Vous êtes sur la page 1sur 168

Administration Systmes Windows

Campana Antoine CNRS, UMR6134

La famille Windows

Windows 3.1x

Windows NT Serveur

NT Workstation, 2000 Workstation

Windows 2003 et 2003 R2 Serveur

Notion de domaine Windows.


98, NT Workstation.

Windows 2000 Serveur

Workgroup.

Windows 2000, XP Pro, Vista business

Windows 2008 Serveur

XP Pro, Vista business

Concepts Windows 2003

Active Directory: service dannuaire.


Architecture de scurit: prise en
charge des cartes puces, des cls de
chiffrement publiques et prives et des
protocoles lis la scurit.
IntelliMirror: ensemble de fonctions de
gestion des modifications et des
configurations. Centralisation de
ladministration.
Service Terminal Server
Windows Script Host

Concepts Windows 2003


Base de donnes de registre

Base de donnes contenant les


informations de configuration du
systme.

Elle est compose de sous-arbres


avec leurs clefs, leurs ruches et leurs
valeurs.

Concepts Windows 2003


Base de donnes de registre

Hkey_local_machine: Matriel, Systme


d'exploitation
Hkey_classes_root: Donnes d'association
de classes de fichiers, objets OLE
Hkey_current_user: Profil de l'utilisateur
courant
Hkey_user: Profil de tous les utilisateurs
Hkey_current_config: Profil matriel

Concepts Windows 2003


Base de donnes de registre

Syntaxe des rubriques values:


nom:type de donnes:valeur
DependOnService:REG_MULTI_SZ:Tcpip Nbtsys Streams

Types de donnes:

REG_BINARY: binaire
REG_DWORD: nombre de 4 octets
REG_EXPAND_SZ: variable
REG_MULTI_SZ: chane multiple
REG_SZ: caractres lisibles

Concepts Windows 2003


Le systme de fichiers

FAT (File Allocation Table)

16 bits: 2 Go partition max, 8.3


32 bits: 8 Go partition max, 255 caractres
Scurit au niveau du partage

NTFS (New Technologie File System)

Mini base de donnes de la partition


Partitions de 2 To
Attributs de fichiers, journaux
Quotas (NTFS 5)
Cryptage (NTFS 5)

Concepts Windows 2003


La famille Windows 2003 Server

Microsoft Windows Server 2003

Standard Edition

Entreprise Edition

Gre les processeurs Itanium 64 Bits, 32 Go de RAM


sur x86 et 64 Go sur Itanium, 8 processeurs.

Datacenter Edition

Gre 4Go de RAM et 2 processeurs.

64 Go de RAM (x86) et 128 Itanium, 8 processeurs.

Web Edition

Conu pour les sites Web. Pas d'AD.


2 Go de RAM et 2 processeurs.

Concepts Windows 2003


Types et rles des serveurs

Contrleurs de domaine et serveurs membres


Rles jous par les serveurs:

Serveur d'application
Serveur DHCP
Serveur DNS
Contrleur de domaine
Serveur de fichiers
Serveur de messagerie (POP3, SMTP)
Serveur d'impression
Serveur d'accs distant/VPN
Serveur de nud du cluster
Serveur de mdia en continu
Serveur de terminaux
Serveur WINS

Outils de gestion

Outils supplmentaires
Outils de support de Windows Server
2003.
Suptools.msi sur le CD.
Adminpack.msi sur le CD.

Outils d'usage frquent


MMC
Panneau de configuration.
Outils graphiques d'administration.
Utilitaires la ligne de commande.

Outils de gestion

Utilitaires la ligne de commande

Utilitaires connatre:

ARP
AT
DNSCMD
FTP
HOSTNAME
IPCONFIG
NBTSTAT
NET
NETSH
NETSTAT
NSLOOKUP
PATHPING
PING
ROUTE
TRACERT.

Utilitaires NET:

NET
NET
NET
NET
NET
NET

SEND
START
STOP
TIME
USE
VIEW

Outils de gestion

Console de gestion de lordinateur

Gestion des sessions et des connexions des


utilisateurs.
Gestion de l'emploi des fichiers, des
rpertoires et des partages.
Dfinition d'alertes administratives.
Gestion des applications et des services de
rseau.
Configuration des priphriques matriels.
Affichage et configuration des disques durs
et des priphriques de stockage
amovibles.

Outils de gestion

Console de gestion de lordinateur

Outils de gestion
Utilitaire systme

Configurer les paramtres de


performance, de mmoire virtuelle et
de la base de registre.
Grer les variables d'environnement
du systme et de l'utilisateur.
Fixer les options de dmarrage et de
rcupration systme.
Grer les profils matriels des
utilisateurs.

Outils de gestion
Utilitaire systme

Outils de gestion

Gestion des priphriques et des


pilotes matriels
Gestionnaire de priphriques.
Ajout/Suppression de matriels.
Assistant de mise niveau matrielle.

Gestion des bibliothques


dynamiques

regsvr32 nom.dll

Outils de gestion

Gestionnaire de tches.

Gestion des services systme.

taskmgr.exe

Penser arrter les services inutiles !

Journaux dvnements.

Performances du systme
Surveillance

Analyseur de performance

Journaux de compteur:
enregistre

les donnes de performances


des intervalles de temps dtermins

Journaux de traage:
enregistre

les donnes chaque fois que


lvnement associ survient.

Alertes

Performances du systme
Optimisation

Performances des applications et


Mmoire virtuelle

Utilitaire systme

Dbit des donnes

Connexion rseau

Performances
Exemples de contrles

Contrle de la mmoire

Contrle des performances du processeur

Processeur/%Temp processeur
Processeur/Longueur de la file dattente

Contrle des accs disques

Mmoire/Octets disponibles
Mmoire/Octets ddis

Disque Physique/%Temps du disque

Contrle de la bande passante et de la


connectivit.

