oeuvre la stratégie système sur
tous les domaines ou utilisez le mode de mise à jour manuel pour charger une stratégie
spécifique sur les ordinateurs concernés.
- 116 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le mode de mise à jour manuelle garantit que la stratégie système est toujours copiée à partir
d'un serveur spécifique, quelle que soit la personne qui ouvre une session. Lorsque vous pouvez
faire passer le mode de mise à jour à distance d'automatique à manuelle du fichier de stratégie
système, vous spécifiez un autre chemin que le dossier Netlogon sur les Contrôleurs de
domaine. Cette solution peut être adoptée pour des contraintes de débit du réseau par exemple.
Pour utiliser cette fonctionnalité, vous devez recourir à l'Editeur de stratégie système sur des
ordinateurs individuels afin de modifier le chemin de mise à jour. ( copier les fichiers qui compose
l'éditeur de stratégie. A savoir le fichier Poledit.exe sous %SystemRoot% et les fichiers
Winnt.adm, Windows.adm, Common.adm sous %SystemRoot%\inf.
Pour que les clients reçoivent les mises à jour de stratégies à partir de serveurs autres que les
contrôleurs
1 Sur l'ordinateur individuel, cliquez dans le menu Fichier sur Ouvrir le Registre.
Ou, dans le menu Fichier, cliquez sur Connecter, puis spécifiez le nom d'un ordinateur.
2 Double-cliquez sur l'icône Ordinateur par défaut.
3 Cliquez sur le signe plus en regard de Réseau.
- 117 -
ESAT/DMSI/SYS Administration Windows NT Serveur
4 Cliquez sur le signe plus en regard de Mise à jour des stratégies système, puis cliquez
sur Mise à jour à distance.
5 Pour que des messages d'erreur de traitement du Registre s'affichent sur les ordinateurs
client, activez la case à cocher Afficher les messages d'erreur.
6 Pour télécharger le fichier de stratégie à partir d'un serveur autre que les contrôleurs de
domaine, cliquez dans la zone Mode de mise à jour sur Manuelle (Utiliser un chemin
spécifique), puis indiquez le chemin spécifique. Ce chemin peut être un chemin réseau ou
un chemin local.
7 Si nécessaire, finissez de configurer les paramètres de stratégie pour tous les autres
fichiers de stratégie de l'ordinateur, puis enregistrez les fichiers de stratégie dans le
dossier approprié.
Assurez-vous que le fichier de stratégie porte l'extension .pol.
Remarque
Vous ne pouvez accéder au Registre que sur des ordinateurs pour lesquels vous disposez de
permissions d'administrateur.
- 118 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lorsque l’on verrouille la touche Caps-Lock cela verrouille les Majuscules. Pour
déverrouiller les Majuscules, il est nécessaire de ré appuyer sur Caps-Lock.
Solution :
- Installer d’abord le Service Pack 4, si vous n’avez que le Service Pack 4 alors
télécharger un hotfix à cette adresse :
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/frn/nt40/hotfixes-ostSP3/getadmin-fix/
CLASS MACHINE
CATEGORY !!Cla
POLICY !!Caplock
KEYNAME"System\Currentcontrolset\Control\Keyboard
Layouts\0000040C"
VALUENAME "Attributes"
PART !!cltip1 TEXT END PART
PART !!cltip2 TEXT END PART
VALUEON NUMERIC 65536
END POLICY
END CATEGORY ; Cla
[Strings]
cltip1="Permet à NT de retrouver un fonctionnement normal"
cltip2="de la touche Caps Lock"
Cla="Clavier"
Caplock="CAPS LOCK"
Attention :
La valeur 0x10000 ne peut être passée directement. En effet, si l’on crée une ligne VALUEON
10000, c’est une valeur de type REG_SZ qui est crée. Il faut donc passer par l’équivalent décimal
de 0x10000.
1. Le fichier ADM doit être ouvert avec l'éditeur de stratégie système par Options / Exemple de
stratégie.
- 119 -
ESAT/DMSI/SYS Administration Windows NT Serveur
…avant d’ouvrir le fichier NTconfig.POL pour que les nouvelles rubriques apparaissent :
2. Validez cette option dans une machine donnée ou dans le « Default Computer » puis
enregistrer sous le Ntconfig.pol du serveur pour que la modification apparaisse sur les
machines concernées.
Remarque :
- 120 -
ESAT/DMSI/SYS Administration Windows NT Serveur
13ADMINISTRATEUR DE DISQUES
L’Administrateur de disque est un outil graphique permettant d’organiser et de gérer les disques
sur votre ordinateur. Vous pouvez l’utiliser pour effectuer de nombreuses tâches, dont :
Créer et supprimer des partitions sur un disque dur et des lecteurs logiques dans une
partition étendue.
Formater des volumes et leur affecter un nom.
Lire des informations d'état sur les disques, par exemple les tailles des partitions et
l'espace libre disponible pour créer d'autres partitions.
Lire des informations d'état sur les volumes Windows NT, par exemple la lettre de lecteur,
le nom, le type de système de fichiers et la taille du volume.
Réaliser et modifier les affectations de lettre de lecteur aux volumes de disque dur et aux
lecteurs de CD-ROM.
Créer et supprimer des agrégats de partitions.
Étendre des volumes et des agrégats de partitions.
Créer et supprimer des agrégats par bandes avec ou sans parité.
Régénérer un membre manquant ou incorrect d'un agrégat par bandes avec parité.
Établir ou rompre des disques miroir.
- 121 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La première fois que vous utilisez l’Administrateur de disque, une boîte, de dialogue s’affiche
pour vous demander si vous voulez apposer une signature sur le disque principal ; choisissez
Oui pour avoir accès à l’administrateur.
Vous pouvez afficher les disques dans l’Administrateur de disques, en utilisant l’aperçu de
volumes, l’affichage de disques ou en détail à travers l’affichage des Propriétés.
Pour passer d’un mode d’affichage à un autre, vous pouvez utiliser les boutons :
Affichage de volume.
Affichage de disque.
Vous pouvez également passer par les commandes Volume ou Configuration du disque du
menu Aperçu. L’affichage des Propriétés du disque peut aussi se faire par la commande
Propriété du menu Outil, ou simplement en positionnant le curseur de la souri sur un volume et
en utilisant le clic droit.
Vous pouvez créer sur un disque une partition principale en suivant les étapes suivantes :
2. Si l'espace que vous sélectionnez n'est pas la première partition principale créée sur le
disque, cliquez sur Oui en réponse au message qui apparaît pour vous demander de
confirmer la création d'une autre partition principale, devenue nécessaire parce que la
partition du disque ne peut pas être reconnue par MS-DOS.
4. Dans la zone Créer une partition de, tapez la taille de la partition principale que vous
voulez créer, puis cliquez sur OK.
Une lettre de lecteur est attribuée à la nouvelle partition principale, qui n'est pas encore formatée.
- 122 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Votre nouvelle partition a été créée mais ne peut être utilisée car elle n’est pas formatée. Les
modifications que vous avez effectuées ne seront pas enregistrées tant que vous n'aurez pas
cliqué sur Appliquer les changements maintenant ou quitté l'Administrateur de disques.
- 123 -
ESAT/DMSI/SYS Administration Windows NT Serveur
remarque :
Repérer une partition étendue d’un espace libre n’est pas évident pour tout le monde. En effet
Microsoft pour facilité la représentation de ces deux entités a choisi de figurer un espace libre
avec des hachures inclinées à droite et une partition étendue avec des hachures inclinées à
gauche.
Remarque :
Les modifications que vous avez effectuées ne seront pas enregistrées tant que vous n'aurez pas
cliqué sur Appliquer les changements maintenant ou quitté l'Administrateur de disques.
De la même manière que vous formatez une disquette, vous devez formater chaque partition ou
lecteur logique avant de l’utiliser. Vous devez indiquer le système de fichiers à utiliser pour
chaque partition, ainsi qu’éventuellement un nom décrivant ce qu’elle contient.
- 124 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Cliquez sur OK. Une boîte de confirmation s’affiche, cliquez sur Oui pour formater la partition.
En FAT16 la taille par défaut du cluster est déterminée par la taille du volume et peut aller jusqu'à
64 Ko. La taille du cluster doit être une puissance de 2 comprise entre 512 et 65 536 octets. Le
tableau suivant donne la taille des clusters par défaut pour les volumes FAT16. Vous pouvez
définir une taille de cluster différente si vous formatez le volume avec la commande FORMAT à
partir de la ligne de commande cependant la taille que vous choisissez doit figurer dans le
tableau.
Taille du volume (en Mo) Secteurs par clusters Taille du clusters (en Ko)
0 – 32 1 0.512
- 125 -
ESAT/DMSI/SYS Administration Windows NT Serveur
33 – 64 2 1
65 – 128 4 2
129 – 255 8 4
256 – 511 16 8
512 – 1 023 32 16
1 024 – 2 047 64 32
2 048 – 4 095 128 64
La FAT16 n'est pas recommandée pour les volumes supérieurs à 511 Mo, car quand des fichiers
relativement petits sont créés sur un volume FAT16, la FAT utilise l'espace disque de manière
inefficace. Vous ne pouvez pas utiliser la FAT16 sur des volumes supérieurs à 4 Go, quel que
soit la taille des clusters.
Tout comme le système de fichier FAT, NTFS se sert des clusters comme unité d'allocation de
disque. Dans l'applet de Formatage vous pouvez spécifier une taille de clusters jusqu'à 4 Ko. Si
vous passez par la commande FORMAT sans spécifier une taille d'unité d'allocation en utilisant
le commutateur /a :<taille>, vous obtiendrez les valeurs par défaut apparaissant dans le tableau
suivant.
Taille du volume (en Mo) Secteurs par clusters Taille du clusters (en octets)
Inférieure ou égale à 512 1 512
513 – 1 024 2 1 024
1 025 – 2 048 4 2 048
Supérieure à 2 049 8 4 096
Remarque :
Windows NT 4.0 prend en charge la compression des fichiers. Dans la mesure où la compression
des fichiers n'est pas prise en charge sur les clusters dont la taille est supérieure à 4 Ko la taille
par défaut des clusters ne dépasse jamais 4 Ko.
Vous pouvez affecter de nouvelles lettres de lecteurs aux partitions ou lecteurs logiques. Les
lettres A et B sont affectées aux lecteurs de disquettes ; C est généralement la partition système
active. Les autres lecteurs, partitions et lecteurs logiques peuvent être affectés à des lettres
restantes de l’alphabet. Vous pouvez créer des partitions sans leur affecter de lettre.
Pour changer la lettre d’un volume, suivez ces étapes :
- 126 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans la fenêtre Affectation d’une lettre de lecteur, sélectionnez une lettre dans la liste.
Sélectionnez la partition ou le lecteur logique que vous voulez modifier. Lancez la fenêtre
Propriétés. Puis tapez le nouveau nom dans Nom de volume.
- 127 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous pouvez supprimer une partition à l’aide de l’administrateur de disques. Lorsque vous
effacez une partition, l’espace qu’elle occupait est transformée en espace libre. Vous pouvez
ensuite y créer une nouvelle partition et la formater avant de l’utiliser.
Windows NT ne vous autorisera pas à effacer une partition, un volume où se trouvent des objets
que le système ou vous-même être en train de manipuler.
Un agrégat de partitions peut rassembler jusqu'à 32 zones d’espace libre, à partir d’un disque
physique unique ou de multiples disques physiques, et en une seule partition logique. Windows
NT affecte une lettre de lecteur unique à l’agrégat de partition qui est considéré par le système et
les applications comme un seul lecteur logique. Il n’y a pas de conditions requise quant au type
de contrôleur ; l’espace libre peut être combiné à partir de disques IDE, ESDI, EIDE et SCSI, et
l’agrégat qui en résulte pourra être formaté FAT ou NTFS .
- 128 -
ESAT/DMSI/SYS Administration Windows NT Serveur
1. Dans l’Administrateur de disques sélectionnez deux ou plusieurs zones d’espace libre sur
des disques durs disponibles, en choisissant la première zone, en appuyant sur Ctrl, et en
choisissant les suivantes (jusqu'à 32 disques peuvent être utilisés).
3. Sélectionnez la taille de votre partition (Si vous choisissez d’utiliser moins d’espace libre que
disponible, l’espace restant est également divisé entre les zones choisies).
Vous pouvez ajouter de l’espace libre à une partition NTFS existante (sauf la partition système)
ou à un agrégat de partitions existant formaté en NTFS.
1. Sélectionnez l’agrégat de partitions existant ou le volume actuel, ainsi que l’espace libre que
vous voulez ajouter.
- 129 -
ESAT/DMSI/SYS Administration Windows NT Serveur
3. Cliquez sur OK. Le système redémarre pour formater en NTFS l’espace libre ajouté a la
partition existante (le système réalise un AUTOCHK du volume puis un CHKDSK , et fait un
formatage classique de la partition).
Vous pouvez effacer un agrégat de partition afin que l’espace redevienne libre. Soyez certain de
sauvegarder toutes les données que vous voulez conserver avant de supprimer un agrégat de
partitions.
- 130 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Bien que dans un système à tolérance de pannes, les données soient toujours disponibles et à
jour, il demeure nécessaire d'effectuer des sauvegardes sur bandes, afin de protéger les
informations enregistrées sur votre sous-système de disque contre des événements destructeurs
tels que le feu, les séismes, les tornades, les inondations et les erreurs des utilisateurs. La
tolérance de pannes à l'aide de disques ne permet pas de s'affranchir totalement d'une stratégie
de sauvegarde avec stockage hors site.
La tolérance de pannes a pour objectif de répondre à des problèmes liés aux défaillances des
disques, aux pannes de courant ou à l'endommagement des systèmes d'exploitation, que ce
dernier concerne les fichiers d'amorçage, le système d'exploitation lui-même ou des fichiers
système.
Les stratégies RAID peuvent être mises en œuvre au moyen de solutions logicielles ou
matérielles. Dans le cas d'une solution matérielle, l'interface du contrôleur gère la création et la
régénération d'informations redondantes. Sous Windows NT Server, cette opération peut être
effectuée au niveau du logiciel. Du point de vue des performances, la mise en œuvre matérielle
d'une stratégie RAID peut présenter des avantages par rapport à la mise en œuvre logicielle
incluse dans Windows NT Server.
