Vous êtes sur la page 1sur 76

Directrice de publication : Valrie Brard-Trigo

Les cours du Cned sont strictement rservs lusage priv de leurs destinataires et ne sont pas destins une utilisation collective. Les personnes
qui sen serviraient pour dautres usages, qui en feraient une reproduction intgrale ou partielle, une traduction sans le consentement du Cned,
sexposeraient des poursuites judiciaires et aux sanctions pnales prvues par le Code de la proprit intellectuelle. Les reproductions par
reprographie de livres et de priodiques protgs contenues dans cet ouvrage sont effectues par le Cned avec lautorisation du Centre
franais dexploitation du droit de copie (20, rue des Grands Augustins, 75006 Paris).
BTS Informatique de gestion
2
e
anne
Option administrateur de rseaux locaux dentreprise
Isabelle Ufarte
Architecture logicielle
des systmes informatiques
Cours
Sommaire
Squence 1 : Vocabulons ................................................................................................... 5
Squence 2 : Les systmes multi-utilisateurs .............................................................. 11
Atelier 1 : Mise en domaine ............................................................................................. 21
Squence 3 : Introduction Active Directory............................................................... 33
Atelier 2 : Les droits et permissions ................................................................................. 43
Squence 4 : Gestion des authentifications ................................................................. 51
Atelier 3 : Gestion des utilisateurs ................................................................................... 59
Squence 5 : Actions dAD sur les partages ................................................................. 63
Squence 6 : Les stratgies dAD .................................................................................... 67
Atelier 4 : Mise en place des stratgies ........................................................................... 75
Squence 7 : Le DNS ou tout ce que vous navez jamais ........................................ 77
Atelier 5 : Mise en place dun serveur de sites : IIS ........................................................ 93
Atelier 6 : Le DNS .............................................................................................................. 99
Squence 8 : Le DHCP ...................................................................................................... 103
Atelier 7 : Le DHCP .......................................................................................................... 111
Squence 9 : Les protocoles ........................................................................................... 117
Atelier 8 : Le routage ..................................................................................................... 129
Squence 10 : Les diffrents rles des contrleurs de domaine ............................ 131
Atelier 9 : Terminal server .............................................................................................. 137
Squence 11 : Le modle du client-serveur .............................................................. 139
Atelier 10 : Outils de prise en main distance ............................................................. 149
Atelier 11 : De la scurit avant tout! ........................................................................... 151
Squence 12 : Un serveur de bases de donnes ....................................................... 161
Atelier 12 : Les utilisateurs SQL ...................................................................................... 173
Atelier 13 : SQL Server suite et fin ................................................................................ 179
Squence 13 : La scurit .............................................................................................. 189
8 3986 TG PA 00
5
Squence 1
Vocabulons
Cette squence prpare le lecteur quant au contenu de cet ouvrage.
Dure indicative
1/2 heure.
Contenu
Dfinitions des principaux termes utiles tout bon administrateur rseau.
Capacits attendues
Comprendre et connatre les termes de base.
Rfrences bibliographiques
Guide de ressources techniques Windows 2003 Server.
Bienvenue
Bienvenue dans le monde merveilleux des administrateurs rseaux. Vous venez de choisir loption
de tous les dlices. Partager, communiquer, administrer, centraliser... les problmes ! Vous pouvez
encore reculer, choisir une autre voie, il est encore temps, ceci nest que le premier chapitre de
deuxime anne. Car, il faut bien lavouer, linformatique a ne marche jamais ! Et cest VOUS qui
allez passer votre temps vous retourner dans votre lit pour comprendre. Pourquoi ? Pourquoi ?
POURQUOI ?
Pour commencer vous allez vous contenter de votre petit rseau personnel que nous allons mon-
ter ensemble, et mme si vous tes guids, conseills, voire chouchouts, a ne marchera pas
du premier coup. On vous aura averti, ne vous plaignez pas ensuite. Le mtier dadministrateur
rseau demande de la patience, de la passion (qui aime passer des nuits blanches devant un rseau
qui sobstine ne pas fonctionner ?) et des connaissances. Sur ce dernier point, voici un livre qui
vous dira que tout est phmre. Les diffrents systmes tudis ici nont quune faible dure de
vie ! Alors vous apprendrez les bases : apprendre rechercher, apprendre apprendre.
Un peu de vocabulaire
Afin de mieux se comprendre, il va falloir tablir un lexique sur les diffrents points qui seront
abords dans ce livre.
Il dpend des systmes tudis : Windows 2003 Server et Linux (la distribution Mandrake). Des
phrases caractrisant le systme Windows 2003 Server seront nonces. Il en ressortira un certain
8 3986 TG PA 00
6
Squence 1 Vocabulons
nombre de mots importants dont il faut ds maintenant connatre la signification qui devra tre
grave jamais dans votre mmoire (la Ram ou la Rom ?).
Windows 2003 Server est un systme dexploitation multitches, multithread 32 bits architecture SMP.
Multitche : un systme dexploitation qui gre plusieurs programmes simultanment en leur
attribuant un pourcentage du temps processeur.
Coopratif : chacun son tour dispose du processeur et des ressources. Mais si le programme
plante, il bloque le reste (SE Windows 16 bits) lapplication ne librant pas le processeur.
Chaque application dpend du bon fonctionnement des autres.
Premptif : le SE gre lordonnancement et lattribution du temps par des priorits. Il ny a pas
de blocage possible.
Multithreading : plusieurs tches sexcutent en pseudo-parallle lintrieur dune mme appli-
cation. Les threads dun mme processus partagent le mme espace mmoire. Un thread est un
bout de programme, une unit dexcution.
Multiprocessing : quand sur un serveur il y a plusieurs processeurs.
Asymtrique : un processeur pour le systme, les autres aux diffrentes applications (ASMP).
Symtrique : (SMP) toutes les requtes sont rparties sur les diffrents processus.
Il est noter que Windows 2003 Server existe aussi en version 64 bits, pour Entreprise dition et
Datacenter dition.
Windows 2003 Server Standart dition est un systme dexploitation qui ncessite un processeur cadenc
400 MHz, 512 Mo de Ram voir 1 Go et 1,5 Go de place sur le DD. On remarque toutefois que la technologie 64
bits, sur un ordinateur Itanium est plus gourmand.
Itanium : il sagit dun ordinateur quip dun microprocesseur Intel qui utilise un mode de calcul
base de jeux dinstructions explicitement parallles et ladressage mmoire 64 bits.
On le compare avec les processeurs x86 (voir cours AMSI).
Il supporte les formats de fichiers FAT, FAT 32 et NTFS. Le serveur doit tre format en NTFS.
NTFS :
scurit au niveau rpertoire et fichiers ;
gre la compression de disque ;
permet de grer un quota de disque pour chaque utilisateur ;
encrypte les donnes pour chaque propritaire ;
obligatoire pour stocker des volumes partags.
Rappel : sur un poste si lon choisit dinstaller des systmes dexploitation sur une partition FAT
et un autre sur NTFS, il faut imprativement installer le SE sur la partition FAT avant le SE sur la
partition NTFS. De plus on ne peut pas en FAT voir le contenu de la partition NTFS.
Windows 2003 Server a t conu pour grer de grands rseaux (grosse artillerie ?) avec notion de clustering
(deux machines se relaient en cas de problme).
On cre des clusters quand on dispose de plusieurs serveurs fonctionnant sous Entreprise dition
ou DataCenter dition qui vont fonctionner ensemble pour offrir aux utilisateurs un systme et
des ressources stables.
8 3986 TG PA 00
7
Squence 1 Vocabulons
Windows peut fonctionner :
soit en mode groupe de travail : cest du poste poste, chacun gre ses propres donnes et son partage ;
soit fonctionner en domaine : modle client-serveur, toutes les ressources sont administres par des contr-
leurs de domaine (serveur avec Windows 2003), donc centralises.
On verra plus en dtail les avantages et inconvnients de chacun dans des ateliers particuliers.
Il gre le protocole TCP/IP : cest le protocole de base dInternet. Il est routable et gre des rseaux tendus. Il
ncessite un plan dadressage explicite (notre plan dadressage, qui vous sera prsent dans latelier 2 ). Il nous
servira au niveau application (couche 7 du modle OSI) pour le courrier, le transfert de fichiers et la connexion
distance et au niveau rseau (couche 3 du modle OSI) pour le transfert dinformations.
Protocole : rgles appliques par des couches de mme niveau sur un rseau afin de commu-
niquer alors que les systmes physiques et dexploitation peuvent tre diffrents. Ouvrez votre
livre dAMSI pour revoir le modle OSI qui prsente les diffrentes couches. Un exercice dans la
squence sur les protocoles fera un rapprochement entre les diffrents protocoles que nous tu-
dierons et le modle OSI.
IP (Internet Protocol) : une adresse IP est code sur 32 bits. Elle est constitue dune partie rseau
et dune partie machine. Groupe en quatre classes (utilises) suivant la taille du rseau (nombre
de machines prsentes). Il faudra sy faire, le cours dALSI est troitement li au cours dAMSI,
puisque cest sa mise en pratique.
TCP (Transmission Control Protocol) : protocole de transport de linformation fiable (avec contr-
le du transport) orient connexion.
Routable : il passe les routeurs, il circule sur des rseaux diffrents.
Windows 2003 Server a augment son niveau de scurit en ajoutant une console de rcupration automatique
du systme ASR.
ASR (Automated system recovery) : il sauvegarde ltat du systme et la configuration des dis-
ques, afin de pouvoir les restaurer en cas de dfaillance.
Voici maintenant une srie de mots qui apparatront dans les prochaines squences et atelier.
Adresse MAC (Media Access Control) : adresse propre chaque machine elle identifie une carte
rseau alors quune adresse IP identifie un poste sur un rseau. Elle est unique et est donne par
le constructeur, vous ne pouvez pas la modifier contrairement ladresse IP.
Loopback : cest une adresse trs particulire : 127.0.0.1 qui permet de diffuser une information
localement sur une mme machine tous les processus (elle ne sort pas sur le rseau et ne permet
pas de tester le bon fonctionnement de la carte rseau communiquer sur le rseau).
Masque de sous-rseau : il permet didentifier dans quel rseau (ou sous-rseau) se trouve une
machine.
Nom netbios (NETwork Basic Input/ Output System) : cest le nom donn un ordinateur jusqu
NT4.
Nom netbeui (NETBios Extended User Interface) : cest le nom dun ordinateur non routable.
Donc cest un nom de machine qui ne peut tre vu que par les stations ou serveurs dun mme
rseau.
8 3986 TG PA 00
8
Squence 1 Vocabulons
Nom dhte : cest le nom dun ordinateur daprs la norme Internet , appel aussi RFC. Il est
plus long que le nom de machine, vous le verrez trs bientt.
DNS (Domain Name system) : il gre un espace de noms de domaines avec division du rseau en
rgions pour permettre une classification. Si vous surfez sur Internet alors vous avez affaire la
notion de DNS. On peut noter trois entres concernant le DNS :
le service DNS permet de rsoudre des noms dhtes en adresses IP et inversement (sur le
serveur ce service est un grand annuaire), il permet de donner le chemin que va emprunter
une information pour aller sa destination en utilisant les serveurs qui sont des nuds de
redirection ;
le serveur DNS permet dindiquer quels seront les contrleurs de domaines qui peuvent
authentifier la connexion sur le rseau ;
les enregistrements de ressource de service SRV enregistrent galement le rle jou par cha-
que serveur dans un domaine. Le nom du serveur possdant le rle auquel voudra accder le
client sera transmis grce aux enregistrements SRV stocks dans le serveur DNS.
DHCP (Dynamic Host Configuration Protocol) : le service distribue des adresses IP dynamiquement
aux machines connectes au rseau.
WINS (Windows Internet Name Service) : cest un service qui permet de mapper des noms
Windows (netbios) une adresse IP.
SNTP (Simple Network time protocol) : protocole de distribution de lheure. Il permet la synchro-
nisation de toutes les machines du domaine pour une authentification Kerberos.
LDAP : (Lightweight Directory Access Protocol) Il permet laccs lannuaire Active Directory pour
y rechercher un objet et plus. Vous pouvez faire une chouette activit professionnelle dessus !
Kerberos v5 : cest un systme dauthentification de lutilisateur (il faut montrer patte blanche)
et des services (est-ce vraiment un service authentique ?) demands sur le rseau. Il se trouve donc
sur le contrleur de domaine.
Certificats : lauthentification dune personne ou dun ordinateur peut tre valide par des certi-
ficats. Les certificats peuvent tre utiliss pour lencryptage des donnes ou la signature.
Ipsec : ce protocole crypte le transit IP grce des stratgies de scurit. Il fonctionne avec le
protocole IKE qui permet de ngocier des scurits entre les ordinateurs qui souhaitent commu-
niquer.
IPv6 (Internet Protocol version 6) : cest le protocole remplaant IPv4, qui ne permet plus entre
autres dattribuer suffisamment dadresses sur le rseau. Ce protocole permet damliorer la scu-
rit du trafic IP puisquil prend en charge Ipsec. Ladresse IP sur 128 bits diviss en tranches de 16
bits. IPv6 nutilise pas de masque de sous-rseau. Seule la notation longueur de prfixe est prise
en charge.
8 3986 TG PA 00
9
Squence 1 Vocabulons
Exercice 1
Ce petit questionnaire vous permet de vrifier vos connaissances. Suivant le nombre de OUF
gagn vous pourrez rebcher cette squence ou passer la suite.
Question 1
Le terme ALSI veut dire :
a. Automatiquement Lu et Saisi.
b. Autant Le Savoir Irrprochablement.
c. Architecture Logique des Systmes dInformation.
d. Architecture Logicielle des Systmes Informatiques.
Question 2
Le terme multitche coopratif veut dire :
a. Lutilisateur peut graver un CD et faire des recherches sur Internet.
b. Le systme permet douvrir deux fichiers Word en mme temps.
c. Quand le systme effectue plusieurs tches en mme temps,
il faut quelles aient un lien entre elles, puisquelles doivent cooprer.
d. Il ne peut y avoir de systme multitche sans lassocier au terme de mutithread.
Question 3
SNTP est utilis :
a. Lorsque sur un mme serveur il y a plusieurs processeurs qui
permettent de rpondre aux diffrentes requtes
b. Le systme est excut sur un seul processeur et les autres
processeurs se partagent le reste du travail.
c. Systme national des travaux public.
d. Pour synchroniser toutes les machines du domaine.
Question 4
Sur les systmes dexploitation 32 bits et 64 bits on peut dire :
a. Ils utilisent le mme type de partitionnement.
b. Windows 2003 Server entreprise fonctionne suivant les deux modes.
c. Windows 2003 Server fonctionne avec des partitions MBR et des partitions GPT.
d. Il y en a un plus cher que lautre.
Question 5
Pour rpondre aux questions suivantes, vous disposez de trois choix : nom netbios, nom dhtes
ou les deux.
a. Lorsque lon configure Windows 2003 Server on nous demande de saisir un nom
b. Le service Wins permet de mapper un nom et une adresse IP.
c. Le service DNS permet de mapper un nom et une adresse IP.
d. Un nom est routable.
8 3986 TG PA 00
11
Squence 2
Les systmes multi-utilisateurs
Cette squence trace les grandes lignes de ladministration dun rseau. Elle donne des
notions de multi-utilisateurs et du multitches.
Dure indicative
2 heures.
Contenu
Expliquer les principes de base du fonctionnement dun Systme dExploitation multi-utilisateurs
et/ou rseau.
Notion dadministration centralise.
Expliquer le rle important dun administrateur dans le ple scurit.
Capacits attendues
Survol des comptences.
C31 Assurer les fonctions de base de ladministration dun rseau.
C32 Assurer les fonctions dexploitation.
Prambule
Aujourdhui chacun ne peut plus rester dans son coin, le travail en quipe est devenu obligatoire.
Aussi a-t-il fallu relier les diffrents postes entre eux, le mdium commun tant le rseau, sans oublier
les points de connexions, reprsents par les cartes rseaux et surtout un langage commun.
Pourquoi un rseau ?
Cela permet la communication entre les utilisateurs (installs devant un poste, sinon ils crient
dans le couloir). On connat limportance de la messagerie, et de laccs linformation via
le rseau.
Le partage. Ce terme qui vient rapidement lesprit ne concerne pas uniquement les don-
nes (partage de dossiers et fichiers) et les logiciels, cette fameuse notion de clients lgers et
serveur lourd. Il y a aussi le partage de ressources matrielles comme les UC et la mmoire
du serveur pour gros calculs, lespace disque dun poste pour les sauvegardes, la mise en
commun des priphriques comme des imprimantes, des traceurs, des lecteurs et graveurs de
DVD, laccs Internet.
La rapidit. Cette notion dcoule de la prcdente.
8 3986 TG PA 00
12
Squence 2 Les systmes multi-utilisateurs
Enfin la simplification des tches la fois pour les utilisateurs et pour ladministrateur.
Lutilisateur qui bnficie dun rseau ne se dplace plus pour rechercher une information et
peut paradoxalement changer de poste, cest--dire changer de PC et retrouver tous les outils
et lenvironnement qui lui est propre. Ladministrateur centralise la gestion des utilisateurs et
des ressources, il peut intervenir distance.
Les problmes qui en dcoulent.
Toute nouvelle technique des dfauts.
Intgrits des donnes. Si lutilisateur A accde un document ainsi que B (puisquil y a par-
tage) et que tous deux dsirent en modifier le contenu, quelle sera la mise jour prise en
compte ?
Blocage des ressources. Lorsquil y a trop de personnes qui dsirent accder aux ressources en
mme temps, on aimerait bien que le rseau fonctionne encore.
Limitation daccs au systme. Cest facile de comprendre que les personnes extrieures au
rseau de lentreprise ne doivent pas y avoir accs. Tout le personnel ne doit pas avoir accs
aux bulletins de salaire, par exemple.
Stabilit du systme. Puisque toutes les machines sont lies, il ne faudrait pas que la panne
dun serveur entrane le dysfonctionnement du rseau.
Optimisation de lexcution des tches. Ce nest pas parce quon partage que lon doit atten-
dre des heures.
1. Les diffrents contextes multi-utilisateurs
Mettre en rseau, oui, mais comment rpartir le travail ? Voici trois contextes diffrents.
1
er
cas : un systme multi-utilisateurs avec un programme commun
Les diffrents utilisateurs sur leurs terminaux respectifs utilisent tous le mme programme install
sur le serveur.
Par exemple les systmes de rservations de places davion ou de train.
Ce premier cas met en vidence trois points importants qui sont :
laccs aux donnes ;
la scurit des donnes ;
le partage des donnes.
Plusieurs utilisateurs peuvent compulser les infos sans devoir attendre leur tour (simultanit
apparente). Toutefois, la modification est contrle de deux manires :
avoir le droit (nimporte qui ne peut pas regarder les fichiers de la police) ;
pas en mme temps quun autre. Le systme interdit la modification Y si X la modifie en ce
moment. Ce qui permet de ne pas rserver une mme place de train pour deux personnes dif-
frentes (il y a dj suffisamment de problmes avec les personnes qui se trompent de place).
Exercice 2
Donnez un autre exemple.
8 3986 TG PA 00
13
Squence 2 Les systmes multi-utilisateurs
2
e
cas : un systme multi-utilisateurs multitches
Les utilisateurs se partagent les mmes ressources tout en travaillant sur des programmes diff-
rents.
Les trois points importants de ce 2
e
cas sont :
la protection des donnes de chaque utilisateur ;
la rpartition quitable des ressources (paramtrable) ;
la scurit des donnes.
Le systme dexploitation a un travail plus lourd et plus complexe que prcdemment.
Chaque utilisateur a des droits qui lui sont propres lui permettant davoir accs certains fichiers.
Mais il a galement le droit de laisser des donnes sur le serveur auxquelles il aura seul ou non
accs.
Tout utilisateur doit avoir limpression dtre seul sur le serveur, le systme veille allouer cha-
cun une tranche de temps de lunit centrale.
Exercice 3
Donnez un exemple.
3
e
cas : un systme multi-utilisateurs multitraitements
Les utilisateurs se partagent les diffrentes units de traitements, cest--dire plusieurs serveurs
ou un seul compos de plusieurs processeurs. Il sagit par exemple de systmes informatiques dis-
tribus (thme abord dans le cours sur le client-serveur, squence 11). Une socit partage sa
base de donnes sur deux sites distants, Paris et Marseille. Chacun a une BDDR (Base De Donnes
Relationnelle) sur son serveur qui contient les articles mis en vente par la socit, les clients et les
commandes de sa rgion.
Les trois points importants ici sont :
la cohrence des donnes ;
lintgrit des donnes partages ;
la gestion de la rpartition des processus.
Exemple : le sige dune socit est dans un charmant village Saint-Prieux. Lors du changement
des prix des produits dcid au sige, la rpercussion est immdiate sur les sites de vente de
Lazcogne et Briancin (cohrence des donnes). De mme quand le site de production de Millau
indique une certaine quantit en stock, les sites distants, qui ont leur propre BDDR, ne peuvent
pas vendre le mme produit des clients diffrents (intgrit des donnes partages). Avec la
multiplication des BDDR, des utilisateurs on remarque que la difficult sest accrue, car dans le
premier exemple on ne disposait que dune source de donnes, ici il y en a quatre diffrentes,
Saint-Prieux, Lazcogne, Briancin et Millau.
Il sagit du principe du rseau que nous appliquerons toute lanne.
Exercice 4
Donnez un autre exemple.
8 3986 TG PA 00
14
Squence 2 Les systmes multi-utilisateurs
Exercice 5
Parmi les propositions suivantes indiquez celles qui impliquent un systme multitches et celles
qui impliquent un systme multitraitements.
a. Un grand club de loisirs met en place une application informatique (utilise par les agences de
voyages connectes) destine indiquer le nombre de places disponibles dans les centres de
vacances du club.
b. Un comptable utilise un micro-ordinateur pour tenir ses dossiers clients en utilisant un logiciel
comptable multi-socits.
c. Lorgane central dune banque propose ses agences un accs tlmatique son systme
informatique. Les agences pourront ainsi exploiter les diffrents logiciels de gestion de la
banque.
2. Caractristiques essentielles
dun systme dexploitation multi-utilisateurs
2A. La gestion des utilisateurs
Il faut recenser les utilisateurs de notre socit pour leur donner la possibilit ou non dutiliser le
rseau. Il faudra dans ce recensement choisir si chaque utilisateur du rseau sidentifie individuel-
lement ou laide dun pseudo, commun plusieurs, si ces utilisateurs effectuent la mme tche
trs ponctuellement. Notons que lidentification personnalise permet une meilleure traabilit
et avec les problmes de vaches folles...
Droits daccs
Chaque utilisateur peut tre reconnu spcifiquement par le systme avec un nom de compte et
un mot de passe, quil utilise lors de sa connexion au rseau. Le systme cre un numro unique
associ chaque compte : Guid. Il existe diffrentes politiques concernant ces noms de comptes.
Ladministrateur devra suivre une charte en fonction de ses besoins. De mme en fonction de lim-
portance des informations du rseau, le mot de passe peut lui aussi tre sujet des stratgies.
