Vous êtes sur la page 1sur 56

CH7 Windows

Introduction

Historique
Historique

MS-DOS
MS-DOS
1985 : Windows 1.0
1985 : Windows 1.0
1987 : Windows 2.0
1987 : Windows 2.0
1990 : Windows 3.0
1990 : Windows 3.0

Historique
Historique

1993 : Windows 3.1


1993 : Windows 3.1
1993 : Windows NT 3.1
1993 : Windows NT 3.1

1993 : Windows for Workgroups 3.11


1993 : Windows for Workgroups 3.11
1994 : Windows NT Workstation 3.5
1994 : Windows NT Workstation 3.5
1995 : Windows 95
1995 : Windows 95

Historique
Historique

1996 : Windows NT 4.0


1996 : Windows NT 4.0
1998 : Windows 98
1998 : Windows 98
1999 : Windows 98 Second Edition
1999 : Windows 98 Second Edition
2000 : Windows Millenium
2000 : Windows Millenium
2000 : Windows 2000
2000 : Windows 2000
2001 : Windows XP
2001 : Windows XP
2003 : Windows 2003
2003 : Windows 2003
2006 : Windows Vista
2006 : Windows Vista
2008 : Windows Server 2008
2008 : Windows Server 2008

Windows NT
NT est bas sur le projet MACH
Micro-kernel
services de base
restreint mais simple ! stable

+ serveurs travaillant en mode utilisateur


memory server, display server, process server, file server,
network server

32 bits
Les processus ont des espaces mmoires bien
spars
permet davoir certain process en mode protg

Windows NT 4
GUI mme interface que Windows 95
Scalability
Modle client/serveur - deux versions
NT 4 workstation
NT 4 server

Support
support de beaucoup de hardware
supporte OpenGL

Windows NT 4
GUI mme interface que Windows 95
Scalability
Modle client/serveur - deux versions
NT 4 workstation
NT 4 server

Support
support de beaucoup de hardware
supporte OpenGL

Windows
Windows NT
NT 4
4 Server
Server
Permet la mise en uvre dapplications ou
services
Permet laclient/serveur
mise en uvre dapplications ou
services client/serveur
base de donnes, serveur de messagerie,
base
de de
donnes,
de messagerie,
serveur
fichiers,serveur
dimpression
serveur de fichiers, dimpression

File and print services inclus en standard


File and print services inclus en standard
clients MS-DOS, Windows 3.1, Windows 95,
clients
MS-DOS,
Windows 3.1, Windows 95,
Unix, OS/2,
Macintosh
Unix, OS/2, Macintosh

Supporte plusieurs protocoles


Supporte plusieurs protocoles

NetBIOS sur TCP/IP, DLC, IPX


NetBIOS sur TCP/IP, DLC, IPX

Windows
Windows NT
NT 4
4 Server
Server
Autres capacits fournies en standard
Autres capacits fournies en standard

serveur DHCP (NT 4 workstation possde un client DHCP intgr)


serveur DHCP (NT 4 workstation possde un client DHCP intgr)
Windows Internet Naming Service (WINS)
Windows Internet Naming Service (WINS)
Base de donnes distribue des mappings
Base
de donnes
distribuedynamique,
des mappings
nom !IP
; enregistrement
queries.
nom !IP ; enregistrement dynamique, queries.

Data protection features


Data protection features

disk striping, RAID 5, disk mirroring


disk striping, RAID 5, disk mirroring

Remote Access Server (RAS)


Remote Access Server (RAS)
Interface avec Novell Netware et Macintosh
Interface avec Novell Netware et Macintosh

Windows NT 4 Server
Windows NT 4 Server
Account lockout security
Account lockout security

Protection contre les attaques sur les mots de


Protection
contre les attaques sur les mots de
passe
passe

Administrative tools
Administrative tools

Server Manager
Server Manager
User Manager
User Manager
User Manager for Domains
User Manager for Domains

NT 4 server + BackOffice suite


NT 4 server + BackOffice suite
Microsoft BackOffice Suite pour Windows
Microsoft BackOffice Suite pour Windows
NT 4 server :
NT 4 server :
Systems Management Server (SMS)
Systems Management Server (SMS)
SQL server
SQL server
Exchange Server
Exchange Server
Internet Information Server (IIS)
Internet Information Server (IIS)
Distributed File System (DFS) Server
Distributed File System (DFS) Server
Index Server
Index Server

Windows NT 4 Workstation
Version pour stations de travail
Standalone
Peer-to-peer networking (workgroup)
Membre dun Domain

Mmes kernel et GUI que NT 4 Server


Optimis en tant que client
Fourni avec les outils dadministration de
la machine locale (user accounts,
permissions)