Il existe plusieurs niveaux de systèmes RAID. Voici les principaux d’entre eux :
- 131 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Comme dans le niveau 0, les données sont réparties sur plusieurs disques
durs. En outre, on enregistre sur un disque spécifique des sommes de contrôle
des données écrites. Ce mécanisme permet de corriger des erreurs sur le
2
disque dur. L’inconvénient en est le temps de calcul des sommes de contrôle
et donc de la dégradation des performances des E/S. On rencontre peut
souvent ce niveau dans la pratique.
Comme avec le niveau 0, les données sont gérées en parallèle sur plusieurs
disques. Mais ici on trouve un disque de parité pour deux (ou quatre) disques.
Le disque de parité contient une somme de contrôle réalisée à l’aide d’un ou
3
logique exclusif (XOR). Si un disque dur tombe en panne, la somme de
contrôle permet de reconstruire les données. Contrairement au RAID 1, le
RAID 3 apporte une bonne protection des données. Pour un coût minime.
Contrairement au RAID 3, les données ici ne sont pas éclatées sur plusieurs
4 disques, mais écrites en continu sur un disque. Cette méthode est
avantageuse, par rapport au RAID 3, pour les petits blocs de données.
Certains constructeurs proposent des niveaux qui leur sont propres et qui en général sont une
combinaison des niveaux officiels.
Windows NT permet de réaliser des fonctionnalités RAID au niveau logiciel. Dans le gestionnaire
des E/S, on peut combiner logiquement les disques et faire gérer la coordination des blocs de
données par le système lui-même. L’inconvénient de cette approche est que le ou les
- 132 -
ESAT/DMSI/SYS Administration Windows NT Serveur
processeurs doivent prendre en charge les calculs requis, ce qui dégrade leurs performances.
Les solutions matérielles sont plus onéreuses mais apportent de meilleures performances.
L’approche logicielle du RAID ne convient pas aux serveurs. Mais elle peut aller pour des stations
ayant certaines exigences en matière de protection des données. Ici la dégradation des temps
d’accès en écriture n’est pas dramatique, les supports étant bien moins sollicités qu’avec les
serveurs.
Pour les serveurs on optera pour des solutions matérielles. Certes les contrôleurs RAID sont plus
chers, mais ils apportent de meilleures performances et des fonctionnalités optimales de sécurité.
Le gros avantage du RAID matériel, c’est que le processeur intégré à l’équipement RAID diminue
la charge du processeur principal. Maint contrôleurs RAID apportent encore d’autres
fonctionnalités, par exemple :
Cache spécifique
Pour augmenter le traitement des requêtes de lecture-écriture.
Hot-plugging
Le contrôleur autorise l’ajout de disques à chaud.
Hot-spare drive
Un hot-spare drive est un disque qui prend le relais d’un disque défectueux dès que le contrôleur
détecte l’anomalie. En principe, ce mécanisme permet de reconstruire automatiquement la
redondance.
Divers
Certains contrôleurs apportent des utilitaires qui permettent de surveiller, depuis le serveur ou
depuis une station, l’ensemble des disques RAID. On peut ainsi, à tout moment, connaître l’état
des disques et des liaisons RAID, ce qui permet de prévenir des situations critiques.
Les agrégats par bandes de niveau 0 n'offrent aucune fonctionnalité de tolérance de pannes.
Sous Windows NT, les agrégats par bandes écrivent les données sur plusieurs partitions, comme
dans le cas des agrégats de partitions. Cependant, à la différence de ces derniers, l'écriture des
- 133 -
ESAT/DMSI/SYS Administration Windows NT Serveur
fichiers est effectuée sur tous les disques, de sorte que les données sont ajoutées sur chaque
disque de l'agrégat à la même vitesse.
De toutes les stratégies de gestion de disque sous Windows NT Server, y compris les agrégats
de partitions, les agrégats par bandes offrent les meilleures performances. Cependant, à l'instar
des agrégats de partitions, les agrégats par bandes n'offrent aucune fonctionnalité de
tolérance de pannes. Si l'une des partitions de l'agrégat est défaillante, toutes les données sont
perdues.
Créez un agrégat par bande pour augmenter le rendement de vos lecteurs de disques.
L’Administrateur de disques détermine la taille des zones d’espace libre et la divise pour que
chaque zone ait la même taille.
Remarque :
Vous devez disposer de disques de même type EIDE ou SCSI. Il est impossible de réaliser
des agrégats par bande avec des disque IDE
Remarque :
Les systèmes d'exploitation qui ne comportent pas de fonctionnalité d'agrégat par bandes, tels
que MS-DOS, ne peuvent pas reconnaître les agrégats par bandes créés par Windows NT. Par
conséquent, si vous créez un agrégat par bandes sur un ordinateur à amorçage double, les
partitions considérées seront inutilisables pour MS-DOS.
Vous pouvez supprimer un agrégat par bandes dans l’administrateur de disques. Cependant,
assurez-vous de faire des sauvegardes de toutes les données stockées avant de supprimer le
volume.
Pour supprimer un agrégat par bandes, suivez ces étapes :
- 134 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les jeux de disques en miroir permettent de protéger une partition contre les défaillances de
support, et éventuellement de contrôleur, en maintenant à jour une copie totalement redondante
des données de cette partition sur un autre disque. Quand une partition mise en miroir est
défaillante, vous devez rompre le jeu de disques en miroir pour établir la partition restante en tant
que volume distinct, disposant de sa propre lettre de lecteur. Ce volume devient alors la partition
principale et vous pouvez établir une nouvelle relation de miroir en utilisant de l'espace libre
inutilisé de même taille, ou plus grand, situé sur un autre disque.
Les jeux de disques en miroir sont créés par duplication d'une partition en utilisant de l'espace
libre situé sur un autre disque. Si la deuxième partition est plus grande, l'espace restant devient
de l'espace libre. La même lettre de lecteur est utilisée pour les deux partitions. Toute partition
existante, y compris les partitions d'amorçage et système, peut être mise en miroir sur une autre
partition de même taille, ou plus grande, située sur un autre disque desservi par le même
contrôleur, ou un contrôleur différent. Pour créer des jeux de disques en miroir, il est préférable
d'employer des disques identiques en termes de taille, de modèle et de constructeur.
Les jeux de disques en miroir réduisent les risques d'erreur irrécupérable, en garantissant
l'existence d'un jeu de données en double, ce qui multiplie par deux le nombre de disques requis
et les entrées/sorties (E/S) effectuées lors des opérations d'écriture sur le disque. En revanche,
certains gains de performances sont réalisés pour la lecture des données du fait de la répartition
de la charge des demandes d'E/S sur les deux partitions.
- 135 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Si vous voulez employer l'espace d'un jeu de disques en miroir pour d'autres usages, vous devez
d'abord rompre le jeu de disques en miroir, puis supprimer la partition considérée. Ce faisant, les
informations stockées sur les partitions concernées ne sont pas supprimées, mais il est tout de
même plus prudent d'effectuer, au préalable, une sauvegarde de ces données. Vous pouvez
alors supprimer l'une des partitions qui constituaient le jeu de disques en miroir, pour libérer de
l'espace.
Toute partition, y compris les partitions d’amorçage et système peuvent être mises en miroir.
Par le passé, la mise en miroir était l’une des solutions les plus chères de protection contre la
défaillance disque. Cependant, puisqu’un miroir ne demande que deux disques durs pour
l’implémentation et qu’on obtient de bonnes réductions globales lors de l’achat de disques par
quantité, cette méthode est maintenant une alternative effective aux autres formes de tolérance
de pannes.
La création d’un miroir par l’administrateur de disques s’effectue selon les étapes suivantes :
1. Sélectionnez au moins deux zones d’espace libre sur des disques différents.
2. Choisissez Tolérance de pannes, Mettre en miroir.
L’Administrateur de disques peut alors créer des espaces de taille égale sur les deux disques et
leur affecter une lettre de lecteur.
Remarque :
- 136 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lorsqu’une partition d’un ensemble de disques a une défaillance, elle devient orpheline. Pour
maintenir le service jusqu’à ce que le miroir soit réparé, le mécanisme de tolérance de pannes
dirige toutes requêtes d’Entrées/Sorties vers la partition qui se porte bien. Si la partition
d’amorçage et/ou la partition système sont impliquées, un disque d’amorçage à tolérance de
pannes est requis pour redémarrer le système. La création d’un tel disque se fait selon les étapes
suivantes :
3. Modifiez le fichier BOOT.INI afin qu’il pointe vers la copie miroir de la partition d’amorçage.
Après le rétablissement du miroir en tant que partition primaire, une nouvelle relation peut être
formée en sélectionnant de l’espace libre supplémentaire et en redémarrant le processus de
création d’un ensemble miroir.
A la différence des autres niveaux, le niveau 5 écrit les informations de parité sur tous les
disques. La redondance des données est assurée par ces informations de parité. Les données et
les informations de parité sont disposées sur l'ensemble de disques de sorte qu'elles soient
toujours situées sur des disques différents.
- 137 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les agrégats par bandes avec parité présentent de meilleures performances de lecture que les
jeux de disques en miroir. Cependant, si l'un des membres de l'agrégat est manquant (en cas de
défaillance d'un des disques, par exemple), les performances de lecture se dégradent en raison
de la nécessité de récupérer les données avec les informations de parité.
Néanmoins, cette stratégie est préférable aux jeux de disques en miroir dans le cas d'applications
nécessitant une redondance des données et utilisées principalement pour des opérations de
lecture. Les performances d'écriture sont réduites par le calcul de parité.
En outre, du fait de ce calcul, une opération d'écriture requiert dans des conditions d'utilisation
normales trois fois plus d'espace mémoire qu'une opération de lecture et la lecture nécessite au
moins trois fois plus de mémoire qu'habituellement si l'une des partitions est défaillante.
La méthode de redondance des données employée sous Windows NT Server pour créer des
agrégats par bandes avec parité est une fonction de l'opération booléenne OU exclusif,
également appelée XOR. Le concept essentiel à retenir au sujet de la parité est le suivant :
la procédure de régénération utilise les informations de parité et les données enregistrées sur les
disques en bon état pour récréer les données stockées sur le disque défaillant. Le type de
tolérance de pannes offert par les agrégats par bandes avec parité sous Windows NT Server
permet de maintenir une « version XOR » de l'ensemble des données. Cette méthode offre la
possibilité de reconstruire les données manquantes (sur un secteur ou un disque défectueux) à
partir des autres disques de l'agrégat par bandes avec parité.
Remarque :
Les agrégats par bandes avec parité requièrent plus de mémoire système que les jeux de
disques en miroir. La quantité de mémoire vive recommandée est au minimum de 16 Mo.
Les agrégats par bandes avec parité incluent une bande de parité par ligne. Par conséquent, au
moins trois disques, au lieu de deux, doivent être utilisés pour permettre l'enregistrement
des informations de parité. Comme l'indique la figure suivante, les bandes de parité sont
réparties sur toutes les partitions afin d'équilibrer la charge d'E/S. La protection des données
assurée par cette méthode est aussi fiable que celle offerte par la mise en miroir et assure la
redondance des données à un coût correspondant à seulement un disque supplémentaire pour
l'agrégat. Cependant, en cas de défaillance d'un des disques, le temps de récupération est plus
long avec cette technique qu'avec l'utilisation de jeux de disques en miroir.
La figure suivante présente un ensemble de six disques durs et la manière dont les bandes de
parité sont réparties sur les différentes partitions.
- 138 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Si vous voulez récupérer à d'autres fins l'espace utilisé par un agrégat par bandes avec parité,
vous devez d'abord sauvegarder les données qu'il contient si vous souhaitez les employer
ultérieurement. Vous pourrez ensuite supprimer l'agrégat par bandes.
La création d’un agrégat par bandes avec parité se fait selon les étapes suivantes :
Remarque :
Vous devez disposer de disques de même type EIDE ou SCSI. Il est impossible de réaliser
des agrégats par bande avec des disques IDE
Sélectionnez Tolérance de pannes, Création d’un agrégat par bandes avec parité.
Une boîte de dialogue indique la taille maximale et minimale possibles pour une nouvelle partition
étendue.
Dans la boîte de dialogue Création d’un agrégat par bandes avec parité, entrez la taille de la
bande et validez par OK.
L’Administrateur de disque calcule l’agrégat par bandes avec la taille totale de la parité, en
fonction du nombre de disques sélectionnés et crée un espace égale sur chaque disque. Il
combine ensuite les disques en un seul volume logique. Si vous avez sélectionné des zones
disproportionnées, l’Administrateur de disques arrondit à la valeur la plus proche.
Comme pour les autres nouveaux volumes, il faut formater l’agrégat par bandes avant de
l’utiliser. Pour formater le nouveau volume, enregistrez les modifications en sélectionnant
Partitions, Appliquer les changements maintenant ou en quittant l’Administrateur de
disques lorsque vous y êtes invité. Il faut aussi redémarrer le système avant de formater.
- 139 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques :
Du fait de l’ajout des informations de parité dans un agrégat par bande il faut trois fois plus de
mémoire.
Les systèmes d'exploitation qui ne comportent pas de fonctionnalité d'agrégat par bandes, tels
que MS-DOS, ne peuvent pas reconnaître les agrégats par bandes créés par Windows NT. Par
conséquent, si vous créez un agrégat par bandes sur un ordinateur à amorçage double, les
partitions considérées seront inutilisables pour MS-DOS.
Comme pour un ensemble de miroirs, la partition défaillante dans un agrégat par bandes avec
parité devient orpheline. Là aussi, le mécanisme de tolérance de pannes dirige les
entrées/sorties vers les partitions restantes pour la reconstruction, et pour ce faire, les données
sont stockées en RAM en utilisant les bits de parité (ce qui peut affecter les performances du
système).
La reconstruction d’un agrégat par bandes avec parité s’établit selon les étapes suivantes :
2. Sélectionnez une zone d’espace libre de taille égale ou supérieur à l’agrégat par
bandes.
- 140 -
ESAT/DMSI/SYS Administration Windows NT Serveur
14ANALYSEUR DE PERFORMANCES
L’Analyseur de performances analyse en détail les processus du système. Ce programme
permet :
D’obtenir une représentation graphique des données relatives à différents objets (UC,
mémoire, processus, services) en fonction du temps.