Afin doptimiser cette gestion des utilisateurs on utilise des groupes. Le plus facile est toujours
de globaliser les problmes. Ces groupes pourront rassembler des personnes du mme service, ou
des personnes effectuant les mmes tches et ou ayant les mmes droits sur les ressources. Il y a
beaucoup de possibilits, on verra cela en temps voulu. Laccs scuris aux programmes et aux
donnes seffectue par la gestion des noms des utilisateurs ou des groupes. Cest--dire que sur
chaque objet partag on indiquera qui peut faire quoi et pas linverse (sur les utilisateurs on
ne peut pas indiquer quoi ils ont accs).
Remarque : si ladministrateur (donc vous) peut dcider des droits daccs de chacun, leur tour
les utilisateurs peuvent en faire de mme sur leurs propres objets (may-day, may-day, danger on
coule !).
Environnement : profil obligatoire ou errant.
On peut dfinir des environnements propres chaque utilisateur. Quand un utilisateur se connec-
te sur un poste, il retrouve son bureau o quil aille au sein du rseau. Cest un profil itinrant ou
errant. Rassurant non ?
8 3986 TG PA 00
15
Squence 2 Les systmes multi-utilisateurs
Lutilisateur peut modifier son environnement et retrouver ses dernires mises jour sil na pas
de profil obligatoire. Ces deux possibilits sont offertes ladministrateur qui jugera en fonction
des comptences de lutilisateur et de son type de travail, ou des ennuis quils lui causent, sil lui
laisse la possibilit de modifier son bureau ou non. Toujours est-il que le profil est un outil pr-
cieux pour ladministrateur pour lui permettre de scuriser lenvironnement des utilisateurs par
exemple. On les connat ces utilisateurs qui cliquent nimporte o et effacent tout ce qui bouge. Ils
vous effacent des raccourcis comme qui rigole, dtruisent le menu Dmarrer en un quart de tour.
Et qui va recrer le lien ? Cest fini tout a, avec les profils obligatoires au revoir les problmes.
la prochaine connexion des utilisateurs leur bureau est comme neuf.
Le miracle vous sera expliqu trs prochainement. Il faut en garder pour plus tard, ceci nest
quune introduction.
2B. La gestion des ressources
Le systme gre galement les ressources que doivent se partager les diffrents programmes ex-
cuts par les utilisateurs.
Pour comprendre comment le systme peut grer son temps machine et sa mmoire dans un
environnement multi-utilisateurs, il faut se rappeler quun programme est compos de plusieurs
tches. Le SE les rend actives ou inactives suivant le principe dvnements ou de temps partag
mis en place sur la machine.
La gestion du microprocesseur
La gestion des vnements consiste en la reconnaissance des vnements, mais surtout au fait que
le temps libr par une tche lors de laccs au priphrique peut tre utilis par une autre tche.
Par exemple pendant quune tche a accs une information sur un fichier, le microprocesseur
est libre.
Le Time Sharing consiste partager le temps en fractions gales entre les diffrentes applications
tournant actuellement sur le poste. Chacune de ces tranches est alloue aux programmes au fur
et mesure.
Gestion de la mmoire
Paralllement le systme dexploitation gre le chargement des programmes en mmoire cen-
trale. Il faut optimiser lutilisation de la mmoire centrale aussi. Pour ceci trois mthodes peuvent
tre utilises :
le partitionnement : il consiste dcouper la mmoire en morceaux de tailles fixes ou non ;
la pagination est utilise dans le cas de gros programmes trop importants pour tre intgra-
lement chargs en mmoire centrale. Les programmes sont dcoups en pages de taille fixe,
charges soit en mmoire centrale soit sur le disque dur utilis cet effet comme mmoire
virtuelle (swap). Le systme dexploitation gre lchange entre les deux ;
la segmentation est une mthode perfectionne de la pagination. Les pages ont une taille
non fixe qui dpend du programme. Ces segments peuvent tre ou non chargs complte-
ment en mmoire centrale.
8 3986 TG PA 00
16
Squence 2 Les systmes multi-utilisateurs
Partages des priphriques
Le partage des autres ressources seffectue sans temps partag. Il y a tout dabord la notion de
droit daccs, puis les priorits et enfin priorit gale, les premiers demandeurs sont les premiers
servis et les autres ne le seront quune fois la tche entirement excute.
Exemple de mise en place de droits : le directeur, PDG ou patron dune entreprise, quelque soit
son nom le rsultat est le mme, ne souffre pas dattendre que le document quil a dcid dim-
primer passe aprs celui dun de ses employs. Outre le droit daccder limprimante partage,
une priorit plus grande lui a t accorde pour limpression de ses documents.
2C. La gestion de la scurit
Scuriser un rseau cest prvenir et au pire gurir !
Droits
Comme indiqu au paragraphe 2A., les utilisateurs et les groupes ont des droits diffrents : les
droits de lecture, criture, excution, modification qui peuvent tres appliqus sur des dossiers
ou des fichiers. Pour certains logiciels (SQL serveur) on peut donner dautres droits en fonction
des fonctionnalits du programme, comme ajouter, modifier, excuter ou crer. Donc suivant la
ressource ces ACL (Access Control List) peuvent tre diffrentes.
Une personne appartenant un groupe hrite des droits de ce groupe et les cumule avec les sien-
nes propres. Cest toujours le droit le plus fort (dit restrictif) qui lemporte : le droit dinterdire.
Les termes de permission et droit sont deux lments diffrents qui seront approfondis dans
latelier 3.
Sauvegardes
La scurisation ce nest pas seulement empcher que nimporte qui se promne nimporte o,
la scurisation passe galement par la sauvegarde des donnes et du systme ainsi que la dupli-
cation des informations primordiales avec un systme Raid ou un autre serveur qui va grer la
tolrance aux pannes.
Outils dintgrits
Dans un contexte multi-utilisateurs des outils dintgrits sont mis en place pour grer les donnes
du systme et des BDD.
Outils doptimisation
Il sagit aussi doptimiser lexcution de tches ; plusieurs serveurs de domaines pour ne pas engor-
ger le systme.
3. Ladministrateur
Il sagit en gnral dune seule personne qui sera nomme administrateur (elle aussi a un compte
avec un nom autre que celui de ladministrateur). Son rle est tout dabord dtablir une ligne
de conduite pour grer le systme efficacement. Ladministrateur pense ! Linstallation de SE ou
doutils ne sont pas une fin en soi, il faut dterminer ensuite le paramtrage du systme. Comme
toujours une analyse de lexistant puis du futur projet est ncessaire. Ne pas ngliger les diffren-
tes possibilits offertes par le SE et ses successeurs.
8 3986 TG PA 00
17
Squence 2 Les systmes multi-utilisateurs
Ladministrateur centralise, contrle, scurise, informe, optimise, rpare, planifie et dlgue. Il
doit pour cela analyser les cots dinstallation de maintenance et scurit afin deffectuer les bons
choix de matriel, logiciels et configurations. Donc il vous faudra matriser le cours de GEOSI.
Exercice 6
Donnez des exemples pour chacune des actions de ladministrateur.
Un ensemble doutils matriels et logiciels est disponible pour mener bien les tches de ladmi-
nistrateur. Son outil principal aprs son cerveau, est son niveau de communication avec les utilisa-
teurs. Vous tes le noyau du systme mais vous tes aussi au service des autres.
Exercice 7
Donnez des exemples doutils.
4. Les serveurs
Dans un rseau on trouve diffrents types dordinateurs. Ces ordinateurs peuvent tre associs en
groupes de travail aujourdhui ils sont gaux entre eux, personne nest matre, pas de centralisa-
tion des informations ; les droits, les permissions sont donns sur chacune des machines. partir
dun certain nombre (assez petit) il est prfrable de grouper ces ordinateurs dans un domaine.
Sinon cest rapidement la panique, totalement ingrable. Ladministrateur ne peut pas tre par-
tout la fois. Un poste sera serveur et centralisera les droits...
Plus la socit est importante (et par consquent le nombre dordinateurs et les sites) plus il est
recommand de crer plusieurs domaines qui sinterconnectent pour former ce que Windows
appelle une fort. Ce terme sera longuement expliqu dans la squence suivante.
Un domaine est gr par un serveur spcial appel contrleur de domaine : il contient la liste des
comptes utilisateurs, des postes du rseau et les rles des serveurs. Il gre lauthentification.
Il existe dautres serveurs que lon dit membres du domaine car ils ne grent pas les accs aux
rseaux mais ils partagent des ressources :
les serveurs de fichiers ;
les serveurs dapplication ;
les serveurs dimpression ;
les serveurs Web...
Il nest crit nulle part que les diffrents postes du rseau, clients et serveurs doivent fonctionner
sous le mme systme dexploitation. Les premires phrases dintroduction parlent dun langage
commun, pas dun systme dexploitation commun, apprenez lire ! Oui, mais pourquoi parler
de langage commun ? Et les protocoles vous les avez oublis ? Ces rgles qui permettent de faire
communiquer des machines travers les diffrentes couches du modle OSI.
Il est noter que plus le rseau est important plus il est judicieux de partager les tches sur diff-
rents serveurs. La notion daccessibilit/rapidit, cela vous rappelle quelque chose ?
Remarque : pour un souci de scurit vidente on vitera au maximum de crer un serveur Web
sur un contrleur de domaine.
8 3986 TG PA 00
18
Squence 2 Les systmes multi-utilisateurs
Exercice 8
Puisque cest si vident, expliquez pourquoi un serveur Web ne doit pas tre contrleur de
domaine.
5. Le modle domaine unique
Le modle domaine unique est le plus simple de tous comprendre et surtout grer (par rap-
port une fort ou avec des domaines enfants, attendez la prochaine squence !). Il est choisi en
fonction du nombre dutilisateurs, de leur travail (ladministration dun lyce ne se trouve pas sur
le mme domaine que les lves) et des contraintes de distance (postes clients dans un primtre
restreint, sinon on parlera de site). Donc en gnral dans une PME ou PMI, chez un artisan on met
en place un rseau comportant un seul domaine. De toutes les manires avant de penser crer
des forts, on commence par crer un domaine. Donc autant matriser la premire brique avant
de se lancer construire un immeuble.
On vient de voir dans le paragraphe prcdent, quun domaine tait rgi par un contrleur de
domaine, mais aussi que pour viter lengorgement et pour grer la tolrance aux pannes, il tait
conseill de configurer plusieurs serveurs. Le nombre de contrleurs de domaine dpend donc du
nombre dutilisateurs, du matriel install et de limportance du rseau pour le bon fonctionne-
ment de lentreprise.
Les avantages dun tel modle sont :
gestion centralise des comptes utilisateurs ;
cest le plus simple grer (pas de relation dapprobation, pas dautres groupes que les
locaux et globaux).
Par opposition, les inconvnients sont :
moins de modularit : pas de regroupement des utilisateurs en services bien distincts et donc
de dlgation par service ;
pas de regroupement des ressources. Ds que le domaine comporte plusieurs serveurs il y a
une augmentation du temps de parcours de linformation ;
difficile volution : sil y a trop dutilisateurs ou de groupes il faut changer de modle.
La notion de domaine sera approfondie dans la squence suivante, ce chapitre est suffisamment
long comme a !
ce niveau il serait temps de commencer travailler sur un rseau. La thorie cest bien beau
surtout quand on peut la mettre en pratique. travers le premier atelier on verra les avantages
et inconvnients des rseaux poste poste. Le deuxime atelier montre un rseau de type 3. Il
met en vidence la notion de droit daccs centralis, la politique qui en dcoule et la notion de
langage commun.
Alors sus aux machines !
8 3986 TG PA 00
19
Squence 2 Les systmes multi-utilisateurs
Rsum
Administrer un rseau cest se simplifier le travail et se rajouter des problmes plus
complexes.
En fonction du contexte on devra grer au mieux les utilisateurs et les ressources du rseau.
Il faudra effectuer des choix tant larchitecture du rseau (domaine), que son organisation
(serveur, partage des ressources, gestions des utilisateurs) et de sa scurit.
8 3986 TG PA 00
21
Atelier 1
Mise en domaine
Dans cet atelier nous allons crer un domaine.
Dure indicative
6 heures, il y a deux bonnes heures dinstallation.
Contenu
Formatage et partitionnement, NTFS.
Installation du poste serveur sous
Windows 2003 Server.
Configuration du rseau.
Partage de ressources logicielles
et matrielles.
Capacit attendue
C22 Installer et configurer un rseau.
C31 Assurer les fonctions de base
de ladministration dun rseau.
Matriel ncessaire
Deux PC
Un CD avec partition magique
Le CD de Windows XP Pro qui est bootable
Un Hub ou un Switch
Deux cartes rseaux et leur driver
Deux cbles rseaux
Un tournevis.
Prambule
Vous frmissez de plaisir lide de laisser courir vos doigts sur le clavier, de cliquer tout va,
ne le niez pas ! Si jusqu prsent quand vous passiez sur machine, ctait un rgal, vous risquez
aujourdhui la douche froide. En premire anne, votre PC fonctionnait. En deuxime anne ce
ne sera pas automatique. Nous allons tellement triturer la machine quelle risque de ne pas bien
sen remettre.
Nous allons commencer par formater deux PC. Aussi je vous recommande de rflchir votre
future organisation pour faire vos devoirs en AMSI, DAIGL, et GEOSI. Soit vous avez un troisime
PC, soit il faudra attendre la fin de latelier 1 o vous retrouverez un PC sous Windows XP Pro avec
Office ou lquivalent que vous aurez rinstall.
Dans tous les cas, ne vous contentez pas de lire cet atelier et de dire, je sais faire, jai compris.
Mettez les mains dans le cambouis !
1. Formatage
1A. Prambule au formatage
Cest une action que connaissent bien les bidouilleurs en informatique qui pour un oui ou pour
un non formatent tout va. Sacher que formater est laction que lon effectue en extrme limite,
8 3986 TG PA 00
22
Atelier 1 Mise en domaine
quand on a pass des heures sur la machine et que lon na pas russi la dpanner. Il faut bien
vous dire que formater une machine correspond un chec. Vous serez un vrai informaticien, pas
un bidouilleur, vous. Vous nuserez du formatage quen extrme limite.
Si linformation a t grave dans votre esprit, nous allons pourvoir formater les PC. Et non je ne
suis pas en contradiction avec le paragraphe prcdent, puisque nous allons commencer notre
premier atelier ensemble. Cest bien davoir lesprit vif !
Vous tes bien en face de votre PC ? Il contient bien une carte rseau ?
Vous pourriez introduire votre CD de partition magique et suivre les indications pour crer deux
partitions, une pour le systme dexploitation et lautre pour les donnes.
Votre premier poste sera votre poste client et ne sera pas reformat au cours des diffrents ate-
liers que nous suivrons ensemble. Vous crez une plateforme de test. Nallez pas reproduire ceci
en entreprise !
Vous hsitez formater selon les indications ? Je sais bien que vous pouvez repartitionner votre
disque afin de garder votre travail. Mais je vous dis non, non et NON ! Il faut formater votre PC,
reprendre sa configuration de zro.
Si vous avez une machine sous Linux, sachez que les systmes Windows doivent tre installs avant
le systme Linux. Windows modifiera le MBR, on ne pourra jamais choisir le multiboot, sauf si vous
matrisez Linux, auquel cas je vous laisse faire.
Si vous ne me croyez pas vous pouvez toujours vous amuser perdre du temps !
Dernire chose et on passe sur machine, il existe la possibilit dutiliser un utilitaire de type VM
Ware qui vous cre une machine virtuelle sur votre PC, cest pratique, moins cher, mais cest plus
difficile de sy retrouver.
1B. Formatage (enfin !)
Vous navez pas dutilitaire de partitionnement, alors vous pouvez reprendre le livre dAMSI
cours commun aux deux options faire un CD de boot avec latelier 2 et formater et partition-
ner le disque avec la commande fdisk de latelier 3.
Formater cest initialiser le systme de fichiers. Nous aurons deux systmes, il faudra deux forma-
tages de deux partitions.
Il nous faut crer des partitions principales car elles sont dites amorables , cest--dire que lon
peut dmarrer dessus. Mais je ne vous apprends rien de nouveau, vous le saviez dj !
Windows XP Pro sera install sur du NTFS et Linux sur EXT2FS.
Comme il y a eu assez de blabla dans cet atelier, nous ferons un rapide rappel sur le formatage,
le partitionnement et les diffrents systmes NTFS plus loin.
Vous pouvez utiliser maintenant votre CD de partition magique pour crer les partitions et les
formater. Je nirai pas jusqu vous proposer des photos du logiciel, vous y tes bien arriv tout
seul en premire anne!
8 3986 TG PA 00
23
Atelier 1 Mise en domaine
Cest fait ? Rien de fabuleux ! Oh ! Et croyez vous quavec Fdisq on peut crer ou effacer une
partition Linux, que neni !
Fdisk est une commande DOS et ne voit et ne comprend que des systmes de fichiers DOS.
2. Les diffrents Systmes
Windows 2003 Server est un systme qui doit tre install sur une partition NTFS. Parce que cest
mieux nous dit la premire squence, mais en quoi ? Cest ce que vous dcouvrirez en achetant
notre complment 650 000 E. Vous avez remarqu vous aussi que quand cela devient plus int-
ressant, quand on sort des gnralits, le prix augmente ?
Moi, je vous dirai tout.
2A. Le formatage
Il seffectue deux niveaux, celui effectu par le fabriquant et quelquefois vous, si vous disposez
du bon utilitaire (un bon administrateur rseau a de bons outils) et lautre que vous avez tendance
trop utiliser (mais cela va changer, vous savez que ce nest pas une bonne solution).
Le formatage de bas niveau dcoupe le disque dur en pistes en secteurs et en cylindres. Mais
peut-tre serait-il bon de rappeler quun disque dur est un ensemble de plateaux (pas de TV) qui
retiennent les informations (appeles des bits) grce la couche doxyde magntique dont ils
ont t enduits. On peut crire sur les deux faces dun plateau sur
des pistes concentriques. Ces pistes sont dcoupes en secteurs.
Si au lieu de dcouper, on regroupe, on utilise le terme de cylin-
dre pour nommer lensemble des pistes n1 de tous les plateaux
par exemple.
Quand on formate physiquement un disque cest que lon pola-
rise le disque pour le dcouper en piste, secteurs et cylindres.
Polariser cest du rel, du concret, cest comment dire... physi-
que !
Le formatage de haut niveau dpend directement du systme dexploitation, cest donc logi-
que de dire quil sagit dun formatage logique car effectu logiquement. Il cre un systme de
fichiers lui permettant de stocker des fichiers (les donnes sont regroupes en fichiers, cest plus
commode pour y accder).
Le MBR : le Master Boot Record est le secteur le plus important du disque, il contient des infos
comme le nombre doctets par secteur, le nombre de secteurs... il permet la reconnaissance du
disque dur. En plus il contient la table de partition principale et le boot loader qui permet de
dmarrer le systme qui se trouve dans la partition choisie. Si vous le chercher, on le trouve sur
le secteur 1 de la piste 0.
2B. Systmes FAT32 et NTFS
Le systme FAT pour File Allocation Table est bas sur le principe dune table qui contient les
numros des blocs utiliss. Il localise ainsi les fichiers dans les blocs.
Le terme de cluster est prfr au terme de bloc. Un cluster a une taille fixe de secteurs.
8 3986 TG PA 00
24
Atelier 1 Mise en domaine
Une particularit plus apparente pour vous est le principe de rpertoire racine et de sous-dossiers.
Dans ces dossiers on trouvera nos fichiers.
Tout cela vous le saviez bien sr.
Le systme NTFS pour New Technologie File System est bas sur le principe dune table de fichier
matre. Cela ressemble beaucoup au prcdent. On peut grer des noms longs et respecter la casse
et surtout rajouter des attributs, grer les quotas. On stocke les donnes et non plus une liste de
clusters.
Comme il est contraignant de ne pouvoir avoir quun seul systme dexploitation ! Comme il serait
plaisant de sparer lespace de mon disque dur en diffrents morceaux afin quil ne puisse y avoir
aucune interfrence entre les donnes, ou comme si javais une multitude de disques durs pour
le prix dun.
2C. Le partitionnement
On sait pourquoi partitionner, voyons comment.
Vous lavez lu quelque part, il existe au maximum quatre partitions principales pour les systmes
X86. Les partitions principales sont bootables, donc cest sur elles que lon pourra installer des
systmes. Afin de simuler dautres partitions principales ou plus de partitions, on peut navoir que
trois partitions principales et une tendue qui contiendra des lecteurs logiques. Chacun aura un
nom de volume. Quand on partitionne on indique les tailles des partitions, leurs types, le systme
Fat, NTFS, EXT ...
Quand on partitionne et formate un disque avec Windows 2003 Server, on peut crer des disques
de base et des disques dynamiques. Le deuxime permet la tolrance de panne grce au mirroring
et au RAID 5 et lagrgation de plusieurs volumes (coller des morceaux de volumes diffrents).
3. Cration du poste serveur
3A. Cration des partitions
Le CD de 2003 Server, comme XP Pro intgre un outil permettant de partitionner et formater le
disque dur, autant sen servir.
Modifiez le bios de votre serveur, lancien poste Chameau, afin de dmarrer sur le CD. Dmarrez partir du CD
et crez une partition de la moiti de votre disque, laissez le reste libre, pour Linux. Formatez en NTFS. Pour ceci
sur la premire fentre tapez sur la touche ENTRE pour installer 2003 Server. Appuyer sur C dans la deuxime
fentre pour crer deux partitions. Puis une fois les deux partitions cres, tapez sur la touche ENTRE pour
installer 2003 Server sur la partition slectionne. Ne vous trompez pas, choisissez la premire ! Quand il aura
fini de formater et de copier les fichiers, il redmarrera, ne bootez plus sur le CD, vous recommenceriez
la mme opration.
3B. Installation du systme
Notre voyage nous amne en Inde, un rve denfant se ralise, restons dans les bras dun gros
nounours : le serveur sera Balou2003, notre client pourra tre nomm Moogli.
8 3986 TG PA 00
25
Atelier 1 Mise en domaine
Vous voulez rester srieux ? Alors nommez votre domaine dom51.loc, cela manque de charme,
non ?
Mais les machines sont identifies en premier lieu par une adresse IP, aussi je vous propose de
travailler sur le rseau 192.168.5.0 de garder la premire adresse 192.168.5.1 pour le serveur
Balou2003, dutiliser ladresse 192.168.5.3 pour le client XP Pro(Moogli). Pour ladresse 192.168.5.2
on verra plus tard.
3C. Configuration du systme
Lors de linstallation plusieurs validations vous sont proposes, voyons-les ensemble.
1. Vrifier et valider les paramtres rgionaux. Si vous tes un tudiant franais choisir tout ce qui
concerne la France, vous pouvez cliquer sur les boutons Personnaliser et Dtails.
2. Vous rentrerez ensuite votre nom et votre organisation sur la personnalisation de votre poste.
Si vos CD proviennent de votre entreprise entrez le nom de votre entreprise dans la zone orga-
nisation, sinon cela vous regarde.
3. Pas de problme pour la cl, mais pour le nombre de licence laissez par dfaut par serveur
nombre simultan 5. Ceci nest quune plateforme de test.
4. Cela devient srieux, cest ici que les
ennuis peuvent commencer si vous ny
faites pas attention. Le nom de lordi-
nateur est Balou2003. Rappelez vous de
votre mot de passe. Il doit suivre la stra-
tgie des mots de passe fort de Windows
2003 Server. Cest--dire une scurit
accrue en utilisant des majuscules, des
chiffres ou caractres autres que des let-
tres. Le tout donnant un mot qui nexiste
pas dans le dictionnaire.
5. Rglez lheure.
6. ltape Paramtres de Gestion du
rseau, vous reprenez la main en
cliquant sur le bouton Paramtres Personnaliss.
Cest ici que lon va attribuer les adresses IP. Dans la liste des composants, slectionnez Protocoles
Internet TCP/IP. Puis cliquez sur Proprits. Saisissez votre adresse : 192.168.5.1 puis son masque
de sous rseau 255.255.255.0 (cest une adresse de classe C). Et Validez.
7. La notion de domaine est aborde cette tape. Vous avez la ferme intention de crer un
domaine dans les minutes qui viennent, pour linstant il nexiste pas, aussi laissez coch lop-
tion : non cet ordinateur ne se trouve pas sur un rseau...
8. Laissez terminer linstallation.
Votre poste nest pas encore un serveur de domaine nous allons le transformer maintenant.