Rseau /Octets reus/s


Rseau/Octets envoys/s

Services dassistance
Centre daide et de support
Mises jour automatiques

Serveur de mises jour (GPO)

Accs distance
Assistance distance
Bureau distance
Bureaux distants

Configuration de lhorloge Windows

Protocole SNTP (Simple Network Time


Protocol)

Installation de Windows

5 faons d'installer
Manuelle, partir d'un CD ROM ou d'un
partage rseau.
Sans assistance, l'aide d'un fichier
rponse et d'un CD-ROM ou d'un
partage rseau.
En utilisant Sysprep et un outil de
gestion d'images disques.
Par le rseau, partir d'un serveur RIS
(Remote Installation Service)
Par les GPO ou avec Microsoft SMS
(Systems Management Server)

Installation de Windows

Configuration minimale recommande

Un processeur Intel Pentium II 550 ou


compatible
256 Mo de Ram
Ecran SVGA 800x600
Clavier, souris
2,5 Go de disque, 7200 tours/min
Lescteur de CD-Rom ou de DVD-Rom
amorable (12x)

Consulter la HCL (liste des matriels


compatibles)

http://www.microsoft.com/hwdq/hcl/

Installation de Windows
Installer sur une partition NTFS
Rcolter les informations

Nom DNS (Domain Name System) de


l'ordinateur.
Nom du domaine ou du groupe de
travail.
Adresse Ip de l'ordinateur

Gestion de licences
Par serveur.
Par priphrique et par utilisateur.

Installation de Windows

Activation du produit
Office XP, XP et 2003 Server vendus au
dtail ncessite une activation.
Possibilit d'avoir des licences en volume
partir de 5 licences Microsoft.

Disquettes d'amorage
Winnt.exe
Winnt32.exe ou Setup.exe

Installation de Windows

Installation sans assistance


Winnt.exe /u:[fichier de rponse]
/s:[chemin]
Winnt32.exe /unattend:[nombre:fichier
de rponse] /s:[chemin]

Cration d'un fichier de rponse


Assistant gestion d'installation
CD, \support\tools\deploy.cab
(regsvr32 cabview.dll)

Installation de Windows

Utilisation de Sysprep (deploy.cab)


Faire une installation type
Utiliser Sysprep
Faire une image disque et la propager
l'aide d'un gestionnaire d'image (ex:
GHOST)
Dmarrer la nouvelle machine.

Notion de domaine

Regroupement logique dordinateurs


(serveurs et autres) partageant les
informations de scurit et les
comptes.

Avantages:
Ouverture de session unique
Accs global aux ressources
Administration centralise

Notion de domaine
Domaine 2
Ufr Droit

Domaine 1
Ufr Sciences

Domaine 3
Ufr Lettres

Notion de domaine

lments constitutifs

DC

Server Windows 2003


2000 WS VISTA

XP Pro

Server Windows 2000

DC
XP Pro

Active Directory
Notion de domaine

DC: contrleur de domaine


Serveur fonctionnant sous 2003 Server
Copie principale de la base de donnes
dannuaires.

Relation dapprobation

Relation d'approbation

lien entre 2 domaines, en fonction


duquel l'un des domaines accepte les
utilisateurs de l'autre sans authentifier
une deuxime fois les demandes d'accs
correspondantes.

Relation dapprobation

l'un des domaines est dit Approuvant


et l'autre Approuv

Approuve

Domaine Approuvant
Domaine des ressources

Domaine Approuv
Domaine des comptes

Relation dapprobation

Les ressources du domaine Approuvant


peuvent tre utilises par les Utilisateurs
du domaine Approuv
Approuve

Ressources
Partages
(fichiers,
imprimantes)

Utilisateurs
Peut utiliser

Domaine des ressources


(Approuvant)

Domaine des comptes


(Approuv)

Relation dapprobation

Relation sens unique ou rciproque

A approuve B et B approuve A

Domaine A

Domaine B

Relation dapprobation

L'approbation n'est pas transitive

A approuve B, B Approuve C mais A


n'approuve pas C

Domaine B

Domaine A

Domaine C

Annuaires rseau
Base de donnes qui stocke des
informations sur le rseau
Stockage centralis

Localisation et gestion amliores


Objets: Machines, Utilisateurs, Groupes,
Ressources, Infrastructure rseau

ANNUAIRE

Annuaire rseau

Le service dannuaire permet de


raliser les oprations suivantes:

Assurer la scurit des objets de la base


de donnes

Rplication sur dautres ordinateurs du


rseau (disponibilit, panne)

Fragmenter lannuaire pour augmenter


le stockage

Annuaire rseau

X.500: recommandation de lIUT-T

IUT-T:Union Internationale des


Tlcommunications, agence des Nations Unies
(V90).
ISO 9594: norme
IETF (Internet Engineering Task force)

LDAP (Lightweight Directory Access


Protocol), pas de norme iso, pure invention
dInternet

Lannuaire de NT 4.0
(pas dactive directory)

Comptes utilisateurs
Comptes de groupe
Comptes de machine
Relations dapprobation

Lannuaire de Windows 2003


Comptes utilisateurs
Comptes de groupe
Comptes machines
Relations dapprobation
Ressources rseaux (fichiers,
imprimantes)
Autres objets
UO: unit organisationnelles
(conteneur dobjet)

Groupes de travail et Domaines

Groupe de travail

Regroupement logique dordinateurs en


rseau partageant des ressources

Base de donnes locale (utilisateurs,


informations de scurit sur les
ressources)