De déterminer la charge à partir de laquelle ces objets doivent émettre un message
d’alerte.
De créer des fichiers d’événements pour les caractéristiques de ces objets.
D’établir des rapports sur le travail de ces objets.
- 141 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Cliquez sur le bouton Expliquer pour obtenir des informations sur la source choisie.
Une fois les options réglées, l’analyseur de performances enregistre les données. Pour éviter
d’avoir à redéfinir ces mêmes options à chaque démarrage de ce programme, préservez-les avec
la commande Enregistrer les paramètres du menu Fichier (ou Enregistrer les paramètres
sous). L’analyseur de performance enregistre les paramètres dans des fichiers distincts selon
qu’il s’agit d’un graphe, d’une alerte, d’un journal ou d’un rapport. Les fichiers reçoivent les
extensions suivantes :
PMC : graphe.
PMA : alerte.
PML : journal.
PMR : rapport
Choisissez la commande Enregistrer l’espace de travail du menu Fichier pour valider en une
seule fois toutes les définitions. L’analyseur de performances crée alors un fichier d’extension
PMW.
- 142 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Passez à une fenêtre d’alerte en cliquant sur le bouton Afficher les alerte ou en choisissant
Affichage, Alerte. Pour configurer les paramètres d’alerte :
Choisissez Fichier, Nouveaux paramètres d’alerte pour voir une fenêtre d’alerte vide.
Cliquez sur le bouton Ajouter un compteur pour voir la boîte de dialogue Ajouter aux alertes.
Les choix d’Objet, de Compteur, et d’Instance sont les mêmes que ceux de la fenêtre du
graphe.
- 143 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour chaque compteur, spécifier une valeur dans la boîte Alerte si, demandant une alerte soit
lorsqu’un compteur est au-dessus de cette valeur, soit lorsqu’il est au-dessus.
Dans la boîte Lancer le programme au moment de l’alerte, précisez le nom d’un programme
ou d’un fichier de commande que vous voulez exécuter dès que les conditions d’alerte
surviennent (optionnel).
Pour voir un journal de toute activité ne respectant pas les seuils que vous avez configurés,
choisissez Affichage, Alerte pour ouvrir la fenêtre d’alerte.
Un cercle coloré à la gauche de chaque listing qui correspond à la couleur que vous avez
sélectionnée pour ce compteur.
La date et l’heure où le compteur dévie du seuil que vous fixez.
La valeur que le compteur atteint, mettant hors fonction l’alerte.
Une indication comme quoi la valeur est supérieure ou inférieure à votre seuil.
Le seuil que vous fixez.
Le nom du compteur.
L’ordinateur sur lequel ce compteur était mesuré.
Le bas de la fenêtre contient l’explication de l’alerte et vous pouvez double-cliquer sur tout
compteur pour changer la configuration.
- 144 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous pouvez cliquer sur le bouton Ajouter un compteur pour ajouter des objets et compteur
supplémentaires à cette configuration d’alerte.
Le journal peut maintenir 1 000 événements d’alerte. Une fois ce nombre atteint, le plus ancien
événement d’alerte est supprimé lorsqu’un nouvel événement est ajouté.
Créer un fichier de paramètres pour spécifier les objets sur lesquels vous voulez garder
l’œil.
Créer un fichier de paramètres pour un journal consiste simplement à spécifier les objets dont
vous voulez garder les archives :
Passez à une fenêtre de journal vide, et cliquez sur le bouton Ajouter un compteur pour voir la
boîte de dialogue Ajouter un journal.
Choisissez chaque objet que vous voulez surveiller, et cliquez sur Ajouter. Quand vous avez
choisi tous vos objets, cliquez sur Terminer.
- 145 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous devez créer le fichier journal et spécifier les conditions de collecte des informations :
Dans la boîte Nom de fichier, enregistrez un chemin et un nom de fichier pour le journal.
Si vous voulez commencer le processus aussitôt, cliquez sur Démarrer le journal. Sinon,
choisissez OK.
Quand vous voulez démarrer le journal, ouvrez la fenêtre Journal et cliquez sur le bouton Option,
puis sur Démarrer le journal. Si vous avez déjà commencé le journal, ce bouton se transforme
en Arrêter.
Un signet est un commentaire placé dans le fichier journal. Les signets ne sont disponibles que si
le journal est actif. Pour ajouter un signet au journal :
Cliquez sur le bouton Signet ou choisissez Options, Signet.
Entrez votre annotation. Cliquez sur Ajouter pour affecter le signet au fichier journal.
Remarque :
L’opération d’ajout de signet peut se faire pendant tous les types d’affichage, graphe, alerte,
journal ou rapport.
- 146 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Passez à une fenêtre de rapport en cliquant sur le bouton Afficher le rapport sur la barre des
tâches ou, en choisissant Affichage, Rapport.
A ce point, vous devez décider si vous voulez construire un rapport pour voir l’activité actuelle ou
pour voir la sortie du fichier journal créé dans la fenêtre du journal. Pour faire un choix, choisissez
Options, Données depuis.
Commencez à fixer les paramètres en cliquant sur le bouton Ajouter un compteur (ou en
choisissant Édition, Ajouter au rapport).
Choisissez un objet de la liste Objets, choisissez alors un compteur pour cet objet de la boîte de
liste Compteurs.
- 147 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le rapport apparaît dans votre fenêtre, et vous pouvez le visualiser ou l’exporter. Le fichier
mémorisé aura une extension PMR.
Cette fonction va vous permettre de travailler vos fichiers rapport, graphe, alerte, et journal avec
des applications spécifiques comme des gestionnaires de base de données, des tableurs ou des
traitements de texte. Procédez de la manière suivante :
Choisissez Fichier, Exporter le pour faire apparaître la boîte de dialogue Exporter sous.
Dans la zone Enregistrer sous, cliquez sur TSV exportés (*.TSV) ou CSV exportés (*.CSV),
pour choisir votre format.
Tapez le chemin d'accès (y compris l'extension appropriée du délimiteur de colonne) du fichier
que vous souhaitez exporter, puis cliquez sur Enregistrer.
Vous pouvez désormais ouvrir le fichier exporté dans un tableur ou un programme de base de
données et utiliser les informations qu'il contient.
Remarque
Les colonnes dans les fichiers .TSV sont séparées par des tabulations. Dans les fichiers .CSV,
elles sont séparées par des virgules. Le format CSV est reconnu par Excel 97 mais le format TSV
est plus pratique à l’usage (évite la confusion entre virgule délimiteur et virgule numérique).
- 148 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 149 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans le menu Options, cliquez sur Données depuis. Les fichiers journaux sont de type .LOG.
Dans la zone Les valeurs affichées proviennent de, sélectionnez Fichier journal.
Dans la zone Fichier journal, tapez le nom du fichier journal que vous souhaitez afficher. Cliquez
sur OK.
Remarques :
Vous pouvez vous déplacer dans un fichier journal (en d'autres termes, changer les heures de
départ et d'arrêt) à l'aide de la commande Fenêtre temporelle du menu Édition de l'affichage.
Les heures sélectionnées s'appliquent aux quatre affichages.
Dans la boîte de dialogue Fenêtre temporelle, utilisez l'une et/ou l'autre des méthodes suivantes
pour indiquer les informations que vous souhaitez afficher.
- 150 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour changer les points de départ et d'arrêt, faites glisser l'extrémité correspondante du curseur
d'intervalle.
Pour utiliser les signets comme points de départ ou d'arrêt, sélectionnez le signet approprié, puis
cliquez sur Déclarer comme départ ou Déclarer comme arrêt. Cliquez sur OK.
Remarques :
Il est plus facile de changer les heures dans la fenêtre Graphe. Ajoutez d'abord vos sélections au
graphe. Vous pouvez ensuite déplacer la boîte de dialogue Fenêtre temporelle afin de voir les
lignes verticales grises se déplacer sur le graphe lorsque vous déplacez les extrémités de la
barre de défilement. A l'aide de cette méthode, définissez une fenêtre temporelle répondant à vos
besoins, puis définissez vos alertes, créez des rapports ou enregistrez à nouveau les données.
Dans un graphe, lorsque vous faites glisser les extrémités du curseur, vous déplacez également
deux lignes verticales grises sur le graphe.
- 151 -
ESAT/DMSI/SYS Administration Windows NT Serveur
15.1 VERSION.
Affiche les informations se trouvant dans :
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSI
ON
Et dont le numéro de version du code, le propriétaire déclaré, la clé d’accès et les informations de
mise à jour du produit.
15.2 SYSTÈME.
Affiche les informations se trouvant dans :
HKEY_LOCAL_MACHINE\HARDWARE
- 152 -
ESAT/DMSI/SYS Administration Windows NT Serveur
15.3 AFFICHAGE.
Donne des informations sur la carte vidéo et ses paramètres.
- 153 -
ESAT/DMSI/SYS Administration Windows NT Serveur
15.4 LECTEURS.
Liste toutes les lettres de lecteurs utilisées et
leur types, y compris les lettres de lecteurs
de disquettes, de disques durs, de CD-ROM,
de disques optiques et de lecteurs réseau.
Double-cliquez sur une lettre de lecteurs
pour afficher la boîte de dialogue Propriété
du lecteur. L’onglet Général montre les
informations sur les clusters et les octets
libres/utilisés du disque. L’onglet Systèmes
de fichiers montre les informations sur les
systèmes de fichiers.
- 154 -
ESAT/DMSI/SYS Administration Windows NT Serveur
15.5 MÉMOIRE.
Affiche la charge mémoire courante, ainsi que les statistiques sur la mémoire physique et
virtuelle.
15.6 SERVICES.
Affiche les informations sur les services se trouvant dans :
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES
Dont leur état. Cliquez sur le bouton Périphériques pour afficher l’information se trouvant dans :
- 155 -
ESAT/DMSI/SYS Administration Windows NT Serveur
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL
15.7 RESSOURCES.
Affiche l’information concernant les périphériques par interruption et par port, ainsi que les
canaux DMA et les emplacements UMB utilisés.
Remarque :
- 156 -
ESAT/DMSI/SYS Administration Windows NT Serveur
15.8 ENVIRONNEMENT.
Affiche les variables d’environnement pour les sessions ;SCS (émulateur de terminal) : voir le
panneau de configuration système.
15.9 RÉSEAU.
Affiche les informations de configuration et d’état des composants réseau, pour la session
ouverte.
- 157 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 158 -
ESAT/DMSI/SYS Administration Windows NT Serveur
16GESTIONNAIRE DE SAUVEGARDES
En sauvegardant régulièrement les serveurs et disques durs locaux, vous éviterez les pertes et
endommagements de données causés par des défaillances au niveau des disques durs, pannes
d'électricité, infections par virus et autres problèmes graves éventuels liés au réseau. Les
opérations de sauvegarde basées sur une planification minutieuse et un équipement fiable
permettent de récupérer les fichiers assez aisément.
Windows NT est doté d'un Gestionnaire de sauvegardes, outil graphique qui vous permet
d'utiliser un lecteur de bande pour sauvegarder et restaurer les fichiers importants, aussi bien sur
des partitions du système de fichiers Windows NT (NTFS) que sur des partitions de la table
d'allocation des fichiers (FAT). Le Gestionnaire de sauvegardes simplifie également les
opérations d'archivage. Vous pouvez facilement enregistrer des données dans un but historique
ou légal et supprimer sans crainte des fichiers plus anciens ou que vous n'utilisez plus, sachant
que vous avez toujours la possibilité de les récupérer si nécessaire.
Parmi les stratégies de sauvegarde répertoriées ci-après, quelle est celle qui correspond le mieux
à votre environnement ? (Si vous n'êtes pas sûr de la réponse, étudiez les avantages et les
inconvénients de chacune d'elles à l'aide des tableaux proposés après la liste suivante.)
- 159 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Avantages Inconvénients
Vous avez besoin de moins de lecteurs de Les Registres et journaux des événements des
bande. ordinateurs distants ne sont pas sauvegardés.
Avantages Inconvénients
Moins de ressources réseau sont concernées L'utilisation d'un plus grand nombre de lecteurs
par une procédure de sauvegarde longue. de bande est plus onéreuse.
Le support le plus couramment utilisé pour effectuer des sauvegardes et dont se sert également
le Gestionnaire de sauvegardes Windows NT est la bande magnétique. Celle-ci est très
employée car elle présente un excellent rapport performances/prix. Les principaux types de
lecteurs de bande utilisés pour effectuer des sauvegardes sont les cartouches quart de pouce
(QIC), les bandes audionumériques (DAT) et les cassettes 8 mm. Les lecteurs de bande hautes
performances et à haute capacité utilisent en règle générale des contrôleurs SCSI.
La technologie relative aux bandes évoluant rapidement, il est donc conseillé d'étudier les
avantages de chaque type de support avant d'acheter votre équipement. Lorsque vous
choisissez un lecteur de bande, tenez compte du coût du support et du lecteur ainsi que de leur
fiabilité et capacité. Dans l'absolu, la capacité d'un lecteur de bande doit au minimum permettre
de sauvegarder les données de votre plus grand serveur. Par ailleurs, les lecteurs de bande
doivent être dotés de systèmes de détection et de correction d'erreurs, actifs lors des opérations
de sauvegarde et de restauration.
- 160 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ce nombre dépend de votre stratégie de sauvegarde générale. Les cartouches de bande étant
disponibles dans des tailles supérieures à 5 gigaoctets, vous pouvez certainement sauvegarder
l'ensemble de votre réseau à l'aide de quelques bandes et d'un seul lecteur rapide. Cependant,
étant donné la récente apparition sur le marché de lecteurs de bande moins onéreux, la
sauvegarde individuelle des données des stations de travail peut également être considérée
comme une méthode très valable.
Vous pouvez connecter votre lecteur de bande à une station de travail ou à un serveur. Chacune
de ces configurations présente des avantages et des inconvénients :
Si vous effectuez vos sauvegardes à partir d'un serveur, vous pouvez sauvegarder et
restaurer les données de ce serveur très rapidement car vos sauvegardes comprennent le
Registre du serveur. En revanche, si votre réseau possède plusieurs serveurs, l'avantage de la
rapidité est perdu.