12

Windows
Windows NT
NT 4
4 en
en rseau
rseau
Workgroup
Workgroup

aka the peer-to-peer model


aka the peer-to-peer model
Partage de ressources
Partage de ressources
Les machines se voient dans le
Les
machines
se voient
dans le
voisinage
rseau

voisinage rseau
Sur chaque machine qui possde des
Sur
chaque machine
qui peut
possde
des
ressources,
prciser qui
y accder
ressources, prciser qui peut y accder
Utilisateurs locaux
Utilisateurs locaux
Administration clate entre les diffrentes
Administration
clate entre les diffrentes
machines
machines

Workgroup
Workgroup

Windows
Windows NT
NT 4
4 en
en rseau
rseau
Domain
Domain

Partage de ressources
Partage de ressources
Administration centralise
Administration centralise
Une seule base de donnes (plate !) des user
Une
seule groupes,
base de donnes
(plate
accounts,
stations NT,
etc.!) des user
accounts, groupes, stations NT, etc.
SAM Security Accounts Manager
SAM Security Accounts Manager

Notion de Domain Controllers


Notion de Domain Controllers

1 Primary Domain Controller PDC


1 Primary Domain Controller PDC
de 0 n Backup Domain Controllers BDC
de 0 n Backup Domain Controllers BDC

Domain
Domain

NT 4 domains
Le PDC contient la SAM
qui est rplique sur les BDC
Un utilisateur se loggue dans le domaine et
plus sur un serveur particulier
Lauthentification se fait sur un des DC
En cas de panne du PDC un BDC peut tre
promu
Autre serveurs (non DC) : member servers
Grands environnements : plusieurs domaines
! possibilit de trusts entre domaines

Primary Domain Controller


Le PDC contient la SAM pour tout le domaine
La SAM ne peut tre modifie que sur un PDC
(read-only sur les BDC)
Les outils dadministrations peuvent cependant tre
installes ailleurs (BDC)

Premier serveur installer pour crer un


domaine
Possde le SID du domaine

Rplication de la SAM vers les BDC par push


(toutes les 5 minutes / aprs modif.)

18

Primary Domain Controller

Backup Domain Controller


Le BDC contient une copie de la SAM
en read-only
Optionnel, de 0 n BDC prsents pour
des questions de redondance
dcharger le PDC pour les logon
authentication processes
besoins de localit (ex.: domain tendu sur
plusieurs sites physiques ! un BDC par site)

Mme domain SID sur tous les DC

19

Member servers
NT 4 Server (tout comme le PDC et les BDC)
Ne contiennent pas de copie de la SAM
! pas de domain SID, mais un machine SID
! pas utiliss pour lauthentification
! ni pour la gestion du domaine

Rle : file server, print server, application


server
Peuvent changer de domaine
impossible pour un PDC ou BDC

20

Les trusts

Les trusts
Quand il y a plusieurs domaines,
typiquement :
un domaine avec des utilisateurs, groupes
un domaine avec des ressources (file
servers, imprimantes)

On va pouvoir tablir des trusts


les accounts du domaine trust seront ds lors
utilisables pour laccs aux ressources du domaine
trustant

21

Les trusts
Les trusts de NT 4 sont unidirectionnels

Les trusts
mais il suffit den faire un dans chaque
sens.

22

Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Microsoft dfinit 4 modles
Microsoft dfinit 4 modles

Single domain model


Single domain model
Master domain model
Master domain model
Multiple master domain model
Multiple master domain model
Complete trust domain model
Complete trust domain model

Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Un domaine =
Un domaine =

Taille max. de la SAM dun domaine : 40 MB


Taille max. de la SAM dun domaine : 40 MB
Environ 40.000 accounts/objects max.
Environ
40.000 accounts/objects max.
Users, groups, NT member workstations...
Users, groups, NT member workstations...

Points considrer :
Points considrer :

Nombre daccounts
Nombre daccounts
Etendue gographique du domaine
Etendue gographique du domaine
Manire dont seront dfinis les users et les
Manire
dont seront dfinis les users et les
ressources
ressources

Single domain model


Single domain model

Les 4 modles de domaines NT


Les 4 modles de domaines NT
Single domain model
Single domain model

Petit environnement rseau


Petit environnement rseau
Simple grer
Simple
trusts
grer grer
Pas de
Pas de trusts grer

Administration la plus centralise possible


Administration la plus centralise possible
Point faible / bottleneck : lunique PDC si
Point
faibledaccounts
/ bottleneck
PDC si
beaucoup
(!: lunique
SAM large)
beaucoup daccounts (! SAM large)

Master
Master domain
domain model
model

Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Master domain model
Master domain model

Tous les accounts sont centraliss dans un


Tous
les accounts
sont centraliss
master
(i.e. accounts)
domain dans un
master (i.e. accounts) domain
!Gestion centralise des accounts
!Gestion centralise des accounts

Ressources dcentralises avec gestion


Ressources
dcentralises avec gestion
dcentralises
dcentralises
administrateurs locaux chaque domaine de
ressources
administrateurs locaux chaque domaine de
ressources

Trusts unidirectionnels des domaines


Trusts
unidirectionnels
des domaines
ressources
vers le domaine
master
ressources vers le domaine master