Groupes de travail et Domaines


Windows 2003 Server
VISTA Business

Base de
donnes
locale de
scurit

Base de
donnes
locale de
scurit

Groupe de travail
Windows 2003
Base de
donnes
locale de
scurit

Comptes locaux
- de 10 ordinateurs

XP Pro
Base de
donnes
locale de
scurit

Windows 2003 Server

Groupes de travail et Domaines

Domaine Windows 2003

Regroupement logique dordinateurs en


rseau partageant une base de donnes
dannuaire centralise

Contrleur de domaine
Contient

lannuaire
Un seul type
Gre la scurit du domaine

Groupes de travail et Domaines


Contrleur
de domaine

Rplication

Contrleur
de domaine

Services dannuaire
Active Directory

Services dannuaire
Active Directory

Domaine
Windows 2003
Ordinateur client
Ordinateur client
Serveur membre

Administration centralise
Accs aux ressources via une
connexion unique

Active Directory

Active directory est le service


dannuaire de Windows 2003
Annuaire des ressources
Services daccs lannuaire

Les ressources (utilisateurs,groupes,


imprimantes, serveurs, rgles de
scurit, ) sont des Objets
Attributs
Classes

Active Directory

Hirarchie dans lannuaire grce des


UO au sein de domaines
On peut crer des utilisateurs, des
groupes et autres ressources rseau au
sein des UO
On peut dployer des stratgies
dutilisateurs et de machines par rapport
aux UO
Ladministration des objets contenus dans
une UO peut tre dlgue des
utilisateurs ou des groupes dutilisateurs

Active directory
Organisation

DOMAINE

US
UO

UK
UO

UO
UO
UO
UO
Ventes Production Comptabilit Ventes

Active directory
Arborescence
univ-corse.fr

pdagogie.univ-corse.fr

adm.univ-corse.fr

cri.adm.univ-corse.fr

Hirarchie de domaines
Espace de noms
homogne
Relations
dapprobations
Schma commun
Catalogue global listant
tous les objets de
larborescence

Active directory
Fort

Une ou plusieurs
arborescences
Espace de noms
htrognes entre
arborescences
Relations dapprobations
Schma commun
Catalogue global listant
tous les objets de la fort

Active directory
univ-corse.fr

Nom

Type

LOTUS

Contrleur de
domaine

Fixe

LILAS

Contrleur de
domaine

Fixe

SERV-X

Serveur membre

DHCP

LOTUS

adm.univ-corse.fr

LILAS

SERV-X

Adresse IP

Active Directory
univ-corse.fr
Administrateurs
de luniversit
Ressources
globales

Ventes

adm.univ-corse.fr

Production

Contrleurs
De domaine

LOTUS
Contrleurs
De domaine

Utilisateurs: adm-x

Tlcom
Utilisateurs

Ventes

LILAS
Ressources
partages

Administrateurs

Machines

Production
Utilisateurs: tc-a-x
Ventes

Utilisateurs: tc-v-x

Utilisateurs: tc-p-x

Production
SERV-X

Active directory

Nommer les objets


univ-corse.fr

Nom unique (DN):


CN=Dupond, OU=public,
OU=ventes, DC=adm,
DC=univ-corse, DC=fr

adm.univ-corse.fr

CN: nom commun


OU: unit organisationnelle
DC: composant de domaine

ventes
public
Dupond

Active directory

Formats de noms

RFC 822:
dupond@univ-corse.fr

URL HTTP:

LDAP:

http://udc.univ.priv/division/production/dupond
Ldap://udc.univ.priv/CN:dupond,OU=production,OU=
division,DC=udc,DC=univ,DC=priv

UNC:

\\udc.univ.priv\division\production\dupond

Active directory

Le DIT (directory Information Tree):


Remplace la base de donne SAM de
NT.
Fichier ntds.dit dans
%systemroot%\ntds quivalent du
fichier sam.
Dans un domaine le fichier ntds.dit se
duplique dans tous les contrleurs de
domaine.

Active directory

Le Catalogue global:
Permet de trouver rapidement les
informations.
Contient une rplique de chaque objet
Active Directory, mais uniquement un
petit nombre dattributs.
Un par site.

Active directory

Le schma:
Dfini les attributs obligatoires et
optionnels que chaque classe dobjets
peut possder.
Stock sur tous les DC.
Un seul contrleur de schma.
Extensible
Composant enfichable: Schma Active
Directory

Administration des utilisateurs


et des groupes

Gnralits sur les groupes


Objets de lannuaire ou bien objets
locaux la machine.
Contiennent des utilisateurs, des
ordinateurs ou dautres groupes.
Groupes de scurit auxquels on peut
attribuer des privilges (permissions).
Groupes de distribution auxquels on ne
peut pas attribuer de privilges.

Administration des utilisateurs


et des groupes

tendue Globale
Permissions sur des ressources situes
dans tous les domaines.
Ne contient que des membres du
domaine sur lequel il est cr.
Peut appartenir des groupes locaux ou
universels dautres domaines.
Peut contenir dautres groupes locaux du
mme domaine ou des utilisateurs de
son domaine.

Administration des utilisateurs


et des groupes

tendue locale de domaine


Permissions attribues uniquement sur
les ressources du mme domaine
Peut contenir

Autres

groupes locaux de domaines du


mme domaine.
Groupes globaux de tous les domaines.
Groupes universels de tous les domaines.
Utilisateurs de tous les domaines.

Administration des utilisateurs


et des groupes

tendue universelle
Uniquement si les domaines sont en
mode natif.
Permissions attribues sur les ressources
de tous les domaines
Peut contenir:

Autres

groupes universels dautres


domaines.
Groupes globaux de tous les domaines.
Des utilisateurs de tous les domaines.

Administration des utilisateurs


et des groupes

Groupes locaux prdfinis

Groupes locaux de domaine prdfinis

Groupes globaux de domaine


prdfinis

Administration des utilisateurs


et des groupes

Affectation de droits un groupe au


niveau du domaine

Stratgies de groupe (GPO) dans


utilisateurs et ordinateurs Active
directory.

Affectation de droits localement

Stratgies locales dans outils


dadministration.

Administration des utilisateurs


et des groupes
Planification des groupes
Noms de groupes parlants.
Les groupes comparables doivent avoir
des noms similaires.
Des groupes globaux pour les
utilisateurs et des groupes locaux pour
les ressources.