Les serveurs conçus pour fonctionner 24 heures sur 24 sont tous indiqués pour effectuer
les sauvegardes pendant les heures creuses. Cependant, en cas de problème avec le matériel
de sauvegarde, vous devrez couper l'alimentation de votre serveur.
En règle générale, si la majeure partie de vos informations se situe sur un seul serveur, il
est conseillé d'effectuer les sauvegardes à partir de celui-ci.
Selon que vous effectuez des sauvegardes distantes à partir d'une station de travail ou d'un
serveur, il est utile de placer un lecteur de bande sur la partie du réseau dotée de la bande
passante la plus large (fréquence de transmission la plus élevée). Pour garantir la sécurité des
données, vous serez peut-être amené à placer le lecteur de bande en lieu sûr.
- 161 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les réponses à ces questions vous permettront de déterminer les mesures à prendre pour
garantir la sécurité des données importantes. Ces mesures peuvent aller de la simple
sauvegarde effectuée avec le Gestionnaire de sauvegardes Windows NT à l'utilisation de
méthodes de tolérance de pannes au niveau des disques. Vous devrez ensuite définir un
calendrier d'estimations des risques, évaluer le niveau d'importance des diverses opérations, puis
déterminer les nouvelles zones à risques.
Une sauvegarde normale copie tous les fichiers sélectionnés et les marque comme
ayant été sauvegardés (attribut Archive : A pour chaque fichier). Les sauvegardes
normales vous permettent de restaurer rapidement les fichiers, car ceux qui se trouvent
sur la dernière bande sont les plus courants.
Une sauvegarde par duplication copie tous les fichiers sélectionnés mais ne les marque
pas comme ayant été sauvegardés. La duplication est utile si vous souhaitez employer un
type de sauvegarde situé entre la sauvegarde normale et la sauvegarde incrémentielle car
elle n'invalide pas ces autres opérations de sauvegarde.
Une sauvegarde différentielle copie les fichiers créés ou modifiés depuis la dernière
sauvegarde normale (ou incrémentielle). Elle ne marque pas les fichiers comme ayant été
sauvegardés. Si vous effectuez des sauvegardes normales et différentielles, et que vous
procédez à une restauration, vous avez uniquement besoin de la dernière bande de
sauvegarde différentielle et de la dernière bande de sauvegarde normale.
Une sauvegarde quotidienne copie tous les fichiers sélectionnés ayant été modifiés le
jour où la sauvegarde quotidienne est effectuée. Les fichiers sauvegardés ne sont pas
marqués comme ayant été sauvegardés.
- 162 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le tableau ci-après répertorie les avantages et les inconvénients liés aux types de sauvegardes
les plus courants.
Remarque :
Effectuez des sauvegardes régulières lorsque le réseau est peu utilisé. Si de nombreux fichiers
sont en cours d'utilisation, il est possible qu'une sauvegarde ne soit pas le reflet exact de votre
réseau.
Remarque :
- 163 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les sauvegardes représentent également une garantie contre les virus. Dans la mesure où
certains virus n'apparaissent pas avant plusieurs semaines, gardez les bandes contenant les
sauvegardes normales pendant au moins un mois pour être sûr de pouvoir restaurer un système
tel qu'il était avant infection.
En alternant les bandes de sauvegarde, vous réduisez le coût des opérations de sauvegarde.
Les chapitres ci-après présentent un planning de sauvegarde par rotation de bandes établi sur 12
semaines et un autre sur une année. La durée de vie d'une bande dépend du fabricant et des
conditions de stockage.
- 164 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Une opération de vérification compare les fichiers situés sur le disque avec ceux copiés sur
bande. Ce type de vérification a lieu lorsque tous les fichiers sont sauvegardés ou restaurés et
prend autant de temps que la procédure de sauvegarde elle-même. Il est conseillé d'effectuer
une opération de ce type après chaque sauvegarde. Si vous utilisez un jeu de bandes qui sera
stocké pendant une longue durée, procédez à une vérification. Il est également recommandé
d'effectuer un contrôle après la récupération des fichiers.
Remarque :
Si une procédure de vérification échoue pour un fichier donné, regardez à quelle date celui-ci a
été modifié pour la dernière fois. S'il a fait l'objet d'un changement entre une sauvegarde et une
opération de vérification, la procédure de vérification échoue.
Vous devez trouver un lieu hors du site où stocker les bandes de sauvegarde et d'archivage. Cet
emplacement peut être un coffre-fort ou un autre endroit qui protège les bandes contre le feu,
l'eau, le vol et autres risques. Si vous utilisez un emplacement ignifugé, assurez-vous qu'il est
spécialement conçu pour protéger les supports magnétiques.
- 165 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les bandes durent plus longtemps lorsqu'elles se trouvent dans des lieux frais, dont le taux
d'humidité est contrôlé. Les zones de stockage doivent être dépourvues de champs
magnétiques, tels que ceux se trouvant à l'arrière des écrans et des téléphones analogiques.
Il est important de répertorier avec précision les opérations de sauvegarde afin de retrouver
rapidement des informations manquantes, particulièrement si vous avez accumulé de
nombreuses bandes de taille importante. Pour ce faire, vous pouvez utiliser des étiquettes de
bande accompagnées d'un journal, de catalogues et de fichiers journaux.
Étiquettes de bande
Catalogues
La plupart des logiciels de sauvegardes sont dotés d'un mécanisme permettant de cataloguer les
fichiers de sauvegarde. Le Gestionnaire de sauvegardes Windows NT stocke les catalogues de
sauvegarde sur bande en les chargeant temporairement en mémoire pendant les sessions
programme. Des catalogues sont créés pour chaque jeu de sauvegardes (groupe de fichiers du
lecteur sauvegardé). Les catalogues ne peuvent pas être imprimés ni sauvegardés sur disque.
Fichiers journaux
Outre le catalogue en ligne, toutes les informations relatives aux opérations peuvent être
enregistrées dans un fichier. Le fichier journal peut contenir le nom de tous les fichiers et
répertoires ayant été sauvegardés et restaurés avec succès.
Lorsqu'un message vous y invite, cliquez sur OK pour installer le pilote détecté par l'option
Périphériques à bandes.
- 166 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les fichiers de pilotes se trouvent sur le CD-ROM de Windows NT. Par conséquent, gardez le
CD-ROM à portée de main. Vous pouvez installer plusieurs périphériques à bande et basculer
entre ces périphériques avec le gestionnaire de sauvegardes.
Remarques :
Le système vérifie automatiquement les lecteurs de bande lorsque vous exécutez Windows NT et
initialise le matériel à chaque fois que vous démarrez le Gestionnaire de sauvegardes.
Cependant, le lecteur de bande doit être mis en marche avant le démarrage de Windows NT pour
que les pilotes soient convenablement chargés. Windows NT supporte jusqu'à dix unités de
bandes.
- 167 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque
Tous les fichiers qui se trouvent sur un lecteur affiché dans la fenêtre Lecteurs peuvent être
sauvegardés. Toutefois, le programme ne sauvegardera pas les fichiers (y compris les fichiers
cachés) et les répertoires dont vous n'êtes pas propriétaire ou dont l'accès a été restreint, même
lorsqu'un tel lecteur est sélectionné. L'icône des fichiers cachés est accompagnée d'un point
d'exclamation. Tous les attributs de fichiers, y compris les permissions, sont préservés.
Dans la fenêtre Lecteurs, double-cliquez sur le lecteur dans lequel se trouvent les fichiers.
Sélectionnez tous les fichiers individuels que vous voulez sauvegarder, en cliquant sur ceux qui
vous intéresse. Pour supprimer les coches de tous les fichiers sélectionnés, cliquez dans le menu
Sélection sur Ne pas sélectionner. Une coche apparaît dans la case à cocher située en regard
de chaque fichier sélectionné. Pour supprimer la coche d'un fichier individuel, désactivez la case
à cocher correspondante.
- 168 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarques
Lorsque seuls certains fichiers sont sélectionnés, les cases à cocher des lecteur et répertoire
correspondants sont estompées.
Cocher la case en regard d’un répertoire ne sélectionne pas le contenu du répertoire. En faisant
cette opération vous ne sauvegarderez que l’arborescence.
Les types de fichiers suivants ne sont pas automatiquement sauvegardés lorsque vous exécutez
le Gestionnaire de sauvegardes Windows NT :
Les fichiers que vous ne pouvez pas lire. Seules les personnes disposant de droits de
sauvegarde peuvent copier des fichiers ne leur appartenant pas.
Les fichiers d'échange (fichiers temporaires utilisés pour représenter l'espace d'adresse virtuelle).
Les bases des Registres situés sur des ordinateurs distants. Windows NT sauvegarde
uniquement la base de registres locale.
- 169 -
ESAT/DMSI/SYS Administration Windows NT Serveur
fichiers appartenant au système d'exploitation. Windows NT verrouille deux types de fichiers : les
journaux des événements et les fichiers de la base de registre.
Lorsque vous lancez une sauvegarde la fenêtre Information de sauvegarde apparaît. Elle vous
permet de paramétrer la sauvegarde que vous effectué.
Dans la zone Nom de la bande, tapez un nom de moins de 32 caractères pour la nouvelle
bande.
Dans Opération, cliquez sur Ajouter à la fin pour placer le nouveau jeu de sauvegardes à la fin
du dernier jeu de sauvegardes. Ou, cliquez sur Remplacer pour remplacer toutes les
informations situées sur la bande.
- 170 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour confirmer que la bande a été sauvegardée correctement, activez la case à cocher Vérifier
après sauvegarde. L’utilisation de cette option double le temps nécessaire à l’opération et, si
vous sauvegardez une zone de partage de réseau, elle doublera également l’intensité du trafic
sur le réseau.
Pour ajouter une copie de votre Registre au jeu de sauvegardes, activez la case à cocher
Sauvegarder le Registre local. L’opération copiera tous les fichiers répondant aux critères
%system_root%\system32\config\*.*. De façon générale, vous devriez toujours sauvegarder le
registre en même temps que votre partition système.
Pour limiter l'accès aux fichiers situés sur le bande, activez la case à cocher Limiter l'accès au
propriétaire ou à l'administrateur. Les données sur la bandes ne sont pas codées et, par
conséquent, peuvent être lues par d’autres moyens. L’utilisation de cette option ne dispense pas
des mesures de protection nécessaires pour les bandes de sauvegarde contenant des données
sensibles.
Pour que le lecteur de bande compresse les données sur le support de bande, activez la case à
cocher Compression physique. Assurez vous que votre unité de bande supporte la
compression matérielle.
Remarques:
L'option Sauvegarder le Registre local n'est disponible que si le lecteur contenant la base de
registre local est sélectionné. Le Gestionnaire de sauvegardes ne peut pas être utilisé pour
sauvegarder des registres se trouvant sur des ordinateurs distants.
L’option Limiter l’accès au propriétaire ou à l’administrateur n’est disponible que lorsque vous
effectuez une opération de remplacement.
Lorsque vous décidez du type de sauvegarde à utiliser, vous devez savoir si vous voulez ou non
que les fichiers soient marqués comme ayant été sauvegardés. Windows NT met à jour une
marque (appelée bit d'archivage, attribut A sur les fichiers) pour chaque fichier permettant aux
programmes de sauvegarde de marquer les fichiers après les avoir sauvegardés. Lorsqu'un
fichier est modifié, Windows NT le marque comme ayant besoin d'être sauvegardé de nouveau.
Avec le Gestionnaire de sauvegardes Windows NT, vous choisissez de sauvegarder uniquement
les fichiers accompagnés de cette marque et décidez de marquer ou non ces fichiers comme
ayant été sauvegardés.
Il est préférable d'effectuer une sauvegarde normale (ou complète) lorsque de nombreuses
données ont été modifiées depuis la dernière sauvegarde ou pour fournir un point de référence
pour les autres types de sauvegardes.
- 171 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour stocker vos informations sur une longue durée en utilisant moins de bandes, vous pouvez
utiliser une combinaison composée d'une sauvegarde normale et de sauvegardes
incrémentielles ou différentielles.
Pour plus d'informations sur les différents types de sauvegardes reportez-vous au chapitre 17.2.1
Types de sauvegardes.
Après avoir terminé la configuration des options de sauvegarde, cliquez sur OK pour débuté
l’opération. Si vous avez choisi l’option remplacer les informations une fenêtre vous précise
que tous les données précédament contenues sur la bande seront détruites.
- 172 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Lorsqu’un fichier ouvert est rencontré durant l’opération, le programme de sauvegarde attend 30
secondes la fermeture de celui-ci. Si elle n’intervient pas le programme l’ignore et consigne
l’événement dans le journal de sauvegarde.
Remarque :
- 173 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous pouvez restaurer la bande courante, un ou plusieurs jeux de sauvegardes ou des fichiers
individuels. Ouvrez la fenêtre Bandes et effectuez votre choix, comme vous le feriez pour une
opération de sauvegarde.
- 174 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Toutes les informations du catalogue sont mises à jour sur la bande correspondant à ce jeu de
sauvegardes. Dans le cas de jeux par famille, ces informations se trouvent sur la dernière bande.
Le nom de la bande apparaît dans la partie gauche de la fenêtre Bandes, à droite de l'icône
correspondant à chaque bande. La partie droite de cette fenêtre fournit les informations
suivantes:
lecteur sauvegardé ;
numéro du jeu de sauvegardes ;
numéro de la bande et position au sein du jeu de bandes ;
type de sauvegarde ;
date et heure de la sauvegarde ;
description de la sauvegarde.
Lorsque vous insérez une bande pour restaurer des informations, seules celles correspondant au
premier jeu de sauvegardes s'affichent dans la partie droite de la fenêtre jusqu'à ce que vous
chargiez le catalogue de la bande. Pour restaurer la totalité d'une bande, vous devez d'abord
charger son catalogue afin d'afficher la liste complète des autres jeux de sauvegardes de la
bande. Si vous ne procédez pas ainsi, lorsque vous sélectionnez une bande complète, vous
choisissez en fait uniquement les jeux déjà affichés. Pour savoir quels fichiers se trouvent dans
chaque jeu de sauvegardes, vous devez charger les catalogues individuels correspondant à
chaque jeu de sauvegardes.