Multiple master domain model


Multiple master domain model

Les 4 modles de domaines NT


Les 4 modles de domaines NT
Multiple master domain model
Multiple master domain model

Permet dviter la limite de 40.000 accounts


Permet
limitemaster
de 40.000
accounts
prsentedviter
dans lela(single)
domain
model
prsente dans le (single) master domain model
Utile pour les environnements disperss
Utile
pour les environnements disperss
gographiquement
gographiquement
Gestion plus complexe
Gestion plus complexe
Trusts plus complexes et nombreux
Trusts plus complexes et nombreux

Complete
Complete trust
trust domain
domain model
model

Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Complete trust domain model
Complete
trust domain model
Modle dcentralis
Modle
dcentralis
Gestion
des accounts et ressources diffrente pour
Gestion
des accounts et ressources diffrente pour
chaque domaine
chaque
domaine
Complexe mettre en place (trusts) et grer

mettre en
place diffrentes
(trusts) et (une
grer
Complexe
Permet des security
policies
Permet
des security policies diffrentes (une
par domaine)
par
domaine)
ex.: contraintes sur les mots de passe
ex.: contraintes
les motsavec
de passe
Typique
dans lessur
socits
IT
Typique
dans (et
les sans
socits
avec IT centrale)
dcentralise
coordination
dcentralise
(et sans coordination centrale)

viter
viter

User
User accounts
accounts et
et groupes
groupes
Les user accounts sont globaux au domaine
Les
user accounts
rsident
sur le PDCsont
(dansglobaux
la SAM) au domaine

rsident
surdans
le PDC
la SAM)
un account
un (dans
domaine
permet de se logguer
un
dans
un domaine
de se logguer
suraccount
nimporte
quelle
station dupermet
domaine
sur nimporte
station et
duaccs,
domaine
pour
grer lesquelle
permissions
on peut grouper
pour
grer lesdans
permissions
et accs, on peut grouper
les accounts
des groupes
les
accounts
dans des groupes
groupes
globaux
groupes locaux
globaux
groupes

groupes locaux
Ne pas
confondre avec les accounts locaux
Ne
pas
confondre
avec
les accounts
tre dans
un domaine
nempche
pas la locaux
cration

tre
dans un
nempche
pas locale
la cration
daccounts
etdomaine
de groupes
locaux (SAM
vs SAM du
daccounts
groupes locaux
(SAM!locale
vs SAM du
domaine)
(ex.:et de
administrator
du domaine
administrator
local
dune(ex.:
station)
domaine)
administrator du domaine ! administrator
local dune station)

Deux
Deux sortes
sortes de
de groupes
groupes
Groupes globaux
Groupes globaux

contiennent des user accounts dun mme


contiennent
des user accounts dun mme
domaine
domaine
peuvent tre utiliss dans de multiples
peuvent
tre
multiplesdun
domaines
(ex.utiliss
accsdans
unede
ressource
domaines
(ex. accs
nom
une ressource
autre domaine)
do le
global dun
autre domaine) do le nom global

Deux
Deux sortes
sortes de
de groupes
groupes
Groupes locaux
Groupes locaux

contiennent des comptes utilisateur et des


contiennent
des comptes utilisateur et des
groupes globaux
groupes globaux
potentiellement extrieurs au domaine dans
potentiellement
au domaine dans
lequel le groupeextrieurs
local est dfini
lequel
le
groupe
local
est
dfini
si et seulement si il existe un trust vers les
si
et seulement
si accounts
il existe un
vers
les
domaines
de ces
et trust
global
groups
domaines de ces accounts et global groups

local = utilis pour les [permissions au niveau


local
= utilis
pourressources
les [permissions
niveau
des] accs
des
dans leaudomaine
des]
accs

des
ressources
dans
le
domaine
local
local

Gestion
Gestion des
des utilisateurs
utilisateurs

Utilisateurs prdfinis :
Utilisateurs prdfinis :
administrator et guest
administrator et guest

Cration dun user :


Cration dun user :

Gestion
Gestion des
des utilisateurs
utilisateurs
Chaque utilisateur peut avoir
Chaque utilisateur peut avoir

un profil, une home, un logon script


un profil, une home, un logon script

Gestion
Gestion des
des utilisateurs
utilisateurs
Un profil (profile) utilisateur contient
Un profil (profile) utilisateur contient
prfrences utilisateur
prfrences utilisateur

affichage, wallpaper, screensaver


affichage, wallpaper, screensaver
mappings
mappings
imprimantes
imprimantes
variables denvironnement
variables denvironnement
bookmarks IE
bookmarks IE
mailbox dOutlook Express
mailbox dOutlook Express

Gestion
Gestion des
des utilisateurs
utilisateurs
Trois types de profiles
Trois types de profiles

Local : local la machine (NT 4 Workstation)