Mise en uvre des groupes

Cration, suppression, ajout


dutilisateurs

Administration des utilisateurs


et des groupes

Stratgie d'utilisation des groupes:

A
A
A
A

G
G
G
G

DL P
G DL P
U DL P
G U DL P

Avec:

A: Accounts
G: Global
DL: Domain Local
U: Universel
P: Permissions

Administration des utilisateurs


et des groupes

Cration de comptes utilisateurs

Sur le domaine
Localement

Administration dun compte utilisateur

Localisation
Dsactivation et Activation
Suppression
Transfert
Renommer
Rinitialisation de mot de passe
Dverrouillage

Administration des utilisateurs


et des groupes

Administration dun compte utilisateur

Cration de rpertoires personnels sur


un serveur
Crer

le partage sur le serveur.


Permissions CT au groupe Utilisateurs.
Dfinir le chemin dans longlet Profil de
lutilisateur.
Utilisation de la variable %username%.

Copie de comptes utilisateurs

Dploiement partir d'un compte


gnrique

Administration des utilisateurs


et des groupes

Profils utilisateur
Local: profil cr quand un utilisateur
ouvre une session sur une machine. Ce
profil est local la machine.
Itinrant: Profil cr par un
administrateur et stock sur un serveur.
Le profil suit lutilisateur sur toutes les
machines.
Obligatoire: Profil itinrant
verrouill.(ntuser.dat -> ntuser.man)

Administration des utilisateurs


et des groupes

Cration de profils itinrants

\\serveur\profils\%username%

Cration de profils itinrants


personnaliss
Crer un profil modle.
Copier le modle.

Administration des utilisateurs


et des groupes

Contenus dun profil utilisateur

Application Data
Bureau
Cookies
Favoris
Local Settings
Menu Dmarrer
Mes Documents
Modles
Recent
SendTo
Voisinage dimpression

Gestion des disques

Systme de fichier

FAT16
Conu

pour les partitions <500 Mo, Gre


jusqu' 2 Go, pas d'ACL

FAT32
Partitions

> 2 Go

NTFS 5.0
ACL,

compression, quotas, cryptage par cl


publique/cl prive

Gestion des disques

MMC Gestion de l'ordinateur

Disque de base (4 partitions max)


4 partitions principales.
Ou 3 partitions principales et une
partition tendue. Dans la partition
tendue, on peut crer un ou plusieurs
lecteurs logiques.

Gestion des disques

Disque dynamique
Pas

de partitions, des volumes.


Tolrance de panne
Pas de limite dans le nombre de volumes
Extension de volumes NTFS

Types de volumes
Volume

simple
Volume d'agrgat par bandes
Volume rparti
Volumes mis en miroir
Volumes RAID 5

Gestion de disques

Configuration dun disque dur

Initialiser les disques au moyen dun


type de stockage
Stockage de base
Stockage dynamique

Cration de partitions ou de volumes

Formatage du disque

Gestion de disques
Types de stockage

Stockage de base

C
D

OU
Partitions
principales

E
F

C
D
E

Partition tendue
dote de lecteurs
logiques

F
G
H

Gestion de disques

Types de stockage: stockage de base

Partitions principale
1 Partition active la fois (fichiers
damorage du systme).
Isolement de systmes ou de donnes
La partition systme sous Windows
dsigne la partition active.

Gestion de disques

Types de stockage: stockage de base

Partition tendue
1 seule par disque
Dcompose en secteurs logiques
formats au moyen dun systme de
fichiers

Partition tendue
dote de lecteurs
logiques

F
G
H

Gestion de disques

Types de stockage: stockage dynamique

Stockage dynamique

(Windows 2000 et +)

Volume simple
Volume agrg par bande

Volume fractionn

Volume RAID-5
Volume en miroir

Gestion de disques

Types de stockage: stockage dynamique

Contient lespace
disque dun seul
disque

Pas de tolrance de
panne

Volume simple

Gestion de disques

Types de stockage: stockage dynamique

Contient lespace
de plusieurs
disques

32 disques max.

Pas de tolrance de
panne

Volume fractionn

Gestion de disques

Types de stockage: stockage dynamique

Volume en miroir

2 exemplaires
identiques dun
volume simple sur
2 disques spars.

Tolrance de
panne

Gestion de disques

Types de stockage: stockage dynamique

Volume agrg par bande


Ou RAID-0

Volume logique
constitu des
secteurs despace
libres de plusieurs
disques.

Pas de tolrance de
panne

Gestion de disques

Types de stockage: stockage dynamique

Volume RAID-5

Agrgat par bande


avec tolrance de
panne.

Minimum de 3
disques durs

Partage de dossiers

Partages administratifs

C$, D$, E$

Admin$

Utilis pour la gestion d'une station travers le


rseau. Il s'agit du rpertoire %systemroot%

IPC$

Fournit un accs complet l'administrateur sur les


lecteurs. \\nom_ordinateur\C$

Ce partage sert pour la communication entre les


processus. Il est utilis notamment lors de
l'administration distance d'une station ou mme
lorsque on consulte un rpertoire partag.

Print$

Est utilis pour l'administration distance des


imprimantes.

Partage de dossiers

2 faons de faire:
Partage du dossier via l'option
"Partager".
Partage du dossier via la mmc "Gestion
de l'ordinateur".

Autorisations de partage
Lecture
Modifier
Contrle total

Permissions d'accs

Permissions NTFS

Onglet scurit dans Proprits

Permissions sur un dossier


Lecture
Afficher le contenu du dossier
Lecture et excution
Ecriture
Modifier
Contrle total

Permissions d'accs

Permissions sur un fichier


Lecture
Ecriture
Lecture et excution
Contrle total
Modifier

Permissions avances

Permissions d'accs

Application des permissions NTFS

NTFS/NTFS
Combinaison
Refus

NTFS/Partage
Le

prioritaire

plus restrictif des 2

Hritage

Systme DFS

Distributed File System

Permet de rassembler sous une


arborescence unique et logique,
plusieurs rpertoires situs
physiquement diffrents endroits du
rseau.

DFS autonome (1 serveur).


DFS tolrance de panne (AD).