Des fichiers sur bande plus anciens que les fichiers situés sur le disque. Si un fichier en cours de
restauration existe déjà sur le disque, et s'il est plus récent que le fichier sur bande, le
Gestionnaire de sauvegardes vous demande de confirmer le remplacement.
- 175 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Un fichier devant être restauré dans un répertoire auquel vous n'avez pas accès. Si vous ne
disposez pas des autorisations nécessaires pour écrire dans un fichier, vous ne pouvez pas le
restaurer. Ces restrictions ne sont pas valables si vous bénéficiez des droits de restauration.
Lorsque vous avez sélectionné un(e) ou plusieurs bandes, jeux de sauvegardes ou fichiers à
restaurer, cliquez dans le menu Opérations sur la commande Restaurer pour ouvrir la boîte de
dialogue Informations de restauration.
La première partie de cette boîte de dialogue fournit des informations sur les jeux de
sauvegardes situés sur la bande chargée et précise combien de bandes constituent ce jeu par
famille. Vous devez spécifier, pour chaque jeu de sauvegardes, sur quel lecteur vous voulez
restaurer les informations.
Vous pouvez également spécifier un autre chemin de répertoire pour placer les fichiers d'un jeu
de sauvegardes dans un répertoire différent du répertoire d'origine, sur le lecteur par défaut.
Cette opération peut permettre de comparer ces fichiers avec ceux qui se trouvent sur le disque.
Le bouton Parcourir, disponible au bas de la zone Chemin différent, peut vous aider à trouver
le bon chemin.
Pour comparer le contenu des fichiers restaurés avec celui des fichiers situés sur la bande et
enregistrer les différences détectées, activez la case à cocher Vérifier après restauration.
Lorsque vous activez la case à cocher Restaurer les permissions d'accès aux fichiers, le
système restaure les informations relatives aux permissions en même temps que le fichier, si les
fichiers sont restaurés sur une partition NTFS. Dans le cas contraire, les fichiers héritent des
informations de permissions associées au répertoire dans lequel ils sont restaurés.
- 176 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour restaurer les fichiers du Registre, activez la case à cocher Restaurer le Registre local.
Cependant, vous devrez redémarrer votre ordinateur pour que les informations restaurées entrent
en vigueur.
Les permissions relatives aux fichiers (ou paramètres de sécurité), telles que l'appartenance ou
les permissions d'accès, peuvent être restaurées uniquement lorsque les fichiers restaurés ont
été sauvegardés et restaurés sur une partition NTFS. Cependant, vous devez restaurer les
permissions d'accès aux fichiers uniquement si vous restaurez ces fichiers sur des ordinateurs
situés sur le même domaine que celui du compte du propriétaire initial.
Par exemple, vous pouvez restaurer des fichiers sur d'autres ordinateurs d'un domaine si les
permissions initialement affectées à ces fichiers donnent accès à un compte d'utilisateur situé sur
ce domaine.
Remarque:
Ne restaurez pas les permissions des fichiers dans les cas suivants :
Si vous utilisez la bande de sauvegarde pour transférer des fichiers sur un ordinateur situé sur un
domaine différent de celui d'origine.
Si vous restaurez des fichiers sur un ordinateur n'ayant pas été entièrement restauré, à la suite
d'une dégradation du système d'exploitation.
Avant de procéder à la restauration du Registre, vous devez prendre en compte les points
suivants :
Après avoir restauré le Registre, vous devez redémarrer votre ordinateur, ce qui signifie la perte
de toutes les modifications de configuration effectuées depuis la dernière sauvegarde du
Registre.
Pour restaurer un Registre sur un nouvel ordinateur (si, par exemple, votre disque dur est
inutilisable), vous devez d'abord réinstaller Windows NT sur ce nouvel ordinateur. Ensuite, vous
pourrez restaurer l'ensemble de la bande de sauvegarde sur votre disque dur.
Syntaxe
- 177 -
ESAT/DMSI/SYS Administration Windows NT Serveur
/MISSINGTAPE Spécifie qu'il manque une bande du jeu de sauvegardes lorsque le jeu est
composé de plusieurs bandes. Ainsi, chaque bande devient une unité simple, par opposition à
son appartenance à un jeu
Les paramètres suivants ne doivent pas être tapés par les utilisateurs et sont utiles dans les
fichiers de commandes.
ntbackup opération chemin [/a] [/v] [/r] [/d "texte"] [/b] [/hc:{on|off}] [/t{"option"}] [/l "nom de fichier"]
[/e] [/tape:{N}]
/a Ajoute les nouveaux jeux de sauvegardes après le dernier jeu de la bande. Lorsque /a
n'est pas spécifié, le programme remplace les anciennes données. Lorsque plusieurs lecteurs
sont spécifiés, mais que /a ne l'est pas, le programme remplace le contenu de la bande avec les
informations provenant du premier lecteur sélectionné, puis ajoute les jeux de sauvegardes des
autres lecteurs.
/r Limite l'accès. Les bandes ne peuvent être lues que par le propriétaire et les membres
des groupes Opérateurs de sauvegarde et Administrateurs. Le paramètre /r est ignoré si /a est
également spécifié.
- 178 -
ESAT/DMSI/SYS Administration Windows NT Serveur
/tape:{N} Indique sur quel lecteur de bande doivent être sauvegardés les fichiers. N est un
nombre compris entre 0 et 9, qui correspond au numéro attribué au lecteur de bande lors de
l'installation. Par défaut N vaut 0.
Vous pouvez utiliser le service Planning pour exécuter automatiquement des opérations de
sauvegarde régulières.
Avant de pouvoir planifier ces opérations, vous devez vous assurez que ce service a été démarré
et que l'utilisateur du service détient les droits appropriés sur le système local et sur tous les
systèmes devant être sauvegardés.
Exemple 1:
Votre système possède deux volumes C et D. Pour exécuter une sauvegarde complète de votre
système chaque vendredi soir à 22h et une sauvegarde différentielle chaque lundi, mardi,
mercredi, et jeudi soirs à 22h, vous devez utiliser deux scripts.
Comp.bat
Diff.bat
- 179 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous définissez les tâches a plannifier en émettant les deux commandes suivantes:
Exemple 2:
Vous pouvez utiliser le service Planning et Ntbackup pour sauvegarder des volumes distants,
mais il vous faut utiliser un compte avec ce service qui vous permet de réaliser une connexion
réseau distante.
Une fois que ce service a été démarré vec les droits requis pour accéder aux zones de partages
que vous souhaitez sauvegarder, vous pouvez créer un fichier batch.
Dans l'exemple suivant le partage s'appel BASE CLIENTS et se trouve sur la machine C201-
113A-0856. La sauvegarde doit être réalisée chaque nuit de la semaine à 22h.
Sauvclie.bat
- 180 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 181 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Avec le modèle de licence Microsoft BackOffice, ces composants font l'objet d'une licence
séparée, ce qui vous permet de n'acheter que le nécessaire pour constituer une solution réseau
qui réponde aux besoins de votre société. Chaque serveur doit disposer d'une licence, de même
que chaque ordinateur client accédant à un serveur (licence d'accès client).
Le suivi manuel des licences sur des ordinateurs locaux ou dans un domaine peu étendu
nécessite beaucoup de temps mais reste possible. En revanche, le suivi des licences sans outil
automatisé dans toute une société qui comprend de nombreux domaines peut s'avérer difficile, et
coûteux en temps et en argent. Un outil de gestion et de suivi de ces licences et de leur utilisation
dans une société peut aider à réduire ces coûts.
Windows NT Server 4.0 comprend deux outils administratifs permettant de réduire ces coûts et la
surcharge de travail administratif inhérente au suivi des licences :
Ces outils vous permettent de dupliquer automatiquement les informations de licence de tous les
contrôleurs principaux de domaine (PDC) de votre site dans une base de données centralisée
située sur un serveur maître spécifié, facilitant ainsi le respect de la législation en vigueur.
Avec la licence Par serveur, chaque licence d'accès client est accordée à un service (produit)
donné sur un serveur donné et permet une connexion à ce service, par exemple, des services
réseau de base. Pour Windows NT Server, les services réseau de base sont notamment les
suivants :
- 182 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous remarquerez que, dans ce cas, une connexion est établie avec un serveur, et non
seulement avec un point de partage de ce serveur ou une imprimante qui y est connectée. Si
vous vous connectez à \\SVR1COURSNT\DONNEES et à \\SVR1COURSNT\PUBLIC, en termes
de licence, il s'agit d'une seule connexion. En revanche, si vous vous connectez en mode Par
serveur à un serveur à partir de deux ordinateurs et sous le même nom d'utilisateur, il y a bien
deux connexions.
Vous devez avoir au moins autant de licences d'accès client réservées à un service sur cet
ordinateur que le nombre maximal d'ordinateurs client susceptibles de se connecter à ce serveur
à un instant quelconque. Si vous activez l'option Par serveur, vous devez spécifier lors de
l'installation ou au moment de l'achat de nouvelles licences d'accès client le nombre de licences
d'accès client (qui correspond au nombre de connexions concomitantes) que vous avez achetées
pour ce serveur.
Avec la licence Par serveur, une fois que la limite spécifiée pour le nombre de connexions
concomitantes est atteinte, le serveur renvoie une erreur à l'ordinateur client et n'autorise plus
aucun ordinateur à se connecter au serveur. Les connexions effectuées par les administrateurs
sont comptabilisées comme connexions concomitantes. Cependant, lorsque la limite est atteinte,
un administrateur est encore autorisé à se connecter pour gérer le verrouillage. Aucun nouvel
utilisateur ne peut se connecter avant qu'un nombre suffisant d'utilisateurs (dont des
administrateurs) se soient déconnectés afin de repasser sous la limite spécifiée.
Remarque:
Le mode Par serveur est souvent le plus économique pour les réseaux dont les clients se
connectent généralement à un seul serveur ou bien à des serveurs utilisés occasionnellement ou
à des fins précises, et n'ont donc pas besoin de se connecter tous simultanément. Si un
environnement réseau comprend plusieurs serveurs, chaque serveur sous licence en mode Par
serveur doit avoir au moins autant de licences d'accès client qui lui sont réservées que le
nombre maximal de clients susceptibles de s'y connecter à un instant quelconque.
Le mode de licence Par siège requiert une licence d'accès client pour chaque ordinateur qui
accédera à un produit BackOffice donné sur un serveur quelconque. Une fois qu'un ordinateur
est sous licence pour un produit donné, il peut être utilisé pour accéder à ce produit sur tout
ordinateur exécutant Windows NT Server. Plusieurs utilisateurs peuvent également ouvrir une
session sur ce même ordinateur.
Cependant, une licence d'accès client valide en mode Par siège ne vous garantit pas que vous
pourrez accéder à un ordinateur sous licence en mode Par serveur qui a atteint sa limite
spécifiée. Une telle connexion utilise également une des licences Par serveur disponibles. Vous
ne pouvez donc vous connecter que si des licences Par serveur sont disponibles.
- 183 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Par exemple, si un serveur en mode Par serveur dispose de 50 licences qui lui sont réservées et
que moins de 50 clients y sont connectés simultanément, des clients supplémentaires peuvent se
connecter. En revanche, si ce serveur a atteint sa limite spécifiée, aucun client supplémentaire ne
peut se connecter, même s'il possède une licence valide en mode Par siège pour ce service.
Si vous choisissez le mode de licence Par siège, un nombre illimité d'ordinateurs sous licence
peut se connecter à n'importe quel moment à un serveur Windows NT quelconque. Cependant,
pensez à acquérir une licence d'accès client pour chaque ordinateur même si vous utilisez un
système d'exploitation client provenant de Microsoft (par exemple, Microsoft Windows 98 ou
Microsoft Windows NT Workstation) ou d'un autre fournisseur, ou que vous utilisez un autre
logiciel client pris en charge par Windows NT Server. Le mode Par siège est souvent le plus
économique pour les réseaux dont les clients se connectent généralement à plusieurs serveurs.
Remarque:
Aucune licence d'accès client n'est fournie avec Windows 95/98 ou Windows NT Workstation.
Une licence doit être acquise séparément en plus du système d'exploitation.
Les groupes de licences indiquent une relation (également appelée mappage) entre des
utilisateurs et des ordinateurs, et ne doivent être utilisés que dans l'un des cas suivants :
Plusieurs personnes utilisent un même ordinateur, par exemple, elles partagent un même travail
ou elles se relaient sur le même ordinateur.
Une personne utilise plusieurs ordinateurs, par exemple dans un service de conception de
logiciels où le développement s'effectue sur un ordinateur, et le test sur plusieurs ordinateurs
fonctionnant sous différentes plates-formes matérielles.
- 184 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La même logique s'applique dans le deuxième cas. Par exemple, si vous avez 100 utilisateurs qui
ont accès à dix ordinateurs, vous ne devrez acheter que dix licences d'accès client pour couvrir
ces dix ordinateurs. En revanche, il peut être intéressant d'effectuer le suivi de l'ensemble des
100 utilisateurs afin de savoir selon quelle fréquence ils utilisent chaque ordinateur pour accéder
à différents serveurs. Le groupe de licences que vous créez se voit accorder dix licences d'accès
client et il contient 100 utilisateurs.
Dans le dernier cas, ce seul utilisateur a besoin de plusieurs licences d'accès client pour être en
conformité avec la législation sur les licences et ce, bien que le Gestionnaire de licences
n'affiche qu'un seul utilisateur. Dans ce cas, le groupe de licences ne comprend qu'un seul
utilisateur auquel sont accordées plusieurs licences d'accès client.
Pour créer des groupes de licences allez dans Option, Avancées, Nouveau groupe de
licences.
Le mode de licence que vous choisissez dépend des applications que vous utiliserez. Par
exemple, si vous utilisez Windows NT Server essentiellement pour le partage de fichiers et
d'impression, optez de préférence pour le mode Par siège. En revanche, si vous l'utilisez comme
ordinateur serveur d'accès distant, optez pour les connexions concomitantes Par serveur.
Si vous disposez d'un seul serveur, choisissez le mode Par serveur, car vous pourrez passer
ensuite au mode Par siège, à raison d'une seule fois.
Si vous possédez plusieurs serveurs et que le nombre total de licences d'accès client sur tous les
serveurs à prendre en charge le mode Par serveur est supérieur ou égal au nombre
d'ordinateurs ou de stations de travail, choisissez le mode Par siège ou effectuez une conversion
vers ce mode.
