Académique Documents
Professionnel Documents
Culture Documents
Introduction
Historique
Historique
MS-DOS
MS-DOS
1985 : Windows 1.0
1985 : Windows 1.0
1987 : Windows 2.0
1987 : Windows 2.0
1990 : Windows 3.0
1990 : Windows 3.0
Historique
Historique
Historique
Historique
Windows NT
NT est bas sur le projet MACH
Micro-kernel
services de base
restreint mais simple ! stable
32 bits
Les processus ont des espaces mmoires bien
spars
permet davoir certain process en mode protg
Windows NT 4
GUI mme interface que Windows 95
Scalability
Modle client/serveur - deux versions
NT 4 workstation
NT 4 server
Support
support de beaucoup de hardware
supporte OpenGL
Windows NT 4
GUI mme interface que Windows 95
Scalability
Modle client/serveur - deux versions
NT 4 workstation
NT 4 server
Support
support de beaucoup de hardware
supporte OpenGL
Windows
Windows NT
NT 4
4 Server
Server
Permet la mise en uvre dapplications ou
services
Permet laclient/serveur
mise en uvre dapplications ou
services client/serveur
base de donnes, serveur de messagerie,
base
de de
donnes,
de messagerie,
serveur
fichiers,serveur
dimpression
serveur de fichiers, dimpression
Windows
Windows NT
NT 4
4 Server
Server
Autres capacits fournies en standard
Autres capacits fournies en standard
Windows NT 4 Server
Windows NT 4 Server
Account lockout security
Account lockout security
Administrative tools
Administrative tools
Server Manager
Server Manager
User Manager
User Manager
User Manager for Domains
User Manager for Domains
Windows NT 4 Workstation
Version pour stations de travail
Standalone
Peer-to-peer networking (workgroup)
Membre dun Domain
12
Windows
Windows NT
NT 4
4 en
en rseau
rseau
Workgroup
Workgroup
voisinage rseau
Sur chaque machine qui possde des
Sur
chaque machine
qui peut
possde
des
ressources,
prciser qui
y accder
ressources, prciser qui peut y accder
Utilisateurs locaux
Utilisateurs locaux
Administration clate entre les diffrentes
Administration
clate entre les diffrentes
machines
machines
Workgroup
Workgroup
Windows
Windows NT
NT 4
4 en
en rseau
rseau
Domain
Domain
Partage de ressources
Partage de ressources
Administration centralise
Administration centralise
Une seule base de donnes (plate !) des user
Une
seule groupes,
base de donnes
(plate
accounts,
stations NT,
etc.!) des user
accounts, groupes, stations NT, etc.
SAM Security Accounts Manager
SAM Security Accounts Manager
Domain
Domain
NT 4 domains
Le PDC contient la SAM
qui est rplique sur les BDC
Un utilisateur se loggue dans le domaine et
plus sur un serveur particulier
Lauthentification se fait sur un des DC
En cas de panne du PDC un BDC peut tre
promu
Autre serveurs (non DC) : member servers
Grands environnements : plusieurs domaines
! possibilit de trusts entre domaines
18
19
Member servers
NT 4 Server (tout comme le PDC et les BDC)
Ne contiennent pas de copie de la SAM
! pas de domain SID, mais un machine SID
! pas utiliss pour lauthentification
! ni pour la gestion du domaine
20
Les trusts
Les trusts
Quand il y a plusieurs domaines,
typiquement :
un domaine avec des utilisateurs, groupes
un domaine avec des ressources (file
servers, imprimantes)
21
Les trusts
Les trusts de NT 4 sont unidirectionnels
Les trusts
mais il suffit den faire un dans chaque
sens.