Systme DFS

Distributed File system

Serveur 1
Racine DFS

Comptabilit
Paie
Paie
Bnfices

Liaison DFS
Dcaissements
Encaissements

Serveur 2
Bnfices
Dcaissements
Encaissements

Quotas et Compression

Quotas de disques
Limiter la quantit de donnes que les
utilisateurs peuvent stocker.
Proprits du lecteur slectionn.

Compression de disques
Proprits du fichier ou du dossier
concern.
Compact.exe l'invite de commande
Attention la copie !

Ressources d'impression
Partage d'imprimante et publication
ou pas dans l'AD.
Scurit.
Options:

Pool d'impression
Gestion des priorits

Gestion du spouleur.
Administration via le Web:

http://serveur/Printers

Publication des ressources dans


Active Directory

Publication d'imprimantes

Simplifie la recherche et l'administration

Publication de Partages
Simplifie la recherche
Mots clefs

Administration Windows 2003


Stratgies de groupe: prsentation

Elles servent dfinir des


configurations utilisateur et ordinateur
pour:
Grer lenvironnement bureautique des
utilisateurs
Appliquer une politique dentreprise
Scuriser le rseau

Administration Windows 2003


Stratgies de groupe: prsentation

Une stratgie de groupe peut tre:


dploye sur des groupes d'utilisateurs
et/ou d'ordinateurs.
Combine.
Scurise.
Utilise n'importe o dans l'entreprise.

Administration Windows 2003


GPO: structure

Objet stratgie de groupe (GPO: Group


Policy Object)

Conteneur (GPC) : objet Active Directory contenu


dans le conteneur Policies
Modle (GPT): dossier contenu dans:

%systemroot%\SYSVOL\sysvol\<nom_domaine>\polici
es

Identifi par le GUID (global unique


Identifier)

GPO locale pour des machines individuelles

%systemroot%\System32\GroupPolicy

Administration Windows 2003


GPO: cration

Cration de GPO lies

Cration de GPO non lie

Dans "Sites et Services Active Directory"


ou "Utilisateurs et Ordinateurs Active
directory"

partir d'une MMC

Console de gestion des stratgies de


groupe.

Administration Windows 2003


Stratgies de groupe: Composant MMC

Le composant permet l'dition d'une


seule stratgie la fois

L'ensemble des paramtres se


divisent en paramtres Utilisateurs et
Ordinateur
ordinateur
utilisateur

Administration Windows 2003


GPO: configuration ordinateur

Configuration de l'ordinateur
Spcifie les paramtres applicables
l'ordinateur en fonction de son
emplacement dans l'annuaire
Applique au dmarrage de l'ordinateur
(boot)
Indpendante du compte utilisateur de
la session

ordinateur

Administration Windows 2003


GPO: configuration utilisateur

Configuration de l'utilisateur
Spcifie les paramtres applicables
l'ordinateur selon l'emplacement de
l'utilisateur courant dans l'annuaire
Applique lors de la connexion (logon)
Ces paramtres suivent l'utilisateur de
machine en machine

utilisateur

Administration Windows 2003


GPO: conflits de configurations

Les configurations ordinateur et


utilisateur entrent parfois en conflit
Bien que chaque configuration comporte
de nombreux paramtres, des
paramtres qui se recoupent sont trs
rares
Pour ces quelques paramtres, ce sont
ceux de la configuration de
l'ordinateur qui sont appliqus

Administration Windows 2003


GPO: Modles d'administration (1)

L'extension "modles d'administration" propose


une interface graphique permettant de modifier
les paramtres du registre
Elle utilise des fichiers modles indiquant les
valeurs configurer (System.adm, inetres.adm et
conf.adm sont chargs par dfaut)

Administration Windows 2003


GPO: Modles d'administration (2)

Il est possible de charger de


nouveaux modles
d'administration
%systemroot%\inf

Administration Windows 2003


GPO: Scripts (1)

L'extension Scripts associe un ou plusieurs scripts


un ordinateur ou un utilisateur

Les scripts peuvent tre dvelopps en VB, Jscript et en


format ligne de commande

Administration Windows 2003


GPO: Scripts (2)

Les scripts de dmarrage/arrt


s'appliquent aux ordinateurs
Les scripts de connexion/dconnexion
s'appliquent aux utilisateurs
Pour intgrer un script un objet GPO

Indiquer le chemin d'accs au script


Renseigner tous les paramtres transmettre
au script
Dfinir l'ordre d'excution des scripts si
ncessaire

Administration Windows 2003


GPO: Stockage des Scripts (3)

Un ordinateur doit pouvoir accder au


script pour l'excuter
Les scripts peuvent tre placs:

dans le dossier Sysvol sur un contrleur


de domaine (idal)
dans un serveur spcifique

\\scriptserver.univ-corse.fr\Scripts\logon.vbs

sur le poste local (rare)


C:\scripts\localscript.cmd

Administration Windows 2003


GPO: Redirection de dossiers

L'option redirection de dossier fait pointer


les dossiers spciaux de l'utilisateur vers
de nouveaux emplacements (local ou
rseau)

Administration Windows 2003


GPO: Redirection de dossiers "de Base"

Le paramtrage
"de base" place
tous les dossiers
utilisateurs au
mme endroit
Le paramtre
%username% sert
les placer dans
diffrents dossiers

Administration Windows 2003


GPO: Redirection de dossiers "Avanc"

Le paramtrage
"Avanc" permet
de dfinir
diffrents dossiers
destination selon
l'appartenance de
groupe
Le paramtre
%username% sert
les placer dans
diffrents dossiers

Administration Windows 2003


GPO: Redirection de dossiers, Paramtres

Administration Windows 2003


GPO: Paramtres de scurit (1)

Outils puissant permettant de renforcer


les standards de scurit de groupes
d'ordinateurs

Administration Windows 2003


GPO: Liens

GPO1

GPO2
ventes
administration
vtements

Lorsque vous crez un GPO, un lien initial


est tabli, vous pouvez rompre se lien et
garder le GPO
Vous pouvez lier les GPO aux autres
domaines, OU et sites

Administration Windows 2003


GPO: Liens

GPO1

GPO2

administration
GPO1+GPO2
+
GPO3

GPO3

PC1

Plusieurs GPO peuvent tre lis aux domaines,


OU et sites (utile pour compartimenter les
stratgies).
Les stratgies sont cumulatives.