Par serveur
Nombre de serveurs A_________________________
Nombre de stations de travail connectées
B_________________________
simultanément à chaque serveur
Sur la ligne C, inscrivez (A x B) C_________________________
Par siège
Nombre de sièges (ordinateurs) qui accéderont
D_________________________
à chaque serveur
Si C est inférieur à D, optez pour la licence Par serveur. La ligne C indique le nombre de
licences d'accès client nécessaires.
Si D est inférieur à C, choisissez la licence Par siège. La ligne D indique le nombre de licences
d'accès client nécessaires.
- 185 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans les deux cas, la ligne A indique le nombre de licences serveur nécessaires.
Vous remarquerez que sur un même site, vous pouvez également combiner les modes Par
serveur et Par siège, car votre choix dépend du taux d'utilisation des différents produits serveur
dans chaque service. Vous pouvez également combiner les modes Par serveur et Par siège sur
un même serveur si vous utilisez plusieurs produits serveur. Cependant, un produit serveur
donné, comme SQL Server, ne peut pas fonctionner simultanément dans les deux modes sur le
même serveur.
Si vous n'êtes pas encore certain du mode de licence à choisir, optez pour le mode Par serveur.
En effet, si le trafic sur votre réseau augmente ultérieurement et que davantage de clients doivent
se connecter simultanément, vous êtes légalement autorisé à passer du mode Par serveur au
mode Par siège sans frais supplémentaires. Cette conversion n'est possible qu'une seule fois et
dans un seul sens, et uniquement pour Windows NT Server, Microsoft Exchange Server, SQL
Server et SNA Server.
Si vous décidez d'effectuer ce changement, il n'est pas nécessaire d'en avertir Microsoft.
Cependant, vous devrez insérer de nouveau les informations de licence dans le Gestionnaire de
licences par l'intermédiaire de la boîte de dialogue Nouvelle licence d'accès client. Vous
n'êtes pas autorisé légalement à passer du mode de licence Par siège au mode Par serveur.
Remarque:
Les licences Par siège ne peuvent être administrées que par l'intermédiaire du Gestionnaire de
licences.
Dans le menu Démarrer, cliquez sur Programmes, puis sur Outils d'administration (commun).
- 186 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Chacun des onglets présente sous une forme différente (produits, licences de produits, clients et
serveurs) les informations dont le Gestionnaire de licences effectue le suivi et permet d'accéder
à diverses fenêtres de propriétés également dotées d'onglets au moyen desquels vous pouvez
afficher des informations spécifiques à un élément donné.
Cet onglet propose un récapitulatif de l'historique des licences achetées pour les produits
installés dans la société ou le domaine choisi. Il affiche également la quantité de licences
achetées et supprimées, la date de l'installation ou de la suppression ainsi que l'identité de
l'administrateur (celui qui a certifié que la société avait acheté la licence) qui a installé ou
supprimé la licence du produit. Il présente enfin les commentaires spécifiés lors de l'installation
ou de la suppression de licences.
Il s'agit du deuxième onglet principal. Il contient des informations sur les produits du domaine
choisi ou de l'ensemble du site. Les informations affichées dépendent du mode de licence de
chaque produit :
Dans le cas du mode Par siège, il s'agit du nombre de licences achetées pour le produit et du
nombre de licences accordées aux ordinateurs des utilisateurs pour tous les produits.
- 187 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans le cas du mode Par serveur, il s'agit du nombre total de licences achetées pour chaque
produit sur tous les serveurs du domaine ou de la société sur lesquels ce produit est installé.
Parmi les informations affichées figure également le nombre maximal de connexions
concomitantes atteint à ce jour sur tous les serveurs du domaine ou du site sur lesquels se trouve
ce produit.
Vous pouvez utiliser les nombres et les icônes affichés pour déterminer les éléments suivants :
produits qui ont atteint la limite légale et pour lesquels vous devez acheter des licences
supplémentaires.
Il s'agit du troisième onglet. Il présente des informations sur une liste de clients (ou d'utilisateurs)
qui ont utilisé les produits dans ce domaine ou cette société. Il indique également combien des
produits énumérés (sous licence en mode Par siège) possèdent la licence d'utilisation et
combien ne la possèdent pas.
- 188 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ces utilisateurs peuvent être des utilisateurs individuels ou des membres de groupes de licences.
(Pour savoir quels utilisateurs sont membres d'un groupe de licences donné, cliquez dans le
menu Options sur Avancées, puis sur Modifier le groupe de licences).
Vous pouvez utiliser les nombres et les icônes affichés pour déterminer les éléments suivants :
créer, afficher et modifier des groupes de licences, Options, Avancées, Modifier le groupe de
licences .
Il s'agit du dernier onglet. Il présente la liste de tous les domaines et serveurs du site. Cet onglet
vous permet d'afficher et de modifier les informations de licence des serveurs et des produits
serveur de tous les domaines sur lesquels vous avez des droits administratifs.
A partir de cet onglet, vous pouvez accéder à trois niveaux et effectuer les tâches suivantes :
au niveau des serveurs et des produits, ouvrir la fenêtre de propriétés correspondant à l'élément
choisi.
- 189 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour afficher la liste de tous les serveurs d'un domaine, double-cliquez sur le nom du domaine
souhaité. De même, pour afficher la liste de tous les produits installés sur un serveur, double-
cliquez sur le nom du serveur voulu. Pour changer le mode de licence d'un produit, double-
cliquez sur le nom du produit souhaité afin d'afficher la boîte de dialogue Choix du mode de
licence.
- 190 -
ESAT/DMSI/SYS Administration Windows NT Serveur
18ASSISTANTS D'ADMINISTRATION
Les Assistants d'administration regroupent les outils d'administration de serveur classiques en
un endroit unique et vous guident à travers les étapes nécessaires pour chaque tâche. Windows
NT Server 4.0 inclut les Assistants suivants :
- 191 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Assistant Gérer les groupes : crée, modifie et supprime des groupes d’utilisateurs sur
l’ordinateur local, dans les domaines privés et sécurisés. Habituellement, c’est le gestionnaire des
utilisateurs pour les domaines qui est responsable de cette tâche.
Assistant Gérer les accès aux fichiers et aux dossiers : réglemente l’accès aux fichiers et
dossiers partagés sur l’ordinateur local ou sur les ordinateurs du réseau. Permet de partager des
lecteurs et des dossiers pour les clients réseau Macintosh®, Microsoft Network et Novell® en une
seule étape, paramètres de sécurité inclus. Cette tâche peut être accomplie également par
l’Explorateur ou le Gestionnaire de serveurs.
Assistant Ajouter une imprimante : installe des imprimantes locales et réseau. Configure et
partage les imprimantes connectées à votre ordinateur ou au réseau. Installe des pilotes
d'imprimante sur le serveur pour l'installation " pointer-imprimer " sur les clients. Cette option
correspond à l’icône Imprimantes du Panneau de configuration ou de l’Explorateur.
Assistant Ajouter/Supprimer des programmes : installe ou supprime des programmes sur votre
ordinateur et adapte l’installation de Windows NT. Cette option correspond à l’icône du même
nom du Panneau de configuration.
Assistant Installer un nouveau modem : installe, configure et détecte les modems connectés à
votre ordinateur. Cette option correspond à l’icône Modems du Panneau de configuration.
- 192 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Assistant Administrateur de client réseau : installe ou met à jour les postes de travail des
clients réseau par le biais du réseau ou des disquettes de démarrage. Ce programme peut être
appelé également par la commande Outils d’administration du menu Démarrer.
Assistant Conformité de Licence : Aide les administrateurs à assurer le suivi des licences
logicielles serveurs et clients. Vérifie la licence d’utilisation des logiciels installés sur l’ordinateur.
Cette information peut être obtenue également par le Gestionnaire de licences des Outils
d’administration.
On remarquera que certaines de ces applications ne sont que des renvois aux programmes et
aux icônes du Panneau de configuration ou de la commande Outils d’administration. Les
premières options de l’Administrateur d’assistants appellent néanmoins des assistants qui vous
épaulent tout au long de la définition des paramètres.
Remarque:
- 193 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Ces opération se font a travers deux outils, le gestionnaire de serveurs et le gestionnaire des
utilisateurs pour les domaines.
Lorsqu'un contrôleur secondaire de domaine est promu contrôleur principal de domaine, une
copie à jour de la base de données d'annuaires du domaine de l'ancien contrôleur principal de
domaine est transférée vers le nouveau contrôleur principal de domaine, et l'ancien contrôleur
principal de domaine est rétrogradé contrôleur secondaire de domaine.
Si un contrôleur secondaire de domaine est promu contrôleur principal de domaine, alors que le
contrôleur principal de domaine existant n'est pas disponible (par exemple, s'il est en cours de
réparation) et que le contrôleur principal de domaine précédent fonctionne de nouveau, vous
devez le rétrograder contrôleur secondaire de domaine. Tant que cette opération n'a pas été
effectuée, le contrôleur secondaire de domaine ne pourra ni exécuter le service Accès réseau, ni
procéder à l'authentification des ouvertures de session effectuées par les utilisateurs. L'icône
correspondante, qui se trouve dans la fenêtre Gestionnaire de serveurs, est désactivée
(estompée).
Remarque:
En règle générale, lorsqu'un contrôleur secondaire de domaine est promu contrôleur principal de
domaine, le système rétrograde automatiquement le contrôleur principal de domaine d'origine au
titre de contrôleur secondaire de domaine. Toutefois, si le Gestionnaire de serveurs ne parvient
pas à trouver le contrôleur principal de domaine, celui-ci n'est pas rétrogradé, et l'utilisateur reçoit
un message indiquant cette situation. L'utilisateur peut alors choisir entre poursuivre la procédure
sans rétrograder le contrôleur principal de domaine et attendre jusqu'à ce qu'il soit rétrogradé.
- 194 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Choisissez un ordinateur capable de traiter avec fiabilité des charges de trafic réseau élevées.
S'il est disponible, le contrôleur principal de domaine précédent est rétrogradé au rang de
contrôleur secondaire de domaine.
Remarques:
En général, quand un serveur est promu au rang de contrôleur principal de domaine, vous ne
devez exécuter aucune action particulière pour rétrograder le précédent contrôleur principal de
domaine au rang de contrôleur secondaire de domaine, car le système effectue automatiquement
cette opération.
Néanmoins, si un serveur est promu au rang de contrôleur principal de domaine alors que le
contrôleur principal existant n'est pas disponible (par exemple, s'il est en réparation) et que le
contrôleur principal de domaine précédent redevient ultérieurement opérationnel, vous devez
exécuter manuellement la rétrogradation.
- 195 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les modifications apportées à la base de données d'annuaires sont les mots de passe nouveaux
ou modifiés, les comptes d'utilisateur et les comptes de groupe nouveaux ou modifiés, ainsi que
toute autre modification concernant les membres d'un groupe et les droits attribués aux
utilisateurs.
Les modifications apportées à la base de données d'annuaires sont enregistrées dans le journal
des modifications. La taille de ce journal détermine la durée pendant laquelle les modifications
peuvent être conservées. Le journal contient un certain nombre de modifications. Chaque fois
qu'une nouvelle modification est ajoutée, la modification la plus ancienne est supprimée.
Lorsqu'un contrôleur secondaire de domaine demande des modifications, celles qui ont eu lieu
depuis la dernière synchronisation sont copiées vers ce contrôleur. Étant donné que le journal
des modifications ne conserve que les modifications les plus récentes, si un contrôleur
secondaire de domaine ne demande pas une modification à temps, la totalité de la base de
données d'annuaires doit alors être copiée vers ce contrôleur.
Par exemple, si un contrôleur secondaire de domaine est désactivé temporairement, des
modifications peuvent avoir lieu pendant ce temps et être stockées dans le journal des
modifications.
La duplication automatique et différée sur tous les contrôleurs secondaires de domaine des
modifications apportées à la base de données d'annuaires qui ont eu lieu depuis la dernière
synchronisation s'appelle synchronisation partielle. Vous pouvez utiliser le Gestionnaire de
serveurs pour forcer une synchronisation partielle de tous les contrôleurs secondaires du
domaine.
Par exemple, si un nouvel utilisateur est ajouté dans un domaine et qu'il a besoin de certaines
ressources, vous pouvez exécuter une synchronisation partielle afin que le nouveau compte
d'utilisateur soit ajouté à tous les contrôleurs secondaires de domaine le plus tôt possible.
Si besoin, vous pouvez utiliser le Gestionnaire de serveurs pour forcer manuellement une
synchronisation partielle d'un contrôleur secondaire de domaine spécifique avec le contrôleur
principal de domaine.
- 196 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Par exemple, si l'accès est refusé en raison d'un problème lié au mot de passe du compte
d'ordinateur du contrôleur secondaire de domaine (confirmé par des messages du type « access
denied » [accès refusé] du journal des événements), une synchronisation partielle du contrôleur
secondaire de domaine avec le contrôleur principal de domaine résout le problème de mot de
passe et rétablit un canal de communication protégé.
Remarque:
La synchronisation totale sur une liaison de réseau étendu lente est longue et coûteuse. Pour
éviter une synchronisation totale non planifiée, vous pouvez augmenter la taille du journal des
modifications.
- 197 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque:
Pour retirer d'un domaine un contrôleur secondaire de domaine, vous devez supprimer le compte
d'ordinateur et réinstaller Windows NT Server sur cet ordinateur en indiquant le nouveau
domaine.
Pour ajouter un ordinateur dans un domaine, vous devez avoir ouvert une session sur un compte
d'utilisateur disposant des droits appropriés.
S'ils disposent des droits appropriés, les utilisateurs peuvent ajouter des stations de travail et des
serveurs dans des domaines pendant ou après l'installation :
Une fois qu'un domaine a été créé, un membre du groupe Administrateurs ou Opérateurs de
compte local peut ajouter dans le domaine un contrôleur secondaire de domaine. Des
contrôleurs principaux et secondaires de domaine ne peuvent être ajoutés que lors de
l'installation.