8 3986 TG PA 00
26
Atelier 1 Mise en domaine
3D. Configuration automatique dActive Directory
Au redmarrage de la machine, connectez-vous avec votre compte Administrateur. Si lcran suivant napparat
pas vous pouvez faire le tour de magie qui suit.
Choix 1 : dveloppez le menu
Dmarrer. Dveloppez Tous les
programmes, puis dans le menu
Outils dadministration choisir
loption Grer votre Serveur. Enfin
cliquez sur Ajouter ou Supprimer
un rle.
Cliquez sur suivant.
Choisir la configuration person-
nalise, au moins on sait ce quon
fait !
Dans la liste slectionner le Contrleur de domaine (Active Directory).
Ou, choix 2 pour les plus cascadeurs, partir du menu Dmarrer et de la fentre Excuter, tapez
DCPROMO. Cela revient au mme.
Maintenant le vrai travail commence !
1. Slectionner loption Contrleur de domaine pour un nouveau domaine. Cest la premire fois
que vous crez un domaine.
2. Slectionnez loption domaine dans une nouvelle fort, car les deux deux autres options sont
utilises quand on configure des serveurs dans des domaines comportant dj un contrleur
de domaine.
3. Votre contrleur de domaine Active Directory sappuie sur le serveur DNS, aussi votre serveur
sera galement serveur DNS, slectionnez loption : non, je veux installer et configurer le ser-
vice DNS sur cet ordinateur.
4. Cette tape installe donc le serveur DNS. Vous devez saisir le nom DNS complet du domaine
D51.loc.
Un nom DNS comporte deux parties : un suffixe .loc et un prfixe D51. On utilise loc pour
indiquer que notre domaine est sur un rseau local. D51 est un nom comme les autres, si vous
souhaitez en changer, il faudra faire la corrlation avec votre nom et le mien.
5. Puis on vous demande de saisir le nom de domaine NetBIOS qui est simplement le prfixe choisit
prcdemment donc D51.
6. Ltape qui suit concerne les ventuels autres serveurs de votre domaine, quils soient contr-
leurs ou pas. Afin dobserver une bonne interoprabilit on choisit lune ou lautre option. Pour
vous le problme ne se pose pas, il ny a quun seul serveur, cest celui-ci, donc vous choisissez
la deuxime option : autorisations compatibles uniquement avec les systmes dexploitation
serveurs Windows 2000 ou Windows 2003.
7. Vous utilisez le mme mot de passe pour ladministrateur de restauration des services dannuai-
res que celui de ladministrateur.
8. Lassistant configure le tout et vous demande de redmarrer, ce que vous vous empressez de
faire.

8 3986 TG PA 00
27
Atelier 1 Mise en domaine
3E. Configuration automatique du DNS
Lors de linstallation dActive Directory, il vous sera dit ou demand dinstaller le service DNS.
Pourquoi ?
Lorsquun utilisateur se connecte au serveur, il demande entrer dans un domaine. On peut voir
le nom du domaine dans la troisime zone de texte droulante la connexion quand on appuie
sur trois touches en mme temps CTRL ALT SUPPR. Le client doit demander au serveur DNS de
traduire ce nom en adresse IP du serveur Contrleur de domaine. Vous avez ici un exemple des
liens troits entre Active Directory et le serveur DNS.
1. Vous allez modifier les paramtres TCP/IP du serveur
en lui rajoutant ladresse du serveur DNS : 192.168.5.1
Vous ne travaillez que sur un seul serveur qui aura
beaucoup de tches excuter, puisquil sera contr-
leur de domaine et serveur DNS. Cest pourquoi
ladresse IP du serveur DNS est la mme que ladresse
IP du contrleur de domaine.
Vous avez compris que sur votre client dont ladresse
IP est 192.168.5.3, on rajoutera comme adresse du ser-
veur DNS prfr 192.168.5.1
2. Au travail. Cest ici encore un rle que doit assumer
le serveur, vous devez rutiliser la console Grer votre
serveur. Pour ceci re-effectuer les oprations suivan-
tes.
Dveloppez le menu Dmarrer. Dveloppez tous les programmes, puis dans le menu Outils
Dadministration choisir loption Grer votre Serveur. Enfin cliquez sur Ajouter ou Supprimer
un rle.
3. Dans la liste des rles double cliquez sur le serveur DNS.
4. Aprs avoir insr le CD
dinstallation il faut faire des
choix. Le premier concerne la
cration dune zone de recher-
che directe seule. Le deuxime
parle de deux types de zone,
directe et inverse. Le troisime
des indications de racine. Mme
si votre rseau est de petite
taille, deux machines, vous tes
en apprentissage, aussi vous
choisirez la deuxime option.
Cela nous permettra de faire
une traduction dun nom en
adresse IP et dune adresse IP
en un nom.
Remarque : seule la partie haute de liceberg DNS sera explique ici.
8 3986 TG PA 00
28
Atelier 1 Mise en domaine
5. Vous choisissez ensuite de crer une zone de recherche directe maintenant.
6. Cette zone est dite principale, il ny a pas dautre serveur DNS sur votre rseau. Slectionnez le
premier choix.
7. Le nom de votre zone correspond votre nom de domaine, dom51.loc Votre serveur nappar-
tient pas une fort, il ny a pas de choix.
8. Le service DNS nest pas une base de donnes statique, il se met jour automatiquement quand
une traduction de nom en adresse IP a t rsolue, surtout quand les postes appartiennent au
domaine et sont donc des objets dactive directory. Choisissez le premier choix Nautorisez que
les mises jour scurises.
9. Il vous faut crer la deuxime zone qui elle est une zone de recherche inverse. Cliquez sur Oui,
crer une zone de recherche inverse maintenant.
10. Cette zone est aussi une zone principale pour
la mme raison que pour la zone de recher-
che directe. Cliquez sur le premier choix.
11. Contrairement 2000 Server on saisit ladres-
se rseau lendroit cest--dire : 192.168.5
seuls les trois premiers octets.
Si tout va bien le nom de la zone de recher-
che inverse sera 5.168.192.in-addr.arpa.
12. Nautorisez pas les mises jour dynamiques.
13. Si vous souhaitez sortir sur Internet il faudra
que le serveur, quand il ne sait pas rsoudre
un nom en adresse IP, ce qui est le cas pour
google.fr par exemple, aille demander un
autre serveur DNS. En cliquant sur non vous
laissez aux sept serveurs racines du Web, la
possibilit de rsoudre la requte.
Puis Validez le tout.
4. Cration dune console MMC
Vous venez dinstaller seulement
Windows 2003 Server et il y a dj
beaucoup de programmes . Nous
allons crer une trousse outils com-
prenant seulement le ncessaire.
Une Microsoft Management Consol
place sur le bureau, porte de
main, contiendra notre matriel nous
permettant de grer les composants
matriels, logiciels et rseaux de
notre systme.