Administration Windows 2003


GPO: paramtres en conflit

Les GPO du
haut de liste
sont
prioritaires et
prvalent

Administration Windows 2003


GPO: Dsactivation des stratgies

Administration Windows 2003


GPO: Hritage

GPO1

univ-corse.fr

GPO2
administration
GPO3
finances
PC1
GPO1+GPO2
+
GPO3

-Un objet conteneur hrite aussi des stratgies des conteneurs


parents.
-L'ordre d'application est Local Site Domaine OU.
-La dernire stratgie applique est prioritaire en cas de conflit

Administration Windows 2003


GPO: blocage de l'hritage

univ-corse.fr

GPO1

administration
GPO2
finances

Blocage de l'hritage => GPO2 uniquement

-Tout objet conteneur de l'AD peut bloquer l'hritage des


GPO lis aux conteneurs parents.
-Seuls les GPO directement lis au conteneur affecteront son
contenu

Administration Windows 2003


GPO: Ne pas passer outre

univ-corse.fr

GPO1

Ne pas passer outre


administration
GPO2
finances

-L'option "Ne pas passer outre" empche les GPO localises


plus bas dans l'arborescence de modifier des paramtres
dfinis un niveau suprieur.
-Cette option prvaut aussi sur le blocage de l'hritage.

Administration Windows 2003


GPO: Filtrage
PC

Lire, appliquer

Administrateurs

R,W,X,D

Entrep. Adm

R,W,X,D

ventes
univ-corse.fr

PC GPO

Port. GPO

Portables

Lire, appliquer

Administrateurs

R,W,X,D

Entrep. Adm

R,W,X,D

administration

finances

PC1

PC2

Portable1

PC3

PC4

Portable2

PC5

PC6

Portable3

Groupe: PC Groupe: Portables

-La structure d'une stratgie de groupe peut tre contrle


par la DACL du GPO.
-Seuls les groupes ayant les autorisations appropries
peuvent appliquer l'objet stratgie.

Administration Windows 2003


GPO: Filtrage (suite)

-Un ordinateur ou un utilisateur doit avoir la permission


"Appliquer la stratgie de groupe" pour utiliser un GPO

Administration Windows 2003


GPO: Combiner les configurations

Ventes
GPO Ventes
C1
U1
univ-corse.fr
GPO Domaine
C2
U2

PC1

User1

PC2

Admin1

DC1

DC2

Production
GPO Production

C3
U3
GPO Contrleurs
C4
U4

Contrleurs

Administration Windows 2003


GPO: Combiner les configurations

Pour le PC1
dmarrage:
C2+C1
login

User1:

U2+U1
Admin1: U2+U3

Pour le PC2
dmarrage:
C2+C3
Login

User1:

U2+U1
Admin1: U2+U3

Pour le DC1
dmarrage:
C2+C4
login
Admin1: U2+U3

Administration Windows 2003


GPO: Processus de rebouclage

Ventes
GPO Ventes
C1
U1
univ-corse.fr
GPO Domaine
C2
U2

PC1

User1

PC2

Admin1

DC1

DC2

Production
GPO Production

C3
U3
GPO Contrleurs
C4
U4

Contrleurs
GPO Rebouclage

C5
U5

Administration Windows 2003


GPO: Processus de rebouclage

-Fusionner: C2+C4+C5 et U2+U3 + U2+U4+U5


-Remplacer: C2+C4+C5 et U2+U4+U5

Maintenance des GPOs

Outils du support de Microsoft


Windows 2000
Netdiag.exe
Replmon.exe

Kit de ressources techniques


Microsoft Windows 2000 server
Gpotool.exe
Gpresult.exe

Utilisation des GPOs

Dployer des applications


Appliquer des services packs
Mettre jour et supprimer des applications
Affecter des scripts des utilisateurs et
des ordinateurs
Rediriger certains dossiers dutilisateur ou
de groupe
Paramtrer les fichiers hors connexion
Configurer lenvironnement utilisateur

Protocoles et services rseau


TCP/IP: configuration

Protocoles et services rseau


TCP/IP: dpannage et test

Ping
Ipconfig
Hostname
Route
Tracert
FTP
Telnet

Protocoles et services rseau


DHCP

DHCP permet de centraliser la configuration


des donnes TCP/IP et daffecter
dynamiquement les adresses IP.

En plus de ladresse IP, il est possible de


tlcharger sur le client DHCP plus de 50
paramtres supplmentaires, en particulier:

Le masque de sous-rseau, la passerelle par


dfaut, les serveurs WINS, les serveurs DNS.

Protocoles et services rseau


DHCP

Les adresses IP sont difficiles suivre et


grer

Sans DHCP une nouvelle adresse IP doit tre


affecte chaque fois quune machine est ajoute

DHCP rend plus facile les modifications


futures du rseau

Vous devez vous assurer quelle est unique.

Nouveau routeur.

Certaines socits manquent dadresse IP

DHCP optimise lutilisation des adresses IP

Protocoles et services rseau


DHCP

Protocoles et services rseau


DHCP: gestion centralise
Adresse IP
Masque de sous-rseau
Passerelle

DHCP Client

Serveurs WINS, DNS


Fourchettes dadresses
IP disponibles

Adresse IP
Masque de sous-rseau
Passerelle

Donnes de
configuration

Serveur
DHCP

DHCP Client

Serveurs WINS, DNS


Adresse IP
Masque de sous-rseau
Passerelle
Serveurs WINS, DNS

DHCP Client

Protocoles et services rseau


DHCP: les clients

Les clients DHCP peuvent tre:

Windows 2000 Server et Professionnel, 2003


NT Server , NT Workstation, 2000, XP
Windows 95, 98, 3.11 (TCP/IP 32-bit)
Microsoft Network Client V 3.0 pour MS-DOS
(TCP/IP 16-bit)
LAN Manager V 2.2c
Autres clients DHCP compatibles (UNIX,
MacIntosh, etc)