Remarque:
- 198 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 199 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous pouvez retirer des stations de travail, des contrôleurs secondaires de domaine et des
serveurs membres d'un domaine, mais vous ne pouvez pas faire de même avec le contrôleur
principal de domaine tant que vous n'avez pas promu un contrôleur secondaire de domaine
contrôleur principal de domaine.
Lorsque vous retirez d'un domaine Windows NT Server un ordinateur exécutant Windows NT
Workstation ou un serveur membre, vous supprimez le compte de l'ordinateur de la base de
données d'annuaires, et l'ordinateur ne peut plus participer à la sécurité du domaine. Une fois
que le compte d'ordinateur est retiré du domaine, un administrateur de l'ordinateur doit supprimer
le nom de domaine par l'intermédiaire de l'icône Réseau du Panneau de configuration.
L'administrateur peut alors ajouter un nom de domaine ou un nom de groupe de travail différent.
Attention:
Pour retirer d'un domaine un contrôleur secondaire de domaine, vous devez supprimer le compte
d'ordinateur et réinstaller Windows NT Server ou Windows NT Workstation sur l'ordinateur, en
indiquant le nouveau domaine. N'utilisez plus un contrôleur secondaire de domaine qui a été
retiré d'un domaine tant que vous n'avez pas réinstallé le système d'exploitation (le serveur garde
une rémanence de l'ancienne base de données d'annuaires).
Pour changer un nom d'ordinateur, ajoutez d'abord l'ordinateur concerné dans le domaine en tant
que nouveau compte d'ordinateur. Changez ensuite le nom d'ordinateur au niveau de la station
de travail ou du serveur, par l'intermédiaire de l'icône Réseau du Panneau de configuration. A
partir de votre ordinateur, vous pouvez alors retirer du domaine l'ancien compte d'ordinateur.
- 200 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Si vous changez le nom d'un contrôleur secondaire de domaine, assurez-vous que le nouveau
nom d'ordinateur figure dans la base de données d'annuaires avant d'y supprimer l'ancien
compte d'ordinateur. Utilisez le contrôleur principal de domaine ou un contrôleur secondaire de
domaine pour synchroniser la base de données d'annuaires.
Pour changer le nom d'un domaine Windows NT Server, tapez de nouveau le nom du domaine
sur chaque serveur et station de travail appartenant au domaine, et rétablissez les relations
d'approbation existantes. L'identificateur de sécurité (SID, Security Identifier) du domaine n'est
pas modifié.
Vous pouvez utiliser cette procédure pour changer le nom de domaine sur tous les ordinateurs
faisant partie d'un domaine. En revanche, vous ne pouvez pas l'utiliser dans les cas suivants :
pour déplacer un contrôleur de domaine d'un domaine vers un autre,
pour scinder un domaine en deux domaines différents,
pour fusionner deux domaines en un seul.
Un contrôleur secondaire de domaine ne peut pas modifier les domaines à moins que Windows
NT Server ne soit réinstallé sur le contrôleur. Les serveurs membres et les ordinateurs exécutant
Windows NT Workstation peuvent modifier les domaines sans que la réinstallation de Windows
NT soit nécessaire.
Pour déplacer une station de travail ou un serveur membre d'un domaine Windows NT Server
vers un autre, retirez l'ordinateur de l'ancien domaine et ajoutez-le dans le nouveau.
- 201 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les serveurs d'un domaine forment une seule entité administrative, partagent les informations
relatives à la sécurité et aux comptes d'utilisateur, ce qui permet aux administrateurs et aux
utilisateurs de gagner du temps et de réduire leurs efforts.
Les utilisateurs qui parcourent le réseau à la recherche des ressources disponibles visualisent le
réseau regroupé par domaines au lieu de visualiser à la fois tous les serveurs et toutes les
imprimantes connectés au réseau.
Les relations d'approbation apportent au niveau du réseau, plutôt qu'au niveau du domaine
uniquement, les avantages de l'administration centralisée. L'établissement de relations
d'approbation entre les domaines de votre réseau permet d'utiliser les comptes d'utilisateur et les
groupes globaux dans des domaines autres que ceux dans lesquels ils sont stockés. Vous ne
devez créer chaque compte d'utilisateur qu'une seule fois, et dans la mesure où les services
d'annuaires permettent de synchroniser toutes les données relatives à la sécurité contenues
dans la base de données d'annuaires, le compte peut accéder à tous les ordinateurs du réseau,
et non être limité aux seuls ordinateurs appartenant à un domaine.
Les relations d'approbation sont créées uniquement entre les domaines Windows NT Server.
Lors de l'administration des serveurs membres, les ordinateurs exécutant Windows NT
Workstation ou un domaine LAN Manager 2.x, la commande Relations d'approbation n'est pas
disponible.
L'illustration suivante représente une relation d'approbation entre deux domaines qui contiennent
à la fois des ressources et des comptes.
Remarque :
Les flèches qui figurent dans l'illustration pointent toujours des ressources pouvant être
utilisées vers les comptes approuvés pour les utiliser.
- 202 -
ESAT/DMSI/SYS Administration Windows NT Serveur
ouvrir une session sur leur domaine et accéder aux serveurs du domaine Production et
ce, à partir de n'importe quelle station de travail de leur domaine.
être ajoutés dans des groupes locaux du domaine Production.
Toutefois, les utilisateurs du domaine Production ne peuvent pas:
appartenir à des groupes locaux du domaine Ventes,
ouvrir une session sur le domaine Production à partir des stations de travail du domaine
Ventes,
se connecter aux serveurs du domaine Ventes.
Pour créer des relations d'approbation, vous devez utiliser la commande Relations
d'approbation du menu Stratégies du Gestionnaire des utilisateurs pour les domaines pour
ajouter et enlever des noms de domaines dans la liste des domaines approuvés et dans celle des
domaines autorisés à approuver.
Pour établir une relation d'approbation unidirectionnelle, deux étapes doivent être effectuées,
chacune dans un domaine différent :
Dans un premier temps, le domaine qui sera le domaine approuvé ajoute un domaine dans sa
liste de domaines autorisés à approuver.
Ensuite, le domaine autorisé à approuver doit ajouter le premier domaine dans sa liste de
domaines approuvés.
- 203 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour établir une relation à double sens (dans laquelle chaque domaine approuve l'autre), ces
deux étapes doivent être effectuées deux fois, à savoir une fois dans chaque domaine.
Remarques :
L'établissement d'une relation d'approbation exige que les deux administrateurs de domaine
exécutent des actions sur leurs domaines respectifs.
Un nom de domaine peut être saisi en lettres majuscules et minuscules, mais celui-ci s'affiche
toujours en lettres majuscules.
La suppression d'une relation d'approbation exige également deux étapes, c'est-à-dire une dans
chaque domaine :
- 204 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les clients peuvent parcourir le réseau pour rechercher les imprimantes réseau Windows
disponibles. Vous pouvez effectuer cette opération à partir de l'icône Voisinage réseau, de
l'Assistant d'ajout d'une imprimante, voire, d'une manière encore plus simple, à l'aide de la boîte
de dialogue Configuration de l'impression des applications Windows NT et Windows 95.
Les clients peuvent parcourir le réseau pour rechercher les serveurs d'impression exécutant
d'autres systèmes d'exploitation. Par exemple, vous pouvez rechercher les serveurs d'impression
LAN Manager 2.x et vous connecter à des partages d'impression sur ces serveurs. Dans ce cas,
Windows NT vous demande d'installer le pilote d'imprimante approprié, si ce n'est déjà fait.
En tant qu'administrateur, vous pouvez gérer à distance les serveurs d'impression, les
imprimantes, les documents et les pilotes d'impression Windows NT.
En tant qu'administrateur, vous n'avez pas besoin d'installer des fichiers de pilote d'impression
sur un ordinateur client Windows NT afin de permettre à ce dernier d'utiliser un serveur
d'impression Windows NT. Si tous les clients exécutent Windows NT ou Windows 95, il vous suffit
d'installer ces fichiers uniquement sur le serveur d'impression.
Windows NT Workstation et Windows NT Server peuvent fonctionner soit en tant que client, soit
en tant que serveur d'impression. Cependant, dans la mesure où Windows NT Workstation
n'accepte que dix connexions et qu'il ne prend pas en charge les Services pour Macintosh et le
Service passerelle pour NetWare, il ne constitue un serveur d'impression approprié que pour les
réseaux de petite taille. Sauf indication contraire, toutes les sections de ce chapitre concernent
Windows NT Workstation et Windows NT Server.
Un pilote d'imprimante est un programme qui convertit les commandes graphiques en langage
d'imprimante spécifique, tel que PostScript ou PCL. Windows NT fournit des pilotes pour les
périphériques d'impression les plus courants. Lorsque vous créez une imprimante, vous
installez un pilote d'impression et vous avez la possibilité de la partager.
La résolution d'un périphérique d'impression est mesurée en points par pouce (ppp). Plus le
nombre de points par pouce est élevé, plus la résolution est bonne.
- 205 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Dans la terminologie Windows NT, une file d'attente d'impression est un groupe de documents
en attente d'impression. Dans les environnements NetWare et OS/2, les files d'attente
représentent l'interface logicielle principale entre l'application et le périphérique d'impression : les
utilisateurs envoient des documents vers une file d'attente d'impression. Cependant, avec
Windows NT, l'imprimante correspond à cette interface, et le document est envoyé vers
l'imprimante, non vers la file d'attente.
Mettre en spoule est la procédure qui consiste à écrire le contenu d'un document dans un fichier
sur un disque. Ce fichier est appelé fichier spoulé.
Le serveur d'impression est l'ordinateur qui reçoit les documents des clients.
Quelle que soit la taille du réseau, vous serez probablement amené à regrouper l'installation des
imprimantes sur quelques serveurs choisis. Un ordinateur fonctionnant en tant que serveur
d'impression peut également jouer le rôle d'un serveur de fichiers ou d'un serveur de base de
données. Aucune configuration matérielle particulière n'est requise. Seuls les ports de sortie
correspondant au périphérique d'impression, série ou parallèle, doivent être appropriés.
Lorsque vous utilisez Windows NT pour le partage de fichiers et d'impression, les fichiers sont
traités en priorité. Les impressions ne ralentissent jamais l'accès aux fichiers. De plus, les
opérations réalisées sur les fichiers ont une incidence négligeable sur les imprimantes attachées
directement au serveur. Ce sont les ports série ou parallèle qui provoquent les goulets
d'étranglement. Un serveur d'impression dédié peut être nécessaire si le serveur doit gérer des
imprimantes très utilisées.
- 206 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Avant d'installer des imprimantes sur un serveur, vous devez connaître les options de
configuration qui vous permettent d'améliorer la souplesse et l'efficacité des impressions réseau.
Après avoir étudié ces options, vous pourrez utiliser le dossier Imprimantes pour installer et
configurer les imprimantes.
Sous Windows NT, il n'est pas nécessaire d'établir une relation un à un entre les imprimantes (le
logiciel) et les périphériques d'impression (l'imprimante physique). En associant les imprimantes
et les périphériques d'impression de plusieurs manières, vous offrez davantage de souplesse aux
utilisateurs pour leurs impressions. Plusieurs configurations sont possibles, comme indiqué dans
les schémas ci-dessous.
- 207 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour ce faire, utilisez l'onglet Planification de la feuille de propriétés de l'imprimante pour définir
les heures d'impression des documents. Lorsque vous indiquez des heures d'impression, le
spouleur d'impression accepte les documents à toute heure, mais ne les imprime sur le
périphérique de destination qu'à l'heure indiquée. A la fin de la période d'impression, le spouleur
n'envoie plus de documents vers le périphérique d'impression et enregistre les documents
restants jusqu'à la période d'impression suivante.
De minuit à 6 h du matin
- 208 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Pour profiter pleinement des niveaux de priorité d'impression, créez plusieurs imprimantes
connectées à un périphérique d'impression. Attribuez à chaque imprimante un niveau de priorité,
puis créez un groupe d'utilisateurs correspondant à chaque imprimante. Par exemple, les
utilisateurs du groupe 1 ont accès à une imprimante de niveau de priorité 1, les utilisateurs du
groupe 2, à une imprimante de niveau de priorité 2, etc. Ainsi, vous pouvez attribuer une priorité
aux documents en fonction des utilisateurs qui les soumettent à l'impression.
Tous les périphériques du pool sont du même type matériel et représentent une seule
unité. Les paramètres d'impression s'appliquent à l'ensemble du pool.
- 209 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Les ports d'imprimante peuvent être du même type ou mélangés (parallèle, série et
réseau).
Il est impossible de savoir quelle imprimante du pool reçoit un document donné. Cependant, si le
service Messagerie de Windows NT est activé, une station de travail reçoit des messages
indiquant que les documents sont imprimés et identifiant l'imprimante par son port de sortie. Au
cas où les utilisateurs n'utilisent pas ces messages, il est préférable de regrouper les
périphériques d'impression au même endroit.
Comme indiqué dans la figure suivante, une configuration particulièrement souple vous permet
d'accéder à un périphérique d'impression à la fois directement et à l'intérieur d'un pool
d'impression. Une telle configuration allie la capacité de production élevée d'un pool d'impression
et la souplesse de plusieurs imprimantes.
Les périphériques d'impression sont connectés aux ordinateurs au moyen de ports parallèles.
Les câbles parallèles ont une longueur inférieure à six mètres. Les ordinateurs standard prennent
en charge trois ports parallèles.
Remarque :
Bien que les ordinateurs standard prennent en charge trois ports parallèle, en règle générale, un
seul est installé. Pour une installation, une configuration et un support plus faciles ou pour des
périphériques d'impression sans interface, utilisez le premier port parallèle (LPT1).
- 210 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Vous pouvez déclarer une imprimante lorsque vous installez le système ou ultérieurement à l’aide
de l’Explorateur, du Poste de travail ou du Panneau de configuration. Dans les deux cas, la
procédure ne pose aucune difficulté majeure.
Remarque :
Par défaut seul l’administrateur peut installer une imprimante local à la station. Les utilisateurs
peuvent uniquement accéder à des imprimantes déjà existantes.
Raccorder votre imprimante sur le port parallèle de votre machine (ne pas oublier de l’alimenter
en courant, papier et cartouches d’encre). Assurez vous que vous disposez du pilote de votre
périphérique.
Indiquez d’abord si vous raccordez une imprimante locale à votre ordinateur ou s’il s’agit d’une
imprimante réseau. Nous installons ici une imprimante locale.