Local : local la machine (NT 4 Workstation)
Roaming : stock sur serveur, ce profil suit
Roaming
stock
sur serveur,
ceo
profil
lutilisateur: peu
importe
la station
il sesuit
lutilisateur
peu
importe
la
station
o
loggue (copy in au logon et copy out ilause
loggue
logoff) (copy in au logon et copy out au
logoff)
Mandatory : profil local ou roaming mis en
Mandatory
: profil
local ou roaming mis en
read-only par
ladministrateur
read-only
par
ladministrateur
modifications possibles par lutilisateur mais non
modifications
possibles par lutilisateur mais non
sauves
sauves

Policies
Policies
Policies : rgles appliques des user
Policies : rgles appliques des user
accounts, des machines
accounts, des machines
rgles sur les mots de passe
rgles sur les mots de passe
protection de registry settings
protection de registry settings
prfrences utilisateur
prfrences utilisateur
limitation des accs au rseau
limitation des accs au rseau

Il existe des templates


Il existe des templates

Policies
Policies

Policies
Policies

Fichiers
Fichiers et
et shares
shares

File system : NTFS


File system : NTFS

systme de permissions volu


systme de permissions volu
sur les fichiers et rpertoires
sur les fichiers et rpertoires
chaque objet a un owner
chaque objet a un owner

Permissions
Permissions NTFS
NTFS

Fichiers et shares
Share = partage dun rpertoire
(et de ses sous-rpertoires et fichier)
UNC : \\SERVER\SHARE
Permissions NTFS + permissions du share

Dploiement
NT 4 et RAID

Installation automatise de lOS


RAID = Redundant Array of Inexpensive Disks
NT 4 unattended installation
RAID
software
implment
installation
automatise
par dessous
scriptsNT 4
(version
: RAID 0, 1 et
5
sysprepServer)
+ outils commerciaux
: Ghost

Dploiement dapplications
sysdiff
outils commerciaux : SMS

Introduction
Nom initialement prvu : Windows NT 5
Cf. NT 4 nous ne prsenterons que les
nouveauts introduites par Windows 2000 dans
ce chapitre

Changement majeur : introduction de


lActive Directory
service dannuaire compatible LDAP

4 versions diffrentes

43

Introduction
Introduction
Windows 2000 Professional
Windows
2000 Professional
pour les workstations

pour les workstations


max. 2 CPU, max. 4 GB RAM, pas de clustering, pas
max.
2 CPU,Server
max. 4 GB RAM, pas de clustering, pas
de Terminal
de Terminal Server

Windows 2000 Server


Windows
2000 Server
max. 4 CPU, max. 4 GB RAM, clustering max. 2

max.
4 Terminal
CPU, max.
4 GB RAM, clustering max. 2
nodes,
Services
nodes, Terminal Services

Windows 2000 Advanced Server (8 CPU, 8 GB)


Windows 2000 Advanced Server (8 CPU, 8 GB)
Windows 2000 Data Center (32 CPU, 64 GB, 4
Windows 2000 Data Center (32 CPU, 64 GB, 4
nodes)
nodes)

Positionnement
Positionnement
Windows 2000 Server pour :
Windows 2000 Server pour :
File/Print/Web services
File/Print/Web services
Application services
Application services
Infrastructure services
Infrastructure services
Communications services
Communications services

Windows 2000 Professional :


Windows 2000 Professional :
Corporate desktops
Corporate desktops
Mobile/laptop systems
Mobile/laptop systems

Nouveauts
Nouveauts
En rsum,
En rsum,

plus rapide
plus rapide
moins de redmarrages !
moins de redmarrages !
plus de fonctionnalits
plus de fonctionnalits
plus robuste
plus robuste
plus scalable
plus scalable

Principales nouveauts
Principales nouveauts
Ct serveur
Ct serveur

Active Directory
Active Directory
Dynamic DNS
Dynamic DNS
Distributed File System (DFS)
Distributed File System (DFS)
QoS
QoS
IPSec
IPSec
Group Policy Objects (GPO)
Group Policy Objects (GPO)
IIS, Certificate Services, WMI
IIS, Certificate Services, WMI

Principales nouveauts
Principales nouveauts
Ct client
Ct client

Support dActive Directory


Support dActive Directory
MMC Microsoft Management Console
MMC Microsoft Management Console
Internet Explorer 5
Internet Explorer 5
DirectX
DirectX
WSH Windows Scripting Host
WSH Windows Scripting Host
FAT32, NTFS5, UDF
FAT32, NTFS5, UDF

Windows Installer, Plug and Play, USB, WDM, AGP


Windows Installer, Plug and Play, USB, WDM, AGP

Nouveauts
Nouveauts :: file
file service
service

NTFS version 5
NTFS version 5
Support de quotas
Support de quotas

assez limit : par user par volume


assez limit : par user par volume

Distributed File System (DFS)


Distributed File System (DFS)

arborescence virtuelle des fichiers et


arborescence
virtuellemasquant
des fichiers
rpertoires partags,
leuret
rpertoires
leur
localisation partags,
physique masquant
relle sur diffrents
localisation
physique relle sur diffrents
serveurs/shares
serveurs/shares