Un serveur 2003 DHCP ou WINS ne peut pas


tre un client DHCP

Protocoles et services rseau


DHCP: tendues

Une tendue est


la plage dadresse
IP mise la
disposition des
clients DHCP

Des plages
dadresse peuvent
tre exclues et
des adresses
statiques
rserves aux
ordinateurs non
DHCP

Protocoles et services rseau


DHCP: baux

Le serveur DHCP loue ladresse IP avec un bail


qui dfinit la dure dutilisation de ladresse IP
par lordinateur client

A 50% de la dure du bail, le client DHCP


essaie automatiquement de renouveler le bail

La valeur par dfaut est de 3 jours

Par un paquet DhcpRequest

Si le renouvellement nest pas possible,


87,5% de la dure du bail, le client DHCP
essaie dobtenir une nouvelle adresse IP dun
autre serveur DHCP

Protocoles et services rseau


DHCP: options

Les options DHCP


peuvent tre
dfinies:

Globalement (pour
toutes les tendues)

Pour une tendue


(la plage dadresses
IP)

Pour un ordinateur
spcifique
(rservation
statique)

Protocoles et services rseau


DHCP: obtention dadresses

Serveur
DHCP

10.1.0.1

PC1

PC2

PC3

Client DHCP

Client DHCP

Client DHCP

10.1.255.254

DhcpDiscover
DhcpOffer 10.1.0.3
DhcpRequest 10.1.0.3
DhcpAck

Protocoles et services rseau


DHCP: redmarrage du client

Dans limplmentation de Microsoft, quand


un client est redmarr, il envoie un
paquet DhcpRequest

Le DhcpRequest contient une requte pour


ladresse IP prcdemment affecte

Au lieu dun DhcpDiscover

Le serveur DHCP essaiera de satisfaire le client

Si ladresse IP demande nest plus


disponible, le client reoit un DhcpNack et
doit essayer nouveau partir de zro.

Protocoles et services rseau


DHCP: disponibilit dadresse

Serveur
DHCP

10.1.0.1 A

10.1.0.2 B

Client DHCP

Client DHCP

Client DHCP

10.1.0.3 C
10.1.0.4 Libre
DhcpRequest 10.1.0.3
DhcpAck

Protocoles et services rseau


DHCP: indisponibilit dadresse

Serveur
DHCP

10.1.0.1 A

10.1.0.2 B

Client DHCP

Client DHCP

Client DHCP

10.1.0.3 H
10.1.0.4 Libre
DhcpRequest 10.1.0.3
DhcpNAck
DhcpDiscover
DhcpOffer 10.1.0.4
DhcpRequest 10.1.0.4
DhcpAck

Protocoles et services rseau


DHCP: si le serveur ne rponds pas ?

Si un client ne reoit pas un paquet


DhcpOffer du serveur DHCP, il diffusera
une requte 4 fois

A 2, 4, 6 et 8 secondes dintervalle

Si le client na toujours pas de rponse, il


essaie encore 5 minutes plus tard

Jusqu ce que client reoive un DhcpOffer,


TCP/IP nest pas li
Linterface nest pas connect au rseau

Protocoles et services rseau


autoriser un serveur DHCP

Autoriser un serveur DHCP

Pour viter les conflits d'adresse IP. Et la


prolifration de serveurs DHCP.

Agent de relais DHCP

Passage des routeurs impossible pour les


trames DHCP envoyes en broadcast par
les clients.

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Surveillance DHCP
Dpannage DHCP
Utilitaires TCP/IP

Ping
-t
-a
-n
-l

Pathping

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Route

Arp

Print
Add
-a

Ipconfig

/all
/registerdns
/displaydns
/flushdns
/release
/renew
/showclassid <nom de la connexion rseau>
/setclassid <nom de la connexion rseau>

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Netdiag
Nslookup
Netstat

-a
-e
-s
-r

Protocoles et services rseau


Maintenance du protocole IP et de DHCP

Nbtstat
-a
-A <adresse IP distante>
-c
-n
-r
-R
-RR
-s
-S

Protocoles et services rseau


WINS (Windows Internet Naming Service)

WINS a t conu pour fournir une solution


souple au problme de la localisation des
ressources NetBIOs dans les rseaux
TCP/IP routs.
WINS fournit

Enregistrement dynamique des noms NetBIOS.


Rsolution de noms NetBIOS efficace

Rduction des diffusions de requte de noms


NetBIOS

Navigation transparente du voisinage rseau.


Duplication de la base de donnes WINS
travers LAN ou WAN.

Protocoles et services rseau


WINS (Windows Internet Naming Service)

WINS est support par 2003, 2000, NT,


Windows 9x, Windows for Workgroups +
TCP/IP 32-bit.

WINS est un service de mappage de nom


NetBIOS vers une adresse IP, cest dire
un NBNS (NetBIOS Name Server).

Protocoles et services rseau


WINS: fonctionnement

Serveur
WINS

Nom

Num. IP

PC1

PC2

PC3

PC1

10.1.0.1

Client WINS

Client WINS

Client WINS

PC2

10.1.0.3

Au boot: Je suis PC1, mon IP est 10.1.0.5


Merci, je lcris
IP de PC1, svp ?
PC1 est 10.1.0.5

Protocoles et services rseau


WINS et DHCP

PC1

Serveur
WINS

Client DHCP
et WINS

Serveur
DHCP

Puis-je avoir un IP, svp ?