22
Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Microsoft dfinit 4 modles
Microsoft dfinit 4 modles
Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Un domaine =
Un domaine =
Points considrer :
Points considrer :
Nombre daccounts
Nombre daccounts
Etendue gographique du domaine
Etendue gographique du domaine
Manire dont seront dfinis les users et les
Manire
dont seront dfinis les users et les
ressources
ressources
Master
Master domain
domain model
model
Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Master domain model
Master domain model
Complete
Complete trust
trust domain
domain model
model
Les
Les 4
4 modles
modles de
de domaines
domaines NT
NT
Complete trust domain model
Complete
trust domain model
Modle dcentralis
Modle
dcentralis
Gestion
des accounts et ressources diffrente pour
Gestion
des accounts et ressources diffrente pour
chaque domaine
chaque
domaine
Complexe mettre en place (trusts) et grer
mettre en
place diffrentes
(trusts) et (une
grer
Complexe
Permet des security
policies
Permet
des security policies diffrentes (une
par domaine)
par
domaine)
ex.: contraintes sur les mots de passe
ex.: contraintes
les motsavec
de passe
Typique
dans lessur
socits
IT
Typique
dans (et
les sans
socits
avec IT centrale)
dcentralise
coordination
dcentralise
(et sans coordination centrale)
viter
viter
User
User accounts
accounts et
et groupes
groupes
Les user accounts sont globaux au domaine
Les
user accounts
rsident
sur le PDCsont
(dansglobaux
la SAM) au domaine
rsident
surdans
le PDC
la SAM)
un account
un (dans
domaine
permet de se logguer
un
dans
un domaine
de se logguer
suraccount
nimporte
quelle
station dupermet
domaine
sur nimporte
station et
duaccs,
domaine
pour
grer lesquelle
permissions
on peut grouper
pour
grer lesdans
permissions
et accs, on peut grouper
les accounts
des groupes
les
accounts
dans des groupes
groupes
globaux
groupes locaux
globaux
groupes
groupes locaux
Ne pas
confondre avec les accounts locaux
Ne
pas
confondre
avec
les accounts
tre dans
un domaine
nempche
pas la locaux
cration
tre
dans un
nempche
pas locale
la cration
daccounts
etdomaine
de groupes
locaux (SAM
vs SAM du
daccounts
groupes locaux
(SAM!locale
vs SAM du
domaine)
(ex.:et de
administrator
du domaine
administrator
local
dune(ex.:
station)
domaine)
administrator du domaine ! administrator
local dune station)
Deux
Deux sortes
sortes de
de groupes
groupes
Groupes globaux
Groupes globaux
Deux
Deux sortes
sortes de
de groupes
groupes
Groupes locaux
Groupes locaux
des
ressources
dans
le
domaine
local
local
Gestion
Gestion des
des utilisateurs
utilisateurs
Utilisateurs prdfinis :
Utilisateurs prdfinis :
administrator et guest
administrator et guest
Gestion
Gestion des
des utilisateurs
utilisateurs
Chaque utilisateur peut avoir
Chaque utilisateur peut avoir
Gestion
Gestion des
des utilisateurs
utilisateurs
Un profil (profile) utilisateur contient
Un profil (profile) utilisateur contient
prfrences utilisateur
prfrences utilisateur
Gestion
Gestion des
des utilisateurs
utilisateurs
Trois types de profiles
Trois types de profiles
Policies
Policies
Policies : rgles appliques des user
Policies : rgles appliques des user
accounts, des machines
accounts, des machines
rgles sur les mots de passe
rgles sur les mots de passe
protection de registry settings
protection de registry settings
prfrences utilisateur
prfrences utilisateur
limitation des accs au rseau
limitation des accs au rseau
Policies
Policies
Policies
Policies
Fichiers
Fichiers et
et shares
shares
Permissions
Permissions NTFS
NTFS
Fichiers et shares
Share = partage dun rpertoire
(et de ses sous-rpertoires et fichier)
UNC : \\SERVER\SHARE
Permissions NTFS + permissions du share
Dploiement
NT 4 et RAID
Dploiement dapplications
sysdiff
outils commerciaux : SMS
Introduction
Nom initialement prvu : Windows NT 5
Cf. NT 4 nous ne prsenterons que les
nouveauts introduites par Windows 2000 dans
ce chapitre
4 versions diffrentes
43
Introduction
Introduction
Windows 2000 Professional
Windows
2000 Professional
pour les workstations
max.
4 Terminal
CPU, max.