EFS
EFS

Nouveauts
Nouveauts :: file
file service
service
Distributed Link Tracking
Distributed Link Tracking

permet de retrouver la trace dun fichier


permet
dplacde retrouver la trace dun fichier
dplac

Indexing service
Indexing service

systme dindexation pour acclrer les


systme
dindexation
acclrer
les
recherches
(locales oupour
travers
le rseau)
recherches (locales ou travers le rseau)

Gestion des disques et partitions


Gestion des disques et partitions
basic disks vs dynamic disks
basic disks vs dynamic disks

Montages la Unix
Montages la Unix

Architecture
Architecture

Notion de domaines
Notion de domaines
NT4 PDC, BDC ! notion unique de Domain
NT4 PDC, BDC
!quivalents)
notion unique de Domain
Controllers
(tous
Controllers (tous quivalents)
Mode natif
Mode
natifet wokstations en version 2000
serveurs
serveurs et wokstations en version 2000

Mode mixte
Mode
mixte
certaines
stations sont encore NT 4, voire 9x, certains
certaines
stations sont encore
serveurs ventuellement
NT 4 NT 4, voire 9x, certains
serveurs
ventuellement
NT 4 en tant que serveurs
certains serveurs 2000 agissent
certains
serveurs
2000
agissent
en tant que serveurs
NTLM
NTLM
fonctionnalits limits (pas de GPO, RIS, Kerberos)
fonctionnalits limits (pas de GPO, RIS, Kerberos)

Active
Active Directory
Directory
Directory Service arborescent (! SAM de
Directory Service arborescent (! SAM de
NT4) compatible LDAP v3
NT4) compatible LDAP v3
Organis en
Organis en
Forts, arbres, domaines, OUs
Forts, arbres, domaines, OUs

Active Directory
Active Directory

Active Directory : service d'annuaire central


Active Directory : service d'annuaire central
Scurit, distribution, partionnement, rplication
Scurit, distribution, partionnement, rplication
Point de consolidation (accounts, groupes,
Point de consolidation
(accounts, groupes,
machines,
...)
machines, ...)
Annuaire (recherche d'objets)
Annuaire (recherche d'objets)
Conu pour des environnements de toutes
Conu pour des environnements de toutes
tailles
tailles
du simple serveur avec quelques centaines d'objets
du simple serveur avec quelques centaines d'objets
quelques milliers de serveurs et millions d'objets
quelques milliers de serveurs et millions d'objets

Active Directory
Active Directory
Concepts habituels
Concepts habituels

objets, attributs
objets, attributs
containers (OU)
containers (OU)
structure arborescente
structure arborescente
namespace
namespace

Active Directory
Active Directory
Domaines :
Domaines
: de lAD
entit de base

base depour
lADla scurit politique
entit
entit de
autonome
entit
autonome
pour la scurit politique
de scurit
commune
de
scurit
commune
user accounts, administrateurs, contrle daccs
user accounts,
administrateurs,Units
contrle
daccs
organis
en Organizational
(OU)

en Organizational
Units (OU)
organis
contient des
objets (users, workstations,
contient
objets (users, workstations,
printers, des
ressources)
printers,
ressources)
partitionnement logique un domaine peut
partitionnement
logique sites
un domaine
peut
tre rparti sur plusieurs
physiques
tre rparti sur plusieurs sites physiques

Active Directory
Active Directory
Domaines (suite) :
Domaines
(suite) :
plusieurs Domain Controllers (DC)

plusieurs Domain Controllers (DC)


rplication multi-master
rplication
multi-master
modifications
auprs de nimporte quel DC

modifications
de(read/write)
nimporte quel
DC (read)
plus de notionauprs
de PDC
et BDC
plus de notion de PDC (read/write) et BDC (read)

AD supporte plusieurs domaines


AD
supporteenplusieurs
domaines
organiss
arbres (trees),
eux-mmes organiss
organiss
en arbres (trees), eux-mmes organiss
en forts (forests)
en forts (forests)

Active
Active Directory
Directory
Domaines (suite) :
Domaines (suite) :

Organisational Units
Organisational
Units
seul container LDAP support dans lAD

seul container LDAP support dans lAD


partitionnement logique dun domaine
partitionnement logique dun domaine
contiennent les feuilles (users, computers)
contiennent les feuilles (users, computers)
entit de dlgation des droits dadministration
entit de dlgation des droits dadministration

dcoupe gographique
sur base des subnets IP
sur base des subnets IP
utile pour
utile
pourle DC le plus proche
utiliser

Sites
Sites
dcoupe gographique

le DC
le plus proche
utiliser
optimiser
les rplications
optimiser les rplications

Organisation
Organisation logique
logique (domaines,
(domaines,
OUs)
vs
gographique
OUs) vs gographique (sites)
(sites)