8 3986 TG PA 00
29
Atelier 1 Mise en domaine
Pour crer une console, excutez la commande MMC.
Dans la nouvelle fentre ainsi obtenue, vous rajouterez les
composants enfichables voulus partir du menu Fichier.
Cliquez sur le bouton Ajouter en bas de page et dans
la liste vous choisirez les diffrents lments de limage
cran gauche. La liste sera complte au besoin au cours
des squences et ateliers que nous ferons ensemble.
Les composants sont des liens directs sur les services, pri-
phriques installs sur la machine et publis dans Active
Directory.
Vous ne pouvez pas rajouter le composant de SQL Server
tant que vous naurez pas install ce logiciel.
Si vous regardez dans le fichier Options vous verrez quel
est le mode daccs, donc la scurit associe cette
console. Par dfaut il sagit du mode auteur. Cela veut
dire que lorsque vous vous connecterez avec un autre
utilisateur quAdministrateur sur le serveur, ce qui va tre
le cas, trs rapidement, vous ne verrez pas cette console.
Ouf nimporte qui ne peut pas faire nimporte quoi avec ma console !
Au fait quelle scurit existe-t-il pour empcher lutilisateur Lambda, trs malfaisant daccder
mon systme ?
Il existe des stratgies pour empcher les utilisateurs daccder des donnes sensibles, la pre-
mire tant que seuls les membres du groupe Administrateurs peuvent se connecter au serveur.
Cela va mieux, mais comme on peut crer des consoles MMC sur XP Pro, ne serait-ce pas le
moyen pour lutilisateur Lambda, toujours aussi malfaisant, mais aussi malin, daccder au ser-
veur et via le composant Utilisateur et ordinateurs Active Directory de se rajouter dans le groupe
Administrateur ? Non, les stratgies sont bien faites !
Vous ne me croyez pas alors vous ferez cet exercice quand vous aurez configur vos clients conve-
nablement.
Exercice 1
Avec lutilisateur Lambda, sous Windows XP Pro, lancez la commande MMC et rajoutez le com-
posant enfichable service sur le poste serveur . Puis essayez de lancer ce composant dans la
console MMC de lutilisateur Lambda.
8 3986 TG PA 00
30
Atelier 1 Mise en domaine
5. Mise en domaine du client sous XP Pro
Avant, installez XP Pro sur la pre-
mire partition de Moogli. Il va fal-
loir modifier les adresses IP (si cela
na pas t dj fait), le renommer
et le faire appartenir au domaine.
Cliquez droit sur le bureau
et dans le deuxime onglet
Bureau, cliquez sur le bouton
Personnalisation du bureau,
rajoutez licne favoris rseau.
Cliquez droit sur licne Favoris
rseau, puis Proprits.
Cliquez droit sur licne
Connexion au rseau local et
Proprits.
Slectionnez le protocole TCP/IP (quil faut
rajouter si besoin) et entrez ladresse IP
192.168.5.3 et le masque 255.255.255.0
Rajoutez ladresse du serveur DNS
192.168.5.1
Enfin rajoutez ladresse du serveur WINS
192.168.5.1 en cliquant sur le bouton Avanc
puis sur longlet WINS.


8 3986 TG PA 00
31
Atelier 1 Mise en domaine
On renomme un ordinateur en mme temps quon le fait appartenir un domaine.
Cliquez droit sur le Poste de travail sur le bureau, et choisissez Proprits dans le menu contex-
tuel.
Cliquez sur longlet Identification rseau. On y est !
Le plus rapide est de choisir le bouton Proprits et de se passer de lassistant.
Renommez lordinateur en Moogli.
Cochez le bouton doption Domaine dans le groupe Membre de et entrez le nom du domaine
dom51.loc.
On vous demande qui est autoris effectuer ce changement et cest ladministrateur du
domaine dom51, ne vous trompez pas de mot de passe !
Devinez, il demande redmarrer !!!
On peut utiliser le bouton ID rseau pour faire la mme chose, cest plus long mais il y a plus
dexplications sur la manipulation.
Si cela ne marche pas, il faut vrifier vos adresses IP, votre masque, vos cbles et bien sr je nose
le dire que votre serveur 2003 soit allum et ladministrateur connect !
Une main qui se lve ? Jcoute :
quoi a sert de rentrer ladresse du serveur DNS et du serveur WINS ?
Le client quand il se connecte sur un rseau doit connatre ladresse du serveur qui pourra lui
effectuer la rsolution de nom et cest sur la carte rseau que ces informations sont stockes.
Les squences 6 et 9 sont plus explicites sur ces deux termes.
8 3986 TG PA 00
32
Atelier 1 Mise en domaine
6. Augmentation du niveau de fonctionnalit du serveur
Dans un rseau important, tous les serveurs ne peuvent pas tre changs en mme temps, aussi
plusieurs versions de Microsoft Server cohabitent-elles. Pour garder la compatibilit entre un
serveur fonctionnant sous 2003 Server et NT Server certaines fonctionnalits de 2003 Server sont
inhibes et certaines fonctionnalits de NT Server sont mules sous 2003 Server. Dans ce cas 2003
Server doit fonctionner en mode mixte. Quand on fait cohabiter du 2000 Server avec du 2003
Server on fonctionne en mode natif. Enfin quand tous les serveurs sont sous 2003 Server, ce
qui est notre cas, on fonctionne en mode 2003 Server (Microsoft na pas trouv mieux comme
nom !).
Par dfaut votre serveur est install en mode mixte mme sil vous demande si vous travaillez avec
dautres versions et que vous rpondez non. Il va donc falloir augmenter le niveau de fonctionna-
lit du domaine pour profiter de la pleine puissance de 2003 Server.
Cette opration peut seffectuer de deux endroits diffrents : de la console Domaine et approba-
tions Active Directory comme de la console Utilisateurs et Ordinateurs Active Directory.
Lancez votre console MMC enre-
gistre sur le bureau.
Ouvrez Domaines et approba-
tions Active Directory (ou lautre)
pour faire apparatre votre
domaine.
Cliquez droit sur le domaine et choisissez Augmenter le niveau de fonctionnel du domaine.
Dans la zone Slectionner un niveau fonctionnel du domaine disponible vous allez Augmenter
deux fois de niveau jusqu atteindre le niveau Windows Server 2003.
Remarque : cette opration est irrmdiable, il ny a aucun retour en arrire possible si ce nest
de rinstaller votre serveur !
8 3986 TG PA 00
33
Squence 3
Introduction Active Directory
Cette squence prsente un systme dexploitation de type rseau 2003 Server.
Dure indicative
2 heures.
Contenu
Prsentation des lments caractristiques ce systme.
Prsentation du rle dActive Directory et sa structure dorganisation.
Prsentation du DNS.
Gestion dobjets particuliers : les utilisateurs, les groupes.
Capacits attendues
C31 Assurer les fonctions de base de ladministration dun rseau.
C32 Assurer les fonctions dexploitation.
Prambule
Un systme dexploitation rseau permet de grer plusieurs utilisateurs, plusieurs ordinateurs (de
types diffrents), et de partager des ressources. Le mot grer englobe de nombreux verbes comme
protger, partager, organiser, sauvegarder...
Afin dimplmenter et administrer un rseau Windows 2003, il faut comprendre la philosophie
du systme. Windows 2003 Server considre de la mme manire du matriel, des utilisateurs et
des ressources. Tous dans le mme panier, torchons et serviettes. Un seul outil contrle le tout :
Active Directory.
1. Active Directory
Seuls les serveurs contrleurs de domaine disposent de la magie dActive Directory.
Active Directory centralise la gestion du rseau (tout peut tre gr dun seul poste) mais peut
galement dlguer des autorisations spciales dautres utilisateurs.
Loutil Active Directory est appel un service dannuaire : cest un service rseau qui stocke des
informations sur les ressources rseau, caractrises par un symbole, et les rend accessibles aux
utilisateurs et aux applications. Les ressources peuvent tres : des serveurs, des lments palpables
comme des utilisateurs, ou des lments symboliques (pour un exemple il faut lire la suite). Cest
travers les oprations : nommer, dcrire, localiser, grer, et scuriser quil permet cet accs aux
informations sur les ressources rseau.
8 3986 TG PA 00
34
Squence 3 Introduction Active Directory
1A. Structure logique dorganisation dActive Directory
Les objets
Toutes les informations (utilisateurs, machines, serveurs, domaines...) sont considres comme des
objets. Chaque objet possde des attributs dont une valeur les caractrise.
Exemple : lobjet utilisateur Durdedur Tif du service investigation, a pour valeur Durdedur dans
son attribut Nom.
Les diffrents types dobjets sont regroups dans des classes. Chaque classe dfinit les objets avec
la liste des attributs qui les caractrise.
Les classes dobjets sont : ordinateurs, utilisateurs, imprimantes...
Les principaux attributs dun objet de type utilisateur sont : nom, nom de session, nom complet,
mot de passe...
Les attributs dun objet de type imprimante sont : nom, emplacement...
Exemple : la personne Tif qui se connecte au rseau est un objet de type utilisateur (sa classe) dont
les valeurs des quatre principaux attributs cits ci-dessus sont : Durdedur, Durdedur@dom51.loc,
Durdedur.investigation.trouvetout, XX20
Comme la liste des classes est stocke dans une base de donnes on peut en avoir la liste dynami-
quement. Ce schma de classes peut tre enrichi par des personnes habilites. Ces listes sont dites
DACL (Discretionary Access Control List).
Le rangement
Aprs le type dobjet voyons le rangement de ces objets dans Active Directory. Cela ressemble
beaucoup un chemin de fichier.
Par exemple le fichier bilan2005-1.xls se trouve sur le disque dur C dans le dossier compta puis
dans le sous dossier prem_trimestre. Avec lexplorateur on suivra le chemin suivant :
C:\compta\prem_trimestre\bilan2005-1.xls
Les chemins daccs aux objets suivent le protocole LDAP (Lightweight Directory Access
Protocol).
Exemple : CN=Durdedur,OU=investigation,OU=trouvetout,DC= dom51,DC=loc
CN est la cl qui prcde le nom des objets utilisateurs, ordinateurs...
OU est la cl qui prcde lunit dorganisation.
DC est la cl qui prcde le nom DNS (Domain Name System) du domaine.
Ainsi chaque objet est caractris par un nom unique (chemin daccs) et un nom unique relatif
qui est gnralement la premire partie du nom unique. Il sert identifier lobjet dans son conte-
neur lors dune recherche. Lordinateur cre galement un numro unique : le GUID (Globaly
Unique Identifier)
travers ce chemin on voit une hirarchie organisationnelle.
8 3986 TG PA 00
35
Squence 3 Introduction Active Directory
Le domaine, lunit dorganisation, lobjet.
Un domaine est un ensemble dordinateurs de tous poils regroups autour dun rseau.
Un domaine est gr par au moins un contrleur de domaine : un serveur sur lequel se trouve
la base de donnes dannuaire.
Un domaine est contrl par un administrateur.
Un domaine porte un nom unique.
Un domaine gre laccs aux ressources de manire centralise.
Un domaine dispose de ses propres stratgies de scurit.
On prfre installer plusieurs contrleurs de domaine dans un mme domaine pour pallier aux
pannes et pour diminuer les temps de connnexions quand le trafic du rseau est important.
Dans un domaine sur chacun des contrleurs dun mme domaine est dupliqu lannuaire
dActive Directory afin de prendre le relais si le contrleur principal devenait hors service.
Lorsquil existe plusieurs contrleurs de domaine, la mise jour des modifications seffectue soit
automatiquement, soit la demande de ladministrateur.
Afin de ranger les diffrents objets dun domaine (utilisateurs, ordinateurs et ressources) on uti-
lise des units dorganisation (ou Organisational Unit) qui sont des objets conteneurs. On peut
effectuer une hirarchie par rapport au modle dadministration du rseau, cest--dire une
unit dorganisation pour les utilisateurs, une autre pour les machines... ou suivre une hirarchie
organisationnelle qui suit par exemple lorganisation des salaris au sein de la socit.
Voyons plus loin et plus grand.
On peut regrouper des domaines qui communiquent entre eux dans des forts.
Exemple 1 : pour une socit, si elle est importante, il est souvent plus simple de crer plusieurs
domaines. Par exemple une SSII spcialise dans la cration de sites Internet travaille en rseau
(local et sur Internet). La partie administration de cette socit doit partager des informations sur
son propre rseau, et il existe un autre rseau pour les quipes conceptrices. Chacun de ces
rseaux est gr par un contrleur de domaine diffrent. Toutes les informations ne doivent pas
tre partages entre ces deux rseaux car elles concernent des domaines dinformations diff-
rents. Pourtant il est intressant de lier les deux, car un chef de projet doit tablir des plannings,
des devis quil doit transmettre ladministration. Cest plus simple pour lui de se connecter une
seule fois son ordinateur et de communiquer avec les deux contrleurs principaux sans avoir
changer de nom dutilisateur et de mot de passe suivant le rseau dans lequel il travaille.
Les deux domaines sont en relation dapprobation et forment ainsi une fort. Les utilisateurs
des domaines ont la chance dtre authentifis par lautre domaine.
Tout comme on trouve une hirarchie organisationnelle dans une socit on peut trouver une
hirarchie dans les domaines.
Dans une fort on trouve aussi des arbres (dans certaines on trouve aussi des champignons mais
on na pas encore trouv quoi cela correspondait en informatique).
Un arbre dans une fort est un ensemble de domaines partageant un espace de noms contigus.
Un exemple assez simple pour mieux comprendre le terme ? le domaine histoiresdekermess.his-
toires.com et ftesandco.histoires.com (mme fin = espace contigs).
Pour des domaines de types pres et enfants on utilise le terme darborescence. Un domaine
enfant est un domaine qui garde le nom de son pre auquel on a rajout un nom qui le caractrise.
8 3986 TG PA 00
36
Squence 3 Introduction Active Directory
Admin.
lve.lyc
IG.lve.lyc CPSE.lve.lyc
arborescence
Fort du lyce
Exemple 2 : dans un lyce tous les lves peuvent avoir accs au rseau du lyce. Certains l-
ves nont pas de cours dinformatique et accdent au rseau via le CDI afin gnralement de se
connecter sur Internet. Ils ont la possibilit de stocker des informations sur un espace personnel
sur le disque dur du serveur du CDI. Les lves en BTS compta et secrtariat ont en plus des cours
dans des salles informatiques dun autre btiment le RIZ. Ils travaillent sur des machines dites client
lger (les programmes sont sur le serveur). Parce que ladministrateur responsable des serveurs du
CDI nest pas le mme que celui responsable des serveurs du RIZ, deux domaines diffrents ont
t crs. Les lves de BTS IG se connectent aussi sur le rseau mais ont besoin doutils et dordi-
nateurs trs diffrents (des PC classiques) et des serveurs trs spcialiss, leurs possibilits seront
diffrentes des autres lves. On voit l trois domaines diffrents qui simbriquent. lve tant le
domaine parent. Tous les lves du lyce y ont accs. IG et CPSE sont des domaines enfants. Seuls
les lves des BTS en question peuvent sy connecter. Si on rajoute le personnel administratif qui
doit pouvoir travailler dans un endroit rserv, on rajoute un quatrime domaine Admin.lic. On
peut dire que Admin.lic et Elve.lyc sont deux arbres de la fort car ils sont en relation dappro-
bation (les profs doivent pouvoir travailler avec les lves et saisir les notes dans le rseau admi-
nistratif). Voici un schma rcapitulatif.
Chaque triangle correspond un domaine.
Exercice 9
Rajoutez sur le schma les relations dapprobation. Entourez les arbres de la fort.
Exercice 10
Combien y a-t-il darbres ?
8 3986 TG PA 00
37
Squence 3 Introduction Active Directory
Il existe des relations bidirectionnelles (approbation dans les deux sens) et des relations dap-
probation transitive (de pre en fils qui sont gnralement aussi bidirectionnelles).
Un petit rappel de mathmatique :
Transitivit : si A approuve B et B approuve C alors A approuve C
On remarque que dans une arborescence il y a partage de nom contigu. Le nom du domaine
enfant est combin au nom du domaine parent pour former son DNS. Par contre les arborescences
distinctes dune fort ne forment pas un espace de nom contigu. Afin de communiquer entre eux
ils possdent un catalogue global commun.
Un catalogue global permet de trouver les informations des Active Directory de toute la fort,
il permet dutiliser des informations dappartenance des groupes universels pour ouvrir une
session sur le rseau (nom de session). Ce catalogue se trouve sur le serveur de catalogue global
qui est en fait le contrleur du premier domaine cr sur le rseau. On communique avec ce ser-
veur via des requtes. On retrouvera la notion de catalogue global dans la squence sur les rles
du serveur.
1B. Structure physique
Si la structure logique organise les ressources rseaux, la structure physique gre le trafic du
rseau. Elle est transparente pour les utilisateurs.
Elle est forme de contrleurs de domaines et de sites.
Un contrleur de domaine est un serveur quip de Windows 2003 Server qui :
stocke lannuaire ;
duplique vers dautres contrleurs du domaine lannuaire (automatique) ;
contrle louverture de session : authentification de lutilisateur.
Un site est une combinaison dun ou plusieurs sous-rseaux IP connects par une liaison haut
dbit.
Comme il nexiste aucune corrlation entre le ct physique et logique, un site peut contenir plu-
sieurs domaines et un domaine peut tre form de plusieurs sites. Les noms des sites et domaines
sont indpendants.
Exercice 11
Admi.lic pourrait-il tre un site diffrent ?
2. Le systme DNS
Windows 2003 utilise le standard DNS pour son espace de nom de domaine. Tout ce qui a t
prsent dans la notion de domaine, arbre, fort...
Le serveur DNS permet la rsolution de nom dhtes en adresse IP. On utilise aussi le terme de
mapper. Je rappelle quune machine sidentifie sur le rseau grce une adresse IP, mais que luti-
lisateur lambda y accde depuis un autre poste via un nom. Cest le service DNS qui traduit.
Il permet aussi de localiser les services rseaux fonctionnant dans le domaine : enregistrements
SRV contenant le rle de chaque serveur.
8 3986 TG PA 00
38
Squence 3 Introduction Active Directory
Tout premier exemple dutilisation du service DNS
Quand on installe un nouveau poste client, on lui indique ladresse IP du serveur DNS quil devra
interroger pour savoir qui est le contrleur de domaine. Ainsi le client pourra avec ladresse IP
renvoye authentifier la connexion auprs du contrleur de domaine. Les deux fonctions peuvent
tre sur un mme serveur comme sur des serveurs diffrents.
Voir atelier dinstallation du DNS atelier 6. Cette notion fera lobjet dune squence entire lui
tout seul, squence 7.
3. Configuration et administration des utilisateurs
et des groupes
3A. Les utilisateurs
Afin de permettre un utilisateur de se connecter sur le rseau il faut lui ouvrir un compte. Puis
on lui octroiera des permissions sur les ressources du rseau.
Il existe trois types de comptes utilisateur.
Compte dutilisateur local : il nautorise laccs qu un seul ordinateur, celui sur lequel il est
cr et ne permet pas dutiliser les ressources rseau, puisque quil nest pas authentifi par le
contrleur de domaine.
Compte dutilisateur de domaine : il autorise laccs aux ressources du domaine (des droits
peuvent le restreindre). Ce sont des comptes crs sur le serveur.
Compte dutilisateur intgr : il permet deffectuer des taches administratives ou accder pro-
visoirement au rseau. Ce sont des comptes spciaux crs sur le serveur.
Les comptes peuvent tre crs individuellement ou en bloc laide dun fichier texte ou batch
(cest pour bientt dans la squence 4 !).
Exercice 12
Un compte utilisateur dutilisateur intgr est-il un objet ou une classe ?
Afin que chaque utilisateur soit unique on doit respecter des rgles dunicit de nom de compte.
Mme si lordinateur attribue chaque utilisateur un GUID qui lui est propre. De plus par souci
dune bonne gestion des utilisateurs on observera des rgles de nommage.
Exemples de rgles de nommage : premire lettre du prnom et les cinq premires lettres du
nom. Ou premire lettre du prnom, premire lettre du nom et dernire lettre du nom.
Sous Windows 2003 Server il existe un nom principal dutilisateur et un nom douverture
de session dutilisateur, le deuxime permet la continuit dans un domaine o il existerait des
contrleurs de domaine sous des versions prcdant 2000. Encore une fois cest la diffrence entre
les noms Netbios et les noms DNS ou dhte.
8 3986 TG PA 00
39
Squence 3 Introduction Active Directory
Le nom principal dutilisateur est cr en ajoutant au nom de lutilisateur le nom du domaine
racine. Tout comme une adresse @mail.
Exemple : Tif Durdedur de la socit Trouvetout a comme nom principal dutilisateur : TDurdedur@
dom51.loc
Dom51 est le nom du domaine racine et loc indique le domaine par rapport Internet (exemple
loc pour local).
Le nom douverture de session est le nom du domaine auquel on ajoute le nom de lutilisateur.
Car on commence toujours par choisir son domaine avant de se connecter.
Exemple : dom51. TDurdedur
3B. Les groupes
Les groupes permettent de grer laccs aux ressources du rseau en regroupant les autorisations.
Ils facilitent la gestion des utilisateurs et des droits sur les ressources. Ils ncessitent une vritable
attention de ladministrateur.
Il existe deux types de groupes : scurit et distribution.
Les groupes de scurit sont les plus utiliss car ils permettent dobtenir des droits sur des res-
sources.
Les groupes de distribution ne permettent pas de recevoir des permissions daccs aux ressources,
ils sont simplement utiliss dans des applications grant le courrier lectronique.
On peut choisir de crer des groupes locaux de domaine, globaux ou universels.
On choisit son type de groupe et son tendue en fonction du mode de son domaine (mixte ou natif 2000 ou
natif 2003).
Mme, si la squence est longue, vous navez pas pu oublier linstallation de 2003 Server et le pas-
sage en contrleur de domaine ! Dans une des tapes on vous demande sil y a dautres serveurs
dans le domaine dont la version est infrieure 2003. Si ctait le cas, il faut travailler avec une
mthode diffrente. Avec des serveurs sous NT on fonctionne en mode mixte. Avec des serveurs
sous 2000 on fonctionne en mode natif 2000. Vous devriez fonctionner en mode natif 2003.
Caractristiques gnrales :
un utilisateur peut tre membre de plusieurs groupes ;
les groupes peuvent tres imbriqus les uns dans les autres sauf en mode mixte ;
les groupes imbriqus hritent des autorisations du groupe dont ils sont membres ;
les groupes peuvent contenir jusqu 5 000 membres.
Les groupes globaux
On utilise un groupe global pour regrouper des personnes effectuant les mmes tches et acc-
dant aux-mmes ressources.
Les membres des groupes globaux sont :
tous les comptes utilisateurs dun mme domaine en mode mixte ;
tous les comptes utilisateurs et groupes globaux dun mme domaine en mode natif.
tendue
Le groupe est visible dans son domaine et dans tous les domaines approuvs de la fort.
8 3986 TG PA 00
40
Squence 3 Introduction Active Directory
Peut recevoir une autorisation pour tous les domaines de la fort.
Rappel : on ne les utilise pas pour contrler laccs aux ressources du domaine.
Les groupes locaux de domaine
On les utilise pour affecter des autorisations sur les ressources situes dans le mme domaine.
Les membres des groupes locaux sont :
tous les comptes utilisateurs, groupes globaux dun domaine de la fort en mode mixte ;
tous les comptes utilisateurs, groupes globaux et universels dun domaine de la fort et
groupes locaux de domaine dun mme domaine (natif).
tendue.
Le groupe local nest visible que dans son domaine.
Peut recevoir une autorisation pour son domaine.
Les groupes universels
Ils nexistent que dans le mode natif. Ils permettent dimbriquer des groupes globaux afin daffec-
ter des autorisations aux ressources concernes sur plusieurs domaines.
Les membres des groupes universels sont tous les comptes utilisateurs, des groupes globaux
et dautres groupes universels dun domaine de la fort.
tendue.
Le groupe universel est visible dans tous les domaines de la fort.
Peut recevoir une autorisation pour tous les domaines de la fort.
Remarque : sur un domaine unique, il ny a pas de groupe universel.
Exercice 13
Faites un tableau rcapitulatif ou un schma permettant dindiquer quels sont les membres de
ces groupes dans les diffrents modes.
Il existe quelques conseils de gestion pour crer des groupes et donner des permissions.
La stratgie A, G, DL, P indique dans quel ordre on doit crer des groupes.
On place des comptes utilisateurs (Account) dans des groupes globaux (G).
Puis on place des groupes globaux dans des groupes locaux (DL).
Enfin on accorde aux groupes locaux des autorisations sur les ressources (Permission).
La stratgie A, G, P sutilise quand on a un seul domaine et peu dutilisateurs.
La stratgie A, DL, P sutilise quand on a un seul domaine.
La stratgie A, G, DL, P sutilise quand on a plusieurs domaines.
La stratgie A, G, U, DL, P sutilise dans une fort plusieurs domaines et beaucoup dutilisateurs.
Pour accorder des autorisations, se placer sur la ressource et dans longlet scurit, ajouter les
utilisateurs et groupes ainsi que leurs droits.
8 3986 TG PA 00
41
Squence 3 Introduction Active Directory
Rsum
2003 Server est organis autour dActive Directory qui est une base dannuaire (ensemble
denregistrements) contenant la liste des objets grer.
Objet : lment de base. Ce peut tre lutilisateur TDurdedur comme lunit dorganisation
Investigation. Chaque objet des attributs avec des valeurs. Lattribut qui permet didenti-
fier un objet est le GUID.
Classe : les objets sont regroups dans des classes : utilisateur, unit dorganisation...
Les objets sont rangs selon le protocole LDAP.
Quand on associe plusieurs domaines ont peut obtenir des structures qui sont :
Fort : pour faire une fort on doit avoir au moins deux domaines qui ont une relation
dapprobation entre eux. Cette relation dapprobation permet de mettre en commun un cer-
tain nombre dobjets dont les utilisateurs, qui seront ainsi reconnus dans les deux domaines.
Arbre : si des domaines partagent un espace de noms contigus (mme suffixe par exemple)
ils forment un arbre.
Arborescence : quand deux domaines sont relis par une relation pre-fils on parle darbo-
rescence.
Parmi les lments dActive directory on retrouve les utilisateurs qui sont des comptes
permettant lauthentification dune connexion sur le domaine. Ces comptes peuvent tre
assembls dans des groupes en fonction de choix de ladministrateur et de la structure de
son rseau.
Les objets sont nomms par rapport au protocole FQDN. Ils portent un nom complet et uni-
que (contenant le nom du domaine).
8 3986 TG PA 00
43
Atelier 2
Les droits et permissions
Dans cet atelier nous allons comprendre la diffrence et linterfrence entre les droits et
les permissions des utilisateurs que nous auront crs au pralable. Cela implique une pri-
se en main de la console utilisateurs et ordinateurs Active Directory et de lexplorateur.
Dure indicative
2 heures de casse-tte.
Contenu
Cration dutilisateurs en mode console.
Cration de groupes en mode console.
Gestions des droits et des autorisations.
Cration de dossiers partags.
Gestion des hritages.
Capacit attendue
C22 Installer et configurer un rseau.
C31 Assurer les fonctions de base de ladmi-
nistration dun rseau.
Matriel ncessaire
Un poste client avec XP Pro et le poste
Serveur avec 2003 Server.
Rappel
Un utilisateur Lambda ne peut pas se connecter sur le serveur, cest pourquoi il nous faut un poste
client pour effectuer nos tests, nous travaillerons sur deux postes la fois pour tester chacune de
nos crations.
1. Information sur le compte utilisateur.
Quels sont les comptes utilisateurs prdfinis ?
On dcouvre les utilisateurs du domaine
grce notre console Utilisateurs et ordi-
nateurs dActive Directory accessible via
notre console MMC sur le bureau. Microsoft
a organis les objets dans des units dor-
ganisations de base appeles conteneur
(vous et moi utilisons ce terme pour les
poubelles le plus souvent) (regardez sur la
photo gauche). La dernire unit Users
nous intresse plus particulirement. Elle
contient des ttes seules, les utilisateurs et
des ttes doubles (les groupes voir le para-
graphe du dessous). Par dfaut on remarque le compte utilisateur Administrateur et le compte
Invit qui est dsactiv par souci de scurit (croix rouge et non pas le croissant bleu).