- 211 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Choisissez un port, puis sélectionnez votre imprimante dans la liste des imprimantes. Le port
d’impression peut être un port local (LPT1 : , LPT2 : , COM1 : , etc.) ou un port virtuel piloté par
un protocole complémentaire (dans notre cas, c’est le port LPT1 ; premier port parallèle).
- 212 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Si votre imprimante n’apparaît pas dans la liste cela veut dire que son pilote ne se trouve pas sur
le CD-ROM d’installation de Windows NT. Vous devez alors cliquer sur le bouton « Disquette
fournie... » et spécifier le chemin du lecteur ou est stocké le pilote.
Ensuite, il vous faudra choisir un nom pour l’imprimante (c’est par ce nom que l’imprimante sera
visible sur le réseau), et choisir si cette imprimante sera l’imprimante par défaut.
- 213 -
ESAT/DMSI/SYS Administration Windows NT Serveur
L’installation se finit par l’impression du page de test pour valider le bon fonctionnement de
l’ensemble.
Nous ne décrivons pas ici en détail les propriétés des imprimantes. Elles varient fortement d’un
modèle à l’autre. Les imprimantes standard simples peuvent généralement être pilotées
directement avec les réglages par défaut. Par contre, si vous utilisez une imprimante recto-verso
avec trois bacs d’alimentation, vous devez indiquer toutes ses propriétés complémentaires.
- 214 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Contrairement aux périphériques série et parallèle, les périphériques d'impression avec cartes
réseau intégrées n'ont pas besoin d'être connectés physiquement au serveur d'impression. Leur
emplacement n'a aucune incidence sur les performances d'impression tant que les utilisateurs et
les périphériques d'impression ne se trouvent pas de chaque côté d'un pont ou d'une passerelle.
Un serveur d'impression Windows NT peut contrôler des douzaines d'imprimantes à interface
réseau, en fonction de sa capacité de traitement, de la mémoire installée ainsi que de la taille et
du nombre de documents qui sont envoyés vers le serveur d'impression. Afin de maintenir une
capacité élevée, ajoutez de la mémoire au fur et à mesure que vous ajoutez des périphériques.
Les périphériques d'impression à interface réseau sont connectés au réseau au moyen d'une
carte intégrée ou d'une carte additionnelle. Afin d'utiliser une imprimante à interface réseau,
installez le protocole DLC (Data Link Control) ou le service Impression Microsoft TCP/IP, en
fonction des méthodes d'impression prises en charge par votre périphérique d'impression. Les
imprimantes AppleTalk utilisent le protocole AppleTalk. Les imprimantes TCP/IP LPR (Line
Printer Remote Queue) utilisent le protocole TCP/IP et le service d'impression Microsoft TCP/IP.
Ce service présuppose que l’imprimante est raccordée à un ordinateur permettant le
fonctionnement d’un démon LPD (Line Printer Deamon). C’est un serveur d’impression sous
- 215 -
ESAT/DMSI/SYS Administration Windows NT Serveur
UNIX. L’impression via LPR est une application client/serveur. Utilisez l'icône Réseau du
Panneau de configuration pour installer ces protocoles et ces services lors du programme
d'installation ou ultérieurement.
En règle générale, vous devez déterminer l'adresse du périphérique d'impression réseau avant
d'installer le serveur d'impression Windows NT. Si vous imprimez via TCP/IP, vous avez
généralement besoin de l'adresse TCP/IP du périphérique d'impression. Si vous imprimez vers un
périphérique d'impression Hewlett-Packard à interface réseau, exécutez un autotest afin d'obtenir
l'adresse de la carte réseau. Si vous imprimez vers un périphérique d'impression AppleTalk, vous
devez connaître son emplacement.
3. Validez vos définitions. Redémarrez l’ordinateur pour mettre à jour les modifications.
Pour configurer un port Lpr, il vous faut l’adresse IP ou le nom du serveur d’impression (c’est
l’endroit où fonctionne le programme Lpd) et le nom de l’imprimante ou de la file d’attente sur le
serveur d’impression TCP/IP.
Remarque :
- 216 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Paramètres
-a : Affiche les entrées ARP courantes par interrogation de TCP/IP. Si addr_inet est spécifié,
seules les adresses physiques et IP de la machine spécifié apparaissent.
addr_inet : Spécifie une adresse IP en notation décimale pointée ( par exemple 160.210.30.10).
-N : Affiche les entrées ARP pour l'interface réseau spécifiée par addr_if.
-s : Ajoute une entrée dans la mémoire cache ARP ( table de correspondance entre les adresses
IP et les adresses MAC) afin d'associer l'adresse IP addr_inet à l'adresse physique addr_ether.
L'adresse physique se compose de six octets hexadécimaux séparés par des tirets. L'adresse IP
est spécifiée en notation décimale pointée. L'entrée est permanente (elle n'est pas supprimée
systématiquement du cache à l'expiration de la temporisation).
Exemple :
La commande ARP –s est employée pour ajouter au cache de la seconde interface une entrée
statique correspondant à l’hôte dont l’adresse IP est 10.57.10.32 et l’adresse Mac 00-60-8c-0 e-
6c-6a.
Remarque :
Vous pouvez être amené à taper plusieurs fois la commande ARP –s pour qu’elle soit prise en
compte dans la cache ARP, ou vous pouvez faire suivre la commande ARP d’un Ping sur la
nouvelle adresse IP.
- 217 -
ESAT/DMSI/SYS Administration Windows NT Serveur
2. Dans l’onglet Ports, cliquez sur Ajouter un port. Le port LPR est disponible, sélectionner le
et cliquez sur nouveau port
3. Dans la boîte de dialogue qui suit, indiquez l’adresse IP ou le nom du serveur d’imprimante et
le nom de l’imprimante ou de la file d’attente sur ce serveur.
4. Validez vos définitions. Un nouveau port a été créé, il est disponible dans l’assistant
d’installation d’imprimante. Sélectionné le, et continuer l’installation comme pour une
imprimante en locale.
- 218 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Utilisez la commande Lpr, décrite ci-après, pour créer des fichiers d’impression que vous voulez
envoyer vers l’imprimante distante.
Paramètre Résultat
-SServeur Nom ou adresse IP du serveur d’impression
-PImprimante Nom de l’imprimante ou de la file d’attente sur le serveur lpd
-CClasse Affiche le contenu de la page de séparation (facultatif)
-JTravail Nom de l’ordre d’impression (facultatif)
Type du fichier que vous envoyez, par défaut fichier texte. Utilisez l’option –O
-OOption
pour un fichier binaire (fichier PostScript binaire)
Exemple :
- 219 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Remarque :
Espace interdit : N’ajoutez pas d’espace entre les paramètres –S, -P, -C, -O et les options
correspondantes
Avec la commande Lpq, contrôlez l’état de la file d’attente d’impression sur un ordinateur distant.
Les deux premiers paramètres sont identiques à ceux de Lpr. Avec –l, indiquez si vous voulez un
affichage détaillé des données ou non.
Pour afficher la feuille de propriétés d'une imprimante, ouvrez le dossier Imprimantes, cliquez
sur l'imprimante, puis cliquez dans le menu Fichier sur Propriétés.
- 220 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Le tableau suivant indique les noms des fichiers de page de séparation fournis avec Windows
NT, la fonction de chacun et le type d'imprimante avec lequel ils sont compatibles. Ces trois
pages de séparation peuvent être modifiées. Par défaut, les fichiers de page de séparation sont
stockés dans le dossier racinesystème\System32.
- 221 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Commande Fonction
\LxxxxImprime tous les caractères (xxxx) qui le suive jusqu'à ce qu'un autre délimiteur de
commande soit rencontré ou jusqu'à ce qu'une page de séparateur indiquant le
nombre de caractères par ligne soit rencontrée. (Voir \Wnn.)
\Fpathname Imprime le contenu du fichier spécifié dans le chemin, en commençant sur une
ligne vide. Le contenu de ce fichier est copié directement sur l'imprimante sans
aucun traitement.
\Hnn Définit une séquence de contrôle qui dépend de l'imprimante, où nn est un code ASCII
hexadécimal envoyé directement à l'imprimante. Pour déterminer ces chiffres,
consultez le manuel de l'imprimante.
\B\S Imprime le texte sous la forme d'un bloc de caractères à longueur unique jusqu'à ce que
\U soit rencontré.
- 222 -
ESAT/DMSI/SYS Administration Windows NT Serveur
\E Ejecte une page de l'imprimante. Utilisez ce code pour démarrer une nouvelle page de
séparation ou pour terminer le fichier de page de séparation. Si vous obtenez une
page de séparation supplémentaire vierge lorsque vous imprimez, supprimez ce
code de votre fichier de page de séparation.
\n Passe un nombre n de lignes (de 0 à 9). Si vous passez 0 ligne, vous passez simplement
à la ligne suivante.
\B\M Imprime le texte dans un bloc de caractères à largeur double jusqu'à ce que \U soit
rencontré.
Remarque :
- 223 -
ESAT/DMSI/SYS Administration Windows NT Serveur
La modification des paramètres d'un port série ou parallèle, ou l'ajout ou la suppression de ports
a une incidence non seulement sur l'imprimante choisie, mais également sur tout le système.
Le tableau suivant indique les options disponibles sous l'onglet Planification de la feuille de
propriétés de l'imprimante.
Option Description
Disponible Indique la disponibilité de l'imprimante.
Définit une file d'impression en fonction de la priorité du
Priorité
document.
Commencer l'impression
Imprime les documents le plus vite possible (par défaut).
immédiatement
- 224 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Option Description
Imprimer directement sur Envoie des documents au périphérique d'impression sans les
l'imprimante écrire au préalable sur le disque dur du serveur d'impression.
Comme un dossier une imprimante peut être partagée. Si vous choisissez de partager votre
imprimante pendant l’installation, il vous suffit de lui donner un nom de partage. Ce nom sera
alors visible sur le réseau.
Votre imprimante peut aussi être utilisée par des machines ne fonctionnant pas avec Windows
NT. Vous devrez sélectionner les systèmes d’exploitation de tous les ordinateurs qui imprimeront
avec ce périphérique.
Attention :
- 225 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Sur une station de travail le nombre de connexion a un partage est limité à 10. Donc seulement
10 utilisateurs pourront demander des impressions simultanément.
20.5.5 Sécurité
20.5.5.1 Permissions
Vous pouvez accorder des droits d’accès à une imprimante sur le réseau au même titre qu’un
fichier ou un dossier. Windows NT propose pour les imprimantes, en plus de ceux du partage,
des paramètres de sécurité pour les droits d’utilisation et les contrôles d’accès, comme les
ressources NTFS.
Ces réglages ressemblent à ceux des fichiers et des dossiers. Aucun utilisateur ou groupe
d’utilisateurs n’est affecté lors du partage d’une imprimante (à l’opposé du partage de fichiers ou
de dossiers). Ce serait superflu, car vous pouvez restreindre les accès à une imprimante dans les
réglages de sécurité. Une imprimante peut apparaître sans problème dans la liste des ressources
de tous les utilisateurs.
Les paramètres de sécurité servent à définir les droits d’accès aux imprimantes. Voici les
différentes options concernant les utilisateurs et les groupes d’utilisateurs :
Aucun accès :
ce groupe ou ses membres ne peuvent pas utiliser cette imprimante.
Imprimer :
les utilisateurs du domaine peuvent envoyer des travaux d’impression.
Contrôle total :
- 226 -
ESAT/DMSI/SYS Administration Windows NT Serveur
en plus des propriétés de gestion des documents, les membres peuvent supprimer ou
installer une imprimante. Le bouton Permissions vous amène alors dans une boîte de
dialogue où vous spécifiez les droits d’accès.
20.5.5.2 Audit
Lorsque vous réalisez un audit sur une imprimante, vous contrôlez son utilisation. Pour une
imprimante donnée, vous pouvez indiquer quels groupes ou utilisateurs et actions auditer. Vous
pouvez contrôler les actions réussies comme celles qui ont échoué. Windows NT stocke les
informations produites par l'audit dans un fichier. Vous pouvez afficher ces informations à l'aide
de l'Observateur d'événements.
Pour effectuer un audit sur les activités d'une imprimante, voici les différentes options concernant
les utilisateurs et les groupes d’utilisateurs :
Imprimer
Audit l'impression des documents
Contrôle total
Audit le changement des paramètres pour l'impression des documents, la connection
d'une imprimante, le changement des propriétés de l'imprimante, et la modification des
paramètres de la file d’attente d’impression
Supprimer
Audit la suppression d'une imprimante
Modifier
- 227 -
ESAT/DMSI/SYS Administration Windows NT Serveur
Appropriation
Audit l'appropriation
Remarque :
Pour auditer une imprimante, vous devez définir la stratégie d'audit afin que celui-ci porte sur
l'accès aux fichiers et aux objets. Définissez la stratégie à l'aide du Gestionnaire des
utilisateurs pour les domaines
20.5.5.3 Appropriation
Utilisez le bouton Appartenance pour connaître le propriétaire de l'imprimante ou pour vous
approprier celle-ci. Vous pouvez vous approprier une imprimante si vous avez la permission
Contrôle total sur celle-ci ou si vous avez ouvert une session en tant que membre du groupe
Administrateurs. La propriété vous permet de définir les permissions pour l'imprimante.
- 228 -
ESAT/DMSI/SYS Administration Windows NT Serveur
21BIBLIOGRAPHIE
Complément sur la gestion des réseaux
Microsoft
Philippe Banquet
Guide de formation NT4
Tsoft
Eric Pearce
Windows NT in a nutshell. A desktop quick reference for system administrators
O’Reilly juin 1997
Dennis Maione
Windows NT Workstation 4
CampusPress 1998
David A.Solomon
Au coeur de Microsoft Windows NT
Microsoft Press 1998.
Paul Sanna
Windows NT Workstation 4.0
Simon & Schuster Macmillan 1996
Andreas Maslo
Microsoft Windows NT 4 de la programmation à l’expertise
Micro Application décembre 1996
- 229 -
ESAT/DMSI/SYS Administration Windows NT Serveur
22INDEX
- 230 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 231 -
ESAT/DMSI/SYS Administration Windows NT Serveur
- 232 -