Rplication
Rplication entre
entre sites
sites

Active
Active Directory
Directory
Tree
Tree

domaines organiss de manire hirarchique


domaines organiss de manire hirarchique
partageant un mme schma
partageant un mme schma
formant un namespace continu
formant un namespace continu
trusts bidirectionnels et transitifs entre
trusts
bidirectionnels
et transitifs entre
domaines
du mme arbre
domaines du mme arbre
Global Catalog commun
Global Catalog commun

Active
Active Directory
Directory
Tree
Tree

Active
Active Directory
Directory
Forest
Forest

ensemble darbres nayant pas un namespace


ensemble darbres nayant pas un namespace
commun (pas de racine commune)
commun (pas de racine commune)

Active
Active Directory
Directory
Forest
Forest

schma commun tous les arbres et


schma commun tous les arbres et
domaines
domaines
Global Catalog commun
Global Catalog commun
trusts bidirectionnels entre arbres
trusts bidirectionnels entre arbres

Bref, Forest ~= Tree lexception du


Bref, Forest ~= Tree lexception du
nommage disjoint
nommage disjoint

Active
Active Directory
Directory
Le Global Catalog
Le Global Catalog

Contient tous les objets de tous les domaines


Contient
tous les
objets
de tous les domaines
de lannuaire,
et un
sous-ensemble
des
de
lannuaire,
et
un
sous-ensemble
des
attributs de ces objets
attributs de ces objets
Utilis pour les recherches dans lannuaire
Utilis pour les recherches dans lannuaire

pour viter davoir suivre des referrals vers


pour
viterdomaines
davoir lors
suivre
referralsvers
diffrents
dedes
recherches
travers la
diffrents
domaines
lors
de
recherches
travers la
fort
fort

Une copie du GC dans chaque domaine (sur


Une
copie
dans chaque domaine (sur
un des
DC du
du GC
domaine)
un des DC du domaine)

Active
Active Directory
Directory
Autres key features de lAD
Autres key features de lAD

Intgration complte avec le D-DNS


Intgration complte avec le D-DNS

pour le nommage et la localisation


pour le nommage et la localisation
les noms de Domaines correspondent des noms
les
noms de Domaines correspondent des noms
DNS
DNS
sampledom.company.com
sampledom.company.com

Authentification via Kerberos 5


Authentification via Kerberos 5
Accessible en LDAP
Accessible en LDAP
Rplication
Rplication

Intgration
Intgration AD
AD
DNS
DNS

Nommage
Nommage LDAP
LDAP et
et DNS
DNS

Recherche dans un Active Directory dune entre sur base


Recherche
dans
de son email
: un Active Directory dune entre sur base
de son email :
[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W

-H ldap://dc.windomain.company.be
[delavaa@TW020998
delavaa]$ ldapsearch -b
-d "dc=windomain,dc=company,dc=be"
0 -v -x -W
-D
managers,dc=windomain,dc=company,dc=be"
-H "cn=queryuser,ou=Key
ldap://dc.windomain.company.be
-b "dc=windomain,dc=company,dc=be"
mail=alain.delava@trasys.be
-D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be"
ldap_initialize(
ldap://dc.windomain.company.be )
mail=alain.delava@trasys.be
Enter
LDAP Password:
ldap_initialize(
ldap://dc.windomain.company.be )
filter:
mail=alain.delava@trasys.be
Enter
LDAP
Password:
requesting:
ALL
filter: mail=alain.delava@trasys.be
version:
2 ALL
requesting:
#
version: 2
# filter: mail=alain.delava@trasys.be
#
# filter:
requesting:
ALL
#
mail=alain.delava@trasys.be
#
# requesting: ALL
# Delava Alain, Users, Trasys, windomain, company, be
#
dn:
CN=Delava
Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be
# Delava
Alain,
Users, Trasys, windomain, company, be
objectClass:
dn: CN=Delavatop
Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be
objectClass:
person
objectClass: top
objectClass: person
organizationalPerson
objectClass:
objectClass: organizationalPerson
user
objectClass:
cn: Delava Alain
objectClass:
user

cn: Delava Alain

!
!

Outils dadministration
MMC : Microsoft Management Console
Permet douvrir, crer, sauver les outils
dadministration (appels MMC consoles
ou MMC snap-ins )
La MMC ne permet pas deffectuer des
actions dadministration : elle accueille des
outils prvus pour cela
Peut tre excute sur un DC comme sur une
station du domaine

MMC

59

MMC

MMC snap-ins
Active Directory Users and Computers
Gestion de lAD : OUs, users, computers

Active Directory Domains and Trusts


Gestion des trusts

Active Directory Sites and Services


Gestion des sites (gographiques / subnets IP)

DHCP
DNS

60

Agenda
MMC
snap-ins

Outils dadministration
WINS
Gestion des utilisateurs et groupes
Group
Management
Group Policy
Policies
Objects
Distributed
File
Dynamic DNS System
Computer
Management
DHCP

Terminal
Services
Gestion des disques
Windows 2003

Users and groups


Les OUs ne sont pas des groupes
Permettent de grouper des users et des
computers pour
Ladministration dlgue
Lapplication de GPO (Policies)