8 3986 TG PA 00
44
Atelier 2 Droits et permissions
Nous allons crer un utilisateur Tondu Ducheveu ensemble pour se (re)familiariser avec les l-
ments qui le caractrisent.
Sur le conteneur Users, cliquez droit sur Nouveau puis sur Utilisateur.
Renseignez les attributs.
Tout est clair ici si ce nest le nom douverture de
session.
Cest le nom principal dutilisateur ou UPN (user
principal name) que vous avez dcouvert dans la
squence 3. Il est bien sr unique !!
Comme Tondu qui est un prnom peu employ
qui conviendra bien ici.
Cliquez sur le bouton suivant.

Vient ensuite le mot de passe que je vous laisse choisir avec soin en vous rappelant simplement
que Windows 2003 Server applique par dfaut une stratgie de scurit qui peut paratre lourde
mais laquelle il vous faudra vous plier ! (voir squence 4)
L aussi pas besoin dexplication. Si ? Le terme dexpiration ? Il a le mme sens que la date
dexpiration sur un yaourt !
Cochez seulement le mot de passe nexpire jamais.
Cliquez sur le bouton Suivant.
Cliquez sur le bouton Terminer.
Bien que vous ayez cliqu sur le bouton Terminer, cest loin dtre fini !
Regardons les autres attributs qui seront pour certains finement explicits dans la squence 4.
Sur Tondu cliquez droit Proprits dans le menu contextuel.
Je vous laisse dcouvrir seul les
onglets Gnral, Adresse, Tlphone
et Organisation.
Intressons-nous plutt longlet
Compte.
Il rappel le nom UPN du compte et rajoute des possibilits concernant :
Quand se connecter ? O se connecter ?
Dautres proprits sur le mot de passe ainsi que la possibilit de lui donner une date de premp-
tion (comme sur les yaourts ! La diffrence avec un yaourt cest quaprs la date de premption le
compte nest pas malade, il est bloqu).
Vous tes un vrai administrateur de rseau et vous avez eu la curiosit de cliquer sur les boutons
pour voir ce que cela faisait, si ce nest pas le cas rparez vite cet oubli !

8 3986 TG PA 00
45
Atelier 2 Droits et permissions
Longlet Appel entrant permet de configurer le compte pour lui permettre laccs distance, cest-
-dire via Internet.
Les onglets Environnement, Sessions, Contrle distance, Profil de services Terminal Server ne
sont configurs quavec le service Terminal Server, on en reparlera avec latelier sy reportant.
Enfin longlet Membre de va faire une excellente liaison avec le paragraphe suivant.
Cliquez sur le bouton OK.
Testez votre utilisateur sur le poste client.
Exercice 2
Crez les comptes utilisateurs Tif et ptiAnnie, puis testez-les.
2. Information sur les groupes.
Quels sont les groupes prdfinis ?
Ces comptes-l semblent moins bien rangs puisquon les retrouve dans deux conteneurs diff-
rents : Builtin et Users.
Ainsi dans Builtin on a les groupes Administrateurs, Invits, Oprateurs de Compte, Utilisateurs...
qui sont des groupes de scurits du domaine local et dans Users le groupe Admins de domaine,
Utilisateurs de domaine... qui sont des groupes globaux. On ne va pas en faire ici une liste exhaus-
tive, chacun son utilit. Il peut tre intressant si vous avez lu le cours de se rappeler que les
groupes peuvent tre inclus les uns dans les autres, donc eux aussi ont un onglet Membre de.
Nous allons crer le groupe global Voyageurs qui rassemblera Tif et Tondu.
Sur le container Users, cliquez droit sur nouveau puis sur groupe.
Gardez les attributs de groupe global de scurit.
Cliquez droit Proprits sur le groupe Voyageurs, nous allons rajouter Tif et Tondu.
Dans longlet Membre rajoutez Tif et Tondu.
Cliquez sur OK.
Exercice 3
Crez le groupe local explorateur qui contient le groupe Voyageurs et PtiAnnie.
La mise en pratique des groupes globaux et locaux seffectuera dans la squence 4.
8 3986 TG PA 00
46
Atelier 2 Droits et permissions
3. Cration de ressources partages
Inutile de rappeler que depuis que nous sommes en domai-
ne, les dossiers partags sont sur le serveur o ils sont cen-
traliss, ceci est acquis, je ne r-expliquerai pas pourquoi !
la racine du disque C de votre serveur, crez le dossier
Explorateur qui ne sera accessible quau groupe du
mme nom.
Pour le partager utiliser les proprits puis longlet
Partage.
Le nom du partage est le mme que celui du dossier mais
vous pouvez lui donner un nouveau nom. Dans la mesure
du possible nutilisez pas de nom comprenant un espace
pour les dossiers et les noms de partage quand on travaille
en mode commande cela complique tout !
Quand on partage un dossier tous ses sous-dossiers sont accessibles par ce partage, il est important
de partager au bon niveau de larborescence.
4. Notion de droits et dautorisation
4A. Affectation des droits et autorisations
pour les utilisateurs et les groupes
Lillustration du dessus est suffisamment grande pour vous permettre de distinguer quil existe
pour un dossier partag un bouton Autorisation et un onglet Scurit.
Cest entre ces deux notions que les difficults sont les plus grandes, non pas mettre en place
mais ce que cela implique.
Quand on clique sur chacun de ces lments voici ce que lon obtient.
Quelles diffrences y
a-t-il ?
Tout dabord les possibi-
lits des groupes et des
utilisateurs sont dans
un cas au nombre de
trois : on peut avoir le
contrle total, la lecture
ou lcriture.
Dans lautre cas sont
rajouts la modification,
la lecture et lexcution, laffichage du contenu du dossier et des autorisations spciales.
Par dfaut les groupes proposs sont diffrents.