4 GB RAM, clustering max. 2
nodes,
Services
nodes, Terminal Services
Positionnement
Positionnement
Windows 2000 Server pour :
Windows 2000 Server pour :
File/Print/Web services
File/Print/Web services
Application services
Application services
Infrastructure services
Infrastructure services
Communications services
Communications services
Nouveauts
Nouveauts
En rsum,
En rsum,
plus rapide
plus rapide
moins de redmarrages !
moins de redmarrages !
plus de fonctionnalits
plus de fonctionnalits
plus robuste
plus robuste
plus scalable
plus scalable
Principales nouveauts
Principales nouveauts
Ct serveur
Ct serveur
Active Directory
Active Directory
Dynamic DNS
Dynamic DNS
Distributed File System (DFS)
Distributed File System (DFS)
QoS
QoS
IPSec
IPSec
Group Policy Objects (GPO)
Group Policy Objects (GPO)
IIS, Certificate Services, WMI
IIS, Certificate Services, WMI
Principales nouveauts
Principales nouveauts
Ct client
Ct client
Nouveauts
Nouveauts :: file
file service
service
NTFS version 5
NTFS version 5
Support de quotas
Support de quotas
EFS
EFS
Nouveauts
Nouveauts :: file
file service
service
Distributed Link Tracking
Distributed Link Tracking
Indexing service
Indexing service
Montages la Unix
Montages la Unix
Architecture
Architecture
Notion de domaines
Notion de domaines
NT4 PDC, BDC ! notion unique de Domain
NT4 PDC, BDC
!quivalents)
notion unique de Domain
Controllers
(tous
Controllers (tous quivalents)
Mode natif
Mode
natifet wokstations en version 2000
serveurs
serveurs et wokstations en version 2000
Mode mixte
Mode
mixte
certaines
stations sont encore NT 4, voire 9x, certains
certaines
stations sont encore
serveurs ventuellement
NT 4 NT 4, voire 9x, certains
serveurs
ventuellement
NT 4 en tant que serveurs
certains serveurs 2000 agissent
certains
serveurs
2000
agissent
en tant que serveurs
NTLM
NTLM
fonctionnalits limits (pas de GPO, RIS, Kerberos)
fonctionnalits limits (pas de GPO, RIS, Kerberos)
Active
Active Directory
Directory
Directory Service arborescent (! SAM de
Directory Service arborescent (! SAM de
NT4) compatible LDAP v3
NT4) compatible LDAP v3
Organis en
Organis en
Forts, arbres, domaines, OUs
Forts, arbres, domaines, OUs
Active Directory
Active Directory
Active Directory
Active Directory
Concepts habituels
Concepts habituels
objets, attributs
objets, attributs
containers (OU)
containers (OU)
structure arborescente
structure arborescente
namespace
namespace
Active Directory
Active Directory
Domaines :
Domaines
: de lAD
entit de base
base depour
lADla scurit politique
entit
entit de
autonome
entit
autonome
pour la scurit politique
de scurit
commune
de
scurit
commune
user accounts, administrateurs, contrle daccs
user accounts,
administrateurs,Units
contrle
daccs
organis
en Organizational
(OU)
en Organizational
Units (OU)
organis
contient des
objets (users, workstations,
contient
objets (users, workstations,
printers, des
ressources)
printers,
ressources)
partitionnement logique un domaine peut
partitionnement
logique sites
un domaine
peut
tre rparti sur plusieurs
physiques
tre rparti sur plusieurs sites physiques
Active Directory
Active Directory
Domaines (suite) :
Domaines
(suite) :
plusieurs Domain Controllers (DC)
modifications
de(read/write)
nimporte quel
DC (read)
plus de notionauprs
de PDC
et BDC
plus de notion de PDC (read/write) et BDC (read)
Active
Active Directory
Directory
Domaines (suite) :
Domaines (suite) :
Organisational Units
Organisational
Units
seul container LDAP support dans lAD
dcoupe gographique
sur base des subnets IP
sur base des subnets IP
utile pour
utile
pourle DC le plus proche
utiliser
Sites
Sites
dcoupe gographique
le DC
le plus proche
utiliser
optimiser
les rplications
optimiser les rplications
Organisation
Organisation logique
logique (domaines,
(domaines,
OUs)
vs
gographique
OUs) vs gographique (sites)
(sites)
Rplication
Rplication entre
entre sites
sites
Active
Active Directory
Directory
Tree
Tree
Active
Active Directory
Directory
Tree
Tree
Active
Active Directory
Directory
Forest
Forest
Active
Active Directory
Directory
Forest
Forest
Active
Active Directory
Directory
Le Global Catalog
Le Global Catalog
Active