Bien sr, utilisez 10.1.0.5
Je suis PC1 et mon IP est 10.1.0.5
Merci, je linscris

Protocoles et services rseau


WINS: duplication

Il est important dinstaller plusieurs


serveurs WINS

Pour avoir une tolrance de panne


Pour distribuer la charge des requtes de nom

Normalement les serveurs WINS seront


configurs pour dupliquer entirement et
rciproquement les bases de donnes

Un nom enregistr sur un serveur WINS A sera


disponible sur un serveur WINS B

Protocoles et services rseau


WINS: Architecture de duplication

Association de duplication

Le serveur A utilise le serveur B comme


partenaire tir ; le serveur B utilise le serveur A
comme partenaire pouss
Le serveur A utilise le serveur B comme
partenaire pouss ; le serveur B utilise le
serveur A comme partenaire tir

Les serveurs WINS fusionnent leurs


donnes

Seules les modifications sont dupliques

Protocoles et services rseau


WINS: Architecture de duplication

Serveur
WINS
A

Pouss vers B
Pouss tous les 20 changements

Tir de B
Tir toutes les 30 minutes

Tir de A

Serveur
WINS
B

Tir toutes les 30 minutes

Pouss vers A
Pouss tous les 20 changements

Chaque relation peut avoir seulement pouss,


seulement tir ou les 2 ensembles

Protocoles et services rseau


WINS: le Client

Un client WINS est gnralement configur


avec les adresses IP de deux serveurs
WINS

Un client WINS fera 3 tentatives de


communication avec le serveur primaire

Le serveur WINS Primaire


Le serveur WINS secondaire

Puis il essaiera le serveur WINS secondaire

Les serveurs WINS primaires et


secondaires doivent se dupliquer
mutuellement

Protocoles et services rseau


WINS: le Client

Lorsqu'un client WINS dmarre, il envoie


une requte d'enregistrement des noms

Nom d'ordinateur, nom d'utilisateur, nom de


domaine

Le 16me caractre d'un nom NetBIOS


dfinit le type de nom NetBIOS

Protocoles et services rseau


WINS: dure de vie

Les noms sont stocks dans la base de


donnes WINS avec des informations sur la
dure de vie

Les clients WINS renouvellent


automatiquement leurs noms sur le serveur
WINS avant lexpiration de la dure de vie

Lorsquun ordinateur est arrt


correctement, le nom est enlev de la base
de donnes WINS

Protocoles et services rseau


DNS

DNS domain name space donne la


possibilit d'employer des noms familiers
hirarchiques afin de localiser aisment les
ordinateurs et autres ressources sur un
rseau TCP/IP
Un serveur DNS peut tre utilis pour
effectuer la rsolution des noms

Un serveur DNS contient des mappages nom


adresse IP

Protocoles et services rseau


DNS: espace de nommage

Domaine racine

"."
edu

fr
expedia

gov
univ-corse

adm.univ-corse.fr

org
congrs

com
Domaines de
second niveau

admin
pc1

Pc1.adm.univ-corse.fr

Protocoles et services rseau


DNS: espace de nommage

ROOT est administre par le Centre


d'information Rseau Internet (InterNIC:
http://www.internic.net)

Attribution de portion d'espace de nom aux


organisations et aux entreprises qui se
connectent sur Internet (Serveur DNS):
Nom de domaine

Protocoles et services rseau


DNS: espace de nommage

Domaines administrs par l'InterNIC:

Domaines organisationnels: fonctions primaires


ou activit de l'entreprise

Domaines gographiques:

com, edu, gov, mil, int, net, org,

fr, jp, nl,

Domaines inverss: in-addr.arpa

Protocoles et services rseau


DNS: espace de nommage

Domaines "attribus":

Possibilit de crer des sous-domaines refltant


des groupements administratifs

Responsabilit de l'attribution de nom aux


ordinateurs et aux priphriques rseaux
l'intrieur de leur domaine

Protocoles et services rseau


DNS: zones

fr

univ-corse
Fichier de base
de donnes

Fichier de base
de donnes

admin

recherche
zone1

zone2

Partitionner l'espace de nom de domaines en sections qu'il


est possible de grer.

Protocoles et services rseau


DNS: quand est-il disponible?

DNS peut ne pas tre ncessaire dans un


environnement Windows

DNS peut tre utilis dans un


environnement mixte

WINS rsout les noms

Windows, UNIX, MacIntosh, etc

DNS est essentiel dans Windows 2000


et 2003

Protocoles et services rseau


DNS: rsolution de nom

IP de pc1.univ-corse.fr ?
root

Essaye B
A
IP de pc1.univ-corse.fr ?

IP de pc1.univ-corse.fr ?
fr

Essaye C
B

193.48.28.33
IP de pc1.univ-corse.fr ?

univ-corse

193.48.28.33
C

Protocoles et services rseau


DNS: structure

La base de donnes DNS Microsoft est un


ensemble de fichiers contenant le
"mappage" nom-NIP de l'hte et les
donnes d'informations DNS pour les
postes TCP/IP du rseau (enregistrement
des ressources)

Zone de recherche directe


Zone de recherche indirecte

Une par sous-rseau

Protocoles et services rseau


DNS: serveur primaire et secondaire

Serveur primaire

Serveur secondaire

Copie matre dune zone (zone principale


standard)

Duplicata dune zone matresse (zone


secondaire standard)
Tolrance de panne
Sous-rseaux
Sites distants (liaisons lentes)

Enregistrement dans l'AD

Protocoles et services rseau


DNS: type d'enregistrement

Nom d'hte (A)

Source de nom (SOA)

Cration d'alias

Serveur de messagerie (MX)

Indique quels sont les serveurs de noms qui ont autorit


sur la zone.

Alias (CNAME)

Indique quel serveur est serveur principal pour la zone.

Serveur de nom (NS)

Mappage du nom d'hte d'une machine une adresse IP.

Spcifie quels sont les serveurs de messagerie.

Pointeur (PTR)

quivalent pour les zones de recherche inverse de


l'enregistrement A.
Mappe une adresse IP un nom FQDN.

Protocoles et services rseau


DNS: intgration WINS

Un serveur DNS Windows 2000/2003 peut


tre configur pour interroger un serveur
WINS (pour la rsolution de nom)
DNS

DNS

IP de pc1.univ-corse.fr ?

193.48.28.33

Domaine abc.com

WINS
IP de pc1?

193.48.28.33

193.48.28.33

Domaine univ-corse.fr