8 3986 TG PA 00
47
Atelier 2 Droits et permissions
ce niveau l il semble quune petite mise au point simpose. Quest ce que le contrle total ?
Le contrle total a ceci de commun avec
le pouvoir absolu quil est trs puissant
et donc diaboliquement dangereux. La
personne qui lobtient peut tout faire
comme indiqu dans limage et notam-
ment donner des droits dautres per-
sonnes, mais le danger est plutt quelle
peut retirer des droits et notamment aux
administrateurs. Dans ce cas, ladminis-
trateur doit se rapproprier le dossier.
(cliquez droit Proprits, onglet Scurit, bouton Paramtre avancs, onglet Propritaire)
Pour mieux apprhender la diffrence entre les autorisations sur un dossier partag et les autori-
sations et la scurit applique, rien ne vaut un bon exercice.
Exercice 4
Laissez les droits tels quels dans chacun des onglets. Quobservez-vous pour Tif et pour ptiAnnie,
peuvent-ils faire les mmes choses ? Est-ce normal ?
Exercice 5
Si lon donne la permission de modifier au groupe Tout le monde laide du bouton Autorisations,
que se passe-t-il pour les mmes lascars ?
Exercice 6
Supprimez le groupe Utilisateurs et rajoutez le groupe Explorateur dans longlet Scurit et don-
nez lui le droit de modification, que se passe-t-il pour les mmes lascars ?
Exercice 7
On enlve le groupe Tout le monde dans les autorisations que lon remplace par le groupe
Explorateur en lecture, que se passe-t-il pour les mmes lascars ?
Exercice 8
On donne le droit de modifier ce groupe Explorateur laide du bouton Autorisations, que se
passe t-il pour les mmes lascars ?
Exercice 9
On donne le droits de lecture au groupe Explorateur dans longlet Scurit, que se passe-t-il pour
les mmes lascars ?
Exercice 10
quoi sert le bouton Autorisations et quoi sert longlet Scurit ?
8 3986 TG PA 00
48
Atelier 2 Droits et permissions
4B. Gestions de lhritage
Il nest pas question directement dargent ici, quoiquen y rflchissant bien, terme, il parait que
travailler en rapporte !
Pour revenir nos moutons, lhritage, en informatique, fonctionne de la mme manire que
chez le notaire, les frais et les impts en moins. Les descendants (les sous-rpertoires) hritent des
biens (les droits) de leur parent (pas de cousinage, les fils hritent de ce que possde le pre) sans
les dshriter (le rpertoire pre garde ses droits puisquil ne meurt pas).
Plus prcisment, un dossier hrite de la mme scurit que le dossier du niveau suprieur.
On peut bloquer cet hrita-
ge pour les descendants ou ne
pas hriter de la scurit du
parent.
Dans longlet Scurit cliquer sur le bouton Paramtres avancs.
Pour rcapituler, des comptes utilisateurs et des groupes ont des doits et permissions sur le par-
tage et son contenu. Ces droits sont visibles sur la ressource et non pas sur le compte utilisateur
ou le groupe.
On parle dhritage dans lautre sens aussi, un utilisateur
hrite des droits sur un dossier par le groupe dont il est
membre, ainsi que des droits des groupes dont ce dernier
est membre.
On peut bloquer lhritage au niveau du parent : dans
longlet Scurit, cliquez sur le bouton Paramtres
avancs. Cliquez sur le bouton Modifi. Dans la fentre
Entre dautorisations pour... Choisir Modifier le dossier
seulement.
Exemple : lutilisateur Tif a un droit de lecture sur le dossier partag Cadeaux. Tif fait partie du
groupe Voyageurs qui a le droit dcriture sur le dossier partag Cadeaux.
Tif hrite des droits du groupe voyageurs donc il a le droit de lecture et dcriture sur le dossier
partag Cadeaux.
Le refus reste un droit prioritaire sur tous les autres droits, il est comme le zro pour une multi-
plication, il absorbe tout..
Si le groupe explorateurs se voit refuser le droit dcriture alors, le groupe voyageurs na plus le
droit dcriture sur le dossier partag Cadeaux et donc par hritage successif Tif na plus le droit
dcriture.
Cest le droit le plus fort qui lemporte dans lhritage quand il ny a pas de refus : le contrle
total.
8 3986 TG PA 00
49
Atelier 2 Droits et permissions
Exercice 11
Voici une srie dutilisateurs, de groupes et un dossier partag, vous indiquerez pour les utilisa-
teurs et chacun des groupes leurs droits finaux aprs hritage.
Le compte utilisateur Indigo est membre du groupe Couleurs et le groupe Couleurs appar-
tient au groupe Pastels et au groupe Huile. Le compte utilisateur est aussi membre du groupe
ArcEnCiel.
Lutilisateur Indigo a le droit de lecture et dex-
cution sur le dossier Cadeaux.
Le groupe Pastels a le droit de lecture sur le dos-
sier Cadeaux.
Le groupe Huile a le droit dcriture sur le dossier
Cadeaux.
Le groupe Couleurs a le droit dcriture sur le
dossier Cadeaux.
Le groupe ArcenCiel a le contrle total sur le dos-
sier Cadeaux.
5. Fichier Batch
Un ordinateur est un outil dautomatisation qui on donne des ordres et qui obit strictement.
Un fichier Batch contient une suite de commandes comme vous lavez dj vu dans le programme
de premire anne. Remplissons donc des fichiers de commandes afin dautomatiser la cration de
dossiers partags de lecteurs logiques et dattribution de droits aux utilisateurs et aux groupes.
5A. Les commandes
Voici une liste de commandes, pour plus de dtails reportez-vous laide Microsoft de votre ordi-
nateur :
crer un rpertoire : md c:/nomdurep ;
partager un rpertoire : net share nompartage = c:/nomrep ;
crer un lecteur logique sur un rpertoire partag : net use nomlecteur : \\nomordi\nompar-
tage ;
attribuer des droits : cacls g utilisateur:droits ;
et pour terminer en beaut, la boucle permettant deffectuer plusieurs fois ces commandes :
for /f %variable in (fichier.txt) do.
Remarque : dans un fichier batch on double les signes cabalistiques comme \ et %.

8 3986 TG PA 00
50
Atelier 2 Droits et permissions
5B. Mise en application
Cahier des charges : soient nos gentils explorateurs qui veulent mettre en commun leurs souve-
nirs de voyages. On crera un rpertoire Voyages qui contiendra les rpertoires pour le Maroc, la
Chine, la Finlande, le Canada et Bora-Bora.
On souhaite pouvoir, des postes clients, accder directement au dossier partag Voyages. Seuls
PtiAnnie et Tif peuvent ajouter des donnes ces rpertoires et bien sr les lire. Noubliez pas de
laisser tous les droits au groupe Administrateurs sinon, il faudra pour effectuer des changements
quil sapproprie le dossier et son contenu.
Il est souvent recommand pour tester les commandes de crer autant de fichiers Batch quil y a
de commandes diffrentes, nous nen ferons rien ici (il y a trop peu faire).
Nous devrons crer trois fichiers :
le fichier pays.txt qui contient la liste des destinations ;
le fichier utilisateurs.txt qui contient la liste des utilisateurs ;
le fameux fichier de commandes beaureve.bat.
Exercice 12
Expliquez en dtail ce que fait chaque ligne du fichier Beaureve.bat et rajoutez les comman-
des manquantes pour venir bout de lexercice.
Remarques : pour rajouter des commandes dans un fichier bat, on le modifie, louvrir veut dire
lexcuter, mais vous le saviez bien sur !
Restez ordonn ! Ne crez pas vos fichiers nimporte o ! Les fichiers textes se situeront avec les
fichiers Batch.
Utilisateurs.txt
ptiAnnie
Tif
Beaureve.bat
md c:/Voyages
for %%i in (pays.txt) do md C:\%%i
net share Voyages=C:\Voyages
cacls Voyages /t /e g Tif:w
Pays.txt
Maroc
Chine
Finlande
Canada
Bora-Bora
8 3986 TG PA 00
51
Squence 4
Gestion des authentifications
Cette squence prsente en dtail le contrle daccs via la cration de comptes
et la cration de groupes.
Dure indicative
3 heures. Il doit tre trait en parallle avec latelier 3 qui contient lnonc dun projet.
Contenu
Les profils utilisateurs.
Les rpertoires de base.
La cration dutilisateurs en CSVDE, en LDIF et en LDAP.
Capacits attendues
C32 Assurer les fonctions dexploitation.
C34 Surveiller et optimiser le trafic sur le rseau.
tre administrateur dun rseau implique une organisation. Qui pourra se connecter au rseau ?
Et pour y faire quoi ?
Ces utilisateurs, en fonction des actions quils effectueront, seront regroups dans des units dor-
ganisation et des groupes, ce qui simplifiera par cette centralisation, le travail de ladministrateur,
mais lui demandera dtre plus organis, cest--dire plus structur.
Vous pouvez lire le cours et en mme temps jeter un il sur votre console Utilisateurs et
Ordinateurs dactive directory.
1. Les units dorganisation
La squence prcdente indique que
les objets dActive Directory seront
rangs notre convenance. Il est plus
facile de retrouver un objet dans les
tiroirs tiquets que dans une grande
armoire ne contenant aucun rci-
pient. Nous garderons cette image
lesprit afin de ne pas lsiner sur la
profondeur du rangement.
Un administrateur organis com-
me vous, pensera utiliser le
premier outil de rangement sa
disposition, lunit dorganisation.