Active Directory
Directory
Autres key features de lAD
Autres key features de lAD
Intgration
Intgration AD
AD
DNS
DNS
Nommage
Nommage LDAP
LDAP et
et DNS
DNS
-H ldap://dc.windomain.company.be
[delavaa@TW020998
delavaa]$ ldapsearch -b
-d "dc=windomain,dc=company,dc=be"
0 -v -x -W
-D
managers,dc=windomain,dc=company,dc=be"
-H "cn=queryuser,ou=Key
ldap://dc.windomain.company.be
-b "dc=windomain,dc=company,dc=be"
mail=alain.delava@trasys.be
-D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be"
ldap_initialize(
ldap://dc.windomain.company.be )
mail=alain.delava@trasys.be
Enter
LDAP Password:
ldap_initialize(
ldap://dc.windomain.company.be )
filter:
mail=alain.delava@trasys.be
Enter
LDAP
Password:
requesting:
ALL
filter: mail=alain.delava@trasys.be
version:
2 ALL
requesting:
#
version: 2
# filter: mail=alain.delava@trasys.be
#
# filter:
requesting:
ALL
#
mail=alain.delava@trasys.be
#
# requesting: ALL
# Delava Alain, Users, Trasys, windomain, company, be
#
dn:
CN=Delava
Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be
# Delava
Alain,
Users, Trasys, windomain, company, be
objectClass:
dn: CN=Delavatop
Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be
objectClass:
person
objectClass: top
objectClass: person
organizationalPerson
objectClass:
objectClass: organizationalPerson
user
objectClass:
cn: Delava Alain
objectClass:
user
!
!
Outils dadministration
MMC : Microsoft Management Console
Permet douvrir, crer, sauver les outils
dadministration (appels MMC consoles
ou MMC snap-ins )
La MMC ne permet pas deffectuer des
actions dadministration : elle accueille des
outils prvus pour cela
Peut tre excute sur un DC comme sur une
station du domaine
MMC
59
MMC
MMC snap-ins
Active Directory Users and Computers
Gestion de lAD : OUs, users, computers
DHCP
DNS
60
Agenda
MMC
snap-ins
Outils dadministration
WINS
Gestion des utilisateurs et groupes
Group
Management
Group Policy
Policies
Objects
Distributed
File
Dynamic DNS System
Computer
Management
DHCP
Terminal
Services
Gestion des disques
Windows 2003
61
Users
Users and
and groups
groups :: thorie
thorie (9/9)
(1/9)
Comment a marche ?
Rights vs Permissions
groupes
Users andLes
groups
: thorie (2/9)
SID Security IDentifier
Nombre unique gnr la cration de laccount, du
groupe, de la machine
Premire partie du SID : identifie le domaine
Second partie : Relative SID = RID : identifie lobjet
(account)
une
ressource
autre domaine) do le nom global dun
autre domaine) do le nom global
contiennent
des comptes utilisateur et des
groupes globaux
groupes globaux
potentiellement extrieurs au domaine dans
potentiellement
au domaine dans
lequel le groupeextrieurs
local est dfini
lequel
le groupesilocal
estun
dfini
si et seulement
il existe
trust vers les
si
et seulement
si accounts
il existe un
vers
les
domaines
de ces
et trust
global
groups
domaines de ces accounts et global groups
des
ressources
dans
le
domaine
local
local
Les
Les groupes
groupes
Nouveauts de Windows 2000
Nouveauts de Windows 2000
Le concept de Universal Group
Le concept de Universal Group
Limbrication de groupes
Limbrication de groupes
Lutilisation de groupes comme distribution
Lutilisation
de groupes
comme distribution
lists (en combinaison
avec MS Exchange ou autre
lists
(endecombinaison
MS Exchange
application
messagerieavec
AD-enabled
) ou autre
application de messagerie AD-enabled )
Les
Les groupes
groupes :: 3
3 types
types
3 types de
3
types de
groupes
groupes
73
75
GPO categories
Software Installation : les administrateurs ont la
possibilit dassigner slectivement et de publier des
applications sur des workstations
Application Assignment : permet dupgrader ou supprimer des
applications automatiquement sur des workstations
Application Publishing : lapplication apparat dans la liste des
composants quun utilisateur peut installer sur sa station via
Add/Remove Programs dans le Control Panel. Ces applications
peuvent aussi tre installes la premire utilisation
GPO categories
Administrative Templates : Rminiscence des
templates pour les System Policies de NT 4. Permet
aux administrateurs de customiser certain Registry
settings (desktop settings, application settings).