Mais pas pour grer les permissions et les


droits

! notion de groupes (groups), (similaire


NT 4)

61

Users
Users and
and groups
groups :: thorie
thorie (9/9)
(1/9)
Comment a marche ?
Rights vs Permissions

Lorsque le user veut accder un objet,


Rights (droits) : donne la possibilit des
Windows va voir si un des SID de l access
utilisateurs deffectuer des tches systme
token du user est dans lACL de lobjet

par exemple : changer lheure sur un PC, grer


si il est dans un ACE de type AccessAllowed (et
une zone DNS
dans aucun AccessDenied), lutilisateur a accs
Permissions
rgles rgulant
la lACE)
manire dont
lobjet (de la:manire
dcrite dans

les utilisateurs peuvent utiliser / accder une


ressource
par exemple : un folder, un fichier, une
imprimante

groupes
Users andLes
groups
: thorie (2/9)
SID Security IDentifier
Nombre unique gnr la cration de laccount, du
groupe, de la machine
Premire partie du SID : identifie le domaine
Second partie : Relative SID = RID : identifie lobjet
(account)

Rappel : NT4 - Deux sortes de groupes


Rappel : NT4 - Deux sortes de groupes
Groupes globaux
Groupes globaux

contiennent des user accounts dun mme


contiennent
des user accounts dun mme
domaine
domaine
peuvent tre utiliss dans de multiples
peuvent
tre
multiplesdun
domaines
(ex.utiliss
accsdans
unede
ressource
domaines
(ex.
accs

une
ressource
autre domaine) do le nom global dun
autre domaine) do le nom global

Rappel : NT4 - Deux sortes de groupes


Rappel : NT4 - Deux sortes de groupes
Groupes locaux
Groupes
locaux
contiennent des comptes utilisateur et des

contiennent
des comptes utilisateur et des
groupes globaux
groupes globaux
potentiellement extrieurs au domaine dans
potentiellement
au domaine dans
lequel le groupeextrieurs
local est dfini
lequel
le groupesilocal
estun
dfini
si et seulement
il existe
trust vers les
si
et seulement
si accounts
il existe un
vers
les
domaines
de ces
et trust
global
groups
domaines de ces accounts et global groups

local = utilis pour les [permissions au niveau


local
= utilis
pourressources
les [permissions
niveau
des] accs
des
dans leaudomaine
des]
accs

des
ressources
dans
le
domaine
local
local

Les
Les groupes
groupes
Nouveauts de Windows 2000
Nouveauts de Windows 2000
Le concept de Universal Group
Le concept de Universal Group
Limbrication de groupes
Limbrication de groupes
Lutilisation de groupes comme distribution
Lutilisation
de groupes
comme distribution
lists (en combinaison
avec MS Exchange ou autre
lists
(endecombinaison
MS Exchange
application
messagerieavec
AD-enabled
) ou autre
application de messagerie AD-enabled )

Les groupes peuvent contenir des membres


Les
peuvent (important
contenirquand
desunmembres
non groupes
lis la scurit
groupe est
non lis
la
scurit
quand unlist)
groupe est
utilis
la fois
pour
la scurit(important
et une distribution
utilis la fois pour la scurit et une distribution list)

Possibilit davoir des groupes distribution list


Possibilit
davoir des
groupes
distribution list
only, pas utilisables
pour
la scurit
only,
pas
utilisables
pour
la
scurit
(permissions/droits)
(permissions/droits)

Les
Les groupes
groupes :: 3
3 types
types
3 types de
3
types de
groupes
groupes

Les groupes : 2 variantes

73

Group Policies Objects


Avec la dlgation de droits dadministration, les
GPO sont un des plus grands avantages de lAD
(pour ladministrateur systme)

Comme en NT 4, il sagit dappliquer


automatiquement un ensemble de rgles ou
proprits des machines et des utilisateurs
Une GPO peut tre applique diffrents
niveaux : Site, Domaine, OU (SDOU)
Hritage (sous-OUs) et possibilit de blocage
(via les security groups)

GPO vs Profile - dfinitions


Profile A collection of user environment
settings that the user is at liberty to change.
Profiles may or may not follow the user if he
chooses to log in to another computer, and their
settings are stored in many locations, including
the Registry, Desktop, Profiles directory, My
Documents, and so forth.
Group Policy A collection of user environment
settings, specified by the administrator. A Group
Policy is stored in a central location and always
affects the users or computers covered by the
policy.

75

GPO categories
Software Installation : les administrateurs ont la
possibilit dassigner slectivement et de publier des
applications sur des workstations
Application Assignment : permet dupgrader ou supprimer des
applications automatiquement sur des workstations
Application Publishing : lapplication apparat dans la liste des
composants quun utilisateur peut installer sur sa station via
Add/Remove Programs dans le Control Panel. Ces applications
peuvent aussi tre installes la premire utilisation

Security Settings : permet de restreindre laccs


certains fichiers, folders, cls de registry,
servicePermet aussi de grer certain settings des
stations

GPO categories
Administrative Templates : Rminiscence des
templates pour les System Policies de NT 4. Permet
aux administrateurs de customiser certain Registry
settings (desktop settings, application settings).