8 3986 TG PA 00
52
Squence 4 Gestion des authentifications
Rappelons quune unit dorganisation est un conteneur. Tout comme on vite de modifier la
structure dune base de donnes une fois que les diffrents formulaires sy reportant ont t
construis, il est recommand de ne pas modifier lagencement des units dorganisation. De plus
cette fameuse unit permettra de mieux contrler la stratgie du groupe.
Car dans une unit dorganisation on peut :
dlguer le contrle de ladministration en offrant la possibilit de crer, modifier et suppri-
mer des objets ;
grer laccs lunit ;
dlguer le contrle sur les ressources rseau ;
attribuer des autorisations aux utilisateurs et aux groupes ;
grouper des ressources rseau dont les exigences de scurit sont identiques ;
contrler la visibilit des ressources rseaux ;
donner des autorisations une unit dorganisation sur toutes les ressources rseau parta-
ges quelle contient.
Cest Microsoft qui le dit, cela doit tre un peu vrai !
Remarque : seuls les membres du groupe Administrateur du domaine et de lentreprise peuvent
crer des units. Pour dlguer les droits il faut faire bnficier des autorisations de lire, lister le
contenu et crer tous les objets enfants provenant dune unit dorganisation parent.
Exercice 14
Crez lunit dorganisation Trouvetout qui vous servira pour latelier 3.
Un administrateur nest pas un esthte, il est avant tout pratique, un vase vide na que peu din-
trt pour lui ! Aprs avoir cr des units dorganisation, on va y ajouter des utilisateurs.
2. Cration de comptes dutilisateurs
On sait dj quil existe trois types dutilisateurs, utilisateur local, utilisateur de domaine, uti-
lisateur intgr, et que lon crera surtout des utilisateurs de domaine.
Critres :
un compte utilisateur, tout comme un compte ordinateur est appel une entit de scurit ;
ces objets trs particuliers permettent un utilisateur ou une machine de sauthentifier dans
le domaine. Pour les diffrencier le contrleur de domaine leur attribuera un SID (Security
Identificateur Unique) ;
lorsque lon cre un nouvel utilisateur on cre un nom de connexion = nom douverture de
session suivi du nom de domaine ;
pour le localiser dans la hirarchie des units dorganisation, un des attributs de lobjet utili-
sateur contiendra son chemin complet : le DN ;
tous les utilisateurs doivent avoir un mot de passe qui sera de type fort ou faible suivant la
scurit quon appliquera notre rseau.
8 3986 TG PA 00
53
Squence 4 Gestion des authentifications
Un mot de passe est dit fort lorsquil suit les impratifs suivants :
il est compos de sept caractres au minimum ;
il ne contient ni le nom de connexion ni son vrai nom, ni le nom de la socit ;
il est diffrent du mot de passe prcdent ;
il nest pas incrment de 1 par rapport au mot de passe prcdent ;
il contient des majuscules, des minuscules, des chiffres et dautres caractres du clavier.
2A. Cration dun utilisateur : quelques attributs
Pour crer un utilisateur on utilise la console Utilisateurs et Ordinateurs Active Directory. On dfi-
nira lensemble des proprits indiques au-dessus. On peut retrouver les aspects lis la scurit
dans longlet compte (mode passe cryptage...)
Les points forts dun objet de ce type sont bien sr les diffrentes stratgies sur le mot de passe,
les accs mais aussi longlet profil.
On y trouve des renseignements sur le type de profil mais aussi sur les scripts qui seront lancs
la connexion de lutilisateur et le rpertoire de base.
Le rpertoire de base est un dossier personnel de lutilisateur qui peut se trouver soit localement
sur le poste quutilise lindividu soit sur le rseau.
Lavantage vident de le sauvegarder sur le rseau, est de pourvoir centraliser les donnes des
utilisateurs des fins de sauvegarde et de scurits mais aussi de permettre aux utilisateurs davoir
accs leurs donnes de nimporte quelle machine do ils se connectent.
Le chemin indiqu est un chemin logique \\nom de serveur\nom du dossier partag\
%username%.
%username% sera remplac par la machine par le nom de lutilisateur lors de la connexion.
On remarque galement quun redirecteur sur le serveur est rajout dans les favoris rseau du
poste client, pour permettre un accs plus rapide au rpertoire personnel.
Il est important que le dossier sur le serveur contenant lensemble des rpertoires de base, soit
partag afin de permettre laccs lutilisateur en question et ladministrateur.
Exercice 15
Nous allons crer un compte pour le superintendant de lquipe dinvestigation. Marcel Dupin
(descendant du clbre Arsne Lupin) doit pouvoir enregistrer le rsultat de ses recherches sur
son rpertoire personnel du serveur.
Marche suivre :
1. Vous commencerez par crer le compte pour ce monsieur dans la bonne unit.
2. Puis vous crez si ce nest dj fait le dossier RepPerso sur le disque dur C du serveur Balou2003
dans le dossier Trouvetout. Cest dans ce dossier que lon retrouve tous les autres sous-dossiers
de la socit.
3. La troisime tape consiste donner laccs lutilisateur sur la ressource (avec des droits et
des permissions).
4. Enfin vous modifierez lattribut du rpertoire personnel de Marcel dans Active Directory.
8 3986 TG PA 00
54
Squence 4 Gestion des authentifications
Profil dutilisateurs locaux
Un profil est un fichier qui enregistre lenvironnement de lutilisateur. Un profil local est enre-
gistr localement sur une seule machine louverture de session et est stock dans le dossier
Documents and Settings.
Un profil quil soit local ou non est une copie du profil Default User auquel on a rajout des infor-
mations provenant de All Users.
Le fichier majeur contenant le profil est ntuser.dat
Profils dutilisateurs errants
Afin de faire suivre lenvironnement de lutilisateur o il se connecte, on enregistrera son profil
sur le serveur. la connexion, le serveur tlchargera le profil sur le disque dur du client ou sim-
plement les modifications (pour gagner du temps) si un profil de lutilisateur existe dj locale-
ment.
la fermeture de session le profil enregistr sur le client est copi sur le serveur. En local le profil
nest pas supprim.
Exercice 16
Pour comprendre le principe du profil errant, nous allons mettre en place plusieurs cas de figure.
Dessinez un serveur dans une colonne, un poste client 1 dans une deuxime colonne et un poste
client 2 dans une troisime colonne. Vous noterez chaque tape dans les bonnes colonnes et vous
incrmenterez le numro du profil chaque changement.
Cas 1
Lutilisateur Martin qui a un profil errant se connecte pour la premire fois sur le poste client 1
lundi 9 h 10. Il rajoute en fond dcran la photo de sa petite amie du moment : Ccilia. En fin
de matine il rajoute un raccourci vers le dossier de travail de la semaine sur le bureau. 17 h 30
il se dconnecte du rseau, la journe de travail est termine.
Quel profil est sur le serveur ?
Cas 2
Martin se connecte mardi matin 8 h 50 sur le poste de travail 1.
Quel profil a-t-il ?
10 h la pause caf, il se connecte sur le poste client 2 au deuxime tage pour montrer une
astuce un collgue. Il en profite pour rcuprer une nouvelle photo, celle de Martine, quil place
en fond dcran. Il se dconnecte et retrouve son poste 1 quil navait pas dconnect.
17 h 30, il se dconnecte du rseau, la journe de travail est termine.
Quel profil est sur le serveur ?
Cas 3
Martin se connecte mercredi matin 9 h 02 sur le poste 2.
Quelle photo trouve t-il en fond dcran ?
Il se connecte quelques minutes 9 h 07 plus tard sur le poste 1.
Quelle photo trouve t-il en fond dcran ?
Il rajoute un nouveau raccourci sur le bureau du poste 1 et place la photo de Nathalie en fond
dcran. 10 h il se dconnecte et retourne travailler sur le poste 2.
Quelle est la photo du fond dcran ?
8 3986 TG PA 00
55
Squence 4 Gestion des authentifications
Il modifie son paramtre daffichage cran. Une panne dlectricit intervient 15 h, il doit se
reconnecter au rseau 16 h.
Quel est son profil ?
Un profil errant ou itinrant se dplace au gr des connexions et des dconnexions de lutilisa-
teur.
Pour appliquer un profil un compte utilisateur retrouvez, dans les proprits, longlet profil,
puis, dans la zone de texte chemin du profil entrez : \\nom du serveur\nom du dossier partag
contenant tous les profils\%username%.
On peut voir lensemble des profils enregistrs sur le poste local et les effacer, les modifier ou les
copier dans les proprits du panneau de configuration, onglet profils des utilisateurs.
Profils dutilisateurs errants obligatoires
Pour certains utilisateurs il est recommand de crer des profils obligatoires afin quils ne puissent
le modifier. Il suffit de modifier lextension du fichier ntuser.dat en ntuser.man. Ainsi lutilisateur
pourra modifier son environnement tant quil le voudra sur son poste de travail, la dconnexion
aucune sauvegarde sur le serveur ne sera effectue.
2B. Cration de plusieurs objets la fois
Si lon veut crer un ensemble dutilisateurs disposant des mmes caractristiques on peut effec-
tuer des copies partir dun compte modle. Chaque copie aura un GUID diffrent mais certains
paramtres seront conservs : mot de passe, activation du compte, groupe... Le copier coller de
Microsoft classique !
Il est plus pratique quand on doit crer plusieurs utilisateurs dutiliser le mode commande.
Solution 1
On cre un fichier texte assez spcial contenant toutes les informations ncessaires. laide de
lun des deux utilitaires CSVDE (comma separated value directory exchange) ou LDIFDE (ligtwei-
ght directory acces protocol data interchange format directory exchange) on compile ce fichier
afin de crer les utilisateurs dans la base dannuaire. On remarque que ces deux outils peuvent
grer en bloc dautres objets dActive Directory (units, groupes).
Comment nommer ces fichiers textes ?
Lextension csv du fichier texte implique que chaque enregistrement soit spar par une virgule.
Lextension ldf implique que chaque enregistrement soit spar par un saut de ligne.
Pour crer de tels fichiers nimporte quelle application de base de donnes peut tre utilise, ou
mme Excel, Word ou un quelconque diteur de texte.
Solution 2
Ou directement laide de commandes attaquant Active Directory. La commande dsadd par
exemple pour rajouter des objets de type utilisateurs, ordinateurs, groupes et unit dorganisa-
tion dans lannuaire.
Dsmod pour modifier ces objets, Dsrm pour supprimer des objets, Dsget pour afficher des attri-
buts de ces objets, Dsmove pour dplacer les objets dans lannuaire.
Ceci nest possible que depuis la version 2003 Server.
8 3986 TG PA 00
56
Squence 4 Gestion des authentifications
Solution 3
Enfin, on peut modifier des attributs des comptes avec les commandes batch : net use, net
account...
Vous pouvez toujours vous amuser crer des utilisateurs avec un fichier en CSVDE ou LDIFDE.
Ces technologies taient utiliser autrefois (il y a trs longtemps, dans un pass trs lointain, avant
2003). Aujourdhui il existe un autre outil plus pratique et cest celui-ci que nous mettrons en
uvre dans cette squence et les ateliers qui y sont lis.
2C. Travailler sur LDAP
Voici les commandes que seul Windows 2003 intgre pour crer des objets dans Active Directory.
Les mthodes CSVDE et LDIFDE permettent dtres compatibles avec danciens systmes.
dsadd ou NUUnitOrganisation [-desc Description]
dsadd computer NUOrdinateur [-samid NomSAM] [-desc Description] [-loc Emplacement]
[-memberof NUGroupe ...]
dsadd user NUUtilisateur [-samid NomSAM] [-upn NPU] [-fn Prnom] [-mi Initiale] [-ln Nom]
[-display NomAffich] [-pwd {Mot_de_passe | *}] [-desc Description] [-memberof Groupe;...]
[-hmdir RpertoireBase] [-hmdrv LettreLecteur:] [-profile CheminProfil] [-loscr CheminScript]
[-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires
{yes | no}] [-acctexpires Nombre_de_jours] [-disabled {yes | no}]
On remarque que ltoile permet de ne pas indiquer de mot de passe, dans ce cas, le compte sera
automatiquement bloqu la cration.
Exemple : Dsadd user CN=Marcel Dupin,OU=investigation,OU=Trouvetout,DC=dom51,DC=loc
samid MaDupin upn MaDupin@dom52.loc -ln Dupin -fn Marcel
Exercice 17
Crez les units dorganisation de latelier 3
Exercice 18
Crez le membre manquant du service avec son rpertoire personnel et son profil itinrant
Exercice 19
Crez les utilisateurs Zinzin Reporteur et Milou Lechien avec un rpertoire personnel dans lunit
dorganisation investigation.
Exercice 20
Crez Lunit dorganisation Bandit dans Trouvetout et rajoutez-y lindividu Raspoutine Charles
en utilisant des commandes LDAP.
8 3986 TG PA 00
57
Squence 4 Gestion des authentifications
3. Cration de groupe
La commande en LDAP est : dsadd group NUGroupe [-secgrp {yes | no}] [-scope {l | g | u}] [-samid
NomSAM] [-desc Description] [-memberof Groupe ...] [-members Membre ...]
Ici cest lattribut scope qui permet de qualifier un groupe de local ou global.
Exercice 21
Crez les groupes locaux et globaux de la squence 3 en LDAP.
Exercice 22
Supprimez Bandit et tout ce qui sy trouve en LDAP.
4. Modifier, Supprimer des objets AD
Il existe cinq autres commandes que lon peut marier volont avec les utilisateurs, les units, les
groupes.
dsgetAffiche les proprits des objets dans lannuaire.
dsmodModifie des attributs spcifiques dun objet existant dans lannuaire
dsqueryRecherche des objets dans lannuaire correspondant un critre de recherche
spcifi.
dsmoveDplace un objet de son emplacement actuel vers un nouvel emplacement
parent..
dsrmSupprime un objet, toute la sous-arborescence dun objet dans lannuaire ou les
deux.
Exemple : pour afficher la liste des groupes dont lutilisateur Marcel Dupin est membre on utilise la
commande : dsget user ''CN=Marcel Dupin,OU=investigation,OU=Trouvetout,dc=dom51,dc=loc''
-memberof
Pour rajouter Lutilisateur Marcel Dupin et Thomas Tuck dans le groupe local Dtectives dsmod
group ''CN=Detectives,OU=investigation,DC=dom52,DC=loc'' -addmbr ''CN=Marcel Dupin,OU=in
vestigation,OU=Trouvetout,dc=dom51,dc=loc'' ''CN=Thomas Tuck,OU=investigation,OU=Trouveto
ut,dc=dom51,dc=loc''.
8 3986 TG PA 00
58
Squence 4 Gestion des authentifications
Rsum
La premire scurit dans un domaine consiste crer des comptes dutilisateurs pour chacun
des utilisateurs. Mme si certains utilisateurs effectuent les mmes tches, cela permet de
mieux contrler qui a fait quoi en cas de problme.
Les comptes utilisateurs sont :
locaux ;
du domaine ;
intgrs.
Avant la cration de compte, il est important de mettre au point une politique de nommage
et de scurit : mots de passe, profils, rpertoire de base...
Les comptes peuvent tre crs laide de quatre mthodes diffrentes :
mode console ;
mode CSVDE (cration uniquement) ;
mode LDIFDE ;
mode commande Active Directory.
Quand une socit un grand nombre dutilisateurs il est important de les classer dans des
units dorganisation.
travers les activits 1, 2 et 3 on a pu remarquer limportance des groupes, qui comme tout
objet dActives Directory peuvent tre crs de quatre manires diffrentes.
8 3986 TG PA 00
59
Atelier 3
Gestion des utilisateurs
Dans cet atelier vous travaillerez sur un scnario et effecturerez les exercices de la
squence 4 en parallle de ceux indiqus ci-dessous.
Dure indicative
8 heures, si tout va bien. Cet atelier fait appel tout votre esprit, soyez 300 % dans cet ate-
lier ! Rien de difficile, cest long quand on dbute, ceci pourra tre effectu en 2 heures la fin
de votre formation.
Contenu
Scnario sur la socit Trouvetout.
Cration de la structure de la socit : Units dorganisation, groupes.
Gestion des utilisateurs et des droits en mode console, en scripts.
Capacit attendue
C32 Assurer les fonctions de base de ladministration dun rseau.
C32 Assurer les fonctions dexploitation.
Matriser la gestion des utilisateurs sous Windows 2003 Server.
Scnario
La socit Trouvetout est une SSII denvergure internationale. Elle comporte plusieurs agences
dans diverses villes de diffrents pays. Toutes ne sont pas relies entre elles. Chaque pays est
indpendant sauf lAllemagne, lAngleterre et la France qui sont organiss en trois sites. La belle
ville de Montbrilland est le plus gros centre de France, il centralise les recherches et les dossiers. Il
existe une agence Paris, une autre Lyon, Marseille et enfin Bordeaux.
Toutes les cinq possdent leurs propres contrleurs de domaine et grent leurs quipes dinves-
tigateurs.
Pour information le domaine de la socit est Trouvetout.com prcd du nom du pays et de la
ville pour les agences.
Vous devez grer ladministration du contrleur de domaine situ Montbrilland. Pour ceci,
sachez que lagence est constitue de quatre services :
service administratif ;
service comptabilit ;
service investigation ;
service informatique.
8 3986 TG PA 00
60
Atelier 3 Gestion des utilisateurs
Les autres agences franaises nen comportent que trois, les trois premiers.
Montbrillard :
Le service administratif comporte :
le grand chef : Paul Bigout ;
sa secrtaire : Pauline Hujier ;
le chef du personnel : Jean Duhamel ;
deux autres personnes : Jeannine Guerelle, Julie Kernel.
Le service comptabilit comporte :
un expert comptable : Gille de Raille ;
deux comptables : Ginette Puces et Florence Camuraz ;
trois autres personnes : Laurence Truide, Liliane Marche, Michael Junit.
Le service investigation comporte :
le chef du service investigation : Hugo Jetrouve ;
le superintendant : Marcel Dupin, un homme de terrain, pas un gratte papier comme
Hugo !
deux secrtaires : Mireille Hujet et Murielle Xentier ;
dix dtectives : James Luigui, Maurice Luigi, Etienne Vergue, Sabine Trousse, Julie Zaner,
Michel Katernuc, Jacques Fliges, Antoine Hermine, Arthur Jules, Sabrina Mangin.
Le service Informatique comporte :
le directeur informatique : Kevin Rouletabille ;
trois administrateurs rseaux : Jonathan Hulley, Rmi Triveille et Caroline Mano ;
un dveloppeur : Xavier Kleine.
Lagence de Montbillard tant le berceau de la socit, le service administratif chapeaute toutes
les agences de France et est en partenariat avec les agences des autres pays. Le service comptabi-
lit centralise et traite les informations venant des agences de France.
Il ny a pas dinformaticiens dans les diffrentes agences de France, le contrle seffectue par une
prise en main distance de tout le matriel informatique : les serveurs comme les postes indivi-
duels (PC, portable, PDA...).
Il y plusieurs serveurs Montbillard : trois contrleurs de domaines (deux pour Montbelliard et
un regroupant les domaines de France et reliant les sites dAllemagne et dAngleterre), un ser-
veur de messagerie, un serveur dapplications, deux serveurs de fichiers et un serveur de bases de
donnes.
Dans lagence de Montbrillard : aux services administratif, comptabilit et investigation les utilisa-
teurs ont leurs propres comptes leur permettant de se connecter au rseau, ils ont tous le mme
environnement quils ne peuvent personnaliser. Ils ont un rpertoire personnel sur le serveur pour
sauvegarder leurs donnes. Chaque service a un rpertoire permettant lchange dinformations
entre les diffrents membres du service. Ce rpertoire porte le nom du service et est invisible aux
non-membres sauf Paul Bigout.
8 3986 TG PA 00
61
Atelier 3 Gestion des utilisateurs
Un rpertoire communication est ncessaire pour que M. Paul Bigout fasse circuler les informa-
tions tous ses employs (il est le seul pouvoir y ajouter des donnes, ses employs les consul-
tent uniquement).
chaque investigation, un nouveau dossier dont le nom commence par affaire suivi dun numro,
est cr dans le rpertoire Recherche du rpertoire investigation du service. Seuls les investiga-
teurs concerns par ces recherches y ont accs ainsi que le chef du service investigation et M. Paul
Bigout.
Les secrtaires utilisent les logiciels de bureautique classiques et tant regroupes dans la mme
salle se partagent la mme imprimante situe dans une salle reprographie. Le service comptabilit
se partage deux imprimantes.
Dans la salle de reprographie en plus de limprimante rserve aux secrtaires on trouve une
imprimante partage pour tout le personnel.
Paul Bigout, Gilles de Raille, Kevin Rouletabille et Hugo Jetrouve, comme des bons chefs qui se
respectent, ont leur propre imprimante. Ils ont chacun un dossier Monttouve suivi du nom de leur
service dans lequel ils stockent des informations destination des autres chefs o ils ont un accs
en criture et les autres un accs en lecture seule.
Les dtectives sont quips de portable ou de PDA quils peuvent connecter au rseau de lext-
rieur. Mais trois PC sont galement leur disposition sils veulent profiter des ressources de len-
treprise (logiciels spcifiques, accs au serveur de base de donnes).
Au service administratif comme au service comptabilit les utilisateurs ne peuvent pas changer
de machine.
Au service Informatique, les utilisateurs ont un rpertoire personnel et un dossier documents,
commun tous, quils peuvent mettre jour en temps rel. Il contient des indications sur la confi-
guration du rseau, les diffrentes installations du matriel, des problmes...
Exercice 13 ( faire avant lexercice 14 de la squence 4)
Proposez un schma de la fort Trouvetout.
Exercice 14 ( faire avant lexercice 14 de la squence 4)
Proposez un schma rcapitulant les diffrentes units dorganisations, les diffrents groupes,
locaux, globaux et universels, les utilisateurs, les permissions, les ressources partages.
Exercice 15 ( faire avant lexercice 15 de la squence 4)
Crez les diffrentes ressources partages.
Exercice 16 ( faire entre lexercice 18 et 19 de la squence 4)
Crez les comptes de Paul Bigout et de James Luigui en fonction des diffrentes exigences.
8 3986 TG PA 00
62
Atelier 3 Gestion des utilisateurs
Exercice 17 ( faire avant lexercice 19 de la squence 4)
Avec un script en LDAP crez les neuf dtectives restants.
Exercice 18 ( faire avant lexercice 19 de la squence 4)
crivez le fichier contenant des commandes active directory (LDAP) pour crer lensemble des
comptes de Montbillard manquants.
Exercice 19 ( faire aprs lexercice 21 de la squence 4)
Faites en sorte que chacun ait accs aux ressources partages voulues (membres de groupes
attribution des droits et permissions...).
Remarque : Jeannine, Julie et les deux secrtaires du service comptable seront gres avec Terminal
serveur. On peut remplacer le rpertoire communication par un Intranet.
8 3986 TG PA 00
63
Squence 5
Actions dAD sur les partages
Cette squence continue lapprentissage dActive Directory et le traitement de
ses objets travers des particularits bien utiles de 2003 Server.
Dure indicative
2 heures.
Contenu
Partage de ressources.
Publication de ressources.
Scurit des ressources.
Capacits attendues
C32 Assurer les fonctions dexploitation.
C34 Surveiller et optimiser le trafic sur le rseau.
1. Partager
Lors des ateliers prcdents et des squences prcdentes, jai bien insist, me semble t-il, sur le
fait que pour rendre accessible tous, les ressources, il faut les partager. Cette opration indique
quels sont les utilisateurs qui peuvent accder la ressource et quelles sont ses autorisations sur
cette ressource.
Une ressource a un nom particulier lors du partage, nous navons pas vu lutilit de ne pas garder
le nom de la ressource jusqu prsent. Toutefois en ce qui concerne les imprimantes on prfre
indiquer dans le nom du partage, le type ou la marque mais aussi sa localit plutt que de garder
le nom par dfaut.
Si les accs ne sont pas autoriss un utilisateur, il ne voit mme pas la ressource.
Le partage de dossier seffectue avec beaucoup de soin. En fonction des autorisations que reoit
lutilisateur, celui-ci pourra crer des sous-dossiers pour lesquels il aura le contrle total et notam-
ment celui de propager ces droits qui il dsire.
8 3986 TG PA 00
64
Squence 5 PaActions dAD sur les partages
2. Publier
Dfinition : cest crer des objets dans AD contenant une ou plusieurs informations que lon
dsire rendre disponibles ou proposer une rfrence cette information.
Par dfaut un certain nombre dlments
est dj publi. Les imprimantes branches
au serveur, la liste des comptes... On peut
ainsi effectuer une recherche dans la base
de donnes Active Directory sur un attribut
de cet objet.
Exemple : on recherche tous les comptes
utilisateurs dont le nom commence par la
lettre T.
partir de la console Favoris rseau, de
nimporte quel poste on recherche dans
Active Directory un utilisateur dont le
champ nom commence par T dans longlet
Avanc.
En gnral on publie des dossiers partags, des imprimantes dun ordinateur nexcutant pas
Windows 2000 puisque ce nest pas automatique.
Remarque : les ressources peuvent se dplacer mais le lien permet de rendre ce dplacement
transparent lutilisateur. Exemple : si limprimante dont le nom de partage est LaserCoulS12 nest
plus connecte au poste 552 mais au poste 658 sera toujours accessible de la mme manire par
les utilisateurs.
2A. Comment voir ou cacher une imprimante rseau
Lancez la console Utilisateurs et Ordinateurs dAD de votre bote outils MMC.
Limprimante ne peut pas tre vue dans ce mode.
Cliquez sur le menu Affichage puis utilisateurs, groupes et ordinateurs en tant que conte-
neur. En cliquant sur lordinateur sur lequel elle est connecte, on voit limprimante.
Pour cacher des imprimantes aux autres utilisateurs :
dcochez lister dans lannuaire de longlet
Partage des Proprits de limprimante ;
configurez le paramtre de stratgie de
groupe Publier automatiquement les
nouvelles imprimantes dans lannuaire
Active Directory, sous Configuration ordi-
nateur puis Modle dadministration puis
Imprimante.