76
Windows
Server 2003
Agenda
Successeur
de Windows 2000
Outils dadministration
Mme
au niveauetde
larchitecture
Gestionconcept
des utilisateurs
groupes
ActivePolicies
DirectoryObjects
(fort, arbre, domaine, OU)
Group
Quatre
versions
Dynamic
DNS
Windows
Server 2003, Standard Edition
DHCP
WindowsServices
Server 2003, Enterprise Edition
Terminal
Windows Server 2003, Data Center Edition
Gestion
des disques
Windows Server 2003, Web Edition
Windows 2003
Dploiement
et gestion
simplifis
Optimisation de
la scurit
Optimisation
de
la
scurit
Amlioration des performances et de la fiabilit
Amlioration
des performances
et de2000/2003
la fiabilit
Outil de migration
de NT Windows
Outil
de
migration
de
NT
Windows
2000/2003
(ADMT)
(ADMT) de renommer un domaine
Possibilit
Possibilit
de renommer
domaine
Facilits pour
modifier le un
schma
Facilits
pour
modifier
le
schma
GPMC : Group Policy Management Console
GPMC
: Group Policy
Management Console
Authentification
inter-forts
Authentification
inter-forts
Rplication / caching
amliore (! remote offices)
Rplication
/
caching
amliore (! remote offices)
etc. !
etc. !
Support XML
Framework .NET
Framework .NET
etc.
etc.
Clustering
Clustering
Clustering Services
Clustering Services
NLB : Networl Load Balancer
NLB : Networl Load Balancer
Support de WebDAV
Rplication du DFS amliore
Rplication du DFS amliore
Shadow Copy
Shadow Copy
etc.
etc.
IIS 6
IIS 6
Services de gestion
Services
GPMC de gestion
GPMC
Nouveaux paramtres configurables par GPO
Nouveaux
paramtres
configurables par GPO
Meilleure gestion
des updates
Meilleure
gestion des updates
etc.
etc.
IPv6
PPPoE
PPPoE
ICF : Internet Connection Firewall
ICF
: Internet Connection Firewall
802.1x
802.1x
etc.
etc.
Rseau
Rseau
IPv6
IAS
(serveur
Scurit
Wi-FiRADIUS)
Scurit
FonctionsWi-Fi
dencryption
Fonctions
Installationdencryption
par dfaut de Windows Server 2003
Installation
parscurise
dfaut de Windows Server 2003
beacoup plus
beacoup
plus
scurise
Tout nest pas activ / ouvert par dfaut :-)
Tout nest pas activ / ouvert par dfaut :-)
etc.
etc.
Gestion du stockage
Gestion du stockage
Terminal Services
Terminal Services
etc.
etc.
Rfrences
MCSE NT Server 4 Support and Maintenance
Study Guide (Exam 70-244), Matthew
Sheltz and JamesChellis, Sybex, 2001
Windows NT 4 : The Complete Reference,
Griffith Wm. Kadnier, McGraw-Hill / Osborne,
1997
Mmoire Rseaux multi-utilisateurs
postes fixes , Alain Delava, U.L.B., 2001
Rfrences
Site web http://www.microsoft.com
Windows 2000 Server Architecture and
Planning,
Morten Strunge
(MCSE), 2nd
Windows
2000Nielsen
et Active
Edition, The Coriolis Group, 2001
Directory
Technet
Introducing
Windows
Server 2003,
Partie
3 - Chapitre
12 Jerry
Honeycutt, Microsoft Press, 2003.
Mmoire Rseaux multi-utilisateurs
postes fixes , Alain Delava, U.L.B., 2001