En dautres mots, les settings inscrits dans les sous-arbres


HKEY_LOCAL_MACHINE (HKLM) et HKEY_CURRENT_USER (HKCU) de
la registry.

Folder Redirection : utilise pour le roaming, cette


fonction permet de rediriger des folders locaux vers un
espace sur serveur, par exemple My Documents, de
manire transparente pour lutilisateur.
Logon/Logoff, Startup/Shutdown Scripts : scripts
pouvant tre excuts au logon, au logoff de lutilisateur,
et au startup ou shutdown de la machine.

76

Windows
Server 2003
Agenda

Successeur
de Windows 2000
Outils dadministration
Mme
au niveauetde
larchitecture
Gestionconcept
des utilisateurs
groupes

ActivePolicies
DirectoryObjects
(fort, arbre, domaine, OU)
Group
Quatre
versions
Dynamic
DNS

Windows
Server 2003, Standard Edition
DHCP
WindowsServices
Server 2003, Enterprise Edition
Terminal
Windows Server 2003, Data Center Edition
Gestion
des disques
Windows Server 2003, Web Edition
Windows 2003

Whats new in Windows Server 2003


Whats new in Windows Server 2003
Active Directory
Active
Directory
Dploiement
et gestion simplifis

Dploiement
et gestion
simplifis
Optimisation de
la scurit
Optimisation
de
la
scurit
Amlioration des performances et de la fiabilit
Amlioration
des performances
et de2000/2003
la fiabilit
Outil de migration
de NT Windows
Outil
de
migration
de
NT

Windows
2000/2003
(ADMT)
(ADMT) de renommer un domaine
Possibilit
Possibilit
de renommer
domaine
Facilits pour
modifier le un
schma
Facilits
pour
modifier
le
schma
GPMC : Group Policy Management Console
GPMC
: Group Policy
Management Console
Authentification
inter-forts
Authentification
inter-forts
Rplication / caching
amliore (! remote offices)
Rplication
/
caching
amliore (! remote offices)
etc. !
etc. !

Whats new in Windows Server 2003


Whats new in Windows Server 2003
Services dapplication
Services
dapplication
Support XML

Support XML
Framework .NET
Framework .NET
etc.
etc.

Clustering
Clustering
Clustering Services

Clustering Services
NLB : Networl Load Balancer
NLB : Networl Load Balancer

File and print services


File
and print services
Support de WebDAV

Support de WebDAV
Rplication du DFS amliore
Rplication du DFS amliore
Shadow Copy
Shadow Copy
etc.
etc.

Whats new in Windows Server 2003


Whats new in Windows Server 2003

IIS 6
IIS 6
Services de gestion
Services
GPMC de gestion

GPMC
Nouveaux paramtres configurables par GPO
Nouveaux
paramtres
configurables par GPO
Meilleure gestion
des updates
Meilleure
gestion des updates
etc.
etc.

IPv6
PPPoE
PPPoE
ICF : Internet Connection Firewall
ICF
: Internet Connection Firewall
802.1x
802.1x
etc.
etc.

Rseau
Rseau
IPv6

Whats new in Windows Server 2003


Whats new in Windows Server 2003
Scurit
Scurit
IAS (serveur RADIUS)

IAS
(serveur
Scurit
Wi-FiRADIUS)
Scurit
FonctionsWi-Fi
dencryption
Fonctions
Installationdencryption
par dfaut de Windows Server 2003
Installation
parscurise
dfaut de Windows Server 2003
beacoup plus
beacoup
plus
scurise
Tout nest pas activ / ouvert par dfaut :-)
Tout nest pas activ / ouvert par dfaut :-)
etc.
etc.

Gestion du stockage
Gestion du stockage
Terminal Services
Terminal Services
etc.
etc.

Rfrences
MCSE NT Server 4 Support and Maintenance
Study Guide (Exam 70-244), Matthew
Sheltz and JamesChellis, Sybex, 2001
Windows NT 4 : The Complete Reference,
Griffith Wm. Kadnier, McGraw-Hill / Osborne,
1997
Mmoire Rseaux multi-utilisateurs
postes fixes , Alain Delava, U.L.B., 2001

Rfrences
Site web http://www.microsoft.com
Windows 2000 Server Architecture and
Planning,
Morten Strunge
(MCSE), 2nd
Windows
2000Nielsen
et Active
Edition, The Coriolis Group, 2001
Directory
Technet
Introducing
Windows
Server 2003,
Partie
3 - Chapitre
12 Jerry
Honeycutt, Microsoft Press, 2003.
Mmoire Rseaux multi-utilisateurs
postes fixes , Alain Delava, U.L.B., 2001