8 3986 TG PA 00
65
Squence 5 PaActions dAD sur les partages
2B. Publier un dossier partag
Dans console Utilisateurs et Ordinateurs Active Directory cliquez droit sur lunit dorganisa-
tion dans laquelle on souhaite publier le dossier.
Cliquez Nouveau puis Dossier partag.
Dans la zone Nom tapez le nom.
Dans la zone chemin rseau UNC tapez le chemin. Un chemin UNC est le nom complet Windows
2003 Server dune ressource rseau conforme la syntaxe \\serveur\partage.
Dans les proprits ajoutez des mots cls afin de simplifier les recherches.
3. Comparaison entre des objets publis et des ressources partages
Chacun des objets des proprits qui lui sont propres.
Chacun a sa propre liste DACL.
Lordinateur redirige lobjet publi vers lobjet partag.
On peut effectuer une recherche sur les objets publis.
Exemple : une imprimante peut cacher un autre objet.
La liste DACL dune imprimante partage permet de contrler les personnes qui auront accs
aux travaux dimpression sur limprimante et qui seront autorises grer ces travaux. Tif a le
droit dimprimer avec cette imprimante. Lobjet file dattente dimpression de notre imprimante
(deuxime objet publi dans Active Directory) a sa propre liste DACL pour contrler qui pourra
visualiser ou modifier les proprits de lobjet publi. Tif ne peut pas supprimer son impression
dans la liste dattente, sil a lanc limpression plusieurs fois, il doit faire appel Tondu qui peut
modifier les travaux de la liste dattente. Cela vite quune personne non responsable saccapare
limprimante et supprime les travaux des autres utilisateurs par exemple.
4. Scurit des objets dans Active Directory
Chaque objet dans AD est associ un descripteur de scurit unique qui dfinit les autorisations
daccs requises pour lire et mettre jour les proprits dobjets. Les autorisations sont attribues
au niveau des proprits.
Les entits de scurit (exemple un utilisateur) les identificateurs de scurit (SID valeur alphanu-
mrique unique donne la cration du compte) et les descripteurs de scurit (ils stockent les
informations de contrle daccs associes un objet) sont les composants de base du contrle
daccs dans Active Directory.
On peut octroyer ou refuser des autorisations pour chaque objet dAD par lintermdiaire des
Proprits, Autorisation et Liste des autorisations.
Hritage
Lorsque lon attribue des autorisations on peut vouloir attribuer ou non ces autorisations aux
enfants de lobjet, il suffit de cocher ou dcocher la case permettant aux autorisations pouvant
tre hrites du parent dtre propages cet objet.
8 3986 TG PA 00
66
Squence 5 PaActions dAD sur les partages
Le propritaire dun objet est le crateur, sauf dans le cas dun membre du groupe administrateur
cest le groupe et non lutilisateur qui en est propritaire.
Pour visualiser qui est propritaire dun objet cliquer sur le bouton Avanc dans longlet Scurit
des Proprits.
Lorsquun utilisateur hrite dune autorisation dun groupe, sil a dj une autorisation sur lobjet
en question, cest lautorisation la plus faible qui lemporte.
5. Dlgation du contrle dadministration des objets dAD
Afin dallger le travail de ladministrateur sur des rseaux tendus on peut dlguer certaines
tches administratives des utilisateurs.
Cette dlgation peut seffectuer laide de lassistant dlgation :
il faut cliquer droit sur lunit dorganisation dans laquelle on souhaite dlguer le contrle.
Cliquez sur Action puis sur Dlguer le contrle ;
slectionnez les utilisateurs ou les groupes ;
attribuez les tches dlguer ;
slectionnez un objet AD ;
attribuez les autorisations aux comptes.
Lorsque lon dlgue le travail certains utilisateurs privilgis, il est intressant de leur donner
des outils dadministration un peu limits mais qui leur permettront deffectuer les tches admi-
nistratives. Pour cela on peut crer une console MMC personnalise et on doit certainement ajou-
ter des composants logiciels enfichables sur les postes clients. Afin daider un utilisateur on peut
lui adjoindre galement une liste de tches.
8 3986 TG PA 00
67
Squence 6
Les stratgies dAD
Cette squence termine la liste des objets grs dans la base de donnes
dActive Directory : les stratgies et la scurit quelles apportent.
Dure indicative
2 heures. travailler avec latelier 5.
Contenu
Les GPO.
Les diffrents types.
Leurs applications et leurs liaisons.
Capacits attendues
C31 Assurer les fonctions de base de ladministration dun rseau.
C32 Assurer les fonctions dexploitation.
Rien nest plus dangereux dans un rseau quun utilisateur tel Attila : o quil passe le rseau tr-
passe . Cest sur cette note doptimisme quinterviennent les stratgies. Elles sont un formidable
outil de simplification du travail pour un administrateur. Par exemple en limitant les possibilits
de tout un groupe dutilisateur en une seule opration, car les scurits (droits) sur les ressour-
ces ne sont quune phase de protection. Mais aussi comme ladministrateur nest pas quun gars
paranoaque il peut utiliser les stratgies pour installer un logiciel distance sur lintgralit du
parc informatique.
1. Une stratgie de groupe
Une stratgie est un ensemble de droits de permissions de paramtres que lon associe aux sites,
domaines, units dorganisations afin que cette stratgie se rpercute systmatiquement sur les
utilisateurs et ordinateurs des conteneurs.
Appliquer une stratgie cest gagner du temps sur la scurit (on peut empcher les utilisateurs
de reconfigurer leur poste de travail, dinstaller de nouveaux outils).
La structure de la console stratgie de groupe que vous allez implmenter, est contenue dans des
objets GPO (Group Policy Object).
8 3986 TG PA 00
68
Squence 6 ParLes stratgies dAD
1A. Types de paramtres configurer
Les stratgies proposes par Microsoft sont multiples, elles sont classes dans des groupes en
fonction de leurs effets.
Modle dadministration : paramtres de registre
de configuration des applications et des environne-
ments de bureau des utilisateurs : composants du
systme dexploitation et applications des utilisa-
teurs, niveau daccs au panneau de configuration
et contrle des fichiers hors connexion.
Scurit : paramtres de configuration de la scu-
rit du rseau, des domaines et des ordinateurs
locaux : contrles daccs au rseau, configuration
des stratgies de compte et daudit, contrles des
droits des utilisateurs.
Installation des logiciels : paramtres de centrali-
sation de la gestion des installations, mise jour
et suppression des logiciels. On peut configurer les
applications pour quelles soient automatiquement
installes, mises jour ou supprimer sur des ordinateurs clients. On peut galement publier des
applications afin quelles soient affiches dans Ajouter/Supprimer des programmes du Panneau
de config, ce qui est plus simple pour lutilisateur.
Scripts : paramtres qui spcifient les moments auxquels Windows excute des scripts spcifiques :
au dmarrage, larrt de lordinateur. Ces scripts peuvent contenir une suite doprations et on
peut dfinir lordre dans lequel ils sexcuteront.
Services dinstallation distance : paramtres qui contrlent les options disponibles lors de lex-
cution de lassistant installation de clients lors de linstallation distance RIS (Remote Installation
Service).
Maintenance dInternet explorer : paramtres dadministration et de personnalisation de MIE sur
des ordinateurs M2000.
Redirection de dossier : paramtre de stockage des dossiers de profils utilisateurs spcifiques sur
le serveur rseau. Ces paramtres crent un lien sur le profil renvoyant au dossier partag sur le
rseau, mais les dossiers saffichent sur les ordinateurs locaux.
On doit se rfrer ces indications pour retrouver une stratgie dans la multitude propose.
1B. Stockage du contenu dun objet GPO
Chez Trouvetout les utilisateurs sont recruts en fonction de leur flair, les investigateurs savent
se fondrent dans la masse et certains ont le don dubiquit. Cest du mme acabit pour les objets
GPO, ils apparaissent dans deux emplacements diffrents.
8 3986 TG PA 00
69
Squence 6 ParLes stratgies dAD
Conteneur de stratgie de groupe : cest un objet AD qui
contient les informations sur la version et les attributs de
lobjet GPO. Cela permet aux ordinateurs de rechercher
les modles de stratgie de groupe et aux contrleurs de
vrifier quils ont bien la dernire version. Cest ici que
vous configurez la stratgie
Modle de stratgie de groupe : cest une hirarchie de
dossiers situe dans le dossier SYSVOL des contrleurs de
domaine. Cest ici quelle est enregistre.
1C. Paramtres de stratgie de groupe pour les ordinateurs
On peut appliquer une stratgie autant sur un ordinateur prcis ou des ordinateurs que sur des
sessions dutilisateurs. Les paramtres de stratgie de groupe pour les ordinateurs dfinissent le
comportement du systme dexploitation et du bureau, la configuration de la scurit, les scripts
de dmarrage et darrt des ordinateurs, les options dapplication affectes par lordinateur et la
configuration des applications.
Ces stratgies sont appliques linitialisation du systme dexploitation (dmarrage et redmar-
rage de lordinateur en clair) et lors du cycle de lactualisation priodique (tous les X temps dfini
par le contrleur de domaine qui prche sa paroisse). Ces stratgies de groupe priment sur les
stratgies de groupe de lutilisateur.
1D. Paramtres de stratgie de groupe pour les utilisateurs
Ils dfinissent le comportement du systme dexploitation, la configuration du bureau et de la
scurit, les options dapplication affectes et publies, la configuration des applications, les
options de redirection des dossiers et les scripts douverture et fermeture de sessions utilisateur.
Non je nai pas fait un copier coller, les stratgies pour les ordinateurs et utilisateurs diffrent pour
la plupart notamment en fonction du but obtenir, avec la pratique, ce sera plus prcis !
Les stratgies sont appliques louverture dune session utilisateur sur lordinateur et lors du
cycle dactualisation priodique.
1E. La liaison dun objet GPO
Les objets GPO sont lis des sites, domaines, units dorganisation, ce qui permet lapplication
des paramtres aux objets contenus dans ces conteneurs. Mais ces objets peuvent tres lis aprs
leur cration. Un mme objet peut tre li plusieurs conteneurs. Ceci est d au fait que les stra-
tgies sont des objets portant un nom distinct. Si on prend lexemple de la couleur rose, on peut
dire quun cochon est rose et quune robe est rose sans avoir redfinir cette couleur pour chacun
des lments quelle qualifie. Une fois la couleur rose dfinie, on ne revient plus dessus. Cest la
mme chose pour les stratgies, si on cre une stratgie qui configure le proxy des utilisateurs
de lunit dorganisation Comptabilit et il nest pas utile den recrer une nouvelle pour lunit
dorganisation Investigation, il suffit de chercher dans notre base de donnes de stratgie celle
cre prcdemment.
Attention les conteneurs de stratgies ne peuvent pas tre Users, Computers ou Builtin.
8 3986 TG PA 00
70
Squence 6 ParLes stratgies dAD
1F. Cration dun objet GPO li
Ouvrir la console Utilisateurs et ordinateurs dAD
Cliquez droit sur une unit dorganisation.
Cliquez sur Proprits
Cliquez sur Nouveau
Tapez un nom
Entre
Cet objet GPO ne fera rien car vous navez configur aucune stratgie du modle.
1G. Cration dun objet non li
Seuls des administrateurs peuvent lier des objets GPO des sites, domaines et units dorganisa-
tion. On peut crer un objet GPO non li en ajoutant un composant logiciel enfichable diteur de
Stratgie de groupe dans la console MMC.
Lancez votre console MMC et ajouter le composant logiciel.
Dans la bote de dialogue Slection dun objet stratgie de groupe, cliquez sur Parcourir.
Dans la bote de dialogue Recherche un objet stratgie de groupe dans longlet Tous, cliquez
avec le bouton droit nimporte o dans la liste Tous les objets stratgie de groupe stocks
dans ce domaine, puis cliquez sur Nouveau.
Tapez le nom du nouvel objet GPO.
OK.
Fermez la bote de dialogue.
1H. Liaison dun objet
Une stratgie qui fonctionne sur un domaine, un site ou une unit peut tre applique sur un
autre conteneur (voir mon laus sur la couleur rose).
Console Utilisateurs et Ordinateurs AD.
Cliquez droit sur lunit o lon va lier lobjet GPO. Cliquez Proprits.
Dans longlet stratgie de groupe cliquez Ajouter.
Cliquez sur longlet Domaine puis units dorganisation, sites ou Tous selon lemplacement
auquel lobjet GPO est actuellement li.
Dans la liste regarder dans, cliquez sur le domaine contenant lobjet GPO.
Dans la liste Domaines, units dorganisation et objets de stratgie de groupes lis, cliquez
sur lobjet GPO OK.
1I. Hritage dune stratgie de groupe
Quand plusieurs stratgies sappliquent, un ordre sinstaure, celui du plus grand au plus petit :
dabord les stratgies du site et enfin les stratgies de lunit dorganisation.
8 3986 TG PA 00
71
Squence 6 ParLes stratgies dAD
Exercice 23
Lobjet GPO1 paramtre de stratgie de groupe de compte qui assure laffichage de favoris dans
le menu dmarrer. Est appliqu au niveau du site.
Lobjet GPO2 paramtre de stratgie de groupe de compte qui requiert un mot de passe de 11
caractres minimum est appliqu au niveau du domaine.
Lobjet GPO3 paramtre du menu Dmarrer qui supprime Windows Update de ce menu. Est appli-
que au niveau Domaine.
Lobjet GPO4 paramtre du menu Dmarrer qui assure que Windows update saffiche dans ce menu
et que favoris est supprim. Est appliqu au niveau de lunit dorganisation Administrateur
Quels sont les paramtres de stratgie de groupe rsultants pour les objets utilisateur dans
lunit dorganisation et pourquoi ?
On applique une stratgie au plus haut niveau de la hirarchie (AD et non pas de lentreprise, la
stratgie des plus hauts dignitaires de lentreprise est connue, gagner toujours plus dargent !),
afin quelle sapplique sur le plus grand nombre
dutilisateurs ou de machines, toutefois certains
utilisateurs bnficiant dun tarif spcial (souvent
les administrateurs rseau) ne doivent pas hriter
de ces faveurs.
On peut modifier lhritage en bloquant ou filtrant
lhritage des paramtres de stratgie de groupe.
Le Blocage : mais on ne peut pas choisir les objets
bloquer, ils le sont tous sauf si on a configur
lobjet GPO laide de loption aucun remplace-
ment.
Cliquer sur les proprits du conteneur enfant.
Dans longlet stratgie de groupe, cliquez sur blo-
quer lhritage de stratgie.
Le filtrage : dans les droits on accorde et on
refuse. On peut refuser lautorisation Appliquer
la stratgie de groupe pour un groupe. Cest
beaucoup plus fin.
Exercice 24
On souhaite quune application antivirus soit
installe sur tous les postes du domaine. On
souhaite quOffice ne soit install que sur
lunit dorganisation administrative, et que le
logiciel de comptabilit ne soit install que sur
lunit Comptabilit lexception de celui de
Michael Junit. Que faire ?


8 3986 TG PA 00
72
Squence 6 ParLes stratgies dAD
1J. Traitement et contrle dune stratgie de groupe
Comme Windows traite les paramtres de stratgie de groupe dans un ordre spcifique et des
intervalles donns on peut rduire les risques de remplacement des paramtres.
Au dmarrage de lordinateur Windows traite tout dabord les paramtres de lordinateur, puis
ceux de lutilisateur. Quand il traite les paramtres de lordinateur, les scripts de dmarrage sont
excuts. De mme pour les scripts de lutilisateur.
La liste des objets GPO traiter est dfinie par une fonction win32 GetGPOList. Cette fonction
traite des fichiers userenv.dll, Dskquota.dll, Fdeploy.dll, GPtext.dll, Appmgmts.dll, scecli.dll et
Iedkcs32.dll qui contiennent les paramtres.
Les intervalles sont de lordre de 90 minutes sur Win pro. Les contrleurs sont actualiss toutes
les 5 minutes.
Quand on est plus press de voir le rsultat dune stratgie que lon vient juste de mettre en place,
on force la mise jour de la stratgie ordinateur ou utilisateur avec la commande : Gpupdate qui
sera suivie doptions pour ne lappliquer que sur certains lments ou faire redmarrer la session
ou lordinateur aprs.
2. Utilisation de stratgie de groupe pour grer des utilisateurs
On utilisera plus couramment des modles de paramtrage dadministration.
Voici un exemple de stratgie un peut particulier parce quil fait intervenir un fichier Batch.
1. Il est important de
commencer par cri-
re le fichier Batch.
Pour le retrouver
lenregistrer sur le
bureau.
2. Crez une nouvelle
stratgie de grou-
pe. Modifiez cette
stratgie dans lar-
borescence de la
console sous confi-
guration utilisa-
teur, dveloppez
paramtres Windows, cliquer sur scripts (ouverture/fermeture de session). Choisir Ouverture
de session, Cliquez sur le bouton Ajouter. Regarder o doit tre plac le fichier batch grce au
chemin indiqu dans Parcourir.
3. Copier le fichier batch enregistr sur le bureau lemplacement bouton parcourir
c:\windows\sysvol\sysvol\domaine\policies\Nde votre stratgie\user\scripts\logon
4. Basculer sur la fentre stratgie pour finir par appeler le fichier rang dans la stratgie.
8 3986 TG PA 00
73
Squence 6 ParLes stratgies dAD
Rsum
Afin de protger et dadministrer son rseau au mieux, Windows 2003 Server propose des
stratgies prs configures.
Chacune de ces stratgies constitue un objet GPO.
On peut appliquer une stratgie sur un ordinateur. Cette stratgie sexcutera si lordinateur
sallume ou steint.
Comme on peut appliquer une stratgie sur un utilisateur, cette stratgie sexcutera si un
utilisateur ouvre une session sur un ordinateur.
Les stratgies ne se dfinissent pas sur un ordinateur ou un utilisateur mais sur des sites ou
des units dorganisations. Comme pour les droits et les permissions, quand des stratgies
sont en contradiction on connatra celle applique finalement en fonction de lordre dex-
cution des stratgies (Site, Unit dorganisation, Machine, Utilisateur).
Il est possible de bloquer ou filtrer des stratgies pour quelles ne sappliquent pas tous
les groupes des containeurs.
Les stratgies sappliquant qu des moments stratgiques (do leur nom) : dmarrage
de la machine, ouverture de session... on peut les forcer sappliquer avec la commande
GpUpdate.
8 3986 TG PA 00
75
Atelier 4
Mise en place des stratgies
Dans cet atelier, nous allons mettre en place des stratgies.
Dure indicative
1 heure.
Contenu
Stratgie de protection du rseau
Stratgie de paramtrage du rseau
Stratgie dinstallation de logiciels distance.
Capacit attendue
C31 Assurer les fonctions de base de ladministration dun rseau.
C32 Assurer les fonctions dexploitation.
Matriel ncessaire
Le client pour vrifier et le serveur pour y crer les stratgies.
La socit Trouvetout fourmillant de dtectives, ladministrateur napprcie pas beaucoup quils
mettent en pril son rseau, aussi vous tes chargs de protger la configuration des postes.
Exercice 20
Empchez tous les utilisateurs excepts ceux du service Informatique de :
modifier leur menu Dmarrer ;
modifier leur paramtres Rseau ;
modifier les paramtres dInternet Explorer.
Un proxy vient dtre mis en place pour partager laccs Internet. Son nom est Parici, il fonc-
tionne sur le port 8081. En mme temps, toutes les requtes sur le serveur Intranet Toutvala ne
doivent pas passer par le Proxy.
8 3986 TG PA 00
76
Atelier 4 Mise en place de stratgies
Exercice 21
Crez une stratgie qui configure les postes de lentreprise Trouvetout avec les paramtres indi-
qus ci-dessus.
Chaque utilisateur doit retrouver dans ses favoris rseaux un raccourci vers la ressource partage
CE.
Exercice 22
crivez le fichier Batch qui cre ce raccourci vers la ressource CE et crez la stratgie qui permettra
de rajouter ce raccourci.
On souhaite installer sur tous les postes du service comptabilit un nouveau logiciel.
Exercice 23
crivez la stratgie qui permet dinstaller distance ce logiciel au dmarrage de la session des
utilisateurs.
On met en commun un nouveau logiciel pour le service Informatique.
Exercice 24
crivez la stratgie qui permet aux utilisateurs dinstaller ce logiciel enregistr sur le serveur
partir du Panneau de Configuration Ajout/Suppression de Programmes.

Vous aimerez peut-être aussi